NextDNS im Überblick

NextDNS ist, laut Anbieter 'die neue Firewall für das moderne Internet' und soll Nutzer vor allen Arten von Sicherheitsbedrohungen schützen.  Blog-Leser ZeroDot1 hatte Gelegenheit, NextDNS in der Beta-Phase zu testen und hat einen kleinen Text mit Eindrücken verfasst, die ich als Gastbeitrag hier im Blog veröffentliche.


Anzeige

Ja ich gebe es zu, ich war erst skeptisch als ich eine Einladungsmail von NextDNS erhielt, um den Service NextDNS während der Betaphase zu testen (die Betaphase ist beendet). Doch schon bei der ersten Benutzung verflogen die Zweifel. Denn man kann einfach alles konfigurieren so wie man es persönlich braucht und z.B. für verschiedene Computer oder andere Geräte in seinem Heimnetzwerk verschiedene Profile anlegen. So behält man über all seine Geräte gut die Übersicht und kann z.B. bösartige Verbindungen direkt blockieren, wenn diese in den Logs auffallen.

Die Frage die mich am meisten beschäftigt hat war: kann NextDNS ein Pi-Hole ersetzen. Die Antwort ja ganz klar, und NextDNS ist dabei sogar noch weit kosteneffizienter wie ein Pi-Hole, den es fallen keine Stromkosten und keine Hardwarekosten für ein Pi-hole an. Einfach klasse ist auch das NextDNS praktisch universell einsetzbar ist.

Das heißt es gibt viele Konfigurationsmöglichkeiten für verschiedene Router Firewalls und Betriebssysteme, und auch die Verwendung von NextDNS mit z.B. Firefox via DoH ist problemlos möglich. Praktische Funktionen für Jugendschutz und Sicherheit sind auch enthalten, das rundet das Gesamtpaket noch einmal ab. In den Jugendschutzeinstellungen ist es z.B. möglich verschiedene Dienste wie z.B. Telegram zu blockieren um z.B.die Kids vom chatten während der Hausaufgaben abzuhalten.

Was kann NextDNS alles? Eine Übersicht über die einzelnen Konfigurationsmöglichkeiten die NextDNS aktuell bietet, findet sich auf der Seite des Anbieters. Für verschiedenen Geräte kann ein separates Profil angelegt werden.


Anzeige

Screenshot: Profil einen Namen zuweisen

Screenshot: Übersicht (Details wie die IDs und IPs wurden unkenntlich gemacht)

NextDNS ist sehr umfangreich und bietet eine Vielzahl von Konfigurationsmöglichkeiten um NextDNS nach seinen Wünschen anzupassen. 300.000 DNS-Anfragen pro Monat sind kostenlos möglich, danach kostet ein Monat momentan 1,99€ oder 19,99 für ein Jahr.

Fazit

NextDNS ist aus meiner Sicht eines der besten DNS Tools, die man bekommen kann. Und das Beste daran ist das NextDNS sehr Open-Source orientiert ist, siehe NextDNS bei Github.

Anmerkungen: Ich habe den Text von Blog-Leser ZeroDot1 mit der Aufzählung aller Funktionen gestrichen – da kann man sich ggf. auf den Webseiten des Anbieters informieren. Der Gast-Beitrag ist auch kein bezahlter sponsored Artikel, über den Werbung für das kostenpflichtige Angebot gemacht werden soll. Wie oben ausgeführt, sind 300.000 DNS-Anfragen pro Monat kostenlos.

Letzte Anmerkung: Ist ja alles recht cool, wenn Werbung aus Webseiten rausgefiltert wird. Ich hatte ja bereits auf die Folgen hingewiesen – gerade sind einige Leute dabei, ganz erfolgreich das Gratis-Web, so wie wir es kennen, zu schlachten. Ob das so am Ende des Tages im 'Sinne des Erfinders ist', muss jeder selbst entscheiden.


Anzeige

Dieser Beitrag wurde unter Internet abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu NextDNS im Überblick

  1. Tom sagt:

    Immer wieder spannend wie gespalten unsere Wahrnehmung in Sachen Datenschutz ist.
    Man geht weg von WA wegen Datenschutz/Privatsphäre, gibt aber DNS Server von x Providern ein.
    Welche wiederum an persönliche und sensible Daten rankommen.

    • Nino sagt:

      Wenn man keine Ahnung hat und der Aluhut mal wieder richtig glüht, dann schreibt man dieses.

      Logs etc können deaktiviert werden, wenn man Verbindungsnachweise speichern möchte, kann man folgende Optionen auswählen.

      Vereinigte Staaten
      Protokolle werden in den Vereinigten Staaten gespeichert. Dies ist die Standardeinstellung.

      Europäische Union
      Protokolle werden in den Mitgliedstaaten der Europäischen Union gespeichert.

      Vereinigtes Königreich
      Die Protokolle werden in London, Vereinigtes Königreich, gespeichert.

      Schweiz
      Die Protokolle werden in Zürich, Schweiz, gespeichert — einer Gerichtsbarkeit, die für ihre strengen Datenschutzgesetze bekannt ist

      • Dolly sagt:

        > kann man folgende Optionen auswählen

        Und dass diese Optionen auch das machen, was da geschrieben steht, das glauben wir einfach mal so. Grenzenlose Naivität.

  2. Sorry ich sehe da jetzt keinen Mehrwert, wenn man bereits eine Firewall-Lösung einsetzt.
    Einzig im Privatumfeld, mit einem Heim-Router, könnte es interessant sein.

  3. Frank Z(ett) ツ sagt:

    Da geb ich meinen Vorrednern Recht .. was ist nun daran anders, als zB. Cloudflare Familiy (1.1.1.2, sowie 1.1.13 .. okay, man kann es nicht extrem konfigurieren, wie NextDNS, aber es würde für die meisten Heimnetzwerke reichen).
    Dennoch ist es ein externer Dienst mit alle den Zugriffen, obwohl hoch und heilig versichert wird, das die an unsere Daten nicht rangehen und damit arbeiten.

    Denkt dran: OS/2 war damals das bessere OS, Windows hat nur gewonnen, weil es das bessere Marketing hatte und BUNT war :-)

    PS: Ich bleib bei meinen pi-hole Installationen (zuhause/beim Kunden).

  4. No sagt:

    Zuerst war ich von Pi-Hole begeistert, aber beim ersten Abruf von Online-Banking wurde mir klar, dass Manipulationen am DNS ein "rebind"-Angriff sein können. Wer den DNS-Server kontrolliert, kann auf ge-fake-te Webseiten verlinken.

    Damit ist die Frage, wem man mehr vertraut: Dem Provider mit seinen DNS-Servern, einem neuen Anbieter wie "NextDNS" oder etwas wie Pi-Hole (eine unbekannte Quelle).

    Da das Netz eine "Zero-trust-Zone" ist, sollte es eigentlich "wem mißtraut man wenigsten" heißen.

    • JohnRipper sagt:

      Vorallem sollte man deinen Aussagen misstrauen.

      piHole ist kein DNS Revolver. Zumindest nicht out-of-the-box. piHole ist nur eine Weiterleitung in deren Mitte entsprechende Links gefiltert werden. Dh du vergleichst Äpfel mit Birnen…
      Erst mit uBound wird piHole ein vollständiger Revolver.

      Das ist aber viel aufwendiger, das korrekt zu konfigurieren.

      Und im übrigem ist piHole OpenSource für das eigeneHosting. Das auf eine Stufe mit einem US Dienst zu stellen ist mal frech…

  5. 1ST1 sagt:

    Einen DNS-Dienst (eines Drittabbieters) mit einer Firewall zu vergleichen, grenzt an Blasphemie. Nein, ein DNS-Dienst ist keine Firewall, genausop wenig wie PiHole eine Firewall ist. Viel mehr würde mich ja interessieren, wie dieses NextDNS überhaupt funktioniert, ist das ein alternativer DNS-Dienst, nutzt der irgendeine Form von DNS-Security (DOH, DOT, …), ist das ein amerikanischer Dienst der dann von amerikanischen Diensten abgehorcht werden kann, usw? Übrigens rät sogar die NSA von der Nutzung von DOH ab, wenn man im eigenen Netz einen eigenen DNS (hat wohl jeder in Form eines Routers) hat, selbst wenn dieser eigene DNS kein sicheres Protokoll nutzt. https://www.bleepingcomputer.com/news/security/nsa-advises-companies-to-avoid-third-party-dns-resolvers/

  6. Blupp sagt:

    Und wieder ein Geschäftsmodell das auf der Angst und der Unwissenheit unbedarfter Inet-Nutzer basiert. Klar könnte so ein Dienst helfen die Privatsphäre zu schützen, wem soll man seine Daten aber nun schon wieder in den Rachen werfen? Die Seite führt nichtmal ein ordentliches Impressum. Mit Pi-Hole, Unbound als localem Resolver nebst vertrauenswürdigeren DNS-Servern ist man wahrscheinlich sicherer.

  7. Patrick sagt:

    NextDNS ist einer der besten Dienste aus 2020! Der Begriff Firewall ist sicherlich nicht perfekt gewählt, aber wer einmal verstanden hat was der Dienst genau tut und wie er funktioniert, wird diesen nicht mehr abgeben wollen.
    NextDNS bietet DNS over HTTPS (DoH) – und das wird in dem Kommentar von 1ST1 auch in dem Artikel der NSA empfohlen!
    Sollte CloudFlare Family künftig eine Konfigurationsmöglichkeit erhalten, dann wäre das ein ernster Konkurrent. Bis dahin ist und bleibt NextDNS einzigartig, funktioniert überall und in jedem Netzwerk, ist kinderleicht und sicher.

    • Tom sagt:

      „von NSA empfohlen" aber nur, wenn du 100% dem Anbieter vertraust.
      Dann gibt es noch ein anderes Problem, MS Cloud und Co. verbinden dich immer zu einem Knoten, welcher in deiner Nähe ist, wenn aber dein DNS Prov in US liegt, dann wirdt du dort verbunden und routet dich dann zurück zu deiner Mailbox in Europa, was eine schlechtere Performance nach sich zieht.

    • Dat Bundesferkel sagt:

      "NextDNS ist einer der besten Dienste aus 2020!"

      Zugegeben, 2020 hat sich – abseits von Waldbränden, Vulkanausbrüchen und Corona nicht viel getan. Da kann man sowas schon äußern. ^^

      Wenn Du 1ST1 schon erwähnst, solltest Du auch seine Meinung dazu berücksichtigen. Er ist alles andere als begeistert von dem Dienst. Zu Recht.

  8. Dat Bundesferkel sagt:

    "Speicherort
    Protokolle werden in den Vereinigten Staaten gespeichert. Dies ist die Standardeinstellung."

    Privacy Shield anyone?

    NextDNS ist mit Sicherheit nicht das, was ich nutzen möchte. Filter hier, Google Safe Browsing dort, kein Impressum. Dazu heilige Versprechen wie: "Wir verkaufen, lizenzieren, unterlizenzieren oder teilen keine der von unseren Benutzern direkt oder indirekt übermittelten Daten an Personen oder Organisationen (und werden das auch nie)." – woher kenne ich das nur… achja, war das damals™ nicht auch die Masche von WhatsApp?

    Achja… günstiger als ein Pi-hole… ehm… ja. 300.000 Anfragen/Monat, für unbegrenzte Anfragen 1,99 €/ Monat – Unternehmen und Bildungseinrichtungen zahlen 19,90 / Monat. Mein Pi verbraucht unter Last etwa 4 Watt pro Stunde und kostet mich somit unverschämte 0,86 € / Monat.

    Aber gut zu wissen, daß es sowas gibt. :)

  9. Info sagt:

    Wer etwas fummeln kann sollte lokal "dnscrypt-proxy" nutzen(auf Rechner oder im Netzwerk). Möglich nicht DoH, aber auch DoH TLS1.3(Disable TLS session tickets – increases privacy), und auch über UDP(ephemeral_keys – unique key for every single DNS query) verschlüsselte DNS-Kommunikations-Pakete zu verwenden. Der Hit ist zusätzlich die Kommunikation(Versand der Crypt-DNS Anfrage-Pakete über "wechselnde" Relay-Server – Der Relay Server kann mit dem verschlüsselten Paket nichts anfangen und die Ziel-DNS-Server des Vertrauens können nicht die Quelle/IP identifizieren).

    Nutzen und Machbarkeit liegen wie immer im Bereich der Belastung/DNS-Anfrage-Menge/Sicherheits-Stärke/Anonymisierung/Wartung/Vertrauen..

    DnsCrypt-Proxy
    DnsCrypt-Proxy wiki

    • Info sagt:

      In den Installationsdateien(.msi) der grafischen Benutzeroberfläche sind für Paket, Simple DNSCrypt sowie "DnsCrypt-Proxy" signierte Versionen enthalten.

      Das ist eine .NET Framework/VC++ basierte Benutzeroberfläche für "DnsCrypt-Proxy".

      Die Benutzeroberfläche bietet aber bei weitem nicht den Funktionsumfang zu dem "DnsCrypt-Proxy" fähig ist! Erleichtert aber den Einstieg und das Verständnis zur Thematik. Die aktuelle Version ist leider immer etwas "DnsCrypt-Proxy" hinterher und funktioniert oft auch nur mit der integrierten Version(die Konfigurationsdatei wird immer mit den Fähigkeiten der integrierten Version bei Änderungen gespeichert – entfernt neuere Funktionen).

      Listet LIVE die DN-Abfragen und verwendeten Server sowie Erfolg/Misserfolg/Zeiten/Ob Cache/Denied(Hosts bzw…)/usw…

      Simple DNSCrypt

  10. JohnRipper sagt:

    "Dieses Gerät verwendet derzeit "Deutsche Telekom AG" als DNS-Resolver."
    –> Stimmt überhaupt gar nicht. Ich verwende eigene Revolver.

    Fazit: Service durchgefallen

  11. Michael sagt:

    Ich setze daheim auf ein PI-hole und unterwegs auf NextDNS. Hierzu habe ich iOS-Apps installiert, die sich im Heimnetzwerk automatisch deaktiveren – Chapeu! Gute Lösung von NextDNS!
    Bei der macOS App ist das jedoch nicht so. Deshalb kann ich die nicht laufen lassen. Daheim will ich schon, dass erstmal alles über mein Pi-hole läuft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.