Private DNS Servers — Encrypted DNS to Prevent ISP Snooping

FreeGuard ermöglicht es Ihnen, zwischen vertrauenswürdigen öffentlichen DNS-Resolvern (Cloudflare, Google, Quad9, OpenDNS, AdGuard) zu wechseln und die Abfragen über den verschlüsselten VPN-Tunnel zu leiten, sodass Ihr ISP nicht sehen kann, welche Domains Sie besuchen. Wir betreiben keine eigenen rekursiven DNS-Server.

Wie DNS-Schutz in FreeGuard tatsächlich funktioniert

Anstatt unsere eigenen Resolver zu betreiben, stellen wir eine kuratierte Liste bekannter öffentlicher DNS-Anbieter bereit und senden Abfragen über den VPN-Tunnel an diese. Ihr ISP sieht nur verschlüsselten VPN-Datenverkehr, nicht die Domain-Abfragen.

Wenn Sie eine Website öffnen, fragt Ihr Gerät zuerst einen DNS-Resolver, um die Domain in eine IP-Adresse umzuwandeln. Ohne VPN geht diese Anfrage im Klartext an Ihren ISP, sodass dieser jede Domain protokollieren kann, die Sie besuchen.

Die mobilen Apps von FreeGuard enthalten einen Bildschirm für DNS-Server-Einstellungen, in dem Sie einen der unterstützten Resolver auswählen können — Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9), OpenDNS (208.67.222.222) oder AdGuard DNS (94.140.14.14). Die Desktop-App verwendet standardmäßig DoH-Anbieter (doh.pub, dns.alidns.com) und ermöglicht fortgeschrittenen Benutzern das Überschreiben über dns_config.yaml.

Sobald Sie verbunden sind, wird jede DNS-Abfrage über den verschlüsselten Tunnel an Ihren gewählten Resolver gesendet. Ihr ISP sieht nur einen verschlüsselten Datenstrom zum VPN-Server — er kann nicht erkennen, welche Domains Sie abgefragt haben.

Zur Klarstellung: Wir betreiben keinen proprietären Server „FreeGuard DNS“. Der Datenschutz entsteht durch (a) den Tunnel, der die Abfrage vor Ihrem ISP verbirgt, und (b) die Möglichkeit, einen seriösen Drittanbieter-Resolver statt des ISP-Resolvers zu wählen.

Wovor das Umschalten von DNS über den Tunnel schützt

Der Tunnel verhindert, dass Ihr ISP die von Ihnen besuchten Domains protokolliert oder filtert, und stoppt DNS-Hijacking in unsicheren Netzwerken. Er macht jedoch nicht automatisch jeden DNS-Anbieter gleichermaßen privat — Ihr gewählter Resolver sieht die Abfrage weiterhin.

ISP-Überwachung und -Filterung: Viele ISPs protokollieren jede DNS-Anfrage, blenden Anzeigen bei fehlgeschlagenen Abfragen ein oder blockieren Domains auf DNS-Ebene. DNS über das VPN zu leiten umgeht den ISP vollständig.

DNS-Hijacking in öffentlichen WLANs: Hotel-, Café- und Flughafennetze leiten DNS manchmal an Captive-Portal-Server oder bösartige Resolver um. DNS-Tunneling umgeht das lokale Netzwerk-DNS vollständig.

Vertrauensabwägung: Welchen öffentlichen Resolver Sie auch wählen (Cloudflare, Google, Quad9 usw.), er sieht weiterhin die Abfragen, die er auflöst, vorbehaltlich seiner eigenen Datenschutzrichtlinie. Der Wert von FreeGuard liegt darin, Ihnen eine Wahl zu geben und die Abfragen vor Ihrem ISP zu verbergen — nicht darin, jeden Resolver durch unseren eigenen zu ersetzen.

So verwenden Sie den DNS-Schutz

1. Schritt 1: Verbinden Sie sich mit FreeGuard. Der Standard-Resolver wird automatisch über den Tunnel angewendet — keine Einrichtung erforderlich
2. Schritt 2: (Mobil) Öffnen Sie Einstellungen → DNS Server und wählen Sie Cloudflare, Google, Quad9, OpenDNS oder AdGuard DNS
3. Schritt 3: Überprüfen Sie mit unserem DNS Leak Test unter /tools/dns-leak-test, um zu bestätigen, dass die Abfragen über das VPN ausgehen

Häufig gestellte Fragen

Betreibt FreeGuard eigene private DNS-Server?

Nein. Wir betreiben keine eigenen rekursiven Resolver. Wir leiten Ihre DNS-Abfragen über den Tunnel an bekannte öffentliche Anbieter weiter (Cloudflare, Google, Quad9, OpenDNS, AdGuard auf Mobilgeräten; standardmäßig doh.pub / dns.alidns.com auf dem Desktop).

Warum ist das besser, als einfach direkt 1.1.1.1 zu verwenden?

Aus zwei Gründen. Erstens sieht Ihr ISP ohne VPN weiterhin die Metadaten Ihres gesamten Datenverkehrs, selbst wenn Ihr DNS verschlüsselt ist. Zweitens verschiebt FreeGuard die DNS-Abfrage in den VPN-Tunnel, sodass weder Ihr ISP noch das lokale WLAN sie einsehen oder hijacken kann.

Kann ich ändern, welchen DNS-Anbieter FreeGuard verwendet?

Auf Mobilgeräten ja — Einstellungen → DNS Server zeigt die Liste der unterstützten Resolver an. Auf dem Desktop können fortgeschrittene Benutzer den Standard durch Bearbeiten von dns_config.yaml im Konfigurationsverzeichnis überschreiben.

Was sieht mein ISP, wenn ich FreeGuard mit aktiviertem DNS-Schutz verwende?

Er sieht verschlüsselten VPN-Datenverkehr zum FreeGuard-Server. Er sieht weder die DNS-Abfragen selbst noch die von Ihnen besuchten Domains oder den Inhalt — nur einen verschlüsselten Datenstrom.

Sieht der gewählte öffentliche DNS-Anbieter meine Abfragen trotzdem?

Ja. Welchen Resolver Sie auch wählen (Cloudflare, Google, Quad9 usw.), er löst die Abfrage weiterhin auf, und seine eigene Protokollierungsrichtlinie gilt. Der Tunnel verbirgt die Abfrage vor Ihrem ISP und dem lokalen Netzwerk, nicht vor dem von Ihnen gewählten Resolver.

Protokolliert FreeGuard meine DNS-Abfragen?

Nein. DNS-Abfragen laufen durch den Tunnel und werden in Echtzeit aufgelöst. Wir speichern keine Abfrageprotokolle. Unsere allgemeine Protokollierungsstrategie ist minimal; siehe den Abschnitt Datenschutz.

Ist das DNS-over-HTTPS / DNS-over-TLS?

Die Desktop-Standardkonfiguration verwendet DoH-Anbieter. Auf Mobilgeräten laufen Abfragen innerhalb des VPN-Tunnels (der selbst verschlüsselt ist), sodass die Transportverschlüsselung vom VPN bereitgestellt wird. In beiden Fällen werden Abfragen nicht im Klartext über Ihr lokales Netzwerk gesendet.

Beeinflusst das Umschalten des DNS-Anbieters die Geschwindigkeit?

Meist nur sehr wenig. Cloudflare (1.1.1.1) und Google (8.8.8.8) sind weit verbreitet und für die meisten Regionen schnell; Quad9 und AdGuard fügen Filterfunktionen hinzu, die einige Millisekunden kosten können. Wenn Sie eine Verlangsamung bemerken, wechseln Sie im Bildschirm DNS Server zu einer anderen Option.