Empfehlungen

iOS Reloaded Teil 10b: VPN und DNS

Veröffentlicht am

Weil das Thema DNS so wichtig und so komplex ist, habe ich es in zwei Teile aufgeteilt. Dieser Teil behandelt das Zusammenspiel von VPN und DNS. Viele Datenschutzfreunde wollen beides verwenden. Das klappt nicht immer, nicht immer so, wie es gut wäre und daher hier der zweite Teil.

Wie schon beschrieben, hatte ich immer mal wieder Probleme mit AdGuard Pro und ProtonVPN. Wobei ich sagen muss, ich fand es schon gut, dass ich überhaupt beide parallel laufen lassen konnte. Der Vorteil von AdGuard Pro liegt für mich auch darin, dass der eingestellte DNS in AdGuard Pro den des VPN überschreibt. Ansonsten verwenden die meisten VPN Anbieter ihre eigenen DNS Server. Was nichts Schlechtes sein muss. ProtonVPN bietet Schutz vor Malware und Phishing Seiten und blockiert Werbung. Sie können es aber nicht nach Ihren Wünschen einstellen. Mir hat das nicht gereicht. Außerdem legt man so alle Eier in einen Korb. Manche Datenschutzfanatiker bekommen dabei Gänsehaut. Auch wenn Proton einen exzellenten Ruf hat und das Risiko hierbei sicher gering ist. Aber: Sie blockieren eben nicht alles, was ich gerne blockiert hätte.

Manchmal hat die Konfiguration von ProtonVPN und AdGuard Pro dazu geführt, dass der gesamte Internetverkehr blockiert wurde. Entweder musste ich dann AdGuard stoppen und damit waren die Werbung und die Trackings wieder da. Oder ich musste, genau in dieser Reihenfolge, erst den VPN deaktivieren, dann AdGuard, dann AdGuard wieder aktivieren und dann den VPN. Das nervt und führt bei den permanenten Verbindungen von Apple zu Datenabflüssen. Nachfragen bei Proton und bei AdGuard zeitigten dieselben Antworten: „Verwende beide nicht zusammen, sondern nur einen von beiden.“ Zu Hause war das kein Problem, aber mobil schon. Ich brauchte eine andere Lösung, nach der ich sehr lange gesucht habe.

Die meisten nativen iOS-VPN-Apps umgehen alle benutzerdefinierten DNS-Einstellungen auf dem Gerät und verwenden ihre eigenen DNS Server. Ich verwende vor allem ProtonVPN und die App erlaubt es ebenfalls nicht. Das heisst, beispielsweise dnsforge als DNS einzurichten half nicht, wenn ich ProtonVPN aktiviert hatte.

Wenn Sie die Möglichkeit haben möchten, eine VPN-Verbindung zu aktivieren, aber dennoch die Vorteile der gefilterten NextDNS-Abfragen beibehalten möchten, dann müssen Sie einen sog. DNS Leak einrichten. Das bedeutet, dass der VPN nicht mehr für Ihre DNS Abfragen verantwortlicht ist, die Daten werden also „geleakt (ein Leck)“.

Sie sollten Folgendes in Betracht ziehen:

ProtonVPN und NextDNS

Wenn Sie die native iOS ProtonVPN-App verwenden, können Sie die DNS-Serveradressen für DNS-Abfragen nicht angeben. Sie müssen den DNS von Proton verwenden, der keine benutzerdefinierte Filterung bietet. Gleichzeitig umgeht Apple manche dieser Blockierer. AdGuard hat die Möglichkeit,den ProtonVPN zu umgehen und den eigenen zu wenden. Aber: Ich wollte mich auch von AdGuard trennen, siehe oben. Die Lösung:

Sie benötigen eine Anwendung eines Drittanbieters, um die Einschränkungen von Proton mit den folgenden Schritten zu umgehen.

  • Öffnen Sie den App Store, suchen Sie nach „WireGuard“, und installieren Sie die App. 
  • Navigieren Sie zu https://account.protonvpn.com/login und melden Sie sich an.
  • Tippen Sie auf „Downloads“ und scrollen Sie nach unten zum Abschnitt „WireGuard“. 
  • Geben Sie als Gerätenamen „iOS“ ein und wählen Sie „iOS“.
  • Wählen Sie „Keine Filterung“. 
  • Wählen Sie entweder einen gewünschten Server oder akzeptieren Sie die Standardoption.
  • Tippen Sie auf „Erstellen“ und dann auf „Herunterladen“, wenn Sie dazu aufgefordert werden. 
  • Starten Sie die WireGuard-Anwendung auf dem iPhone.
  • Tippen Sie auf die Schaltfläche „+“, um einen Tunnel hinzuzufügen. 
  • Wählen Sie „Aus Datei oder Archiv importieren“ und wählen Sie Ihre heruntergeladene Datei aus. 
  • Bestätigen Sie alle Aktionen und geben Sie bei Bedarf die PIN ein. 
  • Aktivieren Sie den Verbindungsumschalter und autorisieren Sie die Anfrage.
  • Navigieren Sie zu https://my.nextdns.io und melden Sie sich mit Ihrem Konto an.
  • Tippen Sie auf der Registerkarte „Einrichtung“ unter „Verknüpfte IP“ auf „IP verknüpfen“. 
  • Kopieren Sie den ersten DNS-Server, der oberhalb der „Verknüpften IP“ aufgeführt ist. 
  • Kehren Sie zur WireGuard App zurück und wählen Sie Ihre neue Verbindung aus.
  • Klicken Sie auf „Bearbeiten“, um die Details zu ändern.
  • Fügen Sie die NextDNS-IP-Adresse in das Feld „DNS-Server“ ein.
  • Klicken Sie auf „Speichern“.

Solange diese WireGuard-Verbindung aktiviert ist, sollten Sie einen VPN-Dienst über ProtonVPN und DNS-Filterung über NextDNS haben. Testen Sie dies, indem Sie einen DNS-Leaktest online unter https://www.dnsleaktest.com durchführen. Das Ergebnis sollte NextDNS identifizieren (in selten Fällen wird nur die Firma angezeigt, bei der NextDNS den Service betreibt, bspw. Misaka Networks). Öffnen Sie dann Ihr NextDNS-Portal und überprüfen Sie die Protokolle. Wenn Sie die Protokollierung aktiviert haben, sollten Sie Verbindungen und die Filterung innerhalb des iPhones sehen. Sie können auch im NextDNS Portal auf den Tab „Installation“ tippen. Der zeigt Ihnen ebenfalls an, ob Sie NextDNS verwenden. Ein grüner Kreis mit dem Text „Alles in Ordnung“ bestätigt, dass Sie NextDNS verwenden.

Die offizielle ProtonVPN-Anwendung ist nicht mehr erforderlich, es sei denn, Sie möchten andere Server ohne DNS-Filterung oder den Filtern von ProtonVPN auswählen.

Das alles funktioniert, weil wir ein ProtonVPN-Profil für einen bestimmten VPN-Server erstellt haben, der immer die gleiche IP-Adresse hat. Wir haben uns mit dieser IP-Adresse verbunden und sie mit unserem NextDNS-Konto verknüpft. Dadurch wird NextDNS angewiesen, die Filterung nur von dieser IP-Adresse aus anzuwenden, und auch nur dann, wenn der zugewiesene DNS-Server in Gebrauch ist, den wir auch WireGuard zur Verfügung gestellt haben.

Wenn Sie mehrere VPN Server in mehreren Ländern „zu Hand haben wollen“, führen Sie die oben beschriebenen Schritte mehrmals durch. Bedenken Sie aber: Wechseln Sie den VPN-Server in der WireGuard App, dann müssen Sie in NextDNS die IP Verknüpfung neu laden.

MullvadVPN und NextDNS

Wem das mit ProtonVPN und Wireguard und NextDNS zu aufwändig oder nervig ist, dem kann ich noch MullvadVPN empfehlen.
Wer den Blog schon länger liest, weiss, dass ich zwei VPN Anbieter habe: ProtonVPN und MullvadVPN.
Auf einem iOS Gerät ist die Verwendung von MullvadVPN unter Verwendung von NextDNS einfacher. Sie benötigen keine zusätzliche Wireguard App und müssen auch keine Profile herunterladen.
MullvadVPN bietet an, einen eigenen DNS einzurichten.

  • Laden Sie die MullvadVPN App aus dem App Store.
  • Starten Sie die MullvadVPN Anwendung und loggen sich mit Ihrem Konto ein.
  • Einstellungen > VPN Settings.

MullvadVPN bietet an, bestimmte „Schädlinge“ zu blockieren. Sie haben aber keinen Einfluß darauf, welche sie blockieren. Das kann mal zu wenig, mal zu viel sein. Wenn Ihnen das aber reicht, und Sie NextDNS sowieso nicht wollen, ist das eine gute Wahl.
DNS Content Blocker: Wählen Sie aus, was Sie blockieren wollen. Verwenden Sie NextDNS, können Sie diese alle deaktiviert lassen.
Der Bereich Use Custom DNS ist für uns relevant:

  • Aktivieren Sie MullvadVPN.
  • Gehen Sie in Ihren Safari Browser und dort auf Ihr NextDNS Konto. Dort gehen Sie auf den Tab „Installation“.
  • Suchen Sie den Bereich „Verknüpfte IP“. Wenn Sie unter DNS Server „Verknüpfte IP“ ein kleines Rad rechts neben der IP Adresse sehen, dann tippen Sie darauf.
  • Kopieren Sie die DNS IP Adressen darüber und tragen diese in der MullvadVPN unter „Use Custom DNS“ ein. Es ist gute Praxis, immer zwei zu verwenden. MullvadVPN verbindet sich neu.
  • Gehen Sie zurück in Safari und schauen Sie unter Installation, ob Sie einen grünen Punkt und den Text „Alles in Ordnung“ sehen.

Das war es.
Wann immer Sie den VPN von Mullvad ändern, auf einen anderen Server oder ein anderes Land, müssen Sie die „Verknüpfte IP“ aktivieren, in dem Sie auf das Rad rechts neben der IP tippen. Analog zu ProtonVPN.

Hurra. Ich habe die finale Lösung, die ich gesucht habe.

Fazit

Lohnt sich das alles? Das können nur Sie entscheiden. Ich selber verwende die reine ProtonVPN Anwendung fast gar nicht mehr. Ich habe mir mehrere Profile von ProtonVPN herunter geladen, diese in WireGuard importiert, den DNS pro Profil (siehe oben) aktiviert und bin damit zufrieden. Je nach Lust und Laune wechsle ich zwischen ProtonVPN und MullvadVPN.

Beim Wechseln des WireGuard Profils, müssen Sie die Link IP Adresse ändern, egal bei welchem VPN Anbieter.

Wenn Sie also häufig den Serverstandort ändern, aus welchen Gründen auch immer, vielleicht weil Sie in der Schweiz Dienstag und in Österreich Mittwoch Champions League schauen wollen, dann müssten Sie die verknüpfte IP Adresse in NextDNS aktualisieren. Das wollen viele nicht, Bequemlichkeit ist King. Dann ist auf jeden Fall Mullvad die etwas einfachere Lösung.

, , , ,