NextDNS, Teil 2

Ich hoffe, Sie haben meinen Tipp zu NextDNS ausprobiert. Nachdem Sie ein paar Abfragen gestellt haben, sollten Sie sich anschauen, was sich alles in der Logdatei findet und wo die Logdatei abgelegt wird.

Gehen Sie zuerst ganz rechts (auf Höhe von Setup, Security, …) auf Settings. Stellen Sie sicher, das “Enable Logs“ aktiviert ist und darunter die beiden Einstellungen “Privacy adjustment“ ebenso.

Dann stellen Sie sicher, dass diese Logdatei nicht zu lange aufgehoben wird. Je kürzer, desto besser. Zum Testen und ausprobieren, können Sie einen Tag oder eine Woche einstellen. Später sollten Sie auf eine Stunde gehen. Wenn Sie sicher sind, dass Sie alles so wie gewünscht eingestellt haben, sollten Sie keine Logs erstellen lassen. Dann deaktivieren Sie “Enable Logs“.

Darunter finden Sie die Einstellung, wo die Logs gespeichert werden („Storage Location“). Wählen Sie mindestens die EU aus oder besser die Schweiz, die höhere Hürden beim Datenschutz haben.

Überprüfen Sie zuletzt noch, ob CNAME Flattening aktiviert ist.

Klicken Sie links daneben auf „Logs“.

Hier sehen Sie eine chronologische Liste der DNS Abfragen. Sie können sich auch nur die anzeigen lassen, die blockiert wurden. Doch interessanter sind die, die nicht blockiert wurden, die Sie aber blockieren möchten.

Ich habe im ersten Moment einen Schock bekommen. Denn obwohl ich alles Googlige blockiere, erschien sehr häufig gstatic. Laut NextDNS muss das bei Android so sein.

gstatic ist ein Dienst, der IPv4 und IPv6 Verbindungen testet.

Laut NextDNS erzeugt Android, in dem Moment, in dem Sie Private DNS aktivieren, zufällige Domains, die so aussehen könnten:

a5a6380f-dnsotls-ds.metric.gstatic.com

Laut DNS haben die Entwickler diese Ausnahme bewusst zugelassen, damit Androids Privates DNS weiter funktioniert. Ansonsten würde man die Netzwerkverbindung gefährden ohne zu wissen, was genau vor sich geht. Weiter erklären Sie, dass Sie die speziellen zufällig generierten Domains (also a5a…) durchlassen, und nicht alles was metric.gstatic.com beinhaltet.

Was sie damit sagen wollen: Diese Domains gibt es natürlich nicht. Sie werden in Echtzeit zufällig erzeugt, dann wird eine DNS Abfrage gestellt (daher steht das in der Logliste), diese schlägt aber fehl, weil es den Namen nicht auflösen kann. Mit einer zu erwartenden Fehlermeldung ist aber sichergestellt, dass DNS funktioniert. Diese Funktionalität ist in GrapheneOS und jedem Android vorhanden. Der Code ist öffentlich und kann eingesehen werden.

Ich habe auf meinem GrapheneOS gstatic komplett blockiert, in der DenyListe, und habe bisher keinerlei Schwierigkeiten gesehen. Probieren Sie es und testen Sie es mit ipleak.net.

Wenn Sie auf einen Eintrag in der Logliste tippen, zeigt es Ihnen, wann die Anfrage abgesetzt wurde und ggf. welcher Filter zugeschlagen hat.

Tippen sie links daneben auf Analytics.

Hier sehen Sie Daten, wieviele Anfragen Sie gestellt haben, wieviele blockiert wurden und vieles mehr. Sie erkennen auf einen Blick, welche Anfragen am meisten vorkamen, welche Anfragen am meisten blockiert wurden und vieles mehr. Auch hier sehen Sie wieder, welche Filter wie oft zugeschlagen haben. Leider können Sie nicht auf einen Filter tippen und dann sehen, welche Anfragen dieser Filter blockiert hat.

Wenn Sie mehrere Geräte im Einsatz haben, sehen Sie hier ggf. eine Aufteilung.