{"id":1105,"date":"2018-01-30T19:51:32","date_gmt":"2018-01-30T18:51:32","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=1105"},"modified":"2025-11-27T07:58:11","modified_gmt":"2025-11-27T06:58:11","slug":"ipv6-dnssec-resolver-quad9","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/ipv6-dnssec-resolver-quad9\/","title":{"rendered":"IPv6 &#038; DNSSEC-taugliche Public-Resolver: Quad 9 &#038; CloudFlare &#038; Google-Public-DNS"},"content":{"rendered":"<h1>Mangelhafte UPC-DNS-Resolver<\/h1>\n<p>UPC-Telekabel bietet zwar mittlerweile IPv6-taugliche DualStack-Lite Anschl\u00fcsse \u00fcber die <a href=\"https:\/\/www.upc.at\/pdf\/agb\/internet\/connect-box-benutzerhandbuch.pdf\" target=\"_blank\" rel=\"noopener\">Connect-Box (DOCSIS 3.0 \u00fcber Koaxkabel)<\/a>, die standardm\u00e4\u00dfig verwendeten UPC-DNS-Resolver sind jedoch in mehrerlei Hinsicht mangelhaft:<\/p>\n<ul>\n<li>Keine DNSSec-Pr\u00fcfung!<\/li>\n<li>DNS-Resolver sind zwar per IPv6 erreichbar, die rekursive Aufl\u00f6sung wird jedoch nur \u00fcber IPv4 bewerkstelligt<\/li>\n<li>UPC redirected diverse Hostnamen auf &#8222;Sperr-Seiten&#8220;, so wie dies auch andere \u00f6sterreichische Access-Provider wie T-Mobile u.a. tun &#8211; eine Liste betroffener Websites (z.B. <a href=\"https:\/\/kinox.to\/\" target=\"_blank\" rel=\"noopener\">kinox.to<\/a>, <a href=\"https:\/\/thepiratebay.org\/\" target=\"_blank\" rel=\"noopener\">thepiratebay.org<\/a>, &#8230;) sind z.B. im <a href=\"https:\/\/blog.t-mobile.at\/2015\/12\/18\/netzsperre\/\" target=\"_blank\" rel=\"noopener\">T-Mobile-Blog<\/a> zu finden.<\/li>\n<\/ul>\n<p>Pr\u00fcfen kann man die &#8222;Qualit\u00e4t&#8220; seines Internet-Zuganges bzw. seines verwendeten Resolvers z.B. auf&nbsp;<a href=\"https:\/\/internet.nl\" target=\"_blank\" rel=\"noopener\">https:\/\/internet.nl<\/a>, ein DualStack-Lite Anschluss von UPC schneidet mangelhaft ab:&nbsp;<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1108 aligncenter\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite.png\" alt=\"internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang\" width=\"673\" height=\"929\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite.png 673w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-217x300.png 217w\" sizes=\"auto, (max-width: 673px) 100vw, 673px\" \/><\/p>\n<figure id=\"attachment_1109\" aria-describedby=\"caption-attachment-1109\" style=\"width: 649px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1109\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-No-DNSSEC.png\" alt=\"internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang: Kein DNSSEC-Support\" width=\"649\" height=\"596\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-No-DNSSEC.png 649w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-No-DNSSEC-300x276.png 300w\" sizes=\"auto, (max-width: 649px) 100vw, 649px\" \/><figcaption id=\"caption-attachment-1109\" class=\"wp-caption-text\">internet.nl &#8211; Test mit UPC-DualStack-Lite IPv6 Zugang: Kein DNSSEC-Support<\/figcaption><\/figure>\n<h1>Alternative: Quad 9<\/h1>\n<p>Der Anbieter <a href=\"https:\/\/quad9.net\/\" target=\"_blank\" rel=\"noopener\">Quad 9<\/a> positioniert sich als &#8222;datenschutzfreundliche Alternative&#8220; zu <a href=\"https:\/\/developers.google.com\/speed\/public-dns\/docs\/using\" target=\"_blank\" rel=\"noopener\">Googles Public-DNS Projekt<\/a>, eine Vorstellung des Anbieters findet man u.a. bei&nbsp;<a href=\"https:\/\/heise.de\/-3890741\" target=\"_blank\" rel=\"noopener\">Heise<\/a>. Das Angebot wird standardm\u00e4\u00dfig mit DNSSEC und einer &#8222;Security Blocklist&#8220; betrieben, die Security-Blocklist blockiert bekannte Malicious-Domains ohne dabei jedoch Zensur zu betreiben. Alternativ steht auch ein Nicht-DNSSEC-f\u00e4higer Resolver zur Verf\u00fcgung der auch keine Security-Blocklist implementiert.<\/p>\n<p>In den <a href=\"https:\/\/quad9.net\/faq\/\" target=\"_blank\" rel=\"noopener\">FAQ<\/a> findet man die Konfigurationsdaten wie folgt:<\/p>\n<table>\n<tbody>\n<tr>\n<td colspan=\"3\" width=\"275\"><strong>dns.quad9.net<br \/>\n<\/strong>(Security blocklist, DNSSEC)<\/td>\n<\/tr>\n<tr>\n<td>IPv4<\/td>\n<td>IPv4 secondary<\/td>\n<td>IPv6<\/td>\n<\/tr>\n<tr>\n<td>9.9.9.9<\/td>\n<td>149.112.112.112<\/td>\n<td>2620:fe::fe<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<table>\n<tbody>\n<tr>\n<td colspan=\"3\" width=\"275\"><strong>dns-nosec.quad9.net<br \/>\n<\/strong>(No security Blocklist, No DNSSEC)<\/td>\n<\/tr>\n<tr>\n<td>IPv4<\/td>\n<td>IPv4 secondary<\/td>\n<td>IPv6<\/td>\n<\/tr>\n<tr>\n<td>9.9.9.10<\/td>\n<td>149.112.112.10<\/td>\n<td>2620:fe::10<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h1>Geschwindigkeits-Test<\/h1>\n<p>Geschwindigkeit der Quad 9 Resolver, gepr\u00fcft mit einem kurzen PowerShell-Script:&nbsp;<a href=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/nameserver-speedtest.zip\">nameserver-speedtest.ps1<\/a>&nbsp;zeigt keinen Nachteil gegen\u00fcber der UPC-Nameserver, das DNS-Antwortzeitverhalten liegt in beiden F\u00e4llen bei ca. 20 Millisekunden.<\/p>\n<figure id=\"attachment_1118\" aria-describedby=\"caption-attachment-1118\" style=\"width: 484px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1118\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/Nameserver-SpeedTest.png\" alt=\"NameServer SpeedTest\" width=\"484\" height=\"477\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/Nameserver-SpeedTest.png 484w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/Nameserver-SpeedTest-300x296.png 300w\" sizes=\"auto, (max-width: 484px) 100vw, 484px\" \/><figcaption id=\"caption-attachment-1118\" class=\"wp-caption-text\">NameServer SpeedTest<\/figcaption><\/figure>\n<h1>Funktionalit\u00e4ts-Check: Quad 9<\/h1>\n<p>Erneute Pr\u00fcfung des Resolvers mittels des Online-Checks von&nbsp;<a href=\"https:\/\/internet.nl\" target=\"_blank\" rel=\"noopener\">https:\/\/internet.nl<\/a>:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1115 aligncenter\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-quad9.png\" alt=\"internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support\" width=\"668\" height=\"908\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-quad9.png 668w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-quad9-221x300.png 221w\" sizes=\"auto, (max-width: 668px) 100vw, 668px\" \/><\/p>\n<figure id=\"attachment_1116\" aria-describedby=\"caption-attachment-1116\" style=\"width: 654px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1116\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-Quad9-DNSSEC.png\" alt=\"internet.nl - Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support\" width=\"654\" height=\"602\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-Quad9-DNSSEC.png 654w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/internet-test_upc-dualstack-lite-Quad9-DNSSEC-300x276.png 300w\" sizes=\"auto, (max-width: 654px) 100vw, 654px\" \/><figcaption id=\"caption-attachment-1116\" class=\"wp-caption-text\">internet.nl &#8211; Test mit UPC-DualStack-Lite IPv6 Zugang und Quad 9 DNS: DNSSEC-Support<\/figcaption><\/figure>\n<h1>Google Public DNS<\/h1>\n<p>Zum Vergleich, die<a href=\"https:\/\/developers.google.com\/speed\/public-dns\/docs\/using\" target=\"_blank\" rel=\"noopener\"> Google Public-DNS Resolver<\/a>&nbsp;(eignen sich ebenso):<\/p>\n<table>\n<tbody>\n<tr>\n<td>IPv4<\/td>\n<td>IPv6<\/td>\n<\/tr>\n<tr>\n<td>8.8.8.8<br \/>\n8.8.4.4<\/td>\n<td>2001:4860:4860::8888<br \/>\n2001:4860:4860::8844<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h1>Cloudflare DNS Resover<\/h1>\n<p>Seit April 2018 stehen auch die (durchwegs sehr schnellen) <a href=\"https:\/\/1.1.1.1\/\">Cloudflare DNS Resolver<\/a> zur Verf\u00fcgung:<\/p>\n<table>\n<tbody>\n<tr>\n<td>IPv4<\/td>\n<td>IPv6<\/td>\n<\/tr>\n<tr>\n<td>1.1.1.1<br \/>\n1.0.0.1<\/td>\n<td>2606:4700:4700::1111<br \/>\n2606:4700:4700::1001<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h1>Nebeneffekt: Zugang zu &#8222;blockierten&#8220; WebSites<\/h1>\n<figure id=\"attachment_1121\" aria-describedby=\"caption-attachment-1121\" style=\"width: 880px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1121\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-blocked.png\" alt=\"Zugang zu ThePirateBay.org von UPC blockiert\" width=\"880\" height=\"398\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-blocked.png 880w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-blocked-300x136.png 300w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-blocked-768x347.png 768w\" sizes=\"auto, (max-width: 880px) 100vw, 880px\" \/><figcaption id=\"caption-attachment-1121\" class=\"wp-caption-text\">Zugang zu ThePirateBay.org von UPC-Nameservern blockiert<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<figure id=\"attachment_1122\" aria-describedby=\"caption-attachment-1122\" style=\"width: 951px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1122\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-OK.png\" alt=\"Aufl\u00f6sung von ThePirateBay.org mit Quad 9 unverf\u00e4lscht\" width=\"951\" height=\"535\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-OK.png 951w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-OK-300x169.png 300w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/ThePirateBay-OK-768x432.png 768w\" sizes=\"auto, (max-width: 951px) 100vw, 951px\" \/><figcaption id=\"caption-attachment-1122\" class=\"wp-caption-text\">Aufl\u00f6sung von ThePirateBay.org mit Quad 9 unverf\u00e4lscht<\/figcaption><\/figure>\n<h1>Hinweis auf DNS-Privacy, DNS-over-TLS:<\/h1>\n<p>DNS bietet (auch mit DNSSEC) keinerlei Vertraulichkeitsschutz, DNSSEC stellt lediglich Integrit\u00e4tsschutz bereit. Wer DNS-over-TLS auf Windows einsetzen m\u00f6chte, kann sich hierzu z.B. <a href=\"https:\/\/dnsprivacy.org\/wiki\/display\/DP\/Windows+installer+for+Stubby\" target=\"_blank\" rel=\"noopener\">Stubby<\/a> ansehen: Getestet, OK &#8211; funktioniert. F\u00fcr Menschen mit Vertraulichkeits-Bedarf sicherlich eine \u00dcberlegung wert, kann im Config-File auch mit den Quad9 Servern betrieben werden (welche DNS-over-TLS anbieten).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mangelhafte UPC-DNS-Resolver UPC-Telekabel bietet zwar mittlerweile IPv6-taugliche DualStack-Lite Anschl\u00fcsse \u00fcber die Connect-Box (DOCSIS 3.0 \u00fcber Koaxkabel), die standardm\u00e4\u00dfig verwendeten UPC-DNS-Resolver sind jedoch in mehrerlei Hinsicht mangelhaft: Keine DNSSec-Pr\u00fcfung! DNS-Resolver sind zwar per IPv6 erreichbar, die rekursive Aufl\u00f6sung wird jedoch nur \u00fcber IPv4 bewerkstelligt UPC redirected diverse Hostnamen auf &#8222;Sperr-Seiten&#8220;, so wie dies auch andere \u00f6sterreichische Access-Provider wie T-Mobile u.a. tun&#8230; <\/p>\n","protected":false},"author":1,"featured_media":1115,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,21,4],"tags":[117,205,206,203,200,202,204,201],"class_list":["post-1105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-netzwerk","category-security","tag-dnssec","tag-internet-nl","tag-ipv6","tag-kinox-to","tag-quad-9","tag-telekabel","tag-thepiratebay-org","tag-upc"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/1105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=1105"}],"version-history":[{"count":16,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/1105\/revisions"}],"predecessor-version":[{"id":1132,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/1105\/revisions\/1132"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/1115"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=1105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=1105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=1105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}