DNS-Leaks bei der Verwendung eines VPN
- Lesen
- 8 Min.
- Kategorie
- Verbindung
Alle Proton VPN-Apps enthalten einen Schutz vor DNS-Leaks, der verhindern soll, dass von dir besuchte Websites und Ähnliches im Internet deine echte DNS-Adresse identifizieren können. Es gibt jedoch einige seltene Umstände, unter denen dein Computer diese Schutzmaßnahmen umgehen kann, was dazu führen kann, dass Dritte die IP-Adresse des von dir tatsächlich verwendeten DNS-Servers sehen können.
In diesem Artikel erklären wir, was DNS ist, wie es funktioniert und warum die manuelle Konfiguration deiner DNS-Einstellungen verhindern kann, dass unser Schutz vor DNS-Leaks korrekt funktioniert.
Was ist DNS?
Jeder Internetverbindung wird eine eindeutige numerische Kennung zugewiesen, die als IP-Adresse (Internetprotokoll-Adresse) bekannt ist. Das menschliche Gehirn ist nicht darauf ausgelegt, sich lange Zahlenketten zu merken. Deshalb identifizieren wir Internetressourcen (wie Websites und Game-Server) über benutzerfreundlichere Textzeichenfolgen, die als Domainnamen bezeichnet werden.
Das Domain Name System (DNS) ist wie ein globales Telefonbuch, das benutzerfreundliche URLs in die IP-Adressen übersetzt, die Computer verwenden.
Wenn beispielsweise die URL example.com die IP-Adresse 123.456.789.012 hat, führt dich die Eingabe von 123.456.789.012 in die Adressleiste deines Browsers zu example.com. (In der Praxis kann eine IP-Adresse mit mehreren Websites verknüpft sein, und eine einzelne Domain kann auf mehrere IP-Adressen verweisen. Aber im Grunde genommen ist es das, was DNS tut.)
DNS und Privatsphäre
Die DNS-Auflösung ist der Prozess der Übersetzung einer Domain in ihre entsprechende IP-Adresse. Sie wird von DNS-Servern durchgeführt, die standardmäßig von deinem Internetdienstanbieter (ISP) betrieben werden.
Fast alle ISPs weltweit führen Protokolle über die von ihren Kunden durchgeführten DNS-Abfragen, wodurch sie deinen Browserverlauf kennen. Obwohl ISPs deine Internetaktivitäten auch auf andere Weise verfolgen können, beschränken sich die meisten darauf, einfach DNS-Protokolle zu führen.
Obwohl dies normalerweise nicht standardmäßig der Fall ist, können von dir besuchte Websites die IP-Adresse des DNS-Servers sehen, der zur Auflösung der DNS-Abfrage verwendet wurde, die dich zu ihrer Website führt. Mit diesem Wissen können sie (oder jeder andere, der die Website beobachtet) sich an deinen ISP wenden und ihn bitten, die IP-Adresse des Kunden preiszugeben, der die DNS-Abfrage gestellt hat.
Da die DNS-Auflösung von deinem ISP durchgeführt wird, können Websites anhand der IP-Adresse des von dir verwendeten DNS-Servers feststellen, in welchem Land du dich befindest. Wenn du ein VPN(neues Fenster) oder einen Proxy verwendest, um deine echte IP-Adresse zu verbergen, aber die IP-Adresse des DNS-Servers deines ISPs offengelegt wird, kann diese Diskrepanz Websites Aufschluss darüber geben, dass du versuchst, deine wahre Identität zu verschleiern.
DNS, Proton VPN und Schutz vor DNS-Leaks
Proton VPN begegnet dieser Bedrohung durch den Betrieb eigener DNS-Server. Wie der gesamte andere Internetverkehr werden auch DNS-Abfragen durch den VPN-Tunnel geleitet, um auf unseren Servern aufgelöst zu werden.
Nach außen hin weicht deine DNS-Adresse von der IP-Adresse deines VPN-Servers ab, gehört aber zum selben Rechenzentrum. Sie stimmt daher weitgehend mit dem physischen Standort des VPN-Servers überein. (Beachte, dass IPv6-Verbindungen derzeit einfach blockiert werden, was jedoch keine Auswirkungen auf dein Interneterlebnis hat.)
Proton VPN protokolliert keine DNS-Abfragen und kann nach Schweizer Recht nicht dazu gezwungen werden, mit deren Protokollierung zu beginnen. Wir protokollieren auch nicht die IP-Adressen unserer Benutzer.
Erfahre mehr über das Bedrohungsmodell von Proton VPN
Alle unsere Apps implementieren einen Schutz vor DNS-Leaks und nutzen Firewall-Regeln sowie andere plattformspezifische Techniken, um sicherzustellen, dass kein Internetverkehr – einschließlich DNS-Abfragen – dein Gerät außerhalb der VPN-Schnittstelle erreichen oder verlassen kann.
Es gibt jedoch eine begrenzte Anzahl von Umständen, unter denen DNS-Abfragen außerhalb des VPN-Tunnels geleitet werden könnten.
DNS-Dienste von Drittanbietern
Die manuelle Konfiguration der globalen DNS-Einstellungen deines Geräts zur Nutzung eines DNS-Dienstes von Drittanbietern (wie Google Public DNS, Cloudflare oder OpenNIC) erhöht das Risiko, dass etwas schiefgeht, da die benutzerdefinierten Einstellungen möglicherweise unsere Maßnahmen zur Verhinderung von DNS-Leaks außer Kraft setzen.
Wir raten daher dringend davon ab, DNS-Dienste von Drittanbietern mit Proton VPN zu verwenden. Unten findest du Anleitungen zur Deaktivierung benutzerdefinierter DNS-Konfigurationen auf allen gängigen Plattformen.
Windows 10
1. Gehe zu Start → Einstellungen → Netzwerk und Internet → deine Netzwerkschnittstelle (z. B. WLAN oder Ethernet) → Verwandte Einstellungen → Adapteroptionen ändern.
2. Rechtsklick auf deine Netzwerkschnittstelle → Eigenschaften → Internetprotokoll, Version 4 (TCP/IPv4) → Eigenschaften.

3. Stelle sicher, dass DNS-Serveradresse automatisch beziehen ausgewählt ist, und klicke dann auf OK.

4. Wenn du eine IPv6-Verbindung hast (oder dir nicht sicher bist), wiederhole die Schritte 2 und 3 für Internetprotokoll, Version 6 (TCP/IPv6).
macOS
Öffne die Einstellungen-App und gehe zu Netzwerk → wähle deine Netzwerkschnittstelle aus (z. B. WLAN oder Ethernet) → Details… → DNS-Tab. Wähle alle von Drittanbietern angebotenen DNS-Server aus (falls vorhanden) und klicke dann auf die –-Schaltfläche, um sie zu entfernen. Klicke auf OK, wenn du fertig bist.

Linux
Jede Linux-Distribution und Desktop-Umgebung bietet eine andere (wenn auch oft sehr ähnliche) Benutzeroberfläche zum Ändern der DNS-Einstellungen. In Ubuntu GNOME zum Beispiel:
1. Gehe zu Anwendungen anzeigen → Alle → Einstellungen → Netzwerk und klicke auf das Zahnrad-Symbol neben deiner Netzwerkschnittstelle.

2. Wechsle zu den Tabs IPv4 und IPv6. Stelle unter DNS sicher, dass der Schalter Automatisch aktiviert ist, und lösche alle DNS-Einträge, die du dort siehst. Klicke auf Anwenden, wenn du fertig bist.

Android 9+
Android 9+ bietet Privates DNS, eine systemweite Funktion, die die Verbindung zu den DNS-Servern deines ISPs automatisch mittels DoT schützt (sofern dies von deinem ISP unterstützt wird – siehe unten für weitere Details), oder mit der du einen benutzerdefinierten DNS-Anbieter angeben kannst. So deaktivierst du privates DNS:
1. Öffne die Einstellungen-App und gehe zu Verbindungen → Weitere Verbindungseinstellungen → Privates DNS → Aus.

Chrome OS
Gehe zu Einstellungen → wähle deine Netzwerkschnittstelle aus (z. B. WLAN oder Ethernet. Wenn du WLAN verwendest, musst du außerdem ein bekanntes Netzwerk auswählen) → Erweitert → Nameserver und stelle sicher, dass Automatische Nameserver ausgewählt ist.

iOS und ältere Android-Versionen
Die einzige Möglichkeit, die globalen DNS-Einstellungen in iOS/iPadOS und älteren Android-Versionen als Android 9 Pie zu ändern, besteht darin, eine Drittanbieter-App zu verwenden, die eine Dummy-VPN-Schnittstelle erstellt, um zu funktionieren.
Da immer nur eine VPN-Verbindung gleichzeitig möglich ist, kannst du diese Apps ohnehin nicht parallel zu Proton VPN ausführen.
DNS over HTTPS
DNS over HTTPS(neues Fenster) (DoH) ist ein Verschlüsselungsstandard, der DNS-Abfragen an den DNS-Server verschlüsselt. DoH funktioniert nur, wenn der Standard vom DNS-Anbieter unterstützt wird, wird aber mittlerweile von einer wachsenden Anzahl von Drittanbieter-DNS-Diensten angeboten (wenn auch selten von ISPs).
Leider verschlimmert dies das Problem bei der Verwendung von Drittanbieter-DNS-Diensten, da die Verschlüsselung verhindert, dass unsere Software die DNS-Abfragen sehen kann. Dies macht es sehr schwierig, sie zu blockieren oder umzuleiten.
Wir raten daher dringend davon ab, DoH (und den ähnlichen Standard DNS over TLS) mit Proton VPN zu verwenden. Wenn du unsere Apps verwendest, werden alle DNS-Abfragen über die VPN-Verbindung an unsere Server gesendet und sind somit ohne DoH oder DoT sicher verschlüsselt.
Auf Desktop-Systemen ist DoH in der Regel in deinem Browser implementiert und wird von den meisten modernen Browsern (außer Safari) unterstützt. DoH und DoT werden auf Mobilgeräten über privates Android-DNS oder eigenständige Apps unterstützt (wie oben beschrieben).
So deaktivierst du DoH in deinem Desktop-Browser
Firefox
Gehe zu ≡ → Einstellungen → Datenschutz & Sicherheit → DNS über HTTPS → Sicheres DNS aktivieren mit: und wähle Aus.

Chrome
Klicke auf das Drei-Punkte-Symbol (vertikale Ellipse) → Einstellungen → Datenschutz und Sicherheit → Datenschutz und Sicherheit → Sicherheit → Erweitert → DNS-Anbieter auswählen und stelle sicher, dass Betriebssystem-Standard (sofern verfügbar) aus dem Dropdown-Menü ausgewählt ist.

(Gehe auf einem Chromebook zu Einstellungen → Datenschutz und Sicherheit → Erweitert)
Edge Chromium
Klicke auf das Drei-Punkte-Symbol (horizontale Ellipse) → Einstellungen → ≡ → Datenschutz, Suche und Dienste → Sicherheit und stelle sicher, dass Sicheres DNS verwenden, um anzugeben, wie nach der Netzwerkadresse für Websites gesucht werden soll auf Aus gestellt ist.

Brave
Gehe zu ≡ → Einstellungen → Datenschutz und Sicherheit→ → Sicherheit→ Erweitert und stelle sicher, dass Sicheres DNS verwenden auf Aus gestellt ist.

Deine Verbindung zum VPN-Server ist unterbrochen
Wenn die Verbindung zwischen deinem Gerät und dem VPN-Server unterbrochen wird, greifst du möglicherweise ohne den Schutz des VPN auf das Internet zu. Dies bedeutet unter anderem, dass DNS-Abfragen an den Standard-DNS-Server deines Systems gesendet werden könnten (der wahrscheinlich von deinem ISP betrieben wird).
Dieses Problem lässt sich leicht beheben, indem du die Kill-Switch-Funktion aktivierst, die mittlerweile in all unseren Apps verfügbar ist.
So prüfst du auf DNS-Leaks
1. Öffne unsere App und verbinde dich mit einem unserer Server. Für die Durchführung eines DNS-Leak-Tests macht es die Verbindung mit einem VPN in einem anderen Land einfacher, DNS-Leaks zu erkennen.
2. Besuche DNSleaktest.com(neues Fenster) in deinem Browser. Du solltest die IP-Adresse des VPN-Servers sehen, mit dem du verbunden bist. Wähle entweder einen Standard–Test oder einen erweiterten Test. Für die Zwecke dieser Anleitung wählen wir einen erweiterten Test.

3. Warte, bis der Test abgeschlossen ist, und sieh dir die Ergebnisse an. Wenn die angezeigte IP-Adresse die deines echten ISPs ist, hast du ein DNS-Leak. Bitte lies oben nach, um Lösungen zu finden.

Beachte, dass Proton VPN weltweit mit Infrastrukturanbietern zusammenarbeitet, sodass der ISP ein Drittanbieter sein kann. Solange die IP-Adresse nicht zu deinem echten ISP gehört, hast du kein DNS-Leak.