Sperre von freien DNS-Servern: So umgeht man die Blockade

Ein eigener lokaler Caching-DNS-Server ist eine geeignete Lösung, wenn die Provider die TCP- und UDP-Ports 53 sperren oder den Verkehr fälschen, um weiterhin freie DNS-Server nutzen zu können. Wenn Provider jedoch damit beginnen, Technologien wie Deep Packet Inspection (DPI) zu nutzen, dann hilft der eigene lokale DNS-Server zunächst nicht weiter. In diesem Fall muss der DNS-Verkehr getunnelt werden.

Auch wenn die einmalige Installation einen gewissen Aufwand erfordert, lohnt sich die Mühe. Da bind sowohl quelloffen als auch für nahezu jede Plattform verfügbar ist, lässt sich der Quellcode bei weiteren Sperr- und Zensuraktionen der Provider so anpassen, dass eine verschlüsselte Tunnelung zu freien DNS-Servern möglich ist.

Die generelle Entwicklung weg von der Netzneutralität und hin zur informationellen Einbahnstraße, wie sie Vodafone bereits jetzt praktiziert, kann nur als äußerst bedenklich eingestuft werden. Während die Provider in den USA zur Netzneutralität verpflichtet werden, beginnen sie in Deutschland mit der wohlwollenden Duldung durch Regierung und Regulierungsbehörde damit, immer mehr Verkehr zu blockieren und zu fälschen. Das Internet verkommt so zum kontrollierten und zensierten Web- und E-Mail-Dienst. Die Entwicklung neuer Anwendungen und Protokolle wird stark behindert.

Hinweis der Redaktion

Die ursprüngliche Fassung des Artikels ging davon aus, dass alle Vodafone-UMTS-Kunden keinen Zugang zu freien DNS-Servern erhalten. Dies gilt jedoch nur für Teile des Netzes in Abhängigkeit vom genutzten APN. Ferner leitet Vodafone keinen Traffic auf eigene Server um, wie ursprünglich angenommen, sondern sperrt jeglichen Traffic auf UDP-Port 53 mit Ausnahme der hauseigenen DNS-Server. In diesem Zusammenhang Dank an Vodafone für den detaillierten technischen Input, der zur genaueren Analyse der Situation beitragen konnte.

Themenseiten: Privacy, Security-Praxis, Server, Servers, Storage, Storage & Server, Zensur

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

57 Kommentare zu Sperre von freien DNS-Servern: So umgeht man die Blockade

Kommentar hinzufügen
  • Am 10. August 2015 um 19:29 von Anja

    @ Hosts
    Vielen Dank für die Hilfe, aber ein Ping beim Bekannten durchzuführen geht nicht, weil die Linux-Ubuntu aufgespielt haben. Darüberhinaus konnte ich die IP-Adresse der gewünschten Seite nicht ermitteln, um sie dann eintragen zu können.

  • Am 9. August 2015 um 22:09 von Anja

    Hallo,
    hab vor kurzem den Provider gewechselt und bin nun offensichtlich beim Zensurprovider Vodafone gelandet, denn der öffnet eine harmlose, aber systemkritische Seite nicht, nachdem er das 3 Tage nach Neuanschluss aber problemlos tat. Die Seite hat einen Notfallblog, der sich öffnen ließ, da sie öfter von Ddos-Attacken heimgesucht waren, aber aktuell ist bei denen alles OK. Ich hab schon über verschiedene freie DNS-Server versucht, das Problem selbst zu beheben, jedoch ohne Erfolg. Vermutlich sind auch die von ihm gesperrt. Nun bin ich auf diese Seite gestoßen und hab alles nach Anleitung gemacht, bis zur Kommandozeile unter Administratorenrechten, es erscheint beim Öffnen: „C:\Windows\system32<" dann gebe ich wie oben "c:" und Enter ein, dann folgt "cd bindbin" Enter – und dann folgt die Fehlermeldung "Das System kann den angegebenen Pfad nicht finden" Was läuft da wohl falsch?
    Danke im Voraus.
    Gruß,
    Anja

    • Am 10. August 2015 um 9:20 von Hosts

      Hab jetzt nicht die Beschreibung oben gelesen, ist mir zu lang, aber offensichtlich hast Du kein Verzeichnis namens ‚bindbin‘ auf Deinem Windows System.

      Mein Tipp wäre, dass Du bei einem Bekannten aus einem Windows Cmd Fenster heraus ein ‚ping ‚ durchführst (z.b. ‚ping http://www.zdnet.de‚) und dann die ermittelte IP Adresse (z.B. 17.212.2.45, das Beispiel ist ausgedacht) bei Dir fest in die hosts Datei einträgst (liegt unter c:\windows\system32\etc\hosts). Da dann einfach IP Adresse und den Servernamen (siehe enthaltenes Beispiel) eintragen und einmal dahinter ‚Return’/’Enter‘ drücken, um sicher die Zeile abzuschließen. Wenn sich die Datei nicht einfach überschreiben lässt, dann unter einem anderen Namen ins selbe Verzeichnis speichern, und dann die alte hosts Datei in hosts.old umbenennen/sichern, und die neue in ‚hosts‘ (ohne txt Endung) umbenennen.

      Dann wird der DNS umgangen, und man greift direkt auf die gewünschte Webseite zu.

  • Am 13. Oktober 2009 um 13:44 von Fritz

    Sperre freier DNS-Server
    nutze seit einiger Zeit unter T-Online 2 freie DNS Server. Seit dem 13.Oktober bekomme ich aber keine DNS Antworten mehr ,obwohl die Server aktiv sind. Getestet habe ich mit mit den Programmen „Ping“ und „nslookup“.

    Hatte bisher gedacht ,das sowas nur in China oder Diktaturen möglich ist.

    Gruß Fritz

    • Am 13. Oktober 2009 um 14:05 von Christoph H. Hochstätter

      AW: Sperre freier DNS-Server
      Wenn die zwei freien Server auf nslookup antworten, dann sind sie auch von T-Online nicht gesperrt. Da muss ein anderes Problem vorliegen.

  • Am 12. Oktober 2009 um 0:58 von U. Häring

    Rechtsfreier Raum?
    Ich bin immer wieder erstaunt, dass so gar nicht darauf eingegangen wird, dass im Internet nicht sein kann, was auch sonst verboten ist. Der Zoll überwacht völlig selbstverständlich Warenlieferungen nach Deutschland – auch private. Wir haben uns nur noch nicht daran gewöhnt, dass Illegales auch im Internet strafbar ist. Das ewige Beispiel des „versehentlichen Klicks“ nervt langsam. Und Kinderpornographie will doch sicher keiner.
    Natürlich lösen weder die Beschlagname von Drogen noch die Sperre von Seiten irgendwelche Probleme. Aber sie machen kriminelles Handeln schwieriger. Gelegenheit macht Diebe, sagt ein Sprichwort. Hier werden Gelegenheiten verringert. Kein Provider hat Interesse, Datenverkehr zu behindern, schließlich sind illegale Inhalte das eigentliche Hauptargument für schnelle Datendienste, die auch den Providern viel Geld bringen. Wenn wir unseren Staat ernst nehmen, muss er auch die Möglichkeit haben, Gesetze im Internet durchzusetzen. Und da ist mir eine Seitensperre allemal lieber als ein „privater“ Filter direkt auf meinem Rechner.
    Und noch etwas: Informationelle Selbstbestimmung heißt nicht, dass ich alle Informationen kriegen darf, sondern, dass nicht alle alles über mich wissen dürfen.

    • Am 12. Oktober 2009 um 14:57 von Mark Login

      AW: Rechtsfreier Raum?
      es geht hier nicht nur um die versehentlichen Klicks, wer öfter im Internet unterwegs ist weiß ganz genau wie oft man automatisch auf völlig andere Seiten umgeleitet wird ohne dass man das verhindern kann.
      Genau da liegt doch der Hase im Pfeffer, wenn man daran denkt, dass die CDU jeden der so ein Stopschild zu Gesicht bekommt strafrechtlich verfolgen wollte erkennt man erstmal was wirklich dahinter steckt, Unwissen oder Vorsatz? …jeder ksann sich das entstehende Szenario selbst ausdenken, Manipulation ohne Ende, das wäre wirklich das Ende.

      • Am 12. Oktober 2009 um 20:14 von Saimen

        AW: AW: Rechtsfreier Raum?
        Dem kann ich nur uneingeschränkt zustimmen; ich habe beruflich sehr viel im Internet zu tun, weiß um diese Gefahren und warum es notwendig ist, sich dagegen zu wehren.

        Übrigens: Ab heute nachmittag hatten sämtliche Rechner in unserem Netz, die in den Windows-Einstellungen über freie DNS-Server konfiguriert waren, keinen Zugriff mehr auf DNS-Services. Vodafone hat also still und heimlich damit begonnen, den DNS-Traffic zu blockieren. Wir sahen uns also gezwungen, die IPs der Vodafoneserver einzutragen bzw. an einigen sensiblen Rechnern bing zu installieren.

        Gruß,
        Saimen

        • Am 13. Oktober 2009 um 13:24 von Christoph H. Hochstätter

          AW: AW: AW: Rechtsfreier Raum?
          Wir konnten inzwischen gemeinsam mit Saimen abklären, dass Vodafone defintiv im DSL-Netz derzeit keine Sperre von freien DNS-Servern vornimmt.

          Weiter konnte ZDNet aus mit der Vodafone-Technik vertrauten Kreisen erfahren, dass die Sperre im UMTS-Netz technisch bedingt sei und nicht in Zusammenhang mit Internetzensurgesetz stehe.

          Eine Aufhebung der Sperre befinde sich derzeit in der Diskussion.

  • Am 8. Oktober 2009 um 21:47 von Faker

    Internetverbindung über Router
    funktioniert das hier beschriebene auch wenn der Internetzugang über ein Netzwerk mit Router geschieht?

    • Am 12. Oktober 2009 um 10:58 von Christoph H. Hochstätter

      AW: Internetverbindung über Router
      Ja, mit einem Standard-NAT-Router, etwa einer Fritzbox, gibt es in der Default-Konfiguration keine Probleme.

      • Am 21. Oktober 2009 um 20:07 von Faker

        AW: AW: Internetverbindung über Router
        Ich benutze eine FritzBox und es funktioniert nicht. Erst wenn ich in der Zeile forwarders port 110 auf 53 ändere dann funktioniert es. Ich habe keine Ahnung woran es liegen könnte, ich vermute an der FritzBox, die Windows Firewall ist deaktiviert.

        • Am 23. Oktober 2009 um 15:34 von Faker

          AW: AW: AW: Internetverbindung über Router
          Danke, hat sich erledigt, ein Kommentar weiter oben war hilfreich. Ich verwende auch Antivir und sobald ich die Mail Überwachung deaktiviert habe gehts auch mit dem DNS Server über Port 110. Nicht nur das dieses beknackte Antivir Premium laufend Fehlalarme liefert, nö es macht auch wie weiter oben beschrieben den Port 110 dauerhaft zu. Na gut suche mir was neues und dann geht das Teil ab in die Tonne.

  • Am 6. Oktober 2009 um 15:16 von Saimen

    AntiVir Premium Mailguard
    AntiVir Premium Mailguard blockiert den Port 110, so dass die DNS-Umleitung über diesen Port nicht funktioniert. Ich habe mich an das Avira Support Forum gewendet, die Antwort dort lautet:

    „Man sollte niemals Standard-Ports für Sachen verwenden, für die sie nicht gedacht sind.“

    Was soll ich denn jetzt davon halten?

    Gruß, Saimen

  • Am 3. Oktober 2009 um 22:58 von Sebastian Gebhard

    Aus dem Vertrag?
    Hallo,

    WÜRDE Vodafone die Blockade der alternativen DNS auf sein DSL-Angebot ausweiten, wäre das dann evtl. ein Grund für eine außerordnetliche Kündigung des Vertrags wegen Nichterbringung der Leistung? Schließlich kann sich VF (noch) auf keine gesetzliche Grundlage zu dieser Maßnahme berufen.

    Ist das vllt sogar der Grund, dafür, dass man die Blockade bei den teuren Tarifen nicht ansetzt? Weil dort das Abspringen der Kunden mehr weh tun würde?

    Viele Grüße und danke für diesen Artikel!

    • Am 4. Oktober 2009 um 20:53 von Christoph H. Hochstätter

      AW: Aus dem Vertrag?
      Das ist eine Frage, die vermutlich nur gerichtlich entschieden werden kann. §2 Abs. 2 des Internetzensurgesetzes sagt: "Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt."

      Das ist so wachsweich formuliert, dass es alles und nichts heißen kann. Die Zugangssperre von freien DNS-Servern ist in diesem Text weder explizit verboten noch erlaubt.

  • Am 1. Oktober 2009 um 22:00 von Ernst Haft

    Danke…
    …an zdnet und Christoph für diesen Artikel. Als (leider noch) VF Nutzer habe ich schon im Juli merkwürdige Dinge (Seiten timen out, obwohl sie über einen http-proxy erreichbar sind) bei der (vermeintlichen) Nutzung alternativer DNS via VF-UMTS festgestellt, die ich mir (naiv!) nicht erklären konnte. Und das, obwohl ich (dachte, ) beste Verbindungen zu Leuten, die dort arbeiten, zu haben.

    Ich finde es einfach ekelerregend, daß unser tolles "freies" Land mit dem Finger auf China zeigt und gleichzeitig solcher widerlichen Zensurschweinereien möglich sind und danke Dir deshalb für deinen Artikel. Gott oder wer auch immer weiß, welche internen Deals zwischen C*U und Vodafone laufen, daß dort in einem derart offensichtlichen vorauseilendem Gehorsam die Steuerung des Informationsflusses an das Wahlvieh betrieben wird (Herr Ellerbeck wird hier schon seinen Einfluß haben). Ich finde es einfach nur erbärmlich, daß jeder, der seinen Anspruch auf Rezipientenfreihet bedienen will, inzwischen den Wissensstand eines Fachinformatikers braucht. Oder ich sehe es positiv: Das ganze ist in Wirklichkeit ein staatliches Fortbildungsprogramm, Thema: "IP-Technologie".

    PS: Euer Captcha ist Sch*.

  • Am 1. Oktober 2009 um 20:37 von Rüdiger

    Codierung von named.conf
    Sorry, mit welcher Codierung muß man "named.conf" denn speichern?
    Ich bekomme immer nur Fehler wie

    C:bindbin>named.exe -g
    01-Okt-2009 20:32:21.203 starting BIND 9.5.2 -g
    01-Okt-2009 20:32:21.203 found 2 CPUs, using 2 worker threads
    01-Okt-2009 20:32:21.212 loading configuration from ‚C:bindetcnamed.conf‘
    01-Okt-2009 20:32:21.212 C:bindetcnamed.conf:2: unknown option ‚áádirectory‘
    01-Okt-2009 20:32:21.213 C:bindetcnamed.conf:3: unknown option ‚ááallow-query

    01-Okt-2009 20:32:21.213 C:bindetcnamed.conf:4: unknown option ‚áámax-cache-s
    ize‘

    Viele Grüße

    Rüdiger

    • Am 1. Oktober 2009 um 20:52 von Christoph H. Hochstätter

      AW: Codierung von named.conf
      Die named.conf kommt mit dem US-ASCII-Zeichensatz (0-127) aus. Umlaute und andere diakritische Zeichen kommen nicht vor.

    • Am 1. Oktober 2009 um 21:50 von Ernst Haft

      AW: Codierung von named.conf
      die "àà"-Fehler entstehen unter einigen Konstellationen, wenn man die vorgegebenen Dateiinhalte aus dem Artikel kopiert, je nach Browser. Es mag etwas doof klingen, aber eine funktionierende Lösung ist, jedes Leerzeichen zu löschen und erneut selbst zu tippen. Bei mir hat das funktioniert. Vermutlich ein Zeichensatzproblem.

      Christoph, ggf. bitte in den Artikel übernehmen. Betrifft mindestens Opera.

      • Am 3. Oktober 2009 um 16:53 von Rüdiger

        AW: AW: Codierung von named.conf
        Danke!

        ist wohl in Problem von Opera und/oder Notepad++ beim Kopieren der Beispieldateien…

        Für alle Avira Antivir Premium Benutzer:
        standardmäßig lauscht der MailGuard an Port 110 zwecks pop3 Abfrage – den mußte ich deaktivieren, falls ich dort mit DNS Servern Kontakt aufnehmen wollte

        • Am 5. Oktober 2009 um 19:44 von Saimen

          AW: AW: AW: Codierung von named.conf
          Genau das war auch mein Problem. Nun stellt sich die Frage: Wie kann man den AntiVir-Mailguard zusammen mit der DNS-Umleitung nutzen? Ist das ein Fall für den Avira-Support?
          Saimen

  • Am 1. Oktober 2009 um 17:34 von Hamsta

    Mir sogar aktuell passiert
    Ich hatte letzte Woche sogar das Problem, dass ein Kunde über VF UMTS keinen Zugriff auf eine Domain hatte. Grundlos und vorallem ohne Nachricht von VF! Es fängt also schon an…

  • Am 1. Oktober 2009 um 11:59 von Saimen

    forward only
    Mein Provider ist Vodafone (ehem. Arcor). Deshalb habe ich bind exakt nach Ihrer Beschreibung installiert. Alles funktioniert, solange ich nicht diese beiden Zeilen in named.conf einfüge:

    forward only;
    forwarders { 85.214.117.11 port 110; 209.59.210.167 port 110; 87.118.100.175 port 110; 62.141.58.13 port 110; };

    Dann erhalte ich beim Test mit "host -a example.com 127.0.0.1"
    ;; connection timed out; no servers could be reached

    Liegt der Fehler bei mir oder ist hier bereits Vodafone am Werk?

    Danke und Gruß,
    Saimen

    • Am 1. Oktober 2009 um 12:44 von Christoph H. Hochstätter

      AW: forward only
      Hier vermute ich, dass eine Personal-Firewall den Traffic auf den Ports 110 (TCP und/oder UDP) blockt.

      Am besten Firewall kurz ausschalten. Ausprobieren. Wenn es dann geht, TCP- und UDP- Port in beide Richtungen freischalten und Firewall wieder aktivieren.

      • Am 5. November 2009 um 1:26 von MadmaXwe

        AW: AW: forward only
        gleiches prob
        Test mit „host -a example.com 127.0.0.1“ ==>
        ;; connection timed out; no servers could be reached
        upd und tcp 110 offen (windows firewall)
        rooter oder andere firewall nicht vorhanden
        lasse ich 127.0.0.1 weg bekomme ich normal antwort vom vf-dns
        nutze „N24-surfstick“

  • Am 1. Oktober 2009 um 10:29 von H.Barten

    Fehler 1069
    Ich bekomme den ISC BIND Servive nicht gestartet wegen "fehlerhafte Anmeldung".
    Fehler 1069.
    Nur als Lokales System startet er.
    Hat das negative Auswirkungen?

    ipconfig /all zeigt als DNS-Server 127.0.0.1
    Können die anderen Einträge gelöscht werden?
    Mit welchem DNS-Server verbindet sich diese BIND-Konfiguration eigentlich?

    H.Barten

  • Am 30. September 2009 um 12:44 von Dave-Kay
  • Am 30. September 2009 um 10:41 von Templerknight

    Wie wurde getestet
    ich hatte dies mal ausgetestet, und kann diesen Bericht allerdings nicht bestätigen.

    Wenn ich die Vodafone Software nehme, und trage dort einen freien DNS ein, und baue anschließend die Verbindung auf, dann wird mir der DNS von Vodafone angezeigt. In der Vodafone Software steht allerdings noch der freie DNS.

    Wenn ich aber manuell ein DFÜ-Netzwerk anlege, und trage dort einen freien DNS ein, und baue die Verbindung auf, dann wird mir auch der freie DNS angezeigt.

    Denn ersten Teil finde ich zwar auch kritisch, aber aufgrund der aktuellen Gesetzgebung werden wir wohl mehr damit zu tun haben. Hier werden aber keine Daten verfälscht.

    Wenn ich das DFÜ-Netzwerk manuell anlege, dann kann ich meinen DNS frei wählen.

    Nun verstehe ich nicht, warum hier Daten verfälscht werden sollten?

    Vielleicht habe ich es ja nicht verstanden!?!?!?!?

    • Am 30. September 2009 um 10:47 von Christoph H. Hochstätter

      AW: Wie wurde getestet
      Die Fälschung besteht darin, dass man zwar einen freien DNS-Server eintragen kann, aber Vodafone den Traffic abfängt und durch eine eigene Antwort ersetzt, die so aussieht, als käme sie vom freien DNS-Server.

      • Am 30. September 2009 um 11:28 von Thomas

        AW: AW: Wie wurde getestet
        Eine Antwort auf die Frage wie gestest wurde ist das ja nicht wirklich.
        Eine Stellungnahme zum Beschriebenen Verhalten dees Users, das im Widerspruch zum Artikel steht, wäre nett gewesen.

      • Am 1. Oktober 2009 um 11:40 von Templerknight

        AW: AW: Wie wurde getestet
        ich habe mir die Homesite angeschaut, worauf Ihr Euch in diesem Artikel bezieht.

        Leider finde ich dort keine Hinweise, wie das Testing erfolgt ist.

        Könnt Ihr bitte diese Informationen noch liefern?

        Vielleicht könnt Ihr mir auch ein Testszenario nennen, damit ich dies reproduzieren kann.

        Vielen Dank!
        Templerknight

        • Am 1. Oktober 2009 um 12:34 von Christoph H. Hochstätter

          AW: AW: AW: Wie wurde getestet
          Das haben wir getestet, indem wir eine DNS-Anfrage mittels ‚host‘ an einen freien DNS-Server gesendet haben. Dabei konnten wir feststellen, dass a) diesen Server erst gar keine Anfrage erreicht und b) nicht die richtige Antwort zurückkommt.

          Die Germany Privacy Foundation hat das erstmals festgestellt. Wir haben das nachvollzogen, was jedermann sehr leicht selbst machen kann. Da einige Leser in ihren Kommentaren von ihrem Vodafone-DSL-Anschluss sprechen, möchte ich noch einmal ausdrücklich darauf hinweisen, dass Vodafone die Sperren von freien DNS-Servern derzeit NUR im UMTS-Netz, NICHT aber im DSL-Netz vornimmt.

          Um selber zu testen, installiert man BIND wie im Artikel beschrieben. Der Dienst muss nicht gestartet werden. Wichtig ist, dass man die Dateien host.exe und dig.exe mit ihren zugehörigen DLLs im Verzeichnis C:BINDBIN hat.

          Danach wechselt man auf der Kommandozeile in dieses Verzeichnis und gibt "host -t txt -c ch version.bind ns2.free-germany.com" oder "dig @ns1.free-germany.com version.bind txt ch +short" ein. Als Antwort sollte "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter" erscheinen. Immer wenn keine oder eine andere Antwort kommt, wird der DNS-Traffic abgefangen und die Antwort durch eine vom Provider ersetzt.

          • Am 2. Oktober 2009 um 15:21 von Templerknight

            AW: AW: AW: AW: Wie wurde getestet
            vielen Dank für die Rückantwort und Information.

            Ich habe mich daran gehalten, und kann diesen Artikel aber nicht gestätigen.

            Mein Notebook war mit WinXP SP3 (frisch aufgesetzt) und der Vodafone Software (Version 9.4.3.16284) und einer Express-Karte von Option ausgestattet. Ich habe nur unter UMTS getestet. Auch habe ich mehrere freie DNS und den DNS von Vodafone (139.007.030.125) genommen.

            Ich habe die DNS-Adressen in der Vodafone-Software eingetragen (also kein manuelles DFÜ-Netz). Die Bind-Software habe ich auf diesem System installiert.

            Folgenden Host-Befehl habe ich verwendet:
            host -t txt -c ch version.bind ns2.free-germany.com

            Folgende Rückmeldung hatte ich bekommen:

            Using domain server:
            Name: ns2.free-germany.com
            Address: 85.214.117.11#53
            Aliases:

            version.bind descriptive text "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter"

            Diese Information sollte ich ja nicht bekommen, wenn die DNS-Daten geändert werden. Oder habe ich etwas falsch verstanden?

            In welchem Zeitraum wurde denn getestet?

          • Am 3. Oktober 2009 um 13:31 von Christoph H. Hochstätter

            AW: AW: AW: AW: AW: Wie wurde getestet
            Wir stehen inzwischen mit Vodafone in Kontakt. Die Sache ist komplexer als angenommen: Für UMTS-Kunden mit Laufzeitvertrag (Nutzung des APN web.vodafone.de) findet keine Sperre des DNS-Traffic an freie Server statt.

            Kunden mit Pre-Paid-Vertrag/CallYa oder Laufzeitvertragskunden die optional den Websessions-Zugang wählen (APN event.vodafone.de) wird aller ausgehender Verkehr an UDP-Port 53 geblockt, der nicht an die Vodafone-DNS-Server geht, die demnächst zensiert werden.

            Ich werde den Artikel übers Wochenende anpassen, dass alles wieder stimmt. Ich muss zugeben, dass ich nicht gedacht habe, dass Vodafone einem Teil seiner Kunden (mit teuren Tarifen) die Nutzung fremder DNS-Server erlaubt, bei Nutzung einer günstigen Tagesflatrate jedoch untersagt.

            Nur ein kleiner Hinweis vorweg. Wer eine Karte hat, die sowohl den APN web.vodafone.de als auch event.vodafone.de nutzen darf, sollte seine Einstellungen nicht vorschnell auf web.vodafone.de ändern, um die Sperre zu umgehen. Je nach Tarif kann das mit sehr hohen Kosten verbunden sein.

          • Am 2. Oktober 2009 um 15:59 von Christoph H. Hochstätter

            AW: AW: AW: AW: Wie wurde getestet
            Ich konnte das Ende August im Raum München nachvollziehen. Die German Privacy Foundation hat es nach eigenen Angaben im Juli festellen können.

            Ich werde am Wochenende schauen, wie das zusammenhängt.

          • Am 30. März 2011 um 1:27 von RalphGL

            Vodafone hat scheinbar Port53 Umleitung auf DSL ausgeweitet
            Scheinbar hat zwischenzeitlich Vodafone den Eingriff in die Kommunikation über Port 53 auf DSL ausgeweitet, so dass ich als ehemaliger ARCOR und von Vodafone übernommener Kunde ebenfalls betroffen bin. Eine Anfrage hierzu habe ich heute an Vodafon gesendet. Ich bin auf die Antwort gespannt.

          • Am 1. April 2011 um 15:00 von RalphGL

            AW: Vodafone hat scheinbar Port53 Umleitung auf DSL ausgeweitet
            als Antwort erhielt ich heute einen Anruf von der Kundenhotline. Die Dame teilte mir mit, dass sie die Frage nicht beantworten kann und ich auch der erste bin, der danach fragt. Eine Weiterleitung meiner konkreten und schriftlichen Anfrage ist auch nicht möglich. Sie verwies mich auf eine gebührenpflichtige technische Hotline unter der Nummer 0900 1560156 die allerdings nicht von Arcor oder Vodafone, sondern einen Vertragspartner von Vodafone betrieben wird.
            Na, dieser Vertragspartner wird ganz bestimmt ohne Auftrag von Vodafone in den Netzwerkverkehr der Vodafonekunden eingreifen. Ich bin ziemlich angefressen und sehe keinen Grund diesen Leuten auch noch weiteres Geld hinterherzuwerfen.

  • Am 30. September 2009 um 10:00 von SunTsu

    Sinnhaftigkeit eigenes DNS-Servers?
    Die Ratschläge sind sicher sinnvoll, aber:
    Was bringt einem ein eigener DNS-Server, dessen Anfragen ebenfalls abgefangen und von Vodkafone beantwortet werden?

    Die einzig sinnvolle Variante die ich sehe ist es einen DNS-Server via Tunnel anzusprechen, der ausserhalb des Vodkafone-Netzes steht.

    • Am 30. September 2009 um 10:32 von Christoph H. Hochstätter

      AW: Sinnhaftigkeit eigenes DNS-Servers?
      Der eigene DNS-Server als Caching-Server konfiguriert bringt insofern was, als er einen anderen Port als 53 nutzt, um mit freien DNS-Servern zu kommunizieren. So kann man die Vodafone-Sperre derzeit umgehen.

      Sobald eine Tunnel- oder andere VPN-Lösung erforderlich wird, werden wir eine Anleitung dazu veröffentlichen.

      • Am 3. Oktober 2009 um 10:05 von Werner

        AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
        Nach dem Einfügen der Zeilen
        forward only;
        forwarders { 85.214.117.11 port 110; …
        ging gar nichts. Ein Weglassen der Port-Anweisung oder Port 110 durch Port 53 ersetzen brachte wieder Erfolg. Dies ist aber nicht gewollt, es soll ja gerade Port 110 benutzt werden. Ich habe dieses Verhalten auf 2 Maschinen (XP, SP3). Abfragen der E-Mail über Port 110 geht. Was ist faul bei mir? Oder gibt es eine andere Port-Anweisung, die zum Ziel führt?

        • Am 3. Oktober 2009 um 13:03 von Christoph H. Hochstätter

          AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
          siehe http://www.zdnet.de/sicherheit_in_der_praxis_sperre_von_freien_dns_servern_so_umgeht_man_die_blockade_story-39001543-41502966-1.htm#comment-22101885

          Port 110 ist vermutlich durch eine Personal Firewall oder eine Firewall am NAT-Router gesperrt.

          • Am 3. Oktober 2009 um 13:28 von Werner

            AW: AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
            Die Vermutung ist wohl richtig. In der Windows-Firewall habe ich jetzt explizit UDP-Verkehr auf Port 110 freigegeben und siehe da, es geht. Vielen Dank!

          • Am 3. Oktober 2009 um 14:15 von Christoph H. Hochstätter

            AW: AW: AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
            Man sollte auch den TCP-Port 110 öffnen. Normalerweise fragt ein DNS-Client immer über UDP ab. Wenn die UDP-Antwort 512 Bytes überschreitet, was alledings fast nie der Fall ist, wird die Abfrage über TCP wiederholt. Wenn der TCP-Port zu ist, geht diese Abfrage schief.

            Es ist daher die latente Gefahr gegeben, dass bei geschlossenem TCP-Port 110 eine DNS-Abfrage nicht funktioniert und man weiß nicht warum, weil es ja in 99 Prozent der Fälle gut geht.

  • Am 30. September 2009 um 8:50 von J. Pasch

    Bind fehler 1067
    Nach mehrfachem Versuch Bind ans laufen zu bringen liefert der Befehl "net start named" umd den Dienst zu starten die Medung:

    ISC BIND konnte nicht gestartet werden.
    Systemfehler 1067 ist aufgeteten.
    Der Prozeß wurde unerwartet beendet.

    Habe daraufhin die gesammte Insatllation nochmals durchgeführt und alle erstellten Dateien gelöscht und neu erstellt, doch das Ergebnis ist das Gleiche.

    Was ist falsch?

    • Am 30. September 2009 um 9:06 von Werner

      AW: Bind fehler 1067
      Bei mir passiert dasselbe. Der Test mit "named -g" ist OK, der Dienst läßt sich aber anschließend nicht starten. Was mache ich verkehrt?

      • Am 30. September 2009 um 10:38 von Christoph H. Hochstätter

        AW: AW: Bind fehler 1067
        Wenn der Test mit "named -g" funktioniert, aber der Dienst nicht startet, dann liegt es daran, dass das Service Account "named" nicht die notwendigen Berechtigungen auf das Verzeichnis C:BIND und seine Unterverzeichnisse hat.

        Man kann jetzt den Dienst unter dem SYSTEM-Account starten. Das hat aber den Nachteil, dass eine Sicherheitslücke in bind dazu führen kann, dass eine Malware Admin-Rechte bekommen kann. Praktisch ist die Gefahr allerdings gering, da es keine bekannte Malware gibt, die versucht Sicherheitslücken in bind für Windows auszunutzen.

        Die bessere Alternative ist mittels CACLS-Befehl wie im Artikel beschrieben, dem Account "named" Vollzugriff auf C:BIND und Unterverzeichnissen zu erteilen. Dasselbe kann man auch mit dem Windows-Explorer (rechte Maustaste auf das Verzeichnis – Properties – Security) erreichen.

        • Am 30. September 2009 um 13:42 von J. Pasch

          AW: AW: AW: Bind fehler 1067
          Danke Christoph, jetzt klappt es … der Dienst läuft nun unter SYSTEM … anders hats nicht geklappt.

          Danke!

        • Am 30. September 2009 um 16:29 von Werner

          AW: AW: AW: Bind fehler 1067
          Der Hund liegt woanders begraben. Der Befehl "cacls c:bind /T /M /G named:F" löst nur eine Anzeige der Optionen von cacls aus, ein Zeichen dafür, daß mit der Befehlseingabe etwas nicht stimmt. So ist es auch, der Parameter /M ist unbekannt. Stattdessen habe ich die Parameter /E und /C eingesetzt, damit klappt es. Bitte nicht fragen, welcher der beiden überflüssig ist, ich weiß es nicht. Der Rest läuft wie beschrieben ab, vielen Dank für die Anleitung.

          • Am 1. Oktober 2009 um 13:53 von Christoph H. Hochstätter

            AW: AW: AW: AW: Bind fehler 1067
            Oops, da ist mir ein dummer Fehler unterlaufen. Ich habe es im Artikel korrigiert.

  • Am 24. September 2009 um 9:02 von Martin Müller

    Weiter so – Bitte noch ergänzen!
    Im Artikel steht:

    Wenn Provider jedoch damit beginnen, Technologien wie Deep Packet Inspection (DPI) zu nutzen, dann hilft der eigene lokale DNS-Server zunächst nicht weiter. In diesem Fall muss der DNS-Verkehr getunnelt werden.

    Ich gehe davon aus, dass die Mehrzahl der ISP in Deutschland inzwischen DPI einsetzt um gezielt P2P-Nutzer zu identifizieren und VOIP-Packete zu priorisieren. Ich wäre daher sehr dankbar, wenn es noch eine Anleitung dazu gäbe, wie man den DNS-Verkehr tunnelt (auch wieder mit Blick nicht nur auf Windows sondern auch Linux/Ubuntu).

    Danke im Vorraus!!!

    Martin Müller

    • Am 24. September 2009 um 14:09 von schulte

      AW: Weiter so – Bitte noch ergänzen!
      Ich schließe mich der Bitte an.
      Bei der Gelegenheit auch ein Lob zum Thema und dem bisherigen Artikel!
      mfg
      schulte

      • Am 24. September 2009 um 14:44 von Christoph H. Hochstätter

        AW: AW: Weiter so – Bitte noch ergänzen!
        Wir werden alle Trafficfälschungen und andere Maßnahmen der Provider genau beobachten und weiter über konkrete Lösungsmöglichkeiten berichten. Verschiedene VPN-Szenarien, die sich einfach realisieren lassen, haben wir bereits aufgesetzt.

  • Am 22. September 2009 um 16:55 von schulte

    Was sagt den Vodafon dazu?
    Als britisches Unternehmen atmet es halt dann doch den Geist der britischen Big-Brother-Mentalität.

    Ich kann mir vorstellen, dass Medien, wie http://www.spiegel.de oder http://www.stern.de auf Grund ihrer deutlich besseren Wahrnehmung für Vodafon unangenehmer sind.

    ZDNET ist leider einer zu kleinen Gruppe von Spezialisten bekannt.

    Ich bin sehr gespannt, wie Vofafon sich dazu äußert.

    • Am 22. September 2009 um 21:22 von serra.avatar

      AW: Was sagt den Vodafon dazu?
      als wenn spiegel oder stern & co. da noch frei wären … es gibt in der BRD keine unabhängigen freien Medien mehr … alles schaut auf China … die zenzieren wenigstens offen … hier geschieht es still und heimlich und keiner merkts (bzw will es merken)

      • Am 23. September 2009 um 10:13 von schulte

        AW: AW: Was sagt den Vodafon dazu?
        dem stimme ich zwar (ein wenig) zu….
        aber als Informationsanbieter haben Spiegel/Stern ein anderes Geschäftsmodell als der Infrastrukturanbieter Vodafon, der zudem auch noch in engere rechtliche Regularien gepasst ist.
        Damit will ich den vorauseilendenen Gehorsam nicht rechtfertigen – im Gegenteil.

        Ich denke aber, dass es sich Vodafon nicht leisten möchte, in dem immer enger werdenden UMTS-Markt so eine Presse zu bekommen.

        Andererseits ist es IMHO zwingend, die Öffentlichkeit solchen Themen gegenüber zu sensibilisieren.
        Wir erlauben hier Strukturen, die das gezielte unauffällige Manipulieren von Informationen vorantreibt.

        Stellen Sie sich vor, Vodafon würde anstelle Ihrer Webseite einen Fake übertragen, auch der gezielte und polemische Islam-Kritik steht.
        Auf diese Weise lassen sich leicht kritische Zeitgenossen von irgendwelchen Religionsereiferen aus dem Verkehr ziehen, ohne dass der der Verursacher zur Rede gestellt werden kann.

        Die Manipulation durch Argumente und verlässliche Quellen ist auch in meinen Augen legitim. Jeder hat das Recht, sich jede Meinung zu bilden.
        Wenn aber die Quelle, meine grundgesetzlich geschützte Quellenauswahl, durch vorsätzlich manipulierte Daten verändert wird, wenn also der Autor nicht mehr Herr seiner Aussage ist, dann ist das in jeder Beziehung falsch, verwerflich und noch!! ungesetzlich.

        Spiegel/Stern werden sicherlich nicht die Freiheit der Presse / des Worts einem Provider wie Vodafon opfern; denn das wäre die Konsequenz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *