NextDNS richtig einrichten
NextDNS* ist ein DNS-Server mit AdBlocker. Das bedeutet nichts anderes, als dass die URLs, die via NextDNS geblockt wurden, nicht mehr in eurem Internet erreichbar sind. Anders als ein AdBlocker blockiert NextDNS eine Verbindung also nicht erst nach dem Aufruf, sondern schon davor. Es ist im Grunde so, als gäbe es die Internetadresse bei euch schlicht und einfach nicht.
Diese Art von DNS AdBlocker ist unglaublich effizient und bringt neben besonders sorgfältiger Werbeblockierung auch deutlich mehr Performance. Gleichzeitig gibt es bei dieser Methode aber auch klare Grenzen. Dynamische Werbung zum Beispiel, wie Anzeigen innerhalb von YouTube-Videos, kann auf diese Weise nicht blockiert werden.
Weil die unterschiedlichen Einstellungen und gewählten Blocklisten bei NextDNS oft für lange Diskussionen sorgen, möchte ich euch heute mal meine ganz persönlichen Einstellungen genauer vorstellen. Mein Fokus liegt dabei auf einer besonders effizienten Blockierung, um die Performance zu verbessern und das Internet schlichtweg schneller zu machen. Dabei habe ich herausgefunden, dass bestimmte Einstellungen NextDNS schneller, andere die DNS-Abfragen hingegen langsamer werden lassen. Außerdem pflege ich selbst eine Blockliste für Cookie-Banner, die auch via NextDNS funktioniert.
Meine NextDNS Einstellungen
In den folgenden Absätzen werde ich meine Einstellungen in NextDNS mit euch durchgehen. Nach dem Login sind dort verschiedene Tabs sichtbar und in jedem Tab können unterschiedliche Einstellungen vorgenommen werden. Angefangen von der Installation, über die Sicherheit, den Blocklisten und mehr, wird hier also alles genau in derselben Reihenfolge besprochen, wie ihr es auch im Dashboard von NextDNS findet.
Vorab sei gesagt, dass ich NextDNS bereits seit mehreren Jahren verwende und nicht nur ein absoluter Minimalist, sondern auch Perfektionist bin. Was Web-Techniken angeht, dreht sich bei mir zudem alles um die bestmögliche Performance. Unzählige Tests und Versuche standen also an, ehe ich nun, in diesem Beitrag, meine finalen Einstellungen, die ich selbst seit vielen Monaten nutze, mit euch teile.
Dabei habe ich versucht, die ganze Sache so einfach wie nur möglich zu halten. Die unterschiedlichen Einstellungen von NextDNS, die individuell eingerichtet werden können, sind also zu jedem Menüpunkt entsprechend aufgelistet. Außerdem ist markiert, ob Schalter aktiviert oder deaktiviert sind. Das sieht dann wie in diesem Beispiel aus.
[X] = aktiviert
[ ] = deaktiviert
Installation
Schon bei der Installation gibt es einige Tricks. Für gewöhnlich ergibt es am meisten Sinn, ihr nutzt für die Installation von NextDNS auf dem Mac oder dem iPhone eine sogenannte .mobileconfig Datei. Die .mobileconfig ist eine kleine Datei, die sich via Doppelklick im System hinzufügen lässt. Sie installiert unter MacOS und iOS bestimmte Einstellungsprofile. NextDNS hat dafür einen eigenen Apple-Konfigurationsprofil Generator im Tab »Installation« bereitgestellt. Hier könnt ihr euch mit wenigen Klicks eine .mobileconfig für euer NextDNS-Profil erstellen lassen und herunterladen.
Es gibt aber noch einige Hinweise zu beachten. Zum einen könnt ihr immer auch eine eigene .mobileconfig erstellen, die wesentlich kleiner ist und weniger Parameter aufweist. Potenziell ist das schneller. Obendrein gibt es noch eine sogenannte Ultralow- und Anycast-Option, die händisch gewählt werden kann. Hier werden die Server von NextDNS mit besonders niedriger Latenz (Ultralow) gewählt oder Anycast wird aktiviert, welches einen Server sucht, der besonders nah an eurem eigenen Standort steht.
Probiert alle drei Optionen aus und wählt anschließend diejenige, die bei euch am schnellsten ist und am zuverlässigsten funktioniert. Wie ihr das herausfinden könnt? Ganz einfach!
NextDNS Server-Check
NextDNS Server-Ping
DNS-Check
Allgemein geht es immer nur darum, wie niedrig die Latenz ausfällt. Je niedriger, desto schneller wird die DNS-Auflösung ausfallen. Die verschiedenen .mobileconfigs sorgen auch für unterschiedliche Server. Schaut also wirklich, was bei euch die niedrigsten Werte hervorbringt. Es gibt hier keine pauschal beste Option.
Bei mir sind es am Ende 10 bis 15 ms, wenn ich den NextDNS Server-Ping aufrufe. Im DNS-Check habe ich hingegen meist 21 bis 24 Millisekunden. Auch das kommt aber immer auf die Uhrzeit und somit die allgemeine Auslastung der Systeme an. Meine Zahlen dienen daher nur als grober Vergleichswert.
Sicherheit
Bei der Sicherheit sind mir zwei Punkte besonders ins Auge gefallen. Wer die Optionen »KI-basierte Bedrohungserkennung« und »Dynamische DNS-Hostnamen blockieren« einschaltet, hat bessere Latenzen. Meine Vermutung ist, dass diese beiden Einstellungen einen anderen Server aktivieren, der dann deutlich schneller läuft, weil dort weniger Nutzer vorhanden sind. Ob es wirklich so ist, keine Ahnung, aber die DNS-Abfragen werden schneller, wenn diese beiden Optionen aktiv sind.
[X] Threat-Intelligence-Feeds
[X] KI-basierte Bedrohungserkennung
[ ] Google Safe Browsing
[ ] Kryptojacking-Schutz
[X] DNS-Rebinding-Schutz
[X] IDN Homographischer Angriffs-Schutz
[X] Tippfehler-Schutz
[X] Domain-Generierungs-Algorithmen (DGAs) Schutz
[ ] Neu registrierte Domains (NRDs) blockieren
[X] Dynamische DNS-Hostnamen blockieren
[ ] Geparkte Domains blockieren
[ ] Top-Level-Domains (TLDs) blockieren
[X] Kinder... Inhalte blockieren
Datenschutz
Hier habe ich über die gesamte Zeit hinweg (inzwischen mehrere Jahre) unzählige Blocklisten getestet, miteinander verglichen und teilweise sogar händisch im Editor analysiert. Herausgekommen ist, dass zwei Listen im Grunde vollkommen ausreichend sind. Aus dem einfachen Grund, da sie als Quelle entweder die anderen Listen verwenden oder aber die URLs denen aus anderen Quellen gleichen. Der »Native Tracking-Schutz« von NextDNS ist damit übrigens auch überflüssig, da er in den Listen bereits enthalten ist.
Blocklisten
[X] HaGeZi - Multi ULTIMATE
[X] 1Hosts (Pro)
Native Tracking-Schutz
[ ] Aufgrund der Blocklisten nicht notwendig
Sonstiges
[X] Getarnte Drittanbieter-Tracker blockieren
[ ] Affiliate & Tracking Links erlauben
Jugendschutz
Hier habe ich bemerkt, dass die Kategorien ineffektiver sind als die Auswahl einzelner Websites und Apps. Außerdem blockieren die Kategorien oft zu viel. Beispielsweise auch Reddit, weil es dort zu den Sozialen Netzwerken zählt. Persönlich sehe ich Reddit eher als Forum. Alles in allem lief NextDNS schneller, wenn ich die blockierten Websites selbst ausgewählt habe.
Die Option »Bypass-Methoden blockieren« sorgt dafür, dass einige Verbindungen im Hintergrund blockiert werden. Bei MacOS und auch unter iOS gibt es da immer wieder mal etwas, was heimlich über Maskierungen abläuft. Diese werden mit aktivierter Option unterbunden. Aber Vorsicht, denn wer das iCloud Privat-Relay nutzt (kann ich nicht empfehlen), MUSS diese Option unbedingt deaktiviert lassen.
Webseiten, Apps & Spiele
[X] TikTok
[X] Snapchat
[X] Instagram
[X] Facebook
[X] Twitter
[X] Twitch
[X] Messenger
[X] Pinterest
[X] WhatsApp
[X] Spotify
Kategorien
[ ] Keine ausgewählt
Erholungszeit
[ ] Nichts ausgewählt
Sonstiges
[ ] SafeSearch
[ ] Eingeschränkter YouTube-Modus
[X] Bypass-Methoden blockieren
Denyliste
Dies ist das Herzstück von NextDNS, denn hier lassen sich auch manuell bestimmte URLs blockieren. Leider nicht als Upload via Text-Datei, sondern nur händisch per URL-Eingabe. Die Pflege dieser Denyliste lohnt sich aber. Mit ihr kann unter anderem ein Großteil der Cookie-Banner blockiert werden, da die meisten von Drittanbietern stammen. Sind die URLs hier eingetragen, kann auch das Cookie-Banner nicht mehr geladen werden.
Auch Webfonts und Scripte können, wenn ihr mutig seid, über die Denyliste von NextDNS blockiert werden. Hier ist aber Vorsicht geboten, da dies natürlich auch dafür sorgen kann, dass bestimmte Websites nicht mehr wie gewohnt funktionieren oder fehlerhaft angezeigt werden. Allgemein dient das Blockieren dieser Dinge vorwiegend der Performance. Wer Webfonts und überflüssiges Javascript gar nicht erst lädt, spart schließlich eine große Menge an Datenvolumen. Und wo weniger Daten übertragen werden müssen, geht alles ein wenig schneller.
Zu diesem Zweck habe ich verschiedene eigene Blocklisten angelegt und pflege diese auch regelmäßig. Kommt längere Zeit kein Update, heißt das übrigens nicht, dass die Blockliste nicht mehr auf dem neuesten Stand ist, sondern eher, dass ich keine weiteren URLs gefunden habe, die ich hinzufügen könnte.
Blockliste für Cookie-Benachrichtigungen
Cookie Blockliste
Blockliste für Webfont-Dienste
Webfont Blockliste
Blockliste für Script CDNs
Script Blockliste
Blockliste für Experimentelles
Experimentelle Blockliste
Allowliste
Persönlich habe ich hier nichts eingetragen. Potenziell ist an dieser Stelle Platz für URLs, die von einer Blockliste fälschlicherweise blockiert wurden. Wenn die Blockliste also super ist, ihr eine bestimmte URL aber als Ausnahme hinzufügen möchtet, ist hier der richtige Platz dafür.
Statistiken
Die Statistiken von NextDNS sind interessant, um Gewohnheiten festzustellen und den aktuellen Status einzusehen. Welche Domains werden besonders häufig aufgelöst? Hier ist direkt auf den ersten Blick zu sehen, welche Adressen Spitzenreiter sind, welche Blocklisten am meisten anschlagen und wie es mit der GAFAM-Dominanz (Google, Amazon, Facebook, Apple und Microsoft) in den eigenen DNS-Antworten bei NextDNS aussieht.
Bei mir ist hier nur eine leere Seite zu finden, da ich alle Statistiken von NextDNS deaktiviert habe. Weder wünsche ich mir ein Logging noch benötige ich solche Zahlen. Außerdem gehe ich immer davon aus, dass dort, wo etwas analysiert werden muss, zusätzliche Rechenleistung gebraucht wird. Auch das möchte ich lieber vermeiden.
Protokolle
Mit den Protokollen lassen sich, speziell bei neuen Nutzern, Websites finden, die fälschlicherweise blockiert wurden. Auch wenn die Blocklisten sehr streng sind, kann es sein, dass hier mal eine Domain erscheint, die auf die Allowlist gehört, damit eine Website wieder wie gewohnt funktioniert. Am Anfang hilft es, später ist es aber weitgehend unnötig.
Genau wie die Statistiken habe ich sämtliche Protokollierungen von NextDNS deaktiviert. Bei mir wird hier also gar nichts angezeigt. Die Gründe sind, dass ich DNS-Antworten lieber nicht loggen möchte und wie schon bei den Statistiken ohnehin davon ausgehe, dass so etwas nur Leistung frisst, die an anderer Stelle eher benötigt wird.
Einstellungen
Zu guter Letzt gibt es auch in NextDNS noch einige Grundeinstellungen festzulegen. Diese helfen dabei, Profile namentlich zu unterscheiden oder das Caching zu aktivieren, um noch schnellere DNS-Abfragen zu ermöglichen.
Name
[X] Der Name einer Konfiguration, um sie leichter unterscheiden zu können. Das ist nützlich, weil ich für meine Kinder und meine Frau auch ein Profil angelegt habe, welches aber anderen Regeln folgt (nicht so streng wie mein eigenes). Dank der Namen behalte ich hier jederzeit den Überblick.
Protokolle
[ ] Protokolle aktivieren
Block-Seite
[ ] Block-Seite aktivieren
Leistung
[X] Anonymisiertes EDNS-Client-Subnetz aktivieren
[X] Cache-Boost aktivieren
[X] CNAME-Flattening aktivieren
Web3
[ ] Web3 aktivieren
Umschreibungen
[ ] Keine Umschreibung hinzugefügt
Zugang
[ ] Kein weiterer Zugang eingerichtet
NextDNS für perfekte Performance
Inzwischen bin ich dazu übergegangen, nur noch NextDNS als AdBlocker zu verwenden. Früher hatte ich auch Safari-Erweiterungen wie Wipr 2 aktiv und habe zudem gerne StopTheMadness eingesetzt (auch jetzt noch nützlich). Mittlerweile benötige ich aber keinen reinen AdBlocker mehr. Auch nicht für YouTube. Für YouTube-Werbung habe ich meinen ganz eigenen Trick via Embed-Code und Bookmarklet entwickelt. Der reicht völlig aus.
Alles in allem ist Safari ohne Erweiterungen auch deutlich schneller und benötigt zudem weniger RAM. Die Websites sind viel flotter geladen, wenn der Werbeblocker fehlt, der ansonsten erst unzählige kosmetische Regeln umsetzen muss. Mal ganz davon zu schweigen, dass eine Blockierung auf DNS-Ebene ohnehin effizienter ist, weil die blockierte Website gar nicht mehr bis zu euch durchkommt, da keine Verbindung hergestellt werden kann.
NextDNS ist für mich, mit meinen Einstellungen, daher auch ein Internetbeschleiniger. Alles wird einfach spürbar schneller und selbst Apps können keine Verbindungen mehr zu Tracking- oder Werbenetzwerken herstellen. Probiert es gleich mal aus!