Plattform:
Zusätzliches · Deep-Dive

DNS verstehen & selbst betreiben

Fast jeder Klick im Internet beginnt mit einer DNS-Abfrage — und genau die ist ein unterschätzter Kontroll- und Datenpunkt. Lerne, wie DNS funktioniert, was du damit machen kannst und wie du mit Pi-hole, Unbound und autoritativem DNS deinen eigenen Server baust. Dein Fortschritt wird lokal gespeichert.

Worum geht's?

DNS — das Domain Name System — ist das „Telefonbuch des Internets": es übersetzt Namen wie fl-pro-consulting.de in IP-Adressen, die Computer wirklich brauchen. Klingt unscheinbar, ist aber der erste Schritt jeder Verbindung — und damit eine perfekte Stelle, um mitzulesen, zu sperren oder zu manipulieren.

Diese Schulung führt dich von null: wie eine Auflösung abläuft → welche Record-Typen es gibt → DNS selbst abfragen → das Kontroll-/Datenproblem → verschlüsseltes DNS → bis zum eigenen DNS-Server mit netzwerkweitem Werbe-/Tracker-Blocking, eigener Rekursion und einer eigenen Zone.

Selbstlern-Kurs zum Durchklicken — dein Fortschritt wird lokal gespeichert.

? Für wen ist das interessant?

Für alle, die verstehen wollen, wohin ihre Anfragen gehen — und die Kontrolle zurückholen möchten.

🔒
Datenschutz-Bewusste
Wer mitliest, wenn du surfst — und wie du es abstellst.
🚫
Werbe-/Tracker-Genervte
Netzwerkweit blocken — auch am Smart-TV und Handy.
📦
Self-Hoster
Eigene Dienste & Heimnetz-Namen sauber auflösen.
🇪🇺
Souveränitäts-Interessierte
Den Resolver aus der Hand Dritter zurückholen.
💡 Neu hier? Arbeite die Stufen von oben nach unten durch. Stufen 1–5 brauchen nur ein Terminal; ab Stufe 6 baust du selbst — am bequemsten mit Docker (siehe die Docker-Schulung).

🗺️ Die 9 Stufen

Keine Vorkenntnisse nötig. Einfache Terminal-Grundlagen helfen (siehe Terminal-Basics). Stufen 1–5 funktionieren auch als kompakter Halbtag.
Stufe 1

Was ist DNS?

Das mentale Modell, wofür DNS da ist und wie eine Auflösung Schritt für Schritt abläuft.

1 Das Telefonbuch des Internets

Menschen merken sich Namen (fl-pro-consulting.de), Computer brauchen Zahlen (203.0.113.10). DNS übersetzt zwischen beiden — vor jeder Verbindung.

DNS in einem Satz: Name rein, IP-Adresse raus. Erst danach kann dein Browser die Webseite überhaupt aufrufen.

Weil diese Übersetzung am Anfang jeder Verbindung steht, ist DNS eine extrem mächtige Stelle: Wer sie kontrolliert, sieht, wohin du willst — und kann dich umleiten oder blockieren. Genau darum geht es ab Stufe 4.

2 Wie eine Auflösung abläuft

Dein Gerät fragt nicht das ganze Internet — es delegiert an einen rekursiven Resolver, der die Kette für dich abläuft:

DNS-Auflösung — Skizze
Skizze
Der rekursive Resolver fragt sich von oben nach unten durch — Root verweist auf die TLD, die TLD auf den autoritativen Server der Domain, der die Antwort kennt. Das Ergebnis kommt zu dir zurück.

Beim ersten Mal läuft die ganze Kette; danach cacht der Resolver die Antwort für die Dauer der TTL (Stufe 2) — die nächste Abfrage derselben Domain ist sofort da.

3 Die Rollen im Überblick

💻
Stub-Resolver
Steckt in deinem Betriebssystem. Stellt die Frage, kann sie aber nicht selbst beantworten.
🔁
Rekursiver Resolver
Läuft die Kette ab und cacht. Standardmäßig der deines Anbieters — das ändern wir später.
🌐
Root- & TLD-Server
Die Wegweiser: zeigen auf den nächsten Zuständigen, kennen die Antwort aber nicht selbst.
📍
Autoritativer Server
Die Quelle der Wahrheit für eine Domain. Hier liegen die echten Records (Stufe 8).

✓ Geschafft, wenn Du …

Stufe 2

DNS-Records verstehen

Was in einer Zone steht — die wichtigsten Record-Typen, plus TTL und Caching.

1 Records = die Einträge einer Domain

Eine Domain besteht aus einer Sammlung von Resource Records. Jeder hat einen Typ, der sagt, was gefragt wird. Die wichtigsten:

TypBedeutungBeispiel-Wert
AName → IPv4-Adresse203.0.113.10
AAAAName → IPv6-Adresse2001:db8::1
CNAMEAlias auf einen anderen Namenwww → fl-pro-consulting.de.
MXzuständiger Mailserver (+ Priorität)10 mail.example.de.
TXTFreitext: SPF, DKIM, Domain-Verifizierung"v=spf1 include:…"
NSwelche Nameserver für die Zone zuständig sindns1.example.de.
SOAStart of Authority: Eckdaten der ZoneSerial, TTLs, Verantwortlicher
PTRReverse: IP → Name10.113.0.203.in-addr.arpa.
SRVDienst + Port (z. B. SIP, XMPP)_sip._tcp …
CAAwelche CA Zertifikate ausstellen darf0 issue "letsencrypt.org"
CNAME-Falle: Auf dem „nackten" Domainnamen (der Zone selbst, example.de) ist ein CNAME nicht erlaubt — dort gehören A/AAAA hin. CNAME ist für Unterdomains wie www gedacht.

2 So sieht das in einer Zonendatei aus

1Auszug einer Zone für example.de
; Name        TTL   Klasse Typ   Wert
@             3600  IN     SOA   ns1.example.de. admin.example.de. (
                                  2026061301 ; Serial (Versionsnummer)
                                  7200 3600 1209600 3600 )
@             3600  IN     NS    ns1.example.de.
@             3600  IN     A     203.0.113.10
@             3600  IN     MX    10 mail.example.de.
www           3600  IN     CNAME example.de.
mail          3600  IN     A     203.0.113.20
@             3600  IN     TXT   "v=spf1 mx -all"
Serial hochzählen bei jeder Änderung — daran erkennen andere Server, dass die Zone neu ist. @ steht für die Zone selbst.

3 TTL & Caching

Jeder Record trägt eine TTL (Time To Live) in Sekunden — so lange darf ein Resolver die Antwort cachen, bevor er neu fragt.

✓ Hohe TTL (z. B. 86400)
  • weniger Anfragen, schneller
  • gut für stabile Einträge
⏱ Niedrige TTL (z. B. 300)
  • Änderungen greifen schnell
  • gut vor einem Server-Umzug
Umzugs-Trick: TTL ein, zwei Tage vorher auf 300 senken, dann umziehen, dann wieder hochsetzen. So merken Resolver den Wechsel fast sofort.

✓ Geschafft, wenn Du …

Stufe 3

DNS selbst abfragen

Mit den Bordmitteln deines Systems eine Auflösung sichtbar machen — und die ganze Kette selbst nachlaufen.

1 Das richtige Werkzeug

Je nach System hast du andere Tools an Bord. Wähle oben deine Plattform:

🐧 Linux: dig (aus dem Paket dnsutils bzw. bind-utils) ist der Klassiker. Mit systemd zusätzlich resolvectl query <name>.
macOS: dig und nslookup sind vorinstalliert (Terminal-App). dscacheutil -flushcache leert den lokalen Cache.
🪟 Windows: nslookup ist überall dabei. In PowerShell ist Resolve-DnsName <name> komfortabler. ipconfig /flushdns leert den Cache. dig gibt es optional über die BIND-Tools.

2 Eine Domain abfragen

1dig — Linux
# A-Record (IPv4)
dig fl-pro-consulting.de A

# nur die nackte Antwort
dig +short fl-pro-consulting.de

# Mailserver der Domain
dig example.de MX +short
1dig — macOS
# A-Record (IPv4)
dig fl-pro-consulting.de A

# nur die nackte Antwort
dig +short fl-pro-consulting.de

# Mailserver der Domain
dig example.de MX +short
1Resolve-DnsName / nslookup — Windows (PowerShell)
# A-Record (IPv4)
Resolve-DnsName fl-pro-consulting.de -Type A

# Mailserver der Domain
Resolve-DnsName example.de -Type MX

# Klassisch mit nslookup
nslookup -type=MX example.de

Lies die ANSWER SECTION: dort stehen Name, TTL, Typ und Wert. Sinkt die TTL bei wiederholten Abfragen, siehst du den Cache deines Resolvers bei der Arbeit.

3 Einen bestimmten Resolver fragen

Mit @ wählst du gezielt einen DNS-Server — praktisch, um zu vergleichen, ob jemand etwas anders (oder gar nicht) beantwortet:

2Gegen einen bestimmten Server prüfen
# Quad9 (9.9.9.9) fragen
dig @9.9.9.9 example.de +short

# Cloudflare (1.1.1.1) zum Vergleich
dig @1.1.1.1 example.de +short
Unter Windows: nslookup example.de 9.9.9.9. So entlarvst du z. B. eine vom Anbieter-Resolver gefilterte Antwort.

4 Die ganze Kette nachlaufen: +trace

Damit fragt dig selbst von den Root-Servern an nach unten — du siehst Stufe 1 live:

dig +trace example.de
$ dig +trace example.de . 518400 IN NS a.root-servers.net. ; Root verweist auf … de. 172800 IN NS f.nic.de. ; … die .de-TLD example.de. 86400 IN NS ns1.example.de. ; … den autoritativen Server example.de. 3600 IN A 203.0.113.10 ; Antwort!
Genau diese Wegweiser-Kette hast du in Stufe 1 als Skizze gesehen — hier ist sie echt.

✓ Geschafft, wenn Du …

Versionsstand: BIND-dig 9.x / Windows 11 PowerShell · Stand Juni 2026

Stufe 4

DNS als Kontroll- und Datenpunkt

Die unterschätzte Schwachstelle: Warum dein Anbieter standardmäßig mitliest und sperrt — und wie Manipulation funktioniert.

1 Klassisches DNS ist offen wie eine Postkarte

Die normale DNS-Anfrage läuft über Port 53 — unverschlüsselt. Jeder auf dem Weg (dein Anbieter, der WLAN-Betreiber, ein Angreifer im Netz) kann mitlesen, welche Domains du aufrufst.

Und standardmäßig fragst du den Resolver deines Internetanbieters — denn den verteilt der Router automatisch. Damit liegt diese Übersetzungsstelle, durch die jeder deiner Klicks läuft, in fremder Hand.

2 Was darüber gemacht wird

🚧
Sperren
Anbieter wie Vodafone und Telekom setzen Netzsperren über DNS um: die Domain wird einfach nicht (richtig) aufgelöst.
👁️
Mitlesen
Die Liste deiner aufgerufenen Domains ist ein Profil — wer cacht und loggt, weiß viel über dich.
🌍
Abfluss
Nutzt du einen US-Resolver (Google, Cloudflare), verlassen die Anfragen den EU-Raum.
🎭
Fälschen
DNS-Spoofing / Cache Poisoning: ein Angreifer schmuggelt eine falsche IP unter → du landest auf seiner Seite.
Das ist die „unterschätzte Schwachstelle": DNS wirkt wie ein technisches Detail, ist aber der Hebel für Mitlesen, Sperren und Umleiten. Wer den Resolver kontrolliert, kontrolliert die erste Frage jeder Verbindung.

3 Anbieter-Resolver vs. eigener Weg

✗ Standard (ISP-Resolver, Port 53)
  • unverschlüsselt — alle Domains sichtbar
  • Sperren & Filter durch den Anbieter
  • du vertraust einem fremden Logging
  • anfällig für Spoofing ohne DNSSEC
✓ Verschlüsselt + eigener Resolver
  • Anfragen verschlüsselt (Stufe 5)
  • du wählst, wem du vertraust — oder niemandem (Stufe 7)
  • Werbung/Tracker netzwerkweit blocken (Stufe 6)
  • DNSSEC-Validierung gegen Fälschung (Stufe 9)
Verantwortung & Recht: Ein eigener Resolver dient hier vor allem Privatsphäre, Souveränität und Werbe-/Tracker-Schutz. Gerichtlich angeordnete Sperren technisch zu umgehen, ist eine eigene rechtliche Frage — dieser Kurs zeigt die Technik, nicht die Aufforderung, geltendes Recht zu unterlaufen.

✓ Geschafft, wenn Du …

Stufe 5

Verschlüsseltes DNS & Resolver umstellen

Der schnelle Gewinn ohne eigenen Server: DNS verschlüsseln und einen Resolver wählen, dem du vertraust.

1 DoH, DoT & DoQ

Drei Wege, die Postkarte in einen verschlossenen Brief zu verwandeln — dein Anbieter sieht dann nicht mehr, welche Domains du auflöst:

🔐
DoT
DNS over TLS, Port 853. Eigener, klar erkennbarer Port — gut am Router/OS.
🌐
DoH
DNS over HTTPS, Port 443. Versteckt sich im normalen Web-Traffic; in Browsern eingebaut.
DoQ
DNS over QUIC — moderne, schnelle Variante; Verbreitung wächst.
Wichtig: Verschlüsselung schützt den Transportweg. Wem du die Anfrage schickst, sieht weiterhin alles — deshalb zählt die Resolver-Wahl (und am Ende der eigene Resolver, Stufe 7).

2 Welchen Resolver?

ResolverAdresseProfil
Quad99.9.9.9Stiftung (CH/EU), filtert Malware, kein Profil-Logging
Cloudflare1.1.1.1schnell, US-Unternehmen
Google8.8.8.8schnell, US-Unternehmen
dismail/digitalcourageDEkleine, datenschutzorientierte Angebote
Souveränitäts-Leiter: Anbieter-Resolver → öffentlicher EU-Resolver mit DoT/DoH → eigener Resolver (Stufe 6/7). Jede Stufe gibt dir mehr Kontrolle zurück.

3 Umstellen — wo am besten?

🪟 Windows 11: Einstellungen → Netzwerk & Internet → (Adapter) → DNS-Serverzuweisung → Bearbeiten → Manuell, IPv4 an, Resolver eintragen, DNS-über-HTTPS auf „Ein (automatische Vorlage)". So wird verschlüsselt aufgelöst.
macOS: Systemeinstellungen → Netzwerk → (Verbindung) → Details → DNS → Server hinzufügen. Für DoH/DoT am saubersten ein Konfigurationsprofil (.mobileconfig) des Resolver-Anbieters installieren.
🐧 Linux (systemd-resolved): in /etc/systemd/resolved.conf setzen: DNS=9.9.9.9 und DNSOverTLS=yes, dann systemctl restart systemd-resolved. Prüfen mit resolvectl status.
📱 Geräte unterwegs: Android hat „Privates DNS" (DoT-Hostname eintragen), iOS nimmt Konfigurationsprofile. So ist auch das Handy im Mobilfunk geschützt.
Der größte Hebel ist der Router: trägst du den Upstream-DNS einmal zentral am Router ein, gilt er fürs ganze Heimnetz — PC, Smart-TV, Konsole, Handy. Genau dort hängen wir ab Stufe 6 unseren eigenen Server ein.

✓ Geschafft, wenn Du …

Stufe 6

Eigener DNS-Server: Pi-hole

Der Payoff aus dem Video: ein netzwerkweiter DNS-Server, der Werbung und Tracker für alle Geräte blockt — auch Smart-TV und Handy.

1 Was Pi-hole ist

Pi-hole ist ein DNS-Server für dein Heimnetz: Alle Geräte fragen ihn, er filtert Werbe- und Tracker-Domains per Blocklisten heraus (Antwort = „gibt's nicht") und leitet alles andere an einen Upstream-Resolver weiter.

Pi-hole im Heimnetz — Skizze
Skizze
Ein Gerät, das immer läuft (Raspberry Pi, kleiner Heimserver oder VPS) reicht. Werbung wird zentral geblockt — auch auf Geräten ohne eigenen Adblocker.
Was du brauchst: einen dauerhaft laufenden Rechner im Netz — ein Raspberry Pi oder Heimserver, alternativ ein VPS. Am bequemsten via Docker (siehe Docker-Schulung).

2 Pi-hole mit Docker starten

1docker-compose.yml
services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"      # DNS
      - "80:80/tcp"       # Web-Oberfläche
    environment:
      TZ: 'Europe/Berlin'
      FTLCONF_webserver_api_password: 'BITTE-AENDERN'
      FTLCONF_dns_upstreams: '9.9.9.9;149.112.112.112'  # Quad9, vorerst
      FTLCONF_dns_listeningMode: 'all'
    volumes:
      - './etc-pihole:/etc/pihole'
    restart: unless-stopped
Versionsstand: Pi-hole v6 · Juni 2026. In v6 wird konfiguriert über FTLCONF_*-Variablen; das Web-Passwort setzt FTLCONF_webserver_api_password.
starten & testen
$ docker compose up -d ✔ Container pihole Started $ dig @192.168.1.53 doubleclick.net +short 0.0.0.0 ← geblockt 🎉

3 Einrichten & ins Netz hängen

  1. Web-Oberfläche öffnen: http://<pi-hole-ip>/admin, mit dem Passwort anmelden.
  2. Unter Lists die Blocklisten prüfen — Standard reicht für den Anfang; bei Bedarf weitere seriöse Listen ergänzen.
  3. Router: im DHCP-Server den DNS-Server auf die Pi-hole-IP setzen. Jetzt nutzen alle Geräte automatisch Pi-hole.
  4. Auf einem Gerät kurz testen (Werbung weg?) und im Pi-hole-Dashboard die Abfragen live mitlaufen sehen.
📺 Der Smart-TV-Effekt: Geräte, die keinen Adblocker erlauben, profitieren trotzdem — weil die Werbedomains schon bei der DNS-Auflösung ins Leere laufen.
⚠ Pi-hole leitet „erlaubte" Anfragen weiter an seinen Upstream (hier Quad9). Der sieht damit weiterhin alle deine Domains. Für volle Souveränität kommt in Stufe 7 ein eigener rekursiver Resolver dazu.

✓ Geschafft, wenn Du …

Stufe 7

Volle Souveränität: Unbound

Den letzten Mittelsmann abschaffen — selbst rekursiv ab den Root-Servern auflösen.

1 Warum noch ein Baustein?

Pi-hole filtert, fragt für den Rest aber einen öffentlichen Resolver — der dann doch alle deine Domains sieht. Unbound ist ein eigener, rekursiver und validierender Resolver: er läuft die Kette aus Stufe 1 selbst ab und braucht keinen Dritten.

Pi-hole → öffentlicher Upstream
  • Quad9/Cloudflare sieht alle Anfragen
  • du vertraust deren Logging-Versprechen
Pi-hole → eigenes Unbound
  • kein Upstream-Dritter mehr
  • DNSSEC-Validierung selbst
  • maximale Privatsphäre & Souveränität

2 Unbound danebenstellen

1docker-compose.yml — Ergänzung
services:
  pihole:
    # … wie Stufe 6, aber Upstream auf Unbound zeigen:
    environment:
      FTLCONF_dns_upstreams: 'unbound#53'
    depends_on: [unbound]

  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    volumes:
      - './unbound:/opt/unbound/etc/unbound'
    restart: unless-stopped
Versionsstand: Juni 2026. Pi-hole erreicht Unbound über den Docker-Netzwerknamen unbound. Klassische Anleitungen nutzen alternativ 127.0.0.1#5335 mit Unbound auf dem Host.

3 Prüfen, dass DNSSEC validiert

DNSSEC-Test
$ dig @192.168.1.53 sigok.verteiltesysteme.net +dnssec +short … Antwort kommt (gültig signiert) $ dig @192.168.1.53 sigfail.verteiltesysteme.net status: SERVFAIL ← ungültige Signatur wird abgelehnt ✔
Trade-off: Die allererste Auflösung eines Namens ist minimal langsamer (du fragst selbst durch), dafür gewinnt der eigene Cache mit der Zeit — und niemand außer dir sieht deine Anfragen. qname-minimisation sorgt zusätzlich dafür, dass Root/TLD nur so viel erfahren wie nötig.

✓ Geschafft, wenn Du …

Versionsstand: Unbound 1.2x · Stand Juni 2026

Stufe 8

Eigene Domain: autoritatives DNS

Vom Fragen zum Antworten: selbst die Quelle der Wahrheit für eine Zone sein — fürs Heimnetz oder die eigene Domain.

1 Rekursiv vs. autoritativ

Bisher hast du Resolver gebaut, die für dich fragen (rekursiv). Ein autoritativer Server ist das Gegenteil: er liefert die Antworten für eine Zone, die dir gehört.

🏠
Heimnetz-Namen
Statt IPs zu merken: nas.heim.lan → 192.168.1.10. Sauber und änderbar.
🔀
Split-Horizon
Intern eine andere IP ausliefern als extern — z. B. lokal direkt, von außen über den Proxy.
🌍
Eigene Domain
Die Records deiner Domain selbst hosten, statt nur im Registrar-Panel zu klicken.

2 Mit CoreDNS eine Zone betreiben

CoreDNS ist modern, in Go geschrieben und Docker-freundlich. Es liest ein Corefile und Zonendateien:

1Corefile
heim.lan:53 {
    file /etc/coredns/db.heim.lan
    log
    errors
}
.:53 {
    forward . 192.168.1.53   # alles andere an Pi-hole/Unbound
    cache
}
2db.heim.lan — die Zonendatei
$TTL 3600
@   IN SOA ns.heim.lan. admin.heim.lan. ( 2026061301 7200 3600 1209600 3600 )
@   IN NS  ns.heim.lan.
ns  IN A   192.168.1.53
nas IN A   192.168.1.10
pi  IN A   192.168.1.53
Serial (2026061301) bei jeder Änderung hochzählen. Alternativen: dnsmasq (leichtgewichtig, oft schon im Router/Pi-hole) und BIND9 (der mächtige Klassiker).

3 Damit die Welt deine Zone findet

Für eine öffentliche Domain müssen zwei Dinge stimmen — sonst findet dich niemand:

  1. NS-Delegation: beim Registrar die NS-Records auf deinen Server zeigen lassen.
  2. Glue-Record: ein A-Record für den NS-Hostnamen selbst (sonst Henne-Ei-Problem). Voraussetzung: eine statische, öffentliche IP — also ein VPS.
Autoritatives DNS öffentlich zu betreiben ist anspruchsvoll: es braucht Redundanz, Verfügbarkeit und DDoS-Schutz (mind. zwei Nameserver). Für die eigene Domain ist oft ein souveräner Dienst wie deSEC (gemeinnützig, DE, kostenlos, DNSSEC) die bessere Wahl. Lokal/Heimnetz ist eigener autoritativer Betrieb dagegen super sinnvoll.

4 Praxis-Bonus: DDNS & Zertifikate

🔄
Dynamisches DNS
Heim-Anschluss mit wechselnder IP? DDNS (z. B. über deSEC) hält einen Namen aktuell.
📜
DNS-01-Challenge
Let's-Encrypt-Zertifikate über einen TXT-Record bestätigen — auch für Wildcards und interne Dienste ohne offenen Port 80.

✓ Geschafft, wenn Du …

Stufe 9

Sicherheit & Betrieb

DNS ist kritisch — fällt es aus oder wird manipuliert, „geht nichts mehr". So betreibst du deinen Resolver sicher und zuverlässig.

1 Gegen Manipulation absichern

🔏
DNSSEC
Signierte Antworten gegen Spoofing/Cache-Poisoning. Unbound validiert; autoritativ kannst du selbst signieren.
🛡️
Rebinding-Schutz
Private IPs aus externen Antworten filtern — schützt interne Dienste vor DNS-Rebinding.
🚪
Kein offener Resolver
Niemals einen rekursiven Resolver offen ins Internet stellen — sonst wird er für DDoS-Amplification missbraucht. Nur Heimnetz/VPN.

2 Datenschutz beim Logging

Query-Logs sind hochsensibel — sie verraten alles, was im Netz aufgerufen wird.

  • Pi-hole: Privacy-Level hochsetzen, Aufbewahrung kurz halten.
  • Im Firmen-/Familienkontext: wer sehen darf, was geloggt wird, ist eine echte DSGVO-Frage.
  • So wenig speichern wie möglich — Statistik ja, Vollprotokoll selten nötig.

3 Backup & Ausfallsicherheit

  1. Backup: Pi-hole-Einstellungen per Teleporter exportieren; docker-compose.yml + Volumes sichern.
  2. Fallback-Resolver: am Client/Router einen zweiten DNS hinterlegen — fällt dein Pi-hole aus, bleibt das Netz erreichbar.
  3. Monitoring: Verfügbarkeit überwachen (z. B. Uptime-Kuma — siehe Self-Hosting-Schulung).
  4. Server härten: SSH absichern, Updates fahren — siehe SSH und Docker.
Single Point of Failure: Macht nur Pi-hole DNS und der Container steht, ist das ganze Heimnetz „offline". Plane den Fallback von Anfang an ein.

✓ Geschafft, wenn Du …

🎓 Geschafft! Du verstehst DNS von der Auflösung bis zum eigenen, souveränen Resolver. Schau dir das Cheat-Sheet an und mach dann das Quiz für dein Zertifikat.
Bonus

DNS Cheat-Sheet

Die wichtigsten Befehle und Bausteine auf einen Blick. (Zählt nicht für den Fortschritt.)

🔎 Abfragen

1dig / Resolve-DnsName
# A-Record, nur die Antwort
dig +short example.de

# bestimmten Typ abfragen
dig example.de MX
dig example.de TXT

# gezielt einen Resolver fragen
dig @9.9.9.9 example.de

# ganze Kette ab Root nachlaufen
dig +trace example.de

# Windows (PowerShell)
Resolve-DnsName example.de -Type A

📇 Record-Typen

TypWofür
A / AAAAName → IPv4 / IPv6
CNAMEAlias auf anderen Namen
MXMailserver (+ Priorität)
TXTSPF/DKIM/Verifizierung
NS / SOAZuständigkeit & Eckdaten der Zone
CAAerlaubte Zertifizierungsstelle

🕳️ Pi-hole + Unbound (Docker)

2docker-compose.yml (Kurzform)
services:
  pihole:
    image: pihole/pihole:latest
    ports: ["53:53/tcp", "53:53/udp", "80:80/tcp"]
    environment:
      FTLCONF_webserver_api_password: 'AENDERN'
      FTLCONF_dns_upstreams: 'unbound#53'
    volumes: ['./etc-pihole:/etc/pihole']
    restart: unless-stopped
  unbound:
    image: mvance/unbound:latest
    volumes: ['./unbound:/opt/unbound/etc/unbound']
    restart: unless-stopped

🔐 Resolver & Verschlüsselung

Quad9
9.9.9.9 · EU-Stiftung, Malware-Filter
DoT
verschlüsselt über Port 853
DoH
verschlüsselt über Port 443
eigener Resolver
Pi-hole + Unbound = volle Souveränität
Lernkontrolle

Quiz

7 Fragen quer durch die DNS-Stufen. Ab 6 richtigen Antworten schaltest du dein Zertifikat frei.

Frage 1 von 7
Abschluss

Dein Zertifikat

Glückwunsch! Trage deinen Namen ein und drucke das Zertifikat (oder speichere als PDF).

FL
Florian Ludwig
AI Consultant · Kutzschbach INNOVATIONS
Zertifikat
DNS verstehen & selbst betreiben
Hiermit wird bestätigt, dass
Dein Name hier
den Workshop „DNS verstehen & selbst betreiben — vom Namen zur IP bis zum eigenen Server" erfolgreich abgeschlossen hat.
Datum
GEPRÜFT
Florian LudwigAI Consultant · Kutzschbach INNOVATIONS