Warum funktioniert die DNS-Filterung über privates DNS beim Pixel 7a nicht korrekt?
- Kurzfassung des Problems
- Einschränkungen von Androids Privatem DNS
- App‑eigene DNS‑ und Verschlüsselungsimplementierungen
- IPv6, Mehrere Netzwerke und Fallback‑Mechanismen
- Zertifikate und Namensauflösungsfehler
- Performance‑ und UX‑Gründe seitens Android
- Was kann man tun?
Kurzfassung des Problems
Bei vielen Pixel 7a-Geräten funktioniert die DNS‑Filterung über „Privates DNS“ nicht zuverlässig oder vollständig, weil das Android‑Feature „Privates DNS (DNS über TLS)“ nur bestimmte Arten von DNS‑Servern und bestimmte DNS‑Trennstellen unterstützt. Außerdem können App‑eigene DNS‑Implementierungen, IPv6‑Nutzung, DoH‑/DoT‑Inkompatibilitäten und systemseitige Einschränkungen dazu führen, dass Filter nicht angewendet werden.
Einschränkungen von Androids Privatem DNS
Androids „Privates DNS“ verwendet DNS über TLS (DoT) gegenüber einem einzelnen angegebenen Hostnamen. Viele kommerzielle oder selbst betriebene Filterdienste nutzen stattdessen DNS über HTTPS (DoH) oder erfordern spezielle Server‑Konfigurationen, die DoT nicht unterstützen. Wenn der ausgewählte Filteranbieter kein DoT anbietet oder nur über DoH erreichbar ist, fällt die Filterung aus. Zudem akzeptiert Android nur die Eingabe eines Hostnamens (z. B. dns.example.com) und keine IP‑Adresse; das schränkt die Auswahl kompatibler Filter ein.
App‑eigene DNS‑ und Verschlüsselungsimplementierungen
Einige Apps umgehen das System‑DNS, indem sie eigene DNS‑Resolver verwenden oder direkt über HTTPS (DoH) abfragen. Solche Apps können das System‑Wegeblockieren von Domains umgehen, weil sie nicht das vom System gesetzte Private‑DNS nutzen. Auch VPN‑basierte Filter oder Sicherheitsapps, die Tun‑Interfaces verwenden, interagieren womöglich nicht sauber mit dem systemweiten Privaten DNS.
IPv6, Mehrere Netzwerke und Fallback‑Mechanismen
Wenn ein Mobilfunknetz oder WLAN vorrangig IPv6 bereitstellt, kann die Namensauflösung anders geroutet werden als über den konfigurierten DoT‑Server. Manche Netzwerke bieten eigene DNS‑Routen oder „Transparent DNS Proxies“, die Anfragen umleiten. Zusätzlich haben Clients manchmal Fallback‑Mechanismen: Scheitert die DoT‑Verbindung, wird auf unsicheren DNS zurückgegriffen oder auf eine alternative Auflösung ausgewichen, wodurch Filter umgangen werden.
Zertifikate und Namensauflösungsfehler
DoT erfordert, dass das Zertifikat des DNS‑Servers zum eingegebenen Hostnamen passt. Ist das Zertifikat falsch konfiguriert, ungültig oder verwendet SNI, das Android nicht erwartet, wird die Private‑DNS‑Verbindung abgelehnt und die Auflösung schlägt fehl oder fällt auf einen anderen Resolver zurück. Fehlermeldungen im System oder Verbindungsabbrüche sind die Folge.
Performance‑ und UX‑Gründe seitens Android
Google kann in Android Designentscheidungen treffen, die Prioritäten auf Verfügbarkeit und Kompatibilität setzen statt auf striktes Durchsetzen von Filtern. Deshalb gibt es Situationen, in denen Android versucht, Verbindungen aufrechtzuerhalten und alternative DNS‑Routen zuzulassen, was die Filterwirkung mindert.
Was kann man tun?
Als Gegenmaßnahmen bieten sich an: Einen Filteranbieter wählen, der DoT unterstützt und ein korrektes Zertifikat hat; bei Bedarf zusätzlich ein VPN‑basiertes Filter- oder Werbeblockingsystem nutzen, das auf Netzwerkebene greift; Apps prüfen, die eigene DNS‑Lösungen verwenden; und bei spezifischen Problemen Logmeldungen und Netzwerkdetails (IPv4/IPv6, Provider‑Eigenheiten) analysieren. Auf Systemebene sind dagegen oft nur begrenzte Eingriffsmöglichkeiten, solange Android das Verhalten so handhabt.