Encrypted DNS
for a hostile web.
Verschlüsseltes DNS
für ein feindseliges Netz.
Most DNS resolvers are operated by the same companies that profit from tracking you. DNSBunker is different: a non-commercial, privacy-first resolver hosted in Germany, with no logs, no ads, and no agenda beyond keeping your queries private.
Die meisten DNS-Resolver werden von denselben Unternehmen betrieben, die vom Tracking ihrer Nutzer profitieren. DNSBunker ist anders: ein nicht-kommerzieller, datenschutzorientierter Resolver, betrieben in Deutschland — ohne Protokolle, ohne Werbung und ohne andere Interessen als den Schutz Ihrer Anfragen.
DoH & DoH3
The recommended protocol for browsers and mobile devices. Queries are encrypted and transported over standard HTTPS, making them indistinguishable from regular web traffic and resistant to interception and ISP-level throttling.
Das empfohlene Protokoll für Browser und mobile Geräte. Anfragen werden über HTTPS transportiert und sind von normalem Web-Traffic nicht unterscheidbar — resistent gegen Überwachung und ISP-Drosselung.
https://dnsbunker.org/dns-query
h3://dnsbunker.org/dns-query
DoT
A dedicated encrypted channel for DNS traffic using TLS. Supported natively by Android, Linux's systemd-resolved, and most modern routers. Suitable for system-wide configuration covering all applications on the device.
Ein dedizierter verschlüsselter Kanal für DNS-Traffic via TLS. Nativ unterstützt von Android, systemd-resolved und den meisten modernen Routern. Geeignet für systemweite Konfiguration aller Anwendungen.
dnsbunker.org
DoQ
The newest encrypted DNS transport, based on QUIC — the same protocol underpinning HTTP/3. Offers lower connection latency than TLS due to the absence of a TCP handshake, with built-in connection migration suited to mobile networks.
Der neueste verschlüsselte DNS-Transport, basierend auf QUIC — demselben Protokoll wie HTTP/3. Bietet geringere Latenz als TLS durch den Wegfall des TCP-Handshakes sowie eingebaute Verbindungsmigration für mobile Netzwerke.
quic://dnsbunker.org
A DNS stamp encodes the resolver's address, protocol, and verification hash into a single portable string. Supported by DNSCrypt-Proxy, AdGuard Home, and compatible clients for one-step verified configuration.
Ein DNS-Stamp kodiert Adresse, Protokoll und Verifikations-Hash des Resolvers in einem portablen String. Unterstützt von DNSCrypt-Proxy, AdGuard Home und kompatiblen Clients für eine verifizierte Einschritt-Konfiguration.
sdns://AgMAAAAAAAAADTQ1LjEzNi4yOS4xOTEADWRuc2J1bmtlci5vcmcKL2Rucy1xdWVyeQsdns://AwMAAAAAAAAADTQ1LjEzNi4yOS4xOTEADWRuc2J1bmtlci5vcmcsdns://BAMAAAAAAAAADTQ1LjEzNi4yOS4xOTEADWRuc2J1bmtlci5vcmcUnencrypted DNS on port 53 is not supported. All clients must use an encrypted transport protocol.
Unverschlüsseltes DNS auf Port 53 wird nicht unterstützt. Alle Clients müssen ein verschlüsseltes Transportprotokoll verwenden.
45.136.29.191
2a03:4000:49:878::
Android's native Private DNS feature uses DNS over TLS and applies to all network interfaces. Navigate to Settings → Network & Internet → Private DNS, select Private DNS provider hostname, and enter the hostname below. No app installation required.
Androids native Private-DNS-Funktion verwendet DNS over TLS und gilt für alle Netzwerkschnittstellen. Navigiere zu Einstellungen → Netzwerk & Internet → Privates DNS, wähle Hostname des privaten DNS-Anbieters und trage den folgenden Hostnamen ein.
dnsbunker.org
Windows 11 (build 21H2+) supports DoH natively. Open Settings → Network & Internet, select your active connection, click Edit under DNS server assignment, switch to Manual, enable IPv4, enter the IP address, and set encryption to HTTPS only. For Windows 10 or advanced setups, YogaDNS is recommended.
Windows 11 (Build 21H2+) unterstützt DoH nativ. Öffne Einstellungen → Netzwerk & Internet, wähle die aktive Verbindung, klicke unter DNS-Serverzuweisung auf Bearbeiten, wechsle zu Manuell, aktiviere IPv4, trage die IP ein und stelle Verschlüsselung auf Nur HTTPS. Für Windows 10 oder erweiterte Setups empfehlen wir YogaDNS.
https://dnsbunker.org/dns-query
Apple platforms enforce encrypted DNS system-wide via signed configuration profiles. The profile below installs in seconds, requires no additional software, and is compatible with iOS 14+ and macOS 11 Big Sur and later.
Apple-Plattformen erzwingen verschlüsseltes DNS systemweit über signierte Konfigurationsprofile. Das folgende Profil ist in Sekunden installiert, benötigt keine zusätzliche Software und ist mit iOS 14+ sowie macOS 11 Big Sur und neuer kompatibel.
Download Configuration Profile Konfigurationsprofil herunterladen Generate a custom profile → Eigenes Profil erstellen →Configuring DNSBunker at the router level protects every device on your network without any per-device setup. Most modern router firmware (OpenWrt, pfSense, OPNsense) supports upstream DoT or DoH configuration. For a full self-hosted setup with a local dashboard, AdGuard Home or Pi-hole with DNSBunker as upstream resolver is a highly effective combination.
DNSBunker auf Router-Ebene zu konfigurieren schützt alle Geräte im Netzwerk ohne individuelle Einrichtung. Die meisten modernen Router-Firmware-Systeme (OpenWrt, pfSense, OPNsense) unterstützen DoT oder DoH als vorgelagerten Resolver. Für ein vollständiges Self-Hosted-Setup ist AdGuard Home oder Pi-hole mit DNSBunker als Upstream eine sehr effektive Kombination.
DNSSEC adds cryptographic signatures to the DNS hierarchy, allowing resolvers to verify that a response genuinely originates from the authoritative nameserver and has not been modified in transit. DNSBunker enforces strict DNSSEC validation: any domain whose signature chain is broken, absent, or invalid is rejected with REFUSED, protecting against cache poisoning and man-in-the-middle attacks.
DNSSEC ergänzt die DNS-Hierarchie um kryptografische Signaturen, mit denen Resolver verifizieren können, ob eine Antwort tatsächlich vom autoritativen Nameserver stammt und nicht manipuliert wurde. DNSBunker erzwingt strikte DNSSEC-Validierung: Domains mit fehlerhafter, fehlender oder ungültiger Signaturkette werden mit REFUSED abgewiesen — Schutz gegen Cache-Poisoning und Man-in-the-Middle-Angriffe.
DNS rebinding is an attack in which a malicious website's DNS record resolves to a private IP address, allowing attacker-controlled JavaScript to communicate with internal devices such as routers and home automation systems. DNSBunker blocks any public hostname resolving to private, loopback, or link-local IP ranges, enforced both as a resolver policy and via a dedicated Hagezi rebind protection list.
DNS-Rebinding ist ein Angriff, bei dem ein DNS-Eintrag auf eine private IP-Adresse auflöst, sodass angreifer-kontrolliertes JavaScript mit internen Geräten wie Routern kommunizieren kann. DNSBunker blockiert alle öffentlichen Hostnamen, die auf private, Loopback- oder Link-Local-IP-Bereiche zeigen — sowohl als Resolver-Policy als auch über eine dedizierte Hagezi-Rebind-Schutzliste.
Some applications and malware attempt to bypass the system resolver by hardcoding alternative DoH or DoT endpoints. DNSBunker blocks known bypass endpoints to ensure all DNS resolution on the network routes through the configured resolver.
Manche Anwendungen und Malware versuchen, den System-Resolver zu umgehen, indem sie alternative DoH- oder DoT-Endpunkte hardcoden. DNSBunker sperrt bekannte Bypass-Endpunkte, damit alle DNS-Auflösungen über den konfigurierten Resolver laufen.
Advertisements, trackers, telemetry endpoints, phishing domains, and malware infrastructure are blocked at the resolver level. Blocked domains are answered with a null IP (0.0.0.0 / ::), terminating the connection before any data is transmitted. Wildcard and regular-expression rules extend coverage to dynamically generated domains. Lists are refreshed hourly. A block TTL of 1,800 seconds is applied to reduce repeated lookup overhead on mobile devices and conserve battery, while remaining short enough to propagate unblocks promptly. All other TTLs are passed through as-is per RFC.
Werbung, Tracker, Telemetrie-Endpunkte, Phishing-Domains und Malware-Infrastruktur werden auf Resolver-Ebene gesperrt. Blockierte Domains werden mit einer Null-IP (0.0.0.0 / ::) beantwortet. Wildcard- und Regex-Regeln erweitern den Schutz auf dynamisch generierte Domains. Die Listen werden stündlich aktualisiert. Eine Block-TTL von 1.800 Sekunden bremst wiederholte Anfragen auf Mobilgeräten und schont den Akku. Alle übrigen TTLs werden RFC-konform unverändert weitergegeben.
All filter lists are maintained by the independent open-source Hagezi DNS project. If a legitimate domain is being blocked or an ad network is slipping through, the correct channel is the Hagezi issue tracker. If DNSBunker's filtering is too strict, the Hagezi DNS Resolvers offer lighter alternatives with comparable privacy standards.
Alle Filterlisten werden vom unabhängigen Open-Source-Projekt Hagezi DNS gepflegt. Bei falsch gesperrten Domains ist der Hagezi Issue-Tracker der richtige Weg. Wer weniger strikte Filterung benötigt, findet bei den Hagezi DNS Resolvern abgestufte Alternativen.
DNSBunker does not log, store, or analyse your DNS queries. Your IP address is never written to disk. There is no query history, no user profiling, and no data that could be handed over in response to a legal request — because none exists. This is not a policy statement; it is an infrastructure constraint.
DNSBunker protokolliert, speichert und analysiert keine DNS-Anfragen. Die IP-Adresse wird nie auf einem Datenträger gespeichert. Es gibt keinen Anfrageverlauf, kein Nutzerprofiling und keine Daten, die auf eine rechtliche Anfrage herausgegeben werden könnten — weil schlicht keine vorhanden sind. Das ist keine Policy-Aussage, sondern eine Infrastruktur-Eigenschaft.
All infrastructure is located in Nuremberg, Germany, subject to EU data protection law and the GDPR. Germany has no mandatory data retention law for this category of service — in contrast to US-based providers, which are subject to National Security Letters and FISA court orders that can compel silent data disclosure.
Die gesamte Infrastruktur befindet sich in Nürnberg, Deutschland, und unterliegt dem EU-Datenschutzrecht sowie der DSGVO. Deutschland kennt keine Vorratsdatenspeicherungspflicht für diese Dienstekategorie — im Gegensatz zu US-amerikanischen Anbietern, die National Security Letters und FISA-Court-Anordnungen unterliegen.
When a query must be forwarded to an authoritative nameserver, only the minimum required portion of the domain name is transmitted. For example, when resolving sub.example.com, the root nameserver is only asked about .com, not the full hostname. This limits what upstream nameservers can infer about browsing patterns.
Wenn eine Anfrage an einen autoritativen Nameserver weitergeleitet werden muss, wird nur der minimal notwendige Teil des Domainnamens übertragen. Beim Auflösen von sub.example.com fragt der Root-Nameserver nur nach .com. Das begrenzt, was vorgelagerte Nameserver über Browsing-Muster ableiten können.
DNSBunker is a private project with no revenue model, no investors, and no advertising relationships. There is no financial incentive to monetise user data. The service exists because public DNS infrastructure should not be controlled by companies whose core business is the sale of attention and behavioural data.
DNSBunker ist ein privates Projekt ohne Umsatzmodell, ohne Investoren und ohne Werbebeziehungen. Es gibt keinen finanziellen Anreiz, Nutzerdaten zu monetarisieren. Der Dienst existiert, weil öffentliche DNS-Infrastruktur nicht von Unternehmen kontrolliert werden sollte, deren Kerngeschäft der Verkauf von Aufmerksamkeit und Verhaltensdaten ist.