DoH / DoH3
Works well in browsers, mobile profiles and apps that ask for a DNS-over-HTTPS URL.
Passt für Browser, mobile Profile und Apps, die eine DNS-over-HTTPS-URL erwarten.
https://dnsbunker.org/dns-query
DNSBunker
DNSBunker
Encrypted DNS resolver with DNS-level ad, tracker and threat blocking.No account, no app, no query logs.
Verschlüsselter DNS-Resolver mit Adblocking, Tracker- und Threat-Blocking auf DNS-Ebene.Kein Account, keine App, keine Query-Logs.
Private DNS
For Android, many routers and operating systems, the hostname alone is enough.
Für Android, viele Router und Betriebssysteme reicht der Hostname.
dnsbunker.org
Encrypted only
Nur verschlüsselt
Plain DNS is intentionally unavailable from outside. If a client cannot encrypt DNS, it cannot use this resolver.
Unverschlüsseltes DNS ist von außen bewusst nicht erreichbar. Clients ohne verschlüsseltes DNS bleiben draußen.
Before a page loads
Bevor eine Seite lädt
Your browser cannot connect to dnsbunker.org directly. First, a resolver has to turn that name into an IP address. That lookup happens constantly, often before you notice anything on screen.
Dein Browser kann dnsbunker.org nicht direkt ansteuern. Zuerst muss ein Resolver den Namen in eine IP-Adresse übersetzen. Diese Abfrage passiert ständig, oft bevor du auf dem Bildschirm etwas siehst.
Where tracking starts
Wo Tracking anfängt
DNS reveals which domains a device wants to contact. If those lookups are sent in the clear, the local network and the access provider can read them. If the resolver logs them, the trail lives there.
DNS verrät, welche Domains ein Gerät erreichen will. Wenn diese Abfragen offen durchs Netz gehen, können lokales Netzwerk und Zugangsanbieter mitlesen. Wenn der Resolver mitschreibt, liegt die Spur dort.
The filter belongs early
Der Filter gehört früh rein
A DNS resolver can refuse unwanted domains before a browser, app or smart TV opens a connection. That is not a full security suite, but it removes a lot of noise before it reaches a device.
Ein DNS-Resolver kann unerwünschte Domains ablehnen, bevor Browser, App oder Smart-TV eine Verbindung öffnen. Das ersetzt keine komplette Sicherheitslösung, räumt aber viel Ballast früh ab.
AreaBereich
DNSBunker defaultDNSBunker-Standard
What that meansWas das bedeutet
TransportTransport
DoH / DoH3 / DoT / DoQ
DNS traffic is encrypted on the way to the resolver.DNS-Traffic ist bis zum Resolver verschlüsselt.
FilteringFilterung
Hagezi Pro++ / TIF / CTI
Ads, trackers, phishing and malware domains are rejected at DNS level.Werbung, Tracker, Phishing und Malware werden auf DNS-Ebene abgewiesen.
LoggingLogging
No query logsKeine Query-Logs
Client queries and client IPs are not written to persistent storage.Client-Anfragen und Client-IPs werden nicht dauerhaft gespeichert.
DNSSEC
Strict validationStrikte Validierung
Broken signatures are refused instead of silently accepted.Kaputte Signaturen werden abgelehnt, nicht still akzeptiert.
Rebind protectionRebind-Schutz
Private ranges blockedPrivate Bereiche gesperrt
Public hostnames cannot resolve into internal network ranges.Öffentliche Hostnamen lösen nicht in interne Netzwerkbereiche auf.
At home
Zuhause
Set the resolver once and reduce tracking, ad calls and known bad domains across phones, laptops, tablets and TVs. No browser extension is needed for the basic DNS layer.
Einmal eintragen und Tracking-, Werbe- und bekannte Schad-Domains auf Smartphones, Laptops, Tablets und TVs reduzieren. Für diese DNS-Schicht brauchst du keine Browser-Erweiterung.
Beyond the browser
Außerhalb des Browsers
Many ads and telemetry calls do not come from a web page. They come from apps, launchers, smart TVs and devices where installing an extension is not an option.
Viele Werbe- und Telemetrieaufrufe kommen nicht aus Webseiten, sondern aus Apps, Launchern, Smart-TVs und Geräten, auf denen du keine Erweiterung installieren kannst.
Small offices
Kleine Büros
Use DNSBunker as an upstream resolver on a router, AdGuard Home, Pi-hole or dnscrypt-proxy. The network gets a shared first line of filtering without an agent on every device.
Nutze DNSBunker als Upstream am Router, in AdGuard Home, Pi-hole oder dnscrypt-proxy. Das Netzwerk bekommt eine gemeinsame erste Filterlinie ohne Agent auf jedem Gerät.
Public Wi-Fi
Öffentliche WLANs
In hotels, airports or cafés, encrypted DNS keeps lookups away from casual network inspection. DNSBunker only accepts encrypted transports from outside.
In Hotels, Flughäfen oder Cafés hält verschlüsseltes DNS deine Abfragen aus der einfachen Netzwerkmitsicht heraus. DNSBunker nimmt von außen nur verschlüsselte Transporte an.
VPN users
VPN-Nutzer
A VPN can hide traffic from the access network, but DNS still needs a resolver. If you choose your own encrypted resolver, you also choose the logging and filtering policy.
Ein VPN kann Traffic vor dem Zugangsnetz verstecken, aber DNS braucht weiterhin einen Resolver. Wenn du den Resolver selbst wählst, wählst du auch Logging- und Filter-Policy.
Admins
Admins
DNS stamps, DoQ, QNAME minimisation and strict DNSSEC are available without a special plan. Copy the endpoint you need and wire it into your existing stack.
DNS-Stamps, DoQ, QNAME-Minimierung und striktes DNSSEC sind ohne Tarif oder Account verfügbar. Kopiere den passenden Endpunkt und hänge ihn in deinen bestehenden Stack.
1. A domain is requested
1. Eine Domain wird angefragt
A browser, app or device needs an IP address for a domain and sends the lookup to DNSBunker.
Browser, App oder Gerät brauchen eine IP-Adresse zu einer Domain und schicken die Abfrage an DNSBunker.
2. The transport is encrypted
2. Der Transport ist verschlüsselt
Instead of plain DNS on port 53, the client uses HTTPS, TLS or QUIC. The access network can see the connection to DNSBunker, not the requested domain.
Statt Plain-DNS auf Port 53 nutzt der Client HTTPS, TLS oder QUIC. Das Zugangsnetz sieht die Verbindung zu DNSBunker, nicht die angefragte Domain.
3. The resolver checks policy
3. Der Resolver prüft die Policy
If the domain matches an ad, tracker, phishing, malware, rebind or bypass rule, DNSBunker answers with
NXDOMAIN. Clean domains resolve normally.
Passt die Domain auf eine Werbe-, Tracker-, Phishing-, Malware-, Rebind- oder Bypass-Regel, antwortet DNSBunker mit NXDOMAIN. Saubere Domains werden normal aufgelöst.
4. The answer leaves no trail
4. Die Antwort hinterlässt keine Spur
The response goes back to the client. Query content and client IPs are not written to disk, so there is no browsing history to sell, analyse or hand over.
Die Antwort geht zurück zum Client. Anfrageinhalt und Client-IP werden nicht auf Datenträger geschrieben. Es gibt keinen Verlauf, der verkauft, ausgewertet oder herausgegeben werden könnte.
DNS over HTTPS
DoH / DoH3
DoH / DoH3
Use this for browsers, mobile configuration profiles and clients that accept a DoH URL. DoH3 uses HTTP/3 over QUIC where the client supports it.
Für Browser, mobile Konfigurationsprofile und Clients, die eine DoH-URL akzeptieren. DoH3 nutzt HTTP/3 über QUIC, wenn der Client es unterstützt.
https://dnsbunker.org/dns-query
h3://dnsbunker.org/dns-query
DNS over TLS
DoT
DoT
Good for Android Private DNS, routers and system resolvers that ask for a hostname instead of a URL.
Gut für Android Private DNS, Router und System-Resolver, die einen Hostnamen statt einer URL erwarten.
dnsbunker.org
DNS over QUIC
DoQ
DoQ
QUIC-based DNS transport for clients that support DoQ directly. Useful when connection migration and fast reconnects matter.
DNS-Transport über QUIC für Clients mit direkter DoQ-Unterstützung. Nützlich, wenn schnelle Wiederverbindungen und Netzwechsel wichtig sind.
quic://dnsbunker.org
DNS Stamps
DNS stamps bundle address, protocol and resolver metadata into a portable string. They are handy for DNSCrypt-Proxy, AdGuard Home and compatible clients.
DNS-Stamps bündeln Adresse, Protokoll und Resolver-Metadaten in einer portablen Zeichenkette. Praktisch für DNSCrypt-Proxy, AdGuard Home und kompatible Clients.
DoH
sdns://AgMAAAAAAAAADjI3LjEyMy4yNDUuMTMwAA1kbnNidW5rZXIub3JnCi9kbnMtcXVlcnk
DoT
sdns://AwMAAAAAAAAADjI3LjEyMy4yNDUuMTMwAA1kbnNidW5rZXIub3Jn
DoQ
sdns://BAMAAAAAAAAADjI3LjEyMy4yNDUuMTMwAA1kbnNidW5rZXIub3Jn
IP addresses
IP-Adressen
These addresses do not provide plain DNS service on port 53.
Diese Adressen bieten kein Plain-DNS auf Port 53 an.
27.123.245.130
2a0a:51c1:000a:021d::
Android 9+
Open Settings > Network & Internet > Private DNS, choose Private DNS provider hostname and enter the hostname below. Android will use DoT system-wide.
Öffne Einstellungen > Netzwerk & Internet > Privates DNS, wähle Hostname des privaten DNS-Anbieters und trage den Hostnamen unten ein. Android nutzt dann systemweit DoT.
dnsbunker.org
Windows 10 / 11
Windows 11 supports DoH in network settings. Select the active connection, edit DNS server assignment, switch to manual, enter the IP address and set DNS encryption to HTTPS only. For Windows 10 or more advanced routing, YogaDNS is a practical option.
Windows 11 kann DoH in den Netzwerkeinstellungen. Wähle die aktive Verbindung, bearbeite die DNS-Serverzuweisung, stelle auf manuell, trage die IP ein und setze die DNS-Verschlüsselung auf Nur HTTPS. Für Windows 10 oder komplexere Regeln ist YogaDNS eine praktische Option.
https://dnsbunker.org/dns-query
iOS & macOS
Apple devices can install an encrypted DNS profile system-wide. Download the profile below, review it in the system prompt and install it if the endpoint matches what you expect.
Apple-Geräte können ein verschlüsseltes DNS-Profil systemweit installieren. Lade das Profil unten, prüfe es im Systemdialog und installiere es, wenn der Endpunkt passt.
Download configuration profile Konfigurationsprofil herunterladen Generate a custom profile Eigenes Profil erstellenRouters & home networks
Router & Heimnetze
On OpenWrt, pfSense, OPNsense, AdGuard Home or Pi-hole, set DNSBunker as encrypted upstream. Keep local names and DHCP handling local; send public lookups through the resolver.
Auf OpenWrt, pfSense, OPNsense, AdGuard Home oder Pi-hole kannst du DNSBunker als verschlüsselten Upstream eintragen. Lokale Namen und DHCP bleiben lokal; öffentliche Abfragen gehen an den Resolver.
DNSSEC
DNSSEC validation checks whether signed DNS answers still match their cryptographic chain. DNSBunker treats broken or invalid signatures as a failed answer instead of quietly falling back to unsigned trust.
DNSSEC-Validierung prüft, ob signierte DNS-Antworten noch zu ihrer kryptografischen Kette passen. DNSBunker behandelt kaputte oder ungültige Signaturen als Fehler, statt still auf unsigniertes Vertrauen auszuweichen.
Rebind protection
Rebind-Schutz
DNS rebinding tries to make a public hostname resolve to an internal address. DNSBunker blocks public names that point at private, loopback or link-local ranges.
DNS-Rebinding lässt einen öffentlichen Hostnamen auf eine interne Adresse zeigen. DNSBunker blockiert öffentliche Namen, die auf private, Loopback- oder Link-Local-Bereiche verweisen.
Encrypted DNS bypass lists
Listen gegen DNS-Bypass
Some apps and malware try to ignore the configured resolver and call known DoH or DoT endpoints directly. DNSBunker includes bypass lists so those shortcuts can be blocked at DNS level.
Manche Apps und Malware ignorieren den eingestellten Resolver und rufen bekannte DoH- oder DoT-Endpunkte direkt auf. DNSBunker nutzt Bypass-Listen, damit solche Abkürzungen auf DNS-Ebene blockiert werden können.
Ad, tracker and threat filtering
Werbe-, Tracker- und Threat-Filter
Blocked domains are answered as non-existent (NXDOMAIN), so the connection attempt stops before an ad server, telemetry endpoint, phishing host or malware domain can respond. Wildcard and regular-expression rules cover many generated hostnames too.
Blockierte Domains werden als nicht existent beantwortet (NXDOMAIN). Dadurch endet der Verbindungsversuch, bevor Werbeserver, Telemetrie-Endpunkt, Phishing-Host oder Malware-Domain antworten können. Wildcard- und Regex-Regeln decken auch viele generierte Hostnamen ab.
Active blocklists
Aktive Sperrlisten
False positives
Falsch-Positive
If a legitimate domain is blocked, report it to the maintainers of the list that contains it. For Hagezi lists, the right place is the Hagezi issue tracker. If this resolver is too strict for your network, the Hagezi DNS resolvers document lighter presets.
Wenn eine legitime Domain blockiert wird, melde sie bei den Maintainern der Liste, in der sie steht. Für Hagezi-Listen ist der Hagezi Issue-Tracker der richtige Ort. Wenn dieser Resolver für dein Netzwerk zu streng ist, dokumentieren die Hagezi DNS Resolver mildere Varianten.
No query logs
Keine Query-Logs
DNSBunker does not keep a history of requested domains. Client IPs and query contents are not written to persistent storage, so the resolver cannot build a browsing profile from them.
DNSBunker führt keinen Verlauf angefragter Domains. Client-IPs und Anfrageinhalte werden nicht dauerhaft gespeichert, dadurch kann der Resolver daraus kein Surfprofil bauen.
Germany, EU law
Deutschland, EU-Recht
The infrastructure is located in Nuremberg, Germany. The project is operated under EU data protection law and the German legal pages linked below describe the processing details.
Die Infrastruktur steht in Nürnberg. Das Projekt läuft unter EU-Datenschutzrecht; die unten verlinkten Rechtstexte beschreiben die technischen Verarbeitungsvorgänge genauer.
QNAME minimisation
When the resolver has to ask authoritative nameservers, it sends only the part of the name needed for that step. Higher-level servers do not receive the full hostname if it is not necessary.
Wenn der Resolver autoritative Nameserver fragen muss, sendet er nur den für diesen Schritt nötigen Teil des Namens. Höhere Ebenen bekommen nicht den vollen Hostnamen, wenn er dort nicht gebraucht wird.
Private project
Privates Projekt
DNSBunker has no ad business, investor story or analytics product attached to it. It is a private, non-commercial resolver for people who want a stricter default without running the whole stack themselves.
DNSBunker hat kein Werbegeschäft, keine Investorenerzählung und kein Analytics-Produkt im Rücken. Es ist ein privater, nicht-kommerzieller Resolver für Leute, die strengere Defaults wollen, ohne den ganzen Stack selbst zu betreiben.