Privacy DNS gids — Quad9, Mullvad DNS en DNS-over-HTTPS
Elke keer dat je een website bezoekt, wordt er een DNS-verzoek gedaan — een vertaling van domeinnaam naar IP-adres. Standaard verloopt dit via je ISP of via Google (8.8.8.8). Die partijen loggen wat je opvraagt, wanneer, en hoe vaak.
Privacy DNS gids
Elke keer dat je een website bezoekt, wordt er een DNS-verzoek gedaan — een vertaling van domeinnaam naar IP-adres. Standaard verloopt dit via je ISP of via Google (8.8.8.8). Die partijen loggen wat je opvraagt, wanneer, en hoe vaak.
Een privacy-vriendelijke DNS-resolver lost dit op: geen logging, geen verkoop van je querydata, minder onnodige tracking, en vaak ook bescherming tegen malware-domeinen of advertentiedomeinen.
Voor wie dit nuttig is
Deze gids is vooral nuttig voor lezers die:
- hun internetprovider minder inzicht willen geven in hun browsegedrag
- een kleine maar zinvolle privacyverbetering willen zonder nieuwe hardware
- een simpele netwerkstap zoeken die weinig onderhoud vraagt
Voor de meeste lezers is dit een lage-frictie basismaatregel, geen geavanceerd project.
Als je nog twijfelt tussen “kleine nuttige winst” en “weer een technisch hobbyproject”, houd dan dit aan: privacyvriendelijke DNS is meestal zinvol; zelf een complete DNS-stack bouwen meestal pas later.
Wat je wint, en wat het kost
Met privacyvriendelijke DNS win je meestal:
- minder directe inzage voor je internetprovider in welke domeinen je opvraagt
- versleuteld DNS-verkeer in plaats van standaard onversleutelde queries
- soms extra malware- of trackerblokkering, afhankelijk van de provider
Maar het lost niet alles op:
- websites zien nog steeds je IP-adres
- trackingcookies en browserfingerprinting blijven bestaan
- je verplaatst vertrouwen van je provider naar een andere DNS-aanbieder
De adoptiefrictie is meestal laag. Het onderhoud is ook laag, zolang je een eenvoudige providerconfiguratie kiest in plaats van zelf gehoste DNS.
Wat is DNS en waarom maakt het uit?
DNS (Domain Name System) is het telefoonboek van het internet. Als je privacygear.nl typt, vraagt je apparaat aan een DNS-server: “Wat is het IP-adres van privacygear.nl?”
Het probleem: Je internetprovider of netwerkbeheerder ziet standaard deze vragen. Zelfs als je HTTPS gebruikt voor de inhoud van de website, is de DNS-query zichtbaar — tenzij je DNS-over-HTTPS of DNS-over-TLS gebruikt.
Wat DNS-providers zien:
- Welke domeinen je opvraagt
- Hoe laat
- Hoe vaak
- Van welk IP-adres
Hoe daarmee wordt omgegaan verschilt per provider en land. Juist daarom is het verstandiger om DNS niet onnodig onversleuteld via je standaardprovider te laten lopen.
DNS-over-HTTPS en DNS-over-TLS
Standaard DNS gaat onversleuteld over het netwerk (UDP port 53) — zichtbaar voor je ISP, router, of iemand die je netwerk afluistert.
DNS-over-HTTPS (DoH): DNS-query’s worden verstuurd als HTTPS-verkeer (port 443). Ononderscheidbaar van normaal webverkeer. Ondersteund door Firefox, Chrome, Windows 11, Android.
DNS-over-TLS (DoT): DNS-query’s worden versleuteld over TLS (port 853). Duidelijker herkenbaar als DNS, maar ook versleuteld. Beter geschikt voor routers en systeem-brede configuratie.
Welke kiezen? Voor browser-niveau: DoH. Voor systeem-breed of router: DoT of DoH met systeeminstellingen.
Wat voor de meeste lezers het juiste antwoord is
Voor de meeste PrivacyGear-lezers is de beste route simpel:
- kies een betrouwbare provider zoals Quad9
- stel die systeem-breed in op je telefoon of computer
- laat router-brede of zelfgehoste DNS pas komen als je daar echt een reden voor hebt
Quad9 is daarom hier de standaardaanbeveling: lage frictie, duidelijke winst, weinig onderhoud.
Kies vooral zo:
- kies Quad9 als je één goede standaardinstelling wilt zonder verder na te denken
- kies Mullvad DNS als je bewust extra blokkeringsvarianten wilt vergelijken
- kies AdGuard Home of router-DNS pas als je al actief met je thuisnetwerk bezig bent
Quad9 — aanbevolen voor de meeste gebruikers
Quad9 is voor PrivacyGear de standaardaanbeveling voor de meeste lezers.
Waarom Quad9:
- Non-profit — geen advertentiemodel
- Gevestigd in Zwitserland
- Blokkeert malware-domeinen via Threat Intelligence feeds
- Profileert zich als privacygerichte resolver met weinig onderhoudsfrictie
Quad9 adressen:
| Type | Adres |
|---|---|
| IPv4 | 9.9.9.9 / 149.112.112.112 |
| IPv6 | 2620:fe::fe / 2620:fe::9 |
| DoH | https://dns.quad9.net/dns-query |
| DoT | tls://dns.quad9.net |
Varianten:
9.9.9.9— met malwareblokkering (aanbevolen)9.9.9.10— zonder blokkering, alleen privacy9.9.9.11— met blokkering + ECS (iets sneller door geolocation, iets minder privacy)
Wat je wint: lage frictie, weinig onderhoud, non-profitstructuur, malwareblokkering zonder extra app.
Wat je inlevert: je vertrouwt nog steeds een externe resolver en krijgt geen advertentie- of trackerblokkering als standaard.
Beste fit: normale gebruikers en privacy-bewuste lezers die een systeem-brede instelling willen zonder door tientallen filters en dashboards te hoeven lopen.
Mullvad DNS
Mullvad DNS is de DNS-dienst van Mullvad VPN. Ook zonder Mullvad VPN te gebruiken beschikbaar.
Voordelen:
- Geen logging
- Optioneel met reclame- en trackerblokkering
- Gevestigd in Zweden
Wat je wint: meer blokkeringsopties en een privacyvriendelijke aanbieder zonder dat je hun VPN nodig hebt.
Wat je inlevert: iets meer keuzecomplexiteit dan Quad9 en minder vanzelfsprekende standaardkeuze voor lezers die gewoon één goede instelling willen.
Beste fit: lezers die al weten dat ze met verschillende blokkeringsniveaus willen spelen, of toch al naar Mullvad kijken voor VPN.
Adressen:
| Type | Adres |
|---|---|
| DoH (geen blokkering) | https://dns.mullvad.net/dns-query |
| DoH (ad-blocking) | https://adblock.dns.mullvad.net/dns-query |
| DoT | tls://dns.mullvad.net |
Vergelijking DNS-providers
| Provider | Privacy | Malware-blokkering | Reclame-blokkering | Eigenaar | Locatie |
|---|---|---|---|---|---|
| Quad9 | Goed | Ja | Nee | Non-profit | Zwitserland |
| Mullvad DNS | Goed | Nee | Optioneel | Mullvad VPN | Zweden |
| Cloudflare (1.1.1.1) | Redelijk | Via 1.1.1.2 | Via 1.1.1.3 | Cloudflare Inc. | VS |
| Google (8.8.8.8) | Slecht | Nee | Nee | VS | |
| NextDNS | Goed | Ja | Ja | NextDNS Inc. | VS |
| AdGuard DNS | Goed | Ja | Ja | AdGuard | Cyprus |
Cloudflare 1.1.1.1 is voor veel mensen nog steeds beter dan Google of de standaardresolver van hun provider, maar PrivacyGear geeft hier de voorkeur aan Quad9 of Mullvad DNS vanwege duidelijkere privacyfit voor deze site.
Instellen op verschillende apparaten
Android
Systeembrede privé-DNS (Android 9+):
- Instellingen → Netwerk → Geavanceerd → Privé-DNS
- Kies “Hostnaam van privé-DNS-provider”
- Vul in:
dns.quad9.net
Dit versleutelt alle DNS op je Android-toestel, ook buiten apps.
iOS / iPadOS
iOS heeft geen ingebouwde DoH/DoT instelling. Gebruik een configuratieprofiel:
- Download het Quad9 profiel van quad9.net/service/about
- Open in Safari → Instellingen → Gedownload profiel → Installeer
- Instellingen → Algemeen → VPN en apparaatbeheer → Aktiveer het profiel
Alternatief: gebruik een DNS-filtering app zoals AdGuard voor iOS als je bewust ook filtering wilt, niet alleen een andere resolver.
Windows 11
- Instellingen → Netwerk en internet → WiFi/Ethernet → Bewerken
- DNS-serverinwijzing → Handmatig
- IPv4:
9.9.9.9en149.112.112.112 - Kies “DNS via HTTPS (automatisch sjabloon)“
macOS
- Systeeminstellingen → Netwerk → selecteer verbinding → Details
- DNS → + → Voeg
9.9.9.9en149.112.112.112toe - Voor DoH/DoT: gebruik een configuratieprofiel of een vertrouwde DNS-app als je systeem-brede encryptie wilt
Router (OPNsense)
In OPNsense: Services → Unbound DNS → DNS over TLS
Naam: Quad9Server IP: 9.9.9.9Server Port: 853Verify CN: dns.quad9.net
Router-brede DNS betekent dat alle apparaten op je netwerk hiervan profiteren, ook smart-tv’s en IoT-apparaten die je niet individueel kunt configureren.
Dit is vooral logisch als je al bewust met je thuisnetwerk bezig bent. Voor de meeste lezers is per-apparaat of systeem-brede DNS eerst de betere stap.
Firefox
- Instellingen → Privacy en beveiliging → DNS via HTTPS
- Activeer DNS via HTTPS
- Kies “Aangepast” →
https://dns.quad9.net/dns-query
AdGuard Home — zelfgehost DNS met blokkering
Als je een thuisserver of Raspberry Pi hebt, is AdGuard Home een krachtigere optie: een lokale DNS-resolver met configureerbare blokkerlijsten.
Voordelen ten opzichte van externe DNS:
- Alle logging blijft lokaal
- Bloklijsten volledig aanpasbaar
- Statistieken per apparaat
- Kan upstream naar Quad9 forwarden via DoH/DoT
Maar: dit is geen standaardaanbeveling voor de meeste lezers. Het geeft meer controle, maar ook duidelijk meer adoptiefrictie en onderhoud.
Beste fit:
- thuisnetwerk-hobbyisten
- kleine kantooromgevingen
- lezers die al bewust router- of serverbeheer doen
Niet de beste eerste stap als je alleen op je telefoon of laptop snel minder meekijkende DNS wilt.
Installatie (Docker):
docker run -d \ --name adguardhome \ -p 53:53/tcp -p 53:53/udp \ -p 3000:3000/tcp \ -v /opt/adguardhome/conf:/opt/adguardhome/conf \ -v /opt/adguardhome/work:/opt/adguardhome/work \ adguard/adguardhome
Navigeer naar http://[server-ip]:3000 voor de configuratiewizard.
Zie ook de AdGuard Home review voor een volledige bespreking.
Limieten van DNS-privacy
DNS-encryptie lost één probleem op, maar niet alles:
Wat DNS-privacy NIET oplost:
- SNI (Server Name Indication): Als je verbinding maakt met een HTTPS-website, is de domeinnaam zichtbaar in het TLS-handshake, tenzij Encrypted Client Hello (ECH) actief is
- IP-adres tracking: Je IP-adres blijft zichtbaar voor websites die je bezoekt
- Tracking via cookies/fingerprinting: DNS zegt niets over wat er daarna gebeurt op de website
Voor volledige bescherming:
- DNS-privacy: Quad9 of Mullvad DNS
- IP-adres: VPN (Mullvad, ProtonVPN) of Tor
- Tracking: uBlock Origin, Firefox + strict modus
DNS-privacy is één laag — geen complete oplossing.
Verificatie — werkt het?
Test of je DNS-instelling werkt:
Browsertest:
- Bezoek
https://1.1.1.1/help— toont welke DNS-resolver je gebruikt - Bezoek
https://dns.quad9.net/dns-check— Quad9-verificatie
Commandoregel:
# Controleer welke DNS-server je gebruiktnslookup whoami.akamai.net# Test Quad9 directdig @9.9.9.9 example.com
DNS-lektest: Gebruik dnsleaktest.com om te verifiëren dat je DNS niet lekt via je ISP, ook wanneer je een VPN gebruikt.
Conclusie
Wissel vandaag van Google DNS (8.8.8.8) naar Quad9 (9.9.9.9). Het kost vijf minuten en je ISP heeft directe inzage in je browsegedrag niet meer. Activeer DNS-over-HTTPS voor versleuteld transport.
Voor thuisgebruikers met een server of Raspberry Pi: AdGuard Home met Quad9 als upstream geeft de meeste controle en statistieken, maar alleen als je die extra complexiteit ook echt wilt beheren.
Volgende stap
Verder gaan
- Android privacy zonder custom ROM — hoe DNS past in je toestelinstellingen op Android
- iPhone privacy-instellingen — hoe DNS past in je toestelinstellingen op iOS
- Welk netwerk past bij jouw profiel? — alleen als je verder wil gaan dan DNS op toestelaanmelden
- Tailscale mesh VPN gids — DNS via eigen netwerk
- VPN vergelijking — VPN als aanvulling op privacy-DNS
Reviews
- AdGuard Home review — zelfgehoste DNS-blokkering
- OPNsense en Protectli Vault review — router-brede DNS-filtering
- Browser vergelijking: Firefox, Brave en Tor — browserkeuze en DNS-privacy