Erhöhte DNS-Latenz mit AdGuard DoH (DNS Shield)

Vegas Maximus · January 6, 2026 at 10:16 AM

Hallo zusammen,

ich brauche mal eure Hilfe bei der Fehlersuche. In meinem UniFi-Dashboard wird mir eine dauerhaft erhöhte DNS-Latenz angezeigt, die ich mir nicht ganz erklären kann.

Mein Setup:

Anschluss: Deutsche Glasfaser

Gateway: UniFi Cloud Gateway Fiber (UCG-Fiber)

Access Point: U7-Pro-Wall

Konfiguration: Ich nutze DNS Shield mit AdGuard über DNS-over-HTTPS (DoH). IPv6 ist aktiv (DHCPv6 / Prefix 56).

Das Problem:

Mein normaler Ping ins Internet (z. B. zu 8.8.8.8) ist mit 14 ms völlig in Ordnung. Allerdings liegt meine DNS-Latenz im Durchschnitt bei etwa 150 ms (siehe Screenshot).

Meine Fragen:

Ist eine so hohe Latenz bei der Nutzung von AdGuard via DoH normal? Ich weiß, dass Verschlüsselung und Filterung Zeit kosten, aber 150 ms erscheinen mir sehr hoch.

Liegt das Problem eventuell an der Kombination mit der Deutschen Glasfaser oder dem DoH-Server-Standort von AdGuard?

Gibt es Optimierungsmöglichkeiten im UniFi-System (UCG-Fiber), um diesen Wert zu verbessern, ohne auf den AdGuard-Schutz zu verzichten?

Ich würde mich über eure Einschätzungen und Tipps freuen!

Tomcat · January 6, 2026 at 2:52 PM

Quote from Vegas Maximus

Mein normaler Ping ins Internet (z. B. zu 8.8.8.8) ist mit 14 ms völlig in Ordnung. Allerdings liegt meine DNS-Latenz im Durchschnitt bei etwa 150 ms (siehe Screenshot).

Ich sage mal in Blaue, das https langsamer ist, weil Verschlüsselung kostet Rechenzeit.

Ich hab AdGuard durchlaufzeiten im Mittel bei 75ms ohne DoH.
Dabei hängt mein Adguard direkt auf meiner Firewall und dahinter ist noch ein Unbound als DNS-Resolver, der auch noch durchlaufen werden muss

EDIT: wo läuft der Adguard ?

MyVote · January 6, 2026 at 2:56 PM

Hi Vegas Maximus

Ich nutze auch AdGuard DNS über DoH, "meine" genutzten DNS-Server stehen laut Tests in Frankfurt...

Die Ping-Latenzen sind bei mir: MS 9 ms, Google 10 ms, Cloudflare 6 ms (gemessen vom UCG Ultra)

Die DNS-Latenz liegt bei meistens um 120 ms (gemessen vom Handy mit Wifiman), daher würde ich sagen, ganz normales Verhalten!
da man eben die Punkte vom Tomcat zusammen rechnen muss (hat mich beim Editieren überholt )

Vegas Maximus · January 6, 2026 at 8:30 PM

Quote from Tomcat

EDIT: wo läuft der Adguard ?

Danke für die Info. Meinst du den Serverstandort? Der ist in Frankfurt und DoH habe ich auf dem Gateway eingerichtet und DNS-Shield.

Vegas Maximus · January 6, 2026 at 8:31 PM

Quote from MyVote

Hi Vegas Maximus
Die DNS-Latenz liegt bei meistens um 120 ms (gemessen vom Handy mit Wifiman), daher würde ich sagen, ganz normales Verhalten!
da man eben die Punkte vom Tomcat zusammen rechnen muss (hat mich beim Editieren überholt )

Hallo MyVote
Die Werte habe ich jetzt auch. Dann wird es wohl normal sein. Habe den vorhin mal ausgemacht und dann war ich bei einer Latenz von 40ms über die Deutsche Glasfaser. Danke für die Info

**gierig** · January 6, 2026 at 10:31 PM

Adguard != Adguard.

Das Forum versteht darunter üblich ein Server Dienst der lokal läuft und einen DNS Forwarder zu Verfügung stellt,
der Filtern kann und ne nette GUIT hat und auch z.B auf einem Rasbarry gut läuft.

Adguard ist aber auch der name eines DOH Anbieters in der Liste der UDM. Der ist halt zusammen mit hundert anderen
in der liste.

"AdGuard DNS-over-HTTPS (DoH)" scheint dabei der dienst von https://www.aa.net.uk/dns/

zu sein.

Glückwunsch ein DNS Resolver der als Trial Läuft, dazu in der UK ist ist betrieben von einem UK Provider.
Laut FAQ auf der Seite gibt auch Limits die grade greifen wenn du nicht Kunde von denen bist.

MyVote · January 6, 2026 at 11:07 PM

gierig Also ich finde unter dem genannten Link den DNS-Dienst von "Andrews & Arnold's DNS over HTTPS"? Diese sind ganz am Anfang der Liste der "Predefined", und zum Glück hatte ich den sdns-Link zu meinen Adguard DoH gesichert... (etwas inkonsistenz von Seiten UI.com, da manche Einstellungen, wenn wieder auf alten Stand gesetzt wird, wieder hervorkommen, aber nicht beim DNS-Shield, da vergisst es einfach)

Edit 23:19: Eine Suche nach "Adguard" auf deren A&A-Website ergab keinen Treffer?!?

Vegas Maximus · January 6, 2026 at 11:09 PM

gierig

Vielen Dank für die hilfreiche Klarstellung!

Du hast absolut recht – „AdGuard“ ist nicht gleich „AdGuard“. Da habe ich mich unpräzise ausgedrückt und werde in Zukunft genauer darauf achten, um Missverständnisse zu vermeiden.

In meinem Fall nutze ich tatsächlich den kostenpflichtigen Cloud-Dienst (ich besitze eine entsprechende Lizenz) und nicht die lokale „AdGuard Home“ Instanz auf einem Raspberry Pi. Ich habe den Dienst auf meinem UCG-Fiber unter den benutzerdefinierten DNS Shield Einstellungen eingerichtet.

Hier ist die offizielle Seite des Dienstes, den ich nutze: https://adguard-dns.io/

MyVote · January 6, 2026 at 11:27 PM

Um hier wieder auf Linie zu sein, ich nutze auch den DNS-Dienst von AdGuard https://adguard-dns.io/ (AdGuard DNS), "AdGuard Home" ist die selfhost-Variante... "AdGuard" ist tatsächlich der Name für deren Werbeblocker-Erweiterung...

**gierig** · January 7, 2026 at 8:54 AM

Quote from MyVote

Also ich finde unter dem genannten Link den DNS-Dienst von "Andrews & Arnold's DNS over HTTPS"? Diese sind ganz am Anfang der Liste der "Predefined"
..
Edit 23:19: Eine Suche nach "Adguard" auf deren A&A-Website ergab keinen Treffer?!?

Damm, ich denke ich habe mich geirrt.

Unifi verwendet ja DNSCRYPT und damit auch die von Project bereitgestellte Server Liste.
unter https://dnscrypt.info/public-servers/ gibt ne Status Seite mit Infos.

Klick auf einen der Server gibt infos... Die Page scheint aber buggy zu sein.
So öffnet sich wohl ein Facebook he Eintrag oder genauer viele die sich überdecken.
Der Eintrag adguard-dns-doh verweist nicht auf die DNS Server von AA sondern
auf 94.140.15.15 = AdGuard Software Limited = IP in Zypern.
(was die Sache nicht besser macht)

ist aber ja auch fast egal wenn der Vegas da eh einen Customer server hat...

Wollte mich aber gerne selber berichtigen..

next Time: Gleich den DNS Stamm in https://dnscrypt.info/stamps/ kippen und decodieren um zu schauen wo die reise hingeht....

Vegas Maximus · January 7, 2026 at 10:09 AM

Danke für die Korrektur und die Blumen! Aber kein Ding, bei den ganzen Bezeichnungen und Listen verliert man schnell mal den Überblick.

Dass die IP nach Zypern auflöst, passt übrigens genau – dort sitzt die AdGuard Software Limited. Um aber sicherzugehen, dass mein UCG-Fiber nicht auf einem Standard-Server landet, sondern mein persönliches Profil nutzt, habe ich den DNS Stamp aus meinem AdGuard-Account ermittelt. Diesen habe ich dann manuell in den DNS Shield Einstellungen meines Gateways hinterlegt.

Dadurch landen alle Anfragen direkt in meinem Dashboard, meine Lizenz greift und ich sehe genau, was gefiltert wird.

Hier nochmal der Link zum Dienst: https://adguard-dns.io/

Danke für die spannende Diskussion und die Recherche zu den DoH-Listen – jetzt herrscht auf jeden Fall Klarheit!

Tomcat · January 7, 2026 at 1:07 PM

Quote from Vegas Maximus

Danke für die Info. Meinst du den Serverstandort? Der ist in Frankfurt und DoH habe ich auf dem Gateway eingerichtet und DNS-Shield.

Genau, wo dein Adguard installiert ist bei dir.

Quote from gierig

Der Eintrag adguard-dns-doh verweist nicht auf die DNS Server von AA sondern
auf 94.140.15.15 = AdGuard Software Limited = IP in Zypern.
(was die Sache nicht besser macht)

ohja, das ist gruselig, erst mal alle Anfrage an den Rand von Europa schinken und zurück, das kostet natürlich schon mal Zeit.

Probiere es mal ein einem DNS von Quad9 / Google oder Cloudflare und mal mit denen von deinem Internetprovider als Vergleich, wie schnell die antworten.

MyVote · January 7, 2026 at 2:05 PM

Tomcat AdGuard DNS hat mehrere Server-Standorte, für deutsche Nutzer ist es meist in Frankfurt, für mich ganz praktisch, da mein Anbieter SWU ihren Zugangsknoten bei Frankfurt hat mit einem DTAG Internetanschluss hätte ich vergleichsweise schlechtere Ping-Zeiten, kein PPPoE-Schlamassel am DSL-Anschluß und einen schnellen Service-Techniker-Einsatz (tatsächlich dauerte es nur 15 min nach Anruf bis ein Techniker kam)...

Tomcat · January 7, 2026 at 2:38 PM

Quote from MyVote

AdGuard DNS hat mehrere Server-Standorte, für deutsche Nutzer ist es meist in Frankfurt, für mich ganz praktisch, da mein Anbieter SWU ihren Zugangsknoten bei Frankfurt hat

Jetzt hab ich verstanden, du nutze Adguard als DNS, nicht den Adguard Home local installiert als Werbeblocker im eigenen Netz - das ist nämlich bei mri der Fall, der läuft direkt mit auf meiner Firewall als Add-One und geht dann über Unbound auf die DNS-Rootserver raus, da hab ich einen Schnitt von 75ms über alle Anfragen.

MyVote · January 7, 2026 at 2:48 PM

Bevor ich den Dienst nutzte, hatte ich auch AdGuard Home auf meinem Mini-Server laufen, mit Cache waren die Antwortzeiten phänomenal niedrig (kleiner als 1 ms)... ging so lange gut, bis die NVME-Schnittstelle meinte, keinen Bock auf Mitarbeit zu haben, daher habe ich "ausgelagert", muss somit keine große Pflege mehr machen und unterstütze so auch die Entwicklung von AdGuard Home (auf dem der AdGuard DNS technisch läuft, hat jedoch einen anderen Front-End)

Participate now!