[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]

MrT69

MrT69

Stammgast
Threadstarter

Nachfolgend ist eine Liste mit allen derzeitigen DNS Servern. Je nachdem was oder wie du DNS nutzt, einfach einen (oder auch 2 oder 3) Server aussuchen und viel Spaß damit haben.

ACHTUNG & HINWEIS:
Das keweon ist ein privates Projekt und in einem PoC Status (Proof of Concept). Ich habe auch leider nicht das Budget von Google und deswegen hoffe ich das ich Feedback bekomme wenn irgendwas nicht funktioniert. Sind Webseiten auf der Blackliste, die da nicht hingehören, dann bitte einfach an mich melden. In der Regel dauert es maximal 24 Stunden bis die Seite wieder funktioniert und auf der Whiteliste ist.

DNS Server Adressen sind hier zu finden:


Version: DoT Server - DNS over TLS (updated 04/04/2019)

Einzutragnede Server Adresse: dot.asecdns.com

IP Adressen & Details:

Server Zertifikat: Let'sEncrypt Zertifikat
Port: 853 & 443

dot.asecdns.com (159.69.48.240 - HETZNER RZ Falkenstein - virtueller Server)
dot.asecdns.com (116.203.117.199 - HETZNER RZ Nuernberg- virtueller Server)
dot.asecdns.com (95.216.192.253 - HETZNER RZ Helsinki- virtueller Server)
dot.asecdns.com (2a01:4f8:1c17:6e44::240 - HETZNER RZ Falkenstein- virtueller Server)
dot.asecdns.com (2a01:4f8:c2c:491::199 - HETZNER RZ Nuernberg- virtueller Server)
dot.asecdns.com (2a01:4f9:c010:3071::253 - HETZNER RZ Helsinki- virtueller Server)


Derzeitiger Testserver (Single Server)
Einzutragende Server Adresse: dot.asecdns.ch

IP Adressen & Details:

Server Zertifikat: Let'sEncrypt Zertifikat
Port: 853
dot.asecdns.ch (136.243.69.38 - HETZNER RZ Helsinki- physikalischer Server)
dot.asecdns.ch (2a01:4f8:212:2325::38 - HETZNER RZ Helsinki- physikalischer Server)


Version: DoH Server - DNS over HTTPS (updated 04/04/2019)

Einzutragende Server Adresse: doh.asecdns.com/nebulo

IP Adressen & Details:
Server Zertifikat: Let'sEncrypt Zertifikat
Port: 443

doh.asecdns.com (159.69.49.250 - HETZNER RZ Falkenstein- virtueller Server)
doh.asecdns.com (116.203.126.207 - HETZNER RZ Nuernberg- virtueller Server)
doh.asecdns.com (95.216.165.29 - HETZNER RZ Helsinki- virtueller Server)
doh.asecdns.com (2a01:4f8:1c17:6fc7::250 - HETZNER RZ Falkenstein- virtueller Server)
doh.asecdns.com (2a01:4f8:c2c:e25::207 - HETZNER RZ Nuernberg- virtueller Server)
doh.asecdns.com (2a01:4f9:c010:1cbd::29 - HETZNER RZ Helsinki- virtueller Server)


Version: Standard DNS Server für alle Betriebssysteme

Für alle Nuzter die das keweon Root Zertifikat nutzen, hier die Server mit erweiterten Filterlisten:

Germany / Nuernberg (Physical)
k1-de-143-nbg.keweon.center

213.239.207.143
2a01:4f8:a0:8487::143

USA / Dallas - Texas (vServer)
k1-ns2-us02.keweon.center

107.191.55.215
2001:19f0:6401:175d::215

Für alle anderen:

Germany / Falkenstein (Physical)
k1-de-058-fsn.keweon.center

176.9.62.58
2a01:4f8:150:8023::58

Australia / Sidney: (vServer vultr.com)
k1ns-au-001.keweon.center

45.76.125.130
2001:19f0:5801:b45::130

France / Paris: (vServer vultr.com)
k1ns-fr-001.keweon.center

45.77.62.37
2001:19f0:6801:95e::37

Germany / Frankfurt (vServer vultr.com)
k1ns-de-001.keweon.center

104.207.131.11
2001:19f0:6c01:61f::11

India / Bangalore (vServer DigitalOcean)
k1ns-in-001.keweon.center

IPv4: 139.59.33.236
IPv6: 2400:6180:100:d0::30d:5001

Japan / Tokio (vServer vultr.com)
k1ns-jp-001.keweon.center

45.77.25.72
2001:19f0:7001:22a8::72

Netherland / Amsterdam (vServer vultr.com)
k1ns-nl-001.keweon.center

45.77.138.206
2001:19f0:5001:d8d::206

Singapore / Singapore: (vServer vultr.com)
k1ns-sp-001.keweon.center

45.76.151.221
2001:19f0:4400:4f31::221

UK / London (vServer vultr.com)
k1ns-lon-001.keweon.center

45.32.183.39
2001:19f0:7402:a61::39

USA / Dallas (vServer vultr.com)
k1ns-tx-001.keweon.center

45.76.57.41
2001:19f0:6401:9ed::41

USA / New Jersey (vServer vultr.com)
k1ns-ny-001.keweon.center

45.77.144.132
2001:19f0:5:2962::132

USA / Silicon Valley (vServer vultr.com)
k1ns-sv-001.keweon.center

45.32.140.26
2001:19f0:ac01:639::26


DNS Server einrichten: DD-WRT

Da ich zu DD-WRT im Internet keine einzige Anleitung gefunden hab die richtig erklärt wie man bei DD-WRT Routern den DNS Server richtig einstellt, hier die Infos dazu.
Alle Tutorials im Netz sorgen dafür dass der Client und nicht der Router die Cache Einträge hält. Damit wird DNS natürlich langsam und deshalb hier der "richtige Weg":

1. Diese Optionen bei DD-WRT NICHT (!) ändern


2. An dieser Stelle und wie abgebildet folgende Einstellungen vornehmen:


3. Und die DNS Server werden nun mit folgenden Einstellungen gesetzt:

Code:
cache-size=10000
server=<IP Adresse von Server 1>
server=<IP Adresse von Server 2>
bogus-priv
all-servers
clear-on-reload
dns-loop-detect
domain-needed
dns-forward-max=512 #dnsmasq default = 150
auth-ttl=14400
local-ttl=14400
max-cache-ttl=7200
max-ttl=7200
neg-ttl=120





keweon Update 10.03.2019

Nach einigen Tests nun auch hier. KeweonDNS gibt es jetzt als DoH und DoT Server. DoH (DNS over HTTPS) läuft mit extra Apps, DoT (DNS over TLS) läuft auf Android PI direkt. Auch bekannt als "Privates DNS" im Android.

Wer "DNS over HTTPS" nutzen will und möchte, sollte sich im PlayStore die App "Nebulo" downloaden. Die App (vorher bekannt als Smokescreen) kommt von einem jungen Entwickler und die hat den Vorteil das man 2 DoH Server eintragen kann. Wer keweon nutzen möchte, der sollte in beide Felder die DoH Server eintragen. Die Logik dahinter ist, dass wenn ein Server ausfällt und nicht reagiert, sofort auf den anderen Server umschaltet. Hinter der DoH Adresse stehen 3 DNS Server, so dass im Falle eines Reboots kein Ausfall auf der Nutzer Seite zu spüren ist.
Dazu kommt das in der App zukünftig das "Verzeichnis" weglassen kann. Man muss ich also nur noch den Servernamen merken und schon funktioniert das Ganze.

Danke nochmals an Daniel.

Bei Android PI (Privates DNS) ist leider nur eine Adresse möglich, dennoch stehen hier hinter dieser Adresse auch 3 Server. Mal sehen wann es Google fertig bringt das man hier auch 2 Server Einträge per Default machen kann. Bei Intra habe ich bereits im Oktober das als "Feature Request" angefragt aber bis heute keine Reaktion. Na ja, dann halt nicht.


Die Adressen der virtuellen DoH/DoT Server:

DoH (DNS over HTTPS):

doh.asecdns.com/nebulo
DoT (DNS over TLS) - Privates DNS ab Android 9 :

Die Adressen der physikalischen DoH/DoT Server:

DoH (DNS over HTTPS):

dns.keweon.center/nebulo
DoT (DNS over TLS) - Privates DNS ab Android 9 :
dns.keweon.center
 
Zuletzt bearbeitet:
Bearbeitet von cptechnik - Grund: keweon Update 10.03.2019
MrT69

MrT69

Stammgast
Threadstarter
keweonDoH nur auf Windows - ganz einfach

Nachdem bei XDA ein paar User das haben wollen, denke ich mir das hier bei AH das auch bestimmt gesucht wird. Ich hoffe jetzt dass das Thema hier nicht in der falschen Rubrik landet. Wenn das in die Rubrik Windows komme sollte, bitte einfach bescheid geben, dann kann man das verlinken.

Windows und DoH ist "eigentlich" noch nicht möglich da - wie bei Apple - Microsoft das Thema irgendwie noch nicht entdeckt hat. Da es aber funktioniert, hier eine kleine Anleitung dazu wie man unter Windows den DoH Client von Cloudflare für keweonDNS nutzen kann.

Ich wollte schon selbst einen Client machen, aber ehrlich, ich hab die Zeit nicht dazu den Code auch noch zu supporten und warten. Denn einen Job hab ich auch noch. Da es mit Cloudflare geht sollte das erstmal ausreichen.

Was braucht man dazu?
  1. Den XCA Client für die Zertifikate (Download)
  2. Ein Programm zum entpacken von ZIP Dateien
  3. Du musst wissen wie man die HOSTS Datei editiert (C:\Windows\System32\drivers\etc\hosts)
  4. Etwas Zeit, so ca. 5 bis 10 Minuten
  5. Und natürlich den Cloudflare Client:

Wie wird der Client installiert?

Es gibt zwei Möglichkeiten. Zum einen zum manuellen Starten oder zum anderen, wie hier beschrieben, zum automatischen Starten als Dienst.
Dazu benötigst du nun 2 Dinge. Das sind zum einen ein "Command Prompt" mit Admin Rechten und den Explorer (oder TotalCommander).
Damit alles reibungslos klappt, einfach nächsten Schritte blind durchziehen und die Befehle dazu kann man wirklich 1:1 mit Copy&Paste verwenden.
  1. Erstellen des Installationsverzeichnis über den Command Prompt. Wenn da ein Fehler kommt, dann ist der nicht im Admin Modus.
    Code:
    mkdir C:\Windows\System32\config\systemprofile\.cloudflared
  2. Kopiere die Datei "cloudflared.exe" in dieses Verzeichnis

  3. Kopiere die Datei "cert.pem" in dieses Verzeichnis (siehe Anhnag)

  4. Kopiere die Datei "config.yml" in dieses Verzeichnis (siehe Anhang)

  5. Damit sollte das Verzeichnis nun so aussehen:

  6. Zurück zum Command Prompt und da nun folgendes eingeben:
    Code:
    cd C:\Windows\System32\config\systemprofile\.cloudflared
  7. Die Cloudflared.exe noch abschließend als Dienst/Service installieren
    Code:
    cloudflared.exe service install
  8. Und zum Schluss noch die DoH Server in die HOSTS Datei eintragen:
    Code:
    2a01:4f8:c2c:e25::207 doh.asecdns.com
    2a01:4f9:c010:1cbd::29 doh.asecdns.com
    2a01:4f8:1c17:6fc7::250 doh.asecdns.com
    159.69.49.250 doh.asecdns.com
    116.203.126.207 doh.asecdns.com
    95.216.165.29 doh.asecdns.com
  9. Wichtig. Jetzt einen Reboot machen.

  10. Nach dem Reboot ist der Server bereits aktiv und reagiert auch bereits auf die 127.0.0.1 was man ganz einfach testen kann.
    • Command Prompt wieder öffnen
    • Dann "nslookup" eingeben & Eingabetaste
    • Dann "server 127.0.0.1" eingeben & Eingabetaste
    • Und nun "www.intel.com" eingeben & Eingabetaste
    • Wenn du jetzt eine IP Adresse als Antwort bekommst - tadaaaa - herzlichen Glückwunsch.
  11. Wenn die DoH Server in der HOSTS Datei drin stehen, dann kannst du jetzt die Netzwerkkarte ändern. Da als DNS Server einfach 127.0.0.1 angeben und schon kannst du DoH auf Windows surfen.

Wozu braucht man das Programm XCA?

Im Download findest Du eine XCA-Datenbank, welche die LetsEncrypt-Stammzertifikate enthält. Wenn Du
meinem Download (cert.zip) nicht vertraust dann kannst du damti die Zertifikatskette selbst damit erstellen. Die Zertifikate von der Webseite runterladen, in XCA rein und als Zertifikatskette exportieren. Ganz einfach & klingt schlimmer als es ist.


Wie exportiert man Zertifikate aus der Webseite?

Das ist recht einfach und dazu muss man nur die URL dazu aufrufen. Hier als Beispiel "https://doh.asecdns.com/nebulo" und schon kommt man an die Zertifikate heran. Und nein, das ist kein Hack oder Bug oder illegal, denn ohne den privaten Schlüssel ist das ein ganz normaler Vorgang.
Da schreib ich keinen Roman dazu denn Bilder sagen mehr als 1000 Worte. Und ich denke das ist so auch einfacher.


Import und Export Zertifikate mit XCA

Wenn du alle Zertifikate heruntergeladen hast, dann einfach mit "Drag&Drop" in die geöffnet Datenbank von XCA ziehen. Du must dich nicht fragen wie oder wohin, einfach rein. Den Rest macht das Tool.
So kannst du nun mit Cloudflare jeden X-beliebigen DoH Server nutzen. Um diesen zu nutzen brauchst du allerdings die Zertifikatskette(n), da der Cloudflared Agent nicht auf den Windows Zertifikatsspeicher zugreifen kann. Also, Zertifikate von der Webseite downloaden, dann in XCA rein und wie folgt exportieren damit man das für Cloudflare nutzen kann.

Die Datenbank ist auch im Anhang dabei und hat das hochsichere und komplexe Passwort "a" - ohne Anführungsstriche.




Das wars auch schon.

Hinweis:
Anbei befinden sich alle Dateien im Anhang und funktionieren. Die Config Datei für Cloudflared ist nicht optimiert, lediglich funktionell. Wenn jemand hier passende Einstellungen hat damit es schneller, besser oder effektiver läuft, ruhig her damit.

Anhang:
  • cert.zip = Die Zertifikatskette von LetsEncrypt bereits fertig exportiert
  • config.zip = Die Config Datei für cloudflared.exe bereits fix und fertig
  • LetsEncrypt.zip = Die XCA Datenbank mit den Let'sEncrypt Root Zertifikaten

In diesem Sinne, viel Spass damit!!
 
Zuletzt bearbeitet von einem Moderator:
I

Idroit

Stammgast
Top!

Danke, kenn ich schon ne Weile. Aber so schön hat das noch niemand präsentiert - zumindest auf Deutsch.

Merci!
 
R

rudolf

Lexikon
Sunny schrieb:
Ändert eure DNS Einstellungen entweder Manuell in den Netzwerk Einstellungen, oder wenn ihr es eilig habt, bzw auch das Mobile Daten Netz sichern wollt, schnell und einfach mit der App DNS Changer (ohne Root) aus dem Playstore.

...

Euren VPN, Firewall, sonstige Adblocks oder alles andere was eine VPN Verbindung auf dem Handy herstellt, sind natürlich weiterhin komplett und ohne Einschränkungen weiterhin auf eurem Handy/Tablet nutzbar, da bei der Nutzung von keweonDNS keine VPN Verbindung genutzt wird.
Liest man nun
https://play.google.com/store/apps/details?id=com.frostnerd.dnschanger
dann findet man dort:
"Diese App baut auf dem Gerät (es findet keine Weiterleitung ins Internet statt) eine VPN Verbindung auf und kann so ohne Root-rechte die genutzten DNS-Server anpassen."

Das war wohl nichts, denn zwei mal VPN geht nicht.

Wenn man an einem öffentlichen Hotspot ist ist VPN das wichtigste, das VPN ist also belegt. Mann kann bei Wlan auch nicht nur den DNS festlegen, man muss wenn man einen DNS eingibt auch eine IP eingeben. Mann müsste also nach jedem mal wenn man sich verbindet wieder per Hand den DNS eintippen. Das wird keiner machen wollen.
 
Zuletzt bearbeitet:
cad

cad

Guru
@Sunny Danke für die Vorstellung.

Unklar ist mir, wie ich z.B. beim Samsung S8 im mobilen Datennetz manuell die DNS ändern kann (ohne VPN).

Was aber geht, ist etwa in Adguard (was ich eh verwende) manuell die DNS von keweon einzugeben. (Momentan aber ohne das https-Zertifikat mal getestet, weiß nicht, ob das gehen würde da).
 
R

rudolf

Lexikon
@cad Du brauchst eine "VPN" app um die DNS von keweon zu nutzen, z.B. dnschanger, Intra, oder vielleicht auch Adguard. Hast du denn mal ausprobiert, ob Adguard auch DoH Dnsserver kann?

Aussage des Authors zu der Notwendigkeit einer App:
"On mobile devices you need to use a 3rd party App if you want to have Security and Adblock on 3G."
keweonDNS - now with DoH on INTRA

Thread zu Intra
Intra App bietet angeblich sicheres DNS
 
cad

cad

Guru
rudolf schrieb:
@cad Du brauchst eine "VPN" app um die DNS von keweon zu nutzen
Im WLAN ja nicht unbedingt, wenn ich richtig gelesen habe. Wobei man anscheinend noch DHCP deaktivieren muss im Gerät, was nicht in jedem WLAN möglich ist.

Aber wenn das im mobilen Netz nicht ohne VPN geht, müsste man ja dauernd wechseln.

In Adguard funktionieren die normalen DNS von keweon zumindest, erkenne aber bisher keinen Vorteil (den müsste man mir erklären).
 
Sunny

Sunny

Urgestein
cad schrieb:
Aber wenn das im mobilen Netz nicht ohne VPN geht, müsste man ja dauernd wechseln.
Wenn du Root hast, geht das ganz einfach mit dem Magisk Modul und ohne VPN

Um keweonDNS, zu nutzen bedarf es definitiv keiner App, wie schon gesagt, im WLAN Einfach die DNS Einstellungen entsprechend ändern.

Testen kann man das jederzeit selber übers Terminal zb....
Screenshot_Terminal_20181005-193946.png
 
R

rudolf

Lexikon
cad schrieb:
Im WLAN ja nicht unbedingt, wenn ich richtig gelesen habe. Wobei man anscheinend noch DHCP deaktivieren muss im Gerät, was nicht in jedem WLAN möglich ist.
Ich hab doch schon kurz geschrieben, was man (jedesmal) tun müsste:
Mit dem Wlan verbinden.
In den Wlan Einstellungen bei dem verbundenen Wlan dies lange anklicken, Netzwek ändern, erweitert anklicken.
Static anklicken, unter DNS1 und DNS2 die IP's eintragen.
und nach der Verbindung fast das ganze nochmal und von statisch auf dhcp ändern!
Viel Spass dabei :)
 
cad

cad

Guru
rudolf schrieb:
Hast du denn mal ausprobiert, ob Adguard auch DoH Dnsserver kann?
Ja, siehe hier, wo wir zuvor bereits über Adguard geschrieben haben:
Intra App bietet angeblich sicheres DNS
-- Dieser Beitrag wurde automatisch mit dem folgenden Beitrag zusammengeführt --
Sunny schrieb:
Wenn du Root hast, geht das ganz einfach mit dem Magisk Modul und ohne VPN
Hab kein root.

Vermutlich ist für mich persönlich Adguard dann besser. Ansonsten spannend hier... ;)
 
R

rudolf

Lexikon
Sunny schrieb:
Um keweonDNS, zu nutzen bedarf es definitiv keiner App, wie schon gesagt, im WLAN Einfach die DNS Einstellungen entsprechen
Für Mobilfunk braucht man definitiv eine, und wer meint wlan geht auch ohne kann es mal ein paar Tage tun.
 
nik

nik

Senior-Moderator
Teammitglied
@cad Der Vorteil laut Werbetext ist, dass alles über den DNS-Server läuft. Du hast also keine lokalen Filterlisten mehr, die du separat pflegen musst. Abseits von Android ist das nicht verkehrt, wenn man Tante Erna auf ihrem Computer Internet einrichtet. Hier hätte man den Vorteil, dass man ohne das System anpassen zu müssen, gleich noch einen Werbefilter inklusive hat.
Fraglich ist, wie viele false-positives in den Filtern enthalten sind.

Das Angebot erinnert ein wenig an OpenDNS, nur dass man dort noch die Möglichkeit hat, selbst zu konfigurieren, was nun gefiltert werden soll.

Für dich als Adguard-Nutzer wird der Dienst keinen großen Nutzen haben.
 
Sunny

Sunny

Urgestein
rudolf schrieb:
was man (jedesmal) tun müsste:
Einmal Reicht :)
Läuft seit paar tagen bei mir ohne dauernd was einstellen zu müssen.
cad schrieb:
Vermutlich ist für mich persönlich Adguard dann besser. Ansonsten spannend hier.
Auch dafür habe ich eine Lösung :)
Also wenn's nur ums testen bzw die effizienz von keweonDNS geht.
(brauch aber erst noch nen Kaffee)
nik schrieb:
Fraglich ist, wie viele false-positives in den Filtern enthalten sind.
Dazu kommen wir noch :)
Wie gesagt, eigentlich braucht es keine zusätzliche App mehr auf dem Handy, teste das wie gesagt selber seit ein paar tagen und bin sehr zufrieden :)
 
cad

cad

Guru
@rudolf Ich meine, es geht auch nicht in jedem WLAN. Wenn mir der Router DHCP vorschreibt, keine statischen IP zulässt, kann ich nicht "einfach die DNS Einstellungen entsprechend ändern".

nik schrieb:
Der Vorteil laut Werbetext ist, dass alles über den DNS-Server läuft. Du hast also keine lokalen Filterlisten mehr, die du separat pflegen musst.
Diesen Vorteil hat man aber auch bei allen anderen DNS-Filtern (die meist ohne Root über ein Fake-VPN laufen).

Kenne eigentlich so niemanden mehr, der eigene Listen pflegt.

Einen Vorteil bei keweon würde ich eher noch in der https-Filterung sehen, welche nur wenige können.
 
nik

nik

Senior-Moderator
Teammitglied
@cad das meine ich nicht.
Du trägst eben "nur" den DNS-Server auf dem Endgerät ein und hast damit einen aktiven Werbe- und Malwarefilter.
Bei anderen Apps wie Adaway hast du dann Listen die man selbst abonnieren muss. Das fällt hier ja weg.

Das "nur" ist eben genau der Haken. Um das zuverlässig auf Android-Geräten tun zu können, musst du auf die gleichen Workarounds zurückgreifen, wie das andere Apps tun und der Vorteil ist dadurch dahin.
 
R

rudolf

Lexikon
Sunny schrieb:
Einmal Reicht :)
Läuft seit paar tagen bei mir ohne dauernd was einstellen zu müssen.
Aber nur wenn dein Router dir immer wieder die selbe IP gibt. Da hat man zuhause oft das glück diesselbe wieder zu bekommen, aber anderswo geht das nicht und sobald der Router einem anderen Gerät "deine" IP gibt geht es auch nicht mehr.
Bei dir ist es nicht so das es geht, du hast nur glück.
-- Dieser Beitrag wurde automatisch mit dem folgenden Beitrag zusammengeführt --
cad schrieb:
Ich meine, es geht auch nicht in jedem WLAN. Wenn mir der Router DHCP vorschreibt, keine statischen IP zulässt, kann ich nicht "einfach die DNS Einstellungen entsprechend ändern".
Es geht schon, denn du holst dir ja erst mit dhcp die IP und den DNS, und änderst dann bei bestehender Verbindung den DNS. Davon merkt der Router nichts, die IP bleibt ja diejenige die der Router vergeben hat. Du musst das halt bei jeder Verbindung neu tun.
 
nik

nik

Senior-Moderator
Teammitglied
rudolf schrieb:
der Router einem anderen Gerät "deine" IP gibt geht es auch nicht mehr
Das sollte Dank Address Conflict Detection eigentlich kein Problem sein.

Wenn man regelmäßig öffentliche Hotspots nutzt, ist die Nutzung eines eigenen DNS-Servers auf jeden Fall mit Aufwand verbunden.
 
cad

cad

Guru
@nik Neben dem eigenen WLAN zuhause und öffentlichen WLAN gibt es es ja noch eine Menge anderes. Ich bin - abgesehen von zuhause - zum Großteil in diversen nichtöffentlichen WLAN - unterwegs, auf deren unterschiedliche Konfiguration ich keinen Einfluss habe.

Und im öffentlichen WLAN ist ja VPN eh keine schlechte Idee.
 
Oben Unten