Ich will nur noch einmal kurz anmerken, daß für die Verwendung von OpenDNS als "customizable filter" für DNS-Adressen aber auch die ständige Aktualisierung der eigenen IP-Adresse beim OpenDNS-Dienst erforderlich ist, wenn man nur über eine dynamische IP-Adresse erreichbar ist und daß diese Lösung bei Anschlüssen mit einem CGN ebenfalls nicht wirklich funktioniert.
Es gibt nun einmal im DNS-Protokoll keine weitere Authentifizierung bei einer Abfrage und damit bleibt als mögliches Kriterium zur Auswahl des richtigen Filters nur die IP-Adresse übrig ... entweder die des Servers, aber die sind eben nur nach "Funktionalität" getrennt und da kriegt nicht jeder OpenDNS-Kunde seine eigene Server-Adresse zugeordnet oder die des abfragenden Clients.
Paßt die IP-Adresse nicht zum eigenen "Kundenkonto" bei OpenDNS (oder vielleicht sogar zu dem eines anderen Kunden, der wieder ganz andere Einstellungen vorgenommen hat), gibt das schwer zu diagnostizierende Probleme ... alles schon mal dagewesen.
So richtig und wichtig OpenDNS als Mittel zur Umgehung von DNS-Sperren auch sein mag oder angesehen wird (nicht jeder "gesperrte Inhalt" ist eben gleich kriminell und einer Internetzensur muß man eben schon im Ansatz entgegentreten (können)), als Mittel für die "Filterung" des eigenen Internetverkehrs würde ich es auch eher nicht empfehlen oder nur in sehr eng umrissenen Szenarien (wie z.B. einer festen IP).
Neben der (quasi zwangsweise) fehlenden RFC-Konformität (Abfragen werden eben auch gerne mal falsch beantwortet, wenn der Betreiber (nicht vergessen, daß der Dienst seit einiger Zeit Cisco gehört) eine Seite als "phishy" einstuft) sind m.E. die Manipulationsmöglichkeiten (unter welche Rechtssprechung fällt die Firma Cisco wohl und wie würde sich ein "Sperrverlangen" der dortigen Regierung für bestimmte DNS-Domains wohl auswirken?) zu umfangreich und dabei ist es vom Prinzip her egal, ob da mein Provider oder eine andere "private Firma" filtert.
Das Auslagern dieser Filterung an irgendeinen Anbieter bringt also nicht nur zusätzlichen Aufwand (wenn man ansonsten keinen DynDNS-Service benutzt) mit sich, es gibt auch in gewissem Umfang die Kontrolle über das "sichtbare Internet" auf - kein Mensch überprüft bei einem Serverfehler im Browser, ob da event. die falsche Adresse von DNS geliefert wurde oder ob die Site tatsächlich down ist.
Am ehesten ginge so etwas technisch dann vermutlich noch über den AVM-Server und das auch automatisch recht leicht einzurichtende MyFRITZ!-Konto, wobei dann eben beim Ausfall des AVM-Servers - hatten wir ja für den MyFRITZ!-Service an sich ab und an mal - wieder ein SPOF existiert, der so eine Lösung sehr schnell sehr alt aussehen läßt.
Auch eine Filterung anhand von IP-Adressen und/oder Domainnamen wird immer nur ein Notnagel bleiben (ja, ich weiß, daß das hier im Prinzip jedem auch bekannt ist) und der allmähliche Umstieg auf TLS-Verschlüsselung im gesamten "world wide web" (spätestens mit der Verbreitung von HTTP2) behindert solche einfachen Filter noch viel mehr ... auch wenn da der SNI-Header noch helfen könnte, da könnte AVM bei HTTPS dann wirklich nachlegen und tatsächlich so etwas wie eine "whitelist" realisieren und alles außer bestimmten SNI-Inhalten sperren.
Wer sich bereits jetzt auf die eigene Filterung für den eigenen Nachwuchs einstellt (neben dnsmasq gäbe es dann tatsächlich noch "richtige Proxies", die allerdings die Ende-zu-Ende-Verschlüsselung aufbrechen müssen und daher für das Online-Banking u.ä. eben auch umgangen werden müssen/sollten), der hat erstens mehr Kontrolle und zweitens eine Lösung mit Perspektive, zumindest bei der Filterung nach jugendgefährdenden Inhalten (muß ja nicht gleich die BPjM-Schrotflinte sein, die bekanntlich auch als "alte Büchse" sehr stark streut) und solange sich solche Portale wie YouTube an die eigenen Regeln halten.