spunz
Super ModeratorSuper Moderator
|
Eher als Ersatz, auf den ersten Blick müsste es ja alles abdecken?
|
liltan0x
Bloody Newbie
|
Angeturned von diesen Thread hab ich mich heute morgen wieder in die DNS Thematik hineingekniet.
Betreibe seit Jahren ein Pihole in nem Docker Container inkl. Resolver zu Quad1 und Quad9 mit Verschlüsselung über Cloudflared in einem Container und einem DHCP-Helper Container, so dass auch die DHCP Requests ankommen im Container zum Dnsmask.
Ich kann damit mal ausschließen, dass meine DNS Anfragen von aussen abgeschnüffelt werden können, weil verschlüsselt. Ich kann auch davon ausgehen, dass - sofern konfiguriert von der Ziel Domain – mit den Results nicht getampert wird aufgrund von DNSSEC Validation.
Was ich aber nicht ausschließen kann ist, dass Quad1 oder Quad9 meine Anfragen erst recht wieder auswertet und damit Cash verdient. Außerdem ist dieses Setup mit voneinander abhängigen Containern auf einer Single Machine ja quasi eine Einladung dazu zu explodieren (versucht mal nen Container online zu updaten wenn dein DNS Server auf dem der Container lauft down ist – weil ja richtig – du ihn upgrade willst).
Somit: Mach ma neu. In einer VM von Hand nen Dnsmasq installiert und gegen die Root Server A-M in der resolv.conf auflösen lassen, DNSSEC anschalten, Pfad zum Trust Anchor und wuppt schon mal. Hätte nun angefangen, das Pihole dazuzuflanschen, aber was mir nun fehlt ist die Verschlüsselung meiner Anfragen auf dem Transportweg zu den Root Server– und da steh ich nun an. Wie zur Hölle soll das ohne den Cloudflared und ohne einen von Quad1 oder Quad9 betriebenen Endpunkt funzen? Gibt’s da eine Alternative?
Bearbeitet von liltan0x am 04.08.2024, 13:47
|
COLOSSUS
AdministratorGNUltra
|
Die Roots bieten afaik kein DoT oder DoH an (sind ja auch per se keine Caches), also musst du fuer diese Protokolle einen Resolver nutzen, der dir "echtes" DNS auf diese Varianten proxied. Ich hab dazu (noch - werde ich wohl bald mal stillegen, weil ich in ein anderes Hosting umziehe, wo der Service nicht mehr erwuenscht ist) https://resolv.us.to in Betrieb, wo mein persoenlicher DNS-Traffic in der Masse an anderen Usern untergeht.
|
TOM
Super ModeratorOldschool OC.at'ler
|
Ich musste vor ein paar wochen den unbound resolver leider durch das dns service von quad9 ersetzen, da das pihole aus irgendeinem grund und ohne config change plötzlich 180 - 800ms gebraucht hat, je DNS query Hatte bisher nicht die muse mir das genauer anzuschauen und nehme jetzt den privacy hit einfach hin... hatte bis dahin eigentlich lange und reibungslos funktioniert, aber um diesen eigenartigen fehler zu debuggen würd ich wohl länger analysieren müssen
|
Viper780
ModeratorEr ist tot, Jim!
|
Quad 1 ist Cloudflare, die könnten Interesse an deinen Daten haben.
Quad9 ist ein Non Profit dass genau dafür geschaffen wurde für mehr privacy.
Ich hab zwei DNS Filter services (einmal pihole und einmal AdGuard Home) und zwei unbound server auf je zwei unterschiedlichen Hosts am laufen.
Abgefragt werden immer die Root
|
liltan0x
Bloody Newbie
|
@COLOSSUS: das hab ich ja befürchtet. Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da. Ihm ist es übrigens egal das Thema er nutzt die Quad8... @TOM: Ich habe ja beide derzeit drinnen in meinem alten Setup die Quad1 und Quad9. Auch ich hatte brutale latenzen beim Surfen vor einigene Monaten und hab bemerkt, dass ich PL zu einer der beiden Destinationen zu unterschiedlichen Zeiten am Tag (Danke, Magenta ) Vl. wars das bei dir auch? @Viper: Ja, aber wenn du die Roots nur drinnen hast dann können deine DNS Anfragen von jedem auf dem Weg ja erst geprofiled werden. ich fürchte zu dem Thema gibts keine Perfekte lösung: a.) Damit leben und nix tun hinter dem Pihole b.) Voll Berserk gehen und mit Encryption und Validation leben bis zum Endpunkt des cloudflared und denen dort deine Daten in den Pöppes schieben c.) Halb lustig DNSSEC haben und sich ********t vorkommen, dass das halbe Internet das eigentlich nicht verwendet und somit nicht verlässlich ist. Welche der drei Schaß Varianten möchten Sie haben, bitte treten sie näher und kotzen sie mit ....
|
COLOSSUS
AdministratorGNUltra
|
|
voyager
kühler versilberer :)
|
Das Thema bzgl. der Roots hab ich vorher mit einem Kollegen besprochen und er hat mich ein "asoziales Heisl" genannt, dafür das ich die Roots abfrage, dafür sind die ja nicht da Ist doch imho quasi default setting in unbound? zumindest hab ich das so im kopf, und alle meine pihole zu hause nutzen nix anderes
|