Anderen DNS Server nehmen?

[CaptainPighead]

dnsforge.de wurde schon genannt und kann ich ebenfalls weiterempfehlen, wenn man unkompliziert auf DNS-Ebene Werbung, Tracker und anderen Mist rausfiltern möchte und sich nicht an bspw. ein eigenes Pi-hole Setup rantraut (oder es betreiben möchte).

Wem Datenschutz/Privacy und Zensurfreiheit wichtig ist, dem empfehle ich auch immer gerne in die DNS Empfehlungsliste vom Kuketz-Blog zu schauen: https://www.kuketz-blog.de/empfehlungsecke/#dns

 

[andy_m4]

Empfehlungsliste vom Kuketz-Blog zu schauen: https://www.kuketz-blog.de/empfehlungsecke/#dns

Mich wundert ja, das da auch der DNS-Server von z.B. Cloudflare auftaucht.
Ich würde amerikanische Anbieter schon deshalb mit Vorsicht genießen, weil die jederzeit ein National Security Letter kriegen können und dann mit den Diensten zusammen arbeiten müssen ohne darüber Auskunft geben zu dürfen.
Klar. Auch bei anderen Anbietern kann man sich im Zweifel nicht auf deren Privacy-Zusagen verlassen, aber wenn schon die Gesetzgebung eines Landes vorsieht, das man ggf. lügen muss, dann ist das schon ne andere Geschichte.

 

[CoMo]

Wenn wir hier gerade schon über Mikes Empfehlungsecke reden, hier ein aktueller interessanter Beitrag aus dem Forum: Alpine Linux basierter DNSSEC validierender rekursiver Unbound DNS-Resolver.

Mein Unbound läuft auf meinem Router, mein AdGuard Home auf meinem Proxmox. Bei meiner Mama läuft beides auf einem Raspberry Pi 2 auf Basis von DietPi.

 

[Evil E-Lex]

Mich wundert ja, das da auch der DNS-Server von z.B. Cloudflare auftaucht.

Dafür fehlt https://www.dns0.eu/de (französische Non-Profit-Organisation, Server ausschließlich in der EU). So gleicht sich im Leben alles aus. 🙂

 

[qiller]

Benutze ja IPFire und da kannste die verschiedensten DNS-Resolver hinterlegen. Die werden auch regelmäßig getestet und Server, die schlechte Response-Zeiten haben, werden auch seltener genutzt. Ansonsten werden die DNS-Anfragen über die Server gespreaded, so dass die DNS-Resolver nur eine unvollständige DNS-History bekommen.

Spoiler: IPFire DNS Server

Spoiler: DoT & Response Time Check

=======================================================================================================================

                         Will check now your configured DNS-over-TLS servers from '/var/ipfire/dns/servers'

=======================================================================================================================
From Host: unfiltered.adguard-dns.com ---- With IP: 94.140.14.141 ---- Date: Thu Mar  7 11:24:31 AM CET 2024

in 140.4 ms

The encryption is OK and works with: TLS1.3-ECDHE-X25519-ECDSA-SECP256R1-SHA256-AES-128-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dns.sb ---- With IP: 185.222.222.222 ---- Date: Thu Mar  7 11:24:31 AM CET 2024

in 111.2 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP256R1-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: open.dns0.eu ---- With IP: 193.110.81.254 ---- Date: Thu Mar  7 11:24:32 AM CET 2024

in 110.3 ms

The encryption is OK and works with: TLS1.3-ECDHE-X25519-ECDSA-SECP256R1-SHA256-AES-128-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: anycast.censurfridns.dk ---- With IP: 91.239.100.100 ---- Date: Thu Mar  7 11:24:32 AM CET 2024

in 147.6 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP384R1-SHA384-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: open.dns0.eu ---- With IP: 185.253.5.254 ---- Date: Thu Mar  7 11:24:32 AM CET 2024

in 112.1 ms

The encryption is OK and works with: TLS1.3-ECDHE-X25519-ECDSA-SECP256R1-SHA256-AES-128-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dns.digitale-gesellschaft.ch ---- With IP: 185.95.218.43 ---- Date: Thu Mar  7 11:24:32 AM CET 2024

in 137.1 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP256R1-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dns.digitale-gesellschaft.ch ---- With IP: 185.95.218.42 ---- Date: Thu Mar  7 11:24:32 AM CET 2024

in 136.8 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP256R1-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: recursor01.dns.ipfire.org ---- With IP: 81.3.27.54 ---- Date: Thu Mar  7 11:24:33 AM CET 2024

in 149.8 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP384R1-SHA384-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dot.ffmuc.net ---- With IP: 5.1.66.255 ---- Date: Thu Mar  7 11:24:33 AM CET 2024

in 129.6 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-RSA-PSS-RSAE-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dns3.digitalcourage.de ---- With IP: 5.9.164.112 ---- Date: Thu Mar  7 11:24:33 AM CET 2024

in 196.0 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-RSA-PSS-RSAE-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: unfiltered.adguard-dns.com ---- With IP: 94.140.14.140 ---- Date: Thu Mar  7 11:24:33 AM CET 2024

in 123.1 ms

The encryption is OK and works with: TLS1.3-ECDHE-X25519-ECDSA-SECP256R1-SHA256-AES-128-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================
From Host: dns.sb ---- With IP: 185.184.222.222 ---- Date: Thu Mar  7 11:24:33 AM CET 2024

in 113.8 ms

The encryption is OK and works with: TLS1.3-ECDHE-SECP256R1-ECDSA-SECP256R1-SHA256-AES-256-GCM

The certificate is trusted and OK

The DNSSEC validation works and is OK

=======================================================================================================================

All enabled DNS-over-TLS servers from /var/ipfire/dns/servers has been tested.

 

[CaptainPighead]

Mich wundert ja, das da auch der DNS-Server von z.B. Cloudflare auftaucht.
Ich würde amerikanische Anbieter schon deshalb mit Vorsicht genießen, weil die jederzeit ein National Security Letter kriegen können und dann mit den Diensten zusammen arbeiten müssen ohne darüber Auskunft geben zu dürfen. (...)

Bin bei Dir was die Ami-Anbieter angeht - würde ich persönlich (u.a. auch aus diesen Gründen) nicht nutzen wollen. Was die Auflistung in der Liste in Mikes Blog angeht, muss man fairerweise erwähnen, dass Quad9 und Cloudflare ja separat dort gelistet werden und ein fetter Hinweis zur möglichen Protokollierung darüber steht. Ich finde das dort gut getrennt, zu den anderen zensurfreien Servern darüber.

Mir persönlich ist Datenschutz ebenfalls wichtiger, als ein paar Millisekunden schnellere Antworten.

@CoMo , danke für den Tip zu dem Unbound Projekt aus dem Forum, schaue ich mir in jedem Fall genauer an.

 

[andy_m4]

dass Quad9 und Cloudflare ja separat dort gelistet werden und ein fetter Hinweis zur möglichen Protokollierung darüber steht.

Das stimmt. Ändert aber nichts daran, das es zumindest diskussionswürdig ist, ob man die in eine Empfehlungsliste mit aufnimmt.
Insbesondere, wenn der Hinweis bezüglich Protokollierung eher allgemein gehalten ist.

 

[Pummeluff]

Wenn du eine Seite erreichen möchtest die bei deinem Provider gesperrt ist - ja. Ansonsten fällt mir da gerade nichts ein,

Das Gegenteil: Du möchtest viele Seiten nicht erreichen, die bei Deinem Provider erlaubt sind.

Und beim Surfen einfach sowas wie uBlock verwenden.

uBlock verhindert Werbung in Deinem Browser. Ein lokaler DNS-Server mit Filterlisten blockiert Werbung für alle Geräte und alle Nutzer in Deinem Netzwerk.

 

[andy_m4]

Das Gegenteil: Du möchtest viele Seiten nicht erreichen, die bei Deinem Provider erlaubt sind.

Na Idealerweise möchte man beides.
Also Werbung, Malware etc. lieber nicht. Aber die etwaige gesperrte regierungskritische Seite aber schon, ums mal plakativ zu formulieren. :-)

uBlock verhindert Werbung in Deinem Browser. Ein lokaler DNS-Server mit Filterlisten blockiert Werbung für alle Geräte und alle Nutzer in Deinem Netzwerk.

Man muss aber dazu sagen, das der DNS-based Schutz nicht so feingranular ist, wie das was Filter wie uBlock leisten.
Und man kann ja auch beides parallel einsetzen. Das DNS-based Blocking als eine Art Grundschutz für alle Geräte und dann zusätzlich das Browser-Addon für weitergehende Filterung im Browser.

 

[CaptainPighead]

Und man kann ja auch beides parallel einsetzen. Das DNS-based Blocking als eine Art Grundschutz für alle Geräte und dann zusätzlich das Browser-Addon für weitergehende Filterung im Browser.

100% - genau das ist eigentlich der beste Ansatz: auf DNS-Ebene die ganzen unerwünschten Sachen bereits rausfiltern (so bleibt das gesamte Netzwerk auch mehr oder weniger "sauber") und an Deinem PC filterst Du feingranular mit Addons wie uBlock Origin noch den ganzen Mist raus, der über DNS nicht rausgefiltert wurde oder konnte.

Durch das DNS-based Filtering ist auch insgesamt weniger Traffic auf den Clients, da die rausgefilterten Müll-Requests zu Trackern, Werbung & Co. gar nicht erst durchkommen. Von daher würde ich persönlich auch immer beides einsetzen.

 

[norKoeri]

Was seht ihr da für Vor und oder Nachteile?

Aus reiner Neugierde: Was ist der Unterschied zu den Threads aus dem Jahr 2023, 2022 und 2017?

 

[Pummeluff]

2024. Das gab's in den Vorjahren noch nicht.

 

[cosamed]

Ja so ist es
2o24 gab es da noch nicht.