Alternativer DNS - nutzt ihr das?

[iceview]

Hallo zusammen,

ich fang mal von hinten an: nein es geht nicht um die Seitensperren und die Diskussionen um "wie komme ich noch an Seite x oder y ran". Wer da ran möchte wird auch andere Wege finden als den DNS Server zu ändern.

Nutzt ihr alternative DNS Server als die des ISP? Ich überlege ob ich z.B. in unseren Firmenfirewalls die Cloudflare "Antimalware und Anti-Adultsite" DNS nutzen sollte. Der normale User wird ohne administrative Rechte auf seinen Endgeräten es eher schwer haben das zu umgehen.

Nutzt ihr die Dienste in Punkto digitale Selbstbestimmung? Lieber einem Dienst Daten geben (Cloudflare, Quad9 etc.) bei denen man weiss es werden z.B. Statistiken gefüttert usw. dafür gibt es aber DoT oder DoH. Und es gibt zumindest ansatzweise Transparenzberichte und Audits über die man lesen kann. Alternativ kann ich meine Daten meinem ISP "anvertrauen" und weiss über die dort vorgehaltenen DNS rein gar nichts.

Oder nutzt ihr via z.B. unbound eigene DNS Server?

Danke für ein Meinungsbild :-)

 

[Paxter]

Ich verwende Unboud und betreibe also meinen eigenen DNS-Resolver.
Also ja. Ich verwende einen alternativen DNS-Server. Meinen eigenen 👍🏻

 

[RalphS]

In Firmenumgebungen würde ich da gar nicht rumfummeln. Zeug was ich nicht kontrollier ist immer ein Problem. Da lieber sperre ich die unliebsamen Sites selber.

Privat nutze ich derzeit (noch) den DNS des IAP als Forwarder. Aber da es immer wieder die seltsamsten NXDOMAINs gibt an Stellen wo es niemand vermuten würde (was ist an perforce so schlimm? 🤔 ) und jetzt das ganze Geblöke mit den DNS-Sperren mal wieder...

... Denke ich zumindest drüber nach, den Forwarder als solchen rauszuwerfen und selber aufzulösen (per Rekursion).

 

[Engaged]

Nutzt ihr die Dienste in Punkto digitale Selbstbestimmung?

Jo nutze Google und OpenDNS, haben beide ECS und DNSSEC, und gehören zu den zuverlässigsten und schnellsten.
Das ganze läuft aber in einem pihole, dort sind dann quasi noch Listen vorgeschaltet zum blocken für alle Kategorien, Malware, Werbung, tracking, phishing usw.

Mit CloudFlare habe ich eher schlechte Erfahrung, mit Google Diensten und auch mit Telekom Anschlüssen scheint das nicht die beste Performance zu haben, ist zwar schon länger her, aber außerdem war es bei mir damals auch nicht das zuverlässigste als es neu war.

 

[Skeidinho]

+1 zu @Paxter.
Pi mit Unbound + Cloudflare mit AdGuard

 

[d0xs]

Habe lange 1.1.1.1 als DNS benutzt.
Mittlerweile bin ich auf Unbound + PiHole gewechselt

 

[SpamBot]

CloudFlare habe ich eher schlechte Erfahrung

Sowas könnte auch neben dem Provider vom eigenem Standort abhängen.

 

[Asznee]

Eine andere Frage. Habe schon oft gelesen das Pihole so gut ist und schützt vor Tracking, Werbung ect.

Was ist das denn?

 

[Engaged]

Sowas könnte auch neben dem Provider vom eigenem Standort abhängen.

Jo CloudFlare soll ja mit Telekom nicht so perfekt harmonieren, Standort wäre stadtrand Hamburg.

Im reinen DNS performance test Schnitt der Dienst ganz gut hab, aber das hat sich damals irgendwie auch mit Google-Diensten nicht so gut vertragen.

Darum bin ich als Android Haushalt, Chrome Browser User, und Gamer wieder zurück zu Google DNS, dazu halt Open DNS als zweiten Dienst für Redundanz, so habe ich von den all monatlichen internetproblemen die immer in IT-News sind und oft auch DNS betreffen noch nie was mitbekommen (gut meistens ist auch Vodafone betroffenen in diesen News aber trotzdem). 😅👍

 

[up.whatever]

Habe auch unbound als recursive resolver laufen uns kann es nur empfehlen, funktioniert einwandfrei und ausreichend schnell. Habe auch bind9 named für den gleichen Zeck getestet, aber der war bei mir furchtbar langsam.

 

[RalphS]

Eh, nur zur Sicherheit, damit nicht irgendwelchen Trugschlüssen aufgesessen wird.

• Wenn ein DNS-Service NXDOMAIN liefert, also sagt: gibbet nich, dann wird der andere "redundante" DNS-Service NICHT befragt.
• Redundanz greift nur, wenn wirklich ein DNS-Service nicht erreichbar ist.

 

[Engaged]

Was ist das denn?

Pi hole ein kleines Programm welches man z.b. auf einem raspberry pi laufen lassen kann, und was mit filterlisten arbeitet, alle DNS Fragen gehen dahin und werden dann gefiltert, z.b. Werbung und Tracking, die restlichen Anfragen werden dann an DNS Server gesendet um sie aufzulösen.

Quasi ein grundschutz für das Netzwerk auf DNS Ebene, eignet sich zb besonders gut für Mobilgeräte und Tablets, aber auch PCs und Laptops profitieren davon out-of-the-box auch wenn ich dort trotzdem noch ein extra Adblocker installieren würde.
Das "beschleunigt" auch das Netzwerk und die Geräte weil ja der ganze Müll schon gefiltert wird bevor es die internetleitung überhaupt berührt. 👍

So gesehen kann das auch das Netzwerk nebenbei etwas sicherer machen, denn es gibt nicht nur AdBlock Listen sondern auch Listen gegen Malware, Spam, Phishing, Mining, usw, ein rundum sorglospaket wo out-of-the-box jedes Gerät im Netzwerk von profitiert.

 

[TechX]

Was ist das denn?

https://pi-hole.net/
Quasi das "schwarze Loch" für Werbemüll

 

[GokuSS4]

https://www.privacy-handbuch.de/handbuch_93d.htm
dnsforge.de

 

[iceview]

Ich überlege auch noch ob ich einen Unbound auf einem Pi installiere. Ich würde mir dann die DNS Listen einfach im Intervall von z.B. 1 Monat von den Root Servern ziehen und gut ist. Klar, der erste Aufruf der Seite "dauert" dann bis er gecached vorliegt.

Auf was lasst ihr denn unbound oder bind9 laufen? Ein PI 3 mit 2GB RAM reicht da doch sicher aus oder? Das Debian oder Ubuntu braucht doch nix...

Ich habe gestern mal die Cloudflare DNS im Router etabliert, die laufen per DoT in normaler Geschwindigkeit. Ich merke da keinen Unterschied zu denen des ISP vorher.

DNS.watch fand ich ein interessantes Projekt, dort kann man mit einem personalisiertem Account seine Einstellungen feintunen und das als Service ohne eigene Hardware zu nutzen. Allerdings scheint DNScrypt, DoT und DoH noch beta zu sein.

 

[Engaged]

Auf was lasst ihr denn unbound oder bind9 laufen? Ein PI 3 mit 2GB RAM reicht da doch sicher aus oder? Das Debian oder Ubuntu braucht doch nix...

Kannst auch noch einen pihole davor schalten, dann kannst du noch Blacklist und whitelist betreiben, ggf Listen abonnieren, ob man sowas aber in einer Firma laufen lassen möchte, dann hast du nämlich ein single-point-of-failure in bastelfomat auf dein Nacken da aufgestellt. 😅

 

[Asznee]

Schade das man das PiHole nicht direkt auf die Fritzbox installieren kann. So läuft der Pi dann auch noch 24/7

Klingt aber echt geil was der PiHole alles kann/macht

 

[iceview]

@Engaged Mir geht es isoliert um die DNS Funktionen. Und das auch im privaten Bereich :-) Alles andere kann ich in der Sophos UTM steuern. Die filtert mir auch alles an Werbung wenn es sein muss. Aber einen eigenen DNS, DoT, DoH usw. kann das Ding nicht. OT: Das wird Sophos auch in der SG Reihe nicht mehr etablieren.

In der Firma sicher nicht ;-) Gerade weil wir auch noch Teil der Kritis sind... da kommen gebastelte Lösungen immer gut an ;-)

 

[Engaged]

Schade das man das PiHole nicht direkt auf die Fritzbox installieren kann. So läuft der Pi dann auch noch 24/7

Da reicht auch ein paar Zero mit lan Adapter und der verbraucht wirklich nicht viel.

 

[maxim.webster]

Ein PI 3 mit 2GB RAM reicht da doch sicher aus oder?

Jibbet nicht