DNS

DNS4EU

Written by  on Juli 13, 2025

DNS4EU
Heise: Digitale Souveränität: EU startet eigenen DNS-Dienst mit praktischen Funktionen

Unfiltered resolution

IP address:
86.54.11.100
86.54.11.200

IPv6:
2a13:1001::86:54:11:100
2a13:1001::86:54:11:200

DNS over HTTPS:
https://unfiltered.joindns4.eu/dns-query

DNS over TLS:
unfiltered.joindns4.eu

Unfiltered option is a valid option for users who are confident their devices and connection are secure, and are looking for fast, reliable, and anonymised resolution service.

DNS Zensur

Written by  on April 24, 2023

Ein bisschen Zensur-Infrastruktur aufbauen. Was soll schon schief gehen.
Heise: DNS-Panne: heise.de landet bei 1&1 im Copyright-Filter
Wie auch in den Kommentaren steht: Ein DNS Server der nicht richtig auflöst, ist kaputt.

Gegen Split DNS

Written by  on Juli 28, 2021

… man kann nicht mehr erwarten, dass die DNS-Antworten über verschiedene Applikationen hinweg konsistent sind. Deshalb könne man mit Fug und Recht von einem fragmentierten Namensraum sprechen.

Das hat einen Namen und ist schon seit langem ein Ärgernis: Split DNS
heise: Namensauflösung im Internet: Fragmentierung schlimmer als Konzentration

Glitch: DNS

Written by  on Juli 23, 2021

Kommt in die Cloud und ihr müsst euch um nichts mehr kümmern. Kaum Kosten, höchste Ausfallssicherheit.
heise: Viele Websites nach DNS-Störung bei Online-Dienstleister Akamai nicht erreichbar
Wie Fefe sagen würde: War wohl ein Softwareproblem, da kann man nichts machen.

A1 Internet Ausfall

Written by  on Mai 6, 2021

Nur zwei, drei Monate später, wieder ein Ausfall wieder der DNS.
Futurezone: Internet bei A1 österreichweit ausgefallen
Ich hatte das ja hier schon Mal.
A1 Festnetz Internet Ausfall
Wenn man böse sein möchte, sollte man schon fragen, was die Kollegen da Beruflich machen, wenn nicht einmal DNS funktioniert.

Glich: Zensurinfrastruktur

Written by  on März 11, 2021

Heise: Urheberrechtsverletzungen auf Streaming-Sites: Neuer Anlauf für DNS-Sperren
In Deutschland wird gerade Zensurinfrastruktur vorbereitet. Sobald das Mal läuft, ist es nur eine Frage der Zeit, bis das für alle möglichen anderen Themen ausgeweitet wird.

  • Infos über Abtreibung? DNS Sperre
  • Nacktheit? DNS Sperre
  • Schimpfwörter? DNS Sperre
  • Unerwünschte Kriesgberichterstattung? DNS Sperre
  • Wikileaks? DNS Sperre

    • Wenn das in AT schon blockiert wird, dann tippe ich darauf dass es sich um die hier erwähnte Seite handelt.

    DNS Blockade

    Written by  on Februar 28, 2021

    Wird mein DNS zensiert?
    Fragen wir mal einen A1 Nameserver:

    dig www.kinox.to @213.33.99.70 +short
213.33.66.164

    Die IP gehört der A1? Kann ich mir nicht vorstellen, dass der DNS zur A1 zeigen soll.

    whois 213.33.66.164
....
% Abuse contact for '213.33.66.160 - 213.33.66.175' is 'abuse@a1.at'

inetnum:        213.33.66.160 - 213.33.66.175
netname:        PROXYTV-AT
descr:          A1 Telekom Austria AG

    Dann fragen wir Mal einen offenen Nameserver an

    dig www.kinox.to @9.9.9.10 +short
104.21.89.130
172.67.189.72

    Pi-hole mit rekursivem Nameserver

    Written by  on Juli 12, 2019

    Wer sich Sorgen um die Privatsphäre macht, sollte Pi-hole direkt mit eigenem, rekursivem Nameserver betreiben, statt die DNS Daten an Google, Cloudflare oder seinem Internetprovider zu spenden.
    Beschrieben wird das etwa unter Setting up Pi-hole as a recursive DNS server solution
    Nochmal von mir getestet auf „Raspbian GNU/Linux 9 (stretch)“

    apt-get install unbound
# root hints herunterladen, sollte man ab und zu aktualisieren
wget -O root.hints https://www.internic.net/domain/named.root
sudo mv root.hints /var/lib/unbound/

    /etc/unbound/unbound.conf.d/pi-hole.conf

    server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1472

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

    service unbound start
# Dienst aktivieren
systemctl enable unbound
dig pi-hole.net @127.0.0.1 -p 5353

    DNS Sec testen

    dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353

    Im Pi-hole Admin als DNS Server festlegen: „127.0.0.1#5353“

    Mobaxterm dnsutils plugin

    Written by  on Dezember 14, 2018

    Wer schon länger das dnsutils Plugin von MobaXterm verwendet, dem ist vielleicht aufgefallen, dass man damit keine CAA DNS Records prüfen kann.
    Aber es gibt mittlerweile ein neues Plugin .

    Vorher:

    $ dig -version
DiG 9.7.1

$ dig CAA xn--hllrigl-a90a.at

; <<>> DiG 9.7.1 <<>> CAA xn--hllrigl-a90a.at
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41201
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;CAA.                           IN      A

;; Query time: 6 msec
;; SERVER: 10.14.32.54#53(10.14.32.54)
;; WHEN: Mon Dec 10 12:43:16 2018
;; MSG SIZE  rcvd: 21

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28184
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;xn--hllrigl-a90a.at.            IN      A

;; AUTHORITY SECTION:
at.                     900     IN      SOA     dns.nic.at. domain-admin.univie.ac.at. 1544436002 10800 3600 604800 10800

;; Query time: 11 msec
;; SERVER: 10.14.32.54#53(10.14.32.54)
;; WHEN: Mon Dec 10 12:43:16 2018
;; MSG SIZE  rcvd: 103

    Nachher

    $ dig -version
DiG 9.9.7

$ dig CAA +short xn--hllrigl-90a.at
0 issue "letsencrypt.org"
0 iodef "mailto:hostmaster@xn--hllrigl-90a.at"

    PI Setup

    Written by  on August 25, 2018

    Win32 Imager
    Download Link für Image (Version & Kernel)

    Einstellungen am PI:

    1. Deutsche Tastatur
    2. Statische IP
      static ip config am eth0
      /etc/network/interfaces.d/eth0

      auto eth0
allow-hotplug eth0
iface eth0 inet static
address 10.0.XXX.XXX
netmask 255.255.255.0
gateway 10.0.XXX.XXX
dns-nameservers 127.0.0.1
    3. SSH aktivieren 
      service ssh start
systemctl enable ssh
    4. DHCP Client deaktivieren 
      service dhcpcd stop
systemctl disable dhcpcd
    5. Pihole setup
    6. DoH (DNS over HTTPS aktivieren
    7. interne DNS Zone aufbauen

    « Older Entries