DNS

DOH – DNS over HTTPS

Written by  on April 22, 2018

Nach der Anleitung für Pi-hole
Erst wird der cloudflared benötigt

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-arm.tgz
tar -xvzf cloudflared-stable-linux-arm.tgz
sudo cp ./cloudflared /usr/local/bin
sudo chmod +x /usr/local/bin/cloudflared
# Kontrolle ob das binary so funktioniert
cloudflared -v
cloudflared version 2018.4.6 (built 2018-04-11-1516 UTC)

Einen Benutzer hinzufügen

sudo useradd -s /usr/sbin/nologin -r -M cloudflared

Optionen erstellen sudo vi /etc/default/cloudflared

# Commandline args for cloudflared
CLOUDFLARED_OPTS=--port 5053 --upstream https://1.1.1.1/dns-query

Berechtigungen anpassen

sudo chown cloudflared:cloudflared /etc/default/cloudflared
sudo chown cloudflared:cloudflared /usr/local/bin/cloudflared

Systemd Service erstellen
sudo vi /lib/systemd/system/cloudflared.service

[Unit]
Description=cloudflared DNS over HTTPS proxy
After=syslog.target network-online.target

[Service]
Type=simple
User=cloudflared
EnvironmentFile=/etc/default/cloudflared
ExecStart=/usr/local/bin/cloudflared proxy-dns $CLOUDFLARED_OPTS
Restart=on-failure
RestartSec=10
KillMode=process

[Install]
WantedBy=multi-user.target

Testing

dig @127.0.0.1 -p 5053 google.com

dnsmasq config anpassen
/etc/dnsmasq.d/50-cloudflared.conf

server=127.0.0.1#5053

Disable “server=” entries under /etc/dnsmasq.d/

# Disable Pi-hole updates ind /etc/pihole/setupVars.conf
#PIHOLE_DNS1=8.8.8.8

Testen ob alles funktioniert unter en.conn.internet.nl/connection

Multi Command Readline

Written by  on März 31, 2018

Das kann nerven: Man will eine Liste mit DNS Einträgen überprüfen. Was aber wenn es gar keinen Eintrag gibt? Meist ist es nicht akzeptabel, wenn die Zeile dann einfach weggelassen wird. Also muss man aus dem üblichen Einzeiler eine ganze Schleife basteln, die auch dann eine Ausgabe liefert, wenn dig keine mehr Produziert.

while read LINE
do {
  echo -n "$LINE "
  dig SOA $LINE +short
  }
done < $INPUTFILE

Pihole: Interne DNS Zone

Written by  on Februar 24, 2018

Pihole verwendet dnsmasq. Dadurch kann auch ganz einfach eine interne DNS Zone aufgebaut werden.
Dazu sind am Pi diese Schritte notwendig:
/etc/dnsmasq.d/02-mydns.conf

addn-hosts=/etc/hosts.mydomain

/etc/hosts.mydomain

10.0.0.1	router.int.example.com
10.0.0.2	one.int.example.com
10.0.0.3	pi.int.example.com
10.0.0.4	two.int.example.com
# service dnsmasq restart

Pi-hole

Written by  on Dezember 3, 2017

Wie kann man mehr aus einer eher bescheidenen Internetanbindung herausholen? Am schnellsten ist der Traffic, der eingespart werden kann. Auch dann wenn genügend Bandbreite vorhanden wäre.
Was könnte man sparen? Spam- ähm… natürlich Werbenetzwerke und bereits bekannte Maleware bieten sich an. Am einfachsten sind Adblocker als Browser-Erweiterung zu verwenden. Aber die bekommt man so schlecht auf alle Geräte, wie zum Beispiel aufs Smart TV oder den Blueray Player. Auch am Handy schaut es eher düster aus mit Adblocking. Wer mehrere Browser verwendet muss schon auf einem Gerät mehrere Plugins einrichten und aktuell halten!
Warum also nicht Adblocking auf DNS-Ebene im ganzen Netzwerk? Exakt das setzt Pi-hole auf einem Raspberry Pi um.
Pi-hole setzt auf dnsmasq und stellt am Besten auch gleich den DHCP Dienst zur Verfügung. Der lässt sich ganz einfach über das Webinterface konfigurieren. Dieses zeigt auch recht interessante Statistiken an.

Ein zusätzlicher Vorteil ist, dass man seine DNS Anfragen über verschiedene Anbieter verteilen kann, so dass die Wahrscheinlichkeit sinkt, dass jemand alle Daten auf einmal bekommt. Und man ist nicht der verordneten Zensur der lokalen DNS Anbieter unterworfen.
Vordefiniert sind die Nameserver von Google, OpenDNS (gehört zu CISCO), Level3, Norton, Comodo und DNS.WATCH. Es steht aber frei einfach eigene zu definieren.

DNS TTL

Written by  on Juli 29, 2015

Wer hat sich schon Mal gefragt, ob sich die Provider an die DNS TTL halten?
Ich habe dazu schon verschiedene Meinungen gehört – z.B. dass besonders kurze DNS TTLs länger gecached werden, oder aber auch dass besonders lange TTLs abgekürzt werden.
Aber gibts dafür Beweise?

Zum Testen habe ich DNS Einträge mit verschiedenen TTLs von 60 Sekunden bis 345600 Sekunden = 4 Tage erstellt, Das waren die maximalen DNS Werte die mein DNS Anbieter zugelassen hat, und über verschiedene Nameserver wieder abgefragt:

dns

Schön zu sehen – in diesem Bereich halten sich die Nameserver der Telekom Austria und OpenDNS an die vorgegebene TTL. Die Google Nameserver schneiden die TTL bei 22k Sekunden, etwas über 6 Stunden, ab.

Einerseits vernünftig, dass die Google Nameserver Benutzer und Seitenbetreiber vor zu langen DNS TTLs schützen, andererseits lügen die Nameserver halt.

Kennt jemand noch weitere lügende Nameserver?

Weitere Quellen, die sich mit dieser Frage beschäfitgen:

http://ask.slashdot.org/story/05/04/18/198259/Providers-Ignoring-DNS-TTL
http://serverfault.com/questions/72363/what-percentage-of-nameservers-honor-ttl-these-days

DNS Cache im Webbrowser

Written by  on März 6, 2011

Read more…

SpeedTouch-Modem DNS Konfiguration

Written by  on Oktober 27, 2010

Read more…

So funktioniert DNS

Written by  on März 10, 2010

Read more…