DNS
DNS Zensur
Ein bisschen Zensur-Infrastruktur aufbauen. Was soll schon schief gehen.
Heise: DNS-Panne: heise.de landet bei 1&1 im Copyright-Filter
Wie auch in den Kommentaren steht: Ein DNS Server der nicht richtig auflöst, ist kaputt.
Gegen Split DNS
… man kann nicht mehr erwarten, dass die DNS-Antworten über verschiedene Applikationen hinweg konsistent sind. Deshalb könne man mit Fug und Recht von einem fragmentierten Namensraum sprechen.
Das hat einen Namen und ist schon seit langem ein Ärgernis: Split DNS
heise: Namensauflösung im Internet: Fragmentierung schlimmer als Konzentration
Glitch: DNS
Kommt in die Cloud und ihr müsst euch um nichts mehr kümmern. Kaum Kosten, höchste Ausfallssicherheit.
heise: Viele Websites nach DNS-Störung bei Online-Dienstleister Akamai nicht erreichbar
Wie Fefe sagen würde: War wohl ein Softwareproblem, da kann man nichts machen.
A1 Internet Ausfall
Nur zwei, drei Monate später, wieder ein Ausfall wieder der DNS.
Futurezone: Internet bei A1 österreichweit ausgefallen
Ich hatte das ja hier schon Mal.
A1 Festnetz Internet Ausfall
Wenn man böse sein möchte, sollte man schon fragen, was die Kollegen da Beruflich machen, wenn nicht einmal DNS funktioniert.
Glich: Zensurinfrastruktur
Heise: Urheberrechtsverletzungen auf Streaming-Sites: Neuer Anlauf für DNS-Sperren
In Deutschland wird gerade Zensurinfrastruktur vorbereitet. Sobald das Mal läuft, ist es nur eine Frage der Zeit, bis das für alle möglichen anderen Themen ausgeweitet wird.
Wenn das in AT schon blockiert wird, dann tippe ich darauf dass es sich um die hier erwähnte Seite handelt.
DNS Blockade
Wird mein DNS zensiert?
Fragen wir mal einen A1 Nameserver:
dig www.kinox.to @213.33.99.70 +short 213.33.66.164
Die IP gehört der A1? Kann ich mir nicht vorstellen, dass der DNS zur A1 zeigen soll.
whois 213.33.66.164 .... % Abuse contact for '213.33.66.160 - 213.33.66.175' is 'abuse@a1.at' inetnum: 213.33.66.160 - 213.33.66.175 netname: PROXYTV-AT descr: A1 Telekom Austria AG
Dann fragen wir Mal einen offenen Nameserver an
dig www.kinox.to @9.9.9.10 +short 104.21.89.130 172.67.189.72
Pi-hole mit rekursivem Nameserver
Wer sich Sorgen um die Privatsphäre macht, sollte Pi-hole direkt mit eigenem, rekursivem Nameserver betreiben, statt die DNS Daten an Google, Cloudflare oder seinem Internetprovider zu spenden.
Beschrieben wird das etwa unter Setting up Pi-hole as a recursive DNS server solution
Nochmal von mir getestet auf „Raspbian GNU/Linux 9 (stretch)“
apt-get install unbound # root hints herunterladen, sollte man ab und zu aktualisieren wget -O root.hints https://www.internic.net/domain/named.root sudo mv root.hints /var/lib/unbound/
/etc/unbound/unbound.conf.d/pi-hole.conf
server: # If no logfile is specified, syslog is used # logfile: "/var/log/unbound/unbound.log" verbosity: 0 port: 5353 do-ip4: yes do-udp: yes do-tcp: yes # May be set to yes if you have IPv6 connectivity do-ip6: no # Use this only when you downloaded the list of primary root servers! root-hints: "/var/lib/unbound/root.hints" # Trust glue only if it is within the servers authority harden-glue: yes # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS harden-dnssec-stripped: yes # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details use-caps-for-id: no # Reduce EDNS reassembly buffer size. # Suggested by the unbound man page to reduce fragmentation reassembly problems edns-buffer-size: 1472 # Perform prefetching of close to expired message cache entries # This only applies to domains that have been frequently queried prefetch: yes # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1. num-threads: 1 # Ensure kernel buffer is large enough to not lose messages in traffic spikes so-rcvbuf: 1m # Ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10
service unbound start # Dienst aktivieren systemctl enable unbound dig pi-hole.net @127.0.0.1 -p 5353
DNS Sec testen
dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353 dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353
Im Pi-hole Admin als DNS Server festlegen: „127.0.0.1#5353“
Mobaxterm dnsutils plugin
Wer schon länger das dnsutils Plugin von MobaXterm verwendet, dem ist vielleicht aufgefallen, dass man damit keine CAA DNS Records prüfen kann.
Aber es gibt mittlerweile ein neues Plugin .
Vorher:
$ dig -version DiG 9.7.1 $ dig CAA xn--hllrigl-a90a.at ; <<>> DiG 9.7.1 <<>> CAA xn--hllrigl-a90a.at ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41201 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;CAA. IN A ;; Query time: 6 msec ;; SERVER: 10.14.32.54#53(10.14.32.54) ;; WHEN: Mon Dec 10 12:43:16 2018 ;; MSG SIZE rcvd: 21 ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28184 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;xn--hllrigl-a90a.at. IN A ;; AUTHORITY SECTION: at. 900 IN SOA dns.nic.at. domain-admin.univie.ac.at. 1544436002 10800 3600 604800 10800 ;; Query time: 11 msec ;; SERVER: 10.14.32.54#53(10.14.32.54) ;; WHEN: Mon Dec 10 12:43:16 2018 ;; MSG SIZE rcvd: 103
Nachher
$ dig -version DiG 9.9.7 $ dig CAA +short xn--hllrigl-90a.at 0 issue "letsencrypt.org" 0 iodef "mailto:hostmaster@xn--hllrigl-90a.at"
PI Setup
Win32 Imager
Download Link für Image (Version & Kernel)
Einstellungen am PI:
- Deutsche Tastatur
- Statische IP
static ip config am eth0
/etc/network/interfaces.d/eth0auto eth0 allow-hotplug eth0 iface eth0 inet static address 10.0.XXX.XXX netmask 255.255.255.0 gateway 10.0.XXX.XXX dns-nameservers 127.0.0.1
- SSH aktivieren
service ssh start systemctl enable ssh
- DHCP Client deaktivieren
service dhcpcd stop systemctl disable dhcpcd
- Pihole setup
- DoH (DNS over HTTPS aktivieren
- interne DNS Zone aufbauen
DOH – DNS over HTTPS
Nach der Anleitung für Pi-hole
Erst wird der cloudflared benötigt
wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-arm.tgz tar -xvzf cloudflared-stable-linux-arm.tgz sudo cp ./cloudflared /usr/local/bin sudo chmod +x /usr/local/bin/cloudflared # Kontrolle ob das binary so funktioniert cloudflared -v cloudflared version 2018.4.6 (built 2018-04-11-1516 UTC)
Einen Benutzer hinzufügen
sudo useradd -s /usr/sbin/nologin -r -M cloudflared
Optionen erstellen sudo vi /etc/default/cloudflared
# Commandline args for cloudflared CLOUDFLARED_OPTS=--port 5053 --upstream https://1.1.1.1/dns-query
Berechtigungen anpassen
sudo chown cloudflared:cloudflared /etc/default/cloudflared sudo chown cloudflared:cloudflared /usr/local/bin/cloudflared
Systemd Service erstellen
sudo vi /lib/systemd/system/cloudflared.service
[Unit] Description=cloudflared DNS over HTTPS proxy After=syslog.target network-online.target [Service] Type=simple User=cloudflared EnvironmentFile=/etc/default/cloudflared ExecStart=/usr/local/bin/cloudflared proxy-dns $CLOUDFLARED_OPTS Restart=on-failure RestartSec=10 KillMode=process [Install] WantedBy=multi-user.target
Testing
dig @127.0.0.1 -p 5053 google.com
dnsmasq config anpassen
/etc/dnsmasq.d/50-cloudflared.conf
server=127.0.0.1#5053
Disable „server=“ entries under /etc/dnsmasq.d/
# Disable Pi-hole updates ind /etc/pihole/setupVars.conf #PIHOLE_DNS1=8.8.8.8
Testen ob alles funktioniert unter en.conn.internet.nl/connection