DNS

DNS Zensur

Written by  on April 24, 2023

Ein bisschen Zensur-Infrastruktur aufbauen. Was soll schon schief gehen.
Heise: DNS-Panne: heise.de landet bei 1&1 im Copyright-Filter
Wie auch in den Kommentaren steht: Ein DNS Server der nicht richtig auflöst, ist kaputt.

Gegen Split DNS

Written by  on Juli 28, 2021

… man kann nicht mehr erwarten, dass die DNS-Antworten über verschiedene Applikationen hinweg konsistent sind. Deshalb könne man mit Fug und Recht von einem fragmentierten Namensraum sprechen.

Das hat einen Namen und ist schon seit langem ein Ärgernis: Split DNS
heise: Namensauflösung im Internet: Fragmentierung schlimmer als Konzentration

Glitch: DNS

Written by  on Juli 23, 2021

Kommt in die Cloud und ihr müsst euch um nichts mehr kümmern. Kaum Kosten, höchste Ausfallssicherheit.
heise: Viele Websites nach DNS-Störung bei Online-Dienstleister Akamai nicht erreichbar
Wie Fefe sagen würde: War wohl ein Softwareproblem, da kann man nichts machen.

A1 Internet Ausfall

Written by  on Mai 6, 2021

Nur zwei, drei Monate später, wieder ein Ausfall wieder der DNS.
Futurezone: Internet bei A1 österreichweit ausgefallen
Ich hatte das ja hier schon Mal.
A1 Festnetz Internet Ausfall
Wenn man böse sein möchte, sollte man schon fragen, was die Kollegen da Beruflich machen, wenn nicht einmal DNS funktioniert.

Glich: Zensurinfrastruktur

Written by  on März 11, 2021

Heise: Urheberrechtsverletzungen auf Streaming-Sites: Neuer Anlauf für DNS-Sperren
In Deutschland wird gerade Zensurinfrastruktur vorbereitet. Sobald das Mal läuft, ist es nur eine Frage der Zeit, bis das für alle möglichen anderen Themen ausgeweitet wird.

  • Infos über Abtreibung? DNS Sperre
  • Nacktheit? DNS Sperre
  • Schimpfwörter? DNS Sperre
  • Unerwünschte Kriesgberichterstattung? DNS Sperre
  • Wikileaks? DNS Sperre
  • Wenn das in AT schon blockiert wird, dann tippe ich darauf dass es sich um die hier erwähnte Seite handelt.

    DNS Blockade

    Written by  on Februar 28, 2021

    Wird mein DNS zensiert?
    Fragen wir mal einen A1 Nameserver:

    dig www.kinox.to @213.33.99.70 +short
    213.33.66.164
    

    Die IP gehört der A1? Kann ich mir nicht vorstellen, dass der DNS zur A1 zeigen soll.

    whois 213.33.66.164
    ....
    % Abuse contact for '213.33.66.160 - 213.33.66.175' is 'abuse@a1.at'
    
    inetnum:        213.33.66.160 - 213.33.66.175
    netname:        PROXYTV-AT
    descr:          A1 Telekom Austria AG
    

    Dann fragen wir Mal einen offenen Nameserver an

    dig www.kinox.to @9.9.9.10 +short
    104.21.89.130
    172.67.189.72
    

    Pi-hole mit rekursivem Nameserver

    Written by  on Juli 12, 2019

    Wer sich Sorgen um die Privatsphäre macht, sollte Pi-hole direkt mit eigenem, rekursivem Nameserver betreiben, statt die DNS Daten an Google, Cloudflare oder seinem Internetprovider zu spenden.
    Beschrieben wird das etwa unter Setting up Pi-hole as a recursive DNS server solution
    Nochmal von mir getestet auf „Raspbian GNU/Linux 9 (stretch)“

    apt-get install unbound
    # root hints herunterladen, sollte man ab und zu aktualisieren
    wget -O root.hints https://www.internic.net/domain/named.root
    sudo mv root.hints /var/lib/unbound/
    

    /etc/unbound/unbound.conf.d/pi-hole.conf

    server:
        # If no logfile is specified, syslog is used
        # logfile: "/var/log/unbound/unbound.log"
        verbosity: 0
    
        port: 5353
        do-ip4: yes
        do-udp: yes
        do-tcp: yes
    
        # May be set to yes if you have IPv6 connectivity
        do-ip6: no
    
        # Use this only when you downloaded the list of primary root servers!
        root-hints: "/var/lib/unbound/root.hints"
    
        # Trust glue only if it is within the servers authority
        harden-glue: yes
    
        # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
        harden-dnssec-stripped: yes
    
        # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
        # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
        use-caps-for-id: no
    
        # Reduce EDNS reassembly buffer size.
        # Suggested by the unbound man page to reduce fragmentation reassembly problems
        edns-buffer-size: 1472
    
        # Perform prefetching of close to expired message cache entries
        # This only applies to domains that have been frequently queried
        prefetch: yes
    
        # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
        num-threads: 1
    
        # Ensure kernel buffer is large enough to not lose messages in traffic spikes
        so-rcvbuf: 1m
    
        # Ensure privacy of local IP ranges
        private-address: 192.168.0.0/16
        private-address: 169.254.0.0/16
        private-address: 172.16.0.0/12
        private-address: 10.0.0.0/8
        private-address: fd00::/8
        private-address: fe80::/10
    
    service unbound start
    # Dienst aktivieren
    systemctl enable unbound
    dig pi-hole.net @127.0.0.1 -p 5353
    

    DNS Sec testen

    dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
    dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353
    

    Im Pi-hole Admin als DNS Server festlegen: „127.0.0.1#5353“

    Mobaxterm dnsutils plugin

    Written by  on Dezember 14, 2018

    Wer schon länger das dnsutils Plugin von MobaXterm verwendet, dem ist vielleicht aufgefallen, dass man damit keine CAA DNS Records prüfen kann.
    Aber es gibt mittlerweile ein neues Plugin .

    Vorher:

    $ dig -version
    DiG 9.7.1
    
    $ dig CAA xn--hllrigl-a90a.at
    
    ; <<>> DiG 9.7.1 <<>> CAA xn--hllrigl-a90a.at
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41201
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;CAA.                           IN      A
    
    ;; Query time: 6 msec
    ;; SERVER: 10.14.32.54#53(10.14.32.54)
    ;; WHEN: Mon Dec 10 12:43:16 2018
    ;; MSG SIZE  rcvd: 21
    
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28184
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;xn--hllrigl-a90a.at.            IN      A
    
    ;; AUTHORITY SECTION:
    at.                     900     IN      SOA     dns.nic.at. domain-admin.univie.ac.at. 1544436002 10800 3600 604800 10800
    
    ;; Query time: 11 msec
    ;; SERVER: 10.14.32.54#53(10.14.32.54)
    ;; WHEN: Mon Dec 10 12:43:16 2018
    ;; MSG SIZE  rcvd: 103
    

    Nachher

    $ dig -version
    DiG 9.9.7
    
    $ dig CAA +short xn--hllrigl-90a.at
    0 issue "letsencrypt.org"
    0 iodef "mailto:hostmaster@xn--hllrigl-90a.at"
    

    PI Setup

    Written by  on August 25, 2018

    Win32 Imager
    Download Link für Image (Version & Kernel)

    Einstellungen am PI:

    1. Deutsche Tastatur
    2. Statische IP
      static ip config am eth0
      /etc/network/interfaces.d/eth0

      auto eth0
      allow-hotplug eth0
      iface eth0 inet static
      address 10.0.XXX.XXX
      netmask 255.255.255.0
      gateway 10.0.XXX.XXX
      dns-nameservers 127.0.0.1
      
    3. SSH aktivieren
      service ssh start
      systemctl enable ssh
      
    4. DHCP Client deaktivieren
      service dhcpcd stop
      systemctl disable dhcpcd
      
    5. Pihole setup
    6. DoH (DNS over HTTPS aktivieren
    7. interne DNS Zone aufbauen

    DOH – DNS over HTTPS

    Written by  on April 22, 2018

    Nach der Anleitung für Pi-hole
    Erst wird der cloudflared benötigt

    wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-arm.tgz
    tar -xvzf cloudflared-stable-linux-arm.tgz
    sudo cp ./cloudflared /usr/local/bin
    sudo chmod +x /usr/local/bin/cloudflared
    # Kontrolle ob das binary so funktioniert
    cloudflared -v
    cloudflared version 2018.4.6 (built 2018-04-11-1516 UTC)
    

    Einen Benutzer hinzufügen

    sudo useradd -s /usr/sbin/nologin -r -M cloudflared

    Optionen erstellen sudo vi /etc/default/cloudflared

    # Commandline args for cloudflared
    CLOUDFLARED_OPTS=--port 5053 --upstream https://1.1.1.1/dns-query
    

    Berechtigungen anpassen

    sudo chown cloudflared:cloudflared /etc/default/cloudflared
    sudo chown cloudflared:cloudflared /usr/local/bin/cloudflared
    

    Systemd Service erstellen
    sudo vi /lib/systemd/system/cloudflared.service

    [Unit]
    Description=cloudflared DNS over HTTPS proxy
    After=syslog.target network-online.target
    
    [Service]
    Type=simple
    User=cloudflared
    EnvironmentFile=/etc/default/cloudflared
    ExecStart=/usr/local/bin/cloudflared proxy-dns $CLOUDFLARED_OPTS
    Restart=on-failure
    RestartSec=10
    KillMode=process
    
    [Install]
    WantedBy=multi-user.target
    

    Testing

    dig @127.0.0.1 -p 5053 google.com

    dnsmasq config anpassen
    /etc/dnsmasq.d/50-cloudflared.conf

    server=127.0.0.1#5053

    Disable „server=“ entries under /etc/dnsmasq.d/

    # Disable Pi-hole updates ind /etc/pihole/setupVars.conf
    #PIHOLE_DNS1=8.8.8.8
    

    Testen ob alles funktioniert unter en.conn.internet.nl/connection