nameserver

DNS Blockade

Written by georg on Februar 28, 2021

Wird mein DNS zensiert?
Fragen wir mal einen A1 Nameserver:

dig www.kinox.to @213.33.99.70 +short
213.33.66.164

Die IP gehört der A1? Kann ich mir nicht vorstellen, dass der DNS zur A1 zeigen soll.

whois 213.33.66.164
....
% Abuse contact for '213.33.66.160 - 213.33.66.175' is 'abuse@a1.at'

inetnum:        213.33.66.160 - 213.33.66.175
netname:        PROXYTV-AT
descr:          A1 Telekom Austria AG

Dann fragen wir Mal einen offenen Nameserver an

dig www.kinox.to @9.9.9.10 +short
104.21.89.130
172.67.189.72

A1 Festnetz Internet Ausfall

Written by georg on Februar 20, 2021

Am Donnerstag, dem 18. Februar 2021, gab es laut Kollegen Probleme bei der A1.
Futurezone: Massiver Ausfall bei A1-Internet
ORF: Österreichweite Ausfälle bei A1-Internet:

Sowohl Festnetztelefon als auch Mobilfunk funktionieren, auch das mobile Internet ist nicht betroffen.

Dem muss ich widersprechen. Wie mir meine Metriken zeigen, hat das zu einer Überlastung im LTE geführt.
Futurezone: A1-Internet: DDoS-Attacke war Grund für Ausfall
Das halte ich für glaubwürdig. Laut Aussagen von mehreren Personen war für den Endkunden „nur“ DNS betroffen. D.h. alle, die nicht die A1 Nameserver verwendet haben, weil sie etwa via Pihole komplett andere Server befragen, waren von dem Ausfall nicht betroffen.
Und wer den Schaden hat, muss für den Spott nicht sorgen:
Die Tagespresse: „Internet nicht unsere Stärke“: A1 will künftig nur noch Rechnungen verschicken

Pi-hole mit rekursivem Nameserver

Written by georg on Juli 12, 2019

Wer sich Sorgen um die Privatsphäre macht, sollte Pi-hole direkt mit eigenem, rekursivem Nameserver betreiben, statt die DNS Daten an Google, Cloudflare oder seinem Internetprovider zu spenden.
Beschrieben wird das etwa unter Setting up Pi-hole as a recursive DNS server solution
Nochmal von mir getestet auf „Raspbian GNU/Linux 9 (stretch)“

apt-get install unbound
# root hints herunterladen, sollte man ab und zu aktualisieren
wget -O root.hints https://www.internic.net/domain/named.root
sudo mv root.hints /var/lib/unbound/

/etc/unbound/unbound.conf.d/pi-hole.conf

server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0

    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the servers authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1472

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

service unbound start
# Dienst aktivieren
systemctl enable unbound
dig pi-hole.net @127.0.0.1 -p 5353

DNS Sec testen

dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353

Im Pi-hole Admin als DNS Server festlegen: „127.0.0.1#5353“

Pi-hole

Written by georg on Dezember 3, 2017

Wie kann man mehr aus einer eher bescheidenen Internetanbindung herausholen? Am schnellsten ist der Traffic, der eingespart werden kann. Auch dann wenn genügend Bandbreite vorhanden wäre.
Was könnte man sparen? Spam- ähm… natürlich Werbenetzwerke und bereits bekannte Maleware bieten sich an. Am einfachsten sind Adblocker als Browser-Erweiterung zu verwenden. Aber die bekommt man so schlecht auf alle Geräte, wie zum Beispiel aufs Smart TV oder den Blueray Player. Auch am Handy schaut es eher düster aus mit Adblocking. Wer mehrere Browser verwendet muss schon auf einem Gerät mehrere Plugins einrichten und aktuell halten!
Warum also nicht Adblocking auf DNS-Ebene im ganzen Netzwerk? Exakt das setzt Pi-hole auf einem Raspberry Pi um.
Pi-hole setzt auf dnsmasq und stellt am Besten auch gleich den DHCP Dienst zur Verfügung. Der lässt sich ganz einfach über das Webinterface konfigurieren. Dieses zeigt auch recht interessante Statistiken an.

Ein zusätzlicher Vorteil ist, dass man seine DNS Anfragen über verschiedene Anbieter verteilen kann, so dass die Wahrscheinlichkeit sinkt, dass jemand alle Daten auf einmal bekommt. Und man ist nicht der verordneten Zensur der lokalen DNS Anbieter unterworfen.
Vordefiniert sind die Nameserver von Google, OpenDNS (gehört zu CISCO), Level3, Norton, Comodo und DNS.WATCH. Es steht aber frei einfach eigene zu definieren.