Julkiset DNS-palvelut

[Enhancer]

Itse käytän NextDNS mobiilivehkeissä, koska helppo saada mainoksia pois. Laittanut/ehdottanut myös muillekin tuota luureihin ja ilmaisena on riittänyt niille käyttäjille, en tiedä miten jollekin luurin suurkuluttajalle riittäisi ilmaisen raja, voi joutua maksamaan.

Tietokoneilla on sitten Quad9 käytössä, koska mainosestot tarvii vain selaimessa ja siihen taasen uBlock on ylivoimainen.

Eli ilman dedikoitua sisäverkon DNS-palvelinta vaihtuvilla IP-osoitteilla operoitaessa helpointa mennä halutun blokkitason palvelimella Cloudflaren tai Quad9 kanssa. Nopeuksissa ei ilmeisesti mainittavia eroja ole, tuskin ainakaan hitaampaa kuin operaattoreiden omilla?

Itse olen tykännyt Controld DNS-palvelusta. Tuossa ei liene mitään sen isompia eroja NextDNS:ssään kuin se että voi ohjata yksittäisiä domaineja eri maihin proxyn avulla. Kätevää kun pystyy esimerkiksi Samsungin TV:ssä blokkaamaan Twitchin mainokset laittamalla liikenteen ohjautumaan vaikka Ukrainan kautta ja HBO Max jenkkien kautta jotta näkee heidän sisältönsä (tämä lopetti tosin toimimisen hetki sitten kun siellä muuttui palvelu pelkäksi Maxiksi mutta näin esimerkkinä).

Controld:n saa puoleen hintaan jos on voimassa oleva Windscribe tilaus (myös lifetime tilaus sisältyy tähän nykyään).

Miksei tuollakin joskus voisi käyttöä olla. Nopeus samoissa noiden ykkösten ja ysien kanssa?

 

[Infinity]

NextDNS varmaan helpoin ratkaisu, jos ei paljoa jaksa säätää.

Itselläkin se on käytössä, tosin lähinnä pelkästään DoH tuen vuoksi ja koska en halua antaa Googlelle ja Cloudflarelle yhtään enempää dataa, missä lähiverkkoni käyttäjät selailevat.

Oma setuppi menee näin:
LAN/VPN Client -> DNS 53 -> Pi-Hole -> DNS 53 -> pfSense -> NDNS CLI DoH 443 -> NextDNS (WAN)

 

[Enhancer]

NextDNS kanssa voisin siis käyttää DDNS:ää jolla ratkeaisi muuttuvien IP-osoitteiden ongelma. 3 WAN-yhteyttä, jokaisella oma DDNS-osoite ja sitten NextDNS:n kaikille kolmelle sama profiili?

 

[Infinity]

Siis DDNS (tai mikä tahansa muu dynamic DNS palveluntarjoaja) ei riipu tai roiku mihin DNS palvelimelle nimitiedustelusi laitat menemään tai toisin päin. Itselle ei nyt oikein aukea miten DDNS tähän liittyy? Eri palvelut kyseessä.

Yhtä hyvin voit käyttää vaikka No-IP jos haluat omiin verkkoihin päästä kiinni jonkun muuttumattoman domain nimen kautta ja laittaa laitteiden nimikyselyt menemään esimerkiksi Googlelle.

 

[Enhancer]

Siis DDNS (tai mikä tahansa muu dynamic DNS palveluntarjoaja) ei riipu tai roiku mihin DNS palvelimelle nimitiedustelusi laitat menemään tai toisin päin. Itselle ei nyt oikein aukea miten DDNS tähän liittyy? Eri palvelut kyseessä.

Yhtä hyvin voit käyttää vaikka No-IP jos haluat omiin verkkoihin päästä kiinni jonkun muuttumattoman domain nimen kautta ja laittaa laitteiden nimikyselyt menemään esimerkiksi Googlelle.

Saadakseni NextDNS käyttöön reititintasolla? Sinnehän pitää linkittää IP, jotta profiilit toimivat? Tällöin reitittimelle riittää kun määrittelen NextDNS osoitteet käyttöön, ja reititin ilmoittaa omat WAN IP-osoitteensa vaikka No-IP:lle jonka kautta saan sitten muuttuneen IP:n tiedoksi NextDNS?

 

[Infinity]

Saadakseni NextDNS käyttöön reititintasolla? Sinnehän pitää linkittää IP, jotta profiilit toimivat?

Vain jos käyttää salaamatonta DNS portista 53, mitä ei kyllä voi hirveästi suositella vuonna 2023.

Suositeltavampaa on joko asentaa reitittimelle NDNS CLI jolloin kyselyt lähtevät salattuna HTTPS portista 443 DoH:lla NextDNS:lle - tai sitten jokaiselle laitteelle erikseen DoH/DoT kenttään NextDNS IP/domain tai lataamalla NDNS oma appi joka käyttää DoH.

Edit: Apple laitteille voi myös ladata suoraan profiilin NextDNS sivulta ja laitteet käyttää myös silloin natiivisti DoH eikä tarvitse viritellä DDNS reitittimelle.

 

[mikajh]

3 WAN-yhteyttä, jokaisella oma DDNS-osoite ja sitten NextDNS:n kaikille kolmelle sama profiili?

Ei tuo NextDNS näytä tukevan kuin yhtä linked IP:tä kerrallaan

 

[SamCer]

Vain jos käyttää salaamatonta DNS portista 53, mitä ei kyllä voi hirveästi suositella vuonna 2023.

Suositeltavampaa on joko asentaa reitittimelle NDNS CLI jolloin kyselyt lähtevät salattuna HTTPS portista 443 DoH:lla NextDNS:lle - tai sitten jokaiselle laitteelle erikseen DoH/DoT kenttään NextDNS IP/domain tai lataamalla NDNS oma appi joka käyttää DoH.

Edit: Apple laitteille voi myös ladata suoraan profiilin NextDNS sivulta ja laitteet käyttää myös silloin natiivisti DoH eikä tarvitse viritellä DDNS reitittimelle.

Mikä hyöty tuosta salatusta DNS:stä on?

 

[Infinity]

Mikä hyöty tuosta salatusta DNS:stä on?

Jokainen välietappi kotisi ja käyttämäsi DNS palvelimen välillä ei pysty lukemaan cleartextinä millä sivuilla/palveluilla seikkailet.

(Joo, kyllä IP/domain taulukoilla pystyy yhä tutkimaan missä liikutaan, mutta salattu DNS tuo silti huomattavasti yksityisyyttä)

 

[user9999]

Jos tekee useita NextDNS profiileja niin jokaiseen voi linkittää oman DDNS-osoitteen.

 

[SamCer]

Jokainen välietappi kotisi ja käyttämäsi DNS palvelimen välillä ei pysty lukemaan cleartextinä millä sivuilla/palveluilla seikkailet.

Se ei kyllä siihen vaikuta mitenkään... ISP näkee kyllä ilman mitään ongelmia minne olet menossa, kuten kaikki muutkin koneesi ja sivun välille minne olet menossa.

 

[Infinity]

Se ei kyllä siihen vaikuta mitenkään... ISP näkee kyllä ilman mitään ongelmia minne olet menossa, kuten kaikki muutkin koneesi ja sivun välille minne olet menossa.

Salatulla DNS:llä näkevät IP:n, eivät domainia. Pointtini oli, että jokainen palveluntarjoaja ja verkon ylläpitäjä pystyy lukemaan DNS kyselysi matkan varrella leikiten.

Ja kuten sanoin, jos tarpeeksi riittää haluja niin toki voi yhä seurata. Vain VPN on keino jos täyttä yksityisyyttä haluaa.

Salattu DNS kuitenkin laittaa kapuloita rattaisiin eikä datan kerääminen ole niin naurettavan simppeliä kuin salaamattomalla.

 

[SamCer]

Salatulla DNS:llä näkevät IP:n, eivät domainia. Pointtini oli, että jokainen palveluntarjoaja ja verkon ylläpitäjä pystyy lukemaan DNS kyselysi matkan varrella leikiten.

Toi on kyllä totta.

 

[Enhancer]

Jos tekee useita NextDNS profiileja niin jokaiseen voi linkittää oman DDNS-osoitteen.

Ei tuo NextDNS näytä tukevan kuin yhtä linked IP:tä kerrallaan

Niin, ymmärsin että jokaiseen profiiliin voi linkittää tosiaan oman, jolloin saisin kaikki 3 WAN-osoitetta hoidettua.

Taas käytännössä, etenkin tuo kolmas eli varayhteyden varayhteys nyt voisi pudota vaikka profiilien ulkopuolellekin mutta samalla toimenpiteellä sen hoitaisi kuin 2 muutakin.

Tuo salaamaton liikenne on tietysti sitten yksi asia, mutta salaamatonta se on tainnut olla tähänkin asti.

 

[mikajh]

Niin, ymmärsin että jokaiseen profiiliin voi linkittää tosiaan oman, jolloin saisin kaikki 3 WAN-osoitetta hoidettua.

Saa, jos haluat ylläpitää kolmea profiilia ja käydä kolmet logit läpi

 

[Enhancer]

Yhteenvetona siis, mikäli reititin ei pysty pyörittämään erillistä softaa, on ainoa vaihtoehto käyttää suoria DNS-osoitteita ja NextDNS:n tapauksessa linkittää IP-osoite palveluun tavalla tai toisella jos haluaa profiilit käyttöön. Tietenkin verkossa pyörivä erillinen kilke voidaan määrittää palvelimeksi reitittimelle.

Tällöin joka tapauksessa DNS-kyselyt lähtevät reitittimeltä eteenpäin salaamattomina, siinä missä ne lähtevät myös clienteiltä jos jokainen client saa DHCP:llä vaikkapa palveluntarjoajan DNS-osoitteet?

 

[Infinity]

Voi sitä verkkoon laittaa vaikka Raspin missä ajelee NextDNS CLI ja työntää Raspin IP DNS:ksi laitteille. Suositeltavin sinun tapauksessasi olisi yhä käyttää natiivia DoH/DoT eikä tuota IP linkitystä, jos kerran useampi WAN laite yhteen NextDNS tunnukseen olisi tarkoitus saada. Bonuksena saa salatun DNS, vaikka siitä ei välittäisikään.

Itsellä on autotallissa sillatun Huawei 4G modeemin perässä ikivanha pari kymppiä maksanut Asuksen AC68U reititin, missä on natiivi DoT tuki ainakin Merlinin firmiksellä. Siihen vain heitti NextDNS DoT infot ja yhdellä NextDNS tunnarilla on nyt koti, autotalli, kuin kaikki mobiililaitteetkin, eikä tarvitse veivata montaa profiilia tai tehdä hirveää urakkaa, että saa IP linkityksen DDNS kera.

 

[Enhancer]

Voi sitä verkkoon laittaa vaikka Raspin missä ajelee NextDNS CLI ja työntää Raspin IP DNS:ksi laitteille. Suositeltavin sinun tapauksessasi olisi yhä käyttää natiivia DoH/DoT eikä tuota IP linkitystä, jos kerran useampi WAN laite yhteen NextDNS tunnukseen olisi tarkoitus saada. Bonuksena saa salatun DNS, vaikka siitä ei välittäisikään.

Itsellä on autotallissa sillatun Huawei 4G modeemin perässä ikivanha pari kymppiä maksanut Asuksen AC68U reititin, missä on natiivi DoT tuki ainakin Merlinin firmiksellä. Siihen vain heitti NextDNS DoT infot ja yhdellä NextDNS tunnarilla on nyt koti, autotalli, kuin kaikki mobiililaitteetkin, eikä tarvitse veivata montaa profiilia tai tehdä hirveää urakkaa, että saa IP linkityksen DDNS kera.

Juuri näin.

Itse asiassa ilmeisesti viime kuun puolivälissä on tullut tarjolle Omada-sarjaan uusi softa, joka on tuonut DNS Proxyn tarjolle, ja siten tukisi myös natiivisti DNSSEC, DoT ja DoH. Täytyypä tutustua jos tuolla saisi sittenkin homman toimimaan ilman patentteja.

Koko homman juju olisi pitää kaikki rauta tuon saman Omada-hallinnan alla.

 

[escalibur]

Tuore testi eri DNS-palvelujen haittallisten sivustojen estokyvyistä. Mukana mm. Google, Cloudflare, Quad9, Comodo, DNS0.eu yms

Public DNS malware filters tested

How well do public DNS resolvers that claim to block malware domains really score? Which provider is the safest? We did the test!

techblog.nexxwave.be

Spoileri: Tulokset

PROVIDER	CLOUDFLARE UNFILTERED	GOOGLE PUBLIC DNS	TELENET	PROXIMUS	OPENDNS	QUAD9	CLOUDFLARE FOR FAMILIES	DNS0.EU	DNS0.EU ZERO	CLEANBROWSING SECURITY FILTER	COMODO SECURE DNS
Resolved hosts	44542	44516	44387	44458	44493	9713	38699	2510	2452	5762	44502
Not resolved hosts	0.00%	0.06%	0.35%	0.19%	0.11%	78.19%	13.12%	94.36%	94.50%	87.06%	0.09%

Pitää jossain vaiheessa tehdä vastaavan testin näin Suomessa asuvan näkökulmasta, viiveiden yms näkökulmien vuoksi.

 

[Enhancer]

Hyvältä vaikuttaa tuo dns0, käytännössä näyttää olevan valtaosa nextdns:n käyttämistä asetuksista viety tuonne sellaisenaan ilman konfigurointimahdollisuuksia.

 

[vrmx]

Tulipas erikoinen ongelma vastaan, kun olisin laittanut dns0:n reitittimeen suoraan, mutta eihän nuo osoitteet kelvannut sille.

Näköjään tämä Huawei AX3 ei hyväksy dns-osoitteita mitkä päättyy .0 eli viimeisen pisteen jälkeen on pelkkä nolla. No muuten sama, mutta .9 eli dns0 zero serverit kelpaa reitittimelle niin laitoin nyt ne sitten.

Käytössä on muutenkin NextDNS profiilit laitekohtaisesti niin tiedä sitten kuinka suuri hyöty on. Ainakin melkein naapurissa yksi Suomen serveri, jos ei muuta

 

[mikajh]

ei hyväksy dns-osoitteita mitkä päättyy .0 eli viimeisen pisteen jälkeen on pelkkä nolla

Eipä tietenkään, koska se on varattu subnetille Internet Protocol version 4 - Wikipedia

 

[Desgorr]

Eipä tietenkään, koska se on varattu subnetille Internet Protocol version 4 - Wikipedia

Riippuu ihan subnetin koosta. Voi olla ihan normaalikin IP-osoite (Kuten tässä tilanteessa), eli se nollaan päättyvä ei aina ole varattu verkon osoitteelle.
Mutta itsekin huomasin, että Asuksen purkki ei tuota osoitetta hyväksy missä viimeinen oktetti on nolla.

 

[vrmx]

Eipä tietenkään, koska se on varattu subnetille Internet Protocol version 4 - Wikipedia

Aina oppii uutta. Plus mitä Desgorr sanoi.

Miksiköhän sitten dns-palvelulle on annettu osoite mikä päättyy .0, jos sitä (tunnetusti?) ei voi käyttää kaikissa laitteissa?

 

[Desgorr]

Aina oppii uutta. Plus mitä Desgorr sanoi.

Miksiköhän sitten dns-palvelulle on annettu osoite mikä päättyy .0, jos sitä (tunnetusti?) ei voi käyttää kaikissa laitteissa?

Se on hyvä kysymys, mutta käytännössähän tuo vika on reitittimien puolella. Tämä löytyy myös dns0:n sivuilta known issueista: .0 IP addresses - Known Issues - Documentation

 

[mikajh]

Voi olla ihan normaalikin IP-osoite (Kuten tässä tilanteessa)

Eipä siltä vaikuta tässä tilanteessa:
whois 193.110.81.0

inetnum: 193.110.81.0 - 193.110.81.127
netname: DNS0-3
route: 193.110.81.0/24
descr: dns0.eu primary

 

[oongee]

Miksiköhän sitten dns-palvelulle on annettu osoite mikä päättyy .0, jos sitä (tunnetusti?) ei voi käyttää kaikissa laitteissa?

Pientä kettuilua tai painostusta huonolaatuisten verkkolaitteiden valmistajia kohtaan, että siirtyisivät nykyaikaan aikamatkaltaan 90-luvun alusta ennen CIDR-osoitteiden käyttöönottoa? Tai opettavat kuluttajia tunnistamaan huonolaatuisen laitteen, jossa on varmaan n+1 muutakin bugia, ja jota siksi ei kannattaisi käyttää?

En muuten itse tuota DNS0-palvelua ainakaan privacy-mielessä välttämättä käyttäisi. Katsoin huvikseni, missä heidän palvelimensa sijaitsevat verkkoteknisesti Elisan ja DNA:n verkoista katsoen, ja näytti liikenne menevän RETN:n kautta. Itse ainakin haen mieluummin DNS-vastaukseni ihan suomalaiselta operaattorilta, joilla tietosuoja-asiat ovat pääosin hyvällä mallilla, kuin lähettäisin kaiken DNS-liikenteeni Venäläisen operaattorin kautta. RETN:n on pohjimmiltaan venäläinen, henkilöstö pääosin venäläistä ja iso osa toiminnoista Venäjältä hoidettu.

 

[Desgorr]

Eipä siltä vaikuta tässä tilanteessa:
whois 193.110.81.0

inetnum: 193.110.81.0 - 193.110.81.127
netname: DNS0-3
route: 193.110.81.0/24
descr: dns0.eu primary

Jahas, no sitten on kyllä erikoista

 

[oongee]

Eipä siltä vaikuta tässä tilanteessa:
whois 193.110.81.0

inetnum: 193.110.81.0 - 193.110.81.127
netname: DNS0-3
route: 193.110.81.0/24
descr: dns0.eu primary

Tuo, onko .0 -osoite verkon alussa vai keskellä on kyseisen verkon sisäinen asia, millä ei ole mitään merkitystä kenellekään jossain toisessa verkossa sijaitsevalle. Whois-tieto saattaa pitää paikkaansa tai saattaa olla pitämättä, mutta se, että kyseistä IP-osoitetta ei voi johonkin toisessa verkossa sijaitsevaan laitteeseen konfiguroida kohdeosoitteeksi on täysin yksiselitteisesti bugi kyseisen laitteen softassa.

 

[mikajh]

Tuo, onko .0 -osoite verkon alussa vai keskellä on kyseisen verkon sisäinen asia, millä ei ole mitään merkitystä kenellekään jossain toisessa verkossa sijaitsevalle. Whois-tieto saattaa pitää paikkaansa tai saattaa olla pitämättä, mutta se, että kyseistä IP-osoitetta ei voi johonkin toisessa verkossa sijaitsevaan laitteeseen konfiguroida kohdeosoitteeksi on täysin yksiselitteisesti bugi kyseisen laitteen softassa.

dns0.eu/NextDNS:n whois-tieto näyttää olevan osin persiillään, koska se viittaa IPv4 CIDR block -osoiteformaattiin a.b.c.d/25
Tässä host d ei voi olla 0 eikä 128 Classless Inter-Domain Routing - Wikipedia

 

[escalibur]

En muuten itse tuota DNS0-palvelua ainakaan privacy-mielessä välttämättä käyttäisi. Katsoin huvikseni, missä heidän palvelimensa sijaitsevat verkkoteknisesti Elisan ja DNA:n verkoista katsoen, ja näytti liikenne menevän RETN:n kautta.

Kyselin heiltä pitääkö tuo paikkaansa ja pyysivät esimerkkiä väitteestä. Saatko laitettua mulle, niin toimitan heille? Pyyhi pois kaikki sinuun kohdistuvat IP:t yms.

 

[antero]

Onhan tuolla johtajissa paljon venäläisiä nimiä, mutta toimii britannissa.
RETN CAPITAL LTD. people - Find and update company information - GOV.UK (company-information.service.gov.uk)

Itsellä kyllä aina menee dns0.eu ruotsiin.
Miten tuon Retn saisi näkyviin?

 

[user9999]

Onhan tuolla johtajissa paljon venäläisiä nimiä, mutta toimii britannissa.
RETN CAPITAL LTD. people - Find and update company information - GOV.UK (company-information.service.gov.uk)

Itsellä kyllä aina menee dns0.eu ruotsiin.
Miten tuon Retn saisi näkyviin?

Elisan ja DNA laajakaistaliittymillä.

Windows terminal:
tracert 193.110.81.0

macOS ja linux terminal:
traceroute -I 193.110.81.0

 

[oongee]

Kyselin heiltä pitääkö tuo paikkaansa ja pyysivät esimerkkiä väitteestä. Saatko laitettua mulle, niin toimitan heille? Pyyhi pois kaikki sinuun kohdistuvat IP:t yms.

Kannattaa tutustua traceroute / mtr / jne. työkaluihin. Niillä näkee helposti, että liikenne menee ainakin DNA:lta ja Elisalta Tukholmaa kohden. Heidän ISP/hostaaja siellä on ilmeisesti firma nimeltä Anexia ja Anexian upstream on RETN, eli RETN hoitaa liikenteen välityksen heidän ruotsalaiselle ISP:lle Suomesta.

                             My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)    2023-06-11T10:12:53+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%     3    0.2   0.5   0.2   0.9   0.4
2. XXX                               0.0%     3   10.5  14.0  10.5  18.7   4.2
3. XXX                               0.0%     3   10.8  11.2  10.8  11.5   0.4
4. (waiting for reply)
5. XXX                               0.0%     3    9.8  10.3   9.8  10.7   0.4
6. XXX                               0.0%     2   10.1  11.4  10.1  12.6   1.8
7. hel1-sr1.dnaip.fi                 0.0%     2   12.7  18.2  12.7  23.7   7.7
8. retn-T1024302.o.dnaip.fi          0.0%     2   11.4  13.5  11.4  15.6   3.0
9. ae4-9.RT.TC1.STO.SE.retn.net      0.0%     2   15.5  16.2  15.5  16.9   1.0
10. GW-ANEXIA.retn.net                0.0%     2   21.9  21.9  21.9  21.9   0.0
11. dns0.eu                           0.0%     2   20.6  18.8  17.0  20.6   2.6

Onhan tuolla johtajissa paljon venäläisiä nimiä, mutta toimii britannissa.
RETN CAPITAL LTD. people - Find and update company information - GOV.UK (company-information.service.gov.uk)

No ne on pyrkineet häivyttämään venäläistä identiteettiään nykytilanteessa ja profiloitumaan enemmän kansainväliseksi firmaksi, vaikka juuret ovat hyvin tiukasti Venäjällä. Kuka tahansa ISP-markkinoita ja niiden historiaa tunteva tietää, että kyseessä on suuri venäläinen ISP, vaikka sivuilla nykyään kerrotaankin pääkonttorin sijaitsevan Britanniassa.

Tämä ilmenee esim. siten, että katsot heidän sivuilta mitä tahansa kohtaa, niin siellä kerrotaan, että vastaavat yhteydenottoihin englanniksi ja venäjäksi. Ja he kertovat välittävänsä 33% Venäjän transit-liikenteestä. Voidakseen välittää kolmasosan Venäjän ulkomaan liikenteestä, välien Venäjän valtioon täytyy olla hyvät.

Ja RIPE-jäsensivulta ilmenee vielä todellinen osoite, mistä hommaa pääosin pyöritetään. Unohtunut varmaan "päivittää":

JSC "RetnNet"
NIZHNY SUSALNY PER., D. 5, STR. 19
05064 Moscow
RUSSIAN FEDERATION

 

[user9999]

Tuon DNS0.eu on perustaneet samat henkilöt kuin NextDNS palvelun.

NextDNS tapauksessa vähän erilainen reitti.

Elisa:
5 elisa-sto.cdn77.com
6 xe2-0.x01.sto02.se.misaka.io
7 dns1.nextdns.io

DNA:
5 dna-sto.cdn77.com
6 xe2-0.x01.sto02.se.misaka.io
7 dns1.nextdns.io

RIPE tiedot (cdn77.com ja misaka.io)

Members ordered by country code

www.ripe.net

Members ordered by country code

www.ripe.net

Edit: Noissa tracerouteissa käytin oman NextDNS profiilin DNS palvelimien IP-osoitteita.
DNA tapauksessa, jossa NextDNS CLI on käytössä niin ping osoittaa hetzner-hel (ultralow1) osoitteeseen.

ping.nextdns.io

 

[antero]

Näyttää suomessakin menevän samaa kautta.
Tuolla katson että oikea dns on käytössä.

dnscheck.tools - check your dns resolvers

A tool to test for DNS leaks, DNSSEC validation, and more

dnscheck.tools

Tuolla tarvittessa tarkemman nimen.
Whois Lookup, Domain Availability & IP Search - DomainTools

IP:t noukittu PFsensen traceroutesta.

 

[user9999]

Puhelimessa Telian liittymä.

6 hls-b3-link.ip.twelve99.net
7 s-bb2-link.ip.twelve99.net
8 s-b3-link.ip.twelve99.net
9 telia-gw.dcr01.anx52.sto.se.anexia-it.net
10 dns0.eu

RIPE tiedot ( twelve99.net ja anexia-it.net):

Members ordered by country code

www.ripe.net

Members ordered by country code

www.ripe.net

 

[Enhancer]

Miten olette toteuttaneet DNS-liikenteen hallinnan muuritasolla?

Oma ajatus olisi nyt käyttää reititintasolla DoH, ja NextDNS-määrittelyä joka blokkaisi mainokset, sekä lapsilta kielletyn sisällön yms. tarpeettoman. Aikuisten käytössä oleviin laitteisiin sitten laitekohtaisesti sallivampi NextDNS-määrittely myös DoH käyttäen?

Oletteko blokanneet kaiken sisäverkosta uloslähtevän salaamattoman DNS-liikenteen, vaiko pakko-ohjanneet sen vain reitittimelle?

Selainten yms. omat oletus DoT / DoH -kyselyt olisi hyvä saadaan myös haltuun, periaatteessa DoT-kyselyt voisi myös reitittää reitittimelle ja estää suoraan ulkomaailmaan mutta DoH käytännössä mahdotonta kun se kulkee niin salatun liikenteen seassa.

 

[Infinity]

Muistutuksena, että koska DoT on salattu, niin vaikka sen portin 853 voi pakko-ohjata reitittimelle, niin kyselyt hajoavat eivätkä tee mitään, koska TLS avaimet ei mätsää, jos reitittimen DNS palvelin ylipäätään yrittää kätellä uudelleenohjattua TLS kyselyä.

Helpoin on blokata molemmat DoH ja DoT, paitsi tietysti itse reitittimeltä ulos lähteviin DoH/DoT palvelimiin. Noin ei sitten ainakaan "hardcoded" appit ja laitteet pääse ohittamaan DNS suodatusta ja lataamaan mainoksia ja analytiikkaa salakavalasti DoH kautta.

 

[Enhancer]

Muistutuksena, että koska DoT on salattu, niin vaikka sen portin 853 voi pakko-ohjata reitittimelle, niin kyselyt hajoavat eivätkä tee mitään, koska TLS avaimet ei mätsää, jos reitittimen DNS palvelin ylipäätään yrittää kätellä uudelleenohjattua TLS kyselyä.

Helpoin on blokata molemmat DoH ja DoT, paitsi tietysti itse reitittimeltä ulos lähteviin DoH/DoT palvelimiin. Noin ei sitten ainakaan "hardcoded" appit ja laitteet pääse ohittamaan DNS suodatusta ja lataamaan mainoksia ja analytiikkaa salakavalasti DoH kautta.

Aivan niin, ”pieni” ajatusvirhe tuossa salatun liikenteen kääntämisessä.

DoT on helppo blokata portin 853 blokkaamisella, mutta eikös DoH mene samaa 443 porttia pitkin kuin muukin HTTPS-liikenne?

Eli voisi käyttää DoH eteenpäin reitittimeltä, ja myöskin laitteiden omissa löysemmissä profiileissa, ja sitten blokata portin 853 ja sekä pakottaa suojaamattoman porttia 53 pitkin yrittävän DNS:n reittimen DNS-välitykseen.

 

[Infinity]

Ainakin pfSensessä on helppo blokata tunnetuimmat DoH serverit lisäämällä tuon linkin txt filut URL aliaksiin ja kirjoittelemalla siihen viittaavat palomuurisäännöt.

GitHub - oneoffdallas/dohservers: A list of publicly available DNS over HTTPS (DoH) servers

A list of publicly available DNS over HTTPS (DoH) servers - oneoffdallas/dohservers

github.com

 

[escalibur]

Kannattaa tutustua traceroute / mtr / jne. työkaluihin. Niillä näkee helposti, että liikenne menee ainakin DNA:lta ja Elisalta Tukholmaa kohden. Heidän ISP/hostaaja siellä on ilmeisesti firma nimeltä Anexia ja Anexian upstream on RETN, eli RETN hoitaa liikenteen välityksen heidän ruotsalaiselle ISP:lle Suomesta.

                             My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)    2023-06-11T10:12:53+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%     3    0.2   0.5   0.2   0.9   0.4
2. XXX                               0.0%     3   10.5  14.0  10.5  18.7   4.2
3. XXX                               0.0%     3   10.8  11.2  10.8  11.5   0.4
4. (waiting for reply)
5. XXX                               0.0%     3    9.8  10.3   9.8  10.7   0.4
6. XXX                               0.0%     2   10.1  11.4  10.1  12.6   1.8
7. hel1-sr1.dnaip.fi                 0.0%     2   12.7  18.2  12.7  23.7   7.7
8. retn-T1024302.o.dnaip.fi          0.0%     2   11.4  13.5  11.4  15.6   3.0
9. ae4-9.RT.TC1.STO.SE.retn.net      0.0%     2   15.5  16.2  15.5  16.9   1.0
10. GW-ANEXIA.retn.net                0.0%     2   21.9  21.9  21.9  21.9   0.0
11. dns0.eu                           0.0%     2   20.6  18.8  17.0  20.6   2.6

No ne on pyrkineet häivyttämään venäläistä identiteettiään nykytilanteessa ja profiloitumaan enemmän kansainväliseksi firmaksi, vaikka juuret ovat hyvin tiukasti Venäjällä. Kuka tahansa ISP-markkinoita ja niiden historiaa tunteva tietää, että kyseessä on suuri venäläinen ISP, vaikka sivuilla nykyään kerrotaankin pääkonttorin sijaitsevan Britanniassa.

Tämä ilmenee esim. siten, että katsot heidän sivuilta mitä tahansa kohtaa, niin siellä kerrotaan, että vastaavat yhteydenottoihin englanniksi ja venäjäksi. Ja he kertovat välittävänsä 33% Venäjän transit-liikenteestä. Voidakseen välittää kolmasosan Venäjän ulkomaan liikenteestä, välien Venäjän valtioon täytyy olla hyvät.

Ja RIPE-jäsensivulta ilmenee vielä todellinen osoite, mistä hommaa pääosin pyöritetään. Unohtunut varmaan "päivittää":

JSC "RetnNet"
NIZHNY SUSALNY PER., D. 5, STR. 19
05064 Moscow
RUSSIAN FEDERATION

Kiitos! Tracert on tuttu, mutta tuo Anexian sidonnaisuus selittääkin, miksi en nähnyt koko Retn:ia omissa kokeiluissa.

Yhteisön hyväksi raportoin tämän heille, niin toivottavasti asiaan saadaan muutosta. Ennen sitä palvelua ei tietenkään voi suositella.

 

[escalibur]

@oongee @antero ja @user9999 Ajatteko traceroute-testit uudelleen DNS0:n supportin pyynnöstä?

Ajoin itsekin äsken kahdella eri laitteella, jotka ovat eri liittymien takana.

C:\Users\......>tracert 193.110.81.0

Tracing route to dns0.eu [193.110.81.0]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  .... [......]
  2     *        *        2 ms  dns0.eu [193.110.81.0]
  3     3 ms     2 ms     3 ms  dns0.eu [193.110.81.0]
  4     8 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  5     9 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  6    32 ms    32 ms    32 ms  dns0.eu [193.110.81.0]
  7    38 ms    38 ms    39 ms  dns0.eu [193.110.81.0]
  8    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]
  9    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 10    45 ms    45 ms    45 ms  dns0.eu [193.110.81.0]
 11    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 12     *        *        *     Request timed out.
 13    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]

Trace complete.

C:\Users\.....>tracert 193.110.81.0

Tracing route to dns0.eu [193.110.81.0]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ...... [.....]
  2     *        *        *     Request timed out.
  3     3 ms     3 ms     3 ms  dns0.eu [193.110.81.0]
  4     8 ms     9 ms     8 ms  dns0.eu [193.110.81.0]
  5     8 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  6    33 ms    32 ms    32 ms  dns0.eu [193.110.81.0]
  7    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
  8    38 ms    38 ms    39 ms  dns0.eu [193.110.81.0]
  9    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 10    45 ms    45 ms    45 ms  dns0.eu [193.110.81.0]
 11    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 12     *        *        *     Request timed out.
 13    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]

Trace complete.

C:\Users\.....>

traceroute 193.110.81.0
traceroute to 193.110.81.0 (193.110.81.0), 30 hops max, 60 byte packets
 1  172.xx.xx.1 (172.xx.xx.1)  7.484 ms  7.453 ms  7.429 ms
 2  13245.your-cloud.host (95.x.1xx.x)  1.203 ms  1.379 ms  1.347 ms
 3  * * *
 4  spine1.x.hel1.hetzner.com (88.x.247.185)  3.717 ms  3.945 ms spine2.x.hel1.hetzner.com (88.x.247.189)  2.261 ms
 5  x.hel1.hetzner.com (88.198.x.89)  29.778 ms x.hel1.hetzner.com (88.198.x.93)  2.015 ms x.hel1.hetzner.com (88.198.x.253)  1.991 ms
 6  x.sto.hetzner.com (213.x.224.22)  7.819 ms x.sto.hetzner.com (213.x.252.226)  6.667 ms x.sto.hetzner.com (213.x.245.70)  7.448 ms
 7  netnod-ix-ge-b-sth-1500.anexia-it.com (194.68.128.18)  7.426 ms netnod-ix-ge-a-sth-1500.anexia-it.com (194.68.123.18)  6.803 ms netnod-ix-ge-b-sth-1500.anexia-it.com (194.68.128.18)  6.585 ms
 8  213.227.185.32 (213.227.185.32)  7.725 ms  7.304 ms *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

 

[user9999]

DNA:

2 rai1-sr21.net.dnaip.fi (62.78.100.209)
3 148.122.10.42 (148.122.10.42)
4 ae64.edge1.Stockholm1.Level3.net (213.249.107.89)
5 ae2.3209.edge5.Paris1.level3.net (4.69.143.170)
6 213.242.121.14 (213.242.121.14)
7 et20-1.core-2.csd5.gandi.net (173.246.102.25)
8 et53-1.core-1.sd5.gandi.net (173.246.102.7)
9 * * *
10 * * *
11 dns0.eu (193.110.81.0)

ELISA:

2 213.192.186.82 (213.192.186.82)
3 ae3.bbr1.hel2.fi.ip4.elisa.net (213.192.186.81)
4 213.192.184.185 (213.192.184.185)
5 equinix-ix.ld6.lon.acorus.net (185.1.104.90)
6 100.99.0.227 (100.99.0.227)
7 100.100.0.229 (100.100.0.229)
8 et20-1.core-2.csd5.gandi.net (173.246.102.25)
9 et53-1.core-1.sd5.gandi.net (173.246.102.7)
10 * * *
11 * * *
12 dns0.eu (193.110.81.0)

Molemmat menee Ranskaan.

 

[mikajh]

Molemmat menee Ranskaan.

Samalla tuli 30+ ms lisää latenssia verrattuna aamupäivään (+4 hoppia)

 

[oongee]

@oongee @antero ja @user9999 Ajatteko traceroute-testit uudelleen DNS0:n supportin pyynnöstä?

Juu, vahvistan myös, että DNA:lta menee nyt Telenorin ja Cogentin tai välillä Lumenin (Level3) kautta Ranskaan Gandille. Elisalta menee heidän omaa yhteyttä pitkin Lontooseen ja sieltä F5 Networksin (Acorus) kautta Ranskaan Gandille. Privacy/tietoturva/jne. perspektiivistä varmaankin selvä parannus (kaikki liikennettä välittävät tahot ovat tunnettuja länsimaisia yrityksiä), mutta latenssin kannalta tosiaan huononnus, kuten yllä todettiinkin.

                            My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)  2023-06-12T19:30:22+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%    15    0.8   3.3   0.7  34.1   8.6
2. XXX                               0.0%    15   36.1  14.3  10.1  36.1   6.4
3. XXX                               0.0%    15   12.0  14.3  10.5  24.5   3.7
4. XXX                              57.1%    15   11.0  16.0  11.0  35.9   9.8
5. XXX                               0.0%    15   14.2  12.8  11.4  15.1   1.1
6. hel7-sr22.net.dnaip.fi            0.0%    15   17.8  14.3  10.4  33.3   5.6
7. 148.122.10.42                     0.0%    15   17.8  20.2  16.4  32.6   5.0
8. (waiting for reply)
9. be3376.ccr21.sto03.atlas.cogentc  0.0%    15   28.9  20.1  17.9  28.9   3.0
10. be2555.rcr21.cph01.atlas.cogentc  0.0%    15   30.4  28.9  26.6  30.8   1.2
11. be2496.ccr41.ham01.atlas.cogentc  0.0%    15   35.5  37.6  35.5  42.2   2.1
12. be2815.ccr41.ams03.atlas.cogentc  0.0%    15   40.1  41.6  39.5  46.8   1.9
13. be12265.ccr41.par01.atlas.cogent  0.0%    15  100.4  63.3  51.7 100.4  18.2
14. be3593.rcr21.b019498-0.par01.atl  0.0%    15   53.9  56.5  52.3  82.6   7.9
15. 149.11.0.62                       0.0%    15   57.5  55.6  53.2  57.5   1.4
16. et18-1.core-2.csd4.gandi.net      0.0%    15   47.9  49.5  47.4  50.8   1.0
17. et53-1.core-1.sd4.gandi.net       0.0%    15   48.5  48.4  47.0  49.7   1.0
18. (waiting for reply)
19. dns0.eu                           0.0%    14   56.6  57.9  53.9  77.8   5.9

 

[IsoLuumu]

Täytyy sanoa että mielenkiintoinen ketjua ollut seurata ja täytyy arvostaa että porukka tutkii näitä

 

[Pörkyle]

Onkos dns.0:ssa vielä .tk päätteiset osoitteet blockattuna?

 

[Pirate fin]

Onkos dns.0:ssa vielä .tk päätteiset osoitteet blockattuna?

On jos käyttää tuota niiden Zero osoitetta.

 

[Pörkyle]

On jos käyttää tuota niiden Zero osoitetta.

Aivan. Jostain syystä olin eka kokeilussa IPFireen conffannu juurikin nuo Zero osotteet vaikka yleensä pyrin välttämään kaikkia suodatettuja ja valikoivia nimipalvelimia.