Julkiset DNS-palvelut

  • Keskustelun aloittaja Keskustelun aloittaja east
  • Aloitettu Aloitettu
  • Avainsanat Avainsanat
    dns
Pikainen bench suosituista DNS-palvelimista oman nettiliittymän näkökulmasta, käyttäen Steve Gibsonin DNS Benchmark-työkalua:

Tulokset ovat suuntaa-antavia ja ne saattavat vaihdella jonkin verran.

Final benchmark results, sorted by nameserver performance:
(average uncached name retrieval speed, fastest to slower)

1. 1. 1. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,004 | 0,006 | 0,000 | 100,0 |
- Uncached Name | 0,009 | 0,043 | 0,234 | 0,053 | 100,0 |
- DotCom Lookup | 0,011 | 0,017 | 0,034 | 0,007 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
one.one.one.one
CLOUDFLARENET, US


8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,007 | 0,015 | 0,002 | 100,0 |
- Uncached Name | 0,006 | 0,044 | 0,264 | 0,059 | 100,0 |
- DotCom Lookup | 0,014 | 0,024 | 0,042 | 0,011 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


8. 8. 4. 4 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,009 | 0,042 | 0,008 | 100,0 |
- Uncached Name | 0,007 | 0,045 | 0,263 | 0,055 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


1. 1. 1. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,009 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,295 | 0,064 | 100,0 |
- DotCom Lookup | 0,015 | 0,022 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 1. 1. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,005 | 0,007 | 0,010 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,293 | 0,061 | 100,0 |
- DotCom Lookup | 0,015 | 0,019 | 0,038 | 0,005 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,008 | 0,001 | 100,0 |
- Uncached Name | 0,012 | 0,051 | 0,240 | 0,063 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,007 | 0,012 | 0,002 | 100,0 |
- Uncached Name | 0,009 | 0,051 | 0,280 | 0,069 | 100,0 |
- DotCom Lookup | 0,014 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


208. 67.222.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,010 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,011 | 0,057 | 0,289 | 0,068 | 100,0 |
- DotCom Lookup | 0,011 | 0,031 | 0,060 | 0,017 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
resolver1-fs.opendns.com
OPENDNS, US


9. 9. 9. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,009 | 0,010 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,058 | 0,245 | 0,062 | 100,0 |
- DotCom Lookup | 0,031 | 0,033 | 0,040 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns9.quad9.net
QUAD9-AS-1, CH


149.112.112.112 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,010 | 0,021 | 0,002 | 100,0 |
- Uncached Name | 0,011 | 0,061 | 0,254 | 0,060 | 100,0 |
- DotCom Lookup | 0,030 | 0,036 | 0,043 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.quad9.net
QUAD9-AS-1, CH


45. 90. 28. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,009 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,063 | 0,234 | 0,067 | 100,0 |
- DotCom Lookup | 0,011 | 0,023 | 0,034 | 0,009 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns1.nextdns.io
NEXTDNS, US


208. 67.220.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,017 | 0,018 | 0,019 | 0,001 | 100,0 |
- Uncached Name | 0,018 | 0,064 | 0,283 | 0,065 | 100,0 |
- DotCom Lookup | 0,032 | 0,041 | 0,054 | 0,006 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
familyshield.opendns.com
OPENDNS, US


185.253. 5. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,037 | 0,038 | 0,040 | 0,001 | 100,0 |
- Uncached Name | 0,038 | 0,067 | 0,268 | 0,057 | 100,0 |
- DotCom Lookup | 0,038 | 0,040 | 0,045 | 0,001 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


185.253. 5. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,042 | 0,043 | 0,045 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,068 | 0,254 | 0,047 | 100,0 |
- DotCom Lookup | 0,044 | 0,045 | 0,048 | 0,001 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


193.110. 81. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,046 | 0,046 | 0,048 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,069 | 0,257 | 0,049 | 100,0 |
- DotCom Lookup | 0,047 | 0,053 | 0,058 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


193.110. 81. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,040 | 0,041 | 0,042 | 0,001 | 100,0 |
- Uncached Name | 0,040 | 0,073 | 0,285 | 0,060 | 100,0 |
- DotCom Lookup | 0,041 | 0,048 | 0,053 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR


193.110. 81. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,045 | 0,046 | 0,047 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,077 | 0,286 | 0,059 | 100,0 |
- DotCom Lookup | 0,047 | 0,055 | 0,073 | 0,005 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


185.253. 5. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,043 | 0,044 | 0,046 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,078 | 0,307 | 0,067 | 100,0 |
- DotCom Lookup | 0,044 | 0,046 | 0,054 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR

The Benchmark creates a table similar to the one above for each DNS resolver (nameserver) tested. The top line specifies the IP address of the nameserver for this table.

The first three numeric columns provide the minimum, average, and maximum query-response times in seconds. Note that these timings incorporate all network delays from the querying computer, across the Internet, to the nameserver, the nameserver's own processing, and the return of the reply. Since the numbers contain three decimal digits of accuracy, the overall resolution of the timing is thousandths of a second, or milliseconds.

The fourth numeric column shows the "standard deviation" of the collected query-response times which is a common statistical measure of the spread of the values - a smaller standard deviation means more consistency and less spread.

The fifth and last numeric column shows the reliability of the tested nameserver's replies to queries. Since lost, dropped, or ignored queries introduce a significant lookup delay (typically a full second or more each) a nameserver's reliability is an important consideration.

The labels of the middle three lines are colored red, green, and blue to match their respective bars on the response time bar chart.

The "Cached Name" line presents the timings for queries that are answered from the server's own local name cache without requiring it to forward the query to other name servers. Since the name caches of active public nameservers will always be full of the IPs of common domains, the vast majority of queries will be cached. Therefore, the Benchmark gives this timing the highest weight.

The "Uncached Name" line presents the timings for queries which could not be answered from the server's local cache and required it to ask another name server for the data. Specifically, this measures the time required to resolve the IP addresses of the Internet's 30 most popular web sites. The Benchmark gives this timing the second highest weight.

The "DotCom Lookup" line presents the timings for the resolution of dot com nameserver IP addresses. This differs from the Cached and Uncached tests above, since they measure the time required to determine a dot com's IP, whereas the DotCom Lookup measures the time required to resolve the IP of a dot com's nameserver, from which a dot com's IP would then be resolved. This test presents a measure of how well the DNS server being tested is connected to the dot com nameservers.

The lower border of the table contains a set of eight indicators (O and -) representing non-routable networks whose IP addresses are actively blocked by the resolver to protect its users from DNS rebinding attacks: <O-OO---->. The "O" character indicates that blocking is occurring for the corresponding network, whereas the "-" character indicates that non-routable IP addresses are being resolved and rebinding protection is not present. The first four symbols represent the four IPv4 networks beginning with 10., 127., 172., and 192. respectively, and the second four symbols are the same networks but for IPv6.
 
Viimeksi muokattu:
Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.
 
Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.
 
Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.
Tuliskohan sulla matkalla cloudflareen joku toimimaton palikka väliin?

Koitin just pingiä ja tracea CF, Google ja DNA DNS enkä huomannut olennaisia eroja. Reitit melko lyhyitä.
Esim. ping 1.1.1.1
Koodi:
--- 1.1.1.1 ping statistics ---
63 packets transmitted, 63 received, 0% packet loss, time 62079ms
rtt min/avg/max/mdev = 14.502/20.630/35.778/4.152 ms
(Formulat pyörii toisella koneella)
 
Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.
tässä jokunen vähä pienempi palvelu jotka eivät muokkaa hakutuloksia ja eivätkä taida pahemmin mitään loggailla.







 
Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.
 
Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.
Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.
 
Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.
Google on nyt toistaiseksi... hauska sattuma, Omada-setuppi täälläkin.
 
Quad9 blokannu NoIP ddns.net domainin.
1694269666520.png

1694270664987.png

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.
 
Viimeksi muokattu:
Quad9 blokannu NoIP ddns.net domainin.
1694269666520.png

1694270664987.png

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.
Eli kohta voi Quad9 viimeinen sammuttaa valot ja sulkea oven. Varmana porukka vaihtaa firmaa kun ruetaan mielivaltaisesti blokkaamaan palveluita.
 
  • Tykkää
Reactions: AkQ
Jos on käytössä NextDNS CLI niin siihen on tullut päivitys pari kertaa. Uusin versio 1.40.1
 
Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.
 
Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.
Mä oon konffannu suoraan tuota /usr/local/etc/nextdns.conf tiedostoa. Sitten muutamilla käskyillä selvinnyt eli nextdns stop, start, restart, status ja upgrade.
 
Noinhan se menee, kun ei ole natiivia implementaatiota, nextdns.conffi myös varmuuskopiona talteen ennen upgradea. Mieluummin CLI päivitykset tekisi kahdella klikkauksella package managerista natiivina lisärinä suoraan, kuten WireGuardin kanssa.

Kotona ei vain jaksa hirveästi terminaalin kanssa säätää, asioissa muutenkin tarpeeksi muistamista.
 
Tarkkaan ottaen se on joko Unbound DNS resolver tai
dnsmasq daemon, DNS forwarder. Molemmat cachettavat lokaalisti, kuten pitää
Unboundissa on myös forwarder moodi, jolloin se toimii ilman cachea tai perus resolveria juuripalvelimilta, tukee 53 ja 853 portteja. Pelkällä dnsmasq forwarderilla ajaessa ei ainakaan pari vuotta sitten toiminut paikallisen verkon nimikyselyt. Unbound forwarder moodissa on NextDNS:n suositus pfSense purkkeihin jos ei asenna CLI:tä DoH tukea varten.

Screenshot 2023-09-15 143252.jpg
 
NextDNS näemmä tehneet jotain muutoksia hiljattain, ennen pystyi pakottamaan ultralow servereille kyselyt DoT kautta suorilla IP:llä, mutta nyt näkyy logeissa paljon steering.nextdns.io kääntöä. Päätin palata takaisin CLI:hin ja mennä jälleen DoH kautta, pitäen kuitenkin paikalliset nimikyselyt Unboundissa eri portilla, vaihto meni jo rutiinilla.

Samalla huomasin logeista, että tuo NextDNS iOS profiilin luontityökalu on rikki, nimittäin Exclude Wifi networks on-demand ominaisuus ei toimi lainkaan, vaan iOS laitteet ohittavat lähiverkon heittäen kyselyt suoraan NextDNS:lle vaikka olisi toisin konffattu. Tuolla aiheesta lisää: Reddit - Dive into anything

Toisin sanoen, tuon rimpsun kun ottaa profiilista veke, niin laite tottelee lähiverkossa sijaitsevia nimipalvelimia kuten konffattu:
Koodi:
          <dict>
        <key>Action</key>
        <string>EvaluateConnection</string>
        <key>ActionParameters</key>
        <array>
          <dict>
            <key>DomainAction</key>
            <string>NeverConnect</string>
            <key>Domains</key>
            <array>
              <string>dav.orange.fr</string>
              <string>msg.t-mobile.com</string>
            </array>
          </dict>
        </array>
      </dict>
 
Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:
1695471104513.png


5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...
 
Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:
1695471104513.png


5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...
Tässä onkin taustalla ilmeisesti sittenkin häiriö Plexin päässä. Eipä siinä, tuli hyvä syy kokeilla Jellyfiniä, ja sehän pelittää kuin unelma. :)
 
NextDNS CLI v1.41.0 julkaistu.
 
Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.


Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:
 
Viimeksi muokattu:
  • Tykkää
Reactions: AkQ
Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.


Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:

Tuo eka selaintesti ei tunnista jos DoH on päällä jo reitittimestä mutta tuo "parempi" selaintesti tunnistaa DoH olemassaolon.
 
AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.
 
Viimeksi muokattu:
ECH tuki vaaditaan sitten molemmissa päissä, eli jos selattavalla sivulla ei ole ECH, niin iloa ei siitä ole. Viimeksi kun tuota selvittelin, niin ECH tukevia sivustoja oli jotain 60 000 luokkaa. Ilmeisesti johtuu pitkälti siitä, että ECH ei ole vielä standardoitu loppuun asti ja protokolla on vielä työn alla. Hyvä uudistus kuitenkin, kunhan joskus tulee yleiseen käyttöön osaksi HTTPS protokollaa.
 
AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.
Raakiletestejä koska esimerkiksi Firefox käyttää SNI sijaan ECH eli nämä lukee lähinnä selaimen asetuksia, eivät testaa siis yhteyttä oikeasti.
 
Itsellä siis nuo testit näytti että ei olisi salattu vaikka yhteys oikeasti on salattu mutta reititin hoitaa sen puolen.
 
Virittelin DoH3 testikäyttöön. Mac, Safari ja NextDNS käytössä. Joutuu käyttämään AdGuardin DNS Protection ominaisuutta, että saa Macilla ja Safarilla toimimaan.

1696679393617.png


Jotain tuosta DoH3:sta.
 
Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.
 
Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.
En osaa kyllä tuohon CLI juttuun vastata.
Mulla on seuraava viritys AdGuard for Mac version DNS Protection kohdassa.
1696744964501.png

Tuo XXXXXX on NextDNS ID ja laitteen nimi sen perässä.

https://test.nextdns.io/ sivu näyttää, että olisi DOH3 käytössä

1696745007995.png
 
Juu, noilla paikallisilla clienteillä ja selaimilla suoraan tuntuu pelittävän, mutta jos yrittää putkittaa nimikyselyt välietapin (raspi) kautta tai suoraan NextDNS-CLI ulos upstream, niin ei tunnu tykkäävän. Yritin myös pakottaa CLI:n upstreamiksi doh3.dns.nextdns.io, mikä Googlen mukaan on joskus toiminut, mutta ei ainakaan enää. Lienee NextDNS ja/tai CLI ongelma.
 
Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.

Screenshot 2023-10-08 184632.jpg


CtrlD konffi hyvin yksinkertainen:
Screenshot 2023-10-08 184530.jpg


Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.
 
Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.

Screenshot 2023-10-08 184632.jpg


CtrlD konffi hyvin yksinkertainen:
Screenshot 2023-10-08 184530.jpg


Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.
Meneekö ping.nextdns.io ultralow vai anycast palvelimille?
 
Meneekö ping.nextdns.io ultralow vai anycast palvelimille?
Ei kumpaankaan itseasiassa, eilen tuota jo viilasin ja pakotin Hetznerin ja Tavun ultralow palvelimille Helsinkiin, meni muutoin johonkin palvelimelle jota ei edes ollut ping listalla, nyt on pingit ~15ms luokkaa. Tuon sai tehtyä lisäämällä toisen upstream entryn CtrlD konffiin ja laittamalla Helsingin ultralow palvelinten IP:t bootstrapiksi.

Samalla muutin CtrlD pyörimään portilla 5555, pfSensen Unbound on portilla 53 joka forwardoi CtrlD:lle. DNS ketju menee nyt: Client -> Raspi/Pihole -> pfSense Unbound (LAN hostnamet) -> CtrlD -> NextDNS DoH/3.
 
Mullvad on siirtänyt kaikki omat DNS serverit nyt toimimaan vain muistilla:


Varmasti ollut jo jonkin aikaan yksi turvallisimmista DNS palveluista, mutta nyt vielä turvallisempi.

Mutta jostakin syystä muutama paikka tippui DNS paikoista (lie jos liittyy tähän muutokseen tai sitten vaan muusta syystä lopettivat):


Australia ja Sveitsi.
 
Viimeksi muokattu:
Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

1701418867741.png

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?
 
Viimeksi muokattu:
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?
 
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?
Eipä tuo maksa, kuin sen 2€/kk tai 20€ vuosi, mutta jos ei tietenkään halua maksaa, niin sitten tutkimaan ilmaisia vaihtoehtoja.

DNS0 listoista ei tietoa, mutta sehän ei estä mainoksia, ellei käytä sitä Kids vaihtoehtoa.
 
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?

Otin myös käyttöön NextDNS tuossa muutama viikko takaperin ja huomasin että tietokone tekee ihan älyttömästi kyselyitä, mutta puhelimista, tableteista, älytelkasta yms muista "ei-PC":stä ei pahemmin tule. Joten reitittimesta laitoin PC:n ohittamaan tuon NextDNS CLI:n. Tietokonella on muutenkin uBlockit yms niin turha tietokonetta kierrättää tuon kautta.

Eli tuo NextDNS ilmainen on enemmän kuin riittävä kodin kaikille laitteille, poislukien tietokone, johon on parempiakin vaihtoehtoja (uBlock, ADguard etc).

Edit: Ja tuon "excluudaamisen" voi ainakin Asuksen reitittimessä tehdä parilla kliksutuksella DNS director / DNS filterin kohdassa jos ei halua että joku laite kotona menisi NextDNS:n kautta.
 
Taidan ehkä taipua asentelemaan home assistanttiin AdGuard lisäosan, vaikka taitaakin olla venäläisten tekele.
 
Taidan unohtaa PiHolen tällä kertaa ja ottaa joko Quad9:n tai Dns0:n käyttöön.
Nämä kaksi vahvimmilla, koska ovat eurooppalaisia.
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
 
Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

1701418867741.png

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?
Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.
 
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
Laittelin tuosta tukeen viestiä ja vastaus oli tyyliin "emme tiedä mistä johtuu ja emme voi sille mitään tehdä, käytä toista dns palvelua" :rofl:
 
Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.
Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?

E. Käytössä Edgerouter X ja Unifi Express.
 
Viimeksi muokattu:
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
Täällä on molemmat palvelut käytössä, ilman ongelmia. Quad9 on konfattuna reitittimessä miltei jo vuoden verran.
 
Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?
Itse käytin ennen Cloudflareen siirtymistä Zoneedittiä, mutta ovat ehkä muuttaneet ehtoja ilmasuuden suhteen. Tällaisen löysin kuitenkin Free DNS and Dynamic DNS joten kannattaa ainakin tsekata. Asuksen routterissa oli ainakin tuki zoneeditin dyndns päivitykselle, en muista tiedä.
 
Täällä on molemmat palvelut käytössä, ilman ongelmia. Quad9 on konfattuna reitittimessä miltei jo vuoden verran.
Minulla oli primary ja secondary DNS -serverien osoitteet 9.9.9.9 ja 149.112.112.112,
Reitittimenä UDR.

Poistin nuo osoitteet eilen illalla ja sen jälkeen pääsin skyshowtime.com -sivuille.

Palautin äsken quad9:n uudelleen käyttöön ja yllättäen skyshowtime toimii nyt.

Lisäksi quad9.net -sivuilta löytyvä blocked domain tester vahvistaa, että skyshowtime.com ei ole blokattu.
 

Statistiikka

Viestiketjuista
262 454
Viestejä
4 551 713
Jäsenet
74 988
Uusin jäsen
Zaxel

Hinta.fi

Back
Ylös Bottom