Julkiset DNS-palvelut

[escalibur]

Pikainen bench suosituista DNS-palvelimista oman nettiliittymän näkökulmasta, käyttäen Steve Gibsonin DNS Benchmark-työkalua:

Tulokset ovat suuntaa-antavia ja ne saattavat vaihdella jonkin verran.

Spoileri: Tulokset

Final benchmark results, sorted by nameserver performance:
(average uncached name retrieval speed, fastest to slower)

1. 1. 1. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,004 | 0,006 | 0,000 | 100,0 |
- Uncached Name | 0,009 | 0,043 | 0,234 | 0,053 | 100,0 |
- DotCom Lookup | 0,011 | 0,017 | 0,034 | 0,007 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
one.one.one.one
CLOUDFLARENET, US


8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,007 | 0,015 | 0,002 | 100,0 |
- Uncached Name | 0,006 | 0,044 | 0,264 | 0,059 | 100,0 |
- DotCom Lookup | 0,014 | 0,024 | 0,042 | 0,011 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


8. 8. 4. 4 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,009 | 0,042 | 0,008 | 100,0 |
- Uncached Name | 0,007 | 0,045 | 0,263 | 0,055 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


1. 1. 1. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,009 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,295 | 0,064 | 100,0 |
- DotCom Lookup | 0,015 | 0,022 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 1. 1. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,005 | 0,007 | 0,010 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,293 | 0,061 | 100,0 |
- DotCom Lookup | 0,015 | 0,019 | 0,038 | 0,005 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,008 | 0,001 | 100,0 |
- Uncached Name | 0,012 | 0,051 | 0,240 | 0,063 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,007 | 0,012 | 0,002 | 100,0 |
- Uncached Name | 0,009 | 0,051 | 0,280 | 0,069 | 100,0 |
- DotCom Lookup | 0,014 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


208. 67.222.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,010 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,011 | 0,057 | 0,289 | 0,068 | 100,0 |
- DotCom Lookup | 0,011 | 0,031 | 0,060 | 0,017 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
resolver1-fs.opendns.com
OPENDNS, US


9. 9. 9. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,009 | 0,010 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,058 | 0,245 | 0,062 | 100,0 |
- DotCom Lookup | 0,031 | 0,033 | 0,040 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns9.quad9.net
QUAD9-AS-1, CH


149.112.112.112 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,010 | 0,021 | 0,002 | 100,0 |
- Uncached Name | 0,011 | 0,061 | 0,254 | 0,060 | 100,0 |
- DotCom Lookup | 0,030 | 0,036 | 0,043 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.quad9.net
QUAD9-AS-1, CH


45. 90. 28. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,009 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,063 | 0,234 | 0,067 | 100,0 |
- DotCom Lookup | 0,011 | 0,023 | 0,034 | 0,009 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns1.nextdns.io
NEXTDNS, US


208. 67.220.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,017 | 0,018 | 0,019 | 0,001 | 100,0 |
- Uncached Name | 0,018 | 0,064 | 0,283 | 0,065 | 100,0 |
- DotCom Lookup | 0,032 | 0,041 | 0,054 | 0,006 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
familyshield.opendns.com
OPENDNS, US


185.253. 5. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,037 | 0,038 | 0,040 | 0,001 | 100,0 |
- Uncached Name | 0,038 | 0,067 | 0,268 | 0,057 | 100,0 |
- DotCom Lookup | 0,038 | 0,040 | 0,045 | 0,001 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


185.253. 5. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,042 | 0,043 | 0,045 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,068 | 0,254 | 0,047 | 100,0 |
- DotCom Lookup | 0,044 | 0,045 | 0,048 | 0,001 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


193.110. 81. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,046 | 0,046 | 0,048 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,069 | 0,257 | 0,049 | 100,0 |
- DotCom Lookup | 0,047 | 0,053 | 0,058 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


193.110. 81. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,040 | 0,041 | 0,042 | 0,001 | 100,0 |
- Uncached Name | 0,040 | 0,073 | 0,285 | 0,060 | 100,0 |
- DotCom Lookup | 0,041 | 0,048 | 0,053 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR


193.110. 81. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,045 | 0,046 | 0,047 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,077 | 0,286 | 0,059 | 100,0 |
- DotCom Lookup | 0,047 | 0,055 | 0,073 | 0,005 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


185.253. 5. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,043 | 0,044 | 0,046 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,078 | 0,307 | 0,067 | 100,0 |
- DotCom Lookup | 0,044 | 0,046 | 0,054 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR

Spoileri: Taulukon selitteet

The Benchmark creates a table similar to the one above for each DNS resolver (nameserver) tested. The top line specifies the IP address of the nameserver for this table.

The first three numeric columns provide the minimum, average, and maximum query-response times in seconds. Note that these timings incorporate all network delays from the querying computer, across the Internet, to the nameserver, the nameserver's own processing, and the return of the reply. Since the numbers contain three decimal digits of accuracy, the overall resolution of the timing is thousandths of a second, or milliseconds.

The fourth numeric column shows the "standard deviation" of the collected query-response times which is a common statistical measure of the spread of the values - a smaller standard deviation means more consistency and less spread.

The fifth and last numeric column shows the reliability of the tested nameserver's replies to queries. Since lost, dropped, or ignored queries introduce a significant lookup delay (typically a full second or more each) a nameserver's reliability is an important consideration.

The labels of the middle three lines are colored red, green, and blue to match their respective bars on the response time bar chart.

The "Cached Name" line presents the timings for queries that are answered from the server's own local name cache without requiring it to forward the query to other name servers. Since the name caches of active public nameservers will always be full of the IPs of common domains, the vast majority of queries will be cached. Therefore, the Benchmark gives this timing the highest weight.

The "Uncached Name" line presents the timings for queries which could not be answered from the server's local cache and required it to ask another name server for the data. Specifically, this measures the time required to resolve the IP addresses of the Internet's 30 most popular web sites. The Benchmark gives this timing the second highest weight.

The "DotCom Lookup" line presents the timings for the resolution of dot com nameserver IP addresses. This differs from the Cached and Uncached tests above, since they measure the time required to determine a dot com's IP, whereas the DotCom Lookup measures the time required to resolve the IP of a dot com's nameserver, from which a dot com's IP would then be resolved. This test presents a measure of how well the DNS server being tested is connected to the dot com nameservers.

The lower border of the table contains a set of eight indicators (O and -) representing non-routable networks whose IP addresses are actively blocked by the resolver to protect its users from DNS rebinding attacks: <O-OO---->. The "O" character indicates that blocking is occurring for the corresponding network, whereas the "-" character indicates that non-routable IP addresses are being resolved and rebinding protection is not present. The first four symbols represent the four IPv4 networks beginning with 10., 127., 172., and 192. respectively, and the second four symbols are the same networks but for IPv6.

 

[user9999]

Löytyi joku ohje DNS over HTTPS blokkaamiseen (pfSense)

Block DNS over HTTPS (DoH), using pfsense

https://jpgpi250.github.io/piholemanual/doc/Block%20DOH%20with%20pfsense.pdf

GitHub - jpgpi250/piholemanual: files referred to in my pihole installation manual

files referred to in my pihole installation manual - jpgpi250/piholemanual

github.com

 

[Pirate fin]

Eipä mitään enää

 

[Satelite]

Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.

 

[Satelite]

Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.

 

[Ogeli]

Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.

Tuliskohan sulla matkalla cloudflareen joku toimimaton palikka väliin?

Koitin just pingiä ja tracea CF, Google ja DNA DNS enkä huomannut olennaisia eroja. Reitit melko lyhyitä.
Esim. ping 1.1.1.1

--- 1.1.1.1 ping statistics ---
63 packets transmitted, 63 received, 0% packet loss, time 62079ms
rtt min/avg/max/mdev = 14.502/20.630/35.778/4.152 ms

(Formulat pyörii toisella koneella)

 

[Pörkyle]

Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.

tässä jokunen vähä pienempi palvelu jotka eivät muokkaa hakutuloksia ja eivätkä taida pahemmin mitään loggailla.

UncensoredDNS - uncensoreddns blog

UncensoredDNS Blog

blog.uncensoreddns.org

DNS.SB

Browse Internet, Faster and More Private with DNS.SB's extremely performant and stable DNS resolver services

dns.sb

Public DNS resolver | RESTENA

Services Public DNS resolver Provide data security, confidentiality and protection for DNS requests by means of neutral and recursive resolvers that validate the responses obtained by using DNSSEC technology

www.restena.lu

DNS Privacy Services

We operate DNS privacy services to help protect DNS traffic and to help diversify the DNS resolver landscape offering modern protocols. If you would like to learn more about our privacy practices with

applied-privacy.net

Zensurfreier DNS-Server | Digitalcourage

Wir betreiben den freien DNS-Server dns3.digitalcourage.de. Dafür, dass wir das schon so lange anbieten können, gilt besonderer Dank unseren Mitgliedern und

digitalcourage.de

Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver - Digitale Gesellschaft

Die Digitale Gesellschaft betreibt schon immer Tor-Server für die vertrauliche Kommunikation im Internet. Zusätzlich zu diesem Service bieten wir der Öffentlichkeit seit Anfang 2019 neu auch DNS-Resolver über die verschlüsselten Kommunikationswege DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) an...

www.digitale-gesellschaft.ch

Flokinet DNS Resolver | FlokiNET – the Privacy Blog

blog.flokinet.is

 

[Satelite]

Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.

 

[Enhancer]

Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.

Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.

 

[Satelite]

Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.

Google on nyt toistaiseksi... hauska sattuma, Omada-setuppi täälläkin.

 

[Enhancer]

Google on nyt toistaiseksi... hauska sattuma, Omada-setuppi täälläkin.

Näin arvelinkin, DNS Proxy termin kun mainitsit.

 

[user9999]

Quad9 blokannu NoIP ddns.net domainin.

Reddit - Dive into anything

www.reddit.com

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.

 

[Satelite]

Quad9 blokannu NoIP ddns.net domainin.

Reddit - Dive into anything

www.reddit.com

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.

Eli kohta voi Quad9 viimeinen sammuttaa valot ja sulkea oven. Varmana porukka vaihtaa firmaa kun ruetaan mielivaltaisesti blokkaamaan palveluita.

 

[user9999]

Jos on käytössä NextDNS CLI niin siihen on tullut päivitys pari kertaa. Uusin versio 1.40.1

Releases · nextdns/nextdns

NextDNS CLI client (DoH Proxy). Contribute to nextdns/nextdns development by creating an account on GitHub.

github.com

 

[Infinity]

Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.

 

[user9999]

Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.

Mä oon konffannu suoraan tuota /usr/local/etc/nextdns.conf tiedostoa. Sitten muutamilla käskyillä selvinnyt eli nextdns stop, start, restart, status ja upgrade.

 

[Infinity]

Noinhan se menee, kun ei ole natiivia implementaatiota, nextdns.conffi myös varmuuskopiona talteen ennen upgradea. Mieluummin CLI päivitykset tekisi kahdella klikkauksella package managerista natiivina lisärinä suoraan, kuten WireGuardin kanssa.

Kotona ei vain jaksa hirveästi terminaalin kanssa säätää, asioissa muutenkin tarpeeksi muistamista.

 

[mikajh]

palasin takaisin Unboundin DoT forwarderiin

Tarkkaan ottaen se on joko Unbound DNS resolver tai
dnsmasq daemon, DNS forwarder. Molemmat cachettavat lokaalisti, kuten pitää

 

[Infinity]

Tarkkaan ottaen se on joko Unbound DNS resolver tai
dnsmasq daemon, DNS forwarder. Molemmat cachettavat lokaalisti, kuten pitää

Unboundissa on myös forwarder moodi, jolloin se toimii ilman cachea tai perus resolveria juuripalvelimilta, tukee 53 ja 853 portteja. Pelkällä dnsmasq forwarderilla ajaessa ei ainakaan pari vuotta sitten toiminut paikallisen verkon nimikyselyt. Unbound forwarder moodissa on NextDNS:n suositus pfSense purkkeihin jos ei asenna CLI:tä DoH tukea varten.

 

[Infinity]

NextDNS näemmä tehneet jotain muutoksia hiljattain, ennen pystyi pakottamaan ultralow servereille kyselyt DoT kautta suorilla IP:llä, mutta nyt näkyy logeissa paljon steering.nextdns.io kääntöä. Päätin palata takaisin CLI:hin ja mennä jälleen DoH kautta, pitäen kuitenkin paikalliset nimikyselyt Unboundissa eri portilla, vaihto meni jo rutiinilla.

Samalla huomasin logeista, että tuo NextDNS iOS profiilin luontityökalu on rikki, nimittäin Exclude Wifi networks on-demand ominaisuus ei toimi lainkaan, vaan iOS laitteet ohittavat lähiverkon heittäen kyselyt suoraan NextDNS:lle vaikka olisi toisin konffattu. Tuolla aiheesta lisää: Reddit - Dive into anything

Toisin sanoen, tuon rimpsun kun ottaa profiilista veke, niin laite tottelee lähiverkossa sijaitsevia nimipalvelimia kuten konffattu:

          <dict>
        <key>Action</key>
        <string>EvaluateConnection</string>
        <key>ActionParameters</key>
        <array>
          <dict>
            <key>DomainAction</key>
            <string>NeverConnect</string>
            <key>Domains</key>
            <array>
              <string>dav.orange.fr</string>
              <string>msg.t-mobile.com</string>
            </array>
          </dict>
        </array>
      </dict>

 

[Sampo_91]

Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:

5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...

 

[Sampo_91]

Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:


5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...

Tässä onkin taustalla ilmeisesti sittenkin häiriö Plexin päässä. Eipä siinä, tuli hyvä syy kokeilla Jellyfiniä, ja sehän pelittää kuin unelma.

 

[user9999]

NextDNS CLI v1.41.0 julkaistu.

Release nextdns-v1.41.0 · nextdns/nextdns

Changelog ab5fc69 Log router type during setup f1eb217 Add UDM content filtering feature detection d2831b4 Text corrections in go files (#871) 7da8f4c Add a warning when custom listen is provided ...

github.com

 

[Yeenoghu]

Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.

Encrypted Client Hello (ECH) Effectively Defeats Pirate Site Blocking * TorrentFreak

Cloudflare has enabled Encrypted Client Hello for customers on free plans. When sites and visitors enable ECH, site-blocking is circumvented.

torrentfreak.com

Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:

1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver

✌️✌️ Browse a faster, more private internet.

one.one.one.one

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:

Cloudflare Browser Check

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH

www.cloudflare.com

 

[Dumlemuumi]

Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.

Encrypted Client Hello (ECH) Effectively Defeats Pirate Site Blocking * TorrentFreak

Cloudflare has enabled Encrypted Client Hello for customers on free plans. When sites and visitors enable ECH, site-blocking is circumvented.

torrentfreak.com

Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:

1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver

✌️✌️ Browse a faster, more private internet.

one.one.one.one

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:

Cloudflare Browser Check

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH

www.cloudflare.com

Ei mee läpi toi esni testissä, vaikka firefoxissa pistää network.dns.echconfig.enabled , sekä dohhin kautta cloudflare. Normikäytössä kylläkin warp+ ja sekään ei tota esniä saa testissä läpi. Waterfoxilla taas oma dns systeemi jolla tuo testi menee läpi leikiten

 

[Satelite]

Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.

Encrypted Client Hello (ECH) Effectively Defeats Pirate Site Blocking * TorrentFreak

Cloudflare has enabled Encrypted Client Hello for customers on free plans. When sites and visitors enable ECH, site-blocking is circumvented.

torrentfreak.com

Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:

1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver

✌️✌️ Browse a faster, more private internet.

one.one.one.one

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:

Cloudflare Browser Check

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH

www.cloudflare.com

Tuo eka selaintesti ei tunnista jos DoH on päällä jo reitittimestä mutta tuo "parempi" selaintesti tunnistaa DoH olemassaolon.

 

[user9999]

AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).

AdGuard v2.10 for Mac: DNS filtering by default, ECH support, new Advanced Settings

AdGuard v2.10 for Mac is now available with new features in the Advanced Settings, including experimental support for Encrypted ClientHello. DNS filtering has also been enabled for all users. Check out this post for full details!

adguard.com

https://crypto.cloudflare.com/cdn-cgi/trace/

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.

 

[Infinity]

ECH tuki vaaditaan sitten molemmissa päissä, eli jos selattavalla sivulla ei ole ECH, niin iloa ei siitä ole. Viimeksi kun tuota selvittelin, niin ECH tukevia sivustoja oli jotain 60 000 luokkaa. Ilmeisesti johtuu pitkälti siitä, että ECH ei ole vielä standardoitu loppuun asti ja protokolla on vielä työn alla. Hyvä uudistus kuitenkin, kunhan joskus tulee yleiseen käyttöön osaksi HTTPS protokollaa.

 

[Satelite]

AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).

AdGuard v2.10 for Mac: DNS filtering by default, ECH support, new Advanced Settings

AdGuard v2.10 for Mac is now available with new features in the Advanced Settings, including experimental support for Encrypted ClientHello. DNS filtering has also been enabled for all users. Check out this post for full details!

adguard.com

https://crypto.cloudflare.com/cdn-cgi/trace/

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.

Raakiletestejä koska esimerkiksi Firefox käyttää SNI sijaan ECH eli nämä lukee lähinnä selaimen asetuksia, eivät testaa siis yhteyttä oikeasti.

 

[Satelite]

Itsellä siis nuo testit näytti että ei olisi salattu vaikka yhteys oikeasti on salattu mutta reititin hoitaa sen puolen.

 

[user9999]

Virittelin DoH3 testikäyttöön. Mac, Safari ja NextDNS käytössä. Joutuu käyttämään AdGuardin DNS Protection ominaisuutta, että saa Macilla ja Safarilla toimimaan.

Jotain tuosta DoH3:sta.

Google boosts Android privacy with support for DNS-over-HTTP/3

Google has added support for the DNS-over-HTTP/3 (DoH3) protocol on Android 11 and later to increase the privacy of DNS queries while providing better performance.

www.bleepingcomputer.com

 

[Infinity]

Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.

 

[user9999]

Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.

En osaa kyllä tuohon CLI juttuun vastata.
Mulla on seuraava viritys AdGuard for Mac version DNS Protection kohdassa.

Tuo XXXXXX on NextDNS ID ja laitteen nimi sen perässä.

https://test.nextdns.io/ sivu näyttää, että olisi DOH3 käytössä

 

[Infinity]

Juu, noilla paikallisilla clienteillä ja selaimilla suoraan tuntuu pelittävän, mutta jos yrittää putkittaa nimikyselyt välietapin (raspi) kautta tai suoraan NextDNS-CLI ulos upstream, niin ei tunnu tykkäävän. Yritin myös pakottaa CLI:n upstreamiksi doh3.dns.nextdns.io, mikä Googlen mukaan on joskus toiminut, mutta ei ainakaan enää. Lienee NextDNS ja/tai CLI ongelma.

 

[Infinity]

Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.

CtrlD konffi hyvin yksinkertainen:

Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.

 

[user9999]

Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.



CtrlD konffi hyvin yksinkertainen:


Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.

Meneekö ping.nextdns.io ultralow vai anycast palvelimille?

 

[Infinity]

Meneekö ping.nextdns.io ultralow vai anycast palvelimille?

Ei kumpaankaan itseasiassa, eilen tuota jo viilasin ja pakotin Hetznerin ja Tavun ultralow palvelimille Helsinkiin, meni muutoin johonkin palvelimelle jota ei edes ollut ping listalla, nyt on pingit ~15ms luokkaa. Tuon sai tehtyä lisäämällä toisen upstream entryn CtrlD konffiin ja laittamalla Helsingin ultralow palvelinten IP:t bootstrapiksi.

Samalla muutin CtrlD pyörimään portilla 5555, pfSensen Unbound on portilla 53 joka forwardoi CtrlD:lle. DNS ketju menee nyt: Client -> Raspi/Pihole -> pfSense Unbound (LAN hostnamet) -> CtrlD -> NextDNS DoH/3.

 

[Pörkyle]

Taas tuli vastaan uusi DNS palvelun tarjoaja DOT ja DOH tuki löytyy.

https://www.dns-ga.de

 

[runboy93]

Mullvad on siirtänyt kaikki omat DNS serverit nyt toimimaan vain muistilla:

Moving our Encrypted DNS servers to run in RAM | Mullvad VPN

We recently announced the completion of our migration to remove all traces of disks in use on our VPN infrastructure.

mullvad.net

Varmasti ollut jo jonkin aikaan yksi turvallisimmista DNS palveluista, mutta nyt vielä turvallisempi.

Mutta jostakin syystä muutama paikka tippui DNS paikoista (lie jos liittyy tähän muutokseen tai sitten vaan muusta syystä lopettivat):

DNS over HTTPS and DNS over TLS

Our public DNS service

mullvad.net

Australia ja Sveitsi.

 

[iltanen]

Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

Spoileri: Edgerouter X GUI - DNS

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?

 

[heebo1974]

Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?

 

[Pirate fin]

Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?

Eipä tuo maksa, kuin sen 2€/kk tai 20€ vuosi, mutta jos ei tietenkään halua maksaa, niin sitten tutkimaan ilmaisia vaihtoehtoja.

DNS0 listoista ei tietoa, mutta sehän ei estä mainoksia, ellei käytä sitä Kids vaihtoehtoa.

 

[Leatherman]

Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?

Otin myös käyttöön NextDNS tuossa muutama viikko takaperin ja huomasin että tietokone tekee ihan älyttömästi kyselyitä, mutta puhelimista, tableteista, älytelkasta yms muista "ei-PC":stä ei pahemmin tule. Joten reitittimesta laitoin PC:n ohittamaan tuon NextDNS CLI:n. Tietokonella on muutenkin uBlockit yms niin turha tietokonetta kierrättää tuon kautta.

Eli tuo NextDNS ilmainen on enemmän kuin riittävä kodin kaikille laitteille, poislukien tietokone, johon on parempiakin vaihtoehtoja (uBlock, ADguard etc).

Edit: Ja tuon "excluudaamisen" voi ainakin Asuksen reitittimessä tehdä parilla kliksutuksella DNS director / DNS filterin kohdassa jos ei halua että joku laite kotona menisi NextDNS:n kautta.

 

[heebo1974]

Taidan ehkä taipua asentelemaan home assistanttiin AdGuard lisäosan, vaikka taitaakin olla venäläisten tekele.

 

[BennyH]

Taidan unohtaa PiHolen tällä kertaa ja ottaa joko Quad9:n tai Dns0:n käyttöön.
Nämä kaksi vahvimmilla, koska ovat eurooppalaisia.

Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?

 

[a85]

Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

Spoileri: Edgerouter X GUI - DNS

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?

Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.

 

[Pirate fin]

Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?

Laittelin tuosta tukeen viestiä ja vastaus oli tyyliin "emme tiedä mistä johtuu ja emme voi sille mitään tehdä, käytä toista dns palvelua"

 

[iltanen]

Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.

Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?

E. Käytössä Edgerouter X ja Unifi Express.

 

[escalibur]

Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?

Täällä on molemmat palvelut käytössä, ilman ongelmia. Quad9 on konfattuna reitittimessä miltei jo vuoden verran.

 

[a85]

Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?

Itse käytin ennen Cloudflareen siirtymistä Zoneedittiä, mutta ovat ehkä muuttaneet ehtoja ilmasuuden suhteen. Tällaisen löysin kuitenkin Free DNS and Dynamic DNS joten kannattaa ainakin tsekata. Asuksen routterissa oli ainakin tuki zoneeditin dyndns päivitykselle, en muista tiedä.