Julkiset DNS-palvelut

  • Keskustelun aloittaja Keskustelun aloittaja east
  • Aloitettu Aloitettu
  • Avainsanat Avainsanat
    dns
Pikainen bench suosituista DNS-palvelimista oman nettiliittymän näkökulmasta, käyttäen Steve Gibsonin DNS Benchmark-työkalua:

Tulokset ovat suuntaa-antavia ja ne saattavat vaihdella jonkin verran.

Final benchmark results, sorted by nameserver performance:
(average uncached name retrieval speed, fastest to slower)

1. 1. 1. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,004 | 0,006 | 0,000 | 100,0 |
- Uncached Name | 0,009 | 0,043 | 0,234 | 0,053 | 100,0 |
- DotCom Lookup | 0,011 | 0,017 | 0,034 | 0,007 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
one.one.one.one
CLOUDFLARENET, US


8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,007 | 0,015 | 0,002 | 100,0 |
- Uncached Name | 0,006 | 0,044 | 0,264 | 0,059 | 100,0 |
- DotCom Lookup | 0,014 | 0,024 | 0,042 | 0,011 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


8. 8. 4. 4 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,003 | 0,009 | 0,042 | 0,008 | 100,0 |
- Uncached Name | 0,007 | 0,045 | 0,263 | 0,055 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.google
GOOGLE, US


1. 1. 1. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,009 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,295 | 0,064 | 100,0 |
- DotCom Lookup | 0,015 | 0,022 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 1. 1. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,005 | 0,007 | 0,010 | 0,001 | 100,0 |
- Uncached Name | 0,011 | 0,049 | 0,293 | 0,061 | 100,0 |
- DotCom Lookup | 0,015 | 0,019 | 0,038 | 0,005 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 2 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,006 | 0,008 | 0,001 | 100,0 |
- Uncached Name | 0,012 | 0,051 | 0,240 | 0,063 | 100,0 |
- DotCom Lookup | 0,015 | 0,021 | 0,039 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


1. 0. 0. 3 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,004 | 0,007 | 0,012 | 0,002 | 100,0 |
- Uncached Name | 0,009 | 0,051 | 0,280 | 0,069 | 100,0 |
- DotCom Lookup | 0,014 | 0,021 | 0,041 | 0,008 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
··· no official Internet DNS name ···
CLOUDFLARENET, US


208. 67.222.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,010 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,011 | 0,057 | 0,289 | 0,068 | 100,0 |
- DotCom Lookup | 0,011 | 0,031 | 0,060 | 0,017 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
resolver1-fs.opendns.com
OPENDNS, US


9. 9. 9. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,009 | 0,010 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,058 | 0,245 | 0,062 | 100,0 |
- DotCom Lookup | 0,031 | 0,033 | 0,040 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns9.quad9.net
QUAD9-AS-1, CH


149.112.112.112 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,008 | 0,010 | 0,021 | 0,002 | 100,0 |
- Uncached Name | 0,011 | 0,061 | 0,254 | 0,060 | 100,0 |
- DotCom Lookup | 0,030 | 0,036 | 0,043 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns.quad9.net
QUAD9-AS-1, CH


45. 90. 28. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,009 | 0,009 | 0,011 | 0,000 | 100,0 |
- Uncached Name | 0,010 | 0,063 | 0,234 | 0,067 | 100,0 |
- DotCom Lookup | 0,011 | 0,023 | 0,034 | 0,009 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns1.nextdns.io
NEXTDNS, US


208. 67.220.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,017 | 0,018 | 0,019 | 0,001 | 100,0 |
- Uncached Name | 0,018 | 0,064 | 0,283 | 0,065 | 100,0 |
- DotCom Lookup | 0,032 | 0,041 | 0,054 | 0,006 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
familyshield.opendns.com
OPENDNS, US


185.253. 5. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,037 | 0,038 | 0,040 | 0,001 | 100,0 |
- Uncached Name | 0,038 | 0,067 | 0,268 | 0,057 | 100,0 |
- DotCom Lookup | 0,038 | 0,040 | 0,045 | 0,001 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


185.253. 5. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,042 | 0,043 | 0,045 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,068 | 0,254 | 0,047 | 100,0 |
- DotCom Lookup | 0,044 | 0,045 | 0,048 | 0,001 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


193.110. 81. 0 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,046 | 0,046 | 0,048 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,069 | 0,257 | 0,049 | 100,0 |
- DotCom Lookup | 0,047 | 0,053 | 0,058 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
dns0.eu
DNS0EU, FR


193.110. 81. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,040 | 0,041 | 0,042 | 0,001 | 100,0 |
- Uncached Name | 0,040 | 0,073 | 0,285 | 0,060 | 100,0 |
- DotCom Lookup | 0,041 | 0,048 | 0,053 | 0,004 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR


193.110. 81. 9 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,045 | 0,046 | 0,047 | 0,000 | 100,0 |
- Uncached Name | 0,046 | 0,077 | 0,286 | 0,059 | 100,0 |
- DotCom Lookup | 0,047 | 0,055 | 0,073 | 0,005 | 100,0 |
---<OOOO-O-->---+-------+-------+-------+-------+-------+
zero.dns0.eu
DNS0EU, FR


185.253. 5. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,043 | 0,044 | 0,046 | 0,001 | 100,0 |
- Uncached Name | 0,043 | 0,078 | 0,307 | 0,067 | 100,0 |
- DotCom Lookup | 0,044 | 0,046 | 0,054 | 0,002 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
kids.dns0.eu
DNS0EU, FR

The Benchmark creates a table similar to the one above for each DNS resolver (nameserver) tested. The top line specifies the IP address of the nameserver for this table.

The first three numeric columns provide the minimum, average, and maximum query-response times in seconds. Note that these timings incorporate all network delays from the querying computer, across the Internet, to the nameserver, the nameserver's own processing, and the return of the reply. Since the numbers contain three decimal digits of accuracy, the overall resolution of the timing is thousandths of a second, or milliseconds.

The fourth numeric column shows the "standard deviation" of the collected query-response times which is a common statistical measure of the spread of the values - a smaller standard deviation means more consistency and less spread.

The fifth and last numeric column shows the reliability of the tested nameserver's replies to queries. Since lost, dropped, or ignored queries introduce a significant lookup delay (typically a full second or more each) a nameserver's reliability is an important consideration.

The labels of the middle three lines are colored red, green, and blue to match their respective bars on the response time bar chart.

The "Cached Name" line presents the timings for queries that are answered from the server's own local name cache without requiring it to forward the query to other name servers. Since the name caches of active public nameservers will always be full of the IPs of common domains, the vast majority of queries will be cached. Therefore, the Benchmark gives this timing the highest weight.

The "Uncached Name" line presents the timings for queries which could not be answered from the server's local cache and required it to ask another name server for the data. Specifically, this measures the time required to resolve the IP addresses of the Internet's 30 most popular web sites. The Benchmark gives this timing the second highest weight.

The "DotCom Lookup" line presents the timings for the resolution of dot com nameserver IP addresses. This differs from the Cached and Uncached tests above, since they measure the time required to determine a dot com's IP, whereas the DotCom Lookup measures the time required to resolve the IP of a dot com's nameserver, from which a dot com's IP would then be resolved. This test presents a measure of how well the DNS server being tested is connected to the dot com nameservers.

The lower border of the table contains a set of eight indicators (O and -) representing non-routable networks whose IP addresses are actively blocked by the resolver to protect its users from DNS rebinding attacks: <O-OO---->. The "O" character indicates that blocking is occurring for the corresponding network, whereas the "-" character indicates that non-routable IP addresses are being resolved and rebinding protection is not present. The first four symbols represent the four IPv4 networks beginning with 10., 127., 172., and 192. respectively, and the second four symbols are the same networks but for IPv6.
 
Viimeksi muokattu:
Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.
 
Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.
 
Satelite sanoi:
Nyt pistin Googlen DNS käyttöön testiksi, jos ongelmat nujertuu tällä niin Cloudflarea ei kyllä enää tule käyttöön. Jos kaikki ongelmat jo usean kuukauden ajalta ratkeaa tällä niin turha edes harkita Cloudflarea jatkossa jos ei palvelut toimi vakaasti.
Napsauta laajentaaksesi...
Tuliskohan sulla matkalla cloudflareen joku toimimaton palikka väliin?

Koitin just pingiä ja tracea CF, Google ja DNA DNS enkä huomannut olennaisia eroja. Reitit melko lyhyitä.
Esim. ping 1.1.1.1
Koodi: 
--- 1.1.1.1 ping statistics ---
63 packets transmitted, 63 received, 0% packet loss, time 62079ms
rtt min/avg/max/mdev = 14.502/20.630/35.778/4.152 ms
(Formulat pyörii toisella koneella)
 
Satelite sanoi:
Lähti nyt ISP:n omat DNS palvelimet testaukseen että ratkeaako pätkiminen ja packet loss ongelmat niillä. Jos kyllä niin Cloudflare lähtee verkosta menemään. Googlen perusteella myös monella muulla vastaavia ongelmia. Mitäs Cloudflaren tilalle? Pelkkä mahdollisimman avoin ei sensurointia yms. harrastava DNS hakusessa. Toki sama kuin Cloudflarella että eivät logeja pitele.
Napsauta laajentaaksesi...
tässä jokunen vähä pienempi palvelu jotka eivät muokkaa hakutuloksia ja eivätkä taida pahemmin mitään loggailla.

UncensoredDNS - uncensoreddns blog

UncensoredDNS Blog
blog.uncensoreddns.org blog.uncensoreddns.org

DNS.SB

Browse Internet, Faster and More Private with DNS.SB's extremely performant and stable DNS resolver services
dns.sb dns.sb

Public DNS resolver | RESTENA

Services Public DNS resolver Provide data security, confidentiality and protection for DNS requests by means of neutral and recursive resolvers that validate the responses obtained by using DNSSEC technology
www.restena.lu www.restena.lu

DNS Privacy Services

We operate DNS privacy services to help protect DNS traffic and to help diversify the DNS resolver landscape offering modern protocols. If you would like to learn more about our privacy practices with
applied-privacy.net

Zensurfreier DNS-Server | Digitalcourage

Wir betreiben den freien DNS-Server dns3.digitalcourage.de. Dafür, dass wir das schon so lange anbieten können, gilt besonderer Dank unseren Mitgliedern und
digitalcourage.de digitalcourage.de

www.digitale-gesellschaft.ch

Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver - Digitale Gesellschaft

www.digitale-gesellschaft.ch www.digitale-gesellschaft.ch

Flokinet DNS Resolver | FlokiNET – the Privacy Blog

blog.flokinet.is blog.flokinet.is
 
Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.
 
Satelite sanoi:
Mitäs porukka on mieltä DNS Proxyn käytöstä että mitä hyötypuolia on ja kannattaako valita vain DNSSEC vai doh tai dot?

Mietin lähinnä tuon hyötypuolia että kannattaako kytkeä päälle vai ei ja jos kyllä niin mitä hyötypuolia tuolla olisi.
Napsauta laajentaaksesi...
Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.
 
Enhancer sanoi:
Toki kannattaa käyttää. DoH päädyin itse TP-Linkin Omada -setupissa ja kaikki on toiminut hyvin. NextDNS käytössä, ja blokkilistat ovat tuoneet loistavan vapauden myös kun mainokset loistaa esim. MTV Katsomon satunnaiskäytössä TV:n omalla sovelluksella poissa.

NextDNS saa kyllä muutenkin varauksettoman suosituksen, loistavaksi osoittautunut.
Napsauta laajentaaksesi...
Google on nyt toistaiseksi... hauska sattuma, Omada-setuppi täälläkin.
 
Quad9 blokannu NoIP ddns.net domainin.

Reddit - Dive into anything

www.reddit.com www.reddit.com
1694269666520.png

1694270664987.png

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.
 
Viimeksi muokattu:
user9999 sanoi:
Quad9 blokannu NoIP ddns.net domainin.

Reddit - Dive into anything

www.reddit.com www.reddit.com
1694269666520.png

1694270664987.png

Jotain sekaisin. Mulla on nuo DNS palvelimet toisessa pfSense koneessa ja tuo 9.9.9.9 ensimmäisenä. NoIP DDNS käytössä. WireGuard Site-to-site VPN käytössä ja ihmettelin kun VPN gateway on alhaalla.
Napsauta laajentaaksesi...
Eli kohta voi Quad9 viimeinen sammuttaa valot ja sulkea oven. Varmana porukka vaihtaa firmaa kun ruetaan mielivaltaisesti blokkaamaan palveluita.
 
  • Tykkää
Reactions: AkQ
Jos on käytössä NextDNS CLI niin siihen on tullut päivitys pari kertaa. Uusin versio 1.40.1
github.com

Releases · nextdns/nextdns

NextDNS CLI client (DoH Proxy). Contribute to nextdns/nextdns development by creating an account on GitHub.
github.com github.com
 
Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.
 
Infinity sanoi:
Saisivat jo pikkuhiljaa tuoda tuon CLI:n pfSensen package manageriin. Aiemmin tuon asensin käsin, mutta päivitysten ajaminen ja konffien säätö oli aina melkoista tunkkaamista, niin alkoi tuntua pikkuhiljaa enemmän jo harrastukselta. Lopulta heitin koko CLI:n mäkeen ja palasin takaisin Unboundin DoT forwarderiin.
Napsauta laajentaaksesi...
Mä oon konffannu suoraan tuota /usr/local/etc/nextdns.conf tiedostoa. Sitten muutamilla käskyillä selvinnyt eli nextdns stop, start, restart, status ja upgrade.
 
Noinhan se menee, kun ei ole natiivia implementaatiota, nextdns.conffi myös varmuuskopiona talteen ennen upgradea. Mieluummin CLI päivitykset tekisi kahdella klikkauksella package managerista natiivina lisärinä suoraan, kuten WireGuardin kanssa.

Kotona ei vain jaksa hirveästi terminaalin kanssa säätää, asioissa muutenkin tarpeeksi muistamista.
 
mikajh sanoi:
Tarkkaan ottaen se on joko Unbound DNS resolver tai
dnsmasq daemon, DNS forwarder. Molemmat cachettavat lokaalisti, kuten pitää
Napsauta laajentaaksesi...
Unboundissa on myös forwarder moodi, jolloin se toimii ilman cachea tai perus resolveria juuripalvelimilta, tukee 53 ja 853 portteja. Pelkällä dnsmasq forwarderilla ajaessa ei ainakaan pari vuotta sitten toiminut paikallisen verkon nimikyselyt. Unbound forwarder moodissa on NextDNS:n suositus pfSense purkkeihin jos ei asenna CLI:tä DoH tukea varten.

Screenshot 2023-09-15 143252.jpg
 
NextDNS näemmä tehneet jotain muutoksia hiljattain, ennen pystyi pakottamaan ultralow servereille kyselyt DoT kautta suorilla IP:llä, mutta nyt näkyy logeissa paljon steering.nextdns.io kääntöä. Päätin palata takaisin CLI:hin ja mennä jälleen DoH kautta, pitäen kuitenkin paikalliset nimikyselyt Unboundissa eri portilla, vaihto meni jo rutiinilla.

Samalla huomasin logeista, että tuo NextDNS iOS profiilin luontityökalu on rikki, nimittäin Exclude Wifi networks on-demand ominaisuus ei toimi lainkaan, vaan iOS laitteet ohittavat lähiverkon heittäen kyselyt suoraan NextDNS:lle vaikka olisi toisin konffattu. Tuolla aiheesta lisää: Reddit - Dive into anything

Toisin sanoen, tuon rimpsun kun ottaa profiilista veke, niin laite tottelee lähiverkossa sijaitsevia nimipalvelimia kuten konffattu:
Koodi: 
          <dict>
        <key>Action</key>
        <string>EvaluateConnection</string>
        <key>ActionParameters</key>
        <array>
          <dict>
            <key>DomainAction</key>
            <string>NeverConnect</string>
            <key>Domains</key>
            <array>
              <string>dav.orange.fr</string>
              <string>msg.t-mobile.com</string>
            </array>
          </dict>
        </array>
      </dict>
 
Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:
1695471104513.png


5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...
 
Sampo_91 sanoi:
Otin testiin Adguard Homen. Muuten erittäin pätevän oloinen softa ja voisi jäädä käyttöönkin, mutta Plexiä en saa sisäverkossa toimimaan millään, jos se on käytössä. Tarjoaa vain indirect-yhtyeyttä. Heti kun kytkee pois, niin yhteydet palautuvat. Googlailin tovin ja kokeilin kaikennäköistä, mitä ehdotettiin, mutta ei apua. Onko joku saanut tuon toimimaan?

Upstream DNS Serverit näyttää tältä:
1695471104513.png


5353-portissa vastaa Unbound, jonne olen private domainiksi määrittänyt plex.directin. Tosi moni ketju Googlen perusteella tuntuu jäävän ilman ratkaisua...
Napsauta laajentaaksesi...
Tässä onkin taustalla ilmeisesti sittenkin häiriö Plexin päässä. Eipä siinä, tuli hyvä syy kokeilla Jellyfiniä, ja sehän pelittää kuin unelma. :)
 
NextDNS CLI v1.41.0 julkaistu.
github.com

Release nextdns-v1.41.0 · nextdns/nextdns

Changelog ab5fc69 Log router type during setup f1eb217 Add UDM content filtering feature detection d2831b4 Text corrections in go files (#871) 7da8f4c Add a warning when custom listen is provided ...
github.com github.com
 
Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.

Encrypted Client Hello (ECH) Effectively Defeats Pirate Site Blocking * TorrentFreak

Cloudflare has enabled Encrypted Client Hello for customers on free plans. When sites and visitors enable ECH, site-blocking is circumvented.
torrentfreak.com torrentfreak.com

Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:
one.one.one.one

1.1.1.1 — One of the Internet’s Fastest, Privacy-First DNS Resolver

✌️✌️ Browse a faster, more private internet.
one.one.one.one one.one.one.one

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:
www.cloudflare.com

Cloudflare Browser Check

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH
www.cloudflare.com www.cloudflare.com
 
Viimeksi muokattu:
  • Tykkää
Reactions: AkQ
Yeenoghu sanoi:
Lievästi aiheen ohi mutta Torrentfreak julkaisi hyvin mielenkiintoisen artikkelin aiheesta Encrypted Client Hello (ECH), joka on yksi lisäkerros yksityisyyteen. Mutta sivutuotteena parhaimmillaan tekee operaattoreiden piraattisaittiestot turhiksi, ilman että tarvitsee edes käynnistää VPN:ää. Vaatii tuen saitin hostaajalta myös, joten toivotaan että yleistyy nopeasti. Cloudflarella tämä on jo päällä joten esim. muuan silmälappuihmisten poukama on helposti tavoitettavissa.

Encrypted Client Hello (ECH) Effectively Defeats Pirate Site Blocking * TorrentFreak

Cloudflare has enabled Encrypted Client Hello for customers on free plans. When sites and visitors enable ECH, site-blocking is circumvented.
torrentfreak.com torrentfreak.com

Vaatii ainoastaan että selaimeen on konffattu DoH päälle - helposti testattavissa esim. täällä:
one.one.one.one

1.1.1.1 — One of the Internet’s Fastest, Privacy-First DNS Resolver

✌️✌️ Browse a faster, more private internet.
one.one.one.one one.one.one.one

Ja että selaimessa on aktivoitu ECH. Löytyy Chromium-pohjaisista selaimista chrome://flags ja sieltä enabloi #encrypted-client-hello flag. Myös Firefoxista ja tietty Edgestä löytyy vastaava.

Huomatkaa sitten että ei tämä mitään torrenttiliikenteen tai laittomuuksien nuuskintaa estä, mutta onpahan taas yksi keino lisää vähentää operaattoreiden uteliaisuutta ja kiertää saittien blokkaukset.

Edit. Parempi selaintesti täällä:
www.cloudflare.com

Cloudflare Browser Check

Secure DNS Transport using DoH (DNS over HTTPS) or DoT (DNS over TLS) and SNI with ECH
www.cloudflare.com www.cloudflare.com
Napsauta laajentaaksesi...

Tuo eka selaintesti ei tunnista jos DoH on päällä jo reitittimestä mutta tuo "parempi" selaintesti tunnistaa DoH olemassaolon.
 
AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).
adguard.com

AdGuard v2.10 for Mac: DNS filtering by default, ECH support, new Advanced Settings

AdGuard v2.10 for Mac is now available with new features in the Advanced Settings, including experimental support for Encrypted ClientHello. DNS filtering has also been enabled for all users. Check out this post for full details!
adguard.com adguard.com

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.
 
Viimeksi muokattu:
ECH tuki vaaditaan sitten molemmissa päissä, eli jos selattavalla sivulla ei ole ECH, niin iloa ei siitä ole. Viimeksi kun tuota selvittelin, niin ECH tukevia sivustoja oli jotain 60 000 luokkaa. Ilmeisesti johtuu pitkälti siitä, että ECH ei ole vielä standardoitu loppuun asti ja protokolla on vielä työn alla. Hyvä uudistus kuitenkin, kunhan joskus tulee yleiseen käyttöön osaksi HTTPS protokollaa.
 
user9999 sanoi:
AdGuardin artikkelissa muutama testilinkki (SNI ja ECH).
adguard.com

AdGuard v2.10 for Mac: DNS filtering by default, ECH support, new Advanced Settings

AdGuard v2.10 for Mac is now available with new features in the Advanced Settings, including experimental support for Encrypted ClientHello. DNS filtering has also been enabled for all users. Check out this post for full details!
adguard.com adguard.com

check if it says sni=encrypted.

Welcome to defo.ie
check if it says SSL_ECH_STATUS: success.
Napsauta laajentaaksesi...
Raakiletestejä koska esimerkiksi Firefox käyttää SNI sijaan ECH eli nämä lukee lähinnä selaimen asetuksia, eivät testaa siis yhteyttä oikeasti.
 
Itsellä siis nuo testit näytti että ei olisi salattu vaikka yhteys oikeasti on salattu mutta reititin hoitaa sen puolen.
 
Virittelin DoH3 testikäyttöön. Mac, Safari ja NextDNS käytössä. Joutuu käyttämään AdGuardin DNS Protection ominaisuutta, että saa Macilla ja Safarilla toimimaan.

1696679393617.png


Jotain tuosta DoH3:sta.
www.bleepingcomputer.com

Google boosts Android privacy with support for DNS-over-HTTP/3

Google has added support for the DNS-over-HTTP/3 (DoH3) protocol on Android 11 and later to increase the privacy of DNS queries while providing better performance.
www.bleepingcomputer.com www.bleepingcomputer.com
 
Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.
 
Infinity sanoi:
Hmh, johtuuko tuo NextDNS-CLI kun ei tunnu saavan DoH/3 tai DoQ putkea kulkemaan, jos laitteet ohjaa lähiverkossa TCP 53 -> raspi/pihole -> reititin -> upstream DNS/DoH? Vaatiiko nuo uuden sukupolven DNS protokollat endpointista endpointtiin salauksen?

Firefoxiin DoH päälle täppäämällä kyllä pelittää, mutta ei reitittimen kautta, jos reitillä on yksikin hyppy ilman salausta. HTTP 3/Quic testisivustot myös pelittävät selaimilla, paitsi iOS/Safari 17. Perus DoH ja DoT kyllä toimii hienosti.
Napsauta laajentaaksesi...
En osaa kyllä tuohon CLI juttuun vastata.
Mulla on seuraava viritys AdGuard for Mac version DNS Protection kohdassa.
1696744964501.png

Tuo XXXXXX on NextDNS ID ja laitteen nimi sen perässä.

https://test.nextdns.io/ sivu näyttää, että olisi DOH3 käytössä

1696745007995.png
 
Juu, noilla paikallisilla clienteillä ja selaimilla suoraan tuntuu pelittävän, mutta jos yrittää putkittaa nimikyselyt välietapin (raspi) kautta tai suoraan NextDNS-CLI ulos upstream, niin ei tunnu tykkäävän. Yritin myös pakottaa CLI:n upstreamiksi doh3.dns.nextdns.io, mikä Googlen mukaan on joskus toiminut, mutta ei ainakaan enää. Lienee NextDNS ja/tai CLI ongelma.
 
Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.

Screenshot 2023-10-08 184632.jpg


CtrlD konffi hyvin yksinkertainen:
Screenshot 2023-10-08 184530.jpg


Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.
 
Infinity sanoi:
Kuten vähän arvelin, oli täysin NextDNS CLI syytä tuo aiempi tuskailu, CLI ei yksinkertaisesti tue DoQ tai DoH/3. Heitin CLI:llä vesilintua ja asensin CtrlD tilalle pfSenseen, DoH/3 toimi heti käyttäen samaa DoH NextDNS endpointtia.

Screenshot 2023-10-08 184632.jpg


CtrlD konffi hyvin yksinkertainen:
Screenshot 2023-10-08 184530.jpg


Alkaa hiljalleen tuntua, että koko NextDNS on jotenkin tuuliajoilla, eivät tunnu panostavan uusiin protokolliin (DoQ/DoH3 ketjut lukittu) ja Apple konfiguraattori edelleen rikki, jättävät vaan huomiotta kaikki bugitiketit.
Napsauta laajentaaksesi...
Meneekö ping.nextdns.io ultralow vai anycast palvelimille?
 
user9999 sanoi:
Meneekö ping.nextdns.io ultralow vai anycast palvelimille?
Napsauta laajentaaksesi...
Ei kumpaankaan itseasiassa, eilen tuota jo viilasin ja pakotin Hetznerin ja Tavun ultralow palvelimille Helsinkiin, meni muutoin johonkin palvelimelle jota ei edes ollut ping listalla, nyt on pingit ~15ms luokkaa. Tuon sai tehtyä lisäämällä toisen upstream entryn CtrlD konffiin ja laittamalla Helsingin ultralow palvelinten IP:t bootstrapiksi.

Samalla muutin CtrlD pyörimään portilla 5555, pfSensen Unbound on portilla 53 joka forwardoi CtrlD:lle. DNS ketju menee nyt: Client -> Raspi/Pihole -> pfSense Unbound (LAN hostnamet) -> CtrlD -> NextDNS DoH/3.
 
Mullvad on siirtänyt kaikki omat DNS serverit nyt toimimaan vain muistilla:

mullvad.net

Moving our Encrypted DNS servers to run in RAM | Mullvad VPN

We recently announced the completion of our migration to remove all traces of disks in use on our VPN infrastructure.
mullvad.net mullvad.net

Varmasti ollut jo jonkin aikaan yksi turvallisimmista DNS palveluista, mutta nyt vielä turvallisempi.

Mutta jostakin syystä muutama paikka tippui DNS paikoista (lie jos liittyy tähän muutokseen tai sitten vaan muusta syystä lopettivat):

mullvad.net

DNS over HTTPS and DNS over TLS

Our public DNS service
mullvad.net mullvad.net

Australia ja Sveitsi.
 
Viimeksi muokattu:
Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

1701418867741.png

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?
 
Viimeksi muokattu:
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?
 
heebo1974 sanoi:
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?
Napsauta laajentaaksesi...
Eipä tuo maksa, kuin sen 2€/kk tai 20€ vuosi, mutta jos ei tietenkään halua maksaa, niin sitten tutkimaan ilmaisia vaihtoehtoja.

DNS0 listoista ei tietoa, mutta sehän ei estä mainoksia, ellei käytä sitä Kids vaihtoehtoa.
 
heebo1974 sanoi:
Otin kokeiluun tuon NextDNS:n, mutta eihän tuo ilmainen versio tule mitenkään riittämään oman talouden käyttöön.
Mites tuo DNS0.eu ? Ei mitään configgia ? Kuinka paljon tulee falsea ? Mitähän listoja se käyttää ?
Napsauta laajentaaksesi...

Otin myös käyttöön NextDNS tuossa muutama viikko takaperin ja huomasin että tietokone tekee ihan älyttömästi kyselyitä, mutta puhelimista, tableteista, älytelkasta yms muista "ei-PC":stä ei pahemmin tule. Joten reitittimesta laitoin PC:n ohittamaan tuon NextDNS CLI:n. Tietokonella on muutenkin uBlockit yms niin turha tietokonetta kierrättää tuon kautta.

Eli tuo NextDNS ilmainen on enemmän kuin riittävä kodin kaikille laitteille, poislukien tietokone, johon on parempiakin vaihtoehtoja (uBlock, ADguard etc).

Edit: Ja tuon "excluudaamisen" voi ainakin Asuksen reitittimessä tehdä parilla kliksutuksella DNS director / DNS filterin kohdassa jos ei halua että joku laite kotona menisi NextDNS:n kautta.
 
Taidan ehkä taipua asentelemaan home assistanttiin AdGuard lisäosan, vaikka taitaakin olla venäläisten tekele.
 
BennyH sanoi:
Taidan unohtaa PiHolen tällä kertaa ja ottaa joko Quad9:n tai Dns0:n käyttöön.
Nämä kaksi vahvimmilla, koska ovat eurooppalaisia.
Napsauta laajentaaksesi...
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
 
iltanen sanoi:
Tarvitisin jonkin kiinteän osoitteen vpn-etäkäyttöä varten. Nyt joutunut muutamaan OpenVPN konffia viikon sisällä jo niin monta kertaa, että menee hermot. Millä ddns-palvelulla tuo parhaiten/helpoiten onnistuisi?

Käytössä nyt Edgerouter X (tulossa Unifi Express), johon otetaan yhteys OpenVPN:llä (vaihtunee Wireguard reitittimen vaihdon yhteydessä).

Tein tunnukset suositeltuun Cloudflareen, mutta ilmeisesti tuo nyt ei oikein sovellukaan tähän käyttöön. Ainakaan en löytänyt oikeanlaisia ohjeita tähän, vaikka ohjeita nyt löytyy tuhat erilaista.

Edgerouter - Built-in Dynamic DNS (ohjeet)

Netin mukaan kaikissa palveluissa on jokin ongelma. Joku ei aina toimi, toinen vaatii säännöllistä kirjautumista ja jokin on MAKSULLINEN (/s)!

1701418867741.png

E. Teinkin nyt tunnuksen dy.fi. Toimiikohan tuo luotettavasti ja "ikuisesti"?
Napsauta laajentaaksesi...
Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.
 
BennyH sanoi:
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
Napsauta laajentaaksesi...
Laittelin tuosta tukeen viestiä ja vastaus oli tyyliin "emme tiedä mistä johtuu ja emme voi sille mitään tehdä, käytä toista dns palvelua" :rofl:
 
a85 sanoi:
Jos on mahdollista ajaa Docker konttia omassa verkossa niin suosittelen tätä Cloudflaren DynDNS ylläpitoon, jos routteri ei tue Cloudflarea: Docker
Joo vanha kuin taivas, mutta tuo ei muuta tee kuin aja muutamaan shelli skriptiä cronilla ja jos haluaa ite muokata tuota niin sitten lähdekoodi löytynee täältä: GitHub - oznu/docker-cloudflare-ddns: A small amd64/ARM/ARM64 Docker image that allows you to use CloudFlare as a DDNS / DynDNS Provider.
Itselläni tuo on käytössä ja hyvin toimii edelleen.
Napsauta laajentaaksesi...
Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?

E. Käytössä Edgerouter X ja Unifi Express.
 
Viimeksi muokattu:
BennyH sanoi:
Quad9 tuntuu blokkaavan SkyShowTimen, joten se oli pakko heivata.

Mahtaako em. johtua Sonyn ja Quad9:n välisestä kiistasta?
Napsauta laajentaaksesi...
Täällä on molemmat palvelut käytössä, ilman ongelmia. Quad9 on konfattuna reitittimessä miltei jo vuoden verran.
 
iltanen sanoi:
Mitään 24/7 konetta ei taloudesta löydy ja onkin siksi hieman haasteellista.

Huomasinpa nyt, että dy.fi pitääkin käydä päivittämässä viikon välein nettisivulla. Ilmeisesti Edgerouter ei tuollaista virkistystietoa pysty lähettämään.

Mikähän muu palvelu toimisi ilman viikottaista nettisivuvierailua?
Napsauta laajentaaksesi...
Itse käytin ennen Cloudflareen siirtymistä Zoneedittiä, mutta ovat ehkä muuttaneet ehtoja ilmasuuden suhteen. Tällaisen löysin kuitenkin Free DNS and Dynamic DNS joten kannattaa ainakin tsekata. Asuksen routterissa oli ainakin tuki zoneeditin dyndns päivitykselle, en muista tiedä.
 
escalibur sanoi:
Täällä on molemmat palvelut käytössä, ilman ongelmia. Quad9 on konfattuna reitittimessä miltei jo vuoden verran.
Napsauta laajentaaksesi...
Minulla oli primary ja secondary DNS -serverien osoitteet 9.9.9.9 ja 149.112.112.112,
Reitittimenä UDR.

Poistin nuo osoitteet eilen illalla ja sen jälkeen pääsin skyshowtime.com -sivuille.

Palautin äsken quad9:n uudelleen käyttöön ja yllättäen skyshowtime toimii nyt.

Lisäksi quad9.net -sivuilta löytyvä blocked domain tester vahvistaa, että skyshowtime.com ei ole blokattu.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
259 109
Viestejä
4 502 227
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom