welcher doh/dot am besten/sichersten/zuverlässigsten?

  • ich geb zu, ich nerv’ mit sowas *g*

    aber trotzdem: was nehmt den ihr so an dns-ersatz? meine: 'ne 1.1.1.1, 8.8.8.8 oder "dns des providers verwenden" ist nicht ganz so das wahre in der heutigen zeit ...

    ich wollte mal erweitern und stell mit grade folgende fragen:

    1) ich verwende derzeit einen einzigen doh/dot in meiner fritte: doh.ffmuc.net - denke, der ist vertauenswürdig?

    2) was würdet ihr sonst noch so nehmen? einer alleine macht mich irgendwie nervös *g* wem vertraut ihr eure surfdaten an?

  • Ich verweise mal hierauf:

    psychofaktory
    13. Oktober 2022 um 15:47

    und hierauf:

    psychofaktory
    11. Mai 2023 um 09:16

    Tatsächlich habe ich sowohl die IPv4 als auch IPv6-Adressen als Upstream DoT Server im Unbound meiner OPNsense hinterlegt.

    Diese wiederrum ist der Upstream meines Adguard-Servers auf den alle DNS-Anfragen der Clients eingehen.


    Ausnahme:

    Die Fritzbox 7590 die mir hier als TK-Anlage dient darf ihre DNS-Anfragen direkt an 1.1.1.1 schicken.

    Mit anderen DNS-Servern gab es sonst zeitweise Probleme mit der Registrierung der SIP-Rufnummern (Telekom).

  • Ausnahme:

    Die Fritzbox 7590 die mir hier als TK-Anlage dient darf ihre DNS-Anfragen direkt an 1.1.1.1 schicken.

    Mit anderen DNS-Servern gab es sonst zeitweise Probleme mit der Registrierung der SIP-Rufnummern (Telekom).

    oh, das merk’ ich mir mal sehr genau ... den fehler hätt ich dort sicher nicht gesucht.

    das ich mir ausnahmsweise auch was merke, war quad9 der beweis *g* hatte ich noch von hier in erinnerung ...

  • 1.1.1.1 oder 9.9.9.9

    Der CCC hat auch einen wenn man möchte.

    das Thema bzgl. der SIP Einwahl hab ich ad akta gelegt. War anfangs der VoIP Umstellung ganz massiv, ja. Aber hab ich jetzt die letzten 3 Jahre keine Probleme mehr mit bei keinem Kunden / keiner TK Anlage.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Wobei ich personlich die digitale Geschellschaft Schweiz, Digital-Courage, dns0.eu oder ffmuc hinsichtlich der Vertrauenswürdigkeit bevorzugen.

    Einfach weil die Datenübermittlung an Unternehmen/Gesellschaften/Vereine mit Sitz innerhalb der EU (bzw. der Schweiz) als vertrauenswürdiger erachte als z.B. an einen US-Dienst.

    verwendet eigentlich keiner die ffmuc dingens?

    Ja, dot.ffmuc.net verwende ich auch. Zusammen mit dns.digitale-gesellschaft.ch und dns0.eu. Jeweils 2x IPv4 und jeweils 2x IPv6.

    Da alle ihren Sitz innerhalb der EU (bzw. Schweiz) haben und die Kommunikation ausschließlich über DoT läuft würde ich schon davon ausgehen dass sie vertrauenswürdig und sicher ist.

    Zumal die Unternehmen dahinter jeweils angeben die Anfragen nicht zu loggen.

    Ein weiteres Kriterium wäre die Antwortzeit der Server.

    Auch hier hatten bei mir alle bei einem Test mit DNSBench ganz ordentlich abgeschnitten. Die Ergebnisse sind aber vom jeweiligen Standort und einiger anderer Einflüsse abhängig und daher individuell verschieden.

    Bzgl. der Zuverlässigkeit: Daduch dass ich insgesamt 12 öffentliche DNS-Server parallel für den Upstream nutze hatte ich hier bisher absolut keine Ausfälle.


    das Thema bzgl. der SIP Einwahl hab ich ad akta gelegt

    War bei mir in einigen Konstellationen tatsächlich auch kürzlich noch "heikel" bei den SIP Geschichten.

    Daher hab ich es mir als "Best-Practice" angewöhnt so etwas generell einfach zu berücksichtigen. Muss jetzt nicht zwingend eine Verbesserung mit sich bringen, aber zumindest verschlechtert es auch nichts. Im Zweifelsfall wäre dem Fehler aber vorgebeugt.

  • ich fass es nicht ... man stellt den dns in der fritte um ... alles geht. nur eines nicht: der scheiß neato saugbot. schau’ ich in die app von neato ... ich besitze wohl keine bot mehr.

    es wird kein bot erkannt, weil er nicht nach amiland verbinden kann.

    test1: geht sofort alles, wenn ich beim dns in der fritte wieder alles auf standard stelle. bot is da. neu anmelden, funzt.

    test2: zurück stellen auf meine neuen 3 dns-server ... bot geht nicht mehr, ist wieder nicht vorhanden.

    als strafe darf ich den "neuen" bot neu anlernen - alle karten weg, alle meine einstellungen ... neato war mal so gut ... bis zum d7.

    also entweder ohne mehr sicherheit und mit saugbot, oder umgekehrt ...

    ich glaub’, ich trete das scheiß neato-ding den berg runter! hass das ding eh schon, seit neato die api nicht mehr für die neuen bots anbietet.

  • derzeit laufen in dieser reihenfolge:

    • doh.ffmuc.net
    • anycast.uncensoreddns.org
    • dns.digitale-gesellschaft.ch

    mit rücksprung zu den "normalen", sollten alle 3 versagen.


    ich muss übrigens relativieren. es liegt beim neato wohl weniger an den dns an sich, sondern einfach daran, dass er irgendwie bei der umstellung mal spinnt und mal nicht. ich hab's einige male jetzt probiert, nie gabs das gleiche ergebnis.

    d.h. aber auch, nachdem ich heute wieder 4 stunden mit dem anlernen des bots verbracht hab: ich stell’ sicher nix mehr um an den dns! vorher kommt unter garantie ein neuer saugbot.

    das verhalten würde zum rest passen, dass ich in den letzten 1,5 jahren vom d10 kennenlernen durfte ... geht, geht nicht, geht vielleicht, oder doch nicht *g*

    mir hats natürlich keine ruhe gelassen und siehe da ... nach dem 3. reset des dämlichen saugbots findet er auch wieder per wlan die app am handy (natürlich nur, wenn auch bt und sat-ortung am handy rennt. war mir vorher nie aufgefallen) und per inet seinen spionageserver im amiland.

    ist natürlich schön, weil ich die karte heute 2 mal neu anlernen durfte. die erste hat er so schief angelegt, dass man keine zonen einrichten konnte, die 2. geht jetzt. mal schauen, wie lange.

    nur zur sicherheit: die karte hatte er verloren, als er wegen dns-umstellung nix mehr gefunden hatte. lag eindeutig nicht an meinen, erst später, gemachten resets.

    und für mich: nie wieder neato! lieber was "bekanntes" von aeg oder kärcher. die haben zwar auch keine api, aber wenigstens 'nen guten namen ...

  • Ich bin mal ehrlich. Ich habe mir darüber nie wirklich Gedanken gemacht. Ob nun DoH oder DoT...Mir ist's ehrlich gesagt schnuppe. Zumindest bislang.

    Ich frage mich, was genau sind eure Beweggründe? Was ist der Usecase?

    Security und MitM zu vermeiden ist ein valider Grund, den ich nachvollziehen kann und wo man definitiv was tun sollte bevor das Kind in den Brunnen gefallen ist.

    Aber was kümmert es mich wenn mein Provider oder auch der DNS Betreiber weiß welche Seiten ich wie oft Aufrufe. Von mir aus können Sie die Daten auch bis zum St. Nimmerleinstag speichern. Ich tue nichts illegales wovor ich mich schützen müsste.

    Das "ich mache ja nichts illegales" soll natürlich nicht heißen, dass ich mir nicht auch Gedanken über meine Daten und Datenschutz mache. Aber da mache ich mir beim DNS Dienst am wenigsten Gedanken drüber. Der Dienst macht nichts anderes wie einen String gegen eine IP aufzulösen. Der Dienst weiß nicht welche Daten ich an die aufgerufene Webseite übermittelt habe. Sondern er weiß nur, dass ich sie zu einem bestimmten Zeitpunkt aufgerufen habe und potentiell mehrmals am Tag. Jedwede weiter Kommunikation erfolgt verschlüsselt über HTTPS mit der Webseite selbst.

    Zensur....ein anderer valider Grund. Welche Seiten ruft ihr da auf die von eurem aktuellen DNS Dienst unterdrückt/zensiert werden? Ich hatte das bisher noch nie.

    Aus Prinzip...lasse ich absolut gelten. [ay]

    Bitte versteht mich nicht falsch...ich sage bei weitem nicht, dass es unsinnig wäre. Mich interessieren nur eure Gründe dafür. Vielleicht bekomme ich ja tatsächlich noch einen "Aha"-Effekt.

    LG

  • Ich frage mich, was genau sind eure Beweggründe? Was ist der Usecase?

    Wie so oft ist das auch hier so ein Thema bei dem man argumentieren kann "ich hab nix zu verbergen", oder "es funktioniert ja auch so".

    Allerdings schadet eine Stufe mehr an Sicherheit und Datenschutz sicherlich auch nicht. Und die Einrichtung ist bei der Thematik auch keine große Hürde. Also könnte man auch entgegengesetzt fragen: Warum nicht?

    Vorteile wurden hier ja teilweise schon genannt:

    • Schutz vor MITM-Attacken
    • besserer Schutz der Privatsphäre
    • Umgehung/Verhinderung von (potentieller) Zensur
    • Mehr Dezentraliät und weniger Abhängigkeit von den großen IT-Firmen (die ihren Sitz größtenteils im Nicht-EU-Ausland haben)

    Lieber "haben" als "hätten" denk ich mir da. Und neben den aufgeführten Vorteilen konnte ich bislang keine Nachteile ausmachen.

    "Aus Prinzip" passt also als Grund auch [ab]

  • Check. Danke.

    Ich wollte nur nicht irgendwas vergessen oder "nicht beachtet" haben.

    "Haben ist besser als brauchen" ist natürlich immer gut ;)

    Wenn man es ganz strickt haben möchte und potentiell nicht möchte, dass irgendein Provider meine Anfrage zu einer bestimmten Webseite auflöst, setze ich besser meinen eigenen DNS auf, checke alle Nase lang die IP zur URL und wenn es nicht mehr passt, dann ändere ich die Konfig, starte den Dienst durch und bin dann komplett autark.

    Aber das ist natürlich auch wirklich sehr aufwändig.

    Danke für die Antwort [ay]

  • "Wer hat uns verraten? - Metadaten".

    Jedes bisschen weniger an Metadaten die man einem Großkonzern wie Cloudflare etc. in den Rachen wirft sind für mich ein guter Grund.

    Wie wichtig Metadaten sind sieht man an Whatsapp, inhalte interessieren die nicht die sind ja anscheinend Ende-zu-Ende verschlüsselt.

    Wer wann mit wem wo Kommuniziert ist wesentlich interessanter.

    Beim Opennic Projekt kommt noch hinzu das die TLD auflösen die es nach der IANA nicht gibt: https://wiki.opennic.org/opennic/dot?re…p-level_domains

    Was die Zensur angeht, die Seiten die in DE zensiert werden braucht ich auch nicht, aber hier gehts um Prinzip für ein Zensurfreies INternet.

  • 'ne dumme frage an server-besitzer. wie lange dauert's den, seine eigenen listen zu haben? wie oft saugt man die? und wie viel sind das dann eigentlich, wenn man alles will?

    ist aber nur aus reinem interesse, selber werd’ ich mir sicher keinen dns-server antun *g*

    Das mit den eigenen Listen war eher auf die absolute Paranoia-Schiene gedacht.

    Ich hatte mal meinen eigenen DNS weil ich zu Hause mein eigenes Wiki, Icinga und Grafana laufen hatte und ich mir dazu eine "Spaß"-Domain lokal eingerichtet habe um keine IPs mehr eingeben zu müssen. Bei mir ging dann sowas wie

    icinga.davu-home.de

    Als Forwarder (also wenn er eine URL lokal bei mir nicht gefunden hat), habe ich seiner Zeit die 1.1.1.1 eingetragen.

    Wirklich eigene Listen für externe, echte Server habe ich nie geführt. Wozu auch? ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!