DNS over TLS - Open servers

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen en dat probeer ik dan ook te doen via de tot mijn beschikbare middelen.

Na het inschakelen van DNSSEC op mijn pfSense router/firewall (te testen via https://dnssec.vs.uni-due.de/ ) en het aanzetten van het minimaliseren van QNAME informatie (test te vinden op deze blog) bleef er enkel nog het aanschakelen van DNS over TLS (DoT) of HTTPS (DoH) over.
Helaas ondersteunt EDPnet dit nog niet op zijn DNS-servers, dus ben ik op zoek naar een snelle en veilige open DNS-server die in handen van een Europese instantie is. Helaas, ook hier nog geen antwoord op gevonden, dus gebruik ik voorlopig Cloudflare's servers in de hoop dat ik door bovenstaande toch al niet teveel weg geef.

Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Kan https://securedns.eu/ iets voor jou betekenen? Geen idee qua schaal en performance, maar ik geef het toch even mee...
Computer(k)nul
Gebruikersavatar
thomasv
Premium Member
Premium Member
Berichten: 550
Lid geworden op: 01 dec 2014, 16:52
Locatie: Regio Gent
Uitgedeelde bedankjes: 34 keer
Bedankt: 52 keer

NuKeM schreef:Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?
Cloudflare belooft ip-adressen nooit weg te schrijven naar opslag en alle logs voor de dns-dienst binnen 24 uur te verwijderen. Het bedrijf heeft KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.

Bron: https://tweakers.net/nieuws/145623/clou ... 1-uit.html
 iPhone 12 Pro / iPad 2021 / Apple TV 4K (2nd Gen) / MBP 2020

⌘ Proximus Internet Maxi Fiber
CCatalyst
Elite Poster
Elite Poster
Berichten: 8271
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

thomasv schreef:KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.
Maar KPMG schrijft ook alleen maar wat CloudFlare wilt dat ze schrijven hoor. Wiens brood men eet...
iktjilp
Plus Member
Plus Member
Berichten: 201
Lid geworden op: 23 jun 2013, 23:46
Twitter: IkTjilp
Uitgedeelde bedankjes: 7 keer
Bedankt: 8 keer

Gebruik hier zelf nextdns en tevreden van. Heel wat zaken zijn zelf in te stellen.

Http://nextdns.io
Edpnet VDSL XL - Mobile Vikings - Zon - APP TV
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Bedankt voor de reacties.
SecureDNS ziet er OK uit, maar is een one man initiatief en één server. Ping is redelijk (in zoverre dat een indicatie is).
NextDNS is in beta en nu nog gratis, maar betreft helaas een Amerikaans bedrijf.
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 11 keer
Bedankt: 78 keer
Contacteer:

Als je eigenlijk simpelweg een lijst wil van servers welke DNS over TLS/HTTPS ondersteunen heeft dnsproxy een lijstje welke het zelf gebruikt en roteert als je het instelt.

https://dnscrypt.info/public-servers/

Ik persoonlijk heb enkel "no logging, DNS over TLS en DNSSEC" geconfigureerd als requirements, maar dat kan je zelf vrij specifiek instellen zoals je zelf wil, tot enkel specifieke servers.
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

ringlord
Plus Member
Plus Member
Berichten: 173
Lid geworden op: 22 apr 2009, 23:18
Uitgedeelde bedankjes: 31 keer
Bedankt: 14 keer



Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)
I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.
En is Quad9.net geen goede optie?
Does Quad9 support DNS over TLS?
We do support DNS over TLS on port 853 (the standard) using an auth name of dns.quad9.net.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

ringlord schreef:Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)
I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.
Als morgen alle browsers DoH doen, zit je wel vast natuurlijk.
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 11 keer
Bedankt: 78 keer
Contacteer:

Ik ben zelf ook meer "fan" van DNS over TLS, maar qua firewall en dat soort leuke dingen is DNS over HTTPS natuurlijk iets meer toleranter aangezien "poort 443" iets vaker toegelaten is naar buiten toe dan een "random" port als 853.

DNS over TLS is daarbij dan met iets minder overhead denk ik, al ben ik al blij dat er keuzes zijn. Ik zie het meer als een "tunnel" optie.
Zelf ga ik wel DNS over TLS gebruiken, aangezien ik m'n browser niet zelf DNS lookups ga laten doen maar dat gewoon laat delegeren door m'n systeem z'n DNS resolver.
Die queries worden dan wel afgehandeld door dnscrypt welke ook van deze DNS over TLS gebruikt maakt, maar vooraleer het daar zit heb ik iets meer controle in de chain dan dat m'n browser het gewoon forceert van z'n eigen DNS lookups te doen naar DNS servers.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

En dat onhebbelijk geblokkeer van poorten gaat er op de lange termijn voor zorgen dat alle traffic gaat terechtkomen op poort 443 (en momenteel ook nog 80).
En omdat firewalls slimmer worden, gaat alles ook nog ns geencapsuleerd worden in https pakketjes.
Dit is een echte verscholen arms race geworden.
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

NuKeM schreef:Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen
Volgens mij ben je dan beter af gewoon een DNS server van je provider te gebruiken ipv. een DNS over whatever van een Amerikaans bedrijf.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

Ware het niet dat je provider
- vermoedelijk trager reageert dan de Amerikaan
- belachelijke beperkingen moet instellen en de Amerikaan niet (bv TPB STOP page)

Al mijn verkeer gaat naar de PiHole en dan naar 1.1.1.1 en die is veel sneller dan de DNS van EDPnet.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Er zijn alternatieven, maar zeer weinig tot geen 'serieuze' Europese gehost in België. Daardoor moet je al servers in Nederland of elders gaan gebruiken wat een effect heeft op de performance. De CloudFlare server in Brussel is (helaas) de snelste (zelfs sneller dan die van EDPnet dacht ik).
Het zou een mooie zet zijn van een alternatieve provider zoals EDPnet om dit ook op hun servers te activeren.
Rest bij mijzelf nog de vraag, wil ik DoT gebruiken over een niet Europese firma, dan wel een trager Europees alternatief gebruiken of gewoon via EDPnet blijven werken zonder DoT...
Ik zal als ik tijd heb eens een Nederlandse server proberen en kijken of die performance hit ook meetbaar en voelbaar is.

Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

NuKeM schreef:Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.
Bij mij kwam 1.1.1.1 er telkens als snelste uit en met een behoorlijk verschil nog ook.
iktjilp
Plus Member
Plus Member
Berichten: 201
Lid geworden op: 23 jun 2013, 23:46
Twitter: IkTjilp
Uitgedeelde bedankjes: 7 keer
Bedankt: 8 keer

Hier sinds vandaag volledig netwerk op SecureDNS. Op dit moment nog wel met omweg want zowel mijn AMPLIFI als FritzBox ondersteunen het nog niet.

Heb nu een Raspberry Pi waarop de command line van NextDNS staat te draaien. Deze zorgt voor de caching en dergelijke. Hier draait ook WireGuard op als VPN. Van zodra ik van mijn WiFi ga zet die de verbinding op en blijf ik ook onderweg nog verbonden met mijn thuisnetwerk. Via de DHCP van de FritzBox stuur ik als DNS-server de pi door en die zorgt er voor dat het dan met een beveiligde verbinding verder gaat. En via de logs van NextDNS kan ik zien wat elk toestel doet.

En mocht je liever een andere server gebruiken kan dat ook. Of je kan zelfs het ene toestel met de ene server doen werken en een ander met een andere server. Of je zou de toestellen van je kinderen met een andere configuratie op NextDNS kunnen doen werken dan die van jezelf.
Edpnet VDSL XL - Mobile Vikings - Zon - APP TV
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

iktjilp schreef:Hier sinds vandaag volledig netwerk op SecureDNS.
Raar, want op de site van SecureDNS staat:
SecureDNS has been shutdown since the 30th of April 2020. Please do not use SecureDNS anymore.
iktjilp
Plus Member
Plus Member
Berichten: 201
Lid geworden op: 23 jun 2013, 23:46
Twitter: IkTjilp
Uitgedeelde bedankjes: 7 keer
Bedankt: 8 keer

Ik gebruik NextDNS hiervoor zoals ik ook er onder heb geschreven. SecureDNS als dienst kende ik zelfs niet.
Edpnet VDSL XL - Mobile Vikings - Zon - APP TV
Plaats reactie

Terug naar “Netwerken en Security”