Der Sinn für dnsmasq?

[debiator]

hmm... ok, da müsste man allerdings diese Liste immer mal wieder aktualisieren und neue Tracker kennen.
Das Ganze ist mir mit einem Addon für Browser lieber, da die Listen automatisch aktualisiert werden.

Du meinst, es gibt wirklich einen Geschwindigkeitsvorteil bei Nutzung von dnsmasq mit dnscrypt?
Die Anfragen werden ja eh an den DNS-Resolver von dnscrypt geschickt, woraus entsteht der Geschwindigkeitsvorteil?

[seeker]

hmm... ok, da müsste man allerdings diese Liste immer mal wieder aktualisieren und neue Tracker kennen.
Das Ganze ist mir mit einem Addon für Browser lieber, da die Listen automatisch aktualisiert werden.

Ja, schon richtig. War auch nur so als Randbemerkung gemeint, falls man tatsächlich mal bestimmte Seiten manuell blockieren möchte. Ist dann allemal flexibler als die hosts.

Du meinst, es gibt wirklich einen Geschwindigkeitsvorteil bei Nutzung von dnsmasq mit dnscrypt?
Die Anfragen werden ja eh an den DNS-Resolver von dnscrypt geschickt, woraus entsteht der Geschwindigkeitsvorteil?

Die erste Anfrage geht natürlich an den Resolver, wenn ich heute z.B. das erste Mal debianforum.de lade. Wenn ich mich dann aber innerhalb von debianforum.de bewege, sind die weiteren Anfragen gecacht. Wenn du den Effekt mal mit dig misst, wirst du feststellen, dass beim 2. Mal nicht nur die "Query time" bei 0 msec liegt, sondern auch die "MSG SIZE rcvd" kleiner ist, weil bei der 1. Anfrage noch der Overhead aus der Verschlüsselung enthalten ist. Aber wie gesagt: Bei einer schnellen Internet-Verbindung mag das weniger spürbar sein.

[debiator]

hmm.. ok, das hört sich natürlich wieder gut an. Sonderlich schnell ist sie bei mir nicht.
Also lohnt es sich wohl das Ding auszuprobieren

[seeker]

hmm.. ok, das hört sich natürlich wieder gut an. Sonderlich schnell ist sie bei mir nicht.
Also lohnt es sich wohl das Ding auszuprobieren

Ja, finde ich schon. Wobei ich ja - wie oben angemerkt - es nicht mal hinkriege, dnsmasq ohne dnscrypt-proxy zum Laufen zu kriegen.

Und eine weitere Frage eines Debian-Neulings: Gecacht wird ja sowieso schon (bei mir auf 192.168.87.223#53), da standardmäßig dnsmasq-base installiert wird:

Kleiner zwischenspeichernder DNS-Proxy und DHCP/TFTP-Server

Dieses Paket enthält das ausführbare Programm dnsmasq und dessen Dokumentation. Enthalten ist jedoch nicht die Infrastruktur, die zur Verwendung als System-Daemon benötigt wird; dafür müssen Sie das Paket dnsmasq installieren.

Wo genau ist da der Unterschied? Die Frage ist auch, ob sich dieses "abgespeckte" dnsmasq auch zur Zusammenarbeit mit dnscrypt-proxy überreden lässt.

[MSfree]

um NSA direkt geht es mir nicht vorrangig. Erstmal um den Provider, der nicht alles so ganz direkt wissen muss.
Wenn man den dnscrypt-Resolvern trauen soll, dann speichern die meisten keine Logs etc.
Also ist es auch gegenüber der NSA durchaus eine Hürde, da sie dann die Veschlüsselung brechen müssen

Der Provider logt keine DNS-Abfragen. Daran sind nicht einmal die Strafermittler (Stichwort Vorratsdatenspeicherung) interessiert. Dein Provider logt aber die Tatsache, daß du nach dem DNS-Lookup die dubiose Webseite http://www.dubioseseite.net kontaktiert hast und daran gibt es nur einen Weg dran vorbei und der lautet The Onion Router.

Nochmal, dns-crypt ist kein Sicherheitsgewinn und verschleiert rein gar nichts.

[debiator]

Und eine weitere Frage eines Debian-Neulings: Gecacht wird ja sowieso schon (bei mir auf 192.168.87.223#53), da standardmäßig dnsmasq-base installiert wird:

ups, das wusste ich nicht. Aber klar, das stimmt. Das Zeug ist drauf. Allerdings kann man es doch deinstallieren, wenn man dnsmasq verwenden will. Wo da der Unterschied ist... na man kann es nicht als Daemon starten, also als Dienst im Hintergrund. Das ist dann für den Zweck nicht gut. Also weg damit.

Der Provider logt keine DNS-Abfragen. Daran sind nicht einmal die Strafermittler (Stichwort Vorratsdatenspeicherung) interessiert. Dein Provider logt aber die Tatsache, daß du nach dem DNS-Lookup die dubiose Webseite http://www.dubioseseite.net kontaktiert hast und daran gibt es nur einen Weg dran vorbei und der lautet The Onion Router.

Nochmal, dns-crypt ist kein Sicherheitsgewinn und verschleiert rein gar nichts.

Onion Router ist langsam wie eine Schildkröte. Dazu ist es fraglich, vertrauliche Daten über TOR zu schicken, da die Nodes teils fragwürdig sein können. Wenn dann ein ordentliches VPN.

Verschleiern tut er natürlich nichts im Sinne von irgendeiner Identität. Die Argumentation ist aber aus meiner Sicht die gleiche wie: "Dir kann auch ein Ziegelstein vom Dach auf den Kopf hauen, also braucht man erst gar nicht etwas zu ändern". DNScrypt ist ein Baustein in dem Konzept der Privatsphäre.

[seeker]

[
Nochmal, dns-crypt ist kein Sicherheitsgewinn und verschleiert rein gar nichts.

Der 2. Halbsatz ist richtig, der erste nicht: Durch dnscrypt wird DNS Spoofing verhindert.

[seeker]

ups, das wusste ich nicht. Aber klar, das stimmt. Das Zeug ist drauf. Allerdings kann man es doch deinstallieren, wenn man dnsmasq verwenden will. Wo da der Unterschied ist... na man kann es nicht als Daemon starten, also als Dienst im Hintergrund. Das ist dann für den Zweck nicht gut. Also weg damit.

Nö, geht nicht, da dnsmasq-base für dnsmasq eine Abhängigkeit ist.

[debiator]

Der 2. Halbsatz ist richtig, der erste nicht: Durch dnscrypt wird DNS Spoofing verhindert.

eben auch bzw. vor allem das. Ist ja auch kein Wunder, wenn die Daten teilweise durch die halbe Welt hin und her reisen. Warum da nicht verschlüsseln.

ah ok, dann solls von mir aus drauf sein. (dnsmasq-base)

[debiator]

mal eine ganz blöde Frage:

wie finde ich die internen LAN-Domainnames heraus? Für z.B. Router, HW-FW, anderen PC und so weiter. Habe sie noch nie gebraucht.
Die muss ich ja /etc/hosts eintragen

[mat6937]

wie finde ich die internen LAN-Domainnames heraus? Für z.B. Router, HW-FW, anderen PC und so weiter.

Ich mach das z. B. mit:

Code: Alles auswählen

sudo nmap -sP -R --dns-servers 192.168.178.1 192.168.178.0/24 | grep -i fritz.box

Die muss ich ja /etc/hosts eintragen

Nein, das musst Du nicht.

[debiator]

Nein, das musst Du nicht.

hmm... ok, also das ist so zu sagen zur eigenen Übersicht gedacht.


Wie schaffe ich dann die Weiterleitung von dnsmasq zu dnscrypt?
Die muss ja in /etc/resolv.conf stehen, oder nicht?
Beide sind ja auf localhost, also wie soll da was weiter geleitet werden?

[MSfree]

Durch dnscrypt wird DNS Spoofing verhindert.

Nein, wird es nicht.

Ob ich einen DNS-Server kapere und falsche IP-Adressen in den Auflöser einschleuse oder ob ich einen DNSCrypt-Server kapere und damit das gleiche mache, ist für den Anwender egal. Spoofing ist in beiden Fällen möglich.

[debiator]

Ob ich einen DNS-Server kapere und falsche IP-Adressen in den Auflöser einschleuse oder ob ich einen DNSCrypt-Server kapere und damit das gleiche mache, ist für den Anwender egal. Spoofing ist in beiden Fällen möglich.

Es gibt noch die Möglichkeit, die Daten dazwischen abzufangen, da muss man nicht den Server knacken.
Und genau dafür ist dnscrypt gut.

[seeker]

Wie schaffe ich dann die Weiterleitung von dnsmasq zu dnscrypt?

Das ist z.B. hier erklärt.

[debiator]

ach stimmt, danke.
Was ich da nicht verstehe. Wo muss die Datei dnscrypt-proxy.socket liegen??

[MSfree]

mal eine ganz blöde Frage:
wie finde ich die internen LAN-Domainnames heraus?

Mit nslookup ip-Adresse. Aber du verwendest ja kein DHCP, also kannst du es nicht herausfinden.

Habe sie noch nie gebraucht.

Tja, was man nicht kennt, nutzt man nicht und denk, man braucht es nicht. Wenn man den Komfort erstmal gewohnt ist, fragt man sich, wieso man sich vorher das Leben so schwer gemacht hast.

Die muss ich ja /etc/hosts eintragen

Ich habe hier 16 Rechner und ich hab keine Lust, wenn mal ein 17. Rechner kommt, auf allen 16 Rechnern die Hosts zu editieren. Zumal ich die meisten Rechner für den Zweck erst hochfahren müßte, die laufen nämlich bei weitem nicht alle.

[debiator]

Tja, was man nicht kennt, nutzt man nicht und denk, man braucht es nicht. Wenn man den Komfort erstmal gewohnt ist, fragt man sich, wieso man sich vorher das Leben so schwer gemacht hast.

Ich rede nicht von Nicht-Kennen. Habe früher statdard-mäßig DHCP verwendet und halte mittlerweile nicht mehr viel von. Es sei denn ich müsste einen Riesennetzwerk verwalten.
Ich weiss lieber genau, was wohin und wie konfiguriert ist.

[mat6937]

Aber du verwendest ja kein DHCP, also kannst du es nicht herausfinden.

DHCP wird dafür nicht benötigt. Es geht um DNS im (W)LAN.

EDIT:

Z. B.:

Code: Alles auswählen

:~$ nslookup 192.168.178.9 192.168.178.1
Server:		192.168.178.1
Address:	192.168.178.1#53

9.178.168.192.in-addr.arpa	name = ######.fritz.box.

Die interne IPv4-Adresse 192.168.178.9 befindet sich nicht im DHCP-Pool der FritzBox (Router), der die Namensauflösung im (W)LAN macht.

[MSfree]

Es gibt noch die Möglichkeit, die Daten dazwischen abzufangen, da muss man nicht den Server knacken.

Das geht auch bei dns-crypt, sogar ganz ohne den Schlüsel zu knacken
dns-crypt muß zwingend auch auf die unverschlüsselten DNS-Dienste zugreifen und da kann ich mich dann dazwischen hängen.

Und genau dafür ist dnscrypt gut.

Eben nicht.

[seeker]

Was ich da nicht verstehe. Wo muss die Datei dnscrypt-proxy.socket liegen??

locate dnscrypt-proxy.socket ergibt:

/etc/systemd/system/sockets.target.wants/dnscrypt-proxy.socket
/lib/systemd/system/dnscrypt-proxy.socket
/var/lib/systemd/deb-systemd-helper-enabled/dnscrypt-proxy.socket.dsh-also
/var/lib/systemd/deb-systemd-helper-enabled/sockets.target.wants/dnscrypt-proxy.socket

Wobei ich das so wie im Arch Linux wiki nicht hingekriegt habe. Ich habe das mit dnsmasq nur dadurch zum Laufen gekriegt, nachdem ich dnscrypt-proxy.socket disabled hatte. Wenn ich nur unter Jessie so weit wäre ... es ist so vieles ganz anders und wegen dem Nebeneinander von systemd und /etc/init.d so verwirrend

[MSfree]

Aber du verwendest ja kein DHCP, also kannst du es nicht herausfinden.

DHCP wird dafür nicht benötigt. Es geht um DNS im (W)LAN.

Streng genommen braucht man dafür kein DHCP, allerdings ist die Abhängigkeit von DNS und DHCP ziemlich hoch.

Der DHCP-Server bekommt nämlich vom Clientrechner gleich den Rechnernamen mitgeteilt und der DHCP aktualisiert mit dieser Information den DNS. Damit lassen sich ganz nebenbei auch Konflikte vermeiden wie zweimal die gleiche IP-Adresse zu vergeben und/oder zwei gleichnamige Rechner im Netz zu haben.

Man kann natürlich auch alles zu Fuß machen.

[debiator]

DHCP wird dafür nicht benötigt. Es geht um DNS im (W)LAN.

so ist es. Da kann man DHCP noch so viel lieben. Ich wills nicht

Das geht auch bei dns-crypt, sogar ganz ohne den Schlüsel zu knacken
dns-crypt muß zwingend auch auf die unverschlüsselten DNS-Dienste zugreifen und da kann ich mich dann dazwischen hängen.

DAS ist mir noch die Frage, ob das geht und ob es komplett am dnscrypt vorbei geht ( deswegen will ich den Test im LAN machen).
Bis jetzt habe ich nirgendwo einen Artikel darüber gelesen. Das müsste öffentlich sein.


@seeker:
dnscrypt-proxy.socket liegt bei mir in dem entpackten Ordner im Home, daraus hab ich dnscrypt installiert.
Da stimmt ja was nicht. Gestartet wirds ja mit sudo und nicht mit einem home-user.
Hmmm...

[MSfree]

Ich rede nicht von Nicht-Kennen. Habe früher statdard-mäßig DHCP verwendet und halte mittlerweile nicht mehr viel von. Es sei denn ich müsste einen Riesennetzwerk verwalten.
Ich weiss lieber genau, was wohin und wie konfiguriert ist.

Da ich meinen eigenen DHCP-Server konfiguriert habe, habe ich auch die volle Kontrolle, wer was erhält.

Wie gesagt, DHCP ist eine Win-Win-Situation, volle Kontrolle und kaum noch Konfigurationsaufwand und wenn, dann nur an einer zentralen Stelle.

[mat6937]

... DHCP aktualisiert mit dieser Information den DNS.

Ja, und wenn man DHCP nicht nutzt, dann wird der DNS auch mit der erforderlichen Information aktualisiert.