Freien unzenzierten DNS-Server verwenden?

[pangu]

Hallo. Bin gerade über diesen Artikel hier hier gestossen, in welchem über den Einsatz von OpenDNS und anderen geraten wird (oder auch nicht) um Zensur zu umgehen. Wie seht ihr das Ganze? Und wieso eigentlich einen DNS-Server verwenden? Könnte man nicht direkt durch Kaskadierung einen der root-server befragen oder sind diese auch in irgendeiner Weise als "bös-zenzierte-mitloggende-Datenkraken" zu sehen?

[niesommer]

Hallo,
Da es nur 13 Root Server gibt denke ich das es nicht sinnvoll ist wenn jeder die root server direkt befragt, da sonst die last sehr hoch würde für diese Server.
Vielleicht findest du ja hier noch ein paar antworten zur Zensierung des Netzes: http://wiki.ak-zensur.de/index.php/Hauptseite
Liste Unzensierte DNS Server: http://wiki.ak-zensur.de/index.php/Unze ... DNS_Server
Und noch eine: http://www.ungefiltert-surfen.de/
Hier gibt es noch ein Projekt (leider nur n englisch): http://www.opennicproject.org/
Und da ich schon mal dabei bin die Seite ist auch sehr interessant: http://anondat.com/anonym-internet-surfen
Eben so wie dieses Handbuch: https://www.awxcnx.de/handbuch.htm

Gruß niesommer

[pangu]

Ich könnt ja 'nen BIND9 installieren oder von mir aus nen light-weight wie z.B. dnsmasw, würde das reichen? Dann kann der doch die Kaskaden verwenden. Jeder korrekt konfigurierte BIND macht das doch (also direkt durch Kaskadierung nachfragen).

[Radfahrer]

Hallo. Bin gerade über diesen Artikel hier hier gestossen,

Äh, der Artikel stammt von 2009 und das Gesetz zur Internetzensur, um das es da geht, ist schon lange vom Tisch. Das wurde zwar ratifiziert aber ein Jahr lang nicht angewendet und dann wieder abgeschafft.

Wenn du aber unbedingt einen anderen DNS-Server nutzen willst als den, der dir von deinem Provider zur Verfügung gestellt wird (z.B. aus Performance-Gründen) so gibt es reichlich Alternativen.

Es gibt dafür ein recht hilfreiches Tool. Bei Linux und ich hat Christoph da mal was drüber geschrieben:
http://linuxundich.de/de/software/mit-n ... ausfinden/

[niesommer]

Ich könnt ja 'nen BIND9 installieren oder von mir aus nen light-weight wie z.B. dnsmasw, würde das reichen? Dann kann der doch die Kaskaden verwenden. Jeder korrekt konfigurierte BIND macht das doch (also direkt durch Kaskadierung nachfragen).

Na klar könntest du einen eigenen DNS Server aufsetzen, dann musst du aber auch für die Sicherheit deines DNS Server sorgen.
http://www.heise.de/newsticker/meldung/ ... 32776.html
Dir Frage ist nur ob sich der Aufwand dafür lohnt, wenn du keine Domain hast würde ich das nicht machen. Und als normaler Nutzer eines Internet Anschlusses würde ich dazu vorher auch mal mit meinem Provider darüber reden, manche reagieren darauf nicht erfreulich.
http://de.wikipedia.org/wiki/Domain_Name_System

Gruß niesommer

[catdog2]

Du könntest natürlich einen loaken DNS cache aufsetzen z.B.dnscache-run, wenn du das willst…

[pangu]

@niesommer: danke für den recht frischen Hinweisen zu diesem Problem, aber das würde mich nicht die Bohne jucken, weil mein BIND9 in meinem Heimnetz arbeitet und nicht von extern erreichbar ist. Er soll ja nur durch die Kaskade arbeiten und den DNS-Dienst für meine im lokalem Heimnetz vorhandenen Clients bereitstellen, nicht mehr nicht weniger. Ausserdem gibts ja auch noch fail2ban Mit meinem Provider reden, äh, wozu? Wenn ich auf die Toilette gehe frag ich meinen Provider auch nicht vorher um Rat. Und in meinem Vertrag steht nix davon drin, dass ich ZWINGEND seine DNS-Server verwenden MUSS. Selbst wenn ich eine Router-/Modemkombination von dem ISP mieten würde, ist das doch kein Problem. Ich verändere nix an der Box, die Änderung zum Nameserver kann ich entweder an einer zentralen Station in meinem privaten LAN durchführen, oder notfalls an jedem einzelnen Client selbst. Also deine Aussage versteh ich nicht so ganz.

@catdog2: dnscache-run gibts aber nicht in squeeze iirc.

dnsmasq wäre ja ein light-weight und als Alternative für bind9, aber ich weiß nicht ob der auch für die gestellten Anfragen kaskadieren kann, oder nur explizit dns forwarding anbietet. Letzteres bringt mir ja nix, da ich wieder einen öffentlichen DNS-Server angeben müsste und das Rad nicht neu erfinden möchte in meinem Fall.

[catdog2]

dnsmasq kann nur letzteres.

[pangu]

Schade. Naja, wie gesagt, BIND9 könnte ich jederzeit aufsetzen und so konfigurieren, dass er durch Kaskadierung abfrägt und die aufgelästen Namen meinen Clients bereitstellt. Wenn jemand aber eine light-weight Alternative dazu kennt, bin ich ganz Ohr.

[catdog2]

pdns-recursor wäre noch eine alternative zu BIND.

[niesommer]

@niesommer: Mit meinem Provider reden, äh, wozu? Wenn ich auf die Toilette gehe frag ich meinen Provider auch nicht vorher um Rat. Und in meinem Vertrag steht nix davon drin, dass ich ZWINGEND seine DNS-Server verwenden MUSS. Selbst wenn ich eine Router-/Modemkombination von dem ISP mieten würde, ist das doch kein Problem. Ich verändere nix an der Box, die Änderung zum Nameserver kann ich entweder an einer zentralen Station in meinem privaten LAN durchführen, oder notfalls an jedem einzelnen Client selbst. Also deine Aussage versteh ich nicht so ganz..

Einen eigenen DNS Server zu Betreiben könnte eine massive Erhöhung des Traffics bedeuten, außerdem könntest du bei Fehler in der Konfiguration auch Probleme im Provider Netz verursachen. Dem Provider ist es eigentlich egal welche DNS Server du verwendest, wenn nicht seine dann freut er sich sogar, weil seine dann entlastet werden. Aber wie du ja schon geschrieben hast willst du ja eigentlich nur einen DNS Cache haben. Von daher würde ich eher eine der vielen freien DNS Server benutzen.
Du kannst natürlich tun was du willst, die Konsequenzen dazu darfst du auch tragen.
Gruß niesommer

[pangu]

Also entweder verstehe ich nicht was du damit meinst, oder du hast den Sinn und Zweck nicht verstanden. Bitte erklaere mir warum ich den ISP stoeren sollte, wenn ich in meinem Heimnetz einen DNS-Server installiere der durch Kaskadierung seine Anfragen aufloest?

[pangu]

Also entweder verstehe ich nicht was du damit meinst, oder du hast den Sinn und Zweck nicht verstanden. Bitte erklaere mir warum ich den ISP stoeren sollte, wenn ich in meinem Heimnetz einen DNS-Server installiere der durch Kaskadierung seine Anfragen aufloest?

[niesommer]

Hallo,
Weil dein DNS Server unter Umständen anfängt die DNS Hierarchie selbst komplett abfragt um Ziele aufzulösen. Das erzeugt dann zusätzliche Traffic und last auf den Servern. Das passiert meistens dann wenn übergeordnete dns server nicht die erwartet Antwort liefert oder gerade nicht erreichbar sind oder oder...
Gruß niesommer

[Cae]

Weil dein DNS Server unter Umständen anfängt die DNS Hierarchie selbst komplett abfragt um Ziele aufzulösen. Das erzeugt dann zusätzliche Traffic und last auf den Servern.

Also zusaetzliche Last fuer die Root-Server. Wenn jeder die fragen wuerde und nicht irgendwelche "vorgeschalteten" oeffentlichen DNS-Server, die Caching betreiben. Gut, das kann ich nachvollziehen.

Bloedsinn dagegen ist, dass die eventuelle Zuname an Aufloesungen eine immense Menge Traffic verursachen wuerde, auf die der lokale DNS-Betreiber nicht ausgelegt sein koennte. Es wird nicht rekursiv die komplette Root-Zone synchronisiert (was in der Tat eine Menge Traffic bedeuten wuerde). Ausserdem cacht der neue, lokale DNS-Server ebenfalls und fragt die Root-Server *nur*, wenn er eine Topleveldomain noch nicht kennt. Keine Topleveldomain liegt selbst auf einem der Root-Server; .de-Domains liegen z.B. bei nic.de. (DENIC). Die de.-Zone hat, wenn ich mich nicht verrechnet habe, eine TTL von etwas ueber 44 Stunden, d.h. ein lokaler Bind wuerde ungefaehr alle zwei Tage eine einzige Anfrage an die Root-Server senden, sofern er nur .de.-Domains aufloest.

Gruss Cae

[pangu]

...außerdem könntest du bei Fehler in der Konfiguration auch Probleme im Provider Netz verursachen.

meine letzte Frage bezog sich auf diese Aussage. Und deshalb fragte ich: was für Probleme würde das beim ISP verursachen?

Du kannst natürlich tun was du willst, die Konsequenzen dazu darfst du auch tragen.

Welche?

Bitte korrigiert mich, wenn ich falsch liege. Aber eine "saubere" BIND9 Installation sollte keine Forwarder beinhalten, jedes BIND-Tutorial (auch das ofizielle) und dessen Gurus empfehlen strikt recursion und kein forwarder zu verwenden wenns nicht unbedingt die Situation erfordert. Cachen tut der BIND9 immer per default, also wird auch nicht non-stop der root-server bei einer Abfrage gequält. Lasse mich aber gerne des Besseren belehren.

[exubuntu]

mit solchen spielchen lässt sich die nsa bestimmt nicht austricksen

[pangu]

sehr produktiver Beitrag ... hier gehts nicht um irgendeine NSA oder diese auszutricksen, sondern um unzenzierte DNS-Server als Alternative für den Heimgebraucht zu verwenden.

[exubuntu]

verstehe ich nicht was zensiert denn so ein 0815 provider?

[debnuxer]

Zu Zeiten von Zensursula hatte ich mal dnsmasq als DNS-Cache installiert und 3 zensurfreie DNS-Server eingetragen, von Digitalcourage (früher foebud), CCC und awxcnx.

Hauptsächlich aber weil der DNS-Server vom ISP (T......) mal eine völlig unkritische DNS-Anfrage falsch aufgelöst hat, wohl aus kommerziellen Gründen und am Wochenende zu Stoßzeiten keine besonders gute Performance geliefert hat.

Als dann DNSSEC kam habe ich unbound installiert und als Cache inkl. DNSSEC mit dem DNS-Server von awxcnx benutzt.

Seit dem läuft das so 1A, aber ob das nun wirklich Sinn macht kann ich nicht sagen.

Ausserdem haben die auch längst dazugelernt und planen wohl die für die Zukunft auch DPI einzusetzen.
http://www.heise.de/newsticker/meldung/ ... 08782.html
https://netzpolitik.org/2012/deep-packe ... ionsdatei/

[wanne]

Trafficprobleme verursacht das iterative abfragen garantiert nicht. nur die Reaktionszeit ist deutlich länger als wenn du einen rekursiven mit ne dicken cache befragst. Ich selbst lasse meinen rekursiv gegen den von Hetzne laufen. Der liefert genau wie der von google meines wissens keine falschen Ergebnise zurück. Beide sind auch schön schnell (Google wegen anycast und hetzner weil die hier sowieso um die Ecke stehen.)
Ansonsten finde ich OpenNIC eine ganz nette Idee. (Deswegen löße ich, falls nötig nach da auf.) Aber seiten, die das nutzen kenne ich nicht.
Zensierte Ergebnisse sind hier in dt. aber nicht das Problem eher dass die zu viel zurück lievern. (Die vom rosa Riesen packen Werbung rein.)

[pangu]

Danke euch Allen. Hab das nun so eingerichtet an zwei Sites. Auf einem verwende ich ebenfalls rekursion zum Auflösen, und auf der anderen nutze ich dnsmasq mit den DNS-server OpenNIC.
Grüße,
Pangu.