DNS servers
- Onderwerp starter Eric-Jan
- Startdatum
Technisch gezien wil je een dns server die zo dicht mogelijk bij je staat qua netwerk, meestal de dns servers van je provider. Maar betrouwbaarheid, performance, privacy en security speelt ook een (grote) rol.
Zelf zou ik niet de dns servers van google gebruiken aangezien die toch al zoveel van ons weten.
Zelf zou ik niet de dns servers van google gebruiken aangezien die toch al zoveel van ons weten.
Je kunt `m letterlijk in je huis houden met PiHole en Unbound op een RPi. Het (recursive) deel dat al in de cache van Unbound wordt bijgehouden verlaat je huis niet eens meer, dat is je eigen In House DNS, dichter bij krijg je het niet. Lekker snel en je bent meteen van die irritante reclame af.
@Eddie the Eagle Interesant…. zou naast PiHole, de Unifi controllersoftware daar ook nog op passen op die Pi ?
lijkt me dan nog een reden om m'n Pi (4B+ 4GB) te gaan gebruiken….
lijkt me dan nog een reden om m'n Pi (4B+ 4GB) te gaan gebruiken….
Het meeste wordt volgens mij CloudFlare als openbare dns server gebruikt met zoals je had staan de 1.1.1.1.
1.1.1.1
PiHole en NextDNS zijn weer andere oplossingen maar ook die moeten hun data weer ophalen, al dan niet gefilterd.
1.1.1.1 â internet's snelste DNS Resolver met een focus op privacy
âï¸âï¸ Surf op een sneller internet, met een focus op privacy.
1.1.1.1
PiHole en NextDNS zijn weer andere oplossingen maar ook die moeten hun data weer ophalen, al dan niet gefilterd.
Volgens mij gaat dat inderdaad prima samen maar ik ben niet 100% zeker. Ik kan wel bevestigen dat PiHole en Unbound uitstekend werkt. Uiteraard moet de data altijd 1 x opgehaald worden, maar wel slechts 1x en dus niet elke keer.
Je kunt de Controller en PiHole zonder problemen naast elkaar draaien op een raspberry pi.
Zoals ik het begrijp is het principe achter Unbound echt het meest veilige vwb privacy. Stel je gaat naar www.xxxxx.com/yyyyyyy/zzzzzz. Als je dat via een externe DNS doet, dan ligt meteen dat hele pad daar vast, wat ze er mee doen, don`t know maar het ligt er wel.
Met Unbound, je eigen DNS server ga je direct naar het topje van de DNS kerstboom en dan naar beneden:
.
Ik hoop dat ik het zo goed begrijp anders kan ik die Unbound beter de nek omdraaien
.
Met Unbound, je eigen DNS server ga je direct naar het topje van de DNS kerstboom en dan naar beneden:
- Root servers (13 op de wereld), die bepaald naar welk TLD (top level domain) DNS je moet, dus .net / .org / .com / .nl etc etc
- TLD server (.com) voor xxxxxx die bepaald naar welke Authoritative DNS je moet, daar ligt het IP vast dat bij xxxxxxx.com hoort
- Authoritative server, die koppelt xxxxxx.com aan 123.456.789.123 en geeft `m terug
.Ik hoop dat ik het zo goed begrijp anders kan ik die Unbound beter de nek omdraaien
.
Ten eerste zal google of dns server niet zien dat je naar /yyyyy/zzzzz gaat maar enkel naar het domein voor de /. Het deel achter de slash wordt doorgegeven aan de betreffende server als deze is bereikt.
Voor de rest is je basis uitleg van dns juist en heeft dit mijn inziens als nadeel dat er tot wel 4 netwerk verzoeken nodig zijn als je een domeinnaam voor de eerste keer oproept (of de de geldigheid van een verzoek verlopen is (time to live van een dns request).
Dit wordt uiteraard opgevangen als je unbound met caching inricht, dan gaan de veel gevraagde verzoeken enkel tot de lokale unbound dns server.
Ook gaan de dns verzoeken dus wel het internet op maar niet meer via 1 punt maar worden deze aan de authorative server gesteld, deze is dus wel steeds anders en is het moeilijker prive gegevens vast te leggen.
Zijn vele discussies over met voor- en nadelen, zelf ik heb ik ook jaren een pi met pihole gedraaid maar wil graag zaken centraal houden op mijn router en geen extra SPOF (single point of failure) introduceren als de pi het niet doet. Als de router het niet doet maakt mijn dns ook niet veel meer uit…..
Voor de rest is je basis uitleg van dns juist en heeft dit mijn inziens als nadeel dat er tot wel 4 netwerk verzoeken nodig zijn als je een domeinnaam voor de eerste keer oproept (of de de geldigheid van een verzoek verlopen is (time to live van een dns request).
Dit wordt uiteraard opgevangen als je unbound met caching inricht, dan gaan de veel gevraagde verzoeken enkel tot de lokale unbound dns server.
Ook gaan de dns verzoeken dus wel het internet op maar niet meer via 1 punt maar worden deze aan de authorative server gesteld, deze is dus wel steeds anders en is het moeilijker prive gegevens vast te leggen.
Zijn vele discussies over met voor- en nadelen, zelf ik heb ik ook jaren een pi met pihole gedraaid maar wil graag zaken centraal houden op mijn router en geen extra SPOF (single point of failure) introduceren als de pi het niet doet. Als de router het niet doet maakt mijn dns ook niet veel meer uit…..
Thx voor je uitleg, ik blijf leren en deze uitleg is wat ik zoek, die snap ik ten minste
. Paar dingen:Mbt dat pad beweert Unbound dat dit hun grote voordeel is:
Benefit: Privacy - as you're directly contacting the responsive servers, no server can fully log the exact paths you're going, as e.g. the Google DNS servers will only be asked if you want to visit a Google website, but not if you visit the website of your favorite newspaper, etc.
Aantal netwerkverzoeken: klopt, de grote DNS servers zullen alles al in hun cache hebben, thuis wordt dit kleiner opgebouwd en bijgehouden maar privacy komt met een prijs natuurlijk. Unbound is daar trouwens ook open over als nadeel (Traversing the path may be slow, especially for the first time you visit a website). Zo`n 9 v/d 10 van mijn requests zijn recursief, lees naar hier
.Unbound met cache: dat is toch het hele principe er achter (?)
SPOF: tja, in 10 seconden ben ik weer terug bij 1.1.1.1
Niet meer via 1 punt maar steeds anders: helder, wist ik niet
Je zal altijd de ’eind’ server moeten kunnen vertrouwen (maar daarom is dit ook de authoritive server) en je weet niet wat daar wel of niet wordt bijgehouden/logs worden gedeeld etc.Thx voor je uitleg, ik blijf leren en deze uitleg is wat ik zoek, die snap ik ten minste
Mbt dat pad beweert Unbound dat dit hun grote voordeel is:
Benefit: Privacy - as you're directly contacting the responsive servers, no server can fully log the exact paths you're going, as e.g. the Google DNS servers will only be asked if you want to visit a Google website, but not if you visit the website of your favorite newspaper, etc.
Aantal netwerkverzoeken: klopt, de grote DNS servers zullen alles al in hun cache hebben, thuis wordt dit kleiner opgebouwd en bijgehouden maar privacy komt met een prijs natuurlijk. Unbound is daar trouwens ook open over als nadeel (Traversing the path may be slow, especially for the first time you visit a website). Zo`n 9 v/d 10 van mijn requests zijn recursief, lees naar hier
Unbound met cache: dat is toch het hele principe er achter (?)
SPOF: tja, in 10 seconden ben ik weer terug bij 1.1.1.1
Niet meer via 1 punt maar steeds anders: helder, wist ik niet
Ja de oplossing met pihole is met unbound met caching name server. Er gaan dus wel verzoeken lopen naar de root en TLD servers en het hele idee van DNS en recursive DNS is om deze servers te kunnen ontlasten, als iedereen zijn eigen DNS server gaat draaien worden deze servers weer zwaarder belast.
Ik neem aan dat je ook je dhcp server hebt ingesteld met de pihole als dns? Al je clients zijn van slag als deze niet werkt (of je moet een zeer korte TTL instellen). Enkel even op je controller de dhcp server aanpassen (per vlan) lost het niet direct op.
Voordeel met unbound is ook dat je makkelijk DNSSEC kunt gebruiken samen met DNS over TLS/HTTPS, dan kunnen ze ook je verzoeken niet onderscheppen/lezen.
Leuke technieken en kun je lange discussies over hebben
Ja top dit waarvoor dank ! Ik denk dat dit topic onbedoeld veel bijdraagt aan de inzichten over de werking van DNS en hoe Unbound daarin past.Je zal altijd de ’eind’ server moeten kunnen vertrouwen (maar daarom is dit ook de authoritive server) en je weet niet wat daar wel of niet wordt bijgehouden/logs worden gedeeld etc.
Ja de oplossing met pihole is met unbound met caching name server. Er gaan dus wel verzoeken lopen naar de root en TLD servers en het hele idee van DNS en recursive DNS is om deze servers te kunnen ontlasten, als iedereen zijn eigen DNS server gaat draaien worden deze servers weer zwaarder belast.
Ik neem aan dat je ook je dhcp server hebt ingesteld met de pihole als dns? Al je clients zijn van slag als deze niet werkt (of je moet een zeer korte TTL instellen). Enkel even op je controller de dhcp server aanpassen (per vlan) lost het niet direct op.
Voordeel met unbound is ook dat je makkelijk DNSSEC kunt gebruiken samen met DNS over TLS/HTTPS, dan kunnen ze ook je verzoeken niet onderscheppen/lezen.
Leuke technieken en kun je lange discussies over hebben
Ik neem aan dat je ook je dhcp server hebt ingesteld met de pihole als dns? Al je clients zijn van slag als deze niet werkt (of je moet een zeer korte TTL instellen). Enkel even op je controller de dhcp server aanpassen (per vlan) lost het niet direct op.
Die snap ik niet, ik heb dit idd alleen in de controller ingesteld per (V)LAN, werkt prima.
Ik denk dat ik minder problemen heb als ik DNS met rust laat
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
