DNS over TLS - Open servers

10 sep 2019, 10:55

Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen en dat probeer ik dan ook te doen via de tot mijn beschikbare middelen.

Na het inschakelen van DNSSEC op mijn pfSense router/firewall (te testen via https://dnssec.vs.uni-due.de/ ) en het aanzetten van het minimaliseren van QNAME informatie (test te vinden op deze blog) bleef er enkel nog het aanschakelen van DNS over TLS (DoT) of HTTPS (DoH) over.
Helaas ondersteunt EDPnet dit nog niet op zijn DNS-servers, dus ben ik op zoek naar een snelle en veilige open DNS-server die in handen van een Europese instantie is. Helaas, ook hier nog geen antwoord op gevonden, dus gebruik ik voorlopig Cloudflare's servers in de hoop dat ik door bovenstaande toch al niet teveel weg geef.

Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?

Sinna · 10 sep 2019, 13:10

Kan https://securedns.eu/ iets voor jou betekenen? Geen idee qua schaal en performance, maar ik geef het toch even mee...

thomasv · 10 sep 2019, 13:31

NuKeM schreef:Iemand tips voor DNS-servers, of is Cloudflare 'ok' bij gebruik van bovenstaande (m.a.w. kan Cloudflare mijn queries gebruiken)?

Cloudflare belooft ip-adressen nooit weg te schrijven naar opslag en alle logs voor de dns-dienst binnen 24 uur te verwijderen. Het bedrijf heeft KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.

Bron: https://tweakers.net/nieuws/145623/clou ... 1-uit.html

CCatalyst · 10 sep 2019, 17:58

thomasv schreef:KPMG opdracht gegeven jaarlijkse audits te verrichten en daar publiek verslag van te doen.

Maar KPMG schrijft ook alleen maar wat CloudFlare wilt dat ze schrijven hoor. Wiens brood men eet...

iktjilp · 10 sep 2019, 18:22

Gebruik hier zelf nextdns en tevreden van. Heel wat zaken zijn zelf in te stellen.

Http://nextdns.io

10 sep 2019, 20:41

Bedankt voor de reacties.
SecureDNS ziet er OK uit, maar is een one man initiatief en één server. Ping is redelijk (in zoverre dat een indicatie is).
NextDNS is in beta en nu nog gratis, maar betreft helaas een Amerikaans bedrijf.

GuntherDW · 10 sep 2019, 21:22

Als je eigenlijk simpelweg een lijst wil van servers welke DNS over TLS/HTTPS ondersteunen heeft dnsproxy een lijstje welke het zelf gebruikt en roteert als je het instelt.

https://dnscrypt.info/public-servers/

Ik persoonlijk heb enkel "no logging, DNS over TLS en DNSSEC" geconfigureerd als requirements, maar dat kan je zelf vrij specifiek instellen zoals je zelf wil, tot enkel specifieke servers.

DarkV · 12 sep 2019, 08:52

https://tweakers.net/nieuws/157192/goog ... iders.html

ringlord · 12 sep 2019, 13:55

Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)

I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.

En is Quad9.net geen goede optie?

Does Quad9 support DNS over TLS?
We do support DNS over TLS on port 853 (the standard) using an auth name of dns.quad9.net.

heist_175 · 12 sep 2019, 14:53

ringlord schreef:Als ik RMerlinDev (Eric Sauvageau) mag quoten (de maker van de router software voor Asus)
I also think that DoH is a bad idea, and the market should go with DoT instead, which is a cleaner design.

Als morgen alle browsers DoH doen, zit je wel vast natuurlijk.

GuntherDW · 12 sep 2019, 15:38

Ik ben zelf ook meer "fan" van DNS over TLS, maar qua firewall en dat soort leuke dingen is DNS over HTTPS natuurlijk iets meer toleranter aangezien "poort 443" iets vaker toegelaten is naar buiten toe dan een "random" port als 853.

DNS over TLS is daarbij dan met iets minder overhead denk ik, al ben ik al blij dat er keuzes zijn. Ik zie het meer als een "tunnel" optie.
Zelf ga ik wel DNS over TLS gebruiken, aangezien ik m'n browser niet zelf DNS lookups ga laten doen maar dat gewoon laat delegeren door m'n systeem z'n DNS resolver.
Die queries worden dan wel afgehandeld door dnscrypt welke ook van deze DNS over TLS gebruikt maakt, maar vooraleer het daar zit heb ik iets meer controle in de chain dan dat m'n browser het gewoon forceert van z'n eigen DNS lookups te doen naar DNS servers.

12 sep 2019, 15:45

En dat onhebbelijk geblokkeer van poorten gaat er op de lange termijn voor zorgen dat alle traffic gaat terechtkomen op poort 443 (en momenteel ook nog 80).
En omdat firewalls slimmer worden, gaat alles ook nog ns geencapsuleerd worden in https pakketjes.
Dit is een echte verscholen arms race geworden.

DarkV · 12 sep 2019, 21:54

NuKeM schreef:Meer en meer wens ik mijn privacy (en die van familieleden) te waarborgen

Volgens mij ben je dan beter af gewoon een DNS server van je provider te gebruiken ipv. een DNS over whatever van een Amerikaans bedrijf.

heist_175 · 13 sep 2019, 07:39

Ware het niet dat je provider
- vermoedelijk trager reageert dan de Amerikaan
- belachelijke beperkingen moet instellen en de Amerikaan niet (bv TPB STOP page)

Al mijn verkeer gaat naar de PiHole en dan naar 1.1.1.1 en die is veel sneller dan de DNS van EDPnet.

13 sep 2019, 07:58

Er zijn alternatieven, maar zeer weinig tot geen 'serieuze' Europese gehost in België. Daardoor moet je al servers in Nederland of elders gaan gebruiken wat een effect heeft op de performance. De CloudFlare server in Brussel is (helaas) de snelste (zelfs sneller dan die van EDPnet dacht ik).
Het zou een mooie zet zijn van een alternatieve provider zoals EDPnet om dit ook op hun servers te activeren.
Rest bij mijzelf nog de vraag, wil ik DoT gebruiken over een niet Europese firma, dan wel een trager Europees alternatief gebruiken of gewoon via EDPnet blijven werken zonder DoT...
Ik zal als ik tijd heb eens een Nederlandse server proberen en kijken of die performance hit ook meetbaar en voelbaar is.

Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.

heist_175 · 13 sep 2019, 08:31

NuKeM schreef:Meten kan met https://www.grc.com/dns/benchmark.htm
Maar dan gewoon lokaal een benchmark tegen mijn resolver, verschillende keren, ingesteld op DoT cloudflare, DoT other, default EDPnet DNS.

Bij mij kwam 1.1.1.1 er telkens als snelste uit en met een behoorlijk verschil nog ook.

iktjilp · 09 mei 2020, 17:43

Hier sinds vandaag volledig netwerk op SecureDNS. Op dit moment nog wel met omweg want zowel mijn AMPLIFI als FritzBox ondersteunen het nog niet.

Heb nu een Raspberry Pi waarop de command line van NextDNS staat te draaien. Deze zorgt voor de caching en dergelijke. Hier draait ook WireGuard op als VPN. Van zodra ik van mijn WiFi ga zet die de verbinding op en blijf ik ook onderweg nog verbonden met mijn thuisnetwerk. Via de DHCP van de FritzBox stuur ik als DNS-server de pi door en die zorgt er voor dat het dan met een beveiligde verbinding verder gaat. En via de logs van NextDNS kan ik zien wat elk toestel doet.

En mocht je liever een andere server gebruiken kan dat ook. Of je kan zelfs het ene toestel met de ene server doen werken en een ander met een andere server. Of je zou de toestellen van je kinderen met een andere configuratie op NextDNS kunnen doen werken dan die van jezelf.

09 mei 2020, 18:14

iktjilp schreef:Hier sinds vandaag volledig netwerk op SecureDNS.

Raar, want op de site van SecureDNS staat:

SecureDNS has been shutdown since the 30th of April 2020. Please do not use SecureDNS anymore.

iktjilp · 12 mei 2020, 20:21

Ik gebruik NextDNS hiervoor zoals ik ook er onder heb geschreven. SecureDNS als dienst kende ik zelfs niet.