kostenloser Webspace werbefrei: lima-city


Router mit DNS double Check?

lima-cityForumHeim-PCNetzwerke

  1. Autor dieses Themas

    mprev

    mprev hat kostenlosen Webspace.

    Hallo,

    Nachdem jetzt grad mal wieder DNS Sperren in den Medien waren hatte ich eine Idee ..
    oder eher Frage.

    Gibt es auf den WRT Routern eine Möglichkeit mehrere (zB Zwei) DNS Server ein zu tragen.
    Bei einer DNS Abfrage sollte dann der Primäre und Secundäre DNS abgefragt werden,
    das Ergebnis wird vergleichen und bei Abweichen wird ins log eingetragen + ein E-Mail an die Administrator Mail Adresse (vom Router) gesendet.

    Gibt es dafür ein Tool auf einem der freien Router BetriebsSystemen?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hallo :wave:

    WRT = Linux = kann theoretisch alles. Ob das aber so einfach geht, wage ich mal zu bezweifeln. Auch zweifel ich stark an dem Nutzen von so etwas. Warum nicht einfach einen DNS Server verwenden, der garantiert nicht zensiert wird?

    Wenn, dann würde ich mir vielleicht ein Browser Plugin basteln, welches bei jedem Aufruf einer Webseite noch einen alternativen DNS Server nach der IP Adresse fragt.

    Aber ob das was bringt? Verschiedene DNS Server können unter Umständen verschiedene IP Adressen zurückgeben, ohne dass die gewünschte Seite davon beeinflusst wird.

    Beispiel Google:

    ;; ANSWER SECTION:
    google.com. 300 IN A 173.194.70.139
    google.com. 300 IN A 173.194.70.100
    google.com. 300 IN A 173.194.70.101
    google.com. 300 IN A 173.194.70.102
    google.com. 300 IN A 173.194.70.113
    google.com. 300 IN A 173.194.70.138


    google.com@8.8.4.4 (Default):

    google.com. 299 IN A 173.194.46.32
    google.com. 299 IN A 173.194.46.33
    google.com. 299 IN A 173.194.46.37
    google.com. 299 IN A 173.194.46.34
    google.com. 299 IN A 173.194.46.41
    google.com. 299 IN A 173.194.46.38
    google.com. 299 IN A 173.194.46.39
    google.com. 299 IN A 173.194.46.46
    google.com. 299 IN A 173.194.46.40
    google.com. 299 IN A 173.194.46.35
    google.com. 299 IN A 173.194.46.36


    Da auf vielen Seiten Inhalte von Google sind, hättest du schon alleine deswegen massig E-Mails. Es gibt natürlich noch weitaus mehr Webseiten mit CDN, bei denen das nicht funktionieren würde.

    mfg :wave:
  4. Autor dieses Themas

    mprev

    mprev hat kostenlosen Webspace.

    WRT = Linux = kann theoretisch alles.

    Sowas liebe ich immer ...

    Warum nicht einfach einen DNS Server verwenden, der garantiert nicht zensiert wird?

    Der da wäre? Von welchem DNS glaubst du den zu wissen, das er nicht zensiert wird?

    Wenn, dann würde ich mir vielleicht ein Browser Plugin basteln, welches bei jedem Aufruf einer Webseite noch einen alternativen DNS Server nach der IP Adresse fragt.

    Wieso gerade Browser Plugin?
    Das deckt ja nur einen Teil der DNS abfrage ab.

    Aber ob das was bringt? Verschiedene DNS Server können unter Umständen verschiedene IP Adressen zurückgeben, ohne dass die gewünschte Seite davon beeinflusst wird.

    Vermutlich ist es optimierungs-würdig wie das generell zu laufen hätte.
    Daher eher auch erst mal in ein Log, um eben Ungereimtheiten untersuchen zu können.
    Nicht alle nutzen CDN und für die könnte man dann ja Pools der IP anlegen (natürlich algorithmisch), bevor sie als verdächtig markiert werden.
  5. hm, du müsstest den DNS-Client deines Routers umschreiben, weil der nach dem Prnzip first comes, first wins arbeitet. und was ist, wenn einer der DNS-Server nciht erreichbar ist? Wenn du das nicht berücksichtigst dabei, erreichst du draußen niemanden... du könntest auch 2 getrennt voneinander geführte DNS-Listen führen, die dann intern abgleichen. So oder so wirst du spürbare Performance-Einbußen spüren... außerdem: wenn der eine DNS deines Providers kompromittiert ist oder einen Kompromittierten eintrag bekommt, kannst du ganz sicher davon ausgehen, dass es der andere nach einer gewissen Zeit den kompromittierten Eintrag auch hat. und bei diskrepanzen in den Antworten, was willst du da machen? im endeffekt kommst du da an, dass du dir den Client selbst schreibst... und wenn da was schief läuft, kommst du über die verbindung nicht mehr zu uns online, um uns um Hilfe zu fragen... außerdu merkst dir die google-IP/lima-IP
  6. Hallo :wave:

    mprev schrieb:
    Sowas liebe ich immer ...

    Was? Mit Linux kannst du wirklich alles machen, es hängt halt von deinen Programmierkenntnissen ab. ;)

    mprev schrieb:
    Der da wäre? Von welchem DNS glaubst du den zu wissen, das er nicht zensiert wird?

    Also entschuldige mal, es gibt genügend DNS Server von Freiheitsorganisationen. Zudem merkt man ja wohl, wenn statt einer Webseite eine Fehlermeldung auftaucht und kann dann ganz einfach einen anderen DNS Server verwenden. Du kannst aber auch einfach selber einen DNS Server aufsetzen.

    Überhaupt, was ist Zensur für dich? Die Zensur des Internets ist unmöglich, weil es dezentral ist. Nicht einmal in China gelingt das, mit VPN (= inkl. eigenem/ausländischem DNS Server) funktioniert alles wunderbar ohne Einschränkungen. Selbst wenn vor Wahlen die VPN Protokolle blockiert werden, kann man ganz einfach den Stream in einen Tunnel verpacken. Da müsste man schon jegliche verschlüsselte Verbindung blockieren (was nicht so einfach ist), oder den Stecker zum Ausland ziehen -> man kann das Internet gleich abschalten.

    mprev schrieb:
    Wieso gerade Browser Plugin?
    Das deckt ja nur einen Teil der DNS abfrage ab.

    Wo spielt denn Zensur sonst noch eine Rolle, außer im Browser? Das wären ja wohl höchstens theoretische Szenarien.
    Den ganzen Traffic zu analsysieren ist weitaus schwieriger als etwas wie "if (websiteöffnen) { check DNS 1+2; inslogschreiben;}"

    mprev schrieb:
    Vermutlich ist es optimierungs-würdig wie das generell zu laufen hätte.
    Daher eher auch erst mal in ein Log, um eben Ungereimtheiten untersuchen zu können.
    Nicht alle nutzen CDN und für die könnte man dann ja Pools der IP anlegen (natürlich algorithmisch), bevor sie als verdächtig markiert werden.


    Nicht alle, aber immer mehr (Cloudflare, Amazon, OVH,..). Man kann keinen algorithmischen Pool anlegen. Vielleicht wenn die IPs in der selben range liegen, aber das tun sie natürlich nicht immer.

    TL;DR: Du hast 2 einfache Möglichkeiten:
    1. Browser Plugin schreiben (suboptimal wegen CDNs)
    2. Selbst einen DNS Server aufsetzen. Das geht pupseinfach mit bind.

    Es gibt aber noch viel mehr Dinge, die überwacht und unter Umständen zensiert werden, oder es drohen Repressionen wenn du etwas "falsches" schreibst/machst. Sei es Cloudspeicher, CardDAV/CalDAV, E-Mail, soziale Netzwerke, instant messenger, Metadaten generell. Wenn du dem zumindest teilweise entgehen möchtest, musst du schon alles selbst betreiben.

    mfg :wave:
  7. Selbst einen DNS aufsetzen geht zwar wirklich recht einfach, nützt in diesem Falle aber wenig.
    Wo bekommt denn Dein DNS seine Informationen her? :-)
  8. Hallo :wave:

    luftloch schrieb:
    Selbst einen DNS aufsetzen geht zwar wirklich recht einfach, nützt in diesem Falle aber wenig.
    Wo bekommt denn Dein DNS seine Informationen her? :-)


    Von den root nameservern.

    http://www.internic.net/domain/named.root

    mfg :wave:
  9. Sicher kann man das machen, ist aber nicht Sinn der DNS-Hierarchie.
    Dann kannst Du die aber auch gleich in Deinem Router eintragen.
  10. Hallo :wave:

    luftloch schrieb:
    Sicher kann man das machen, ist aber nicht Sinn der DNS-Hierarchie.
    Dann kannst Du die aber auch gleich in Deinem Router eintragen.


    Ich glaube eher du verstehst nicht, wie DNS funktioniert. ;)

    mfg :wave:
  11. Oh, ich habe viele Jahre das Netz inkl. vollwertigem NS eines kleinen ISP betreut - ich denke so ansatzweise kenne ich mich schon aus.
  12. Hallo :wave:


    luftloch schrieb:
    Oh, ich habe viele Jahre das Netz inkl. vollwertigem NS eines kleinen ISP betreut - ich denke so ansatzweise kenne ich mich schon aus.


    Aha, kannst aber nicht einmal DNS und NS auseinander halten. o.O Da fragt man sich doch..


    Liegt eine DNS-Abfrage vor, so versucht BIND, sie anhand der Einträge in den Zonendateien aufzulösen. Bei unbekannten Domainnamen (Anfragen für nicht-authoritative Hostnamen) wird in der Regel zunächst der eigene, dann der Cache der Forwarder überprüft und zuletzt eine rekursive Auflösung über die Root-Server versucht.

    https://de.wikipedia.org/wiki/BIND

    ^ Das macht ein DNS server.

    mfg :wave:
  13. Sorry, aber da wir die Domains unserer Kunden verwaltet und gehostet haben meinte ich selbstredend DNS, aber wenn Du Dich an der Nomenklatur festbeißen willst...
    Ändert nur nichts an meiner vorhergehenden Aussage über die Sinnhaftigkeit bei jedem Endgerät gleich einen der Rootserver einzutragen und das gilt selbstredend auch für einen lokalen DNS.
    Aber zurück zum Thema DNS-Sperren: So langsam hat sich doch auch bei den Obrigkeiten die Wirkungslosigkeit herumgesprochen und es wird weitgehend auf diesen Blödsinn verzichtet.
  14. Hallo :wave:


    luftloch schrieb:
    Sorry, aber da wir die Domains unserer Kunden verwaltet und gehostet haben meinte ich selbstredend DNS, aber wenn Du Dich an der Nomenklatur festbeißen willst...

    Nein, will ich nicht, es klang nur wie ein authoritativer nameserver (und tut es auch immer noch).

    luftloch schrieb:
    Ändert nur nichts an meiner vorhergehenden Aussage über die Sinnhaftigkeit bei jedem Endgerät gleich einen der Rootserver einzutragen und das gilt selbstredend auch für einen lokalen DNS.

    Ich sprach von Anfang an von einem DNS >Server< und ein DNS Server schickt nunmal queries an die root server, egal ob lokal installiert oder auf einem dedizierten Server. Ich habe so das Gefühl, du verstehst nicht so ganz wovon ich rede (authoritativ/lokal Sinnbezug? + Unverständnis gegenüber Zensurfreiheit eines eigenen DNS Servers).

    luftloch schrieb:
    Aber zurück zum Thema DNS-Sperren: So langsam hat sich doch auch bei den Obrigkeiten die Wirkungslosigkeit herumgesprochen und es wird weitgehend auf diesen Blödsinn verzichtet.

    Deswegen bezweifelte ich ja die Sinnhaftigkeit des Plans des TE. Wer aber sowieso einen oder mehrere dedizierte Server hat, der kann ja problemlos einen eigenen DNS Server + VPN + Tunnel betreiben und lebt für immer frei von Zensur. So wie ich zum Beispiel. ;)

    mfg :wave:
  15. Autor dieses Themas

    mprev

    mprev hat kostenlosen Webspace.

    MmN hilft ein eigener DNS genau null. Wieso sollte die Root nicht zensierbar sein?
    Genau so die von irgendwelchen Organisationen.

    Außerdem wird DNS nicht nur für das www verwendet. "Jedes" Protokoll fährt damit.
    Zensur ist übrigens nicht nur wenn man Info komplett ausblendet ...

    In China klappt es mit den VPNs übrigens nicht so rosig wie manche glauben,
    denn die werden sehr wohl auch komplett geblockt (Ich weiß nicht ob alle, wie).

    Aber das mit den CDN stimmt wohl und ist in der tat ein Blödsinn ...
  16. Hallo :wave:

    mprev schrieb:
    MmN hilft ein eigener DNS genau null. Wieso sollte die Root nicht zensierbar sein?
    Genau so die von irgendwelchen Organisationen.

    Außerdem wird DNS nicht nur für das www verwendet. "Jedes" Protokoll fährt damit.
    Zensur ist übrigens nicht nur wenn man Info komplett ausblendet ...

    In China klappt es mit den VPNs übrigens nicht so rosig wie manche glauben,
    denn die werden sehr wohl auch komplett geblockt (Ich weiß nicht ob alle, wie).

    Langsam wird es mir zu blöd. :wink:

    Kurzfassung:
    Deine beste Option ist ein eigener DNS Server, der ordentlich cacht, eventuell auf Basis von alternativen root servern. Wenn du das mit einem VPN und im Notfall mit einem Tunnel kombinierst, kannst du in jedem Land der Erde ohne Zensur surfen, ob du das wahr haben willst oder nicht, spielt keine Rolle.

    Wenn du der Meinung bist, dass ALLE offiziellen UND freien root server zensiert werden UND DNSSEC ausgehebelt wurde, dann ziehe bitte den Netzwerk Stecker und vergiss den Aluhut nicht.

    mfg :wave:
  17. Autor dieses Themas

    mprev

    mprev hat kostenlosen Webspace.

    voloya schrieb:
    Deine beste Option ist ein eigener DNS Server, der ordentlich cacht, eventuell auf Basis von alternativen root servern. Wenn du das mit einem VPN und im Notfall mit einem Tunnel kombinierst, kannst du in jedem Land der Erde ohne Zensur surfen, ob du das wahr haben willst oder nicht, spielt keine Rolle.

    Auch wenn ich nicht in China lebe, aber dort werden sehr wohl auch VPNs gebrochen.
    Auch wenn du dass nicht wahrhaben willst ...

    Und wenn du den Unterschied zwischen der von mir skizzierten Verfahren (und der theoretischen Umsetzung) und einem eigenen DNS nicht verstehst, ... naja machts auch nichts.
  18. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!