DNS-Server - aber welcher?

[BenutzerGa4gooPh]

Hallo liebe Forenmitglieder,

ich mache mir Gedanken über die Nutzung des DNS-Systems. Derzeit benutze ich für den Resolver im Router die oeffentlichen Server von:

Digitalcourage: 85.214.20.141
Chaos Computer Club: 213.73.91.35

entsprechend https://www.kuketz-blog.de/dns-unzensie ... ollierung/
bzw. http://www.ccc.de/censorship/dns-howto/

Ich ueberlegte, einen DNS-Server zu verwenden, der bekannte Malware- und Tracking-Domains ausklammert. Wäre m. E. eleganter, als Blocklisten (uBlockOrigin) zu verwenden.

OpenDNS Home käme evtl. in Frage, Filter will ich selber konfigurieren. Passt nicht wegen Privacy-Statement (nach "Sign up")
https://www.opendns.com/home-internet-security/
https://de.m.wikipedia.org/wiki/OpenDNS
Okay, abgeschminkt. Klappt wohl doch nur mit DNS-Blocklisten für Browser oder Router/Firewall.

Die Statements zu diesen Servern klingen auch vernünftig (ohne Filter):
https://wiki.opennic.org/start
https://de.m.wikipedia.org/wiki/OpenNIC

Somit möchte ich mal fragen, welche oeffentlichen DNS-Server ihr so benutzt und warum. Ist DNSSec ein Thema?
https://de.m.wikipedia.org/wiki/Domain_ ... Extensions

[sbruder]

Ich benutze unbound zusammen mit dnsmasq auf meinem NAS/HP Microserver. Der unbound agiert als recursing dns server (ist bei der ersten Anfrage dann etwas langsamer). dnsmasq benutzt unbound als DNS-Server und hat zusätzlich noch DNS-Blocklisten. Auf den dnsmasq greifen dann alle Netzwerkgeräte zu.
Eventuell könnte man ja den unbound durch die zwei erwähnten DNS-Server (CCC und Digitalcourage; benutze ich außerhalb meines Netzwerks) ersetzen, und trotzdem eine DNS-Blockliste vorschalten.
Zu DNSSSEC: unbound kann das, benutze ich aber nicht.

[wolfn]

Ich habe seit einiger Zeit auf meinem Raspi den unbound mit dnssec laufen gemäß der Anleitung in der ct 12/2017. Bin damit vor ein paar Tagen auf einen Raspi3 umgezogen und bisher sehr zufrieden.
Die ct hat gleich ein paar Voreinstellungen mitgeliefert, z.B. neutrale DNS-Server und sowas alles.
Beim Umzug habe ich noch eine Blacklist eingebaut mit etlichen 'Bad-Servers', scheint auch problemlos zu gehen. CPU-Last ist kaum zu bemerken, wenn nur 2-3 Leute hantieren.
Ist eigentlich total easy, nur meine lokale (inoffizielle) Domain habe ich noch nicht hinbekommen.

[BenutzerGa4gooPh]

Ich benutze unbound zusammen mit dnsmasq auf meinem NAS/HP Microserver. Der unbound agiert als recursing dns server (ist bei der ersten Anfrage dann etwas langsamer). dnsmasq benutzt unbound als DNS-Server und hat zusätzlich noch DNS-Blocklisten. Auf den dnsmasq greifen dann alle Netzwerkgeräte zu.

Oh, unbound und dnsmasq als forwarder darauf.

Eventuell könnte man ja den unbound durch die zwei erwähnten DNS-Server (CCC und Digitalcourage; benutze ich außerhalb meines Netzwerks) ersetzen, und trotzdem eine DNS-Blockliste vorschalten.

Da habe ich wohl mit meinen momentanen oefferntlichen DNS nix falsch gemacht.

Ich habe seit einiger Zeit auf meinem Raspi den unbound mit dnssec laufen gemäß der Anleitung in der ct 12/2017. Bin damit vor ein paar Tagen auf einen Raspi3 umgezogen und bisher sehr zufrieden.

Noch einer mit DNS auf extra Hardware (also nicht auf dem Router) ...
Vielleicht interessant zum Raspi: https://www.administrator.de/wissen/net ... 91718.html

Die ct hat gleich ein paar Voreinstellungen mitgeliefert, z.B. neutrale DNS-Server und sowas alles.

Will mir auch ein oder zwei der letzten Ausgaben zu Netzwerktechnik besorgen. Einen kleinen Homeserver ueberlege ich schon länger. Mal sehen ob es Raspi oder sparsamer amd64 wird. Für Netzwerkmonitoring und DNS und https://www.kuketz-blog.de/pi-hole-schw ... -pi-teil1/ und Basteleien.

Danke für eure Erfahrungen und Designs.

[wolfn]

Noch einer mit DNS auf extra Hardware (also nicht auf dem Router) ...
Vielleicht interessant zum Raspi: https://www.administrator.de/wissen/net ... 91718.html

Ja, das hat sich bei mir eher zufällig entwickelt. Der Raspi war sowieso schon da (hat meine USV überwacht und diverse Meßstellen am I2C-Bus, da bot sich das eben an. Router geht hier sowieso nicht - Zwangsrouter...
Aber inzwischen ist der alte Raspi bald zusammengebrochen, deshalb die 3er Version.
Muß sagen, für 7/24 ist der mit 2-5W je nach Last kaum zu toppen, vom Preis sowieso und so ein paar Jobs stemmt der locker (bei mir).
Die oft erwähnte Langsamkeit bei I/O auf der SD-Karte kann ich bei solchem Betrieb nicht bestätigen,
habe viel xosview mitlaufen lassen und recht wenig iowait beobachtet. Hängt gewiß vom Betriebsregime ab.

Deine oben zitierte Seite habe ich schon seit Wochen offen und allerhand Tips dort gefunden, aber trotzdem Danke!

In der ct-config bedient sich der unbound übrigens bei solchen und noch anderen Servern, die dadurch viel weniger belastet werden, als wenn man sie direkt im PC usw. einträgt.

[Dogge]

Benutze dnscrypt.is (natürlich mit dnscrypt )