Skip to main content
Frage

DNSSEC auch für „Home“ DNS? DoT & DoH von A1?

N
Coach
Forum|alt.badge.img+2
Warum beherrschen die DNS für Home User kein DNSSEC?
host DNSSEC AD Flag
195.3.96.67 ns1.aon.at. no
195.3.96.68 ns2.aon.at. no
213.33.98.136 ns3.aon.at. no

213.33.99.70 res1.a1.net. yes
80.120.17.70 res2.a1.net. yes

Was ist mit einem DoT & DoH Angebot seitens A1?
Liebe Grüße „netzguru“

6 Antworten

jo93
Genie
Forum|alt.badge.img+8
  • jo93
  • Genie
  • 4066 Antworten
  • 17. September 2019
Weil A1 den einen oder anderen DNS Eintrag manipuliert hat und das würde mit DNS sec Probleme machen.
Aktuelles Setup: Technicolor CGA4233 mit einer virtualisierten pfSense und einmal virtualiserten OpenWRT für VPN, zwei Unifi AP AC Pro & ein Unifi AP AC Lite für WLAN
N
Coach
Forum|alt.badge.img+2
  • netzguru
  • Autor
  • Coach
  • 290 Antworten
  • 17. September 2019
Genau solche Manipulation sind nicht wünschenswert.

DNSSEC sollte endlich durchgehend Stand der Technik sein.

Das würde auch bedeuten DNS über TCP 53
Liebe Grüße „netzguru“
jo93
Genie
Forum|alt.badge.img+8
  • jo93
  • Genie
  • 4066 Antworten
  • 17. September 2019
Naja, A1 muss diese Manipulationen durchführen.
Aktuelles Setup: Technicolor CGA4233 mit einer virtualisierten pfSense und einmal virtualiserten OpenWRT für VPN, zwei Unifi AP AC Pro & ein Unifi AP AC Lite für WLAN
N
Coach
Forum|alt.badge.img+2
  • netzguru
  • Autor
  • Coach
  • 290 Antworten
  • 17. September 2019
Ich weiß .... Urheberrecht oder so ähnlich ....
Aber wenn ich BIND named DNSSEC (als Cache & Resolve) richtig verstehe, würde das nur die betroffenen Domänen (Zonen) tangieren nur bei denen würde das ad Flag fehlen.

Bei NLnet Labs unbound (reiner Cache & Resolve DNSSEC) wird es kaum anders sein. Bei dem geht das Umleiten noch einfacher als bei BIND named - diesen hatte ich schon mal testhalber lokal laufen.

Und sind die Bussinnes DNSSEC denn nicht gefiltert?
Mir fällt grad keine gesperrte Domäne ein um es testen zu können.
213.33.99.70 res1.a1.net. yes
80.120.17.70 res2.a1.net. yes
Liebe Grüße „netzguru“
N
Coach
Forum|alt.badge.img+2
  • netzguru
  • Autor
  • Coach
  • 290 Antworten
  • 17. September 2019
Aus meiner Test unbound.conf (mit BIND named gehts nicht so einfach, aber doch)
code:
# ads blocked   
   local-zone: "doubleclick.net" redirect
   local-data: "doubleclick.net A 127.0.0.1"
   local-zone: "googlesyndication.com" redirect
   local-data: "googlesyndication.com A 127.0.0.1"
   local-zone: "googleadservices.com" redirect
   local-data: "googleadservices.com A 127.0.0.1"
   local-zone: "google-analytics.com" redirect
   local-data: "google-analytics.com A 127.0.0.1"
   local-zone: "ads.youtube.com" redirect
   local-data: "ads.youtube.com A 127.0.0.1"
   local-zone: "adserver.yahoo.com" redirect
   local-data: "adserver.yahoo.com A 127.0.0.1"
Liebe Grüße „netzguru“
N
Coach
Forum|alt.badge.img+2
  • netzguru
  • Autor
  • Coach
  • 290 Antworten
  • 17. September 2019
Im Ernst - welche Domänen sind denn aktuell gesperrt?
Liebe Grüße „netzguru“

Antworten


Beliebte Nutzer

Allgemeine Nutzungsbedingungen