DNS Server wechseln | eigenen Recursive Resolver nutzen

Moinsen,

folgende Frage(n).

Ist es "sinnvoll" die DNS Server von NetCup zu wechseln in meinem Root-Server?

Hab ehrlich gesagt da Anfangs nicht großartig drüber nachgedacht.

Aber ich möchte für mich privat auf meinem Server PiHole und Unbound laufen lassen, um auch unterwegs die Vorzüge davon wie im LAN nutzen zu können.

Jetzt ist meine Frage, ob das sinnig ist, die Standard-Nameserver auf meinem Server auch dahin zu ändern.

Hätte halt den bekannten Vorteil wie halt mit PiHole privat. Und Unbound dazu ist halt auch noch mehr Privatsphäre.

Ist es mit der Performance usw zu empfehlen das zu tun?

Hat jemand ne Ahnung davon, wie sich das ändern der Nameserver auf meinen Server auswirkt?

Ist was zu beachten, wegen lokalen Anfragen usw?

Für hilfreiche Tipps und Erfahrungen bin ich dankbar

MfG ✌🏼

Okey, hab ich mir irgendwie schon gedacht.

Naja lokale Anfragen im Sinne von die Domains usw von NetCup die sowieso dort liegen und auch direkt von denen beantwortet werden.

Aber eigentlich auch irgendwie überflüssig. Fällt mir auch gerade so auf.

Naja extra VPN einrichten, müsste ich Mal schauen. Das hab ich mit Server und Client so noch nicht gemacht bzw. müsste mich darüber informieren.

UDP Reflection Attacks hab ich kein Plan von. Müsste ich auch Mal googlen.

Aber kann ich nicht theoretisch das auch so absichern, dass ich allgemein für alle n DNS anbieten kann?

Ist jetzt zwar nicht mein Plan aber muss ja theoretisch auch gehen.

Wie sollten sonst andere DNS Server anbieten können.

Aber hab da damals schon meine Erfahrungen mit NTP machen dürfen. Hab den ohne viel Erfahrung laufen lassen, und nicht weiter drüber nachgedacht und n 5GBit/s DDoS ausgelöst 😅👍🏼

Naja also da man wohl keine Authentifizierung oder ähnliches machen kann, hab ich mich einfach dazu entschieden automatisch meine IP vom Handy frei zu schalten.

Hab das gerade eben erst umgesetzt. Und funktioniert bis jetzt.

Gibt noch ein paar Verbesserungen die ich machen muss aber ich kann halt den DNS auch so benutzen.

Reicht das nicht auch zum "absichern"?

Hab ich da noch was übersehen?

Muss jetzt nur noch schauen, wie ich meine Heimnetz IP und Mobil IP gleichzeitig freigeschaltet bekomme.

Aber das ist ne reine programmier Geschichte in meinem Script. Da muss ich noch überlegen wie ich das Smart umsetze. Hab zwar schon Ideen aber keine Lust alles doppelt laufen zu haben.

Nochmal um drauf zurück zu kommen auf die DNS Änderung des Servers.

Macht es da denn Sinn das über Unbound/PiHole mitlaufen zu lassen?

Zitat von m_ueberall

dnscrypt, um die direkte, unverschlüsselte Anfrage bei den üblichen Verdächtigen (1.1.1.1, 8.8.8.8, 9.9.9.9) zu umgehen und ggf. vorgenannte Funktionen teilweise bei Dritten zu nutzen).

Das muss ich mir Mal anschauen.

Hoffe dass ich das mit PiHole umgesetzt bekomme. Also bis jetzt läuft das was ich erreichen wollte soweit. Bis auf einen Fehler in der Auflösung von einem bestimmten Service aber den finde ich bestimmt auch noch.

Das einzige Quasi was mir jetzt noch fehlt, ist die Verschlüsselung der Anfragen von meinem Client zu meinem PiHole/Unbound Server.

Also wie halt DoH/DoT zu Cloudflare oder ähnlichen. Nur halt dementsprechend zu mir.

Dann hab ich quasi die Vorzüge von beidem. Also Recursive DNS für mehr Privatsphäre was die Anfragen allgemein an geht und dann die Verschlüsselung vom Client zum Server. Dementsprechend dürfte das wahrscheinlich die "sicherste" bzw. Datenschutz technisch beste Variante sein DNS zu nutzen.

Zitat von TBT

Es ist durchaus sinnvoll, die standardmäßig eingetragenen Netcup DNS Server auf andere zu ändern, deren Betreiber die Sache deutlich besser machen (Netcups DNS Server sind ein Graus, schon seit Monaten/Jahren).

Also außer im Root Server bis jetzt hab ich die eh immer gewechselt.

Hab da beim Root zwar ab und an Mal drüber nachgedacht aber es dann immer nach hinten geschoben, da ich keine Probleme oder ähnliches bemerkt habe und da auch andere Sachen wichtiger waren.

Webhosting hab ich auch erst über NetCup benutzt und dann aber erstmal zum Testen der Funktionen auf Cloudflare umgestellt. Und jetzt ist bei mir Webhosting technisch alles auf Cloudflare. Finde die Funktionen mit Proxy usw. halt auch sehr praktisch.

Und halt was noch ausschlaggebender "gegen" NetCup ist, ist die Tatsache, dass das Update der Einträge teilweise ewig gebraucht hat und die Oberfläche bzw. das einstellen der Einträge bei NC halt nicht wirklich schön ist.

Da ist Cloudflare deutlich besser aufgestellt was das gesamte DNS/Proxy Paket an geht.

Privat hab ich früher Mal Google benutzt und jetzt auch alles nur noch Cloudflare. Mit DoT usw. Aber jetzt da ich Pi-Hole (auch mit Cloudflare) im LAN benutze, hab ich dann Mal geschaut wegen Unbound und Recursive DNS ist halt wohl von der Privatsphäre noch besser, weil ansonsten halt Cloudflare auch alles weiß.

Zitat von TBT

So kannst Du z.B. die Cloudflare, Google oder sonstige öffentliche DNS Server verwenden. Wenn Du Google nicht Deine Daten schenken willst, verwende https://www.cloudflare.com/de-…ning/dns/what-is-1.1.1.1/

Dementsprechend jetzt halt PiHole mit Unbound.

Zitat von TBT

Private DNS Server einzutragen, die hinter einem DSL/Kabelanschluss hoffentlich NICHT öffentlich erreichbar sind, ist technisch (über VPN) zwar theoretisch machbar, aber höchst instabil. Wenn das VPN nicht läuft, gibts keine DNS Auflösung was tonnenweise Probleme verursachen wird.

Wenn ich das richtig verstanden habe, wäre das ja auch total dämlich. Warum sollte ich auf meinem Server meine Pi-Hole oder ähnliches von Zuhause eintragen? Ich meine das genau anders herum. Glaube das hast du falsch verstanden. Oder ich verstehe gerade nicht wie du das meinst.

Also aktuell ist das so, dass ich auf meinem Server die Pi-HoleFTL Software laufen habe, die dann mit Unbound Rekursiv die DNS Anfragen auflöst.

Das ganze nutze ich dann halt auch am Handy, so ist mein Plan.

Damit ich nicht nur alleine in meinem Heimnetz den PiHole verwenden kann.

Zitat von TBT

Wozu man unbedingt auf einem Rootserver (auf der Konsole?) Adblock brauchen sollte, entzieht sich meiner Vorstellung.

Naja AdBlocker brauche ich ja nicht auf meinem Root-Server. Meine Frage war hauptsächlich ob da was gegen Spricht das im Server gleich mit zu nutzen.

Auf der anderen Seite finde ich das persönlich gar nicht Mal so schlecht, zu sehen, welche DNS Anfragen mein Server so schickt und dementsprechend auch ne Übersicht und Statistik gleich mit dabei zu haben. Außerdem kann das blocken von DNS Anfragen auch auf einem Server Sinn machen, denke ich zumindest Mal.

Wenn normal irgendwelche Sachen angefragt werden, mit denen ich nichts zu tun habe, erhält man so einen Überblick. Ist aber wie gesagt halt nicht hauptsächlich für den Server gedacht. Ist nur n extra oben drauf zu meinem eigentlichen Vorhaben.

Alleine jetzt sind mir schon n paar Domains auf meinem Server untergekommen, wo ich mich frage, warum der die überhaupt anfragt. Dementsprechend kann ich das ganze nachschauen, besser nachvollziehen und zusätzlich draus lernen.

MfG

Zitat von perryflynn

Eigener resolver ist easy, sofern man aufpasst das nur bestimmten Servern geantwortet werden darf. Dann gibt's auch kein Problem mit reflection Angriffen.

Ich selbst habe ne ansible Role die einfach auf allen Servern einen Bind als recursive resolver installiert der nur lokal erreichbar ist.

Also mein Server antwortet nur auf meine Heim IP und auf meine Handy IP. Die wird direkt aktualisiert, sobald ich eine neue IP zugewiesen bekomme. Dementsprechend alte Freigabe raus löschen und neue rein packen.

Glaube damit sind so gut wie alle Angriffe ausgeschlossen.

Außer jemand spooft vielleicht gerade genau meine IP die ich aktuell habe an den Server. Aber das ist wohl so unwahrscheinlich.. und würde wohl kaum was bringen. Außerdem ist Rate Limit und ne allgemeine ufw/iptables Regel erstellt, die kaum Datenverkehr nach außen lässt, der nicht explizit gewünscht oder freigegeben ist.

Denke Mal das wird so in Ordnung sein aber lasse mich gerne trotzdem eines besseren belehren. Man kann ja nicht alles wissen oder alle Angriffsvektoren.

Wieso sollte man das so nicht nutzen?

Hast du zufällig da mehr Infos zu?

Also ich packe den ja nicht öffentlich rein oder so. Dafür ist PiHole auch wohl kaum gedacht.

Aber für den Server und 2 Clients die DNS Anfragen aufzulösen kann ja eigentlich kein Problem darstellen.

Es ist ja kein "Public facing DNS".

Also in dem Sinne, dass ich den Service ja nicht öffentlich im Web für alle zur Verfügung stelle. Auf die Idee würde ich auch ehrlich gesagt nicht kommen.

Hab halt schon Mal schlechte Erfahrungen gemacht, wo ich n NTP Server ohne große Erfahrung laufen lassen hatte. Daraus hab ich "gelernt" nichts einfach so frei im Internet verfügbar zu machen.

NetCup hat mir damals wegen dem 5GBit/s DDoS den Server abgedreht. Das passiert mir so definitiv nicht nochmal.

Dazu muss man nochmal zusätzlich sagen, dass NetCup wirklich sehr Kulant und meines Erachtens nach echt gut gehandelt hat. Da NetCup ja einige Leute hat, die sich beschweren wie mit solchen Sachen umgegangen wird.

Hab alles wieder in Ordnung gebracht und dicht gemacht und das auch so vermittelt, mich entschuldigt und das Thema war durch und Server wieder online.

Aber nochmal zurück zum PiHole.

Der läuft maximal auf 2 IP Adressen, die freigeschaltet sind. Alles andere wird schon von ufw/iptables her geblockt. Und zusätzlich halt im Pi-Hole und Unbound Rate Limit usw aktiviert, sodass an sich nicht viele Anfragen raus gehen dürften, wenn trotzdem was passieren könnte.

Dementsprechend kann ja meines Erachtens nach keiner überhaupt den Service online sehen und somit überhaupt auf die Idee kommen das ganze auszunutzen. Und selbst wenn das jemand weiß, das PiHole dort läuft, kann doch trotzdem keiner drauf zugreifen?!

Bin auch am überlegen, wenn ich das gerade noch so lese, zusätzlich noch ne Blockade für alle anderen ausgehenden Verbindungen zu erstellen die Nichts mit meinem Heimnetz Provider zu tun haben.

Also selbst bei Spoofing oder ähnlichem könnte dann ja trotzdem keiner Anfragen an andere Services generieren.

Aber wie oben schon erwähnt, lasse mich gerne eines besseren belehren und würde in dem Fall dann auch um mehr Informationen bitten. Da ich mir nicht wirklich vorstellen kann, wie man ne IP-Freigabe so umgehen kann, dass man da was an stellen kann, ist mehr Info wünschenswert.

MfG ✌🏼

Zitat von TBT

Doch, machst Du ja offensichtlich auf dem Netcup Server. Oder Du hast Dich bisher extrem unklar ausgedrückt. Und in der Tat, PiHole ist nicht dafür gedacht als Open Resolver zu fungieren.

Naja öffentlich und wirklich öffentlich ist wohl noch ein Unterschied.

Oder sind alle Dateien, Scripte und Services die auf den NetCup Server laufen gleich öffentlich? Ich glaube wohl nicht. Ansonsten dürfte man ja gar nichts betreiben.

Anscheinend hab ich mich da wohl noch nicht ganz klar ausgedrückt.

Zitat von TBT

Google "DNS amplification attack" für einen Grund dagegen. Schau Dir DNS amplification DDoS attack | Cloudflare an.

Dazu ein Ausschnitt aus der Seite:

https://www.cloudflare.com/de-de/learning/ddos/dns-amplification-ddos-attack/

Zitat

Reduzieren Sie die Gesamtanzahl offener DNS-Resolver

Eine grundlegende Komponente von DNS-Amplification-Angriffen ist der Zugriff auf offene DNS-Resolver. Wenn schlecht konfigurierte DNS-Resolver dem Internet verfügbar gemacht werden, muss ein Angreifer lediglich einen DNS-Resolver entdecken, um ihn benutzen zu können. Im Idealfall sollten DNS-Resolver ihre Dienste nur Geräten zur Verfügung stellen, die ihren Ursprung innerhalb einer vertrauenswürdigen Domain haben. Im Fall von Reflection-basierten Angriffen antworten die offenen DNS-Resolver auf Abfragen von überall im Internet und lassen möglichen Missbrauch zu. Wenn ein DNS-Resolver so eingeschränkt wird, dass er nur auf Abfragen von vertrauenswürdigen Quellen antwortet, wird der Server zu einem schlechten Vehikel für jeden Amplification-Angriffstyp.

Es sind ja nur meine beiden IP Adressen frei geschaltet.

Zitat von TBT

Sondern? Wenn er auf dem Root bei Netcup läuft, ist er öffentlich.

Es ist ja wie oben schon gesagt nicht gleich öffentlich.

Ich kann alles mögliche auf meinem Server laufen haben, so lange ich kein Port oder Verbindung öffne, ist da ja nichts dran "öffentlich".

Oder verstehe ich gerade nicht wie du das meinst?

Zitat von TBT

Und Du bist erneut auf dem besten Weg dahin.

Noch, wage ich das zu bezweifeln.

Also seit locker 5 Jahren oder mehr hab ich keinerlei Probleme, was die Sicherheit auf meinen Servern an geht. Scheine da wohl bisher nicht mehr ganz so viel verkehrt gemacht zu haben.

Aber Fehler schleichen sich natürlich immer Mal ein.

Zitat von TBT

Und das kommt von jemand, dem o.g. passiert ist...? Sorry wenn ich skeptisch bin.

Naja, finde ich ne doofe Aussage. Jedem passieren Fehler, daraus lernt man halt auch. Deswegen heißt es nicht, dass ich nicht IP Adressen/Ports freigeben oder sperren könnte.

Zitat von TBT

?? Dann kann der Server gar nichts mehr an jemand anderen ausliefern, was den Server quasi nutzlos für andere Anwendungen (z.B. Websites) macht.

Naja nur weil ich z. B. DNS Anfragen zu bestimmten IPs oder Diensten Sperre, sind ja andere Dienste davon nicht zwangsläufig betroffen. Als Beispiel, wenn ich zum Beispiel Cloudflare zum Auflösen von DNS benutze und komplett alle anderen DNS Services sperren würde, könnte ja keine Angriffe mehr entstehen, zumindest an DNS Dienste. Also zumindest von außen. Wenn man natürlich auf dem Server selbst sich rein hacken würde dann wäre eh alles gelaufen.

Zitat von TBT

Wenn sich Deine IP ändert, was passieren wird, wenn Du nicht gerade eine fixe IP hast (beim Mobiltelefon definitiv permanent), wird nichts mehr funktionieren, da Deine Endgeräte keinen DNS Server mehr erreichen können.

Ja die IPs ändern sich, wie bei fast jedem privaten Provider. Dementsprechend halt einfach die neue IP frei schalten und die alte Freigabe raus löschen. Schon läuft alles weiter.

Zitat von TBT

Deine Infos sind so schwammig, dass Du erst mal mehr Infos über das Vorhaben liefern solltest, bevor wir mehr Infos geben (können).

Entschuldige bitte, wenn ich mich anscheinend so unklar ausgedrückt habe.

Dachte eigentlich, dass man das oben so versteht.

Naja nochmal kurz und knackig:

Root-Server: PiHole mit Unbound im Hintergrund.

Client gibt IP von sich preis, diese wird auf dem Server für DNS freigegeben.

(Da nochmal zur Sicherheit) - Daten verschlüsselt, mit Passwort gesichert, getrennt von dem Rest. Damit nicht einfach irgendwer ne IP freigeben kann.

ufw allow from IP proto UDP to any port 53

Danach funktioniert die DNS Auflösung.

Hoffe, dass es ein wenig verständlicher wird.

Wie gesagt generell ist Port 53 dicht. Nur die IPs die ich freigebe, können überhaupt auf den PiHole Service zugreifen.

Standard-Port hatte ich auch geändert gehabt auf einen eigenen, ist aktuell nur zur Kompatibilität auf 53 zurück gestellt.

Macht wahrscheinlich durch die Art der Freigabe eh keinen wirklichen Unterschied.

MfG ✌🏼

Zitat von computerwuffi

Aus leidvoller Erfahrung mit Netcup Nameservern kann ich unter bestimmten Umständen andere DNS empfehlen. Insbesondere wenn du einen Mailserver (als einziges vorhandenes Mailkonto betreibst) Da beißt sich die Katze in den Schwanz wenn dieser auf Grund von DNS-Problemen - die bei Netcup sporadisch vorkommen - nicht erreichbar ist. Dann meldest du womöglich eine Störung bei Netcup, die aber leider nicht bearbeitet werden kann, da sie nicht von dem bei Netcup hinterlegten EMail-Konto kommt, welches jedoch wegen der Störung nicht funktioniert. Pech gehabt - ist mir leider mehrmals passiert.

Okey, das ist natürlich ärgerlich aber eigentlich auch selbsterklärend, für solche Sachen immer n E-Mail Provider zu nehmen der getrennt davon ist.

Zitat von cltrmx

Ich denke das wurde im Forum schon zur Genüge empfohlen: Die Email-Adresse, welche bei Hostern/ISPs hinterlegt ist, sollte immer unabhängig der Anbieter sein.

Eigentlich selbsterklärend und logisch.

Zitat von TBT

Puh, wie unpraktisch! D.h. Du willst nach jedem IP Wechsel erst mal den Client freigeben? Wie stellst Du Dir das auf einem mobilen Endgerät vor, wo sich die IP ständig ändert und nur begrenzt SSH Möglichkeiten vorhanden sind? Wie "gibt der Client die IP von sich preis"? Bis diese Änderung nicht durch ist, können entsprechend konfigurierte Clients ausschließlich IP Adressen erreichen.

Naja unpraktisch ist ja relativ.

Also bis jetzt läuft das frei schalten ohne Probleme, da ich ja ne direkte Verbindung per IP nutzen kann. Mein Server hat ja ne feste IP. Auf dem Handy gibt's Apps, die Sachen automatisieren. Zur Not könnte man auch selbst eine entwickeln. Aber nutze schon länger eine um gewisse Sachen automatisch auszuführen und die habe ich dafür jetzt einfach mit genutzt.

Also das sehe ich nicht unbedingt als Problem. Funktioniert ja bei mir ohne irgendwelche Fehler.

Nutze ja auch nur ich. Wie praktikabel das ist, ist ja für andere uninteressant. Soll ja nur für mich sein.

Die Änderung ist in maximal 1 Minute durch.

Zitat von TBT

Puh, wie unpraktisch! D.h. Du willst nach jedem IP Wechsel erst mal den Client freigeben? Wie stellst Du Dir das auf einem mobilen Endgerät vor, wo sich die IP ständig ändert und nur begrenzt SSH Möglichkeiten vorhanden sind? Wie "gibt der Client die IP von sich preis"? Bis diese Änderung nicht durch ist, können entsprechend konfigurierte Clients ausschließlich IP Adressen erreichen.

Zitat von TBT

Du lässt Dich offensichtlich weder von den Entwicklern von Pi Hole (!), noch von besseren (lokalen) Alternativen noch von uns von diesem Vorhaben abhalten. Daher sag ich: renn doch ins Verderben wenn Du ein Tool nicht bestimmungsgemäß verwendest. Aber komm nicht hierher, wenn Dich Netcup wegen einer DNS Amplification Attacke sperrt.

Naja zum Teil schon, und mache mir da auch Gedanken drüber und nehme das Ernst, so ist es nicht. Mir erschließt sich nur keine Angriffsmöglichkeit, wenn nur ich auf den Service zugreifen kann.

Dementsprechend hat mich bis jetzt noch nichts überzeugt, das ganze zu lassen.

Ich werde gerne darüber berichten, wie das ganze Läuft und welche Probleme evtl. doch aufgetreten sind.

Zum Thema, wenn NetCup da irgendwelche Probleme bemerkt und das sperrt, brauche ich ja auch nicht im Forum dafür irgendwas zu schreiben.

Das ist dann ja ne Sache zwischen NetCup und mir. Das gehört ja an sich nicht in ein Forum, wo dann eh keiner was machen kann.

Erkläre mir bitte wie IPTables umgangen werden kann. Aber dann kann ich am besten komplett das Hosting von Servern aufgeben, sowie jeder andere auch. Also zumindest in dem Fall so wie geschildert.

Sehe da halt keine Möglichkeit dran zu kommen an PiHole und das ganze in irgendeiner Form auszunutzen.

Würde ich den Port einfach offen lassen für alle, könnte ich deine Argumentation voll und ganz nachvollziehen und dir auch Recht geben. Aber in dem Fall, wie gesagt, kein Plan wie da jemand ne Angriff starten sollte.

Das würde mich halt noch sehr interessieren.

Ansonsten renn ich halt ins Verderben, weil anscheinend keiner ne Ahnung davon hat, wie man mich sinnvoll überzeugen kann, dass ganze zu lassen.

Dann hätten alle meine Webserver und Webseiten sowie alle anderen Dienste ja auch schon in den 5 Jahren gehackt werden müssen, da ja IPTables und Portfreigabe nichts bringt, weil alles öffentlich wäre.

Verstehe ich ehrlich gesagt nicht.