Configurare DNS over TLS su Fritz
- Modificato
Secondo me molto dipende dal provider che si usa e dai peering che ha verso i vari dns esterni.
Non uso Google perché qui in Italia ha la sua presenza solo a Milano, ed essendo io di Roma (Tiscali FTTH su rete TIM) mi trovo invece benissimo con cloudflare e quad9: il peering al namex qui a Roma viene sfruttato in maniera egregia e la latenza è ancora inferiore rispetto a quella riscontrata coi dns di Tiscali stessa.
hento qual è la latenza verso quelli di quad9?
E poi la latenza è l’unico fattore che incide oppure incide maggiormente il tempo di risoluzione?
- Modificato
Come puoi vedere, le latenze da Roma sono grosso modo le stesse, però attualmente il fritz sta usando Quad9:
framanzari95 E poi la latenza è l’unico fattore che incide oppure incide maggiormente il tempo di risoluzione?
in linea di massima incide maggiormente il tempo di risoluzione: se hai una bassa latenza verso il dns è meglio ancora.
- Modificato
hento ti ringrazio, purtroppo a me Quad9 risponde dal DE-CIX e non dal NaMeX (sono con Wind).
Fondamentalmente in termini di latenza i più rapidi sono quelli di CF però da quanto ho letto può capitare che con Wind possano avere dei tempi di latenza anche elevati e rispondere da posti molto lontani. Google vorrei evitarlo, Open DNS non supporta DoT così ho ripiegato su AdGuard e Quad9.
- Modificato
framanzari95 purtroppo a me Quad9 risponde dal DE-CIX
peccato.
se può consolarti, ai dns di cloudflare TIM faceva fare l'assurdo giro -tutto interno al seabone- roma - milano - roma.
hento si sa il perché di questi giri poco felici?
politiche di rete, suppongo.
Vedo ora questa discussione, scusate se ne ho aperta una in precedenza (magari si può anche eliminare). Io sto provando a configurare Quad9 su Fritzbox, ma sto avendo problemi: è instabile (salta la connessione ai DNS, vengono ripristinati quelli non criptati) e non credo funzioni in realtà.
Per verificare che effettivamente la connessione ai DNS sia sicura quali strumenti utilizzate voi? Su Windows, anche se posso testare su Linux volendo.
Potrebbe essere l'ISP che crea casini sulla porta usata da quad9 (853) ?
- Modificato
adkilo Con le ultime versioni del Fritz di problemi non ne ho mai avuti, ti consiglio innanzitutto di aggiornareall'ultima versione, quindi di mettere qualche riga in più con quelli di Google e CloudFlare, giusto in caso di backup con le seguenti: dns.google e 1dot1dot1dot1.cloudflare-dns.com.
Considera anche la distanza/ping di dove si trova Quad9, ad esempio dall'E-R con TIM è troppo lento per averlo come primario.
Puoi usare https://1.1.1.1/help
- Modificato
Filippo94
Sì usavo anch'io l'help di Cloudflare e un altro sito. La cosa è strana... in pratica il Fritz mi funzionava in teoria in DoT, ma controllando su quei siti ricevevo un DNS non sicuro, con DNSSEC attivo, ma senza l'uso di TLS... poi dopo un po' mi salta e controllando su Fritzbox mi riportava solo i DNS non criptati (e di conseguenza il resolver DNS non funzionava, dato che avevo disabilitato il fallback).
Mi chiedo se possa esserci qualche problema di configurazione di rete.
Il fatto è proprio che non vorrei usare Google e Cloudflare, per una questione di privacy (anche se su quad9 è difficile avere la certezza assoluta della reale anonimizzazione dei log, si deve comunque andare a fiducia).
Ho provato e ottengo questi valori
DNS ISP - 4ms
Google DNS - 8ms
DNS Quad9 - 18ms
Dici che il problema potrebbe essere questo? In modalità non criptata non noto comunque problemi particolari rispetto ai DNS del provider, ovviamente molto veloci.
- Modificato
fai il test esteso su dnsleaktest.com
io uso quad9 DOT (versione senza filtri con .10 finale) ed esce namex consorzio, questo probabilmente per via del fatto che avendo io Tiscali, viene sfruttato il peering al namex di Roma
hai provato a disattivare "consentire fallback"?
- Modificato
hento
Ciao sì avevo tolto la spunta, infatti poi ricevevo un NXDOMAIN su ogni sito quando andava in blocco.
Nel tuo caso se fai un test su https://1.1.1.1/help cosa vedi?
Mi viene il sospetto che nel tuo caso funzioni perché usi la versione con DNSSEC disattivato.
In serata faccio qualche prova.
PS.
Nel mio caso ricevevo una sfilza di 4-5 IP tedeschi o olandesi (presumo per via dell'IP anycast)... comunque mi sembra strano che tu veda l'IP italiano, non ce ne sono se non erro nella loro rete, ma non sono esperto.
Quello è il normale 1.1.1.1 ma criptato.
adkilo Il fatto è proprio che non vorrei usare Google e Cloudflare, per una questione di privacy
Personalmente, mettere cloudflare o Google come fallback non lo vedo un grosso problema, il primo in particolare.
- Modificato
adkilo no, segue l’ordine (quello più in alto come principale e a seguire quelli sotto in caso di problemi, per poi tornare al principale, con calma, quando torna a funzionare)
Prova a vedere qui: https://developers.cloudflare.com/1.1.1.1/1.1.1.1-for-families?_ga=2.200162603.40948388.1632753458-1876616168.1632753458
- Modificato
adkilo Nel tuo caso se fai un test su https://1.1.1.1/help cosa vedi?
(il nome dell'AS42 woodynet mi fa sorridere.)
