- Modificato
framanzari95 purtroppo a me Quad9 risponde dal DE-CIX
peccato.
se può consolarti, ai dns di cloudflare TIM faceva fare l'assurdo giro -tutto interno al seabone- roma - milano - roma.
Configurare DNS over TLS su Fritz
hento si sa il perché di questi giri poco felici?
politiche di rete, suppongo.
2 mesi dopo
Vedo ora questa discussione, scusate se ne ho aperta una in precedenza (magari si può anche eliminare). Io sto provando a configurare Quad9 su Fritzbox, ma sto avendo problemi: è instabile (salta la connessione ai DNS, vengono ripristinati quelli non criptati) e non credo funzioni in realtà.
Per verificare che effettivamente la connessione ai DNS sia sicura quali strumenti utilizzate voi? Su Windows, anche se posso testare su Linux volendo.
Potrebbe essere l'ISP che crea casini sulla porta usata da quad9 (853) ?
- Modificato
adkilo Con le ultime versioni del Fritz di problemi non ne ho mai avuti, ti consiglio innanzitutto di aggiornareall'ultima versione, quindi di mettere qualche riga in più con quelli di Google e CloudFlare, giusto in caso di backup con le seguenti: dns.google e 1dot1dot1dot1.cloudflare-dns.com.
Considera anche la distanza/ping di dove si trova Quad9, ad esempio dall'E-R con TIM è troppo lento per averlo come primario.
Puoi usare https://1.1.1.1/help
- Modificato
Filippo94
Sì usavo anch'io l'help di Cloudflare e un altro sito. La cosa è strana... in pratica il Fritz mi funzionava in teoria in DoT, ma controllando su quei siti ricevevo un DNS non sicuro, con DNSSEC attivo, ma senza l'uso di TLS... poi dopo un po' mi salta e controllando su Fritzbox mi riportava solo i DNS non criptati (e di conseguenza il resolver DNS non funzionava, dato che avevo disabilitato il fallback).
Mi chiedo se possa esserci qualche problema di configurazione di rete.
Il fatto è proprio che non vorrei usare Google e Cloudflare, per una questione di privacy (anche se su quad9 è difficile avere la certezza assoluta della reale anonimizzazione dei log, si deve comunque andare a fiducia).
Ho provato e ottengo questi valori
DNS ISP - 4ms
Google DNS - 8ms
DNS Quad9 - 18ms
Dici che il problema potrebbe essere questo? In modalità non criptata non noto comunque problemi particolari rispetto ai DNS del provider, ovviamente molto veloci.
- Modificato
fai il test esteso su dnsleaktest.com
io uso quad9 DOT (versione senza filtri con .10 finale) ed esce namex consorzio, questo probabilmente per via del fatto che avendo io Tiscali, viene sfruttato il peering al namex di Roma
hai provato a disattivare "consentire fallback"?
- Modificato
hento
Ciao sì avevo tolto la spunta, infatti poi ricevevo un NXDOMAIN su ogni sito quando andava in blocco.
Nel tuo caso se fai un test su https://1.1.1.1/help cosa vedi?
Mi viene il sospetto che nel tuo caso funzioni perché usi la versione con DNSSEC disattivato.
In serata faccio qualche prova.
PS.
Nel mio caso ricevevo una sfilza di 4-5 IP tedeschi o olandesi (presumo per via dell'IP anycast)... comunque mi sembra strano che tu veda l'IP italiano, non ce ne sono se non erro nella loro rete, ma non sono esperto.
Quello è il normale 1.1.1.1 ma criptato.
adkilo Il fatto è proprio che non vorrei usare Google e Cloudflare, per una questione di privacy
Personalmente, mettere cloudflare o Google come fallback non lo vedo un grosso problema, il primo in particolare.
- Modificato
adkilo no, segue l’ordine (quello più in alto come principale e a seguire quelli sotto in caso di problemi, per poi tornare al principale, con calma, quando torna a funzionare)
Prova a vedere qui: https://developers.cloudflare.com/1.1.1.1/1.1.1.1-for-families?_ga=2.200162603.40948388.1632753458-1876616168.1632753458
- Modificato
adkilo Nel tuo caso se fai un test su https://1.1.1.1/help cosa vedi?
(il nome dell'AS42 woodynet mi fa sorridere.)
Filippo94 Tomsel82 vorrei attivare DNS over TLS e uso i dns di cloudflare family
Prova a vedere qui: https://developers.cloudflare.com/1.1.1.1/1.1.1.1-for-families?_ga=2.200162603.40948388.1632753458-1876616168.1632753458
Credo che il servizio funzioni esclusivamente come DNS over HTTPS, probabilmente non è attiva la funzionalità per il traffico filtrato tramite TLS
Eh ma già il fatto che ora si bloccava, significa che quasi sicuramente mi utilizzerebbe il DoT di Cloudflare.
In serata provo a vedere dove può essere il problema... non vorrei che nel firewall ci fosse ancora qualcosa che crea problemi.
Grazie a tutti delle risposte! 
- Modificato
adkilo Grazie, quindi in realtà non dovresti essere sotto DoT... ma è attendibile?
precisazione: il test di prima è stato fatto da iphone.
- rifacendo il test da computer coi soli DNS di Tiscali), i risultati sono inequvocabili;
- riattivando DOT, esce invece Namex Consorzio...
- Modificato
Ho provato a testare così e come immaginavo il Fritzbox mi usa SEMPRE i DoT di Cloudflare. Ho provato riavviando e e usando dispositivi diversi, ma finisce sempre per essere scelto il DoT di Cloudflare.
Con quad9 mi va a singhiozzo, purtroppo... testandolo con 1.1.1.1/help mi dice sempre che no è attivo DoT, mentre quando utilizza il DoT di Cloudflare, me lo rileva come attivo: questo avviene perché è affidabile solo nel rilevare la connessione tramite DNS cloudflare?
Ci sono altri metodi per verificare che DoT sia effettivamente attivo?
A me rileva correttamente anche quelli di Google che sono i miei principali. Potrebbbe essere che rimanda fisso su cloudflare in quanto rileva problemi con Quad9.
