Scelta server DNS

FABZILLA · 2022-12-29T17:51:16+00:00

buonasera a tutti....vorrei un consiglio...per fttc fastweb 200mb.....come dns...è preferibile nel fritzbox 7530 ...lasciare quelli dell Isp...o mettere quel...

LucaPerazzolo

io uso quelli cloudflare e mi funziona tutto perfettamente, sarà da un anno circa che li ho o anche di piu

hento

FABZILLA si.

x-point

permettetemi di dissentire con alcuni dei suggerimenti che sono stati dati in questo thread;
sulle FTTH non ho esperienza, ma sui DNS ho qualche decennio alle spalle (fino a pochi mesi fa gestivo i dns di un operatore) e alla domanda "meglio i dns dell'operatore o un dns pubblico?" rispondo in questo modo:
ha senso cambiare i dns dell'operatore solo se sono vere entrambe le seguenti affermazioni:
1) hai problemi reali con quelli dell'operatore (es. se frequenti siti censurati oppure se sono malgestiti e si rompono frequentemente);
2) sei consapevole di quello che stai facendo e dei problemi che ciò potrebbe portare;

tipicamente un operatore che fa bene il proprio lavoro ha decine di dns sparsi per i vari POP (quindi molto vicini ai clienti) e, soprattutto, risolve le query per siti distribuiti sulle CDN con gli ip delle istanze locali al POP o comunque interne alla rete dell'ISP (= youtybe, facebook, twitter, instagram, microsoft, apple, etc saranno parecchio più veloci).

per la privacy, l'operatore, se volesse, potrebbe guardare le query anche qel cliente anche quando utilizza 1.1.1.1 (a meno di DoH o DoT per cifrare).

quindi, non dico che i dns pubblici siano il male, ma io continuo a preferire quelli del mio ISP (anche se non li gestisco più io ;-) )

...se qualche cosa non è chiara o se servono approfondimenti, posso spiegare meglio

FABZILLA

x-point mi piacerebbe spiegassi.... I pregi e difetti... Per streaming dazn.. Sky... Netflix.. Prime video

Saviolo

x-point

Chi cambia i DNS lo fa nel 90% o potrei dire nel 99% per evitare i blocchi DNS della propria nazione.

Per il resto concordo: non ha senso parlare di privacy verso il gestore DNS o ISP perché tanto se vogliono possono comunque vedere tutto e comunque tranquilli sostanzialmente non interessa a nessuno quale porno andate a vedere o quale torrent scaricate almeno finché non andate a ficcarvi in cose veramente estreme e/o criminali.

Non ha nemmeno granché senso cambiare i DNS semplicemente per servizi normalmente accessibili salvo ci siano oggettivi problemi ma ormai, almeno nella mia esperienza, sono problemi veramente rari.

Se poi devo proprio sbilanciarmi e dovessi scegliere DNS diversi da quelli del mio operatore direi di usare quelli di google.

FABZILLA

hento vorrei mi spiegassi il non te ne pentirai...

hento

FABZILLA vorrei mi spiegassi il non te ne pentirai...

per i non te ne pentirai ti ha risposto @4gboy

puoi rispondere a più utenti nello stesso messaggio, senza scriverne uno nuovo ogni volta.

x-point

ciao,

FABZILLA x-point mi piacerebbe spiegassi.... I pregi e difetti... Per streaming dazn.. Sky... Netflix.. Prime video

faccio un passo indietro e racconto qualche cosa sulle reti degli ISP (in particolare sui loro POP);

i POP principali[1] dei fornitori di connettività (ISP) sono dei punti di interconnessione dove sono ospitati, tra le altre cose:

link di raccolta delle connettività di accesso (dove viene 'conseganto' il traffico che esce dalle nostre case)
router di core
server DNS
server (cache) dei fornitori di contenuti (google, facebook, netflix, amazon, sky, dazn, cloudflare, akamai, etc);

più altre cose piuttosto importanti nel funzionamento, ma che non interessano per il nostro discorso:

anelli in fibra per collegare tra loro geograficamente i router di core
link di connettività verso internet
link di interconnessione (peering) con altri operatori (sia di contenuti che di connettività)
link verso NAP (es MIX a Milano, Namex a Roma) per raggiungere gli altri operatori non direttamente connessi

uno dei meccanismi (fortunatamente non l'unico) utilizzato per dirigere un cliente attestato su un pop verso le cache con i contenuti ospitate nello stesso POP (quindi senza colli di bottiglia e con latenze bassissime) è il DNS, quindi se non utilizzi il DNS dell'ISP rischi di finire su un web server più lontano e potenzialmente più congestionato; non che sia un problema enorme, ma potresti giocarti con questo i vantaggi che porta un dns pubblico.

[1] attenzione: ho scritto "POP principali", per differenzialri dai POP di openfiber/fibercop per le FTTH... i POP 'principali' degli ISP sono tipicamente una manciata o poco più sparsi per l'Italia e tipicamente realizzati all'interno di datacenter, mentre i POP delle FTTH sono migliaia, tipicamente nelle centrali telefoniche.

4gboy

i DNS criptati sono sempre consigliabili, al di là della velocità di risoluzione.
Io per esempio non voglio che il mio provider che sa chi sono sappia anche che siti richiedo, men che meno Google.
Il mio setup è questo https://imgur.com/a/Rb5Xm1q

Marco25

4gboy i DNS criptati sono sempre consigliabili, al di là della velocità di risoluzione.
Io per esempio non voglio che il mio provider che sa chi sono sappia anche che siti richiedo

Non sono molto utili allo scopo.

Juza

Ha senso pure se si usano dns che funzionano da adblock

Saviolo

Juza

Tecnicamente hai ragione, praticamente è molto scomodo perché ad esempio con un adblock su browser in caso un sito proprio non funzioni puoi disattivare solo per quella pagina l'adblock e via.

Se usi un DNS adblock diventa una rottura gestire casistiche del genere.

Juza

Saviolo il vantaggio è che bloccano tutto a monte e puoi utilizzarli su dispositivi mobili quando ti connetti a reti diverse senza modificare nulla

Verzo80

Juza Ma è capitato solo a me che i Dns con blocco pubblicità in realtà lasciavano passare qualche pubblicità su alcuni Siti?
E non parlo di Youtube ma di Siti normali.
Per cui io preferisco gli ad-blocker da Browser.

callfan

Verzo80 Ma è capitato solo a me che i Dns con blocco pubblicità in realtà lasciavano passare qualche pubblicità su alcuni Siti?

Con quale servizio? A me con NextDNS finora non è successo, anche se ho attivato una marea di liste quindi non so quale intervenga e quando.

Anzi, a volte blocca anche degli script che "rompono" servizi, ad esempio per un po' non riuscivo a fare l'accesso all'account Samsung sullo smartphone, o all'account del tracker Vodafone, proprio per colpa dei blocchi, perché chiamavano qualche dominio che probabilmente hostava anche pubblicità o tracker.

Juza

Verzo80 capita. Basta o aggiungere una lista oppure aggiungere a mano il sito nella black list.

Verzo80

callfan Con quale servizio? A me con NextDNS finora non è successo

public AdGuard DNS

FABZILLA

Marco25 quindi... Meglio quelli del provider? É una bella lotta

hento

FABZILLA

senza stare sempre a chiedere cosa è meglio, testa e valuta da te.

handymenny

FABZILLA
Quello che ti sta dicendo è che lato privacy (verso l'ISP) usare un DNS alternativo ti da un falso senso di sicurezza.
Perché:

senza DoT/DoH il traffico DNS è in chiaro e se un operatore vuole può anche dirottarlo ai suoi server (alcune CPE lo fanno di default)
anche con DoT/DoH c'è comunque SNI che invia il dominio sostanzialmente in chiaro
stai dando dati a un'entità in più, che se sta fornendo un servizio gratuito potrebbe anche avere più interessi del tuo ISP a raccogliere statistiche

Per la questione affidabilità stai semplicemente spostando il punto di failure dal tuo ISP a un altro provider. Per come la vedo io è abbastanza equivalente.
Io infatti uso due provider diversi. Sembra una cosa eccessiva ma mi è capitato diverse volte tornasse utile questa cosa.

Per la questione censure, qui c'è poco da dire gli ISP sono obbligati a censurare alcuni domini.

Per la questione cache e CDN, i DNS dell'operatore se ben distribuiti non si battono*.
Per gli alternativi bisogna considerare che ci sono due meccanismi per personalizzare la risposta:

IP del resolver, ovvero l'indirizzo IP della macchina che risolve le query DNS
subnet EDNS

Per il primo tipo è importante che il resolver abbia un IP italiano o comunque in una località vicina a dove vi trovate (es. Roma se siete al sud, Torino o Milano se siete al nord).
Per il secondo tipo è ininfluente dove sia geolocalizzato il resolver (vi può penalizzare per i servizi che non usano EDNS), ma deve supportare EDNS.

Di DNS alternativi che supportano EDNS ne ho provati tre:

Posso dire dalle prove che ho fatto che Google utilizza EDNS per tutti i domini o quasi. Il problema è che di tanto in tanto la sua cache sembra "impazzire" e inizia a dare risposte che si riferiscono a subnet di altri ISP - non proprio bellissimo 😅
Con Opendns non ho visto i problemi di cache di cui sopra, ma sembra utilizzare EDNS solo per alcuni domini, come se avesse una sorta di whitelist.
Con Quad9 non ho notato problemi di cache, sembra funzionare con tutti i domini come Google, consente ai client di personalizzare la subnet EDNS, ma non supporta EDNS di Akamai.
EDNS di Akamai richiede infatti un accordo tra le parti, con determinate condizioni che non si sposano con la filosofia di Quad9.

* Non tutte le CDN scelgono il nodo più vicino in base ai DNS, ci sono altri modi come IP Anycast o domini diversi per ciascuno nodo + logica custom. O anche soluzioni ibride

Per il discorso ADS, io preferisco scindere il DNS dal blocco delle pubblicità, principalmente per non creare problemi agli altri utenti in casa.
Una di queste liste che girano su Github ha bloccato parzialmente un sito che gestisco, non oso immaginare quanti altri problemi possano creare...

Io sulla rete di casa utilizzo Quad9 EDNS (risponde da Roma) e OpenDNS (risponde da Milano) in load balancing. Per i domini Akamai, Vowifi W3 e SIP W3 utilizzo i DNS dell'ISP.

Perché non usare i DNS dell'ISP per tutto?
I DNS W3 non supportano NXDOMAIN (va un po' a periodi, ma spesso rispondono con un IP di un servizio W3 che altrettanto spesso nemmeno funziona) e sono soggetti a blocchi/censure.
Mettere i load balancing DNS con visibilità così diverse potrebbe creare problemi, quindi preferisco evitarlo.

Perché proprio OpenDNS?
OpenDNS oltre a supportare EDNS è in grado di risolvere i domini (ritornando risposte in cache) anche in caso di "dns failure". Quindi se Quad9 fallisce, risolve lui.

Perché proprio Quad9?
È l'unica alternativa con buon supporto EDNS che ho trovato. In precedenza utilizzavo Google, che ho rimpiazzato per quei problemi di "cache".

FABZILLA

hento hai mai pensato... Che magari essendo neofita... Meglio chiedere a chi ne sa di piú... Su un forum.... Dove magari ci si aspetta che chi ne sa di piú addirittura non si scocci nel rispondere?

Riegel

x-point piuttosto importanti nel funzionamento,

Tipo la risoluzione delle chiamate e di tutta la parte di telefonia voce per quanto riguarda telecom. Provando ad aggiungere anche solo un dns alternativo oltre ai due canonici 85.38.28.2 e .3 il telefono non si registra più sulla rete. Internet va, ma la fonia no.

handymenny (alcune CPE lo fanno di default)

Si sa quali? Nel caso, si può dire?

x-point

handymenny senza DoT/DoH il traffico DNS è in chiaro e se un operatore vuole può anche dirottarlo ai suoi server (alcune CPE lo fanno di default)

peggio: qualsiasi sia il dns che utilizzi, se non cifrato, gli ISP possono vedere tutto il traffico anche SENZA dirottarlo;
peggio ancora: parecchi operatori addirittura hanno già l'infrastruttura funzionante e attiva per farlo (se hanno un minimo di rispetto delle norme sulla privacy raccolgono solo dati statistici aggregati e anonimizzati, non riferibili ai singoli clienti, ma passare a raccogliere dati sui singoli è solo questione di configurazione e storage sufficiente a salvare il tutto)

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile