Che poi, facciamo un bel semiOT: volete cambiare DNS per quale motivo? Perché in ogni caso i server del provider non hanno tutte le zone DNS della Terra, la risoluzione dei nomi è ricorsiva. Inoltre, qualcuno vi ha mai assicurato che stiate facendo effettivamente le query al provider alternativo? Perché le richieste DNS sono fin troppo facili da intercettare per il provider, in UK lo fanno per non far bypassare i filtri dell'autorità giudiziaria.
Ragion per cui ho sul mio portatile il client di Cloudflare per DNS over HTTPS, quello sì che è una spina nel fianco dei provider...

    x_term client di Cloudflare per DNS over HTTPS,

    che però il 99% degli utenti non sa cosa sia

        Matteo_Mabesolani Windows aggiungerà fra non molto il supporto a DNS over HTTPS, e se hai impostato ad esempio 1.1.1.1 userà HTTPS per le query DNS, in automatico. O così si è capito

            matteocontrini completo l'OT, anche nella prossima versione di FritzOS sarà aggiunto il supporto ai DNS over TLS.

              5 mesi dopo

              Buon giorno a tutti io usavo quelli di Google poi mi hanno consigliato i cloudfire che sono più veloci dato che sono in Europa e nn faccio assolutamente metà Google e Cloudfire......

                GiacomoGiorgi che siano più veloci devi verificarlo, a me ad esempio rispondono nello stesso identico tempo (parlo di ping), e quelli di Fastweb risultano ancora più "veloci". Tutti i servizi DNS più noti sono presenti in Italia.

                Ci sono dei tool che fanno confronti anche inviando le query DNS, io avevo verificato e Fastweb vinceva anche su Cloudflare. Quindi non è detto che cambiarli per la velocità abbia senso, come spiegato qua: https://fibra.click/dns/

                In ogni caso le prestazioni sono decisamente trascurabili, si parla di pochissimi millisecondi. Come ho detto più volte ha più senso invece configurarli in un modo un po' più fault tolerant, differenziando primario e secondario, altrimenti quando un servizio va offline (e va offline, è sicuro) non si naviga più.

                  Un possibile svantaggio di usare i dns di Cloudflare è collegato alla mancanza dell'EDNS0 subnet client extension.
                  Porto un esempio: Akamai è una CDN che ha server dentro le reti degli operatori, in maniera tale da ridurre i costi per gli stessi e aumentare la velocità, fornendo contenuti in cache. I DNS del provider (e quelli che rispettano l'opzione definita sopra, come Google e OpenDNS), restituiscono i server locali. Cloudflare spesso no, perché sfrutta la sua immensa cache per offrire risposte veloci ma che possono essere fisicamente distanti (e spesso con molti hop in mezzo).
                  Questi due link spiegano meglio nel dettaglio i vari drawback della mancanza di edns-client-subnet.
                  Il vantaggio secondo Cloudflare? Maggiore privacy e possibilità di avere una grandissima cache generica. Inoltre, tante CDN sfruttano metodi più raffinati per stabilire il server migliore per l'utente.
                  Riporto un paio di link che secondo me sono interessanti:
                  https://www.saturnsoft.net/cdn/2014/08/29/analysis-edns-client-subnet-on-cdn/
                  https://www.samknows.com/blog/dns-over-https-performance

                  La mia "soluzione" è quella di usarli entrambi (nella versione DoT e DoH) forzando, su Pi-Hole, la risoluzione di alcuni domini specifici con i DNS di google (ad esempio, i domini di akamai.*, akamaiedge, quelli di netflix, cloudfront, ecc). Il resto invece tramite Cloudflare. All'atto pratico, l'80% dei domini viene risolto da Cloudflare, il rimanente 20% da Google.

                    stemax97 Cloudflare spesso no, perché sfrutta la sua immensa cache per offrire risposte veloci ma che possono essere fisicamente distanti (e spesso con molti hop in mezzo).

                    A me infatti ad esempio Cloudflare risponde da Francoforte, per qualche motivo, per cui tutto il mio traffico viene servito da lì. E pazienza...

                    stemax97 Maggiore privacy

                    Diciamo comunque che i rischi per la privacy sono piuttosto limitati. La client subnet è appunto una subnet quindi nella maggior parte dei casi serve a poco e niente, specialmente considerando che il traffico oggi arriva principalmente da mobile e quindi è pure dietro NAT.

                    stemax97 netflix

                    Netflix comunque non usa il DNS per scegliere il server, che io sappia. Ha proprio dei domini specifici per i punti di presenza, e quello migliore viene ritornato dalle loro API. Si sono implementati la geolocalizzazione a mano in pratica.

                            matteocontrini A me infatti ad esempio Cloudflare risponde da Francoforte, per qualche motivo, per cui tutto il mio traffico viene servito da lì. E pazienza...

                            Premetto che sono cliente Eolo, a me sempre da Milano (tranne una volta in cui MXP era down).

                            matteocontrini Diciamo comunque che i rischi per la privacy sono piuttosto limitati. La client subnet è appunto una subnet quindi nella maggior parte dei casi serve a poco e niente, specialmente considerando che il traffico oggi arriva principalmente da mobile e quindi è pure dietro NAT.

                            Sono d'accordo, ma le motivazioni di privacy sono proprio di Cloudflare: https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/
                            Fra l'altro, se si installa Unbound sul proprio computer e si sfrutta la full-recursion, viene trasmesso l'IP completo.

                            matteocontrini Netflix comunque non usa il DNS per scegliere il server, che io sappia. Ha proprio dei domini specifici per i punti di presenza, e quello migliore viene ritornato dalle loro API. Si sono implementati la geolocalizzazione a mano in pratica.

                            Esattamente! La verità è che volevo vedere qualche richiesta DNS in più nel grafico a torta di Pi-Hole, quindi già che c'ero ho inserito anche dei domini in più...
                            La geolocalizzazione tramite DNS è un meccanismo poco efficiente e prono ad errori; inoltre, basta cambiare i DNS e non funziona più.

                                  stemax97 La mia "soluzione" è quella di usarli entrambi (nella versione DoT e DoH) forzando, su Pi-Hole, la risoluzione di alcuni domini specifici con i DNS di google (ad esempio, i domini di akamai.*, akamaiedge, quelli di netflix, cloudfront, ecc). Il resto invece tramite Cloudflare. All'atto pratico, l'80% dei domini viene risolto da Cloudflare, il rimanente 20% da Google.

                                  leggero OT:

                                  Riesci a dirmi a grandissime linee come si fa?

                                  Quando usavo il tunnel di HE per IPv6 avevo il problema che netflix lo vedeva come un proxy e bloccava tutto.
                                  Se riuscissi a dire a PiHole di risolvere netflix in IPv4 sarei già a buon punto

                                      edofullo

                                      Pi-Hole è basato su una versione modificata di dnsmasq. Il meccanismo è quindi lo stesso.
                                      Devi modificare il file di configurazione di dnsmasq aggiungendo la seguente struttura (puoi farne una sola con tutti i domini o più di una per leggibilità):
                                      server=/akamai.net/akamaihd.net/indirizzo_ip_server_dns
                                      Se utilizzi Pi-Hole, in particolare, devi inserirle un secondo file *.conf in /etc/dnsmasq.d/.
                                      Prova a leggere qua per lo specifico problema di HE: https://discourse.pi-hole.net/t/solved-disable-aaaa-response-for-a-given-domain/13143/3
                                      Dovrebbe essere una scrittura simile a questa:
                                      server=/domini-vari/8.8.8.8
                                      address=/domini-vari/::

                                      Secondo me combinando le opzioni risolvi il problema. I domini di netflix li trovi tranquillamente su Google.

                                      edofullo tunnel di HE per IPv6

                                      Mettesse Hurricane Electric un endpoint a Milano...

                                            stemax97 Ok, pensavo fosse una roba più incasinata, ora devo vedere dove è il file e montarlo perchè ho tutto sotto docker ma dovrebbe essere fattibile

                                            Grazie mille

                                            stemax97 Mettesse Hurricane Electric un endpoint a Milano...

                                            Magari....

                                                Quindi non si usano le cache interne degli operatori se non si usano i loro dns?

                                                  Supreme69

                                                  La risposta è DIPENDE.
                                                  Se il geo-routing avviene a livello DNS, non usando i dns degli isp o usando dns senza la edns0-client-subnet-extension attiva, potrebbe essere di no.
                                                  Se il meccanismo è più evoluto (come le API di Netflix), non ci sono assolutamente problemi.

                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                    P.I. IT16712091004 - info@fibraclick.it

                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile