• [cancellato]

mkonsel A tua scelta! Come ti va meglio.
Puoi dare un'occhiata anche al progetto PiHole se vuoi anche prendere la palla al balzo per abilitare qualche filtraggio di base.
Ci sono anche delle guide per integrarlo con Unbound 😉

Nell'attuale configurazione, dove i client puntano il router come dns, e il 7530 punta i dns Tiscali impostati in automatico, ho fatto qualche prova dal muletto linux con il comando DIG. Se cerco www.google.com da @192.168.2.1 , ottengo risposte tra 0 e 4 ms. Se imposto @1.1.1.1 o @8.8.8.8, ottengo 13-20 ms di risposta. Che significa? Che il 7530 fa già da cache delle query DNS?

Aggiungo che ho fatto il dig con @213.205.32.70 (dns tiscali), e ottengo comunque 4ms, quindi il 7530 non fa cache.

while true; do dig www.dropbox.com @213.205.32.70 | grep time; sleep 2; done
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 16 msec
;; Query time: 0 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec
;; Query time: 4 msec

Con 4ms di risposta alle query dal dns del provider, ha comunque senso realizzare un proprio resolver dns casalingo?

Intendo dal punto di vista performance... È chiaro che dal punto di vista privacy e sicurezza, il resolver dns ha i suoi vantaggi.

  • [cancellato]

  • Modificato

mkonsel Qual'è la configurazione migliore per gestire il servizio DNS? Installare unbound su Linux e far puntare il 7530 a lui come dns server?

Ti conviene a quel punto impostare direttamente il DNS server sui client, per quelli con DHCP basta poi configurare il server DHCP con il nuovo indirizzo. Puoi anche lasciare il Fritz come secondo server DNS in caso che il primo abbia problemi.

Una nota però: spesso DNS e DHCP lavorano insieme per la risoluzione dei nomi host locali, associando gli IP rilasciati dal DHCP ai client con il nome host nella opportuna zona DNS. Non so se il Fritz lo faccia. Se si utilizza un server DNS separato questa funzionalità viene persa finché non si configurano opportunamente server DHCP e DNS.

eang erchè se è vero che il tuo ISP non vedrà le tue query DNS, vedrà comunque l'IP di destinazione che farai nelle request HTTP successive alle query DNS...

Dalla query DNS veri però il nome host. Dietro un IP ci possono essere più "host" web che condividono l'IP, specialmente quando di mezzo ci sono reverse proxy e altre funzionalità di caching, balancing, ecc. che possono anche far sì che l'IP non sia sempre lo stesso. Vedi appunto caso CDN dove l'ip risolto può dipendere da dove fai la query.

4 mesi dopo

Quindi se uso netflix e Amazon prime video mi sconsigliate cloudfire? Sembrava eccellente per non regalare altri dati a Google

    alealeale per non regalare altri dati a Google

    Mah, la privacy policy del public resolver di Google è quasi uguale a quella di Cloudflare, a me pare l'ultimo dei problemi... Anche il fatto che 1.1.1.1 abbia latenza più bassa è disputable

    Filippo94 appena sono da pc provo, da iPad non so fare il Ping 🙂

      alealeale puoi usare l’app network tools, ovviamente in Wi-Fi non è come da cavo, ma ti dà l’idea se risponde più veloce Google o Cloudflare (spesso va meglio se si è di Roma o più a sud)

      Filippo94 quanto fai di ping verso 8.8.8.8 e quanto verso 1.1.1.1?

      Piu bassa ora no.
      Google 8ms e 1.1.1.1: 22ms

        Coi Google dns mi sono sempre trovato molto bene, però mi stavo chiedendo se Google non abbia già abbastanza dati senza regalare anche questi.
        Ma mi romperebbe avere problemi con lo streaming se cambio

          alealeale

          Per Netflix non ci sono problemi (usano API più sofisticate per restituirti il server più vicino). Con Amazon Prime Video invece dipende da quale CDN viene fornito il contenuto (cloudfront usa EDNS e quindi Cloudflare non sarebbe la scelta migliore, ad esempio).

          Inoltre, non so dove sei, ma su https://1.1.1.1/help che Cloudflare Data Center è indicato? Data la latenza, credo sia anche fisicamente distante e di conseguenza lo sarebbero anche i contenuti delle CDN.

          Puoi fare questo test: prova a pingare a2.w10.akamai.net (è una cache di akamai), prima impostando i DNS di Google e poi quelli di Cloudflare.

          Con la mia connessione (Eolo), ad esempio, ottengo una media di 19ms usando Google (viene restituito un ip locale dell'ISP - 88.149.130.233) attraversando 4hop, mentre con Cloudflare ottengo 39ms attraversando ben 12hop (ip restituito: 104.125.3.144; il mio datacenter di riferimento è a Zurigo, visto che quello a Milano sembra in manutenzione).

            stemax97 uso Roma e sono di Treviso.. dici vada bene tenere cloudflare?
            sennò come soluzione tengo cloudflare sul modem e sulla Smart tv metto i Google dns così salvo capra e cavoli, no? (Privacy nella navigazione di pec, iPad e cellulari e cdn vicini nella Smart tv)

            gia che sei così gentile mi dici se i dati che ottengo dal tuo test sono ok?

              alealeale

              Significa che ti stai collegando al datacenter di Roma.

              alealeale sennò come soluzione tengo cloudflare sul modem e sulla Smart tv metto i Google dns così salvo capra e cavoli, no? (Privacy nella navigazione di pec, iPad e cellulari e cdn vicini nella Smart tv)

              Può andare come soluzione (in passato avevo tenuto un approccio simile), ma non è che usare sempre e solo Google sia dannoso (anche se non gli affidi i DNS, tutti i dati delle ricerche e dei siti che visiti vengono analizzati)... inoltre, a livello di velocità probabilmente saranno equivalenti (Google è tendenzialmente più lento a fornire una risposta ma è a 8ms di distanza, mentre Cloudflare è più veloce ma è a quasi il triplo di latenza). Ok che stiamo parlando di valori molto bassi, però a livello di prestazioni io userei direttamente Google ovunque.

              Se vuoi salvaguardare veramente la privacy avrebbe più senso installare un server ricorsivo unbound (o knot) che contatti direttamente ogni authoritative server senza affidarsi a intermediari, ma francamente dovresti valutare se ne vale la pena (è un pochetto complicato da attivare, serve un raspberry pi o un dispositivo sempre acceso oltre al router che faccia da server, i tempi di risposta a freddo sono nell'ordine dei 100-150 ms).

                3 mesi dopo

                [cancellato] Usare DNS dell'ISP è una soluzione per i "tecnici" sconsigliabile sia perché appunto è un facile punto di raccolta di dati statistici sulla navigazione (molto più semplice esaminare un log query che andare ad analizzare il traffico di rete, pur se è possibile farlo) e perché in passato avevano la facile tendenza a mandarti su pagine pubblicitarie al posto che restituirti NXDOMAIN

                Lo fa tuttora WindTre (per lo meno da me): visualizza una pagina di ricerca personalizzata. Non è pubblicità vera e propria, ma se esegui la ricerca ti profila ancora meglio 😂

                alealeale Quindi se uso netflix e Amazon prime video mi sconsigliate cloudfire? Sembrava eccellente per non regalare altri dati a Google

                Non so Amazon Prime, ma con Netflix non ho mai avuto problemi con Cloudflare.

                Anche a me non piace farmi schedare passo-passo da Google. Già mi profila con le ricerche, basta e avanza quello 😀

                eang In realtà ho appena realizzato che il DoH in realtà serve a poco o nulla, perchè se è vero che il tuo ISP non vedrà le tue query DNS, vedrà comunque l'IP di destinazione che farai nelle request HTTP successive alle query DNS...

                In realtà CloudFlare ha pensato anche a questo. Scaricando CloudFlare Family da https://1.1.1.1/ il tuo ISP non vede le successive richieste HTTP(S). Vede solo che stai usando CloudFlare DoH.

                L'alternativa più estrema è usare una VPN, ma quelle serie si pagano. E comunque è difficile ipotizzare che possano essere più efficienti dell'infrastruttura globale ottimizzata (a parte qualche eccezione 😅) di CloudFlare.

                  redondo Warp è una VPN, ma non trovo intelligente far passare l'intero traffico tramite un solo servizio che ultimamente non è esattamente noto per fornire servizi di qualità. Ha perso gran parte della sua reputazione nell'ultimo anno per quanto mi riguarda... Tutto gratis tutto figo ma all'atto pratico la strategia mostra i suoi limiti.

                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                    P.I. IT16712091004 - info@fibraclick.it

                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile