[Pi-hole] upstream DNS en privacy

Anoniem: 513953 schreef op zaterdag 16 februari 2019 @ 15:46:
Ik twijfel nog wat de beste upstream DNS provider is vanuit privacy oogpunt. Google? OpenDNS? Of gewoon de DNS van Ziggo, mijn provider. Voordeel van die laatste is in ieder geval dat als ze mijn DNS queries opslaan het in Nederland blijft onder Nederlandse (AVG) wetgeving.

Wat doen anderen met een pi-hole?

Je zoekt dus ervaringen en/of tips?
[Pi-Hole] Ervaringen & discussie

Anoniem: 513953 schreef op zaterdag 16 februari 2019 @ 15:46:
Voordeel van die laatste is in ieder geval dat als ze mijn DNS queries opslaan het in Nederland blijft onder Nederlandse (AVG) wetgeving.

Ook andere bedrijven die een DNS aanbieden zijn verplicht conform de AVG te werken, ook al zijn dit geen Nederlandse bedrijven. De AVG is van kracht op alle burgers binnen de EU.

Ik draai zelf een recursive DNS naast de Pi-Hole in een aparte Docker container, dus ook geen problemen met poorten op hetzelfde IP-adres. Daarmee ben je dus niet meer afhankelijk van (andere) DNS providers.

Gebruik zelf Cloudflare en zoals Tokkes ook al zei, ze zijn vrijwel altijd de snelste en ze beloven geen logging. Nou kun je dat niet zomaar controleren maar ik geloof ze.

Ik heb DNS over TLS ingesteld zodat ook de DNS hoster niet mee kan kijken. Alle DNS requests worden versleuteld met een TLS verbinding en worden omgeleid via een proxy. Omdat de proxy via een andere poort stuurt en ontvangt, kun je van jouw kant meten of de requests versleuteld over het netwerk gaan. De twee meest toegankelijke manieren om DNS over TLS in te stellen zijn via Unbound en Stubby.

Freee!! schreef op zaterdag 16 februari 2019 @ 16:04:
Ik draai zelf een recursive DNS naast de Pi-Hole in een aparte Docker container, dus ook geen problemen met poorten op hetzelfde IP-adres. Daarmee ben je dus niet meer afhankelijk van (andere) DNS providers.

Pi-hole komt tegenwoordig met een eigen ingebouwde recursor. Het is soms wat trager, maar je bent inderdaad wel volledig onafhankelijk en privacy gegarandeerd.

Gewoon zelf resolven inderdaad, hier een handleiding hoe dit in te stellen: https://docs.pi-hole.net/guides/unbound/

En trager merk ik eigenlijk niet.

ThinkPadd schreef op zondag 17 februari 2019 @ 10:26:
Gewoon zelf resolven inderdaad, hier een handleiding hoe dit in te stellen: https://docs.pi-hole.net/guides/unbound/

En trager merk ik eigenlijk niet.

Dat werkt ook op een rasberry Pi?
Want in de handleiding wordt over ubuntu gesproken.

Ubuntu is gebaseerd op Debian, op de Raspberry draait ook iets wat gebaseerd is op Debian. Komt vast goed

icecreamfarmer schreef op vrijdag 22 februari 2019 @ 22:14:
[...]
Dat werkt ook op een rasberry Pi?

Ja, dat werkt ook op een Raspberry Pi, heb Pi-Hole en Unbound ieder apart in een Docker container draaien, werkt perfect (even de IP-adressen goed instellen).

ThinkPadd schreef op zondag 17 februari 2019 @ 10:26:
Gewoon zelf resolven inderdaad, hier een handleiding hoe dit in te stellen: https://docs.pi-hole.net/guides/unbound/

En trager merk ik eigenlijk niet.

Privacytechnisch is dat wel minder goed alleen.

CyBeR schreef op zaterdag 23 februari 2019 @ 01:28:
[...]
Privacytechnisch is dat wel minder goed alleen.

O
Je ISP ziet in ieder geval geen websites voorbij komen om te resolven, maar alleen maar IP-adressen van DNS-servers.

Freee!! schreef op zaterdag 23 februari 2019 @ 02:45:
[...]

O
Je ISP ziet in ieder geval geen websites voorbij komen om te resolven, maar alleen maar IP-adressen van DNS-servers.

Jawel. Je ISP ziet namelijk al je verkeer en DNS is tot dusverre unencrypted.

Maar belangrijker, je lekt opeens welke namen je opzoekt naar de nameservers van de betreffende domeinen en (afhankelijk van hoe je eigen resolver ingesteld is) naar alles vanaf de root servers tot die nameservers.

Dit terwijl je bij het gebruik van de nameservers van je ISP, of Google/CF/9.9.9.9 etc. gebruik maakt van hun enorme cache waardoor je dat alvast niet doet.

Privacytechnisch is het beste om de resolvers van je ISP te gebruiken als upstream voor je eigen resolver.

Ik heb meer vertrouwen in m’n ISP en de rootservers, dan in Google. Die heeft er een commercieel belang bij namelijk.

Ha ik ben toevallig ook bezig met deze materie. Ik zat naar https://www.quad9.net te kijken. Iemand daar ervaring mee?

Anoniem: 513953 schreef op zaterdag 23 februari 2019 @ 07:51:
[...]


Ik snap op zich je redering wel maar ik ga na het opzoeken van de naam dat domein bezoeken. De eigenaar van het domein weet al dat ik op bezoek ben.

De eigenaar van het domein is niet noodzakelijkerwijs de beheerder van de nameservers van dat domein.