Názory k článku Veřejné DNS resolvery CZ.NIC podporují také DNS-over-HTTPS

Turris změní dns server bez zásahu uživatele? To mi přijde trochu zvláštní. :) Asi bych nechtěl aby mi na konfiguraci někdo sahal při updatu.

Dobrý den,

nemusíte mít obavy. ODVR je na routerech Turris nabízeno jako volitelné DNS resolvery, tzn. uživatelé si je musí explicitně zvolit sami. Pokud tak neučiní/neučinili, používají se ty "defaultní", tedy od ISP.

VS.

V UI je výběr ze seznamu "CZ.NIC (TLS)" - jen jim budou přiřazeny jiné IP (ty ani ukázány nejsou). Nevidím nic špatného. Zvlášť když se ty staré IP budou vyřazovat.

Mě by spíše zajímalo, co s těmi dotazy CZ.NIC dále dělá. Jsou nějak zpracovávány? Pokud ano, jsou anonymizovány?

Dobrý den,

DNS dotazy jdoucí na ODVR servery nelogujeme, nefiltrujeme a nezpracováváme. Pouze na základě interních statistik démona (viz https://knot-resolver.readthedocs.io/en/stable/modules.html#built-in-statistics) počítáme součet některých metrik ze všech serverů, abychom měli představu, jak je prostředí využíváno. Konkrétně tedy je o součet všech requestů, nakešovaných odpovědí, DoH a DoT.

VS.

Velmi se tesim, az budu resit uzivatelske problemy s nejakym sw pouzivajicim DNS over cokoli. Budu mit min prace - je to zasifrovany, nelze to analyzovat - vyreste si to s vyrobcem...

Android od verze 9 Pie umí DNS-over-TLS. Nastavení - Síť a internet - Rozšířené - Soukromé DNS. Tam se vybere třetí možnost a vyplní odvr.nic.cz nebo jiný poskytovatel služby.

Není tedy nutné nastavovat prohlížeče zvlášť a toto nastavení platí napříč systémem?

Ano, tak by to tam mělo fungovat. A obecně to rozhodně považuji za mnohem lepší přístup než když si každý program řeší vlastní DNS.

Až bude DoH stabilní, pokusí se CZ.NIC o přidání do výběru Firefoxu? Myslím, že by to bylo fajn a pomohlo to ODVR mezi českými uživateli rozšířit. Rád pomohu iniciovat případnou komunikaci.

> I při použití protokolu DoH platí, že nefiltrujeme žádné DNS dotazy, vyjma privátních IPv4 a IPv6 rozsahů.

Co to znamena? Bezne pouzivame ve verejnem DNS neverejne IP adresy.
Takze pak mame napr. "intranet.firma.cz A 10.20.30.1". Jakmile je uzivatel ve VPN, web mu funguje. A VPN server nemusi podvrhavat vlastni DNS servery.

Tohle bude fungovat, nebo ne?

Fungovalo by to, ale záměrně je to odfiltrováno. Proč? Například: https://en.wikipedia.org/wiki/DNS_rebinding

RFC 1918 také říká zcela jasně:

If an enterprise uses the private address space, or a mix of private
and public address spaces, then DNS clients outside of the enterprise
should not see addresses in the private address space used by the
enterprise, since these addresses would be ambiguous.

"should not"
Kdo to použije, tak musí s nejednoznačností počítat.
Vzhledem k tomu, že jsem taky v situaci, kdy je to pro mě nejjednodušší řešení, tak prostě odvr.nic.cz nepoužiju, a když nebudu ochoten snášet resolver providera, použiju třeba Google.
Je otázka, zda je to ze strany CZ.NIC rozumné, protože po pár potížích z tohoto vyplývajících získají nálepku "CZ.NIC nebrat, raději použijte Cloudflare nebo Google".
Ostatně, když používáte privátní IPv4 adresy (jako že téměř každý klient ISP to používá), tak se vám stane, že VPN do firmy nefunguje, protože máte ve firmě i doma stejnou neveřejnou síť - dokud si to na jedné straně nezměníte.
IPv6-only zatím pořád není řešení, protože si tím odříznete klienty z našich mobilních sítí.

Podle mne je to vaše řešení v době nedostatku veřejných IPv4 adres nejlepší možné, nicméně jakési doporučení praví, že by se ve veřejném DNS neměly používat IP adresy z privátních rozsahů. Ona ta vaše adresa fakticky není veřejná, to doporučení podle mne zaspalo dobu, bohužel se jím ale spousta správců DNS resolverů řídí. KnotDNS Resolver ty adresy ve výchozím nastavení blokuje, Unbound myslím také. Podle předchozího komentáře soudím, že se tímhle doporučením řídí i ODVR CZ.NICu. Vám asi nezbývá, než podvrhávat vlastní DNS servery pro VPN připojení. Holt na internetu se rozbité věci ne vždy opravují, místo toho se na tu rozbitou věc vymyslí nějaký vohejbák, který celou situaci ještě zhorší…
Ale CZ.NIC je v tomto nevinně, oni to doporučení nevymysleli a zdaleka nejsou jediní, kdo se jím řídí – takže teď jste se akorát dozvěděl, že vaše řešení by nemuselo ve spoustě jiných sítí fungovat. Leda že by CZ.NIC vymyslel nějaký DNS flag day #2, aby se s tímhle doporučením skoncovalo (když už se snažíme prosadit IPv6, všude HTTPS – a privátní IP adresy ve veřejném DNS jsou nejsnazší cesta, jak se k těmto věcem přiblížit, když musíte podporovat IPv4).

Privátní adresové bloky pro IPv4 jsou definovány v RFC 1918, a každý, kdo je používá, by se měl touto specifikací řídit. Je tedy chyba, když privátní adresy prosakují do veřejného internetu. O tom, že by se s tímto principem skoncovalo, nemůže být ani řeč.

Takzvané duální DNS, v němž jsou oddělené zóny pro intranet a internet, je dávno známý a osvědčený postup popsaný už ve zmíněném RFC 1918.

Jenze jak vyresim problem uzivatele, ktery potrebuje byt na svem PC ve vice VPN soucasne a mit pristup do serveru ve vnitrnich sitich?
Pak nejde pouzit, ze VPN nastavi uzivateli vlastni DNS server.

Na tohle uplne nevim jak (a jestli vubec) jde dualni DNS pouzit.

Nastaveni privatni IP do verejneho DNS se mi v tomto pripade zda, jako nejmensi zlo.

Zajimave taky je, ze 8.8.8.8 i 1.1.1.1 mi neverejne IP bez problemu vraci. Sice proti RFC, ale vraci.

Vyřešíte to tak, že budete používat v DNS privátní IPv4 adresy a DNS unesete na vlastní resolver, který to filtrování dělat nebude. Pak bude fungovat připojení do všech VPN, které používají tohle řešení. Nebude to fungovat pro síť, kde se používají oddělené DNS zóny – pokud tedy vyhraje rozumně nakonfigurovnaý DNS resolver. Ale to není váš problém, že nefunguje nějaká cizí VPN :-)

Zajimave taky je, ze 8.8.8.8 i 1.1.1.1 mi neverejne IP bez problemu vraci. Sice proti RFC, ale vraci.
Oni se ti velcí hráči přeci jen snaží rozbít toho co nejméně. A když je to doporučení zastaralé… Navíc to není proti RFC, to doporučení neříká, že se to dělat nesmí – je tam použité should, tedy nemělo by se to dělat, ale mohou existovat důvody, proč to udělat.

Při použití více VPN současně se vám ale může taky snadno stát, že se budou překrývat jejich adresové prostory.

Je asi třeba říct, že RFC 1918, všechny možné NATy apod. znamenaly pro architekturu internetu docela velkou ránu, i když vynucenou okolnostmi.

Veřejné resolvery ty privátní adresy samozřejmě filtrovat mohou, ale nemusí, to je věc politiky. Je asi přirozené, že pro komerční poskytovatele, jako je Cloudflare nebo Google, platí „náš zákazník, náš pán”, zatímco CZ.NIC více dbá na dodržování standardů.

Jenze jak vyresim problem uzivatele, ktery potrebuje byt na svem PC ve vice VPN soucasne a mit pristup do serveru ve vnitrnich sitich?

Přesně tohle dokáže řešit systemd-resolved.

Uplne jednoducho:

* V Linuxe, NetworkManager s dns=dnsmasq umoznuje mat DNS pre kazdy interface a zadefinovat, ktore domeny sa cez neho maju resolvovat

* Pod macOS, to iste umoznuje aj resolver na macOS, pomocou /etc/resolver/*, resp. scutil.

* Pod Windows to umoznuje NPRT (Name Resolution Policy Table) - Add-DnsClientNrptRule -Namespace "intranet.dome­na.cz" -NameServers "10.0.0.1" a priradenim prislusnych DNS na prislusnych interace.

Takze vas problem nie je limit DNS, ale problem vasej konfiguracie.

Jenže o prosakování do veřejného internetu nebyla řeč. Jak víte, DNS zóna nemusí být veřejná, takže pokud nějaké jméno nezveřejním jiným způsobem, je to pouze privátní věc – ten DNS záznam znají pouze „zasvěcení“, kteří se vyskytují v dané síti (ať už přímo nebo přes VPN), takže ta privátní adresa je pro ně dostupná.

Oddělené zóny pro intranet a internet byly vždycky prasárna a mají mnohem horší důsledky, než privátní IP adresy ve „veřejném“ DNS. RFC 1918 pochází z února 1996 – kolik bylo v únoru 1996 chytrých mobilních telefonů, které jsou chvíli připojené přes WiFi, pak ztratí signál, připojí se přes mobilní síť, a za pár minut se zase připojí zpět? Oddělené zóny pro intranet a internet byly použitelné v době, kdy každý počítač byl kabelem přivázán k místní síti a do jiné sítě se za celou svou životnost nedostal. Dnešní realita je úplně jinde a oddělené zóny to rozbíjí.

Dneska můžete mít zařízení připojené do více sítí a skoro každý má takové zařízení v kapse. Potřebujete vystavovat certifikáty na veřejné DNS názvy. Můžete mít jedno zařízení připojené do několika VPN zároveň. To všechno funguje dobře, pokud se používá normální veřejný DNS strom (žádné .local; neznamená to ale, že všechny DNS záznamy musí být veřejné), funguje to tam, kde je dostatek veřejných IP adres. S privátními IPv4 adresami je v tomto případě jediný problém – je potřeba pro dané zařízení zajistit odpovídající konektivitu, např. přes VPN. To by také fungovalo, a jediný problém je to filtrování na DNS resolverech. Které je k ničemu.

Záměr s filtrováním DNS odpovědí (v onom doporučení – chápu, že když to doporučení existuje, bylo by obtížné se jím na veřejném serveru neřídit) je sice bohulibý, ale řeší problém na špatném místě – a co je podstatné, bohužel rozbíjí nejlepší způsob, jak dnes s DNS pracovat. Že je to opatření nesmyslné je vidět už z porovnání IPv4 a IPv6. Pokud příslušná síť bude mít IPv6 konektivitu, bude to neveřejné zařízení mít IPv4 adresu z privátního rozsahu a veřejnou IPv6 adresu. Přes filtrující DNS resolver se DNS záznam přeloží na IPv6, ale na IPv4 se nepřeloží. Celá ta „ochrana“ v DNS je tedy k ničemu.

Když tedy budete počítat s tím filtrováním v DNS, je dnes asi nejčistší použít IPv6 a VPN použít jako nástroj pro dodání IPv6 konektivity. A nebo používat ty privátní IPv4 adresy ve veřejném DNS a při připojení přes VPN unést DNS na svůj resolver, který filtrování nebude provádět. Kdo bude používat stejné řešení, bude v pohodě. Únosem DNS to rozbijete jenom těm, kteří používají „osvědčený“ postup s oddělenými zónami pro intranet a internet.

Vláďa Čunát výše popsal jeden konkrétní problém, který je s takovou praxí spojený – DNS rebinding.

Pokud mluvíme o prasárnách, neváhal bych tímto slovem označit i samotné použití globálně nejednoznačných privátních adres (jak už jsem napsal v předchozí odpovědi). Kvůli takovým hackům je IPv4 internet zanesen neuvěřitelným množstvím různých middleboxů, takže o původním end.-to-end principu se dnes vůbec nedá mluvit. Je to podle mne jeden z důvodů, proč zavádění IPv6 tolik drhne.

Stejne tak ale nikdy nejde zabranit tomu, aby uzivatel omylem natukal URL do browseru, aniz by tu VPN mel vytocenou. Tedy nikdy nejde spolehlive zamezit tomu, aby ono tajne DNS jmeno neuniklo.

Taky me to zaskocilo.
Zrovna nedavno jsem s podporovou resil nefungujici prehravani sledovanitv.cz
Dostali jsme se k tomu, ze mi router blokoval preklad neverejnych adres:

$ host jmnet1-priv.mtv.cdn.mo­derntv.eu
jmnet1-priv.mtv.cdn.mo­derntv.eu has address 10.38.0.255

$ host jmnet1-pub.mtv.cdn.mo­derntv.eu
jmnet1-pub.mtv.cdn.mo­derntv.eu has address 185.91.168.40

Predpokladam tedy ze pri pouziti DoH to take nebude fungovat.

Toto je vcelku standardni chovani dnsmasq. Je potreba upravit jeho konfiguraci tak, aby tyto odpovedi prochazely (jestli se nepletu, jde o volbu bogus-priv, kterou je treba v konfiguraci vypnout, casto byva implicitne zapnuta). Pokud je uzivatel v siti nejakeho mensiho "wifi" poskytovatele, kde se houfne pouzivaji privatni rozsahy, pak celkem bezne muze byt snaha usetrit zdroje na NATu tim, ze se nektere sluzby honi uvnitr site rovnez na privatnich adresach.