Dns-Over-Tls on MT-TECH.FI

Pi-hole ja DNS over TLS -välityspalvelin HaProxy:llä

Sat, 01 Sep 2018 11:38:13 +0000

Itsellä on ollut jonkinaikaa kodin sisäverkossa Pi-hole DNS-resolver -palvelin, joka suodattaa automaattisesti mm. mainoksia ja trackereitä verkossani. Kuitenkin esimerkiksi Androidilla käyttäessä muissa verkoissa niin DNS-palvelimia ei ole oikein voinut muuttaa ennen Android 9:llä olevaa DNS over TLS (DoT)-tukea, johon voi nyt oman DNS-palvelimenkin asettaa.

Mikäli sisäverkossasi on toinen DNS-palvelin niin tämä ohje toimii muillakin nimipalvelimilla.

Tarvittavat asiat

Julkinen verkkotunnus, kuten mt-tech.fi (voi olla myös aliverkkotunnus). Ohjeessa käytän example.org verkkotunnusta.
Julkinen IP-osoitteen, mihin olet ohjannut DNS:n avulla verkkotunnuksesi.
SSL-sertifikaatti, ilmainen Let’s Encrypt käy hyvin
Palomuurista tulee avata portti 853 internettiin.

Asenna ja konfiguroi haProxy

Asenna haProxy-pakettihallinnasta.

Nimipalvelinpyynnön salaaminen ja aitouden varmistaminen

Tue, 01 May 2018 10:46:41 +0000

Meillä on tapana tänäpäivänä salata kaikki mahdollinen liikenne ja varmistaa tietojen aitouksia. Verkkosivuilla on käytössä SSL/TLS-pohjainen HTTPS-yhteys, joka suojaa liikenteen esimerkiksi tähän sivustolle. Lisäksi käytämme tarvittaessa erilaisia VPN-yhteyksiä. Mutta yksi erikoisuus on siis että nimipalvelinliikennettä ei suojata tänäpäivänä oikein mitenkään. Se on siis täysin salaamatonta!

Nimipalvelin on internetin puhelinluettelo

Nimipalvelin on yksinkertaisuudessa internetin puhelinluettelo. Sielä on nimiä (verkko-osoitteita, kuten mt-tech.fi) ja IP-osoitteita kuten 185.168.204.248 tai 2a0b:a700:2:1::103. Kysymme siis usein nimipalvelimelta minne haluamme mennä ja se kertoo meille sitten IP-osoitteen. Tämä olisi sama juttu kun soitettaisiin Fonectalle ja kysyttäisiin puhelinnumeroa.