vesti7.ru
- Thread starter Blogger69
- Start date
theundertaker
Well-known Member
Stimmt, dass versteh ich auch nicht. Die Eu-Propaganda ist doch viel besser
PP Christian
Staff member
Du hast die US-Propaganda vergessen - Ach ja und China
Polygon
Active Member
Mir würde nie im leben einfallen überhaupt noch mit realer IP im Internet zu surfen.
kafka
Active Member
Doch, logisch. Bei Diensten bei denen ich persönlich bekannt bin (Bank,eBay und sowas) bin ich immer mit meiner regulären IP online. Warum sollte ich den Anbietern aufs Auge drücken das ich einen VPN nutze? Und eventuell noch Problemchen verursachen (Captcha,Accountsperrung usw usf).
Ansonsten: Eher wer keinen vernünftigen DNS benutzt sondern den seines ISP ist komplett lost.
Tja das mit dem DNS-Anbieter ist so eine Sache.
Ich habe zwar große Zweifel, daß es in der Praxis eine Rolle spielt, oder daß z.B. Google Anfragen auf 8.8.8.8 auswertet und dann Deiner IP zuordnet, dennoch benutze ich lieber 4.2.2.1 und 9.9.9.9, die sollen eher "unverdächtig" sein.
Versuchsweise habe ich mal ganz ohne forwarding versucht und bin direkt über die root-server gegangen.
Zwar läuft damit jegliches DNS blacklisting in's Leere, aber damit taucht dann Dein eigenes System als DNS-resolver beim ip-leak check auf, also auch keine gute Lösung.
Man könnte auf die resolver einfach durch Tunnel zugreifen (mehrere forwarders durch verschiedene Tunnel), aber bei unzuverlässigen vpn-Verbindungen macht das auch größere Probleme. DNS-timeouts sind schlecht...
Es gibt keine gute Lösung.
Ich habe zwar große Zweifel, daß es in der Praxis eine Rolle spielt, oder daß z.B. Google Anfragen auf 8.8.8.8 auswertet und dann Deiner IP zuordnet, dennoch benutze ich lieber 4.2.2.1 und 9.9.9.9, die sollen eher "unverdächtig" sein.
Versuchsweise habe ich mal ganz ohne forwarding versucht und bin direkt über die root-server gegangen.
Zwar läuft damit jegliches DNS blacklisting in's Leere, aber damit taucht dann Dein eigenes System als DNS-resolver beim ip-leak check auf, also auch keine gute Lösung.
Man könnte auf die resolver einfach durch Tunnel zugreifen (mehrere forwarders durch verschiedene Tunnel), aber bei unzuverlässigen vpn-Verbindungen macht das auch größere Probleme. DNS-timeouts sind schlecht...
Es gibt keine gute Lösung.
Der leak-check funktioniert so, daß on-the-fly ein neuer, nicht-existierender Domain-name für die Ziel-IP generiert wird. Dann wird nachgeguckt, wer diesen aufzulösen versucht.
Taucht als resolver Deine eigene IP auf und gleichzeitig greifst Du dann über einen vpn-Tunnel auf diese Ziel-IP zu, dann bist Du enttarnt.
Wenn das dann noch im Hintergrund passiert und nicht offensichtlich, wie bei einem "leak-check", dann kann das u.U. gefährlich sein.
Taucht als resolver Deine eigene IP auf und gleichzeitig greifst Du dann über einen vpn-Tunnel auf diese Ziel-IP zu, dann bist Du enttarnt.
Wenn das dann noch im Hintergrund passiert und nicht offensichtlich, wie bei einem "leak-check", dann kann das u.U. gefährlich sein.
Polygon
Active Member
Ich wüsste nicht, inwiefern es relevant ist, ob deine Bank weiß, dass du einen VPN benutzt, solange dieser legal ist. Die Bank kann denken, was sie will.
Ja, DNS resolver am besten pihole mit unbound.
kafka
Active Member
Im Ersten Schritt habe ich keinen Bock auf potentielle Einschränkungen meiner Konten bei den Diensten. Aber einfach so aufs Auge drücken möchte ich es auch niemandem, hinterlässt halt einen schönen Zeitstempel wann ich mit welcher VPN IP unterwegs war.
Polygon
Active Member
Das ist ein guter Punkt.
Dann würde ich mir ehr eine Anonyme Sim besorgen und damit meine Bank Besuchen. Wie der zufall es so will, hab ich eine da.
kafka
Active Member
Wozu? Die Bank weiß doch eh wer ich bin. Das Mittel wie ich darauf zugreife ist egal, daher bevorzuge ich eben bei allen Diensten bei denen ich persönlich bekannt bin die normale IP des Providers.
Polygon
Active Member
Einfach zwecks datensparsamkeit.
Einfach so wenig reale Informationen wie möglich. Die IP ist eine davon!
Und ich fühle mich einfach besser damit.
kafka
Active Member
Spricht nichts dagegen. Wenn das für dich passt (und "nichts ausmacht", wie einen Zeitstempel von einer VPN Ip generiert) - Do it.
Ich hatte eigentlich überlegt Unbound mit meinem PiHole zu kombinieren, um verschlüsseltes DNS nutzen zu können. Also würdest du davon abraten? Und für den Angreifer geh ich nicht einfach als vermeindlich öffentlicher DNS-Server durch wegen meines Browserfingerprints?
Polygon
Active Member
Spricht überhaupt nichts dagegen und ist ein dickes Plus für die Privatsphäre, wenn du das in deinem Heimnetz hinter deinem VPN-Anbieter betreibst. Mach ich zb schon seit Jahren.
Dort wird dann keine Heimnetz oder reale IP als DNS resolver angezeigt, sondern die deines VPN Anbieters, solange deine Firewall richtig konfiguriert ist.
Du bist doch gar nicht öffentlich, sondern betreibst nur einen eigenen resolver. Den würde ich keinesfalls von außen hzugänglich machen.
Wenn Dir ein gelegentlicher timeout nichts ausmacht, nimm als forwarder wen immer Du willst und setze eine route (ip route add 8.8.8.8 via 10.x.y.1 dev tun0 oder so) durch einen vpn-tunnel. Dann kannst Du aber auch gleich die PP-resolver setzen.
Ich benutze bind9 und dort kann man mehrere forwarder konfigurieren. Wenn einer der Tunnel mal nicht klappt, kommt es zu sehr lästigen time-outs bis dann der nächste forwarder benutzt wird.
Weil ich die timeouts nicht will, nehme ich lieber quad-9 als forwarder und frage über meine eigene IP ab.
Der resolver ist caching, d.h. eine Anfrage kommt eh nur alle Jubeljahre beim forwarder an, wenn die Gültigkeit abgelaufen ist.
Dafür bleibt dann der meiste DNS-Verkehr lokal und ist extrem schnell aufgelöst.
Die meisten von uns sind ja keine Geheimdienst-Spione und man kann es auch übertreiben.
Das Blockieren von unerwünschten Seiten übernimmt bei mit ein squid-proxy mit einer laaangen blacklist (ähnlich wie spamassassin bei e-mail). Das dauert beim Start, bis die eingelesen ist. Viel Speicher hilft dabei, das ganze flott zu machen.