====== Veřejné nameservery (DNS resolvery) ====== ===== Doporučení ===== ^ # ^ co ^ komentář ^ | 1 | nameserver poskytovatele internetu | **nejsnazší varianta**, jinou volte pokud máte některý z následujících důvodů:\\ a) současné nameservery nejsou spolehlivé,\\ b) chcete větší anonymitu na internetu\\ c) chcete pomocí DNS filtrovat provoz. | | 2 | vlastní nameserver | varianta pro domácí síť, nastavíte si dle vlastních potřeb, hodně se naučíte, velmi **pracné** | | 3 | veřejný nameserver | | ===== Proč používat veřejné nameservery (DNS resolvery)? ===== ==== a) zajištění spolehlivosti DNS služeb ==== Málo častý případ. Staré domácí routery mohou mít výkonnostní problémy, popř. zastaralý software nepodporující novinky v DNS, např. záznamy HTTPS. Menší poskytovatelé internetu mohou mít problém zajistit stabilní provoz svých nameserverů při výpadcích části sítě. Možná řešení: * aktualizujte software pro domácí router, pokud aktualizace nejsou již několik roků k dispozici, tak zvažte zakoupení nového routeru s garantovanou delší dobou bezpečnostních aktualizací, * můžete nastavit, že nameserver na routeru bude získávat údaje z nějakého veřejného nameserveru, * můžete nastavit, že router bude zařízením uvnitř sítě posílat IP adresy nějakého veřejného nameserveru, ==== b) zvýšení soukromí na internetu ==== Zvažte spíše VPNku ==== c) filtrování provozu ==== Začnu obrázky, na kterých jsou vidět možnosti filtrování veřejných DNS serverů. Zobrazte si snímek z nastavení domácího routeru od firmy ASUS: {{ :ruzne:asusrouter.jpeg?direct&200 |}} Můžete si vybírat z následujících skupin veřejných nameserverů: * nameservery poskytovatele internetu, * nameservery s blokováním reklam, * family filtrování - blokování obsahu pro dospělé, často i blokování malware a phishing, * nameservery bez filtrování (zde nameserver 8.8.8.8), * bezpečné - s blokování malware, phishing a podobných stránek * respektující soukromí - bez logování, bez filtrování, * vlastní nameservery {{ :ruzne:2025-04-14_233131.png?direct&200 |}} Druhý snímek je ze služby [[https://controld.com/free-dns | Control D]], kde si můžete vybrat, co chcete pomocí DNS filtrovat: * bez filtrování, * blokování malware, * blokování reklam a malware, * blokování reklam, malware a sociálních sítí, * blokování reklam, malware a obsahu pro dospělé * některé z nich umožňují filtrovat nežádoucí provoz - malwarové a phishingové domény, obsah pro dospělé, sociální sítě, ... * stejné nastavení mohou zařízení používat ve školní síti i mimo ni, * provoz na DNS resolvery lze šifrovat, * šifrovaný provoz na DNS resolvery je požadavkem pro [[https://www.cloudflare.com/learning/ssl/what-is-encrypted-sni/|šifrované SNI hlavičky]] - z nešifrovaných SNI lze zjistit, na které HTTPS servery se uživatel připojuje. Kde nastavit a výběr protokolu Není jednodušší používat VPNku? Které DNS resolvery používat? Filtrování: * bez jakéhokoliv filtrování (doporučuji vyhnout se nameserverům, které nepoužívají ani DNSSEC), * filtrování na základě zákona, * filtrování malware, * filtrování https://www.ipfire.org/docs/dns/public-servers https://www.lifewire.com/free-and-public-dns-servers-2626062 https://www.techradar.com/news/best-dns-server https://www.geeksforgeeks.org/best-free-and-public-dns-servers/ https://cmdns.dev.dns-oarc.net/ https://wiki.mozilla.org/Security/DOH-resolver-policy#Conforming_Resolvers https://www.chromium.org/developers/dns-over-https/ https://github.com/paulmillr/encrypted-dns?tab=readme-ov-file#providers ===== Testování rychlosti ===== {{ :ruzne:2025-04-14_231429.png?direct&400|}} Otestujte si rychlost odpovědí od veřejných nameserverů, které Vám funkčně vyhovují. Doporučuji se dívat i na rozptyl v rychlosti odpovědí. Vpravo je snímek z aplikace DNS Benchmark. Je na ní vidět, že nameserver na lokálním routeru je u cachovaných odpovědí výrazně nejrychlejší. Následuje krátký přehled služeb/aplikací, pomocí kterých lze zjistit rychlost veřejných DNS serverů ^ služba/aplikace ^ popis ^ | [[https://www.dnsperf.com/#!dns-resolvers | https://www.dnsperf.com/ ]] | každou minutu z vybraných míst testují resolvery a posuzují rychlost a stabilitu | | [[https://dnsspeedtest.online/]] | v prohlížeči testuje rychlost vybraných veřejných resolverů přes DoH | | [[https://www.grc.com/dns/benchmark.htm|DNS Benchmark (grc)]] | aplikace do Windows testuje různé DNS resolvery, lze přidat vlastní, vytvořit si vlastní. V placené verzi lze testovat i DoT a DoH | Lze testovat i **z příkazové řádky**, v unixu lze použít aplikace dig či kdig. Multiplatformní je aplikace [[https://github.com/mr-karan/doggo | doggo]], ve které lze zadat více nameserverů včetně protokolů a poté se zobrazí přehledný výstup seřazený od nejrychlejší k nejpomalejšímu. Nápověda se zobrazí při spuštění bez parametrů. Následující příkaz: doggo --time @tls://odvr.nic.cz @tls://ordns.he.net. @tls://1.1.1.1 @tls://dns.google @tls://clean.dnsforge.de @tls://dns-dot.dnsforfamily.com @tls://dns.adguard-dns.com @tls://family.adguard-dns.com @tls://family.freedns.controld.com @tls://family-filter-dns.cleanbrowsing.org @tls://dns.quad9.net @tls://dot-de.blahdns.com @tls://familyshield.opendns.com @tls://noads.libredns.gr @tls://kids.dns0.eu @tls://family.cloudflare-dns.com @tls://dns.switch.ch @tls://family.dot.dns.yandex.net wikipedia.cz mi ve školní síti dá následující výsledky. NAME TYPE CLASS TTL ADDRESS NAMESERVER TIME TAKEN wikipedia.cz. A IN 3471s 81.95.96.75 odvr.nic.cz:853 39ms wikipedia.cz. A IN 3578s 81.95.96.75 ordns.he.net.:853 39ms wikipedia.cz. A IN 3587s 81.95.96.75 family.cloudflare-dns.com:853 41ms wikipedia.cz. A IN 3587s 81.95.96.75 1.1.1.1:853 41ms wikipedia.cz. A IN 3585s 81.95.96.75 kids.dns0.eu:853 48ms wikipedia.cz. A IN 3578s 81.95.96.75 family-filter-dns.cleanbrowsing.org:853 56ms wikipedia.cz. A IN 3578s 81.95.96.75 family.freedns.controld.com:853 57ms wikipedia.cz. A IN 3578s 81.95.96.75 clean.dnsforge.de:853 59ms wikipedia.cz. A IN 1235s 81.95.96.75 dns-dot.dnsforfamily.com:853 60ms wikipedia.cz. A IN 3578s 81.95.96.75 dot-de.blahdns.com:853 61ms wikipedia.cz. A IN 3578s 81.95.96.75 noads.libredns.gr:853 65ms wikipedia.cz. A IN 3578s 81.95.96.75 dns.adguard-dns.com:853 68ms wikipedia.cz. A IN 3578s 81.95.96.75 family.adguard-dns.com:853 76ms wikipedia.cz. A IN 3383s 81.95.96.75 familyshield.opendns.com:853 79ms wikipedia.cz. A IN 3578s 81.95.96.75 dns.switch.ch:853 79ms wikipedia.cz. A IN 3600s 81.95.96.75 dns.google:853 83ms wikipedia.cz. A IN 3557s 81.95.96.75 family.dot.dns.yandex.net:853 373ms wikipedia.cz. A IN 3595s 81.95.96.75 dns.quad9.net:853 547ms Pro smysluplné porovnání je potřeba otestovat vícekrát (aspoň 10x). Např. dns.quad9.net má velký rozptyl v rychlosti odpovědí. ===== DNS resolvery na VŠE ===== VŠE provozuje DNS resolvery pod dvěma jmény: dns1.vse.cz (146.102.41.11, 2001:718:1e02:41::11) dns2.vse.cz (146.102.41.12, 2001:718:1e02:41::12) Ve skutečnosti je to více serverů, výše uvedené IP adresy jsou anycastové. Uvedené IP adresy se přiřazují přes DHCP. Pravidla: * nelogujeme provoz, tj. nemáme záznamy kdo žádal o překlad kterého doménového jména; nelogujeme ani samotná doménová jména bez vazby na žadatele, * nefiltrujeme IP adresy/doménová jména, * vytváříme statistiky Používání externích DNS resolverů v síti VŠE Je povoleno pro koleje a pro bezdrátové sítě. Ve většině ostatních částí školní sítě je jejich užití často blokováno.