Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Openbare Pi-Hole Adhole van tweaker Freekers gaat offline

Tweaker Freekers heeft besloten om Adhole.org te sluiten. De openbare Pi-Hole was bijna vijf jaar actief, maar het wordt tijdtechnisch een te grote last voor hem, schrijft Freekers, omdat de Pi-Hole te groot gegroeid is.

Freekers begon zijn Pi-Hole als single-node in 2017 op een publieke VPS. Sindsdien is deze uitgegroeid tot een wereldwijd multi-node adblocking DNS-netwerk met duizenden gelijktijdige gebruikers, schrijft Freekers op de site van ADhole. Hij heeft geen tijd meer om deze stabiel in de lucht te houden.

De groei van de Pi-Hole betekent dat servers upgrades moeten krijgen, er incidenten zijn die verwerkt moeten worden en al met al is het veel werk, schrijft hij. "Het project is een slachtoffer geworden van zijn eigen succes." De huidige set-up heeft regelmatig last van stabiliteitsproblemen en sinds kort ook problemen met certificaten en steeds veranderende IP-adressen. Omdat 'niemand zit te wachten op een instabiele DNS', besluit Freekers nu te stoppen met Adhole.

In gesprek met Tweakers zegt Freekers dat op het hoogtepunt zo'n 5000 gebruikers tegelijk gebruik maakten van AdHole, als hij alle locaties bij elkaar optelde. Behalve dat het veel tijd kostte, kon de Pi-Hole wat betreft kosten ook niet uit. "Qua servers had Adhole per locatie slechts één node. Dat waren dualcore VPS'en met 4GB ram. De bandbreedte lag tussen de 1 tot 5TB per maand, afhankelijk van de locatie. Op het hoogtepunt had ik drie Patrons die gezamenlijk 13 dollar per maand binnen brachten. Daarnaast kreeg ik maandelijks een of twee donaties van 10 dollar."

Verschillende mensen waren op de achtergrond betrokken bij het in de lucht houden van Adhole en Freekers bedankt verschillende betrokkenen, alsook fans van het project. Om te voorkomen dat het domein geregistreerd wordt door DNS-hijackers of spoofers houdt Freekers nog zeker een jaar de website adhole.org onder zijn beheer.

Update, 17:23: de hoeveelheid bandbreedte was uitgedrukt in GB, maar dit is gecorrigeerd naar TB.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

12-01-2022 • 17:02

144 Linkedin

Submitter: Munchie

Reacties (144)

Wijzig sortering
Hopelijk wil @Freekers als er tijd is uitleggen waar je allemaal tegenaan kan lopen, wat oorzaken zijn en hoe het beter kon. Er lijkt me veel van te leren voor andere tweakers.
Reageer
Ik ben er destijds mee begonnen omdat ik in mijn kennissenkring merkte dat er interesse was in adblocking op DNS niveau, maar dat ze zelf niet de kennis hadden om een Pihole op te zetten en te onderhouden. Vijf jaar geleden zag de wereld er iets anders uit en waren er nagenoeg geen publieke diensten die dit (voor nop) aanboden en aangezien ik een servertje over had heb ik het erop gewaagd.
Gedurende het proces heb ik ontzettend veel geleerd. Van Docker tot Ansible maar ook van DNS zelf. Met name DNS amplification attacks waren grote boosdoeners in het begin, waar Pi-hole niet mee overweg kon. Logisch ook, want Pi-hole is eigenlijk niet bedoeld om publiek te draaien, dat maken de developers ook heel duidelijk in hun documentatie. Destijds heb ik met allerlei iptable rules daar iets omheen proberen te verzinnen en dat werkte redelijk, maar support voor zaken zoals DNS over TLS of DNS over HTTPs ontbrak in Pi-hole. Wederom logisch, normaliter is er geen noodzaak om je DNS requests te encrypten op je eigen vertrouwde LAN.
Een jaar of 2 geleden ben ik overgestapt naar Adguard Home als backend, aangezien Adguard wel deze features ondersteund en ook wat basale veiligheidsfeatures aan boord heeft zoals rate limiting. Dat is ook het moment dat ik alles heb overgeheveld naar een Ansible Playbook zodat ik alles makkelijk met 1 druk op de knop opnieuw kon installeren, bijv. bij de aanschaf van een nieuwe node.
Nieuwe nodes kocht ik dikwijls gedurende Black Friday of Cyber Monday op sites zoals Lowendspirit. Enkele nodes waren gesponsord door providers zelf, omdat ze het een leuk idee vonden.
Nu na vijf jaar stop ik ermee. De laatste tijd stopte ik er meer energie in dan ik er genoegdoening uit haalde. Daarnaast barstten de servers uit hun voegen waardoor de latency van elk request veel te hoog werd. Dit merkte je tijdens het surfen en dat wil ik niemand aandoen. Grotere servers is een optie, maar het geld moet ergens vandaan komen. Overigens had ik liever horizontaal geschaald ipv verticaal, maar het aantal (betaalbare) providers die anycast IPs aanbieden is schaars (BuyVM is er 1 van).
Gelukkig zijn er nu legio andere diensten die hetzelfde aanbieden voor 'nop', dus ex-Adhole gebruikers vallen hopelijk niet in een te diep gat.

[Reactie gewijzigd door Freekers op 12 januari 2022 18:17]

Reageer
Hoi @Freekers,

Wat zou er afgezien van tijd financieel voor nodig zijn om dit te laten draaien?

Mvg
Reageer
Wat er financieel nodig is ligt er helemaal aan hoeveel locaties je wilt hebben. Mijn doel was een wereld wijde opzet, d.w.z. op elk continent minstens 1 server.
Daarnaast ligt het eraan hoeveel gebruikers je wilt bedienen, dat bepaald hoe groot je servers moeten zijn qua resources (CPU/RAM/Dataverkeer). Je kunt voor de gein eens spelen met wat calculators op Vultr of Digital Ocean om een globaal idee te krijgen.
Reageer
Hi Freekers, dank je wel voor je mooie project waar je zo veel mensen blij mee hebt gemaakt. Hopelijk heb je er ook veel plezier aan gehad. Ik ga zelf een pihole inrichtten.
Reageer
Ik heb geloof ik iets helemaal verkeerd gelezen. Ik dacht dat Pihole zelf niet meer ondersteund werd en ophield te bestaan.

Freekers heeft dus pihole gebruikt om anderen een advrije internet ervaring te geven. Gaaf project!
Reageer
Klopt helemaal! Thanks :)
Reageer
Dankjewel. Met deze tutorial kom je vast een heel end:
https://www.youtube.com/watch?v=LFDvxEsxQ04
Er is gelukkig heel veel te vinden over Pihole mocht je ergens tegenaan lopen en de community forums (of hier op T.net) zijn ook zeer actief
Reageer
Contacteer cloudflare. Verkoop je idee concept aan hun.
Reageer
Er bestaan al verschillende adblockers op DNS-niveau. Adguard biedt dit zelf bv. ook aan. Zoals in het artikel ook beschreven was dit ten tijde van de oprichting wel anders. Maar nu is het niet echt bijzonder meer.
Reageer
ben wel beniewdt eigelijk want met k8s en Adguard Home kom je best verdenk ik
Reageer
Om wereldwijd low-latency verzoeken te voldoen heb je het dan over meerdere Kubernetes-clusters wereldwijd. Die je vervolgens allemaal up to date moet houden en onderhouden en betalen. Zo'n cluster is duurder dan een los VMmetje her en der met pihole-software erop. Voor een enkele beheerder als hobby 6 servers constant up to date houden (en/of de bijbehorende playbooks e.d. aanpassen/toevoegen) kan al aardig wat uur opvreten, laat staan de complexiteit van Kubernetes daar bovenop.
Reageer
alles je hooft locatie k8s valt het wel mee en de rest vm zijn
Reageer
Wat mensen bedoelen is dat je helemaal niet zit te wachten op tijdens kerst je K8 cluster moeten repareren. Naast werk, familie, sociale contacten, hobbies en studie.

Zo'n last op je dragen met gevoel van verantwoordelijkheid richting al die gebruikers is op een bepaald moment helemaal niet leuk meer. Zeker als het niets oplevert en het uit good will komt.

[Reactie gewijzigd door Yariva op 12 januari 2022 21:44]

Reageer
De software is inderdaad 'gratis' (open source), maar de hardware waar het op draait niet ;)
Reageer
Misschien dat de community wel resource beschikbaar heeft voor het project had je daar al over naar gedacht ?
Reageer
Vanuit de tekst:
Op het hoogtepunt had ik drie Patrons die gezamenlijk 13 dollar per maand binnen brachten. Daarnaast kreeg ik maandelijks een of twee donaties van 10 dollar.
Dat was er dus al, maar bracht niet echt voldoende in het laatje om zelfs kosteloos te kunnen draaien en Freekers dus ook eigen geld er in stak (een hobby mag immers best geld kosten). Als de community resources heeft, kunnen ze net zo goed zelf een Pi-Hole of AdGuard Home instantie draaien voor zichzelf.
Reageer
De DNS recursor wil je als bare metal die gewoon staat te stampen. Heb je helemaal geen fancy k8s cluster voor nodig.
Reageer
Een paar problemen die je noemde waren geld, wijzigingen in IP-adressen en andere incidenten. Wat valt daarvan te leren?
Reageer
Uiteindelijk moet het 'ijzer' toch betaald worden. Een gedeelte van de servers was gesponsord, de rest kwam van donaties en uit mijn eigen zak. Upgraden was dus makkelijker gezegd dan gedaan, want met 6 locaties en dus 6 servers, gaan alle kosten keer 6. Aankloppen bij providers voor een upgrade op een reeds gesponsorde server vond ik not done (iets met een gegeven paard). En vragen om donaties is nooit de intentie van dit project geweest. Ik zag het als een hobby en een hobby kost geld, maar het moet wel leuk blijven. Overigens was dit niet de hoofdreden om ermee te stoppen, dat was echt de tijd die het me kostte en het gebrek aan genoegdoening wat ik er uit haalde.

IP adressen wilden nog wel eens wijzigen om meerdere redenen. Bijvoorbeeld omdat een provider z'n locatie ophief, een migratie naar een andere node of simpelweg de overstap naar een andere provider. Dat was irritant omdat alle gebruikers dan het IP adres van hun DNS moesten wijzigen. Ik denk als je het echt goed wilt doen, je je eigen IP range moet hebben (en dat is heel duur).

Qua incidenten heb ik zo snel geen tips. Wel heb ik sinds het nieuwe intermediate certificate bij Let's Encrypt problemen gehad om DoH en Dot aan de praat te krijgen. Uiteindelijk is me dat ook niet gelukt. Waarom blijft me een raadsel, de chain was correct.
Reageer
Eigen IP's is wel heel duur. Ik lease een /24 dat is het minimale en dat kost me ik dacht iets van $840 per jaar. En dat is nog heel goedkoop. Dan moet je nog een provider hebben die BGP session en anycast ondersteunt. Met BuyVM zou het kunnen, dan heb je al Europa en East en West coast US qua locatie. Maar voor een hobbyprojectje is dat al wel over de top.

Ach ja toch 5 jaar vol gehouden en veel geleerd. Ik heb VPS-jes verhuurd en verkocht via Let/Les. Ook heel veel van geleerd maar uiteindelijk ook erachter gekomen dat het teveel tijd kost en mee gestopt. Maar het is zeer leuke materie.
Reageer
Hij kon misschien een Ad tonen voordat de site werd geladen die je zonder ads wou zien.. 8)7

Moraal van verhaal is, we willen geen ads, maar om een dienst die ads blocked in de lucht te houden, heb je geld nodig... en hoe halen meeste sites extra inkomen op? Met ads... op grote schaal is dat dus niet houdbaar lijkt me. Een maandelijks abbo van paar euro zou wel een optie kunnen worden. Maar haal je daar ook klanten mee binnen?
Reageer
NextDNS biedt dat betaald en die halen wel degelijk klanten binnen. In idee geval mij…
Reageer
Ik zie het nut van pi-hole nog altijd niet waarom dat beter zou zijn dan een adblocker in je browser. Ik heb pihole weleens getest maar had veel issues. Traag ladende sites / blokkerende verbindingen. Ik was heel de dag aan het whitelisten. Met je browser is dat een druk op de knop. Voor Android heb ik dan wel Adguard aangeschaft.
Reageer
Een DNS oplossing werkt gelijk voor je hele thuisnetwerk. Het whitelisten is maar heel af en toe nodig en werkt inderdaad net een tikje omslachtiger dan als je een browserextensie hebt. Ik kan nu echter adblocking voor mijn hele gezin in 1 keer regelen, dat scheelt me een hoop werk om overal adblockers te installeren en up-to-date te houden.
Reageer
Misschien leuk om hier eens een next-artikel over te maken. Ik denk dat meerdere mensen interesse hebben, vanuit technisch perspectief ben ik zelf benieuwd. Daarnaast misschien ethisch ook wel interessant omdat bedrijven die ads maken het weinig doet in welke context ze die tonen.

Ik ken meerdere mensen die zich beklagen dat hun kleine kids (0-4 jr) Youtube kijken en meer dan 30 seconden ads over schietspellen, heftige films of ander soort gore voorgeschoteld krijgen. Er is niet één 10-euro-per-maand-oplossing om alle ads legitiem te weren, toch?
Reageer
Een artikel hierover lijkt me inderdaad heel interessant. Maar aangezien Tweakers zelf ook nogal leunt op advertenties, vraag ik me af of dat er gaat komen...
Reageer
Als het alleen voor Youtube is: een abonnement van € 11,99 nemen op Youtube Premium.
Reageer
Daarnaast misschien ethisch ook wel interessant omdat bedrijven die ads maken het weinig doet in welke context ze die tonen.
Hebben ze dan wel een kinder account aangemaakt en op dat moment dan aangemeld? Of zitten die kinderen gewoon op de account van de ouders? In dat geval kan ik YouTube niet kwalijk nemen dat ze geen kinder veilige ads tonen. YouTube kan gelukkig of helaas (vul zelf maar in) zien wie er achter de scherm zit natuurlijk.

[Reactie gewijzigd door Daoka op 12 januari 2022 23:41]

Reageer
Youtube Red abbo van youtube zelf plus Sponsorblock die in-video ads van uploaders zelf automatisch weghaalt.
Reageer
Die extensie slaat de reclames over, mits ze bekend zijn gemaakt. De reclame blijft natuurlijk gewoon in de video zitten en wordt niet door de extensie uit de video verwijderd. Het is een grote database waarop per video wordt bijgehouden op welke momenten naar welke momenten moet worden overgeslagen.
Reageer
YouTube cancer kost nul euro, AdBlock in je browser ook. Of een abonnement op YT nemen.
Reageer
Wat betreft dat YouTube voorbeeld, wijs deze mensen eens op youtubekids.com waar je als ouder ook de leeftijd van de kijker kunt instellen (en dus type content en de hoeveelheid/inhoud van reclame). Is ook een apart app van. /offtopic
Reageer
Ik ken meerdere mensen die zich beklagen dat hun kleine kids (0-4 jr) Youtube kijken en meer dan 30 seconden ads over schietspellen, heftige films of ander soort gore voorgeschoteld krijgen.
Daar is YT kids voor. Op content voor kinderen kun je dergelijke reclames niet tegenkomen. YT kids heeft volgens mij namelijk geen ads.
Reageer
Ik vraag me nu oprecht af...... kinderen van 4 die op youtube weten te komen?
Echt...... Priscilla en Delano ( de ouders) hebben dringend coaching nodig...
Reageer
Hier al meer dan een jaar nextdns, wat we overal op elk toestel gebruiken. In een enkel geval een exclusie toevoegen, maar meer is het niet. Minder track g en ook een stuk veiligheid er bij.
Reageer
Hangt van je use case af. Als je vooral je PC gebruikt voor internet browsen dan voldoet een goede adblocker ook prima. Heb je echter meerdere (apple) tablets in huis, dan is het soms wat lastiger. Als ik zie wat mijn pihole allemaal blokt op de ipad van mijn vriendin, dat is nogal wat (sites als pinterest e.d.). De pihole was een tijd geleden een keer even eruit voor een (hoognodige) update en ze schrok zich rot van alle reclame die ze ineens weer zag tijdens internetgebruik, maar ook tijdens gebruik van apps kan de pihole helpen.
Reageer
De browser die bijna iedereen gebruikt in welke vorm dan ook is gemaakt door de grootste ads verkoper. :P
Reageer
ik draai nu ruim 3 jaar een pi-hole op een raspberry pi die ik over had en ik herken me totaal niet in de zaken die je opsomt. als je de hele dag aan het whitelisten bent geweest, dan gebruikte je de verkeerde adlists. Het voordeel van een pi-hole is naast dat het meteen werkt voor heel je netwerk en alles wat erop aangesloten is en je zelf kunt bepalen wat je niet en eventueel wel wilt doorlaten. Daar waar adblocker extensies nog behoorlijk veel ongewenste rommel doorlaten, houd pi-hole dat gewoon tegen. Bovendien ben je met één adblocker extensie nog niet klaar per browser. Zo gebruikte ik adblocker en privacy badger en ublock naast elkaar en nog kwam ik erachter dat heel veel doorgelaten werd doordat pi-hole het netjes registreerde.
Het kost even wat tijd en moeite maar een goed ingestelde pi-hole draait als een zonnetje. idd wel een paar keer een probleem dat de pi-hole ermee stopte maar dat is meestal doordat een update niet goed gaat of de sd-kaart de geest geeft. Maar met de teleport functie zet je alles binnen een paar minuten weer terug. Maak daarvoor wel een teleport backup zodra je de pi-hole hebt ingesteld zoals je wilt.Ik zou niet meer zonder willen.
Reageer
Dan heb je toch echt verkeerde block lijsten gebruikt...
Reageer
Nou met name omdat het dan zowel in je browser werkt als in apps zowel mobiel als desktop, en zelfs IoT spulletjes. Die zijn echt extreem spraakzaam naar trackers vaak.

Ik gebruik beiden gewoon als aanvulling op elkaar

[Reactie gewijzigd door GekkePrutser op 13 januari 2022 04:18]

Reageer
Ja, deze gebruik ik privé ook, maar ik moet bekennen dat ik niets meer explicit heb moeten whitelisten sinds ik gebruik maak van de OISD block list. OISD bevat nagenoeg geen false positives.
Reageer
Welk alternatief adviseer je?
Ik wil er binnenkort aan beginnen dus ben nog een noob.
Reageer
Raspberry Pi kopen, SD kaartje, software installeren, Pihole installeren.

Leuk voor een regenachtige zaterdagmiddag. En leerzaam :)
Reageer
Of een docker image als je een NAS-server hebt draaien.
Reageer
Ik draai het binnen Docker op mijn Pi, dat werkt ook prima. Sinds ik dat doe merk ik dat mijn Pi-Hole zich goed staande houdt. Ik had in het verleden nog wel eens dat uiteindelijk het OS niet meer wilde booten door een update van Pi-Hole. Nu is het containerized, herstart ik dus de container wanneer Pi-Hole niet meer werkt en gebeurd er met het lokale OS (Raspbian) helemaal niets meer.
Reageer
USB stick ipv een sd kaartje.
Veelal lokt deze opmerking discussie in de vorm van "ik heb nog nooit een kapotte sd kaart gehad". maar feit is dat een USB stick robuster op langere termijn is dan een SD kaartje.
Reageer
Hier moet ik toch even op inhaken. Ik heb wel degelijk veel kapotte SD-kaartjes gezien in de afgelopen 10 jaar, maar óók kapotte usb-sticks. Op het moment dat ze hetzelfde type flash gebruiken, maakt het bijzonder weinig uit welke van de twee je kiest.
Reageer
Inderdaad. Ik en m’n grote mond. . . . . die ik dus dicht had moeten houden. Vandaag een pi met p1monitor even gereset waarna het apparaat dus compleet niet meer opstartte. Ik kan hoog en laag springen, maar opstarten vanaf die usb stick is een no-go. hij boot niet eens meer. pas als ik een andere usb stick er in doe wil hij weer opstarten.
Dussssssss. blij dat de software op een andere plek een goede backup gemaakt heeft. Het was een wat oudere usb stick, maar toch.
Reageer
eens. Maar volgens mij worden USB sticks niet ondersteund op de oudere Pi's (correct me if I'm wrong). En aangezien hij er nog mee wil gaan beginnen ga ik er vanuit dat hij niet meteen alles nieuw koopt. Zou ik tenminste niet doen: eerst testen om te zien of het bevalt, dan pas de definitieve hardware kopen :) maar misschien is dat mijn gierigheid ;)
Reageer
Werkt in ieder geval prima op de 3b. Heel veel ouder zal denk ik voor gebruik voor een PiHole niet echt aangeraden. Maar inderdaad als je start en je hebt een Pi met een sd kaart kan je daarvan altijd verder oppakken.
Reageer
Heel simpel alternatief is nextdns.io als je niet van gekloot houd
Reageer
Als je een alternatieve dienst zoekt, dus dat het voor jou gehost wordt, kijk dan eens naar NextDNS of AhaDNS. Wil je zelf aan de slag, dan kom je met een Raspberry Pi en deze tutorial vast een heel end: https://www.youtube.com/watch?v=LFDvxEsxQ04

Er is gelukkig heel veel te vinden over Pihole mocht je ergens tegenaan lopen en de community forums (of hier op T.net) zijn ook zeer actief :)
Reageer
In iig enorm bedankt voor alle inzet, heb Pi-Hole 2~3j met tevredenheid gebruikt, vorig jaar stapte Home Assistant over Adguard als plug-in, en ben ik mee overgegaan, en ben over Adguard net zo tevreden als ik voorheen met Pi-Hole was, sta gelukkig niet opeens in de regen.

Nogmaals enorm bedankt voor alle inzet, projecten als deze, maken het leven een stuk pretiger.
Reageer
Bedankt, maar verwar je mij niet met de developer(s) van Pi-hole? :) Dit zijn/waren twee op zich losstaande dingen.
Reageer
Bedankt voor je verhaal en je jaren lang inzet! Je mag trots zijn op wat je hebt bereikt!
Reageer
Ik wist niet eerder van dit project maar dank je dat je al die mensen jarenlang plezier hebt gebracht!
Reageer
Jammer dat deze dienst stopt maar begrijpelijk. Ik had er eerlijk gezegd nog nooit van gehoord en had een tijdje een eigen PiHole draaien in mijn netwerk. Sinds enkele maanden overgeschakeld naar nextdns.io wat soortgelijke functionaliteit bevat als PiHole maar minder gedoe met onderhoud. Werkt naar volle tevredenheid overigens.
Reageer
Het fijne aan pihole is dat je het icm een eigen recursive DNS kan draaien (bijv. unbound). Daarmee zijn je DNS-queries nagenoeg privé. Bij nextdns sta je een gedeelte van je privacy af ten gunste van adblocking. Die privacy sta je af omdat een derde partij voor jou de look-ups doet.

Bert Hubert heeft er op Tweakers een keer een talk over gegeven: https://youtu.be/ZWabMpBGgUU

Bert zelf is de oprichter van PowerDNS, een veelgebruikt stuk DNS software in de zakelijke wereld.
Reageer
Interessante video. Wel jammer dat comments uitgeschakeld staan. Beetje ironisch dat een forum dienst youtube kanaal geen reacties mag ontvangen....
Reageer
Best wel inderdaad.
Videos zonder comments gaan bij mij normaalgesproken ongezien dicht.
Daar in 9 van de 10 gevallen de eigenaar van de video wat te verbergen heeft.
Zeker nu de dislike knop niet meer betrouwbaar aantallen weergeeft, zijn comments nog noodzakelijker om een vlugge scan te doen of een video tijd waard is.
Reageer
Ik kan je deze video van harte aanbevelen. Ik was erbij en heb Bert al een paar keer face-to-face gesproken. Bijster goede man die veel interessants te vertellen heeft.
Reageer
De meesten gebruiken uberhaupt al een DNS recursor van een 3e partij: Zoals Ziggo, KPN of Google. Deze blokkeren geen reclame en tracking, of erger nog: dit is uberhaupt het business model van Google.

in 99% van de gevallen is het ook nog eens onbeveiligd DNS verkeer over poort 53, dus is het gemakkelijk af te luisteren of een MITM uit te voeren.

NextDNS bied in ieder geval versleuteld DNS verkeer en helpt je tracking en ads tegen te houden.
Reageer
Van "de meesten" zou ik niet verwachten dat ze een eigen DNS server draaien. Echter, van Tweakers (een kleinere, iets meer technisch onderlegde community) zou ik wel verwachten dat er meer een afweging wordt gemaakt tussen het zelf doen versus uitbesteden (en zo ja, tegen welke prijs). Daar was mijn opmerking aan gericht, niet aan "de meesten". :)
Reageer
Het nadeel van een eigen recursive DNS server is dat je geen versleutelde DNS-verzoeken kan doen. Dit maak tracking bijvoorbeeld makkelijker.

Zo wordt mijn netwerk door SURF gemonitord, en onderzoek dat ik deed naar mobiele apps triggerden dat mijn netwerk in quarantaine ging doordat een stel apps waarvan ik de domeinen opzocht malwaredomeinen bevatte. Ik gebruikte expres 1.1.1.1 en 8.8.8.8 voor de lookups, maar dat werd dus gewoon alsnog geanalyseerd.

De veiligste, meest private manier van DNS lijkt mij de nieuwe variant van DoH, Oblivious DNS over HTTPS, die een extra anonimiseringslaag over DoH heen legt. Door een versleutelde query maar de proxy te sturen weet de proxy niet wat je opzoekt, en doordat het verzoek voor de server van de proxy wordt aangeleverd weet de server niet wie het opzoekt. Als je proxy en je server van verschillende partijen zijn, is de kans dus klein dat er een DNS-partij is die doorheeft wie wat opzoekt. Een heel elegant systeem, vind ik.
Reageer
Je eigen recursive DNS kan wel degelijk versleutelde DNS verzoeken doen, waarom niet?

De "recursive DNS server-rol" staat los van welk protocol (bijvoorbeeld traditioneel DNS over UDP 53, TCP 53, DNSSEC, DNS over TLS, DNS over HTTPS of DNS over QUIC). Dit gaat op voor zowel de client - server als de recursive DNS server met upstream of authoritive DNS servers
Reageer
Omdat de authoritive DNS servers alleen DNS doen? DNS is een losstaand protocol van DoT en DoH, de meeste authoritive servers doen niet eens DNSSEC laat staan dat ze hun records over TLS serveren. In Nederland hebben we wel relatief veel DNSSEC, maar aan de andere kant is DNSSEC alleen voor validatie, het biedt geen versleuteling.

Theoretisch kan het natuurlijk wel, versleutelde recursive lookups, maar voor zover ik weet zijn er geen autoratieve servers die DoH en DoT aanbieden. Praktisch zul je met een recursive server bijna alleen maar plaintext verzoeken sturen en dat verzoek bevat ook het domein (eventueel zonder subdomeinen) dat wordt geresolved.

Wil je enigszins vloeiend werken, heeft een server ook vaak niet eens de tijd om te bepalen of er op de beveiligde poorten service wordt geboden; je wilt het liefste niet een halve seconde wachten om te kijken of de server op DTLS of TLS reageert; je wilt binnen een paar milliseconden het IP vinden.

Mocht je populaire TLD root servers kennen die DoT of DoH doen, dan zou ik daar graag meer over horen. Wellicht dat die van Google (.dev en dergelijke) het ondersteunen? De meeste servers zullen nog wel een paar jaar onversleuteld blijven ben ik bang.
Reageer
Grappig wist niet dat dit bestond.
Ik heb zelf wel eens bedacht om pihole publiek toegankelijk te maken voor mn familie en vrienden.
Maar is las overal dat het een slecht idee is vanwege allemaal veiligheid redenen.
Reageer
Deze blog serie legt het e.e.a. uit waarom het, zonder de juiste maatregelen te nemen, niet wenselijk is om zomaar een open DNS resolver te draaien: https://blogs.infoblox.co...n-dns-resolver-be-part-i/
Reageer
Dit is een waarschuwing tegen traditionele DNS over 53 UDP, en niet tegen publieke DNS recursors in het algemeen.

Ratelimiting en DNSDist van PowerDNS kunnen helpen om verantwoord een recursor op het publieke internet te draaien.
Ook Google 8.8.8.8 doet gewoon ratelimiting: wanneer je als bedrijf of universiteit te veel requests doet mag je contact met ze opnemen om een uitzondering te krijgen.
Reageer
Nog een andere toevoeging: DNS over HTTPS is een stom ontworpen protocol, maar het voorkomt wel de traditionele aanvallen. DNS over TLS (over TCP) doet dat ook.

Je kunt DNS over HTTPS opzetten met een daemon. Die kun je zo in iemands browser of tegenwoordig geloof ik zelfs op iemands Windows instellen.

Met bijvoorbeeld nginx kun je DNS over TLS met een enkel stream{} directive toevoegen (TCP/853 doorsturen naar TCP 53 op de PiHole en wrappen in TLS, dan heb je al DoT). Dat is hoe je een "veilige DNS server" in Android kunt opzetten, die kun je gewoon in de instellingen ingeven.

Omdat deze protocollen achter TCP zitten, is de impact op de wereldwijde internetveiligheid minimaal. Amplification is onmogelijk, bijvoorbeeld. Je bent aan de andere kant wel weer afhankelijk van iemand anders z'n internetverbinding op die manier, maar dat hoeft geen probleem te zijn.
Reageer
Grappig wist niet dat dit bestond.
Ik heb zelf wel eens bedacht om pihole publiek toegankelijk te maken voor mn familie en vrienden.
Maar is las overal dat het een slecht idee is vanwege allemaal veiligheid redenen.
Waarom? Als die dat zelf niet verder delen, zie ik het probleem niet.
Reageer
Veiligheid voornamelijk, daarom stellen de meeste providers het ook niet op prijs als je poort 53 gaat open zetten als ze het niet al actief blokkeren.
Reageer
Intern ja, vanaf het internet is het niet zo wenselijk. Dat is wachten op misbruik en hack aanvallen.
Reageer
Nee. Die moeten op je server en in je netwerk open. Je moet ze nooit naar internet toe zomaar openzetten, daarmee wordt je een open resolver en doet je PiHole mee aan zo'n beetje elke DDoS die je kan bedenken. Open resolvers zijn een van de belangrijke redenen waarom DDoS zo makkelijk is.

Sommige providers sluiten je internet af of vertragen het als je verbinding langdurig overlast veroorzaakt, en eisen dan bewijs dat je je netwerk op orde hebt voor je weer door kunt gaan. Naast dat je meedoet aan een cyberaanval, kun je er daardoor ook nog persoonlijk last van krijgen.
Reageer
Veiligheid voornamelijk
Niet veiligheid, maar overlast. DNS werkt heel goed als versterker voor (D)DoS-attacks.

-- edit -- zie ook de post van Freekers himself hieronder :-P

[Reactie gewijzigd door wankel op 12 januari 2022 20:33]

Reageer
Het kan wel maar het is niet handig om dit direct te doen zonder extra maatregelen.
Kijk bijvoorbeeld eens naar PowerDNS project dnsdist
Reageer
Lijkt me dat hij ook gewoon 1 euro per maand per gebruiker had kunnen gaan vragen. Waarom zou zo iets gratis moeten blijven?
Reageer
Hoe ga je voorkomen dat mensen die niet betalen je DNS server gebruiken dan?
Reageer
Ik snap je punt maar daar is vast wel wat op te bedenken. Even snel uit de losse pols: authorisatie van een IP address via een web-app, eventueel automagisch op de achtergrond. Zo vaak veranderd je IP ook niet. Er zijn ongetwijfeld nog betere opties voor te bedenken.
Reageer
Klinkt als een boel extra werk voor iemand die daar niet op zit te wachten.
Reageer
Als die DoH of DoT ondersteund, zou het door middel van een certificaat kunnen.

Anders is het idd vrij lastig.
Reageer
Allemaal een heleboel extra werk voor iemand die daar niet op zit te wachten. Geld is leuk maar vrije tijd is leuker.
Reageer
Je zou op zich een IP-whitelist per account kunnen opzetten, maar met mobiele apparaten wordt dat wel vervelend. Daar zou je weer een app voor kunnen maken die bij iedere netwerkwisseling een request doet naar een raw IP zodat de DNS-server meteen de whitelist updatetet en je mobiele telefoon kan blijven werken.

Zou allemaal kunnen, is wel veel werk om op te zetten in je vrije tijd.
Reageer
De overgang van gratis naar 1 euro per maand maakt het ook gelijk een overgang van hobby naar een inkomstenmodel. Leuk natuurlijk voor de bank, maar als jij het idee hebt dat mensen betalen en jij een service biedt dan kan het opeens geen hobby meer zijn. Het idee kan bij sommige mensen de fun wegnemen waardoor ze beslissen te stoppen.
Reageer
Het betekent meestal ook meteen een ingewikkeld belastingverhaal, je wordt al snel als ondernemer gezien door de BD. Mag je ineens omzetbelasting gaan afdragen.
Reageer
Omzet belasting (BTW) is niet nodig en je hoeft je ook niet als ondernemer te registreren. Dit zijn gewoon inkomsten uit overig werk welke je op kan geven bij de IB aangifte. Ik neem in ieder geval aan dat het hier om niet zo'n spannende bedragen zou gaan mocht je dit willen monetizen.

Overigens mag je als particulier ook geen BTW op je factuur/nota zetten als je deze niet moet afdragen

[Reactie gewijzigd door GrooV op 12 januari 2022 18:17]

Reageer
Inderdaad, ook dat heeft een rol gespeeld. Wetende dat andere mensen afhankelijk zijn van jouw dienst voor het goed functioneren van hun internet eist op een gegeven moment z'n tol
Reageer
Gokje, gros van de mensen die geen ad's willen zien en niet willen betalen voor de content gaan waarschijnlijk ook niet voor een dienst betalen die die ad's weghalen..
Reageer
Al wil maar 5÷ van de huidige gebruikers er wel voor betalen. Dan is Freekers weer uit zijn kosten en wordt de druk weer verlaagd omdat er minder infra capaciteit nodig is en er minder incidenten zullen zijn.
Reageer
En dan levert dat nog meer druk op om als de boel niet lekker loopt het te fiksen, ook al is het 3 uur 's nachts. Dat maakt het alsnog van hobby naar werk, en nogal slechtbetaald werk ook vermoedelijk. Als ik zie hoeveel moeite Wikipedia heeft om euros binnen te krijgen denk ik dat een beerware service het nog veel lastiger krijgt.
Reageer
Het klopt dat als je er geld voor gaat vragen dat het werk wordt, maar blijkbaar voelde Freeker die vorm van druk al want daarom stopt hij ermee. Verder kun je een dienst met een betaald abonnement niet vergelijken met Wikipedia die een heel ander businessmodel heeft. Je kunt misschien beter Bitwarden als voorbeeld nemen: Bitwarden Inc has 7 total employees across all of its locations and generates $2.41 million in sales (USD).

[Reactie gewijzigd door dafallrapper op 13 januari 2022 10:54]

Reageer
Een dsn server heeft gelukkig heel wat minder capaciteit nodig dan een webserver die soms aardig afbeelding rijke pagina's het internet op moet jagen
Reageer
En hoe ga je dat precies organiseren? Moet je alle gebruikers gaan registreren, gaan factureren, betalingen bij gaan houden.

En misschien nog wel erger: zodra je ergens geld voor gaat vragen ga je van een vrijwillige hobby met mede-hobbyisten naar een zakelijke overeenkomst met klanten. Waarmee je dus ineens verplichtingen hebt onder consumentenrecht. Nogal jammer als je server instabiel is.

Er een goed salaris aan verdienen klinkt leuk, maar als je dit een beetje in elkaar aan het hobbyen bent heb je niet noodzakelijk zin in een dergelijk professioneel bedrijf.

[Reactie gewijzigd door bwerg op 12 januari 2022 17:19]

Reageer
Dan is nextdns een goede alternatief als je 2eur kwijt kan permaand
Reageer
Je wil niet weten hoe veel tweakers een hartaanval krijgen als ze maandelijks moeten gaan betalen voor een dienst.
Reageer
Begrijpelijk. Er zijn een aantal van dit soort diensten voor mensen die het willen trouwens, dus overstappen naar een ander kan. Maar moet zeggen dat ik het onlogisch vind; zet dan zelf een PiHole op. :P Heb je ook veel meer controle en meer zekerheid dat er niet meegekeken wordt met je queries; kind of the point. Maar dat is ieder voor zich natuurlijk.
Reageer
Ik heb geen tijd voor pihole, ben daarom overgestapt op nextdns een mooi pihole alternatief
Reageer
Hoezo, "tijd voor pihole"?

1. Koop een Raspberry (of zet het op een NAS/VM/extra server/whatever)
2. Installeer Pi-hole
3. Configureer je router zodat ie het adres van de Pi-hole gebruikt voor z'n look-ups
4. Klaar

Om de zoveel tijd effe een pihole -up doen (als je het al niet geautomatiseerd wilt doen) en je hebt er geen omkijken aan...
Reageer
Ik zou het graag draaien op mijn synology nas, maar krijg het niet voor elkaar.
Noem mij maar lomp, heb er ook het geduld niet voor misschien.
Reageer
Dat is ook precies degene die ik gebruikt hebt om het te installeren, maar ik doe toch iets verkeerd.
Het staat er netjes op hoor en draait in docker, maar het werkt niet.
Reageer
Ik weet niet welke nas je hebt.
Niet elke Synology nas kan het draaien. Docker is volgens mij een vereiste en die is niet beschikbaar op o.a. de J-serie.
Reageer
Als je vms kan maken kan een simpele ubuntu vm ook.
Reageer
Ik heb Docker er op staan en de instructies van marius hosting gevolgd, instellingen aangepast, maar ik doe toch iets verkeerd.
Reageer
@goDiegogo

Als je wilt kan ik je in privé bericht op weg helpen
Reageer
Onderhoud jij het voor me? Ik heb geen zin om te kijken als het apparaat crasht, en voor buiten wil ik er ook fatsoenlijk gebruik van kunnen maken zonder gekloot
Reageer
Voor buiten is het een simpele portforward. Nog beter is een VPN server opzetten zodat al je verkeer 'buiten' veiliger is als je op publieke wifi zit.

Daarnaast hoevaak crasht een pi? Ik heb het als vm draaien, en eventuele updates is snachts met 1 command, de pi hole is dan gezien het een vm is enkele tiental seconden offline.

Aangezien hij ook niet publiekelijk bereikbaar is, de updwtes1x in de maand ofzo?
Reageer
Lekker handig portforwarding, je pi gelijk open voor het hele internet, nee dankje.

Het gaat mij meer om de hardware.. en software... Heb geen zin als ik op mn werk ben dat ding kapot is
Reageer
en daar heb je dus de 2e pi voor :+. pi-hole is ook niet iets wat je voor je bedrijf zal gebruiken, daar zou ik niet de cowboy in IT gaan spelen en zulke oplossingen gebruiken. Voor thuis, meer dan prima.
Reageer
Oh nog meer kosten een 2de pi!😂 Het probleem is ik ben niet hele dagen thuis, we werken nog, en dan moet het werken zonder gedoe
Reageer
hier draait het al jaren probleemloos, slechts enkele keren een update. Combineer het met pi-vpn (wireguard vpn onderliggend) en je hebt altijd een veilige ad vrije verbinding :), dan word het een eigen custom poort voor de VPN ipv de 53 open slingeren naar het internet
Reageer
Zelf heeft het me ook enigszins verbaasd hoeveel animo ervoor was, met name gezien het vertrouwensaspect. Als je controle hebt over iemand z'n DNS, kun je inderdaad (in theorie) hele enge dingen doen (spoofen etc.). Wellicht omdat ze tot op zekere hoogte wisten wie er achter zat, een simpele hobbyist die vrij makkelijk te vinden is op Google (ben ik me van bewust), dat ze het daarom aandurvden.
Reageer
Pi hole is voor de gemiddelde gebruiker bijna niet op te zetten. Daar komt nog bij dat het niet werkt als je buiten je eigen netwerk zit zonder dan weer een VPN in te richten.

Een publieke ad blocking DNS heeft al die problemen niet, wellicht weer privacy issues. Maar diezelfde groep mensen zit dan weer op Facebook, youtube, etc...
Reageer
Probleem met je dns 'uitbesteden' is dat je ook slachtoffer van spoofing kan worden als die dns provider gekraakt word
Reageer
Voor mensen die tijdelijk of permanente vervanging zoeken is nextdns.io een mooi alternatief alleen veel meer opties dat je zelf kan beheren, alleen de servers worden gewoon onderhouden een teampje
Reageer
Ik wist van het bestaan van adhole niet af en er zijn heel wat mensen net als ik bereid 12€/jaar voor nextdns te betalen.
Reageer
Ik heb NextDNS ook een tijd terug via Tweakers ergens in de comments opgepikt. Dit is een aanrader en kan bevestigen dat hij erg goed en snel is!
Reageer
inderdaad en ook nog eens niet duur, werkt prima.
Sinds een 2 dagen zit ik nu op de beta van Aduard Private DNS, wat ook erg fijn werkt. wat voordelen t.o.v. NextDNS en nadelen, beiden zijn relatief simpel te onderhouden.
Voordeel, ze werken overal.
Reageer
Zijn er geen stichtingen die dit soort initiatieven kunnen ondersteunen?
Reageer
Ik was van plan om me in deze te gaan verdiepen, maar nog niet aan toe gekomen

https://github.com/chadgeary/cloudblock
Reageer
Dat zou wel ironisch zijn. Het bestaansrecht van veel stichtingen is gebaseerd op donaties. Ads zijn een manier om gebruikers indirect te laten doneren. Lijkt me vreemd als stichtingen zich gaan inzetten om Ads te blokkeren.

Een stichting die een DNS dienst aanbiedt en zich richt op het blokkeren van malafide sites zou dan weer een ander verhaal. Maar daar zijn al genoeg commerciële alternatieven voor die ook gratis DNS aanbieden. Voorbeelden zijn o.a. Umbrella, NordVPN en NextDNS.
Reageer
Nextdns.io is een mooi alternatief
Reageer
Een gratis alternatief inclusief DoH, DoT (ads blocken op smartphones) en meer is https://blahdns.com/.
Indien je zelf meer controle wilt houden met eigen allow/block lists en monitoring is nextdns.io een betalend alternatief.
Reageer
Blahdns raad ik af, het zijn standalone servers, en een standalone netwerk zonder een netwerk erachter van servers, en geen anycast, dus simpelweg single point of failure

[Reactie gewijzigd door juliank op 12 januari 2022 17:52]

Reageer
Ok, nog eentje dan met betere infrastructuur maar dus geen hobby project:
Mullvad heeft enkele maanden geleden hun ad-blocking DNS open gezet.
https://mullvad.net/en/help/dns-over-https-and-dns-over-tls/
Reageer
Vind het erg jammer dat deze stopt. Moet wel bekennen dat ik zelf er niet van had gehoord. Heb eerder wel gezocht naar zoiets maar blijkbaar deze destijds niet goed genoeg gezien. Kent iemand misschien alternatieven die zo online staan?

Wat me trouwens verbaasd is dat er niet eens echt veel en zwaar server capaciteit nodig was voor zoiets.
(En ja ik heb al Pi-hole)

[Reactie gewijzigd door Cave_Boy op 12 januari 2022 17:17]

Reageer
Ik weet niet hoeveel servers hij had maar dualcore met 4GB ram is nou niet meer zo indrukwekkend hé.
5K gelijktijdige gebruikers wel!

Dat gezegd zijnde mijn 1GB/1Core vps thuis met pi hole gaat nooit boven 1% load met 5 concurrent users en een hoop spionage IOT
Reageer
Om te voorkomen dat het domein geregistreerd wordt door DNS-hijackers of spoofers houdt Freekers nog zeker een jaar de website adhole.org onder zijn beheer.
Netjes en verantwoordelijk! Mijn complimenten Freekers :).
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True