bind gilt als umständlich und kompliziert. Dies ist jedoch bestenfalls richtig, wenn man DNS-Dienste für eigene Domains aufsetzen möchte. Wer bind lediglich als Alternative zum zensierten Provider-Server nutzen möchte, kann das mit wenigen Konfigurationsschritten erledigen. Der Aufwand besteht im Wesentlichen darin, vier fertige Konfigurationsdateien in die richtigen Verzeichnisse zu kopieren. Wer sich exakt an die nachfolgende Anleitung hält, kann praktisch nichts falsch machen.
Obwohl bind sich auch als DNS-Server für sehr große Domaindatenbanken eignet, ist er als Caching-DNS-Server recht schlank. Der Hauptspeicherbedarf lässt sich im Config-File begrenzen, so dass bind auf einem Windows-Rechner gute Dienste leistet und dabei weniger Ressourcen benötigt als zweifelhafte Updater oder Quickstarter, die häufig von Firmen wie Google oder Adobe ungefragt in die Autostartliste von Windows eingetragen werden.
Um bind unter Windows zu installieren, lädt man sich die aktuelle Version vom Internet Systems Consortium (ISC) herunter. Das ZIP-File packt man in ein beliebiges Verzeichnis aus und ruft die Datei BINDInstall.exe auf. Dazu sind Administratorrechte erforderlich. Unter Vista und Windows 7 muss das Programm bei aktivierter Benutzerkontensteuerung mit der Option „Als Administrator ausführen“ gestartet werden. Danach erscheint ein Dialog wie in Bild 1 gezeigt.
Als "Target Directory" schlägt das Installationsprogramm C:WindowsSystem32dns vor. Von dieser Voreinstellung rät ZDNet dringend ab: C:Windows und seine Unterverzeichnisse sollten dem Betriebssystem selbst vorbehalten bleiben. Stattdessen wählt man zweckmäßigerweise C:bind. Alle folgenden Beispielkonfigurationsdateien gehen von einer Installation in diesem Verzeichnis aus.
Der „Service Account Name“ named sollte nur geändert werden, wenn schon ein Benutzer mit demselben Namen existiert. Als „Service Account Password“ kann man ein beliebiges sicheres Kennwort verwenden. Es muss nie wieder eingegeben werden. Unter „Options“ sollten alle Kontrollkästchen unverändert gelassen werden.
Nach dem Klick auf „Install“ installiert sich bind automatisch. Das Programm legt den Service Account an und installiert den Dienst ISC BIND (Kurzname named). Ein paar Dinge müssen jedoch von Hand erledigt werden: Dazu ist es nötig, die Kommandozeile zu benutzen, die ebenfalls mit Administratorrechten ausgestattet sein muss. Dort gibt man nacheinander die folgenden Befehle ein:
c:
cd bindbin
rndc-confgen -a
mkdir c:bindzone
mkdir c:bindlog
cacls c:bind /T /E /C /G named:F
Damit legt man einige notwendige Verzeichnisse an, generiert den MD5-Key für das Steuerprogramm rndc und erteilt dem Service Account Vollzugriff auf den Verzeichnisbaum C:bind.
Neueste Kommentare
57 Kommentare zu Sperre von freien DNS-Servern: So umgeht man die Blockade
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
@ Hosts
Vielen Dank für die Hilfe, aber ein Ping beim Bekannten durchzuführen geht nicht, weil die Linux-Ubuntu aufgespielt haben. Darüberhinaus konnte ich die IP-Adresse der gewünschten Seite nicht ermitteln, um sie dann eintragen zu können.
Hallo,
hab vor kurzem den Provider gewechselt und bin nun offensichtlich beim Zensurprovider Vodafone gelandet, denn der öffnet eine harmlose, aber systemkritische Seite nicht, nachdem er das 3 Tage nach Neuanschluss aber problemlos tat. Die Seite hat einen Notfallblog, der sich öffnen ließ, da sie öfter von Ddos-Attacken heimgesucht waren, aber aktuell ist bei denen alles OK. Ich hab schon über verschiedene freie DNS-Server versucht, das Problem selbst zu beheben, jedoch ohne Erfolg. Vermutlich sind auch die von ihm gesperrt. Nun bin ich auf diese Seite gestoßen und hab alles nach Anleitung gemacht, bis zur Kommandozeile unter Administratorenrechten, es erscheint beim Öffnen: „C:\Windows\system32<" dann gebe ich wie oben "c:" und Enter ein, dann folgt "cd bindbin" Enter – und dann folgt die Fehlermeldung "Das System kann den angegebenen Pfad nicht finden" Was läuft da wohl falsch?
Danke im Voraus.
Gruß,
Anja
Hab jetzt nicht die Beschreibung oben gelesen, ist mir zu lang, aber offensichtlich hast Du kein Verzeichnis namens ‚bindbin‘ auf Deinem Windows System.
Mein Tipp wäre, dass Du bei einem Bekannten aus einem Windows Cmd Fenster heraus ein ‚ping ‚ durchführst (z.b. ‚ping http://www.zdnet.de‚) und dann die ermittelte IP Adresse (z.B. 17.212.2.45, das Beispiel ist ausgedacht) bei Dir fest in die hosts Datei einträgst (liegt unter c:\windows\system32\etc\hosts). Da dann einfach IP Adresse und den Servernamen (siehe enthaltenes Beispiel) eintragen und einmal dahinter ‚Return’/’Enter‘ drücken, um sicher die Zeile abzuschließen. Wenn sich die Datei nicht einfach überschreiben lässt, dann unter einem anderen Namen ins selbe Verzeichnis speichern, und dann die alte hosts Datei in hosts.old umbenennen/sichern, und die neue in ‚hosts‘ (ohne txt Endung) umbenennen.
Dann wird der DNS umgangen, und man greift direkt auf die gewünschte Webseite zu.
Sperre freier DNS-Server
nutze seit einiger Zeit unter T-Online 2 freie DNS Server. Seit dem 13.Oktober bekomme ich aber keine DNS Antworten mehr ,obwohl die Server aktiv sind. Getestet habe ich mit mit den Programmen „Ping“ und „nslookup“.
Hatte bisher gedacht ,das sowas nur in China oder Diktaturen möglich ist.
Gruß Fritz
AW: Sperre freier DNS-Server
Wenn die zwei freien Server auf nslookup antworten, dann sind sie auch von T-Online nicht gesperrt. Da muss ein anderes Problem vorliegen.
Rechtsfreier Raum?
Ich bin immer wieder erstaunt, dass so gar nicht darauf eingegangen wird, dass im Internet nicht sein kann, was auch sonst verboten ist. Der Zoll überwacht völlig selbstverständlich Warenlieferungen nach Deutschland – auch private. Wir haben uns nur noch nicht daran gewöhnt, dass Illegales auch im Internet strafbar ist. Das ewige Beispiel des „versehentlichen Klicks“ nervt langsam. Und Kinderpornographie will doch sicher keiner.
Natürlich lösen weder die Beschlagname von Drogen noch die Sperre von Seiten irgendwelche Probleme. Aber sie machen kriminelles Handeln schwieriger. Gelegenheit macht Diebe, sagt ein Sprichwort. Hier werden Gelegenheiten verringert. Kein Provider hat Interesse, Datenverkehr zu behindern, schließlich sind illegale Inhalte das eigentliche Hauptargument für schnelle Datendienste, die auch den Providern viel Geld bringen. Wenn wir unseren Staat ernst nehmen, muss er auch die Möglichkeit haben, Gesetze im Internet durchzusetzen. Und da ist mir eine Seitensperre allemal lieber als ein „privater“ Filter direkt auf meinem Rechner.
Und noch etwas: Informationelle Selbstbestimmung heißt nicht, dass ich alle Informationen kriegen darf, sondern, dass nicht alle alles über mich wissen dürfen.
AW: Rechtsfreier Raum?
es geht hier nicht nur um die versehentlichen Klicks, wer öfter im Internet unterwegs ist weiß ganz genau wie oft man automatisch auf völlig andere Seiten umgeleitet wird ohne dass man das verhindern kann.
Genau da liegt doch der Hase im Pfeffer, wenn man daran denkt, dass die CDU jeden der so ein Stopschild zu Gesicht bekommt strafrechtlich verfolgen wollte erkennt man erstmal was wirklich dahinter steckt, Unwissen oder Vorsatz? …jeder ksann sich das entstehende Szenario selbst ausdenken, Manipulation ohne Ende, das wäre wirklich das Ende.
AW: AW: Rechtsfreier Raum?
Dem kann ich nur uneingeschränkt zustimmen; ich habe beruflich sehr viel im Internet zu tun, weiß um diese Gefahren und warum es notwendig ist, sich dagegen zu wehren.
Übrigens: Ab heute nachmittag hatten sämtliche Rechner in unserem Netz, die in den Windows-Einstellungen über freie DNS-Server konfiguriert waren, keinen Zugriff mehr auf DNS-Services. Vodafone hat also still und heimlich damit begonnen, den DNS-Traffic zu blockieren. Wir sahen uns also gezwungen, die IPs der Vodafoneserver einzutragen bzw. an einigen sensiblen Rechnern bing zu installieren.
Gruß,
Saimen
AW: AW: AW: Rechtsfreier Raum?
Wir konnten inzwischen gemeinsam mit Saimen abklären, dass Vodafone defintiv im DSL-Netz derzeit keine Sperre von freien DNS-Servern vornimmt.
Weiter konnte ZDNet aus mit der Vodafone-Technik vertrauten Kreisen erfahren, dass die Sperre im UMTS-Netz technisch bedingt sei und nicht in Zusammenhang mit Internetzensurgesetz stehe.
Eine Aufhebung der Sperre befinde sich derzeit in der Diskussion.
Internetverbindung über Router
funktioniert das hier beschriebene auch wenn der Internetzugang über ein Netzwerk mit Router geschieht?
AW: Internetverbindung über Router
Ja, mit einem Standard-NAT-Router, etwa einer Fritzbox, gibt es in der Default-Konfiguration keine Probleme.
AW: AW: Internetverbindung über Router
Ich benutze eine FritzBox und es funktioniert nicht. Erst wenn ich in der Zeile forwarders port 110 auf 53 ändere dann funktioniert es. Ich habe keine Ahnung woran es liegen könnte, ich vermute an der FritzBox, die Windows Firewall ist deaktiviert.
AW: AW: AW: Internetverbindung über Router
Danke, hat sich erledigt, ein Kommentar weiter oben war hilfreich. Ich verwende auch Antivir und sobald ich die Mail Überwachung deaktiviert habe gehts auch mit dem DNS Server über Port 110. Nicht nur das dieses beknackte Antivir Premium laufend Fehlalarme liefert, nö es macht auch wie weiter oben beschrieben den Port 110 dauerhaft zu. Na gut suche mir was neues und dann geht das Teil ab in die Tonne.
AntiVir Premium Mailguard
AntiVir Premium Mailguard blockiert den Port 110, so dass die DNS-Umleitung über diesen Port nicht funktioniert. Ich habe mich an das Avira Support Forum gewendet, die Antwort dort lautet:
„Man sollte niemals Standard-Ports für Sachen verwenden, für die sie nicht gedacht sind.“
Was soll ich denn jetzt davon halten?
Gruß, Saimen
AW: AntiVir Premium Mailguard
Antivir hängt mit Innocence in danger zusammen
http://www.auerbach-stiftung.de/Stiftung-Pressetext.aspx?Projekt=65
Innocence in danger mal mit Guttenberg Googeln
dann wird da einiges klar Antivir währe das letzte Produkt das ich
installieren würde als Update moch den Bundestrojaner Gratis
Aus dem Vertrag?
Hallo,
WÜRDE Vodafone die Blockade der alternativen DNS auf sein DSL-Angebot ausweiten, wäre das dann evtl. ein Grund für eine außerordnetliche Kündigung des Vertrags wegen Nichterbringung der Leistung? Schließlich kann sich VF (noch) auf keine gesetzliche Grundlage zu dieser Maßnahme berufen.
Ist das vllt sogar der Grund, dafür, dass man die Blockade bei den teuren Tarifen nicht ansetzt? Weil dort das Abspringen der Kunden mehr weh tun würde?
Viele Grüße und danke für diesen Artikel!
AW: Aus dem Vertrag?
Das ist eine Frage, die vermutlich nur gerichtlich entschieden werden kann. §2 Abs. 2 des Internetzensurgesetzes sagt: "Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt."
Das ist so wachsweich formuliert, dass es alles und nichts heißen kann. Die Zugangssperre von freien DNS-Servern ist in diesem Text weder explizit verboten noch erlaubt.
Danke…
…an zdnet und Christoph für diesen Artikel. Als (leider noch) VF Nutzer habe ich schon im Juli merkwürdige Dinge (Seiten timen out, obwohl sie über einen http-proxy erreichbar sind) bei der (vermeintlichen) Nutzung alternativer DNS via VF-UMTS festgestellt, die ich mir (naiv!) nicht erklären konnte. Und das, obwohl ich (dachte, ) beste Verbindungen zu Leuten, die dort arbeiten, zu haben.
Ich finde es einfach ekelerregend, daß unser tolles "freies" Land mit dem Finger auf China zeigt und gleichzeitig solcher widerlichen Zensurschweinereien möglich sind und danke Dir deshalb für deinen Artikel. Gott oder wer auch immer weiß, welche internen Deals zwischen C*U und Vodafone laufen, daß dort in einem derart offensichtlichen vorauseilendem Gehorsam die Steuerung des Informationsflusses an das Wahlvieh betrieben wird (Herr Ellerbeck wird hier schon seinen Einfluß haben). Ich finde es einfach nur erbärmlich, daß jeder, der seinen Anspruch auf Rezipientenfreihet bedienen will, inzwischen den Wissensstand eines Fachinformatikers braucht. Oder ich sehe es positiv: Das ganze ist in Wirklichkeit ein staatliches Fortbildungsprogramm, Thema: "IP-Technologie".
PS: Euer Captcha ist Sch*.
Codierung von named.conf
Sorry, mit welcher Codierung muß man "named.conf" denn speichern?
Ich bekomme immer nur Fehler wie
C:bindbin>named.exe -g
01-Okt-2009 20:32:21.203 starting BIND 9.5.2 -g
01-Okt-2009 20:32:21.203 found 2 CPUs, using 2 worker threads
01-Okt-2009 20:32:21.212 loading configuration from ‚C:bindetcnamed.conf‘
01-Okt-2009 20:32:21.212 C:bindetcnamed.conf:2: unknown option ‚áádirectory‘
01-Okt-2009 20:32:21.213 C:bindetcnamed.conf:3: unknown option ‚ááallow-query
‚
01-Okt-2009 20:32:21.213 C:bindetcnamed.conf:4: unknown option ‚áámax-cache-s
ize‘
Viele Grüße
Rüdiger
AW: Codierung von named.conf
Die named.conf kommt mit dem US-ASCII-Zeichensatz (0-127) aus. Umlaute und andere diakritische Zeichen kommen nicht vor.
AW: Codierung von named.conf
die "àà"-Fehler entstehen unter einigen Konstellationen, wenn man die vorgegebenen Dateiinhalte aus dem Artikel kopiert, je nach Browser. Es mag etwas doof klingen, aber eine funktionierende Lösung ist, jedes Leerzeichen zu löschen und erneut selbst zu tippen. Bei mir hat das funktioniert. Vermutlich ein Zeichensatzproblem.
Christoph, ggf. bitte in den Artikel übernehmen. Betrifft mindestens Opera.
AW: AW: Codierung von named.conf
Danke!
ist wohl in Problem von Opera und/oder Notepad++ beim Kopieren der Beispieldateien…
Für alle Avira Antivir Premium Benutzer:
standardmäßig lauscht der MailGuard an Port 110 zwecks pop3 Abfrage – den mußte ich deaktivieren, falls ich dort mit DNS Servern Kontakt aufnehmen wollte
AW: AW: AW: Codierung von named.conf
Genau das war auch mein Problem. Nun stellt sich die Frage: Wie kann man den AntiVir-Mailguard zusammen mit der DNS-Umleitung nutzen? Ist das ein Fall für den Avira-Support?
Saimen
Mir sogar aktuell passiert
Ich hatte letzte Woche sogar das Problem, dass ein Kunde über VF UMTS keinen Zugriff auf eine Domain hatte. Grundlos und vorallem ohne Nachricht von VF! Es fängt also schon an…
forward only
Mein Provider ist Vodafone (ehem. Arcor). Deshalb habe ich bind exakt nach Ihrer Beschreibung installiert. Alles funktioniert, solange ich nicht diese beiden Zeilen in named.conf einfüge:
forward only;
forwarders { 85.214.117.11 port 110; 209.59.210.167 port 110; 87.118.100.175 port 110; 62.141.58.13 port 110; };
Dann erhalte ich beim Test mit "host -a example.com 127.0.0.1"
;; connection timed out; no servers could be reached
Liegt der Fehler bei mir oder ist hier bereits Vodafone am Werk?
Danke und Gruß,
Saimen
AW: forward only
Hier vermute ich, dass eine Personal-Firewall den Traffic auf den Ports 110 (TCP und/oder UDP) blockt.
Am besten Firewall kurz ausschalten. Ausprobieren. Wenn es dann geht, TCP- und UDP- Port in beide Richtungen freischalten und Firewall wieder aktivieren.
AW: AW: forward only
gleiches prob
Test mit „host -a example.com 127.0.0.1“ ==>
;; connection timed out; no servers could be reached
upd und tcp 110 offen (windows firewall)
rooter oder andere firewall nicht vorhanden
lasse ich 127.0.0.1 weg bekomme ich normal antwort vom vf-dns
nutze „N24-surfstick“
Fehler 1069
Ich bekomme den ISC BIND Servive nicht gestartet wegen "fehlerhafte Anmeldung".
Fehler 1069.
Nur als Lokales System startet er.
Hat das negative Auswirkungen?
ipconfig /all zeigt als DNS-Server 127.0.0.1
Können die anderen Einträge gelöscht werden?
Mit welchem DNS-Server verbindet sich diese BIND-Konfiguration eigentlich?
H.Barten
unsere Antwort darauf
http://infol.antville.org/stories/1932438/
Wie wurde getestet
ich hatte dies mal ausgetestet, und kann diesen Bericht allerdings nicht bestätigen.
Wenn ich die Vodafone Software nehme, und trage dort einen freien DNS ein, und baue anschließend die Verbindung auf, dann wird mir der DNS von Vodafone angezeigt. In der Vodafone Software steht allerdings noch der freie DNS.
Wenn ich aber manuell ein DFÜ-Netzwerk anlege, und trage dort einen freien DNS ein, und baue die Verbindung auf, dann wird mir auch der freie DNS angezeigt.
Denn ersten Teil finde ich zwar auch kritisch, aber aufgrund der aktuellen Gesetzgebung werden wir wohl mehr damit zu tun haben. Hier werden aber keine Daten verfälscht.
Wenn ich das DFÜ-Netzwerk manuell anlege, dann kann ich meinen DNS frei wählen.
Nun verstehe ich nicht, warum hier Daten verfälscht werden sollten?
Vielleicht habe ich es ja nicht verstanden!?!?!?!?
AW: Wie wurde getestet
Die Fälschung besteht darin, dass man zwar einen freien DNS-Server eintragen kann, aber Vodafone den Traffic abfängt und durch eine eigene Antwort ersetzt, die so aussieht, als käme sie vom freien DNS-Server.
AW: AW: Wie wurde getestet
Eine Antwort auf die Frage wie gestest wurde ist das ja nicht wirklich.
Eine Stellungnahme zum Beschriebenen Verhalten dees Users, das im Widerspruch zum Artikel steht, wäre nett gewesen.
AW: AW: Wie wurde getestet
ich habe mir die Homesite angeschaut, worauf Ihr Euch in diesem Artikel bezieht.
Leider finde ich dort keine Hinweise, wie das Testing erfolgt ist.
Könnt Ihr bitte diese Informationen noch liefern?
Vielleicht könnt Ihr mir auch ein Testszenario nennen, damit ich dies reproduzieren kann.
Vielen Dank!
Templerknight
AW: AW: AW: Wie wurde getestet
Das haben wir getestet, indem wir eine DNS-Anfrage mittels ‚host‘ an einen freien DNS-Server gesendet haben. Dabei konnten wir feststellen, dass a) diesen Server erst gar keine Anfrage erreicht und b) nicht die richtige Antwort zurückkommt.
Die Germany Privacy Foundation hat das erstmals festgestellt. Wir haben das nachvollzogen, was jedermann sehr leicht selbst machen kann. Da einige Leser in ihren Kommentaren von ihrem Vodafone-DSL-Anschluss sprechen, möchte ich noch einmal ausdrücklich darauf hinweisen, dass Vodafone die Sperren von freien DNS-Servern derzeit NUR im UMTS-Netz, NICHT aber im DSL-Netz vornimmt.
Um selber zu testen, installiert man BIND wie im Artikel beschrieben. Der Dienst muss nicht gestartet werden. Wichtig ist, dass man die Dateien host.exe und dig.exe mit ihren zugehörigen DLLs im Verzeichnis C:BINDBIN hat.
Danach wechselt man auf der Kommandozeile in dieses Verzeichnis und gibt "host -t txt -c ch version.bind ns2.free-germany.com" oder "dig @ns1.free-germany.com version.bind txt ch +short" ein. Als Antwort sollte "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter" erscheinen. Immer wenn keine oder eine andere Antwort kommt, wird der DNS-Traffic abgefangen und die Antwort durch eine vom Provider ersetzt.
AW: AW: AW: AW: Wie wurde getestet
vielen Dank für die Rückantwort und Information.
Ich habe mich daran gehalten, und kann diesen Artikel aber nicht gestätigen.
Mein Notebook war mit WinXP SP3 (frisch aufgesetzt) und der Vodafone Software (Version 9.4.3.16284) und einer Express-Karte von Option ausgestattet. Ich habe nur unter UMTS getestet. Auch habe ich mehrere freie DNS und den DNS von Vodafone (139.007.030.125) genommen.
Ich habe die DNS-Adressen in der Vodafone-Software eingetragen (also kein manuelles DFÜ-Netz). Die Bind-Software habe ich auf diesem System installiert.
Folgenden Host-Befehl habe ich verwendet:
host -t txt -c ch version.bind ns2.free-germany.com
Folgende Rückmeldung hatte ich bekommen:
Using domain server:
Name: ns2.free-germany.com
Address: 85.214.117.11#53
Aliases:
version.bind descriptive text "Anti-Zensursula Server sponsored by Bettina and Christoph Hochstaetter"
Diese Information sollte ich ja nicht bekommen, wenn die DNS-Daten geändert werden. Oder habe ich etwas falsch verstanden?
In welchem Zeitraum wurde denn getestet?
AW: AW: AW: AW: AW: Wie wurde getestet
Wir stehen inzwischen mit Vodafone in Kontakt. Die Sache ist komplexer als angenommen: Für UMTS-Kunden mit Laufzeitvertrag (Nutzung des APN web.vodafone.de) findet keine Sperre des DNS-Traffic an freie Server statt.
Kunden mit Pre-Paid-Vertrag/CallYa oder Laufzeitvertragskunden die optional den Websessions-Zugang wählen (APN event.vodafone.de) wird aller ausgehender Verkehr an UDP-Port 53 geblockt, der nicht an die Vodafone-DNS-Server geht, die demnächst zensiert werden.
Ich werde den Artikel übers Wochenende anpassen, dass alles wieder stimmt. Ich muss zugeben, dass ich nicht gedacht habe, dass Vodafone einem Teil seiner Kunden (mit teuren Tarifen) die Nutzung fremder DNS-Server erlaubt, bei Nutzung einer günstigen Tagesflatrate jedoch untersagt.
Nur ein kleiner Hinweis vorweg. Wer eine Karte hat, die sowohl den APN web.vodafone.de als auch event.vodafone.de nutzen darf, sollte seine Einstellungen nicht vorschnell auf web.vodafone.de ändern, um die Sperre zu umgehen. Je nach Tarif kann das mit sehr hohen Kosten verbunden sein.
AW: AW: AW: AW: Wie wurde getestet
Ich konnte das Ende August im Raum München nachvollziehen. Die German Privacy Foundation hat es nach eigenen Angaben im Juli festellen können.
Ich werde am Wochenende schauen, wie das zusammenhängt.
Vodafone hat scheinbar Port53 Umleitung auf DSL ausgeweitet
Scheinbar hat zwischenzeitlich Vodafone den Eingriff in die Kommunikation über Port 53 auf DSL ausgeweitet, so dass ich als ehemaliger ARCOR und von Vodafone übernommener Kunde ebenfalls betroffen bin. Eine Anfrage hierzu habe ich heute an Vodafon gesendet. Ich bin auf die Antwort gespannt.
AW: Vodafone hat scheinbar Port53 Umleitung auf DSL ausgeweitet
als Antwort erhielt ich heute einen Anruf von der Kundenhotline. Die Dame teilte mir mit, dass sie die Frage nicht beantworten kann und ich auch der erste bin, der danach fragt. Eine Weiterleitung meiner konkreten und schriftlichen Anfrage ist auch nicht möglich. Sie verwies mich auf eine gebührenpflichtige technische Hotline unter der Nummer 0900 1560156 die allerdings nicht von Arcor oder Vodafone, sondern einen Vertragspartner von Vodafone betrieben wird.
Na, dieser Vertragspartner wird ganz bestimmt ohne Auftrag von Vodafone in den Netzwerkverkehr der Vodafonekunden eingreifen. Ich bin ziemlich angefressen und sehe keinen Grund diesen Leuten auch noch weiteres Geld hinterherzuwerfen.
Sinnhaftigkeit eigenes DNS-Servers?
Die Ratschläge sind sicher sinnvoll, aber:
Was bringt einem ein eigener DNS-Server, dessen Anfragen ebenfalls abgefangen und von Vodkafone beantwortet werden?
Die einzig sinnvolle Variante die ich sehe ist es einen DNS-Server via Tunnel anzusprechen, der ausserhalb des Vodkafone-Netzes steht.
AW: Sinnhaftigkeit eigenes DNS-Servers?
Der eigene DNS-Server als Caching-Server konfiguriert bringt insofern was, als er einen anderen Port als 53 nutzt, um mit freien DNS-Servern zu kommunizieren. So kann man die Vodafone-Sperre derzeit umgehen.
Sobald eine Tunnel- oder andere VPN-Lösung erforderlich wird, werden wir eine Anleitung dazu veröffentlichen.
AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
Nach dem Einfügen der Zeilen
forward only;
forwarders { 85.214.117.11 port 110; …
ging gar nichts. Ein Weglassen der Port-Anweisung oder Port 110 durch Port 53 ersetzen brachte wieder Erfolg. Dies ist aber nicht gewollt, es soll ja gerade Port 110 benutzt werden. Ich habe dieses Verhalten auf 2 Maschinen (XP, SP3). Abfragen der E-Mail über Port 110 geht. Was ist faul bei mir? Oder gibt es eine andere Port-Anweisung, die zum Ziel führt?
AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
siehe http://www.zdnet.de/sicherheit_in_der_praxis_sperre_von_freien_dns_servern_so_umgeht_man_die_blockade_story-39001543-41502966-1.htm#comment-22101885
Port 110 ist vermutlich durch eine Personal Firewall oder eine Firewall am NAT-Router gesperrt.
AW: AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
Die Vermutung ist wohl richtig. In der Windows-Firewall habe ich jetzt explizit UDP-Verkehr auf Port 110 freigegeben und siehe da, es geht. Vielen Dank!
AW: AW: AW: AW: AW: Sinnhaftigkeit eigenes DNS-Servers?
Man sollte auch den TCP-Port 110 öffnen. Normalerweise fragt ein DNS-Client immer über UDP ab. Wenn die UDP-Antwort 512 Bytes überschreitet, was alledings fast nie der Fall ist, wird die Abfrage über TCP wiederholt. Wenn der TCP-Port zu ist, geht diese Abfrage schief.
Es ist daher die latente Gefahr gegeben, dass bei geschlossenem TCP-Port 110 eine DNS-Abfrage nicht funktioniert und man weiß nicht warum, weil es ja in 99 Prozent der Fälle gut geht.
Bind fehler 1067
Nach mehrfachem Versuch Bind ans laufen zu bringen liefert der Befehl "net start named" umd den Dienst zu starten die Medung:
ISC BIND konnte nicht gestartet werden.
Systemfehler 1067 ist aufgeteten.
Der Prozeß wurde unerwartet beendet.
Habe daraufhin die gesammte Insatllation nochmals durchgeführt und alle erstellten Dateien gelöscht und neu erstellt, doch das Ergebnis ist das Gleiche.
Was ist falsch?
AW: Bind fehler 1067
Bei mir passiert dasselbe. Der Test mit "named -g" ist OK, der Dienst läßt sich aber anschließend nicht starten. Was mache ich verkehrt?
AW: AW: Bind fehler 1067
Wenn der Test mit "named -g" funktioniert, aber der Dienst nicht startet, dann liegt es daran, dass das Service Account "named" nicht die notwendigen Berechtigungen auf das Verzeichnis C:BIND und seine Unterverzeichnisse hat.
Man kann jetzt den Dienst unter dem SYSTEM-Account starten. Das hat aber den Nachteil, dass eine Sicherheitslücke in bind dazu führen kann, dass eine Malware Admin-Rechte bekommen kann. Praktisch ist die Gefahr allerdings gering, da es keine bekannte Malware gibt, die versucht Sicherheitslücken in bind für Windows auszunutzen.
Die bessere Alternative ist mittels CACLS-Befehl wie im Artikel beschrieben, dem Account "named" Vollzugriff auf C:BIND und Unterverzeichnissen zu erteilen. Dasselbe kann man auch mit dem Windows-Explorer (rechte Maustaste auf das Verzeichnis – Properties – Security) erreichen.
AW: AW: AW: Bind fehler 1067
Danke Christoph, jetzt klappt es … der Dienst läuft nun unter SYSTEM … anders hats nicht geklappt.
Danke!
AW: AW: AW: Bind fehler 1067
Der Hund liegt woanders begraben. Der Befehl "cacls c:bind /T /M /G named:F" löst nur eine Anzeige der Optionen von cacls aus, ein Zeichen dafür, daß mit der Befehlseingabe etwas nicht stimmt. So ist es auch, der Parameter /M ist unbekannt. Stattdessen habe ich die Parameter /E und /C eingesetzt, damit klappt es. Bitte nicht fragen, welcher der beiden überflüssig ist, ich weiß es nicht. Der Rest läuft wie beschrieben ab, vielen Dank für die Anleitung.
AW: AW: AW: AW: Bind fehler 1067
Oops, da ist mir ein dummer Fehler unterlaufen. Ich habe es im Artikel korrigiert.
Weiter so – Bitte noch ergänzen!
Im Artikel steht:
Wenn Provider jedoch damit beginnen, Technologien wie Deep Packet Inspection (DPI) zu nutzen, dann hilft der eigene lokale DNS-Server zunächst nicht weiter. In diesem Fall muss der DNS-Verkehr getunnelt werden.
Ich gehe davon aus, dass die Mehrzahl der ISP in Deutschland inzwischen DPI einsetzt um gezielt P2P-Nutzer zu identifizieren und VOIP-Packete zu priorisieren. Ich wäre daher sehr dankbar, wenn es noch eine Anleitung dazu gäbe, wie man den DNS-Verkehr tunnelt (auch wieder mit Blick nicht nur auf Windows sondern auch Linux/Ubuntu).
Danke im Vorraus!!!
Martin Müller
AW: Weiter so – Bitte noch ergänzen!
Ich schließe mich der Bitte an.
Bei der Gelegenheit auch ein Lob zum Thema und dem bisherigen Artikel!
mfg
schulte
AW: AW: Weiter so – Bitte noch ergänzen!
Wir werden alle Trafficfälschungen und andere Maßnahmen der Provider genau beobachten und weiter über konkrete Lösungsmöglichkeiten berichten. Verschiedene VPN-Szenarien, die sich einfach realisieren lassen, haben wir bereits aufgesetzt.
Was sagt den Vodafon dazu?
Als britisches Unternehmen atmet es halt dann doch den Geist der britischen Big-Brother-Mentalität.
Ich kann mir vorstellen, dass Medien, wie http://www.spiegel.de oder http://www.stern.de auf Grund ihrer deutlich besseren Wahrnehmung für Vodafon unangenehmer sind.
ZDNET ist leider einer zu kleinen Gruppe von Spezialisten bekannt.
Ich bin sehr gespannt, wie Vofafon sich dazu äußert.
AW: Was sagt den Vodafon dazu?
als wenn spiegel oder stern & co. da noch frei wären … es gibt in der BRD keine unabhängigen freien Medien mehr … alles schaut auf China … die zenzieren wenigstens offen … hier geschieht es still und heimlich und keiner merkts (bzw will es merken)
AW: AW: Was sagt den Vodafon dazu?
dem stimme ich zwar (ein wenig) zu….
aber als Informationsanbieter haben Spiegel/Stern ein anderes Geschäftsmodell als der Infrastrukturanbieter Vodafon, der zudem auch noch in engere rechtliche Regularien gepasst ist.
Damit will ich den vorauseilendenen Gehorsam nicht rechtfertigen – im Gegenteil.
Ich denke aber, dass es sich Vodafon nicht leisten möchte, in dem immer enger werdenden UMTS-Markt so eine Presse zu bekommen.
Andererseits ist es IMHO zwingend, die Öffentlichkeit solchen Themen gegenüber zu sensibilisieren.
Wir erlauben hier Strukturen, die das gezielte unauffällige Manipulieren von Informationen vorantreibt.
Stellen Sie sich vor, Vodafon würde anstelle Ihrer Webseite einen Fake übertragen, auch der gezielte und polemische Islam-Kritik steht.
Auf diese Weise lassen sich leicht kritische Zeitgenossen von irgendwelchen Religionsereiferen aus dem Verkehr ziehen, ohne dass der der Verursacher zur Rede gestellt werden kann.
Die Manipulation durch Argumente und verlässliche Quellen ist auch in meinen Augen legitim. Jeder hat das Recht, sich jede Meinung zu bilden.
Wenn aber die Quelle, meine grundgesetzlich geschützte Quellenauswahl, durch vorsätzlich manipulierte Daten verändert wird, wenn also der Autor nicht mehr Herr seiner Aussage ist, dann ist das in jeder Beziehung falsch, verwerflich und noch!! ungesetzlich.
Spiegel/Stern werden sicherlich nicht die Freiheit der Presse / des Worts einem Provider wie Vodafon opfern; denn das wäre die Konsequenz.