[TÓPICO DEDICADO] NextDNS - Servidor de DNS na Nuvem

[Thominex]

Será q isso serve pro DNS do Google TB

Aparentemente o DoH do Google é integrado diretamente ao Chrome. Pra configurar manualmente, só o DNS público deles mesmo.

Introduction to Google Public DNS | Google for Developers

developers.google.com

 

[Arris]

Aparentemente o DoH do Google é integrado diretamente ao Chrome. Pra configurar manualmente, só o DNS público deles mesmo.

Introduction to Google Public DNS | Google for Developers

developers.google.com

Será q tem alguma vantagem usar o next DNS gratuito so pra DNS ao invés do DNS do Google que eu já uso? Também uso mikrotik

Controles de bloqueio de sites e etc eu já faço todo no roteador msm. Pra mim só preciso de Dns

 

[sLk]

Será q tem alguma vantagem usar o next DNS gratuito so pra DNS ao invés do DNS do Google que eu já uso? Também uso mikrotik

Controles de bloqueio de sites e etc eu já faço todo no roteador msm. Pra mim só preciso de Dns

Nesse ponto não vejo muito sentido não.
Ruim não é, mas você pode simplificar aí

Pelo menos aqui em Recife, no meu provedor de bairro, o ping pro nextdns fica na faixa dos 80ms, enquanto que o OpenDNS fica na faixa dos 40ms.

 

[werlitong]

Ué, é o primeiro post do link que mandei no meu post anterior.

Você só precisa pegar o IP do server mais próximo e aplicar. Sim, não esqueça de botar o seu ID do nextdns no

/ip dns set use-doh-server="https://dns.nextdns.io/SEUID" verify-doh-cert=yes

Isso, é isso mesmo.

--- Post duplo é unido automaticamente: 03/07/2021 ---

Nesse ponto não vejo muito sentido não.
Ruim não é, mas você pode simplificar aí

Pelo menos aqui em Recife, no meu provedor de bairro, o ping pro nextdns fica na faixa dos 80ms, enquanto que o OpenDNS fica na faixa dos 40ms.

Via DoH ele pega da edgeuno fortaleza. Os endereços anycast da nextdns as vezes n tem rota boa.

--- Post duplo é unido automaticamente: 03/07/2021 ---

Aparentemente o DoH do Google é integrado diretamente ao Chrome. Pra configurar manualmente, só o DNS público deles mesmo.

Introduction to Google Public DNS | Google for Developers

developers.google.com

Não tem muita vantagem. Pro seu caso o doh do google servirá bem. Eu iria sugerir para ver como ta o doh do cloudflare aí, eu acho o cloudflare melhor que o google.

 

[sLk]

Isso, é isso mesmo.

--- Post duplo é unido automaticamente: 03/07/2021 ---

Via DoH ele pega da edgeuno fortaleza. Os endereços anycast da nextdns as vezes n tem rota boa.

--- Post duplo é unido automaticamente: 03/07/2021 ---

Não tem muita vantagem. Pro seu caso o doh do google servirá bem. Eu iria sugerir para ver como ta o doh do cloudflare aí, eu acho o cloudflare melhor que o google.

Eu tava usando DoH aqui, e ping pra alguns hosts do google tavam dando 84ms.
Voltei pro meu Adguard Home que está configurado com 3 DoHs em paralelo (google, cloud flare e opendns) e as respostas:

IPv4:

Pinging google.com [172.217.29.14] with 32 bytes of data:
Reply from 172.217.29.14: bytes=32 time=38ms TTL=114
Reply from 172.217.29.14: bytes=32 time=37ms TTL=114
Reply from 172.217.29.14: bytes=32 time=38ms TTL=114
Reply from 172.217.29.14: bytes=32 time=37ms TTL=114

IPv6:

Pinging google.com [2800:3f0:4001:821::200e] with 32 bytes of data:
Reply from 2800:3f0:4001:821::200e: time=52ms
Reply from 2800:3f0:4001:821::200e: time=52ms
Reply from 2800:3f0:4001:821::200e: time=52ms
Reply from 2800:3f0:4001:821::200e: time=52ms

 

[Thominex]

Aparentemente tem uma rota da Claro pelo IPv6 que tá cagada pra Fortaleza. Vejam só a diferença entre IPV4 e IPV6 para o mesmo destino:

Primary: edgeuno-for (25 ms)
2    10.12.128.1    12 ms    10 ms    9 ms  
3    bb400027.virtua.com.br (187.64.0.39)    10 ms    8 ms    10 ms    AS28573 CLARO S.A.
4    bb400064.virtua.com.br (187.64.0.100)    14 ms    15 ms    16 ms    AS28573 CLARO S.A.
5    embratel-T0-0-0-0-uacc02.flajn.embratel.net.br (187.28.14.5)    21 ms    24 ms    21 ms    AS4230 CLARO S.A.
6    ebt-P1-2-4-core01.fla.embratel.net.br (200.244.212.97)    *    22 ms    21 ms    AS4230 CLARO S.A.
7    200.244.216.132    22 ms    21 ms    21 ms    AS4230 CLARO S.A.
8    4.68.39.25    28 ms    22 ms    21 ms    AS3356 LEVEL3
9    8.243.52.46    23 ms    22 ms    25 ms    AS3356 LEVEL3
10    dns.nextdns.io (200.25.36.70)    21 ms    21 ms    20 ms    AS7195 EDGEUNO SAS

Primary IPv6: edgeuno-for (70 ms)
2    *    *    *    *  
3    2804:14c:da00:b8::1    11 ms    12 ms    9 ms    AS28573 CLARO S.A.
4    2804:14c:da00:1602:ab::1    10 ms    9 ms    9 ms    AS28573 CLARO S.A.
5    2804:14c:da00:1601:ab::1    9 ms    10 ms    9 ms    AS28573 CLARO S.A.
6    2804:a8:2:a2::325    17 ms    18 ms    19 ms    AS4230 CLARO S.A.
7    *    *    *    *  
8    2804:a8:2:b8::56d2    76 ms    86 ms    69 ms    AS4230 CLARO S.A.
9    lo0.0.edge1.for1.as7195.net (2800:1e0:1080::1)    65 ms    65 ms    65 ms    AS7195 EDGEUNO SAS
10    dns.nextdns.io (2800:1e0:1080:1::6)    66 ms    67 ms    66 ms    AS7195 EDGEUNO SAS

Tracert para o salto 8 da Claro:

Tracing route to 2804:a8:2:b8::56d2 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  XXXXXXXXXXXXXXXXXXXXXXX
  2    21 ms    12 ms    10 ms  2804:14c:da96::1
  3     9 ms    12 ms     *     2804:14c:da00:b8::1
  4    11 ms    11 ms     9 ms  2804:14c:da00:1602:ab::1
  5    11 ms    19 ms    12 ms  2804:14c:da00:1601:ab::1
  6    22 ms    23 ms    21 ms  2804:a8:2:a2::331
  7     *       73 ms     *     2804:a8::200:230:16:195
  8    75 ms    88 ms    71 ms  2804:a8:2:b8::56d2

Pensei de entrar em contato com o pessoal do NextDNS, mas aparentemente a culpa é na rota feita pela Claro e não por eles.

 

[werlitong]

Aparentemente tem uma rota da Claro pelo IPv6 que tá cagada pra Fortaleza. Vejam só a diferença entre IPV4 e IPV6 para o mesmo destino:

Primary: edgeuno-for (25 ms)
2    10.12.128.1    12 ms    10 ms    9 ms 
3    bb400027.virtua.com.br (187.64.0.39)    10 ms    8 ms    10 ms    AS28573 CLARO S.A.
4    bb400064.virtua.com.br (187.64.0.100)    14 ms    15 ms    16 ms    AS28573 CLARO S.A.
5    embratel-T0-0-0-0-uacc02.flajn.embratel.net.br (187.28.14.5)    21 ms    24 ms    21 ms    AS4230 CLARO S.A.
6    ebt-P1-2-4-core01.fla.embratel.net.br (200.244.212.97)    *    22 ms    21 ms    AS4230 CLARO S.A.
7    200.244.216.132    22 ms    21 ms    21 ms    AS4230 CLARO S.A.
8    4.68.39.25    28 ms    22 ms    21 ms    AS3356 LEVEL3
9    8.243.52.46    23 ms    22 ms    25 ms    AS3356 LEVEL3
10    dns.nextdns.io (200.25.36.70)    21 ms    21 ms    20 ms    AS7195 EDGEUNO SAS

Primary IPv6: edgeuno-for (70 ms)
2    *    *    *    * 
3    2804:14c:da00:b8::1    11 ms    12 ms    9 ms    AS28573 CLARO S.A.
4    2804:14c:da00:1602:ab::1    10 ms    9 ms    9 ms    AS28573 CLARO S.A.
5    2804:14c:da00:1601:ab::1    9 ms    10 ms    9 ms    AS28573 CLARO S.A.
6    2804:a8:2:a2::325    17 ms    18 ms    19 ms    AS4230 CLARO S.A.
7    *    *    *    * 
8    2804:a8:2:b8::56d2    76 ms    86 ms    69 ms    AS4230 CLARO S.A.
9    lo0.0.edge1.for1.as7195.net (2800:1e0:1080::1)    65 ms    65 ms    65 ms    AS7195 EDGEUNO SAS
10    dns.nextdns.io (2800:1e0:1080:1::6)    66 ms    67 ms    66 ms    AS7195 EDGEUNO SAS

Tracert para o salto 8 da Claro:

Tracing route to 2804:a8:2:b8::56d2 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  XXXXXXXXXXXXXXXXXXXXXXX
  2    21 ms    12 ms    10 ms  2804:14c:da96::1
  3     9 ms    12 ms     *     2804:14c:da00:b8::1
  4    11 ms    11 ms     9 ms  2804:14c:da00:1602:ab::1
  5    11 ms    19 ms    12 ms  2804:14c:da00:1601:ab::1
  6    22 ms    23 ms    21 ms  2804:a8:2:a2::331
  7     *       73 ms     *     2804:a8::200:230:16:195
  8    75 ms    88 ms    71 ms  2804:a8:2:b8::56d2

Pensei de entrar em contato com o pessoal do NextDNS, mas aparentemente a culpa é na rota feita pela Claro e não por eles.

Entra em contato, vai que eles mudam algo no roteamento do lado deles.

 

[LuisM]

Pessoal, como fica o tempo de ping para os IPS secundários de DNS que o Next fornece?
No meu caso tanto IPV6 quanto IPV4 a latência fica em mais de 200 ms. Ja tentei gerar outra config e sempre os IPs secundários a latência é altíssima.
Os IPs primários da 20 ms.

 

[Thominex]

Pessoal, como fica o tempo de ping para os IPS secundários de DNS que o Next fornece?
No meu caso tanto IPV6 quanto IPV4 a latência fica em mais de 200 ms. Ja tentei gerar outra config e sempre os IPs secundários a latência é altíssima.
Os IPs primários da 20 ms.

A latência fica de boa aqui nos secundários. O primário é pra fortaleza, que dá uns 20~25ms e às vezes deixo o secundário ativo que vai pro RJ, mas dá uns 70ms.

 

[LuisM]

A latência fica de boa aqui nos secundários. O primário é pra fortaleza, que dá uns 20~25ms e às vezes deixo o secundário ativo que vai pro RJ, mas dá uns 70ms.

Como você escolhe a localidade do secundário? Eu apenas copiei o que eles sugerem na tela de instalação do site e configurei no meu router.
E acabou sendo por acaso que vi essa latência absurda nos secundários. Fazendo um trace parece estar indo pra França...

 

[Thominex]

Como você escolhe a localidade do secundário? Eu apenas copiei o que eles sugerem na tela de instalação do site e configurei no meu router.
E acabou sendo por acaso que vi essa latência absurda nos secundários. Fazendo um trace parece estar indo pra França...

Report network latency issue

If you are experiencing some latency issue or non-ideal routing, please use our diagnostic tool to report it. The tool can run on your computer or router.

help.nextdns.io

Basta pegar o IP dos melhores servidores e aplicar. Aqui eu faço direto no Mikrotik, mas diretamente no Windows não sei se funcionará, pois precisa fazer a configuração DoH pra usar esses IPs.

 

[werlitong]

Report network latency issue

If you are experiencing some latency issue or non-ideal routing, please use our diagnostic tool to report it. The tool can run on your computer or router.

help.nextdns.io

Basta pegar o IP dos melhores servidores e aplicar. Aqui eu faço direto no Mikrotik, mas diretamente no Windows não sei se funcionará, pois precisa fazer a configuração DoH pra usar esses IPs.

Windows para DOH: Ou usa direto nos navegadores ou via client nextdns ou via yogadns

 

[LuisM]

Report network latency issue

If you are experiencing some latency issue or non-ideal routing, please use our diagnostic tool to report it. The tool can run on your computer or router.

help.nextdns.io

Basta pegar o IP dos melhores servidores e aplicar. Aqui eu faço direto no Mikrotik, mas diretamente no Windows não sei se funcionará, pois precisa fazer a configuração DoH pra usar esses IPs.

Então na pratica posso pegar um outro IP que aparecer no teste da ferramenta deles e colocar como IP secundario sem problemas?
Não preciso necessariamente usar o que eles indicam la na pagina de instalação do Next?

======================

Testei aqui e não é tão simples. Peguei os IPs de ultralow e coloquei no meu router, mas não funcionou.
Não sei pq o meu anycast2 ta indo la pra europa. Ontem o virtua-par estava fora, dai o anycast2 estava em sao paulo. Hoje voltou la pro exterior.

 

[Thominex]

Testei aqui e não é tão simples. Peguei os IPs de ultralow e coloquei no meu router, mas não funcionou.

Não não não, pra você usar esses IPs você precisa fazer a configuração para usar DoH ou DoT, não é simplesmente pegar o IP e jogar no roteador. Se o seu roteador não suporta DoH ou DoT (creio que a esmagadora maioria de roteadores domésticos não suportem), você tem que pegar o IP informado na página do NextDNS e configurar no Windows ou no roteador.

Also, o anycast da next é mal-configurado.

 

[LuisM]

Consegui melhorar a situação instalando o app do Next em um Tplink wdr4300 com openwrt que uso como AP.
Agora todo DNS sai por ele, criptografado e usando os servers de ultralow. Além disso identifica todos os clientes nas estatísticas do next.

 

[werlitong]

Não não não, pra você usar esses IPs você precisa fazer a configuração para usar DoH ou DoT, não é simplesmente pegar o IP e jogar no roteador. Se o seu roteador não suporta DoH ou DoT (creio que a esmagadora maioria de roteadores domésticos não suportem), você tem que pegar o IP informado na página do NextDNS e configurar no Windows ou no roteador.

Also, o anycast da next é mal-configurado.

Na verdade, o ISP que não ajuda. Com provedor local tenho 1ms pros ips deles... É tudo questão de roteamento, BGP, peering e zas e zas. Não é tão simples.

--- Post duplo é unido automaticamente: 08/07/2021 ---

Consegui melhorar a situação instalando o app do Next em um Tplink wdr4300 com openwrt que uso como AP.
Agora todo DNS sai por ele, criptografado e usando os servers de ultralow. Além disso identifica todos os clientes nas estatísticas do next.

Isso é massa. Tenho um cenário com o openwrt e funciona muito bem também.

 

[bigode formoso]

o que esse resultado significa?

--- Post duplo é unido automaticamente: 01/08/2021 ---

Na verdade, o ISP que não ajuda. Com provedor local tenho 1ms pros ips deles... É tudo questão de roteamento, BGP, peering e zas e zas. Não é tão simples.

--- Post duplo é unido automaticamente: 08/07/2021 ---

Consegui instalar o NextDNS aqui.

 

[werlitong]

Gosto muito dos serviços da NextDNS. Sobre essa screenshot abaixo: É latência para alguns dos servidores deles.

o que esse resultado significa?

 

[Renataaa]

Eu uso o nextdns no meu roteador, coloquei lá os endereços fornecidos por eles. Porém todo dia tenho que atualizar meu IP. Sei que se eu não atualizar meu IP minhas configurações não serão utilizadas, mas alguém saberia me informar se nesse caso tenho as proteções todas ainda funcionando? (ex: DoH/DoT, bloquei de anuncios...). Nesse caso de não atualizar o IP seria melhor continuar usando o nextdns ou colocar outro tipo do cloudflare?

 

[Moliveira]

Eu uso o nextdns no meu roteador, coloquei lá os endereços fornecidos por eles. Porém todo dia tenho que atualizar meu IP. Sei que se eu não atualizar meu IP minhas configurações não serão utilizadas, mas alguém saberia me informar se nesse caso tenho as proteções todas ainda funcionando? (ex: DoH/DoT, bloquei de anuncios...). Nesse caso de não atualizar o IP seria melhor continuar usando o nextdns ou colocar outro tipo do cloudflare?

Se você não atualizar seu IP ele só vai ser um DNS normal vai ter o DoH/DoT, mas não os bloqueios. configura um DDNS no seu router e informa lá nas configurações do NextDNS que toda vez que mudar seu IP ele atualiza lá em IP vinculado só clicar em Mostrar opções avançadas que você encontra

 

[werlitong]

Se você não atualizar seu IP ele só vai ser um DNS normal vai ter o DoH/DoT, mas não os bloqueios. configura um DDNS no seu router e informa lá nas configurações do NextDNS que toda vez que mudar seu IP ele atualiza lá em IP vinculado só clicar em Mostrar opções avançadas que você encontra

DoH / DoT não precisa vincular ipv4. Ipv6 tbm n precisa mas n é criptografado.

 

[farbus]

Não sei se foi alguma opção que utilizo, ou filtro, mas o Bradesco dá ruim pra mim... Não é muito grave, porque não sou correntista...
Eu até tentei colocar banco.bradesco e bradesco.com.br na whitelist, mas não deu...

Obs: Não tenho problema com outros bancos, como BB e CEF.

 

[neo666]

Não sei se foi alguma opção que utilizo, ou filtro, mas o Bradesco dá ruim pra mim... Não é muito grave, porque não sou correntista...
Eu até tentei colocar banco.bradesco e bradesco.com.br na whitelist, mas não deu...

Obs: Não tenho problema com outros bancos, como BB e CEF.

Não sei se é o caso mas não é de hoje que o Bradesco é super problemático com IPv6.

Já quebrei bastante a cabeça com isso em casa (minha mulher usava) e em redes corporativas também (galerinha do financeiro), independente do DNS usado.

Se não quiser desativar completamente o IPv6 da conexão dá pra bloquear apenas a resolução de endereços v6 do domínio.

 

[LuisM]

Não sei se foi alguma opção que utilizo, ou filtro, mas o Bradesco dá ruim pra mim... Não é muito grave, porque não sou correntista...
Eu até tentei colocar banco.bradesco e bradesco.com.br na whitelist, mas não deu...

Obs: Não tenho problema com outros bancos, como BB e CEF.

Eu já me incomodei com o app do Bradesco no adblock. Ele simplesmente não carrega alguns módulos se bloquear ads. Já reclamei pro banco enviando um tcpdump demonstrando que o app tenta fazer varias conexões pra sites de ads (analytics) e quando é feito o bloqueio o app não carrega. O banco informou que eles precisam dessas conexões e que não iriam mudar o app.
Só funciona liberando os ads abaixo, que acaba liberando propaganda em todos dispositivos da rede:

appsflyer.com
marketingcloudapis.com
google-analytics.com
googletagmanager.com
doubleclick.net
adservice.google.com

E essa foi a resposta do banco:

As capturas realizadas se fazem necessárias por regras de monitoramento do lado do banco.

Obrigado

Danilo
BANCO BRADESCO S.A.
8706 / Canais Digitais

 

[farbus]

To fora do bradesco então. Nem pensar ficar abrindo as pernas assim por causa de um app porco.