Best Practice: AdGuard Home & unbound als DNS-Server

[mj084]

@update-freak

Ich habe dir doch geschrieben gehabt, dass die root.key alleine erstellt wird - aber bei dir gibt es Probleme mit mit den Zugriffsrechten:

could not write builtin anchor, to file /usr/local/unbound/iana.d/root.key: Permission denied

Setz mal Schreibberechtigungen für "Jeden" für den Ordner

volume1/docker/unbound/iana.d

Und starte den Container neu

@madnuttah

Willkommen im Forum und Thread

 

[madnuttah]

Ich hab dir auf Github geantwortet, kurz: der Ordner `iana.d` muss und sollte eigentlich nicht verbunden werden.

Edit: Na super, ich hab den Ordner noch in den Beispielen, sorry. Hab's korrigiert.

https://github.com/madnuttah/unbound-docker/issues/64#issuecomment-2079022857

Noch'n Edit: Das Aufsplitten der Configs ist überhaupt nicht notwendig aber ne Option wenn jemand das wie ich gerne hat. Es geht die Standard Unbound Config mit den Änderungen, die ich in meiner Doku geschrieben habe.

Warum schlägt man wegen Images aufeinander ein? Es ist doch toll, das es eine Auswahl gibt. Sollen alle das nehmen womit er oder sie glücklich ist. Mir ist das relativ egal, denn ich nutze meins selbst. Ich mache mir die Arbeit für mich und natürlich auch die mittlerweile zehntausende Menschen die es vertrauensvoll seit fast 3 Jahren nutzen.

 

[mj084]

Crazy, @update-freak hat da direkt einen Bug auf GitHub gemeldet, obwohl die Fehlermeldung ja alles sagt

@madnuttah hat es dort und hier wunderbar erklärt und somit auch ein wenig Licht ins Dunkel gebracht

Unbound läuft in seinem Image schon als Hyperlokal - was zumindest andere Images nicht machen - das war ja auch ein Stein des Anstoßes warum man dann in Verbindung mit AdGuard Home überhaupt noch Unbound benötigt, wenn dieser auch nur klassische Upstream DNS Server anfragt

Vielleicht bekommen wir es noch kurz aufgelöst, was es genau mit dieser root.zone und root.hints auf sich hat und ob man diese wie aus älteren Anleitungen überhaupt noch manuell updaten muss.

Zumindest die root.zone wird ja beim Start des Containers "eingespielt".

Was das Thema Images angeht, kann ich @madnuttah nur beipflichten - jeder kann seine Anforderungen selbst bestimmen und sich danach aussuchen, was am besten für ihn geeignet ist.

Für mich ist dies aufgrund der verlinkten Vorteile und der möglichst nahen Standardconfig vom originalen Unbound halt das Image von @madnuttah

 

[mj084]

@madnuttah

Irgendwie kann ich keine PN's an dich senden

 

[madnuttah]

War ne falsche Einstellung im Profil

 

[madnuttah]

Hier ist eine Erklärung wegen der Root-Files, unbound-anchor aktualisiert intern periodisch das
`auto-trust-anchor-file: "/usr/local/unbound/iana.d/root.key"`.

Das kann man auch im Log sehen:

Apr 26 13:44:19 unbound[1:0] info: generate keytag query _ta-4f66. NULL IN

 

[mj084]

Also wird nur eine von beiden benötigt?

Und es macht mehr Sinn die komplette Root-Zone vorzuhalten anstatt nur die Liste der Root Server via root.hints File?

 

[madnuttah]

Also wird nur eine von beiden benötigt?

Prinzipiell ja.

Und es macht mehr Sinn die komplette Root-Zone vorzuhalten anstatt nur die Liste der Root Server via root.hints File?

Rekursive DNS-Server fragen sich vom Root-Server bis hinunter zum autoritativen Server durch, sodass die benötigte IP Adresse geliefert werden kann.

 

[mj084]

Prinzipiell ja.

Und praktisch?

 

[madnuttah]

Soweit mir bekannt ist wird die root.hints dann benötigt wenn keine Forwarder erreichbar sind.

 

[*kw*]

“Viel hilft viel“…

Bei Adguard nicht zwingend, was die Filterung angeht. Dennoch bin ich über „The Block List Project“ gestolpert und hier speziell die „Everything-List“ (AdGuard Variante, ca.1,6 Mio Einträge, expiring: 1 day).

Ich teste gerade mal, womit die sich rühmen.

 

[Kenji]

Hier meine Settings als Empfehlung:

Whitelist

Whitelist:
https://raw.githubusercontent.com/hl2guide/AdGuard-Home-Whitelist/main/whitelist.txt

Meine Benutzerdefinierten Regeln:

Spoiler: Benutzerdefinierte Regeln

#Erlaube OneDrive-Share
@@||1drv.ms
#Erlaube Sonstige Seiten
@@||xn--brustberl-schnbrunn-hwb30b7d.de^$important
#Erlaube AutoTask
@@||ww18.autotask.net
@@||www.autotask.net
#Punycode-Blocker
/.*(xn--).*/
#China, Russland, Sowjetunion, Vietnam sowie die .top-TLD, aus der scheinbar nur Spammails kommen
/(\.cn$|\.ru$|\.su$|\.vn$|\.top$)/
#Twitter
||advertising.twitter.com
#YouTube
/r[0-9-]-sn-[a-z0-9]-[0-9a-z]{4}.googlevideo.com/
/xn--r[0-9]sn-[a-z0-9]{8}-uu2l.googlevideo.com/
#SmartThings
@@||samsungelectronics.com
#WPAD
||wpad.fritz.box
#Vinted Freigabe
@@||cdn.cookielaw.org
#SmartTV
@@||time-bas-eu.vidaahub.com
@@||policy-jrnl-eu.vidaahub.com
@@||vidaa-base-auth-eu.vidaahub.com
#PayPal
@@||b.stats.paypal.com
@@||c.paypal.com
#Google Play
@@||play-fe.googleapis.com
#Live Login
@@||login.live.com
#SMART Rechner
@@||yksi.ml
#Wetter Online
@@||api-app.wo-cloud.com
@@||api-app.wetteronline.de
#Stetic Tutorials
@@||stetic.com
#IconArchive
@@||www.iconarchive.com
@@||iconarchive.com
#Blocke ZIP Domains
\.zip$/
@@||www.kinox.to^$important
@@||kinox.to^$important
@@||mdm.openapi.360.cn^$important
@@||smart.360.cn^$important
@@||p.s.360.cn^$important
@@||q.smart.360.cn^$important
||lexwareapimonitoring.apm.northeurope.azure.elastic-cloud.com^$important
@@||ota3.jia.360.cn^$important
||knowhow.servicehub.haufe.io^$important
||status.download.lexware.de^$important
||mediator.goodsync.com^$important
||forw-ams1.goodsync.com^$important
||update.ross-tech.com
@@||logs.browser-intake-datadoghq.eu^$important
@@||bnrs-engine.shoop.de^$important
@@||ns.adobe.com^$important
@@||www.companisto.com^$important
@@||cdn.companisto.com^$important
||conversions.am-usercontent.com^$important
||meetnme.com^$important
||track.scruglink.com^$important
||forw-ams3.goodsync.com^$important
@@||www.popcorn-tv.online^$important
@@||popcorn-tv.online^$important
@@||waaw.to^$important
@@||ww19.kinoz.to^$important
@@||lhr.stats.paypal.com^$important
||mqtt-ig-p4.facebook.com^$important
@@||redir.digidip.net^$important
#Blockiert wegen d3ward.github.io
||ads-api.twitter.com^$important
||events.reddit.com^$important
||adservice.google.com^$important
||adtago.s3.amazonaws.com^$important
||analyticsengine.s3.amazonaws.com^$important
||analytics.s3.amazonaws.com^$important
||advice-ads.s3.amazonaws.com^$important
||metrics.mzstatic.com^$important
||ads.pinterest.com^$important
||ad.doubleclick.net^$important
||stats.wp.com^$important
||ij.manual.canon^$important
@@||toplist.raidrush.ws^$important
@@||etahub.com^$important
@@||www.openoffice.de^$important
@@||kumo.network-n.com^$important
@@||pulsar.ebay.de^$important

Spoiler: AdGuardHome.yaml Filter

filters:
  - enabled: true
    url: https://adguardteam.github.io/AdGuardSDNSFilter/Filters/filter.txt
    name: AdGuard DNS filter
    id: 1
  - enabled: true
    url: https://adaway.org/hosts.txt
    name: AdAway Default Blocklist
    id: 2
  - enabled: true
    url: https://someonewhocares.org/hosts/zero/hosts
    name: Dan Pollock's List
    id: 1654714077
  - enabled: true
    url: https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV-AGH.txt
    name: Perflyst Smart-TV Blocklist
    id: 1654714078
  - enabled: true
    url: https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
    name: NoCoin Filter List
    id: 1654714079
  - enabled: true
    url: https://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblockplus&showintro=1&mimetype=plaintext
    name: Peter Lowe's List
    id: 1654714080
  - enabled: true
    url: https://raw.githubusercontent.com/durablenapkin/scamblocklist/master/adguard.txt
    name: Scam Blocklist by DurableNapkin
    id: 1654714081
  - enabled: true
    url: https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt
    name: Spam404
    id: 1654714082
  - enabled: true
    url: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
    name: WindowsSpyBlocker - Hosts spy rules
    id: 1654714083
  - enabled: true
    url: https://raw.githubusercontent.com/mitchellkrogza/The-Big-List-of-Hacked-Malware-Web-Sites/master/hosts
    name: The Big List of Hacked Malware Web Sites
    id: 1654714084
  - enabled: true
    url: https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
    name: Disconnect Ad Filters
    id: 1654714088
  - enabled: true
    url: https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
    name: Anudeep ND's Blacklist
    id: 1654714089
  - enabled: true
    url: https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts
    name: hostsVN
    id: 1654714090
  - enabled: true
    url: https://v.firebog.net/hosts/Easyprivacy.txt
    name: EasyPrivacy
    id: 1654714091
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareHosts.txt
    name: DandelionSprout's Anti Malware Filter
    id: 1654714092
  - enabled: true
    url: https://phishing.army/download/phishing_army_blocklist_extended.txt
    name: Disconnect Malvertising
    id: 1654714093
  - enabled: true
    url: https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser
    name: CoinBlockerList
    id: 1654714094
  - enabled: true
    url: https://easylist.to/easylist/easylist.txt
    name: ABP EasyList
    id: 1654714095
  - enabled: true
    url: https://www.sunshine.it/blacklist.txt
    name: Sunshine
    id: 1654714096
  - enabled: true
    url: https://gist.githubusercontent.com/anudeepND/adac7982307fec6ee23605e281a57f1a/raw/5b8582b906a9497624c3f3187a49ebc23a9cf2fb/Test.txt
    name: Youtube Ad Blocklist
    id: 1654714097
  - enabled: true
    url: https://blocklistproject.github.io/Lists/ads.txt
    name: BlockListProject
    id: 1654714098
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareAdGuardHome.txt
    name: Dandelion Sprout's Anti-Malware List
    id: 1660849194
  - enabled: true
    url: https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-agh-online.txt
    name: Online Malicious URL Blocklist
    id: 1660849195
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/GameConsoleAdblockList.txt
    name: Game Console Adblock List
    id: 1663951934
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Phishing-Angriffe
    name: RPI Phishing
    id: 1665388872
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Win10Telemetry
    name: RPI W10 Telemetry
    id: 1665388873
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware
    name: RPI Malware
    id: 1665388874
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/notserious
    name: RPI Notserious
    id: 1665388875
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/spam.mails
    name: RPI Spam.Mails
    id: 1665388876
  - enabled: true
    url: https://www.fanboy.co.nz/r/fanboy-ultimate.txt
    name: Fanboy's Ultimate List
    id: 1672937546
  - enabled: true
    url: https://abp.oisd.nl
    name: OISD Full Blocklist
    id: 1672937547
  - enabled: true
    url: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
    name: StevenBlack
    id: 1672937548
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/crypto
    name: RPI Crypto
    id: 1676137468
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting1
    name: RPI Domain Squatting1
    id: 1676137469
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting2
    name: RPI Domain Squatting2
    id: 1676137470
  - enabled: true
    url: https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
    name: Perflyst Android Blocklist
    id: 1676137473
  - enabled: true
    url: https://v.firebog.net/hosts/Prigent-Malware.txt
    name: Prigent Malware
    id: 1676137474
  - enabled: true
    url: https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
    name: NoTrack Malware
    id: 1676137475
  - enabled: true
    url: https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts
    name: FadeMind Risk Hosts
    id: 1676137476
  - enabled: true
    url: https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt
    name: OSINT Threads
    id: 1676137477
  - enabled: true
    url: https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/domains.txt
    name: AmnestyTech
    id: 1676137478
  - enabled: true
    url: https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/tif.txt
    name: HaGeZi's Threat Intelligence
    id: 1676137479
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
    name: Dandelion Sprout's Anti Push Notifications
    id: 1710087190
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
    name: Dandelion Sprout's Game Console Adblock List
    id: 1710087191
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_47.txt
    name: HaGeZi's Gambling Blocklist
    id: 1710087193
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
    name: WindowsSpyBlocker - Hosts spy rules
    id: 1710087194
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
    name: Perflyst and Dandelion Sprout's Smart-TV Blocklist
    id: 1710087195
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_45.txt
    name: HaGeZi's Allowlist Referral
    id: 1710087196
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
    name: 'CHN: AdRules DNS List'
    id: 1710087197
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
    name: 'CHN: anti-AD'
    id: 1710087198
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
    name: The Big List of Hacked Malware Web Sites
    id: 1710087199
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
    name: Malicious URL Blocklist (URLHaus)
    id: 1710087200
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
    name: Scam Blocklist by DurableNapkin
    id: 1710087201
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
    name: Stalkerware Indicators List
    id: 1710087202
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
    name: NoCoin Filter List
    id: 1710087203
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
    name: ShadowWhisperer's Malware List
    id: 1710087204
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
    name: Phishing URL Blocklist (PhishTank and OpenPhish)
    id: 1710087205
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
    name: Dandelion Sprout's Anti-Malware List
    id: 1710087206
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
    name: OISD Blocklist Big
    id: 1710087207
  - enabled: true
    url: https://big.oisd.nl/
    name: oisd
    id: 1710087208
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
    name: Phishing Army
    id: 1710362292
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
    name: uBlock₀ filters – Badware risks
    id: 1710362293
  - enabled: true
    url: https://blocklistproject.github.io/Lists/adguard/everything-ags.txt
    name: everything
    id: 1713982419
whitelist_filters:
  - enabled: true
    url: https://raw.githubusercontent.com/hl2guide/AdGuard-Home-Whitelist/main/whitelist.txt
    name: hl2guide
    id: 1710087188
  - enabled: false
    url: https://raw.githubusercontent.com/hg1978/AdGuard-Home-Whitelist/master/whitelist.txt
    name: hg1978
    id: 1710087189

Adblock Testseite

lg.

 

[plang.pl]

www.openoffice.de

Das ist eine Fake-Seite und ist korrekterweise blockiert. Die richtige Website ist openoffice.org

 

[*kw*]

@Kenji: die adblock-Testseite kannte ich noch nicht.

Mit diesen wenigen Filtern komme ich auf 94%, den Rest krümel ich noch raus.



Die „everything list“ hat den internen Familienfrieden… Sagen wir so, wenn meine Frau mich beim vollen Vornamen nennt, ist eine der höheren Eskalationsstufen erreicht.

 

[mj084]

@Kenji

Deckt

@@||kinox.to^$important

nicht auch www.kinox.to mit ab?

 

[*kw*]

@mj084: ja, tut es

 

[Kenji]

@Kenji: die adblock-Testseite kannte ich noch nicht.

Mit diesen wenigen Filtern komme ich auf 94%, den Rest krümel ich noch raus.

Das ist eine Fake-Seite und ist korrekterweise blockiert. Die richtige Website ist openoffice.org

Der Rest wird von Ublock Origin erledigt, das auch als Add-on für Firefox erhältlich ist.

 

[Bx99]

Hallo zusammen,

zuerst einmal ein großes Dankeschön an @plang.pl für die detaillierte Anleitung. Die Konfiguration von AdGuard und unbound im Hyperlocal Mode hat grundsätzlich sehr gut funktioniert. Ich habe jedoch eine kleine Anpassung vorgenommen: Mein Setup läuft in einem MacVlan, was die Funktionalität jedoch nicht beeinflusst, sondern nur eine Besonderheit meiner Netzwerk-Konfiguration darstellt.

Aktivierung von TLS-over-DNS
Weiterhin habe ich mit der Aktivierung und Nutzung von TLS-over-DNS im Hyperlocal-Setup experimentiert. In der unbound.conf habe ich die entsprechenden Einstellungen für tls-over-dns vorgenommen und in AdGuard den Port 853 hinter die IP von unbound gesetzt, um eine zusätzliche Verschlüsselungsebene zu integrieren.

Ich würde gerne wissen, ob dieses Vorgehen generell sinnvoll ist und ob vielleicht jemand von euch schon Erfahrungen mit TLS-over-DNS in einem ähnlichen Setup gemacht hat. Diese Information könnte eine wertvolle Ergänzung für den Guide sein.

Freue mich auf eure Meinungen und Anregungen!

Beste Grüße, Bx99

 

[plang.pl]

Die Root-Server können keine Verschlüsselung. Und die Verschlüsselung zwischen unbound und AdGuard einzuschalten, halte ich für wenig sinnvoll, wenn beide Services auf dem gleichen Host laufen und daher alles über Loopback-Verkehr geht. Somit kann also im Heimnetz niemand den DNS-Traffic sniffen. Ob das auch für MACVLAN gilt, kann ich nicht sagen. Denke aber, dass das da ähnlich wie bei virtuellen Maschinen über eine Art virtuellen Switch auf dem Host läuft. Aber Docker ist da ja etwas eigen, insbesondere bei der Host <-> Container Kommunikation im MACVLAN. Grundsätzlich rate ich aber von der Verwendung eines MACVLANs ab.

 

[Bx99]

Verstehe, danke für den Hinweis @plang.pl !

Ich hatte gar nicht bedacht, dass die Verschlüsselung nur die Kommunikation zwischen Unbound und AdGuard sichert und nicht die zu den Root-Servern. In diesem Setup ist die Verschlüsselung wohl nur sinnvoll, wenn man den Hyperlocal Mode verlässt und einen externen DNS-Resolver (wie Quad9 oder Cloudflare) dazwischenschaltet. Das hilft mir sehr, das Setting besser zu verstehen.

Auch danke für den Denkanstoß zur MacVlan-Konfiguration. Ich werde das nochmal überdenken!