AdGuard inkl. Unbound

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Hallo zusammen,

wenn ich AdGuard und Unbound als Image im Docker installieren möchte, gibt es da ein "Bundle" oder sollte dies jeweils als eigenes Image installiert werden?

Danke.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
@EDvonSchleck
Danke für die Infos. Werde mich dann demnächst mal daran wagen.
Werde mich dann mit Sicherheit öfters melden (müssen) :)
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@allahopp: das gehört quasi schon zu den „Murmeltier-Themen“, aber Dank @EDvonSchleck findest du genug Infos dazu im Forum. ;)
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Ich habe jetzt erstmal AdGuard als Container installiert (ohne macvlan) um ein "Gefühl" für die Anwendung zu bekommen. Das ganze will ich testweise auch erst mal nur mit einem Client testen (noch keine DNS-Anpassungen in der FB um über DHCP zu verteilen).
Die Installation hat ohne Probleme funktioniert.

Ich habe aber das Gefühl, dass meine ganzen Aufrufe über den Browser per IPv6 gehen, ich aber beim "Test-Client" nur den DNS als IPv4 (IP der NAS) manuell hinterlegt habe.
Folgende Einstellungen sind in der FB unter IPv6-Einstellungen (standardmäßig hinterlegt).

1676021316841.png

Ich weiß leider nicht welche IPv6-Adresse AdGuard zugeweisen bekommt um diese IPv6-Adresse in den Netzwerkeinstellungen meines Test-Clients zu hinteregeln (es sollte eine statische Adresse sein, welche unverändert bleibt).

Welchen IPv6-DNS muss ich im Client hinterlegen, damit auch diese Anfragen über AdGuard laufen (habe leider dazu nichts gefunden, oder übersehen)? :unsure:

Danke
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Nutzt du IPv6? Welchen Internet-Anbieter hast du?
IPv6 funktioniert genauso wie IPv4. Du musst also die Netzwerkadresse der DS angeben.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Schalte doch einfach IPv6 in den Interneteinstellungen aus. ;) Somit ist das Problem sofort gelöst.
Die interne IPv6 nutzt kein Präfix.

Ich würde IPv4 bevorzugen. Nur bei Anschlüssen von Kabel oder Glasfaser, wo die IPv4 von außen nicht mehr erreichbar ist, würde ich mit IPv6 arbeiten. Warum das komplizierter machen als es ist?
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Das Abschalten der IPv6 würde ich gerne als "Plan B" nutzen wollen.

Ich dachte halt (in meiner Naivität), dass ich intern eine statische IPv6 im Router für den DNS hinterlegen kann (da wo aktuell die vielen 0 stehen) und der NAS eine feste ULA (fd80) vergebe unter welcher sie dauerhaft zu erreichen ist (analog statische IPv4).

Ist das ohne Probleme machbar (auch bzgl. AdGuard im Container)?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ja, AdGuard kann auch IPv6. Die Adressen welche eingegeben würde können siehst du unter dem Reiter Einrichtungsassistent. Die wurden dir aber auch schon bei der Einrichtung angezeigt. Ob weiter Einstellungen in Unbound zu tätigen sind (über eine Config) kann ich nicht direkt sagen, weil ich IPv4 nutze (Telekom).

Warum machst du dir alles so kompliziert? Ich nutze auch nur IPv4 only (aktuell).
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Warum machst du dir alles so kompliziert? Ich nutze auch nur IPv4 only (aktuell).
War nur interessenhalber. Habe mir gerade den Schalter in der FB angesehen um IPv6 zu dekativieren ;)
(Werde aber mal noch ein bisschen rumschrauben)

Danke bisher für die schnelle und (für mich verständliche Hilfe)!

I'll be back again :)
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Habe die letzten Nächte mal genutzt um in dem Thema weiterzukommen.

Was bisher geschah:
  • AdGuard erfolgreich installiert
  • Testweise 1 Client per DNS auf AdGuard verwiesen (sowohl IPv4 und IPv6 [über LLA]) --> funktioniert beides
  • Nutzung von Sperrlisten --> funktioniert
  • Umschreibung auf "Domäne.de" --> funktioniert
  • Als Upstream-Server die FB eingetragen (nur die FB, da akuell noch kein Unbound im Einsatz)
  • Als Private inverse DNS-Server ebenfalls die FB
Bisher bin läuft soweit alles und ich werden noch weitere Tests durchführen.

Natürlich sind auch einige Fragen aufgetreten, die ich gerne mal an die Profis stellen würde:
  1. Bei der Übersicht in AdGuard werden mir die Client-Namen mit der Domäne "fritz.box" aufgelistet. Gibt es eine Möglichkeit, dass meine eigene Dömäne aufgeführt wird, z. B. "PC1.domäne.de" (wäre nur ein Nice-to-have)?
  2. Was hat das mit den "Bootstrap DNS-Server" auf sich (hier sind noch die Standardeinstellungen drin), muss ich das was anpassen?
  3. Welche Einstellungen nutzt ihre bei den DNS-Serverkonfigurationen?
  4. Wie erstelle ich für einen Client eine Ausnahme, sodass keinerlei Filerung durch AdGuard erfolgt (ohne Umstellung DNS ;))?
  5. Ich wollte auf der NAS ein Reverse-Proxy auf AdGuard einrichten um auch im Browser den Namen eingeben zu können. Da AdGuard aber keinen eigenen Port im Container hat, wie muss ich da vorgehen?
  6. Ich habe mal noch den Worst-Case gemacht und AdGuard heruntergefahren. Natürlich funtkioniert dann kein Internet mehr. Wie habt ihr das Problem gelöst (redundantes System, oder über einen 2. DNS-Eintrag am Client)?
Ich weiss, dass es viele Fragen sind, würde mich aber freuen, wenn ihr eure funktionierenden Parameter mit mir teilt

Danke und schönen Sonntag noch.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Zu 1
Das liegt daran, dass die Fritte die Hostnamen auflöst. Die hängt als DNS-Suffix immer .fritz.box an. Ich wüsste nicht, dass man das ändern kann in der Fritte.
Zu 2
Weiß ich leider nicht
Zu 3
Meine Clients verwenden den AdGuard und der wiederum den unbound, außer für Hostnamenauflösung verwendet AdGuard die Fritte.
Zu 4
Bei pihole geht das galub ich. Wie das bei AdGuard geht, weiß ich nicht
Zu 5
Reverse Proxy erstellen, der nach localhost auf den AdGuard GUI Port weiterleitet
Zu 6
Bei mir habe ich das nicht umgesetzt.
Man könnte aber via DHCP einen zweiten DNS verteilen, z.B. den von Google oder den der Fritte selbst. Alternativ einen zweiten AdGuard auf einem anderen Gerät aufsetzen
 
  • Like
Reaktionen: allahopp

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Naja der Client fragt AdGuard. Wenn die IP im Heimnetz ist, fragt AdGuard die Fritte.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Meine Clients verwenden den AdGuard und der wiederum den unbound, außer für Hostnamenauflösung verwendet AdGuard die Fritte.
Wie ist dann der Weg einer DNS-Anfrage:

Client <-> Adguard <-> unbound <-> ISP oder
Client <-> Adguard <-> unbound <-> FB <-> ISP

Wenn ersteres, dann wird FB für DNS-Anfragen überhaupt nicht mehr angefragt?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
So schauts aus:
Client -> Adguard -> (lokale Anfragen: Fritte ->) unbound -> Quad9 DNSSec Server
Den ISP DNS frage ich gar nicht
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Zu 1
Aufgrund der eingetragenen Namen für jeden Client wird die Auflösung von der Fritz!Box übernommen, da diese nur die Daten hat.
Zu 2
Wir haben die erweiterten DNS-Einstellungen durch Hinzufügen einer Bootstrap-Option verbessert. Was ist ein Bootstrap überhaupt? Kurz gesagt, es handelt sich um einen Zwischenserver, der dazu dient, die IP-Adresse des sicheren DNS-Servers zu erhalten, den Sie zuvor ausgewählt haben. Und einen solchen Zwischenserver benötigen Sie, wenn Sie spezielle DNS-Protokolle wie DNS-over-TLS verwenden, denn dann würde die Serveradresse aus Wörtern und Buchstaben statt aus (normalerweise verwendeten) Zahlen bestehen — und Ihr System wüsste nicht, wie es diesen Server erreichen könnte. Hier kommt Bootstrap ins Spiel, das diese Buchstaben in Zahlen „übersetzt“ und der Verbindung ein Ziel zuweist.
Zu 3
meine Einstellungen sind in den Threads als Bilder angehangen
Zu 4
in den Clienteinstellungen kannst du Dienste, Server oder Filter einstellen
Zu 5
den Port hast du bei der Einrichtung selbst angegeben und ausgewählt. Diesen findest du aber auch in der AdguardHome.yaml.
Zu 6
automatisch geht das nur mit einem weiteren Gerät und den WAN Einstellungen. Alternativ kannst du den 2. WAN-DNS Server auch einen anderen Server von Dismail, Google etc. eintragen. Musst aber damit leben, dass die eine oder andere Anfrage nicht immer durch AdGuard(/Pi-Hole vorbeigeht. Das liegt denn an die Fritz!Box. Einen weiteren DNS-Server unter Netzwerk zu bekommen, wird seit Jahren bei AVM angefragt.

Wie ist dann der Weg einer DNS-Anfrage:?
Client > Fritz!Box > AdGuard > Unbound > Internet
 
  • Like
Reaktionen: allahopp

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Letzteres stimmt aber nur, wenn man als DNS den AdGuard nicht per DHCP verteilt. Was ich aber getan habe
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Habe in den letzten Tagen AdGuard mal deinstalliert und den SynDNS istalliert um mir mal ein wenig Klarheit darüber zu verschaffen, wie denn ein DSN funktioniert.
Jetzt würde ich mich gerne wieder AdGuard widmen. Bzgl. AdGuard und DNS (im Vergleich mit SynDNS) habe ich noch Fragen:

  1. Im SynDNS habe ich eine Zonen-ID mit meiner "domäne.de" angelegt. Dabei wurden auch Einträge generiert wie z. B. "ns.domäne.de."
    Wo finde ich diese Einräge in AdGuard (auch hier muss es ja solch eine Zonen-iD geben)?
  2. Aktivierung eines Auflösungsdienstes (SynDNS) mit 2 Fowardern. Entspricht dies in AdGuard den Upstream-Servern?
  3. Nutzt jemand die Verschlüsselungseinstellungen unter AdGuard und wenn Ja, welchen Vorteil hat dies?
  4. Wenn ich alle DNS-Anfragen auf die FB weiterleiten will ist dann DoH, bzw. DoT in AdGuard sinnvoll (auf der FB verwende ich bereits DoT, bzw. DoH)?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat