AdGuard inkl. Unbound

[plang.pl]

Zu 1
Im AdGuard kannst du "nur" Umschreibungen anlegen.
Also ein gewisser FQDN zeigt auf eine IP oder eine andere Adresse.
Zu 2
Ich würde sagen: Ja, so ist es
Zu 3
Ich nicht. Erst der unbound sendet die Anfragen via DNS over TLS
Vorteil: Deine Anfragen sind halt ebend Ende-zu-Ende verschlüsselt. So wie wenn du eine https Seite aufrufst
Zu 4
Wenn die Fritte die Anfragen verschlüsselt an den AdGuard sendet und dieser die Anfragen nach draußen unverschlüsselt sendet, hast du wenig gewonnen
P.S.: Wenn alle Geräte an die Fritte anfragen und nicht direkt an den AdGuard, siehst du im AdGuard als Client nur die Fritte und weißt nicht, wer was anfragt und kannst auch keine Client-spezifischen Anfragen stellen

 

[allahopp]

Wenn die Fritte die Anfragen verschlüsselt an den AdGuard sendet und dieser die Anfragen nach draußen unverschlüsselt sendet, hast du wenig gewonnen
P.S.: Wenn alle Geräte an die Fritte anfragen und nicht direkt an den AdGuard, siehst du im AdGuard als Client nur die Fritte und weißt nicht, wer was anfragt und kannst auch keine Client-spezifischen Anfragen stellen

Ich meinte, dass die Clients die DNS-Anfragen an AdGuard senden, und AdGuard dann weiterleitet an die FB, welche dann verschlüsselt ins www. sendet. Ich würde in AdGuard als Upstream nur die FB eintragen. Dann sollte doch alles durchweg verschlüsselt sein.

 

[plang.pl]

Kannst du machen. Ist aber ein unnötiger "Hop"

 

[EDvonSchleck]

Wenn du Unbound einsetzt, geht das auch gleich zu den Root-Servern. Warum machst du dir das Leben so schwer?

 

[allahopp]

Bin noch in der Findungsphase, wobei ich gerade auf github "mvance/unbound" bin

 

[plang.pl]

Wenn du das schon angehst, würde ich dir schon empfehlen, gleich noch den unbound dahinterzuklemmen.
EDIT:
Du kannst auch gleich die Hints-Datei in unbound hinterlegen, dann muss dieser nicht die root-Zone anfragen. In der Praxis wirst du aber keinen Unterschied merken. Bei Interesse: https://www.redhat.com/sysadmin/forwarding-dns-2

 

[allahopp]

Da viele in diesem Forum AdGuard in Verbindung mit unbound nutzen, werde ich das auch nutzen. Werde da aber evtl. wieder eure Hilfe benötigen.

 

[plang.pl]

Naja klar. Kannst ja gerne Fragen. Die Antworten helfen anderen bestimmt auch

 

[allahopp]

Habe immer noch nicht ganz verstanden, welche Aufgabe unbound in Komibnation mit AdGuard eigentlich übernehmen soll, was AdGuard (vielleicht) nicht selbst kann (das soll nicht ablehnend gegen unbound sein, ich möchte es nur verstehen, da viele diese Kombination nutzen).

Mein Verständnis bisher:

• Client liefert DNS-Anfrage (PC1.domäne.de) an AGH; AHG löst als authorativer Server den lokalen Namen auf und gibt diesen an den Client zurück.
• Client liefert DNS-Anfrage (*ww.synology-forum.de) an AGH; AGH kann als nicht authorativer Server nicht auflösen, und gibt weiter an den Resolver-DNS "unbound", welcher wiederrum die Anfrage an die DSN-Root-Server schickt. Irgendwann kommt die Namensauflösung beim Client an.

--> Hoffe es ist so korrekt wiedergegeben.

1. Ist es nicht möglich, die IPs dieser Root-Server direkt bei AGH in dem Feld "Upstream-Servers" zu hinterlegen?
2. Was kann unbound, was AdGuard Home in diesem Falle nicht kann?

 

[plang.pl]

https://strobelstefan.org/2021/02/2...nd-kontrolle-ueber-die-dns-anfragen-erhalten/

 

[allahopp]

Ich dachte halt, dass man in AGH auch die Root-Server direkt eingeben kann.
Bin gerade am installieren und ausprobieren

 

[allahopp]

Ich habe jetzt unbound installiert und würde gerne die unbound.conf anpassen. Hierzu habe ich mir im Container Ordner zugeordnet um dies nicht über die Konsole, sondern direkt in den Files machen zu können:

"docker/unbound" auf "/opt/unbound/etc/unbound".

Leider bekomme ich folgende Fehlermeldung.



Kann mir da jemand weiterhelfen, woran das liegen könnte (ab Fehler 2 "unable ....")

 

[EDvonSchleck]

Die musst du normal nicht bearbeiten, da alles Netzwerke schon berücksichtigt sind und die Ports auch in der Bridge gemappt werden können.

 

[allahopp]

Das stimmt schon,
Da ich auch IPv6 benutze, muss dies bei den Allow-Adressen noch auskommentiert werden, sodass auch die "fe80::"-Adressen berücksichtigt werden.
Ausserdem würde ich gerne das mal mit den root.hints testen, auch dazu müsste ich die conf-Datei anpassen.

Ansonsten schnurrt das Ding AGH + unbound

 

[EDvonSchleck]

Wenn du IPv4 und IPv6 am Anschluss hast, würde ich IPv4 bevorzugen und IPv6 deaktivieren. Nicht das es auch mit IPv6 funktioniert, sondern eher wie IPv6 funktioniert und wie die Freigabe von außen erfolgen muss. Dort gehen die beiden Versionen auseinander. Bei IPv6 erfolgt die Freigabe direkt ins Internet. IPv6 würde ich nur benutzen, wenn es keine andere Möglichkeit möglich ist. Einem VPS bzw. feste-ip.net würde ich das Geld nicht hinterherwerfen.

Warum benutzt du netzintern IPv6 Adressen? Kompliziert geht es nicht. Ich kann mir nicht vorstellen, dass du diese so eingibst ohne zu kopieren. Da ist IPv4 deutlich übersichtlicher. Und selbst für extern kannst du einen Tunnel dafür benutzen.

 

[plang.pl]

Hast du Schreibrechte für "everyone" auf den unbound Ordner gegeben?

 

[allahopp]

Ja, Schreibrechte habe ich für "everyone" eingeräumt. Werde es aber nochmals testen, da evtl. die übergeordneten Rechte nicht passen könnten.

Auf meinem "Test-Laptop" (der mittels DNS direkt auf AGH zugreift) habe ich zusätzlich zu AGH im Firefox noch die Erweiterung "uBlock origin", welche auch ihren Dienst leistet.

Beim Aufruf der Seite https://d3ward.github.io/toolz/ kann man AdBlocker testen. Hier habe ich folgendes festgestellt:

• AGH mit fast allen Filtern aktiv + "uBlock origin" im Firefox: --> 91% geblockte Hosts
• AGH mit fals allen Filter aktiv ohne "uBlock origin" im Firefox: > 100% geblockte Hosts

Muss ich das verstehen?

@plang.pl
Nutzt du die root.hints im unbound?

 

[EDvonSchleck]

Ob man die Seite so viel wert geben kann, mag ich bezweifeln.

Bei mir werden die Sozials angezeigt, obwohl diese mehrfach in meine Listen geblockt sind. Das kann man gut nach der Abfrage auch im Protokoll sehen. Ich würde diesen „Test“ nicht überbewerten. Auch die einzelnen Webseiten sind bei mir geblockt und werden trotzdem als offen angezeigt.

Es sollte immer ein gewisses Maß genutzt werden, du kannst ja nicht alles wegfiltern. Ansonsten brauchst du auch kein Internet mehr. Vorher hat es dich auch nicht interessiert und jetzt übertreibst du es. Eingrenzen ist ok, aber nutzerfreundlich sollte es schon bleiben, sonst kannst du das Internet abschalten.

 

[allahopp]

Es geht hier ja nicht ums übertreiben, ich möchte es einfach nur verstehen, was wie zusammenhängt. Dass ich das nicht bis ins kleinste nachvollziehen kann ist mir bewusst. Bin kein ausgebildeter IT-ler. Deshalb kommen vermutlich aus deiner Sicht diese "dummen" Fragen. Wenn ich es besser wüsste, würde ich nicht in den Foren um Hilfe bitten.

Ich glaube ich lasse mein Projekt jetzt erst mal ruhen; habe keine Lust mehr mich immer nur zu erklären.

@EDvonSchleck
Bitte nicht persönlich nehmen. Vielleicht kommen wir bei anderen Projekten wieder zusammen.

 

[plang.pl]

Nutzt du die root.hints im unbound?

ja