Adguard setzt sporadisch aus

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Achso. Ich dachte, du meintest damit einen Log Entry in der Fritte, dass automatisch gewechselt wurde
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
nein, da habe ich mich falsch ausgedrückt. wollte damit nur sagen, das ich diese Einstellung nun vorgenommen habe
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
so wie es ausschaut, kann es wirklich an der FB Einstellung gelegen haben. bislang waren keine Aussetzer mehr zu merken.
Habe zwischenzeitlich auch unbound installiert, nach deiner Anleitung.

Hierzu hätte ich noch mal ein paar Fragen:
Unbound ist doch dafür da, das Aduguard nicht über die öffentlichen DNS Server gehen muss, sondern das die Anfragen direkt an die entsprechenden root Server gestellt werden - vorbei an den öffentlichen DNS Servern, richtig?

In deiner Unbound Config finde ich diesen Eintrag:
# Quad9
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.net

Was bewirkt der? Wieso wird hier doch wieder ein öffentlicher DNS hinterlegt?

Dann hast du noch folgende Configs:

# These private network addresses are not allowed to be returned for public
# internet names. Any occurrence of such addresses are removed from DNS
# answers. Additionally, the DNSSEC validator may mark the answers bogus.
# This protects against DNS Rebinding
private-address: 10.0.0.0/8
private-address: 172.16.0.0/12
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: fd00::/8
private-address: fe80::/10
private-address: ::ffff:0:0/96#
und

# Only give access to recursion clients from LAN IPs
access-control: 127.0.0.1/32 allow
access-control: 192.168.0.0/16 allow
access-control: 172.16.0.0/12 allow
access-control: 10.0.0.0/8 allow

was ist denn das Netz 10.0.0.0/8 und 172.16.0.0/12?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
So in der Art, ja
Was bewirkt der? Wieso wird hier doch wieder ein öffentlicher DNS hinterlegt?
Da wird DNS over TLS gemacht. Man braucht immer einen upstream DNS.
Soo tief bin ich leider in der Materie dann doch nicht drinne, dass ich das genau differenzieren kann. Vielleicht kann ich hierzu noch was recherchieren oder jemand anders weiß da mehr.
was ist denn das Netz 10.0.0.0/8 und 172.16.0.0/12?
Das sind alles private Netze. Diese dürfen beim unbound anfragen
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
Aber wozu brauche ich denn Unbound, wenn eh wieder ein Upstream angefragt wird?
Dann kann ich doch auch direkt den Upstream nutzen, statt den Umweg über Unbound zu machen oO

Sind das deine privaten Netze?
Ich habe nämlich kein 10.0.0.0/8 Netz oder 172.16.0.0/12 im Einsatz
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein. Da sind einfach alle privaten Netze gelistet. Bei mir habe ich da tatsächlich nur den AdGuard drin stehen, weil ich nicht will, dass ein Client den unbound vorbei am AdGuard befragt
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
okay, dann würde es Sinn machen, wenn du deine Anleitung anpassen würdest, oder?

und was ist hiermit?
Aber wozu brauche ich denn Unbound, wenn eh wieder ein Upstream angefragt wird?
Dann kann ich doch auch direkt den Upstream nutzen, statt den Umweg über Unbound zu machen oO
Das erschließt sich mir aktuell nicht
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich trage da lieber alle privaten Netze ein. damit es bei den "Nachahmern" klappt.
Ich selbst verwende nicht die selbe Konfiguration, wie in meiner Anleitung
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
Oh und dann verkaufst du die Anleitung als Best practice? sehr gut! 😅
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Bei mir ist das einfach ein komplizierteres System.
Ich werde das nach und nach erweitern. Steht ja auch in der Agenda.
Alles auf einmal geht halt nicht. Ich wollte erst mal eine solide verständliche Grundanleitung schreiben, damit es jeder Laie hinbekommt.
Alles andere ist das Sahnehäubchen.
Wobei ich mich hier nicht rechtfertigen muss!
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
wollte auch nicht das du dich rechtfertigst.
fand es nur fragwürdig eine best practice Anleitung zu schreiben und dann selber ne andere Konfig zu verwenden.
Kein Vorwurf! ;)

werde mich aber noch etwas schlau machen, denn stimmig ist das für mich im Moment nicht (die Kombination aus Adguard + unbound).
Das ist aber ein anderes Thema was hier nicht mehr hingehört.

Adguard Probleme scheinen nun besitigt.
Danke dir für diene Unterstützung :)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Kein Ding. Melde dich halt noch mal, wenns neue Erkenntnisse gibt. Werde ich auch tun
 
  • Like
Reaktionen: Ghost108

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
Habe heute noch etwas weiter gebastelt und nun eine config die ohne upstreams auskommt. Denn sonst macht der unbound in meinen Augen keinen Sinn. Bin jetzt noch auf der Suche unbound als „hyperlocal“ laufen zu lassen
 
  • Like
Reaktionen: Tuxnet und plang.pl

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn die Sache fertig ist, wäre cool, wenn du die hier posten könntest.
 
  • Like
Reaktionen: Ghost108

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
So, es gibt ein Update:
Wenn ich nicht falsch liege, habe ich nun Adguard in Kombination mit Unbound (Hyperlocal) an den Start gebracht.

Bin nach der Anleitung von @plang.pl vorgegangen, allerdings mit ein paar Änderungen.
Schritt 1:
  • Habe statt docker/unbound/data die Ordnerstruktur ohne "data" verwendet.Also nur docker/unbound
  • Dann Unbound installieren wie von dir beschrieben (hier auch nur docker/unbound (ohne data) mounten)
  • Unbound Container stoppen (falls läuft)
  • Nach der Installation die Dateien aus der unbound.zip in den Ordner docker/unbound packen
  • Die Berechtigung "Everyone" ist für die unbound.log nicht erforderlich - allerdings für den Ordner auth-zone
In der unbound.conf muss folgender Part angepasst werden:

# Only give access to recursion clients from LAN IPs
access-control: 127.0.0.1/32 allow
access-control: 192.168.108.250/32 allow
Hier habe ich zusätzlich zur 127.0.0.1 die IP von Adguard hinterlegt.
Somit ist nur Adguard berechtigt, Anfragen an Unbound zu schicken.

Jetzt kann der Container Unbound gestartet werden und läuft nun im Hyperlocal-Modus.
Zusätzlich habe ich noch über den Synology Aufgabenplaner einen Task erstellt, welcher 1x im Monat um 00:00 läuft, welcher die aktuelle root.hints Datei lädt und im Unbound Verzeichnis ablegt. Dieser Task muss als root ausgeführt werden, da anschließend noch der docker container unbound neugestartet werden muss, um die neue root.hints einzulesen.

curl --output /volume1/docker/unbound/root.hints https://www.internic.net/domain/named.root
docker restart unbound

Sollte jemand noch Verbesserungsvorschläge haben, gerne melden! :)
 

Anhänge

  • unbound.zip
    6,9 KB · Aufrufe: 13
  • Like
Reaktionen: plang.pl und Tuxnet

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Vielen dank für die Infos.
Werde das testen und berichten. Wenn meine anderen geplanten Anpassungen "vollbracht" sind, werde ich meine Anleitung überarbeiten und auf irgendeine Art und Weise dort den Hyperlocal Modus mit beschreiben / empfehlen. Natürlich würde ich dich und diesen Thread hier mit verlinken, wenn ich darf.
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.263
Punkte für Reaktionen
71
Punkte
68
Darfst du machen ;)
Aber ich habe dennoch wieder Aussetzer 😅
Es ist zum verrückt werden
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Verwende doch testweise mal eine ältere AdGuard-Version.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat