Best Practice: AdGuard Home & unbound als DNS-Server

[plang.pl]

Achja und @Yahooman
Wenn du nur IPv6 am Client deaktivierst, kann das unschöne Folgen haben. U.U. antwortet der AdGuard nämlich auf eine Anfrage mit der IPv6. Dann erhältst du am Client einen Fehler. Ich habe bei mir IPv6 im AdGuard (im Interface unter "Einstellungen" -> "DNS-Einstellungen") und unbound deaktiviert. Im unbound geht das, indem man in der unbound.conf folgende Zeilen ergänzt:

do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

EDIT: Hab ich mit als Schritt 10 in die Anleitung gepackt.

 

[Yahooman]

@plang.pl
Kannst du mir ein Beispiel für einen A-Record im unbound geben?

 

[Yahooman]

Die Parameter sind unter "server:" anzugeben?

do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

 

[plang.pl]

Achso. Ja genau unter server:.
A-Record in unbound:
Die Datei forward-records.conf öffnen. Folgendes Beispiel:

local-data: "srv-file.local. A 10.1.1.2"
local-data-ptr: "10.1.1.2 srv-file.local."

Nach der Änderung den Container neu starten.
Anschließend wird die Anfrage nach srv-file.local als Antwort 10.1.1.2 liefern. Umgedreht ergibt ein Reverse Lookup auf 10.1.1.2 die Antwort srv-file.local
Und weil die Frage oft kommt: Nein, der . nach local ist kein Versehen in der Config. Der muss da hin

EDIT: Wie gesagt, geht das genauso gut mit einer Umschreibung im AdGuard. Ich hab beides für unterschiedliche Zwecke im Einsatz.

 

[Yahooman]

Danke für das A-Record in unbound Beispiel.

Komisch. Ich hab folgende Umschreibung hinterlegt, aber sie funktioniert nicht:

 

[plang.pl]

Diese Umschreibung sollte bewirken, dass fritz.local als DNS-Anfrage auf die 192.168.178.1 aufgelöst wird.
Wenn ich das bei mir so mache, dann geht das.

 

[Benares]

Aber fragen Fritten-Clients nicht nach fritz.box? Ich kenne Adguard nicht.

 

[plang.pl]

Ja, tun sie. Die Frage ist halt, was man erreichen will. Wenn man nur die Fritte mit der Domain erreichen will, dann ist das so ok. Wenn man aber das ganze Suffix über die Fritte auflösen will, dann kann man das auch "abfangen", wenn man eine Zone anlegt. Ich würde das so machen:
In der forward-records.conf folgenden Eintrag anlegen:

server:
local-zone: "fritz.box" redirect
local-data: "fritz.box 86400 IN A 192.168.178.1"

Somit landen alle Anfragen an die Domain fritz.box auf der Fritte. Ich weiß allerdings nicht, ob das zielführend ist. Hier möchte ich eher darauf verweisen, Schritt 5.2 NICHT auszuführen, oder den Part in dem Step mit dem Eintragen der Fritte als Upstream (bedingt) zu befolgen

EDIT: Nein, der erste Part ist NICHT zielführend, weil da jede Anfrage auf die IP der Fritte auflösen würde!

 

[Benares]

Klingt vernünftig . Solange die Fritte der DHCP-/DNS-Server für alles Lokale ist, sollte sie das auch auflösen. Was ist mit Reverse-Lookups IP->Name?

 

[plang.pl]

Also über die Methode mit Einrichten der Fritte als Upstream und inverse DNS-Server haut das problemlos hin.
Einen Reverse Lookup bekommt man leider m.W. mit dem genannten Forward-Record nicht hin. Das wäre ja ein "Wildcard Reverse Lookup". K.A., ob unbound so was kann / macht. Ich denke aber nicht. M.W. muss man die PTR-Einträge (falls gewünscht) manuell setzen für die Subdomains.

 

[Benares]

Deine Beschreibung enthält doch folgenden Teil. Ist das nicht genau das? - Regeln für das DNS- und Reverse-Lookup?

 

[plang.pl]

Ja, genau das ist das. Damit sollten Reverse und Forward-Lookups im lokalen Netz funktionieren.
Die Anfragen werden dabei vom AdGuard (DNS-Server am Client) gar nicht an den (normalerweise genutzten) unbound weitergeleitet, sondern landen stattdessen an der Fritte, welche die Hostnames als DHCP-Server auflösen kann.

 

[Benares]

Dann ist doch damit gelöst, oder?
Ich verstehe die Diskussion weiter oben (ab ~#200) nicht.

 

[plang.pl]

Ich bin an der Stelle davon ausgegangen, dass dieser Schritt schon versucht wurde (weil ich ihn ja extra deshalb mit aufgenommen habe). Falls nicht, wäre das natürlich der erste Weg. Wenn das nicht klappt, muss man über die DNS-Rewrites im AdGuard oder über die forward-records.conf des unbound gehen (die a-records.conf ginge auch). Da kann man nicht nur Domain-Namen (z.B. file-server.local) angeben, sondern auch die Hostnames selbst (z.B. file-server).

 

[Benares]

Ich denke, du solltest den Schritt 5.2 aus deiner Anleitung einfach nicht mehr als "Optional" bezeichnen. Er ist m.E. Pflicht.

 

[plang.pl]

Das sehe ich anders. Der Schritt 5.2 in Gänze bewirkt nämlich, dass die Fritte aus dem DNS raus ist. Damit funktioniert das konfigurierte Failover bei den DNS-Servern nicht mehr. Dessen muss man sich bewusst sein. Deshalb weiße ich an der Stelle sowohl auf Vor- und Nachteile hin. Wenn man den Schritt 5.2 nämlich einfach weglässt, funktioniert die Hostnameauflösung einwandfrei, da die Anfragen an das Suffix fritz.box gar nicht zum AdGuard oder unbound gelangen, sondern direkt an der Fritte (die als erster "DNS-Hop" fungiert) aufgelöst werden.

 

[Benares]

Mmh, überdenke das noch mal. Du verpointerst die Fritte und die Clients auf deine .39 als DNS-Server und erwartest, dass damit eine interne Namensauflösung ohne 5.2 noch funktioniert? Irgendwie steh ich gerade auf dem Schlauch.

da die Anfragen an das Suffix fritz.box gar nicht zum AdGuard oder unbound gelangen, sondern direkt an der Fritte (die als erster "DNS-Hop" fungiert) aufgelöst werden

???
Die Clients kennen doch dann nur nur noch den .39 als DNS-Server

Edit: Seh grad, dass die Clients den .39 als DNS-Server bekommen, gehört ja schon zu 5.2. Das wär mir zu heiß. Lieber einen DNS-Server für alle, der interne und externe kann. Auch an IPv6 sollte man denken.
Edit2: Ich glaube, ich verstehe jetzt dein Konstrukt so halbwegs. Die Clients fragen ohne 5.2 weiterhin die Fritte, die wiederum nutzt den .39 als DNS, richtig?

 

[Yahooman]

Hab jetzt mit den Adguard rewrites ein wenig rumgespielt. Warum auch immer werden nur DNS-Namen mit einem Punkt akzeptiert.
Für die Fritzbox kann ich aber nur fritz.box verwenden, weil die Fritte sonst ne Meldung bringt, dass der Name abweicht...

 

[Yahooman]

Zudem habe ich festgestellt, das 5.2 nur Sinn macht, wenn man alle WLAN Geräte für das private WLAN auf die fixe Geräte Mac stellt - sonst werden trotz setzen auf feste IP in der Fritte bei neuer Mac neue IPs aus der range vergeben.
Bei LAN Verbindungen werden alle Verbindungen in Adgurd über 127.0.0.1 geführt. Konnte ich nur dadurch beheben, dass ich im Ethernet Adapter die Adguard IP zur DNS angegeben habe.

 

[plang.pl]

Die Clients fragen ohne 5.2 weiterhin die Fritte, die wiederum nutzt den .39 als DNS, richtig?

Genau.

weil die Fritte sonst ne Meldung bringt, dass der Name abweicht...

Den verwendeten Namen muss man auf der Fritte im Rebind-Schutz eintragen, dann geht das mit jedem Namen.

fixe Geräte Mac

Ja, die Fritte (und eigentlich alle Router) erkennen das Gerät an der MAC-Adresse. Diese dynamische MAC ist mir schon immer ein Dorn im Auge. Gut, dass es sowas gibt, aber dass das immer per default an jedem Gerät an ist, nervt mich. An meinen Androiden kam es sogar schon vor, dass sich diese Einstellung mit einem Update wieder auf dynamisch gestellt hat. Und das muss man ja pro WLAN einstellen. Nun bin ich dazu übergegangen, sogar an Mobilgeräten statische IPs am Gerät zu setzen.