Best Practice: AdGuard Home & unbound als DNS-Server

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
@update-freak

Ich habe dir doch geschrieben gehabt, dass die root.key alleine erstellt wird - aber bei dir gibt es Probleme mit mit den Zugriffsrechten:

Code:
could not write builtin anchor, to file /usr/local/unbound/iana.d/root.key: Permission denied

Setz mal Schreibberechtigungen für "Jeden" für den Ordner
Code:
volume1/docker/unbound/iana.d

Und starte den Container neu

@madnuttah

Willkommen im Forum und Thread :)
 

madnuttah

Benutzer
Mitglied seit
24. Apr 2024
Beiträge
6
Punkte für Reaktionen
8
Punkte
9
Ich hab dir auf Github geantwortet, kurz: der Ordner `iana.d` muss und sollte eigentlich nicht verbunden werden.

Edit: Na super, ich hab den Ordner noch in den Beispielen, sorry. Hab's korrigiert.

https://github.com/madnuttah/unbound-docker/issues/64#issuecomment-2079022857

Noch'n Edit: Das Aufsplitten der Configs ist überhaupt nicht notwendig aber ne Option wenn jemand das wie ich gerne hat. Es geht die Standard Unbound Config mit den Änderungen, die ich in meiner Doku geschrieben habe.

Warum schlägt man wegen Images aufeinander ein? Es ist doch toll, das es eine Auswahl gibt. Sollen alle das nehmen womit er oder sie glücklich ist. Mir ist das relativ egal, denn ich nutze meins selbst. Ich mache mir die Arbeit für mich und natürlich auch die mittlerweile zehntausende Menschen die es vertrauensvoll seit fast 3 Jahren nutzen.
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Crazy, @update-freak hat da direkt einen Bug auf GitHub gemeldet, obwohl die Fehlermeldung ja alles sagt 🙈

@madnuttah hat es dort und hier wunderbar erklärt und somit auch ein wenig Licht ins Dunkel gebracht:)

Unbound läuft in seinem Image schon als Hyperlokal - was zumindest andere Images nicht machen - das war ja auch ein Stein des Anstoßes warum man dann in Verbindung mit AdGuard Home überhaupt noch Unbound benötigt, wenn dieser auch nur klassische Upstream DNS Server anfragt;)

Vielleicht bekommen wir es noch kurz aufgelöst, was es genau mit dieser root.zone und root.hints auf sich hat und ob man diese wie aus älteren Anleitungen überhaupt noch manuell updaten muss.

Zumindest die root.zone wird ja beim Start des Containers "eingespielt".

Was das Thema Images angeht, kann ich @madnuttah nur beipflichten - jeder kann seine Anforderungen selbst bestimmen und sich danach aussuchen, was am besten für ihn geeignet ist.

Für mich ist dies aufgrund der verlinkten Vorteile und der möglichst nahen Standardconfig vom originalen Unbound halt das Image von @madnuttah :)
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
Also wird nur eine von beiden benötigt?

Und es macht mehr Sinn die komplette Root-Zone vorzuhalten anstatt nur die Liste der Root Server via root.hints File?
 

madnuttah

Benutzer
Mitglied seit
24. Apr 2024
Beiträge
6
Punkte für Reaktionen
8
Punkte
9

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
“Viel hilft viel“…

Bei Adguard nicht zwingend, was die Filterung angeht. Dennoch bin ich über „The Block List Project“ gestolpert und hier speziell die „Everything-List“ (AdGuard Variante, ca.1,6 Mio Einträge, expiring: 1 day).

Ich teste gerade mal, womit die sich rühmen.
 
  • Like
Reaktionen: Kenji

Kenji

Benutzer
Mitglied seit
09. Feb 2024
Beiträge
52
Punkte für Reaktionen
8
Punkte
58
Hier meine Settings als Empfehlung:

Whitelist
Code:
Whitelist:
https://raw.githubusercontent.com/hl2guide/AdGuard-Home-Whitelist/main/whitelist.txt
Meine Benutzerdefinierten Regeln:
Code:
#Erlaube OneDrive-Share
@@||1drv.ms
#Erlaube Sonstige Seiten
@@||xn--brustberl-schnbrunn-hwb30b7d.de^$important
#Erlaube AutoTask
@@||ww18.autotask.net
@@||www.autotask.net
#Punycode-Blocker
/.*(xn--).*/
#China, Russland, Sowjetunion, Vietnam sowie die .top-TLD, aus der scheinbar nur Spammails kommen
/(\.cn$|\.ru$|\.su$|\.vn$|\.top$)/
#Twitter
||advertising.twitter.com
#YouTube
/r[0-9-]-sn-[a-z0-9]-[0-9a-z]{4}.googlevideo.com/
/xn--r[0-9]sn-[a-z0-9]{8}-uu2l.googlevideo.com/
#SmartThings
@@||samsungelectronics.com
#WPAD
||wpad.fritz.box
#Vinted Freigabe
@@||cdn.cookielaw.org
#SmartTV
@@||time-bas-eu.vidaahub.com
@@||policy-jrnl-eu.vidaahub.com
@@||vidaa-base-auth-eu.vidaahub.com
#PayPal
@@||b.stats.paypal.com
@@||c.paypal.com
#Google Play
@@||play-fe.googleapis.com
#Live Login
@@||login.live.com
#SMART Rechner
@@||yksi.ml
#Wetter Online
@@||api-app.wo-cloud.com
@@||api-app.wetteronline.de
#Stetic Tutorials
@@||stetic.com
#IconArchive
@@||www.iconarchive.com
@@||iconarchive.com
#Blocke ZIP Domains
\.zip$/
@@||www.kinox.to^$important
@@||kinox.to^$important
@@||mdm.openapi.360.cn^$important
@@||smart.360.cn^$important
@@||p.s.360.cn^$important
@@||q.smart.360.cn^$important
||lexwareapimonitoring.apm.northeurope.azure.elastic-cloud.com^$important
@@||ota3.jia.360.cn^$important
||knowhow.servicehub.haufe.io^$important
||status.download.lexware.de^$important
||mediator.goodsync.com^$important
||forw-ams1.goodsync.com^$important
||update.ross-tech.com
@@||logs.browser-intake-datadoghq.eu^$important
@@||bnrs-engine.shoop.de^$important
@@||ns.adobe.com^$important
@@||www.companisto.com^$important
@@||cdn.companisto.com^$important
||conversions.am-usercontent.com^$important
||meetnme.com^$important
||track.scruglink.com^$important
||forw-ams3.goodsync.com^$important
@@||www.popcorn-tv.online^$important
@@||popcorn-tv.online^$important
@@||waaw.to^$important
@@||ww19.kinoz.to^$important
@@||lhr.stats.paypal.com^$important
||mqtt-ig-p4.facebook.com^$important
@@||redir.digidip.net^$important
#Blockiert wegen d3ward.github.io
||ads-api.twitter.com^$important
||events.reddit.com^$important
||adservice.google.com^$important
||adtago.s3.amazonaws.com^$important
||analyticsengine.s3.amazonaws.com^$important
||analytics.s3.amazonaws.com^$important
||advice-ads.s3.amazonaws.com^$important
||metrics.mzstatic.com^$important
||ads.pinterest.com^$important
||ad.doubleclick.net^$important
||stats.wp.com^$important
||ij.manual.canon^$important
@@||toplist.raidrush.ws^$important
@@||etahub.com^$important
@@||www.openoffice.de^$important
@@||kumo.network-n.com^$important
@@||pulsar.ebay.de^$important

Code:
filters:
  - enabled: true
    url: https://adguardteam.github.io/AdGuardSDNSFilter/Filters/filter.txt
    name: AdGuard DNS filter
    id: 1
  - enabled: true
    url: https://adaway.org/hosts.txt
    name: AdAway Default Blocklist
    id: 2
  - enabled: true
    url: https://someonewhocares.org/hosts/zero/hosts
    name: Dan Pollock's List
    id: 1654714077
  - enabled: true
    url: https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV-AGH.txt
    name: Perflyst Smart-TV Blocklist
    id: 1654714078
  - enabled: true
    url: https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
    name: NoCoin Filter List
    id: 1654714079
  - enabled: true
    url: https://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblockplus&showintro=1&mimetype=plaintext
    name: Peter Lowe's List
    id: 1654714080
  - enabled: true
    url: https://raw.githubusercontent.com/durablenapkin/scamblocklist/master/adguard.txt
    name: Scam Blocklist by DurableNapkin
    id: 1654714081
  - enabled: true
    url: https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt
    name: Spam404
    id: 1654714082
  - enabled: true
    url: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
    name: WindowsSpyBlocker - Hosts spy rules
    id: 1654714083
  - enabled: true
    url: https://raw.githubusercontent.com/mitchellkrogza/The-Big-List-of-Hacked-Malware-Web-Sites/master/hosts
    name: The Big List of Hacked Malware Web Sites
    id: 1654714084
  - enabled: true
    url: https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
    name: Disconnect Ad Filters
    id: 1654714088
  - enabled: true
    url: https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
    name: Anudeep ND's Blacklist
    id: 1654714089
  - enabled: true
    url: https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts
    name: hostsVN
    id: 1654714090
  - enabled: true
    url: https://v.firebog.net/hosts/Easyprivacy.txt
    name: EasyPrivacy
    id: 1654714091
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareHosts.txt
    name: DandelionSprout's Anti Malware Filter
    id: 1654714092
  - enabled: true
    url: https://phishing.army/download/phishing_army_blocklist_extended.txt
    name: Disconnect Malvertising
    id: 1654714093
  - enabled: true
    url: https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser
    name: CoinBlockerList
    id: 1654714094
  - enabled: true
    url: https://easylist.to/easylist/easylist.txt
    name: ABP EasyList
    id: 1654714095
  - enabled: true
    url: https://www.sunshine.it/blacklist.txt
    name: Sunshine
    id: 1654714096
  - enabled: true
    url: https://gist.githubusercontent.com/anudeepND/adac7982307fec6ee23605e281a57f1a/raw/5b8582b906a9497624c3f3187a49ebc23a9cf2fb/Test.txt
    name: Youtube Ad Blocklist
    id: 1654714097
  - enabled: true
    url: https://blocklistproject.github.io/Lists/ads.txt
    name: BlockListProject
    id: 1654714098
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareAdGuardHome.txt
    name: Dandelion Sprout's Anti-Malware List
    id: 1660849194
  - enabled: true
    url: https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-agh-online.txt
    name: Online Malicious URL Blocklist
    id: 1660849195
  - enabled: true
    url: https://raw.githubusercontent.com/DandelionSprout/adfilt/master/GameConsoleAdblockList.txt
    name: Game Console Adblock List
    id: 1663951934
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Phishing-Angriffe
    name: RPI Phishing
    id: 1665388872
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Win10Telemetry
    name: RPI W10 Telemetry
    id: 1665388873
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware
    name: RPI Malware
    id: 1665388874
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/notserious
    name: RPI Notserious
    id: 1665388875
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/spam.mails
    name: RPI Spam.Mails
    id: 1665388876
  - enabled: true
    url: https://www.fanboy.co.nz/r/fanboy-ultimate.txt
    name: Fanboy's Ultimate List
    id: 1672937546
  - enabled: true
    url: https://abp.oisd.nl
    name: OISD Full Blocklist
    id: 1672937547
  - enabled: true
    url: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
    name: StevenBlack
    id: 1672937548
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/crypto
    name: RPI Crypto
    id: 1676137468
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting1
    name: RPI Domain Squatting1
    id: 1676137469
  - enabled: true
    url: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting2
    name: RPI Domain Squatting2
    id: 1676137470
  - enabled: true
    url: https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
    name: Perflyst Android Blocklist
    id: 1676137473
  - enabled: true
    url: https://v.firebog.net/hosts/Prigent-Malware.txt
    name: Prigent Malware
    id: 1676137474
  - enabled: true
    url: https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
    name: NoTrack Malware
    id: 1676137475
  - enabled: true
    url: https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts
    name: FadeMind Risk Hosts
    id: 1676137476
  - enabled: true
    url: https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt
    name: OSINT Threads
    id: 1676137477
  - enabled: true
    url: https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/domains.txt
    name: AmnestyTech
    id: 1676137478
  - enabled: true
    url: https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/tif.txt
    name: HaGeZi's Threat Intelligence
    id: 1676137479
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
    name: Dandelion Sprout's Anti Push Notifications
    id: 1710087190
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
    name: Dandelion Sprout's Game Console Adblock List
    id: 1710087191
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_47.txt
    name: HaGeZi's Gambling Blocklist
    id: 1710087193
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
    name: WindowsSpyBlocker - Hosts spy rules
    id: 1710087194
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
    name: Perflyst and Dandelion Sprout's Smart-TV Blocklist
    id: 1710087195
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_45.txt
    name: HaGeZi's Allowlist Referral
    id: 1710087196
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
    name: 'CHN: AdRules DNS List'
    id: 1710087197
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
    name: 'CHN: anti-AD'
    id: 1710087198
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
    name: The Big List of Hacked Malware Web Sites
    id: 1710087199
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
    name: Malicious URL Blocklist (URLHaus)
    id: 1710087200
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
    name: Scam Blocklist by DurableNapkin
    id: 1710087201
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
    name: Stalkerware Indicators List
    id: 1710087202
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
    name: NoCoin Filter List
    id: 1710087203
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
    name: ShadowWhisperer's Malware List
    id: 1710087204
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
    name: Phishing URL Blocklist (PhishTank and OpenPhish)
    id: 1710087205
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
    name: Dandelion Sprout's Anti-Malware List
    id: 1710087206
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
    name: OISD Blocklist Big
    id: 1710087207
  - enabled: true
    url: https://big.oisd.nl/
    name: oisd
    id: 1710087208
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
    name: Phishing Army
    id: 1710362292
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
    name: uBlock₀ filters – Badware risks
    id: 1710362293
  - enabled: true
    url: https://blocklistproject.github.io/Lists/adguard/everything-ags.txt
    name: everything
    id: 1713982419
whitelist_filters:
  - enabled: true
    url: https://raw.githubusercontent.com/hl2guide/AdGuard-Home-Whitelist/main/whitelist.txt
    name: hl2guide
    id: 1710087188
  - enabled: false
    url: https://raw.githubusercontent.com/hg1978/AdGuard-Home-Whitelist/master/whitelist.txt
    name: hg1978
    id: 1710087189

Adblock Testseite

lg.
 
  • Like
Reaktionen: *kw*

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
  • Like
Reaktionen: mj084

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
@Kenji: die adblock-Testseite kannte ich noch nicht. (y)

Mit diesen wenigen Filtern komme ich auf 94%, den Rest krümel ich noch raus.

IMG_0187.jpeg

Die „everything list“ hat den internen Familienfrieden… Sagen wir so, wenn meine Frau mich beim vollen Vornamen nennt, ist eine der höheren Eskalationsstufen erreicht. 😜
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
  • Like
Reaktionen: mj084

Kenji

Benutzer
Mitglied seit
09. Feb 2024
Beiträge
52
Punkte für Reaktionen
8
Punkte
58

Bx99

Benutzer
Mitglied seit
09. Okt 2023
Beiträge
13
Punkte für Reaktionen
5
Punkte
3
Hallo zusammen,

zuerst einmal ein großes Dankeschön an @plang.pl für die detaillierte Anleitung. Die Konfiguration von AdGuard und unbound im Hyperlocal Mode hat grundsätzlich sehr gut funktioniert. Ich habe jedoch eine kleine Anpassung vorgenommen: Mein Setup läuft in einem MacVlan, was die Funktionalität jedoch nicht beeinflusst, sondern nur eine Besonderheit meiner Netzwerk-Konfiguration darstellt.

Aktivierung von TLS-over-DNS
Weiterhin habe ich mit der Aktivierung und Nutzung von TLS-over-DNS im Hyperlocal-Setup experimentiert. In der unbound.conf habe ich die entsprechenden Einstellungen für tls-over-dns vorgenommen und in AdGuard den Port 853 hinter die IP von unbound gesetzt, um eine zusätzliche Verschlüsselungsebene zu integrieren.

Ich würde gerne wissen, ob dieses Vorgehen generell sinnvoll ist und ob vielleicht jemand von euch schon Erfahrungen mit TLS-over-DNS in einem ähnlichen Setup gemacht hat. Diese Information könnte eine wertvolle Ergänzung für den Guide sein.

Freue mich auf eure Meinungen und Anregungen!

Beste Grüße, Bx99
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Root-Server können keine Verschlüsselung. Und die Verschlüsselung zwischen unbound und AdGuard einzuschalten, halte ich für wenig sinnvoll, wenn beide Services auf dem gleichen Host laufen und daher alles über Loopback-Verkehr geht. Somit kann also im Heimnetz niemand den DNS-Traffic sniffen. Ob das auch für MACVLAN gilt, kann ich nicht sagen. Denke aber, dass das da ähnlich wie bei virtuellen Maschinen über eine Art virtuellen Switch auf dem Host läuft. Aber Docker ist da ja etwas eigen, insbesondere bei der Host <-> Container Kommunikation im MACVLAN. Grundsätzlich rate ich aber von der Verwendung eines MACVLANs ab.
 

Bx99

Benutzer
Mitglied seit
09. Okt 2023
Beiträge
13
Punkte für Reaktionen
5
Punkte
3
Verstehe, danke für den Hinweis @plang.pl !

Ich hatte gar nicht bedacht, dass die Verschlüsselung nur die Kommunikation zwischen Unbound und AdGuard sichert und nicht die zu den Root-Servern. In diesem Setup ist die Verschlüsselung wohl nur sinnvoll, wenn man den Hyperlocal Mode verlässt und einen externen DNS-Resolver (wie Quad9 oder Cloudflare) dazwischenschaltet. Das hilft mir sehr, das Setting besser zu verstehen.

Auch danke für den Denkanstoß zur MacVlan-Konfiguration. Ich werde das nochmal überdenken!
 
  • Like
Reaktionen: mj084


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat