Best Practice: AdGuard Home & unbound als DNS-Server

[*kw*]

Mal eine kurze Frage zu den ganzen Blocklists. Aufgrund von Empfehlungen hier Forum habe ich jetzt ein "Sammelsurium" an Listen, surfe im Prinzip aber immer auf denselben Seiten.

Beim Blick ins Anfrageprotokoll fällt mir auf, dass rückblickend nur wenige Listen das Aufkommen filtern. Ist dafür der jeweilige Seiteninhalt verantwortlich oder bedingt durch "doppelte" Filtereinträge, verteilt über die verschiedenen Listen? Sind Listen, die quasi nicht auftauchen, obsolet?

 

[plang.pl]

Ja, es sind schon sehr viele Einträge doppelt vorhanden. Aber es schadet ja nicht, mehr Listen zu haben. Ich habe mir darüber ehrlich gesagt noch keine Gedanken gemacht.

 

[*kw*]

Prima, danke für die Rückmeldung. Es filtert auch wunderbar...zum Leidwesen einer einzelnen Person im Haushalt, die nicht ich bin.

 

[Gagac]

Ich habe schon öfters gelesen/gehört, dass speziell bei AdGuard weniger mehr sein soll. Ob Desktop-Anwendung oder DNS ist irrelevant. Es soll quasi zu Performance-Problemen kommen und auch die Filter-Leistung soll weniger effektiv sein, wenn zu viele Listen aktiv sind.

Ich benutze seit 2017 die Desktop-Version und schon damals gab es in der Anwendung die Meldung, dass nicht mehr als 7 Listen gleichzeitig aktiv sein sollen, weil es zu besagten Problemen kommen kann. Ob das immer noch so ist kann ich nicht sagen, da ich ohnehin nur wenige Listen gleichzeitig aktiv habe.

 

[*kw*]

@Gagac: das war die Intention meiner Frage. Wie oben bereits erwähnt, kam ich mit „nur“ elf Listen im Test auf 94%. Und hierbei haben ca. fünf bis sechs die Hauptarbeit geleistet. Und da war diese „Rundumschlag-Liste“ mit 1.6Mio. Einträgen noch gar nicht dabei.

Seitdem hat sich auch die RAM-Auslastung verdoppelt.

 

[*kw*]

Sofern man bei Spam & Co überhaupt von "Sinn und Verstand" sprechen kann, habe ich jetzt nochmal das Abfrageprotokoll ausgewertet. Ich habe nur noch die Listen behalten, die "gegriffen" haben und die (radikale) "Everything-Liste" gegen die "Ads" (beides The Block List ProjectThe Block List Project) ausgetauscht.

Macht in Summe: zehn Listen:





Testergebnis:



Und von den sechs "unblocked" sind drei gewollt (Apple). RAM-Verbrauch gesunken.

 

[plang.pl]

Ja, der RAM-Verbrauch steigt bei mehr Listen natürlich an. Die CPU Last m.E. nicht merklich. Auch in der Leistung habe ich keine Einbußen festgestellt.

 

[mj084]

Dito

 

[*kw*]

Leistungstechnisch habe ich auch keine Probleme, der RAM hat sich bei ~150MB (1GB) eingependelt.

 

[Kenji]

sieht doch gut aus. Von Adguard kenne ich das eigentlich so das dies alle Listen am Schluß kombiniert und die doppelten Einträge ignoriert. So war das zumindestens bei einem Asus Router mit asuswrt merlin Firmware + Addons amtm. Die Blacklist Everything-List hab ich soweit entfernt, leider zu viele Blocker bei Instagramm und Facebook bei ganz normalen surfen..

 

[Ulfhednir]

Prima, danke für die Rückmeldung. Es filtert auch wunderbar...zum Leidwesen einer einzelnen Person im Haushalt, die nicht ich bin.

Du kannst in AdGuard clientspezifische Einstellungen vornehmen. Das ist ein großer Vorteil gegenüber dem pi-hole. Wenn die einzelne Person Probleme hat, kannst du diese notfalls aus dem Konstrukt herausnehmen, ohne dass du jetzt zwangsweise einen anderen DNS einrichten musst.

 

[*kw*]

@Ulfhednir: meine Frau versteht die Gründe, die dafür sprechen und ich habe ihr schon mehrfach angeboten, die "whitelist" anzupassen, wenn ihr "Störungen" auffallen. Sie wechselt dann lieber ins Gästenetz.

PS: doof nur, wenn sie nicht dran denkt und dann die Zugriffe auf docker (weil Heimnetz) nicht klappen. Aber nix tragisches von Welt.

 

[Kenji]

@Ulfhednir: meine Frau versteht die Gründe, die dafür sprechen und ich habe ihr schon mehrfach angeboten, die "whitelist" anzupassen, wenn ihr "Störungen" auffallen. Sie wechselt dann lieber ins Gästenetz.

Der Trick besteht darin, die aktiven Verbindungen von Zeit zu Zeit zu löschen, so dass sie das Passwort erneut eingeben muss Der Rest wird durch die normale Faulheit erledigt.

 

[*kw*]

@Kenji: alles schon gemacht, quasi aus der Rubrik „Duck und weg…“

 

[*kw*]

@plang.pl: der Parameter (ersteZeile) des Eintrags in der unbound.conf

do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

existiert bei dietpi unter /etc/unbound/unbound.conf.d/dietpi.conf

# Define protocols for connections to and from Unbound.
# NB: Disabling IPv6 does not disable IPv6 IP resolving, which depends on the clients request.
do-udp: yes
do-tcp: yes
do-ip4: yes
do-ip6: no

Kommen die beiden anderen Zeilen auch an diese Stelle?

PS: es läuft alles, nur sind einige "gewohnte" Settings bei der diepi-Version an anderer Stelle

Bspw.

 

[Jim_OS]

Moin

@*kw* Bzgl. Deiner Frage an @plang.pl: Den Beitrag hier kennst Du? https://www.synology-forum.de/threads/bin-erstmal-weg.134254/

A) Ich vermute mal das @plang.pl hier aktuell nicht mitliest und B) und das meine ich jetzt eher allgemein und nicht nur auf Dich bezogen, würde ich ihn z.Z. auch nicht mit Fragen "belästigen". Sollte es @plang.pl irgendwann hoffentlich wieder besser gehen und er wieder "Bock" auf das Forum haben, wird er sich hier sicherlich wieder "zurückmelden".

Wie gesagt ich will Dir hier nicht vorschreiben was oder wen Du welche Fragen stellst, aber vielleicht hast Du den o.g. Beitrag von @plang.pl ja auch einfach nur übersehen.

VG Jim

 

[*kw*]

@Jim_OS: Danke Jim!

In der Tat, der hat sich mit meinem Urlaub überschnitten, in dem ich mir auch eine Foren-freie Zeit genommen habe.

 

[mj084]

@plang.pl: der Parameter (ersteZeile) des Eintrags in der unbound.conf

do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

existiert bei dietpi unter /etc/unbound/unbound.conf.d/dietpi.conf

# Define protocols for connections to and from Unbound.
# NB: Disabling IPv6 does not disable IPv6 IP resolving, which depends on the clients request.
do-udp: yes
do-tcp: yes
do-ip4: yes
do-ip6: no

Kommen die beiden anderen Zeilen auch an diese Stelle?

PS: es läuft alles, nur sind einige "gewohnte" Settings bei der diepi-Version an anderer Stelle

Bspw.

Anhang anzeigen 97265

Es spielt keine Rolle an welcher Stelle die Einträge in der dietpi.conf kommen - hauptsache sie sind vorhanden, wenn du sie nutzen willst

Hier ein Beispiel wie man das ganze auch in mehrere Dateien auslagern kann:

https://github.com/madnuttah/unbound-docker/tree/main/doc/examples/usr/local/unbound

Und in Adguard unter Upstream-DNS Server sollte natürlich die Adresse von deinem Unbound rein - in meinem Falle auf dem NAS:

# Unbound
127.0.0.1:5553

 

[*kw*]

@mj084: danke dir, der Rest passt.

 

[_Stevie_]

Hallo zusammen!

Ich habe AdGuard und unbound so weit zum laufen gebracht.
Allerdings habe ich festgestellt, dass keine DNS Umschreiben funktionieren, d.h. die Namen lassen sich nicht auflösen.

Ich habe herausgefunden woran es liegt. AdGuard + unbound lösen alles wunderbar auf, allerdings holt sich mein iMac den IPv4 DNS Server nicht von der FritzBox. Stattdessen muss ich den DNS manuell in den Netzwerkeinstellungen eingeben. Dann klappt alles. Mich wundert jetzt nur warum das so ist?