Best Practice: AdGuard Home & unbound als DNS-Server

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Mal eine kurze Frage zu den ganzen Blocklists. Aufgrund von Empfehlungen hier Forum habe ich jetzt ein "Sammelsurium" an Listen, surfe im Prinzip aber immer auf denselben Seiten.

Beim Blick ins Anfrageprotokoll fällt mir auf, dass rückblickend nur wenige Listen das Aufkommen filtern. Ist dafür der jeweilige Seiteninhalt verantwortlich oder bedingt durch "doppelte" Filtereinträge, verteilt über die verschiedenen Listen? Sind Listen, die quasi nicht auftauchen, obsolet?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja, es sind schon sehr viele Einträge doppelt vorhanden. Aber es schadet ja nicht, mehr Listen zu haben. Ich habe mir darüber ehrlich gesagt noch keine Gedanken gemacht.
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Prima, danke für die Rückmeldung. Es filtert auch wunderbar...zum Leidwesen einer einzelnen Person im Haushalt, die nicht ich bin. 😜
 
  • Haha
Reaktionen: plang.pl

Gagac

Benutzer
Mitglied seit
08. Mai 2019
Beiträge
50
Punkte für Reaktionen
12
Punkte
14
Ich habe schon öfters gelesen/gehört, dass speziell bei AdGuard weniger mehr sein soll. Ob Desktop-Anwendung oder DNS ist irrelevant. Es soll quasi zu Performance-Problemen kommen und auch die Filter-Leistung soll weniger effektiv sein, wenn zu viele Listen aktiv sind.

Ich benutze seit 2017 die Desktop-Version und schon damals gab es in der Anwendung die Meldung, dass nicht mehr als 7 Listen gleichzeitig aktiv sein sollen, weil es zu besagten Problemen kommen kann. Ob das immer noch so ist kann ich nicht sagen, da ich ohnehin nur wenige Listen gleichzeitig aktiv habe.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@Gagac: das war die Intention meiner Frage. Wie oben bereits erwähnt, kam ich mit „nur“ elf Listen im Test auf 94%. Und hierbei haben ca. fünf bis sechs die Hauptarbeit geleistet. Und da war diese „Rundumschlag-Liste“ mit 1.6Mio. Einträgen noch gar nicht dabei.

Seitdem hat sich auch die RAM-Auslastung verdoppelt.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Sofern man bei Spam & Co überhaupt von "Sinn und Verstand" sprechen kann, habe ich jetzt nochmal das Abfrageprotokoll ausgewertet. Ich habe nur noch die Listen behalten, die "gegriffen" haben und die (radikale) "Everything-Liste" gegen die "Ads" (beides The Block List ProjectThe Block List Project) ausgetauscht.

Macht in Summe: zehn Listen:


DNS-Sperrliste 20240523a.jpg


Testergebnis:

Bildschirmfoto 2024-05-23 um 15.29.37.jpg

Und von den sechs "unblocked" sind drei gewollt (Apple). RAM-Verbrauch gesunken.
 
  • Like
Reaktionen: Gagac

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja, der RAM-Verbrauch steigt bei mehr Listen natürlich an. Die CPU Last m.E. nicht merklich. Auch in der Leistung habe ich keine Einbußen festgestellt.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Leistungstechnisch habe ich auch keine Probleme, der RAM hat sich bei ~150MB (1GB) eingependelt.
 

Kenji

Benutzer
Mitglied seit
09. Feb 2024
Beiträge
52
Punkte für Reaktionen
8
Punkte
58
sieht doch gut aus. Von Adguard kenne ich das eigentlich so das dies alle Listen am Schluß kombiniert und die doppelten Einträge ignoriert. So war das zumindestens bei einem Asus Router mit asuswrt merlin Firmware + Addons amtm. Die Blacklist Everything-List hab ich soweit entfernt, leider zu viele Blocker bei Instagramm und Facebook bei ganz normalen surfen..
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.474
Punkte für Reaktionen
1.087
Punkte
194
Prima, danke für die Rückmeldung. Es filtert auch wunderbar...zum Leidwesen einer einzelnen Person im Haushalt, die nicht ich bin. 😜
Du kannst in AdGuard clientspezifische Einstellungen vornehmen. Das ist ein großer Vorteil gegenüber dem pi-hole. Wenn die einzelne Person Probleme hat, kannst du diese notfalls aus dem Konstrukt herausnehmen, ohne dass du jetzt zwangsweise einen anderen DNS einrichten musst.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@Ulfhednir: meine Frau versteht die Gründe, die dafür sprechen und ich habe ihr schon mehrfach angeboten, die "whitelist" anzupassen, wenn ihr "Störungen" auffallen. Sie wechselt dann lieber ins Gästenetz.

PS: doof nur, wenn sie nicht dran denkt und dann die Zugriffe auf docker (weil Heimnetz) nicht klappen. 😜 Aber nix tragisches von Welt.
 
  • Haha
Reaktionen: mj084 und Wiesel6

Kenji

Benutzer
Mitglied seit
09. Feb 2024
Beiträge
52
Punkte für Reaktionen
8
Punkte
58
@Ulfhednir: meine Frau versteht die Gründe, die dafür sprechen und ich habe ihr schon mehrfach angeboten, die "whitelist" anzupassen, wenn ihr "Störungen" auffallen. Sie wechselt dann lieber ins Gästenetz.
Der Trick besteht darin, die aktiven Verbindungen von Zeit zu Zeit zu löschen, so dass sie das Passwort erneut eingeben muss :D Der Rest wird durch die normale Faulheit erledigt. :D
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@Kenji: alles schon gemacht, quasi aus der Rubrik „Duck und weg…🏃‍♂️:ROFLMAO:
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@plang.pl: der Parameter (ersteZeile) des Eintrags in der unbound.conf

Code:
do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

existiert bei dietpi unter /etc/unbound/unbound.conf.d/dietpi.conf

Code:
# Define protocols for connections to and from Unbound.
# NB: Disabling IPv6 does not disable IPv6 IP resolving, which depends on the clients request.
do-udp: yes
do-tcp: yes
do-ip4: yes
do-ip6: no

Kommen die beiden anderen Zeilen auch an diese Stelle?

PS: es läuft alles, nur sind einige "gewohnte" Settings bei der diepi-Version an anderer Stelle

Bspw.

Bildschirmfoto 2024-07-18 um 07.32.39.jpg
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.258
Punkte
259
Moin :)

@*kw* Bzgl. Deiner Frage an @plang.pl: Den Beitrag hier kennst Du? https://www.synology-forum.de/threads/bin-erstmal-weg.134254/

A) Ich vermute mal das @plang.pl hier aktuell nicht mitliest und B) und das meine ich jetzt eher allgemein und nicht nur auf Dich bezogen, würde ich ihn z.Z. auch nicht mit Fragen "belästigen". Sollte es @plang.pl irgendwann hoffentlich wieder besser gehen und er wieder "Bock" auf das Forum haben, wird er sich hier sicherlich wieder "zurückmelden".

Wie gesagt ich will Dir hier nicht vorschreiben was oder wen Du welche Fragen stellst, aber vielleicht hast Du den o.g. Beitrag von @plang.pl ja auch einfach nur übersehen.

VG Jim
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@Jim_OS: Danke Jim!

In der Tat, der hat sich mit meinem Urlaub überschnitten, in dem ich mir auch eine Foren-freie Zeit genommen habe.
 

mj084

Benutzer
Mitglied seit
14. Feb 2024
Beiträge
259
Punkte für Reaktionen
57
Punkte
28
@plang.pl: der Parameter (ersteZeile) des Eintrags in der unbound.conf

Code:
do-ip6: no
local-zone: ip6.arpa. refuse
prefer-ip6: no

existiert bei dietpi unter /etc/unbound/unbound.conf.d/dietpi.conf

Code:
# Define protocols for connections to and from Unbound.
# NB: Disabling IPv6 does not disable IPv6 IP resolving, which depends on the clients request.
do-udp: yes
do-tcp: yes
do-ip4: yes
do-ip6: no

Kommen die beiden anderen Zeilen auch an diese Stelle?

PS: es läuft alles, nur sind einige "gewohnte" Settings bei der diepi-Version an anderer Stelle

Bspw.

Anhang anzeigen 97265
Es spielt keine Rolle an welcher Stelle die Einträge in der dietpi.conf kommen - hauptsache sie sind vorhanden, wenn du sie nutzen willst;)

Hier ein Beispiel wie man das ganze auch in mehrere Dateien auslagern kann:

https://github.com/madnuttah/unbound-docker/tree/main/doc/examples/usr/local/unbound

Und in Adguard unter Upstream-DNS Server sollte natürlich die Adresse von deinem Unbound rein - in meinem Falle auf dem NAS:

# Unbound
127.0.0.1:5553
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@mj084: danke dir, der Rest passt.
 

_Stevie_

Benutzer
Mitglied seit
01. Dez 2013
Beiträge
65
Punkte für Reaktionen
3
Punkte
8
Hallo zusammen!

Ich habe AdGuard und unbound so weit zum laufen gebracht.
Allerdings habe ich festgestellt, dass keine DNS Umschreiben funktionieren, d.h. die Namen lassen sich nicht auflösen.

Ich habe herausgefunden woran es liegt. AdGuard + unbound lösen alles wunderbar auf, allerdings holt sich mein iMac den IPv4 DNS Server nicht von der FritzBox. Stattdessen muss ich den DNS manuell in den Netzwerkeinstellungen eingeben. Dann klappt alles. Mich wundert jetzt nur warum das so ist?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat