Best Practice: AdGuard Home & unbound als DNS-Server

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Ich würde mich hier mal gerne dranhängen.

Ich wollte AdGuard Home schon länger mal ausprobieren, hab mich aber nie so richtig drangewagt. Es gibt zwar viele Threads zu diesem Thema, aber alles hier gebündelt zusammengefasst macht es doch deutlich einfacher für "Dummies" wie mich. An dieser Stelle mal ein großes Dankeschön an @plang.pl für diesen Thread!

Ich nutze schon länger den DNS-Server der Synology, der bisher auch brav und zuverlässig seine Arbeit verrichtet. Auf allen Geräten, welche zum Surfen verwendet werden nutzen wir als Addon den "UBlock Origin". Da aber immer mehr Geräte der Kategorie IoT das heimische LAN erweitern, würde ich jetzt gerne eine LAN-weite Filterung nutzen wollen.

Ist-Situation:
Auf dem NAS läuft der DNS mit einer Forward-Zone ("domain.tld") für den Zugriff über "h**ps" (eigenes Zertifikat ist vorhanden) mittels Reverse-Proxy von Synology. Als Forwarder ist im DNS die Fritzbox hinterlegt, welche per DHCP den DNS netzintern verteilt. Also: Client-->DNS-Synology-->Fritzbox.
Dies würde ich mit der Lösung von AdGuard so beibehalten wollen (AdGuard Home ohne unbound).

Meine ersten Fragen bevor ich mit der "Migration" beginne:
1) Auf meinem NAS läuft der DNS über den Standardport 53. Bei der Installation von AdGuard Home in einem Docker (Netzwerkkonfiguration "Host") lauscht dieser ebenfalls auf dem Port 53. Wenn ich jetzt den DNS-Server Synology stoppe und den AdGuard verwende, ist er ja unter der selben IP erreichbar, wie der DNS-Server der Synology. Würde für mich bedeuten, dass ich in der Fritzbox keinen neuen DNS per DHCP verteilen müsste und wenn der AdGuard (anfänglich) zu viel blockt, den Container stoppen kann und den DNS-Server der Synology wieder starten kann, ohne dass ein Familienmitglied auf das Internet verzichten muss. Verstehe ich das korrekt oder ist hier noch Denkfehler?

2) Ich habe mir die GUI von AdGurad schon mal angesehen und mich in den einzelnen Menüpunkte durchgeklickt. Damit ich die Angaben aus dem DNS-Server der Synology korrekt nach AdGuard übertragen kann fehlt mir im Moment noch der Zusammenhang wo ich was erfassen muss.
Was ich meine zu wissen:
- Forwarder im DNS entsprechen den Upstream-Server in AdGuard (hier käme nur die Fritzbox rein)

Wo aber müssen folgende Infos in AdGuard hinterlegt werden?
- Zoneneinträge (Zonen-ID und Domainname für "domain.tld")
- Ressourceneinträge (A/AAAA-Records)

3) Wozu genau dienen DNS-Umschreibungen (ersetzt das den bisher genutzten Reverse-Proxy der Synology)?

Noche eine generelle Verständisfrage zur Kommunikation DNS und Reverse-Proxy:
Anfrage über Browser "h**ps://vaultwarden.domain.tld" --> Anfrage an DNS-Synology (der erkennt, dass er der authoritative Server ist und leitet nicht weiter an die Fritzbox). Wie geht es jetzt weiter mit dieser Anfrage bis diese zum Reverse-Proxy gelangt?

Danke vorab.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Warum das?
Aber das ist doch ein unnötiger Hop. AdGuard kann genau das, was bisher der DNS-Server der DS bei dir macht und noch viel mehr. Lass den Synology DNS Server weg.

Punkt 1: Das hast du richtig erkannt. Ich weiß nur nicht, ob du beim Erstellen des Containers den Port 53 binden kannst, solange der DNS-Server installiert ist. Das müsstest du testen. Wenn nicht, musst du eben den Port vom AdGuard umbiegen.
Punkt 2: Ok, so wie sich das jetzt anhört, willst du den Synology DNS nicht mit in dem Konstrukt haben. Das ist gut. Und ja, bei upstream käme die FritzBox rein oder eben ein DNS-Server im Internet oder im Idealfall unbound.

Punkt 3: Bei DNS-Umschreibungen kannst du z.B. deine Records eintragen. Oder du trägst diese in den benutzerdefinierten Filterregeln ein. Die Syntax ist bei letzterem wie bei einer Hosts-Datei (https://www.reddit.com/r/Adguard/comments/c2hl0z/adguard_home_for_local_dns/)
generelle Verständisfrage zur Kommunikation DNS und Reverse-Proxy
Wenn deine Domain dem AdGuard bekannt ist und dieser auf die interne IP der DS zeigt, dann erhält der Anfrage die Antwort (also die IP der DS). Die spricht der Client an und landet dann auf dem Reverse Proxy. Intern tunnelt die DS den Verkehr zwischen RP und Vaultwarden.
 

ds211user

Benutzer
Mitglied seit
27. Sep 2011
Beiträge
160
Punkte für Reaktionen
19
Punkte
18
Danke für die Anleitung!
Die Verzeichnisse "work" und "conf" mußte ich für den adguard container noch anlegen, dann lief er
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
@plang.pl
Vielen Dank für deine Ausführungen.
Werde mich am Wochende mal dranmachen AdGuard im Produktivsystem zu installieren.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
@Frank73 Ist was aus der Nummer geworden? Hast du nun doch unbound eingerichtet oder nur AdGuard?
@ds211user Sollte aber eigentlich nicht sein, da ich diese im Archiv bereits inkludiert habe.
 

ds211user

Benutzer
Mitglied seit
27. Sep 2011
Beiträge
160
Punkte für Reaktionen
19
Punkte
18
war afair auch mal so, im aktuellen Archiv ist nur die compose Datei drin.
Ist ja kein Problem.
 
  • Like
Reaktionen: plang.pl

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Lol. Die waren tatsächlich nicht drinne. Komisch. Ich hab das mal nachgestellt: Wenn ich den Ordner mit dem Windows Explorer zippe, werden leere Ordner einfach weggelassen. Mit WinRAR passiert das nicht und das Archiv ist sogar noch 10KB kleiner...
Ich hatte das immer schon mit dem Explorer gezippt. Denke ich zumindest. Vielleicht wurde da in einem Update die Funktion leere Ordner mitzuzippen einfach rausgenommen. Wenn ich schon die Windows Version 23H2 hätte, hätte Microsoft wohl dazu gesagt "Die KI erkennt jetzt leere Ordner und zippt diese nicht mehr mit". :ROFLMAO:
Wie auch immer. Ich werde es in Zukunft mit WinRAR zippen und hab das Archiv gleich mal ausgetauscht, sodass nun wieder alle relevanten Ordner inkludiert sind. Danke für den Hinweis.
 

ds211user

Benutzer
Mitglied seit
27. Sep 2011
Beiträge
160
Punkte für Reaktionen
19
Punkte
18
Kennt noch jemand MSCREATE.DIR? SCNR
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Was ist das und was hat das hiermit zu tun?
 

ds211user

Benutzer
Mitglied seit
27. Sep 2011
Beiträge
160
Punkte für Reaktionen
19
Punkte
18
Die Firma M...S... hat die versteckte Datei MSCREATE.DIR verwendet,
um leere Verzeichnisse anzulegen.
tl;dr
Auch eine leere Datei ist eben eine Datei, also wird das Verzeichnis angelegt.
In der normalen Einstellung ist diese Datei nicht sichtbar, also erscheint das Verzeichnis leer.
Programme oder Installer, die bei leeren Verzeichnissen rumzicken, gibt es schon länger.
 
Zuletzt bearbeitet:

Ruddi

Benutzer
Mitglied seit
13. Dez 2011
Beiträge
39
Punkte für Reaktionen
13
Punkte
14
@plang.pl

Ausgangssituation: Adguard mit Unbound frisch installiert im Docker mit macvlan jeweils eine eigen IP.
Im Adguard den "Upstream-DNS-Server" & "Private inverse DNS-Server" die IP von Unbound eingetragen.

Wenn ich Seiten zum ersten mal aufrufe bekomme ich manchmal die Meldung "DNS_PROBE_FINISHED_NXDOMAIN" dann bekommt AdGuard im Anfragenprotokoll viele (~20) kurze Antworten der jeweiligen Seite (0.xx ms) und die Meldung wie am Bild erscheint.
Gebe ich die Seite bei der Google-Suche ein öffnet diese und nun habe ich auch beim späteren öffnen der Seite keine Probleme.
Ohne Unbound bzw. Google oder Cloudflare DNS gibt es keine Probleme. - Was kann das sein?

lg, Ruddi

1700815647050.png
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Hast du eventuell DNS-over-https aktiv? Viele Anbieter blocken dich weg, wenn du damit zu viele Anfragen stellst.
Ansonsten rate ich von der Verwendung eines MACVLANs ab
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Der neue Thread zum Thema AdGuard Home Sync ist fertig: https://www.synology-forum.de/threads/best-practice-adguard-home-sync.130608/
Wurde auch im Eingangspost verlinkt.
Ich habe das vor langer Zeit eingerichtet. Mittlerweile macht man die Container-Config wohl anders. Aber meine Version funktioniert immer noch. Wenn (/falls :ROFLMAO:) ich das bei mir mal umgestellt habe, aktualisiere ich auch den Thread.
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
moin,
irgendwie hänge ich bei punkt 3 fest.
wenn ich upstreams testen drücke bekomme ich die meldung:"server 172.0.0.1:5355 konnte nicht verwendet werden bitte prüfen sie die korrekte schreibweise"
wenn ich unter
 
  • Like
Reaktionen: drusefrau

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Dann musst du mal in die Logs des unbound-Containers kucken. Vielleicht hängt der wegen eines Fehlers im Restart-Loop fest
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
in der unbound.log steht nichts. im containerprotokoll bekomme ich :
023/12/09 13:48:26.760261 [error] dnsproxy: upstream 127.0.0.1:5355 failed to exchange ;25.178.168.192.in-addr.arpa. IN PTR in 215.381202ms: exchanging with 127.0.0.1:5355 over udp: read udp 127.0.0.1:37285->127.0.0.1:5355: read: connection refused
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Die unbound.log bleibt in der aktuellen Config leer. Die müsste man erst scharf schalten, wenn man die Logs in der Datei haben möchte. Die Docker Logs reichen aber i.d.R. aus.
Ist die Firewall der DS an? Kannst du die mal testweise ausmachen?
Der Log-Eintrag besagt, dass eine Reverse Lookup Anfrage an unbound gestellt wurde und zwar sollte eine IP aus deinem Heimnetz zu einem DNS-Namen aufgelöst werden. Dass kann der unbound aber nicht. Das ist mehr oder weniger normal
Mach einfach mal weiter in der Anleitung bis zu dem Part mit der Prüfung via nslookup und berichte, was dabei rauskommt.
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
firewal ausschalten hat keine änderung gebracht
bei upstream dns server steht noch https://dns10.quad9.net/dns-query. das war von anfang an da.
Nicht autorisierende Antwort:
Name: ***********.synology.me
Address: 192.168.178.18
also ist die antwort korrekt oder sehe ich das falsch
im adguard anfrageprotokoll steht die dns anfrage drin.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Ja das sieht gut aus. Das ist aber eine Anfrage, wo der unbound gar nicht gefragt wird. Frag mal nach einer externen Domain. Wie beispielsweise google.de
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
Nicht autorisierende Antwort:
Name: google.de
Addresses: 2a00:1450:4001:830::2003
142.250.184.195
läuft aber anscheinend auch nur über https://dns10.quad9.net/dns-query
wie kann ich den sehen ob unbound läut?
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat