Best Practice: AdGuard Home & unbound als DNS-Server

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
@Benares Genau so siehts aus. Wie man damit die Hostnameauflösung über den AdGuard hinkriegt, ist ebenfalls in 5.2 beschrieben.
@zombie03 In 7.3 wird nur beschrieben, wie man die Hostnameauflösung für die Weboberfläche des AdGuard hinbekommt.
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
muss ich dann DHCP aus der Fritzbox nehmen?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein.
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
Okay . immernoch sind knapp die hälfte der DNS anfragen von der fritz box ich denke das ist wegen ipv6 oder? wie stelle ich die Fritzbox ein um ipv6 auch über AdGuard laufen zu lassen?
wenn ich am rechner nslookup aufrufe gibt er mir die Fritzbox mit der ip6 adresse an
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du musst in den Einstellungen in der Fritte unter IPv6 DNS-Server eben die IPv6 Adresse der DS eintragen (KB-Artikel vom AVM).
Bedenke auch, dass die Änderungen erst greifen, wenn sich Geräte einmal neu im Netzwerk angemeldet haben. Denn erst dann erhalten sie die geänderten Konfigurationsinfos des DHCP-Servers (der FritzBox).
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
erledigt nun sind alle anfragen den jeweiligen clients zugeortnet. allerdings geht bei Android 1und1 Tv timeshift und aufnamen nicht mehr. kann ich irgendwo/irgenwie feststellen woran es hängt?
nun habe ich gerade noch etwas festgestellt
Einer meiner ferseher war manuell konfiguriert dort stand noch die fritzbox als dns server drin dan geht der komplett am AdGuard vorbei obwohl doch die Fritzbox als dns server AdGuard hat
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
irgendwo/irgenwie feststellen woran es hängt?
Ja. Im AdGuard Anfrageprotokoll nach dem Client filtern und schauen, was da geblockt wird. Das dann über benutzerdefinierte Filterregeln freigeben. Hatte ich auch schon des Öfteren, dass da was geblockt wird, was nicht geblockt werden soll.
Vorgehen hierzu hatte ich in meinem anderen Thread mal geschrieben: https://www.synology-forum.de/threa...-domain-lokal-aufzuloesen.127925/post-1091962
dort stand noch die fritzbox als dns server drin
Wenn die Fritte selbst den AdGuard nutzt, dann nutzt der TV dann auch den AdGuard. Aber halt mit der Fritte als "Zwischenhopp".
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
Klar, ich kleines Dummerchen hatte in der Fritte ip6 nur intern den DNSs umgestellt nicht extern und das hat der Fernseher schamlos ausgenutzt. Damit ist jetzt Schluß:)
Mein Tablet glaubt nun er hat kein Internet, hat er aber. Witzig was so passiert wenn man den Datenfluss nach China unterbindet.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich habe bei mir in der Fritte den Port 53 nach extern gesperrt. Außer für den AdGuard. Somit haben Geräte keine andere Wahl, als den AdGuard zu nutzen. Wenn man das macht, haben Smartphones / Tablets ein Problem, die standardmäßig die Option "privates DNS verwenden" aktiv haben. Dieses "private DNS" mache ich immer und bei jedem Gerät aus. Was ist daran privat, wenn meine Anfragen an irgendeinen dubiosen DNS-Server gehen anstatt an den, den ich im Router vorgebe?
 

zombie03

Benutzer
Mitglied seit
30. Mai 2020
Beiträge
29
Punkte für Reaktionen
4
Punkte
9
Was ist daran privat, wenn meine Anfragen an irgendeinen dubiosen DNS-Server gehen anstatt an den, den ich im Router vorgebe?
Das verstehe ich jetzt nicht.Ich hatte es so verstanden das nur gewisse Seitenzugriffe gesperrt werden über die DNS Sperrlisten.
Mein Server weiss doch auch nicht wo die Webseiten zu erreichen sind, der fragt doch auch irgendwelche anderen DNS Server an.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Eben nicht "irgendwelche anderen". Wenn du das nach der Anleitung konfiguriert hast, werden nur die Root-Server befragt und keine 3rd Party Server. Und selbst, wenn man 3rd Party Server befragt, kann man immerhin welche einrichten, die für Privatsphäre bekannt sind und dann auch noch DNS-over-https nutzen.
Die voreingestellten China-DNS-Server eines oppo oder xiaomi Geblödels würde ich aber nicht verwenden wollen
 

Hein06

Benutzer
Mitglied seit
16. Dez 2009
Beiträge
44
Punkte für Reaktionen
2
Punkte
8
Hallo
Ich versuche gerade adguard und unbound auf der DS423+ ,DSM7.2 einzurichten
Syno Photos auf port x443, die Fritzbox leitet den 443 auf x443.
Ich habe zunächst adguard im Bridge Mode installiert und die 443 port nach 4443 umgeleitet.
Das läuft aktuell auch.
Nun habe ich unbound nach der Anleitung im Host Mode installiert und bekomme beim Start folgende Fehlermeldung:
2023/12/16 08:14:14,stderr,[1702710854] unbound[1:0] warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max(linux) or kern.ipc.maxsockbuf(bsd) values.

Müssen beide zwingend im Host Mode laufen ? Was mache ich dann mit Photos ?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das dürfte der Kernel-Fehler sein. Beschreibung und Fix siehe Punkt 6.1
 

Hein06

Benutzer
Mitglied seit
16. Dez 2009
Beiträge
44
Punkte für Reaktionen
2
Punkte
8
Das Auskommentieren beim latest Image hat das Problem gelöst. Kernel 4.4.302
Die DS 423+ mag die 127.0.0.1 nicht , weder bei Adguard noch bei unbound,
Adguard Interface 192.168.2.2:8080
Ich habe in der unbound.conf das Interface geändert auf interface: 192.168.2.2@5355
und in der Fritzbox 192.168.2.2 (ip der DS423+) bei andere DNS Server eingetragen.
Ich will jetzt erstmal testen bevor ich weitere Einstellungen mache
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die 127.0.0.1 geht auch nur, wenn die Container im Host-Netz laufen
 

Hein06

Benutzer
Mitglied seit
16. Dez 2009
Beiträge
44
Punkte für Reaktionen
2
Punkte
8
Adguard und unbound laufen seit Samstag, sieht eigentlich gut aus.
Ich habe jetzt aber Nachricht bekommen das mindestens 2 Absender meine email Adressen (Provider Strato) nicht mehr erreichen können. Die emails sind weder im Thunderbird noch in der Webmail Ansicht zu finden. Das würde wohl bedeuten, das sie gelöscht worden sind. Der Server eines Absenders befindet sich in den Sperrlisten, der Server des anderen nicht. Ist es überhaupt möglich, dass Adguard und unbound den mail Empfang blockieren oder beeinflussen ??
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein, ist nicht möglich.
Es ist nur möglich, dass zum Beispiel der FQDN des Anbieters in der Sperrliste ist, wodurch dann Thunderbird die Mails nicht mehr abholen kann. Das hat aber ja nix mit dem Versand und Empfang zu tun.
 

Keen

Benutzer
Mitglied seit
18. Nov 2012
Beiträge
160
Punkte für Reaktionen
4
Punkte
18
2 Jahre hatte ich jetzt einen Pi-hole am laufen, nun hatte ich mal Lust etwas neues auszuprobieren und bin auf deine Anleitung gestoßen. Ich bin sie jetzt zum zweiten mal durch, leider hatte ich mir beim ersten Mal die Config zerschossen, weil ich Fehler beim editieren der Block Listen gemacht hatte. Dann kamen irgendwelche Syntax Fehler und der Container blieb in einer Neustart Schleife hängen. Natürlich hatte ich mich dann auch gleich aus dem Netz ausgesperrt. Neues Spiel neues Glück, die Blocklisten habe ich erstmal nicht angerührt und jetzt läuft es.

Zum Thema update habe ich dennoch eine Frage, ich habe ein Update mal protokolieren lassen, sieht mir nach einen Fehler aus. Was denkst du?
Code:
curl: (3) Error
curl: (3) Error
[Line 265] Not a json value: unbound
[Line 295] Exec WebAPI:  api=SYNO.Docker.Container, version=1, method=restart, param={"name":"unbound"}, runner=SYSTEM_ADMIN
{
   "data" : {
      "cpu" : 0,
      "memory" : 3420160,
      "memoryPercent" : 0.033295955508947372,
      "name" : "unbound"
   },
   "httpd_restart" : false,
   "success" : true
}

Wie schauts eigentlich mit adguard aus, gibts da auch eine Update Routine?

Gruß
Keen
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Hi
Was ist das genau für ein Update, was du da machen willst? Ist das das Script, das in meinem Archiv liegt?
Und nein, für AdGuard brauchts das nicht. Der aktualisiert seine Sperrlisten selbstständig.
Das einzige, was ich noch empfehlen würde, ist nachts einmal den Watchtower laufen zu lassen, um die Container-Images zu aktualisieren.
 

Keen

Benutzer
Mitglied seit
18. Nov 2012
Beiträge
160
Punkte für Reaktionen
4
Punkte
18
Deiner Anleitung unter:
[Optional] Schritt 8.2: Automatisierte Updates der root.hints & der root.zone
bin ich gefolgt.
Ich habe dein Script laufen lassen und habe es mit der Synology protokolieren lassen.
Den Inhalt habe ich oben gepostet. Für mich sieht es so aus das dein Script nicht laufen konnte, ich kenne mich damit nicht wirklich aus um das Protokoll richtig deuten zu können.

Seit dem Docker durch den Container Manager ersetzt wurde, zeigt es auch so möglich Updates, die man dort auch durchführen kann, an.
Das wäre doch auch ein Weg für Updates oder?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat