Best Practice: AdGuard Home & unbound als DNS-Server

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
@FizzyMUC: wenn du den DNS-Server geändert hast, musst du die Geräte im Netz neu anmelden (WLAN oder Ethernet, Verbindung trennen). ggf. in den Netzwerkeinstellungen (hier iMac) überprüfen
Offenbar zu früh gefreut...
Das habe ich gerade am Mac gemacht und dann ging dort auch nix mehr...
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Posten doch mal was du bis jetzt wirklich gemacht hast.
Adguard Home habe ich schon lang auf dem Raspi.
Jetzt habe ich:

1. Per SSH in Raspi eingeloggt, dort per "sudo apt install unbound" installiert
2. Per "wget https://www.internic.net/domain/named.root -qO- | sudo tee /var/lib/unbound/root.hints" die root hints installiert
3. Per "sudo nano /etc/unbound/unbound.conf.d/config.conf" die Konfiguration angelegt -> hier könnte Fehlerquelle sein. Ist die Datei so richtig benannt? In allen Beispielen heißt die ja "pi-hole.conf" (interessanterweise ist in dem Ordner aber auch eine pi-hole.conf)
4. Nach restart des service unter AGH 127.0.0.1:5335 sowohl als Upstream DNS, als auch als private reverse DNS eingetragen.

In der Pi-Hole / Unbound Doku steht ja auch wie man es testet... Das liefert genau die Ergebnisse die dort auch als zu erwarten beschrieben werden. Wenn ich die IP in AGH eingebe zeigt der es mir grün an. Am Client habe ich dann aber keine Internetverbindung mehr...
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Ich empfehle dir mal die Anleitung nochmal durch zu gehen. Wie die config heißt ist egal. Aber der Inhalt.... Ansonsten poste doch mal deine Config.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
In der Fritzbox steht als DNS Server die IP des Raspi, auf dem AGH läuft. Das ist ja korrekt, oder?
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Ja, auch wenn ich nicht weiß wo :D
Es gibt zwei Möglichkeiten
1. Dein Raspi wird per DHCP als DNS Server verteilt
2. Dein Raspi steht als DNS Server in der Fritzbox.

Bei Variante zwei wirst du als Client nur die Fritzbox sehen. Aber funktionieren tut beides.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Code:
server:

    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0
    interface: 127.0.0.1
    port: 5335
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # You want to leave this to no unless you have *native* IPv6. With 6to4 and

    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    # If you use the default dns-root-data package, unbound will find it automatically
    #root hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the server's authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes
    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # IP fragmentation is unreliable on the Internet today, and can cause
    # transmission failures when large DNS messages are sent via UDP. Even
    # when fragmentation does work, it may not be secure; it is theoretically
    # possible to spoof parts of a fragmented DNS message, without easy
    # detection at the receiving end. Recently, there was an excellent study
    # >>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<<
    # by Axel Koolhaas, and Tjeerd Slokker (https://indico.dns-oarc.net/event/36/contributions/776/)
    # in collaboration with NLnet Labs explored DNS using real world data from the
    # the RIPE Atlas probes and the researchers suggested different values for
    # IPv4 and IPv6 and in different scenarios. They advise that servers should
    # be configured to limit DNS messages sent over UDP to a size that will not
    # trigger fragmentation on typical network links. DNS servers can switch
    # from UDP to TCP when a DNS response is too big to fit in this limited
    
edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In r>
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spik>
    so-rcvbuf: 1m

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Ja, auch wenn ich nicht weiß wo :D
Es gibt zwei Möglichkeiten
1. Dein Raspi wird per DHCP als DNS Server verteilt
2. Dein Raspi steht als DNS Server in der Fritzbox.

Bei Variante zwei wirst du als Client nur die Fritzbox sehen. Aber funktionieren tut beides.
Der steht als DNS in der Fritzbox
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Laut AGH "Alle angegebenen DNS Server arbeiten ordnungsgemäß". Ich erneure jetzt den Lease. By the way: Muss der Raspi (auf dem ja AGH und Unbound laufen) auch jedes Mal den Lease erneuern? Oder reicht das "sudo service unbound restart"?
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Wenn ich (wie in der Pi-Hole Anleitung beschrieben) diesen Dig Befehl nutze kommt das raus:

Code:
; <<>> DiG 9.16.44-Debian <<>> github.com @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4702
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;github.com.            IN    A

;; ANSWER SECTION:
github.com.        36    IN    A    140.82.121.3

;; Query time: 111 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1)
;; WHEN: Wed Sep 04 17:48:24 CEST 2024
;; MSG SIZE  rcvd: 55

Sieht für mich erstmal so aus als ob alles passt. Es klappt nur nicht wenn ich es in AGH setze.
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Kann es was mit IPv6 zu tun haben? Weil das hast du bei dir in der config deaktiviert. Aber ich kann dir nicht sagen was du genau falsch hast. Ich würde sonst empfehlen einen Schritt zurück gehen und die Anleitung die ich verlinkt habe nochmal durch gehen. Bei mir lief das auf Anhieb.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
OK - ich lösche es nochmal alles und nehme deine Anleitung. IPv6 habe ich deaktiviert.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Mmh, ich muss sagen: bei der Anleitung (habe alles per copy & paste über ssh gemacht) kommen so unfassbar viele Fehlermeldungen...

Am Ende erhalten ich das hier:
Code:
; <<>> DiG 9.16.44-Debian <<>> kuketz-blog.de @127.0.0.1 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Und nun weiß ich auch nicht wie ich es "auf Anfang setzen kann", ohne den ganzen Raspi platt zu machen :D
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
411
Punkte
139
Dann machst du leider was falsch....
Stimmt der Port?

sudo apt remove unbound und dann sudo rm -rf /etc/unbound. Dann müsste unbound weg sein.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Dann machst du leider was falsch....
Stimmt der Port?

Ja - hab extra drauf geachtet weil ich ja vorher 5335 hatte und in deiner Anleitung/Konfig 5353 war.

Ich Versuchs heut Abend nochmal. Jetzt hat Kind Prio.

Ärgere mich maßlos über mich selbst 😂 ich hatte unbound auch schonmal auf einem Dietpi mit AdGuard am Laufen. Es war ein Klick und dann die IP eintragen. Und dann ging auch alles. Kann doch wirklich nicht so schwer sein.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Du kannst das ganze auch mal mit DietPi probieren. Da ist die Installation von AGH und Unbound einfach über Menü zu bewerkstelligen. Okay, um die Konfigurierung kommst du aber auch dabei nicht umhin.

Aber das einzige, was ich bei Unbound machen musste, meinen angepassten Port einzutragen, der Rest betraf AGH.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Du kannst das ganze auch mal mit DietPi probieren.
Ja, ich hatte ja geschrieben dass ich das hatte und das wunderbar lief. Leider hat DietPi aktuell ein Problem mit Icecast (was ich wegen eines Plattenspieler zwingend benötige), daher habe ich Dietpi durch Raspian ersetzt. Und da klappt das gerade alles nicht. Ich werde wohl AdGuard und Unbound (morgen) per Docker auf die Syno ballern… dann sollte Ruhe sein
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Es scheint nun zu laufen, auch nach erneutem Lease. Ich habe mir per "sudo systemctl status unbound" mal den Status angeguckt und gesehen dass er wohl Probleme hatte das config File zu laden, bzw. er in einem anderen Ordner nachgesehen hat, als da wo ich ihn hin kopiert habe. Habe das File also da abgelegt und nach einem Restart läuft es nun.

Code:
Sep 05 10:44:35 vinyl package-helper[79354]: [1725525875] unbound-checkconf[79354:0] error: Could not open /etc/unbound/unbound.conf: No such file or directory
Sep 05 10:44:35 vinyl package-helper[79358]: [1725525875] unbound-checkconf[79358:0] error: Could not open /etc/unbound/unbound.conf: No such file or directory
Sep 05 10:44:36 vinyl (unbound)[79360]: unbound.service: Referenced but unset environment variable evaluates to an empty string: DAEMON_OPTS
Sep 05 10:44:36 vinyl unbound[79360]: [1725525876] unbound[79360:0] error: Could not open /etc/unbound/unbound.conf: No such file or directory
Sep 05 10:44:36 vinyl unbound[79360]: [1725525876] unbound[79360:0] warning: Continuing with default config settings
Sep 05 10:44:36 vinyl unbound[79360]: [79360:0] notice: init module 0: subnet
Sep 05 10:44:36 vinyl unbound[79360]: [79360:0] notice: init module 1: validator
Sep 05 10:44:36 vinyl unbound[79360]: [79360:0] notice: init module 2: iterator
Sep 05 10:44:36 vinyl unbound[79360]: [79360:0] info: start of service (unbound 1.13.1).
Sep 05 10:44:36 vinyl systemd[1]: Started unbound.service - Unbound DNS server.
 
  • Like
Reaktionen: *kw*


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat