Best Practice: AdGuard Home & unbound als DNS-Server

[Gagac]

Ja, hab jetzt in den Netzwerkeinstellungen am Fernseher die Cloudflare-DNS eingegeben. Damit funktioniert es wunderbar. Vielen Dank euch allen!

Edit: OK, jetzt ist mir etwas echt Seltsames aufgefallen. Am PC hab ich ja dieses Problem nicht. Da hab ich ja auch noch zusätzlich den uBlock Origin und den AdGuard for Windows parallel am Laufen. Sobald ich uBlock und den AdGuard (App) ausschalte, erscheint genau dasselbe Problem wie am TV. Der Ladebalken dreht sich und nix passiert. Was machen uBlock und der Standalone AdGuard anders als der AdGuard Home?

Edit2: Bei komplett deaktiviertem DNS-Schutz besteht das gleiche Problem. Das hat also nichts mit AdGuard Home zu tun, sondern mit dem DNS-Server. Denn stelle ich auf Cloudflare-, oder Google-DNS um, lädt er wie gewohnt die Werbung.

 

[WingelWongel]

Ich hänge gerade daran, dass ich beim Testen der Upstreams den Fehler bekomme:
"Server "127.0.0.1:5355": could not be used, please check that you've written it correctly"

Ich habe mal unter /docker/unbound/data in die unbound.conf gesehen und da steht in Zeile 17 das hier drinnen:
"interface: 127.0.0.1@5355"


Kann mir wer sagen, was ich falsch mache?

 

[TschonBo]

Danke für deine Arbeit plang.pl und allen Beteiligten für Vorstellung des funktionierenden Projekts.
Es hat auf anhieb gefunkt.

Allerdings gibt es bei mir doch noch ein Problem.
Selbst wenn ich AdGuard Schutz ausschallte, mag meine Syno 224+ mir keine Pakete mehr anzeigen und auch der DDNS Dienst funktioniert nicht mehr.
AdGuard zeigt auch keine geblockten Seiten bei dem Vorgang. Sonst schon, wie gesagt; Läuft.
Öffne ich den Paketmanager kommt nur „Verbindung fehlgeschlagen.“
Erst wenn ich in der DS den DNS auf extern zB. 8.8.8.8 setze funktioniert es wieder.
Ist das Normal, oder kann ich da noch was tun?
IPv6 ist überall deaktiviert.
Bei AdGuard sehe ich nur das cloudflare.com alle 30sek. geblockt wird, doch die haben damit nichts zu tun, oder? Woher das kommt muss ich noch schauen.

 

[*kw*]

Wo hast du denn den DNS-Server im Router (FritzBox?) eingetragen? Nur im LAN oder als generellen DNS?

PS: welchen Router hast du denn?

 

[TschonBo]

Wo hast du denn den DNS-Server im Router (FritzBox?) eingetragen? Nur im LAN oder als generellen DNS?

PS: welchen Router hast du denn?

Es läuft kein DHCP Server, also alles Statisch vergeben.
Als generellen DNS in FB 7530 & natürlich bei jedem Client.

 

[*kw*]

Ich meinte schon den DNS-Server

Nur als Rückversicherung, hast du den gemäß Anleitung "aus Versehen" hier:



oder doch hier:




eingetragen?

Bei Ersterem legst du dich natürlich komplett lahm, weil dann der Router auf keinen funktionierenden DSN mehr zugreifen kann.

 

[TschonBo]

1. Bei den Zugangsdaten DNS auf den AdGuard gesetzt.
2. Ohne DHCP ist die Zuweisung nicht möglich, deshalb bei jedem Client noch eingetragen.

Nach erneuter Prüfung habe ich doch ein Eigentor entdeckt,
ich hatte eine DNS Adresse aus einer Testumgebung gesetzt.
Nun funktionierts

 

[Gagac]

@*kw*
Was meinst du mit "aus Versehen"? Soll man ihn denn bei den IPv4-Adressen eingeben, oder stimmt es so wie es in der Anleitung beschrieben steht? Ich frage nur nach, weil ich mit der Materie nicht vertraut bin und alles richtig eingetragen haben will. ^^

 

[*kw*]

Wenn du den DSN nur netzintern einträgst (Bild 2 oben), sind alle Geräte im entsprechenden Netzwerk "gezwungen", diesen auch zu nutzen (nicht Gäste-Netzwerk!). Sollte AGH ausfallen, könnten die Clients als Fallback auf die "public DNS server" in Bild 1 zurückgreifen.

Trägst du ausschließlich AGH in Bild 1 ein, läuft dein gesamter Traffic hierüber. Hast du aber ein Soft- oder Hardwareproblem, steht dein Netzwerk komplett im Dunkeln und du musst in der Fritte Hand anlegen (händischer Wechsel auf public DNS).

 

[Gagac]

Ah, vielen Dank! Das wusste ich nicht, steht zumindest nicht in der Anleitung.
Und in Bild 1 kann ich stattdessen einen vom Netzanbieter zugewiesenen DNS verwenden, oder muss ich da auch AGH eingeben wie in der Anleitung?

 

[*kw*]

...doch,doch. Der gute @plang.pl vergisst nix.

Schau mal im Eingangspost unter lfd. Nr. 5

Nachteile
-die im Screenshot dargestellte Option "Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen" funktioniert nicht
-falls als zweiter DNS-Server ein anderer eingetragen ist, wird dies auch nicht funktionieren
-wenn die Funktion des AdGuard beeinträchtigt ist, muss sich nach Änderung der Einstellung in der FritzBox erst jedes Gerät neu im Netzwerk anmelden, damit wieder Internet vorhanden ist

 

[Gagac]

Ach, ich merke erst jetzt, dass das der Punkt ist, den ich absichtlich ausgelassen hab.

Trägst du ausschließlich AGH in Bild 1 ein, läuft dein gesamter Traffic hierüber. Hast du aber ein Soft- oder Hardwareproblem, steht dein Netzwerk komplett im Dunkeln und du musst in der Fritte Hand anlegen (händischer Wechsel auf public DNS).

Nicht unbedingt, denn wenn man bei Bild 1 unten "Bei DNS-Störung auf öffentliche DNS-Server zurückgreifen" klickt, wird automatisch zu einem Öffentlichen gewechselt. Deshalb hab ich den Teil in Bild 2 ganz ausgelassen.

 

[*kw*]

Auf den öffentlichen wird nur gewechselt, wenn in Bild 1 auch welche drin stehen. Diese Funktion ist das Backup und steht im Bezug, wenn du unter Bild 2 einen internen "privaten DNS" eingetragen hast.

Wenn in Bild 1 AGH drin steht und ausfällt, dann wüsste die Fritte gar nicht welchen, x-beliebigen öffentlichen DNS es nehmen soll. Ist ja keiner eingetragen, weil die Datenfelder durch AGH "blockiert" sind.

 

[update-freak]

Heißt das, dass der Alternative DNS Server (hier 8.8.8.8) nur im Notfall wird, wenn ich die Einstellng "öffentliche DNS Server" aktiviere und sonst zwischen bevorzuter und alternativer hin und wieder gewechselt wird?

Andere DNSv4-Server -> Bevorzugter DNSv4-Server: IP-ADRESSE-VON_AG-HOME
Andere DNSv4-Server -> Alternativer DNSv4-Server: z.B. 8.8.8.8
Öffentliche DNS Server -> aktiviert

 

[Gagac]

Wenn in Bild 1 AGH drin steht und ausfällt, dann wüsste die Fritte gar nicht welchen, x-beliebigen öffentlichen DNS es nehmen soll. Ist ja keiner eingetragen, weil die Datenfelder durch AGH "blockiert" sind.

Das kann ich so nicht bestätigen. Ich habe in Bild 2 bzw. in der Anleitung ab Punkt 5.2 alles komplett ausgelassen. Ich habe nur meine DS als DNSv4-Server eingetragen (bevorzugt und alternativ) und öffentliche DNS-Server aktiviert und das war's. Wenn ich meine DS ausschalte, habe ich mit meinen anderen Clients weiterhin Internetzugang und muss nichts umschalten.

 

[*kw*]

Ich versuche es mal, anhand dreier "Szenarien" zu verdeutlichen (hier: FritzOS 8.02, meine IPs)

1. AGH "light"

Zugangsdaten > DNS Server (öffentliche: Quad9 und Cloudflare, gleichzeitig Fallback für netzinternen DNS). Clients nutzen AGH, wechseln bei Ausfall selbständig.


Netzintern:





2. AGH "maximal"

Zugangsdaten > DNS-Server > AGH-IP, keine Möglichkeit des Umschaltens auf Öffentliche, AGH dominiert DNS


Lokaler DNS: obsolet, weil AGH


3. AG "medium" (optional, nicht in Anleitung)

Einstellungen wie 1.

Internet > Filter > Zugangsprofile:

Edit Standard > erweiterte Einstellungen > gesperrte Netzweranwendungen > DNS auswählen und bestätigen.

Edit Unbeschränkt > Zugeordnete Netzwerkgeräte > IP von AGH (muss/soll ja über öffentliche DNS ins Internet können)

Ergebnis: die lokalen Clients werden gezwungen, AGH zu nutzen, können beim Ausfall auch nicht selbständig wechseln. Öffentliche DNS bleiben aber für manuelles Setting oder IoT-Geräte, die nur das Internet (Gästenetz, andere IP-Range) benötigen, erhalten.

 

[Gagac]

Bei mir sieht es so aus:




Als lokaler DNS-Server ist die Fritzbox eingetragen. Jetzt hab ich es nochmal getestet. Bei ausgeschalteter DS hab ich weiterhin Internetzugriff mit meinen Clients (TVs, PCs, Smartphones etc.), nur ohne DNS-Ad-Blocker

 

[*kw*]

Gehen wir mal vom Standard aus.

Ohne AGH greifen in der FritzBox öffentliche DNS-Server. Damit ist ein reibungsloser Betrieb gewährleistet und es sind - vorteilhafterweise - zwei Server eingetragen (dein Bild 1, bevorzugt/alternativ)

Wenn du für deine Clients im LAN (nicht Gästenetz) AGH einsetzt, wird AGH als lokaler DNS-Server eingetragen. Öffentliche bleiben davon unberührt (meine Szenario 1). Du willst ja erreichen, dass im LAN eine Filterung/Schutz stattfindet. Sprich, so lange der lokale DNS aktiv ist, "müssen" die Clients ihre Anfrage hierüber abwickeln. Bei Ausfall greifen die Öffentlichen (Häkchen setzen, sonst ist die Fallback-Ebene nicht aktiv).

Die "hardcore-Version" ist Szenario 2, weil du mit AGH den kompletten Netzverkehr filterst/filtern willst und es keine Alternativen geben soll. Hierbei ist ein lokaler DNS-Server obsolet, bzw. kontraproduktiv, weil der vor dem "Haupt-DNS-Server" greift. Du kannst nicht "oben" zwangsweise filtern wollen und hintenrum (lokal) gibst du über die Fritte + öffentliche DNS den ungefilterten Zugang vorher frei.

 

[Gagac]

Entweder wir reden aneinander vorbei, oder ich verstehe nicht, was du sagen willst. Hab bitte Nachsicht.

Ich hab beim Einrichten die Anleitung von @plang.pl 1:1 befolgt, inkl. Schritt 5.1.
Dort heißt es direkt unter dem Screenshot:

Jetzt haben wir sichergestellt, dass die FritzBox selbst den AdGuard fragt. Also ist der Ablauf aktuell so: Client -> FritzBox -> AdGuard -> unbound.
Grundsätzlich war es das schon.

Und hier muss man laut Anleitung die DS in beiden Abschnitten (bevorzugt und alternativ) angeben. Außerdem fungiert hier die Fritte als lokaler DNS-Server. Genau bis hierhin hab ich es eingerichtet. Denn die weiteren Schritte ab 5.2 sind nur nötig, wenn man in AGH jeden einzelnen anfragenden Client angezeigt haben will. Da aber in meinem Fall die Nachteile überwiegen, habe ich es gelassen. Da ist es nicht nötig, AGH als lokalen DNS-Server anzugeben. Oder hab ich etwas falsch verstanden?

Denn die Filterung funktioniert bei mir tadellos.

 

[*kw*]

@plang.pl hat in seiner Anleitung die Variante "hardcore" gewählt und hat überall die IP von AGH eingetragen. Da ist kein öffentlicher DNS!

Wenn du einen Fallback haben willst, solltest du es mit meinem Szenario 1 umsetzen. Dann gehört AGH nur in den lokalen DNS.

PS: ich habe es bisher nicht ohne lokalen Eintrag probiert, sollte der in meinem Szenario 2 (maximal) vonnöten sein, dann mea culpa meinerseits.

Edit: bei mir läuft Variante 3