Best Practice: AdGuard Home & unbound um Domain lokal aufzulösen

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Hier mal meine Config:
Code:
server:
  interface: 127.0.0.1
  port: 5335
  do-ip6: yes
  do-ip4: yes
  do-udp: yes
  do-tcp: yes
  # Set number of threads to use
  num-threads: 4
  # Hide DNS Server info
  hide-identity: yes
  hide-version: yes
  # Limit DNS Fraud and use DNSSEC
  harden-glue: yes
  harden-dnssec-stripped: yes
  harden-referral-path: yes
  use-caps-for-id: yes
  harden-algo-downgrade: no
  qname-minimisation: yes
  aggressive-nsec: yes
  rrset-roundrobin: yes

  # If DNSSEC isnt working uncomment the following line
  # auto-trust-anchor-file: "/var/lib/unbound/root.key"


  # Minimum lifetime of cache entries in seconds
  cache-min-ttl: 300
  # Configure TTL of Cache
  cache-max-ttl: 14400
  # Optimizations
  msg-cache-slabs: 8
  rrset-cache-slabs: 8
  infra-cache-slabs: 8
  key-cache-slabs: 8
  serve-expired: yes
  serve-expired-ttl: 3600
  edns-buffer-size: 1232
  prefetch: yes
  prefetch-key: yes
  target-fetch-policy: "3 2 1 1 1"
  unwanted-reply-threshold: 10000000
  # Set cache size
  rrset-cache-size: 256m
  msg-cache-size: 128m
  # increase buffer size so that no messages are lost in traffic spikes
  so-rcvbuf: 1m
  private-address: 192.168.0.0/16
  private-address: 169.254.0.0/16
  private-address: 172.16.0.0/12
  private-address: 10.0.0.0/8
  private-address: fd00::/8
  private-address: fe80::/10
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ich hab bis jetzt noch nix optimiert. Ich hab es die Tage mal von einem Docker Container zu einem LXC umgezogen und nur eine standard Config. Vielleicht mal die Config nur mit dem nötigsten füllen und dann immer mehr rein nehmen und gucken was die Requests verursacht.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Irgendwie sehe ich gerade erst den Post #56 von @Rodys
Sorry, hab ich vorhin noch nicht gesehen (musste der evtl erst vom Mod freigeschaltet werden??)
Das sieht doch schon mal vielversprechend aus. Muss ich mir mal ankucken. Danke dafür.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
@Rodys
Um das wegzubekommen müsste man das Image selbst bauen und den Healtcheck des Containers auskommentieren. Ich würde das tatsächlich nicht machen, weil man das nach jedem Update wieder machen muss und dadurch den Healtcheck verliert.
Ich werde das nun so lösen, dass ich Cloudflare einfach in der Config des AdGuard aus den Logs rausnehme
Mich wundert es nur, dass die Domain anscheinend bei @alexhell nicht angefragt wird.
 

Rodys

Benutzer
Mitglied seit
26. Aug 2023
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Irgendwie sehe ich gerade erst den Post #56 von @Rodys
Sorry, hab ich vorhin noch nicht gesehen (musste der evtl erst vom Mod freigeschaltet werden??)
Das sieht doch schon mal vielversprechend aus. Muss ich mir mal ankucken. Danke dafür.
Ja musste leider erst freigeschaltet werden. Wie ich die Lösung aber umsetzen soll, bin ich noch etwas ratlos...
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ein "Nicht-Listen" in den Protokollen erreichst du so:
2.png
3.png
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Rodys

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Bei euch läuft es im Docker?
Bei mir nicht... Das wäre dann der Grund. Ich nutze wie gesagt einen LXC Container. Um genau zu sein: Debian + Adguard und unbound nativ installiert. Daher kommt die Meldung bei mir auch nicht, wenn es nur am Healthcheck vom Container liegt.
 

Rodys

Benutzer
Mitglied seit
26. Aug 2023
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
OK Danke, das Pingen bleibt aber so trotzdem bestehen ;-). Wenn ich die Lösung richtig verstanden habe, kann auch allgemein in der Docker config Zeile 130 der Healthcheck abgeschaltet werden. Nur die Datei finden ist gar nicht so einfach...
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Achso ja klar. Logisch, dass du dann von diesen Anfragen verschont bleibst. Ist aber ja nicht selbstverständlich. Im LXC könntest du es dennoch unter Docker am Laufen haben
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ja gut das stimmt.... Hätte ich am Besten direkt schreiben sollen, dass es nativ ist.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nun noch mal was anderes... Naja nicht direkt, es geht auch um Healthchecks, aber diesesmal um den vom AdGuard Container. Bei mir ist dieser auch schon einige Zeit unhealthy.
Zuerst dachte ich, es liegt hieran:
22.png
Ich habe nun aber das gefunden: https://github.com/AdguardTeam/AdGuardHome/issues/5714
Das ist aber "closed" - scheint also gelöst zu sein. Vielleicht hat hierzu noch jemand Infos.
 

Rodys

Benutzer
Mitglied seit
26. Aug 2023
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Da kann ich dir weiterhelfen, hatte ich auch vor ein paar Tagen. Da Linux sehr sparsam mit den UDP Buffer ist, musst du nur in der /etc/sysctl.conf und in der /etc.defaults/sysctl.conf die Werte ergänzen. So hat der Buffer 2,5MB und die Fehlermeldung ist weg.

net.core.rmem_default=2500000


net.core.wmem_default=2500000


net.core.rmem_max=2500000


net.core.wmem_max=2500000
 
  • Like
Reaktionen: plang.pl

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Danke. Werde ich mal umsetzen.
Werde die Tage noch mal meinen Initialpost aktualisieren und die ganzen neuen Infos integrieren und die Config-Files updaten.
Ich denke, dass ich dazu auch noch ein paar mehr Infos "raushaue" - meine aktiven Blocklisten z.B.
 
  • Like
Reaktionen: Rodys

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
@Rodys
Ich habe das gestern in meiner VM mal umgesetzt. Allerdings kommt leider derselbe Fehler mit der Buffer Size immer noch. Nachdem, was ich recherchiert habe, ist dies wohl eine Art Bug in AGH. Scheint jedenfalls funktional keine Einschränkungen mit sich zu bringen.
Es scheint aber so, dass der Fehler nicht mehr so oft kommt. Ich stell es mal auf 3MB hoch.
EDIT: Der Container ist aber immer noch "unhealthy" - mal kucken, woran das wieder liegt
 

whorest

Benutzer
Mitglied seit
24. Feb 2016
Beiträge
32
Punkte für Reaktionen
1
Punkte
8
Im sich öffnenden Fenster tragen wir nun unsere DDNS-Adresse ein und darunter die interne IP der DS:
Wie genau greife ich dann später auf meine NAS-Geräte im Heimnetz zu?

Kann ich mit dieser DNS-Umschreibung einfach per IP draufgehen und werde dann auf den DDNS-Namen umgeleitet, welcher dank passendem Zertifikat keine Warnung mehr provoziert?

Und würde ich dann beim lokalen Verbinden eines ABB-Agents zu einem anderen NAS im Heimnetz dessen DDNS-Namen oder dessen IP eingeben?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nach Umsetzung der Anleitung verbindest du dich mittels dem DDNS Namen mit der DS. Mit IP geht zwar weiterhin, aber da gilt halt das Zertifikat nicht.
 
  • Like
Reaktionen: whorest

whorest

Benutzer
Mitglied seit
24. Feb 2016
Beiträge
32
Punkte für Reaktionen
1
Punkte
8
Nach Umsetzung der Anleitung verbindest du dich mittels dem DDNS Namen mit der DS.
Das funkioniert tatsächlich super, mit einer Ausnahme:
Es geht nur mit Chrome!
Sowohl Firefox als auch Edge liefern nur einen Time-out, wenn ich per "meineDS.synology.me" lokal zuzugreifen versuche.

DBS-Rebind-Ausnahmen in der Fritzbox sind angelegt und auch sonst habe ich alles noch mal gecheckt. Mit einer 2ten Diskstation (im gleichen Netz) das gleiche Verhalten - nur Chrome funktioniert.

Nachtrag: nach einem Neustart der Fritzbox funktioniert das Umschreiben gar nicht mehr, auch nicht per Chrome. Im Log von AdGuard finden sich auch keine umgeschriebenen Anfragen mehr.

zweiter Nachtrag: wenn ich per nslookup die beiden angelegten DDNS-Namen aufrufe, werden diese auf die korrekte IP aufgelöst (und im Log von AdGuard tauchen die entsprechenden Umschreibungen auf)

dritter Nachtrag: da es vom Handy aus funktioniert hat, habe ich den Computer mal neugestartet und seitdem geht es auch da...man möge die Aufregung entschuldigen :)


Vielen Dank für das Tutorial @plang.pl , welches ich auch direkt zum Anlass genommen habe, endlich AdGuard aufzusetzen!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: plang.pl

Dog6574

Benutzer
Mitglied seit
15. Sep 2014
Beiträge
181
Punkte für Reaktionen
1
Punkte
18
Ich denke, dass mein Rechner worüber ich dann mein Paperless aufrufe AdGuard als Gateway hinterlegt haben muss, oder?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Nee der muss als DNS Server eingetragen werden
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat