Best Practice: AdGuard Home & unbound als DNS-Server

[AirArt]

@plang.pl in der Anleitung is die Rede nur von unbound.log Datei und nicht von dem ganzen Ordner. Habe jetzt root.zone mit "Everyone" versehen, der Fehler ist weg aus dem Log, aber der Container wird nach wie vor als "unhealthy" angezeigt.

 

[plang.pl]

Ich weiß leider auch nicht, wo die Fehlermeldung herkommt. So wie es aussieht ist das keine Datei, die in dem gemappten Ordner liegt.

 

[Kenji]

Hab die Schritte 6 und 6.1 durchgeführt. Muss ich nun die IP der DS hier Rot (192.168.1.46) in die Fritzbox eingeben oder die 10.1.1.39 ? letzteres ist aber immer noch nicht erreichbar.

- so-rcvbuf: 1m entfernt
- image: mvance/unbound:1.17.1 genutzt

 

[plang.pl]

Da muss die IP der DS rein. In meiner Testumgebung fürs Tutorial war das die IP der DS: 10.1.1.39

 

[Kenji]

jetzt bräuchte ich noch die letzte Starthilfe da sich meine Dyndns von Paperlessadresse nicht auflösen will im Lan. Sind die Daten vom Upstream Server und private i.o?

Derzeit habe ich folgende Konfiguration:

NAS/ Adguard, Unbound
DS IP: 192.168.1.46

ASUS ROUTER
- LAN>
LAN IP und Subnetz des Asus Routers: 192.168.1.1 255.255.255.0
Hostname: RT-AX86U-6DD8
IP-Pool-Startadresse: 192.168.1.2 bis Ende 192.168.1.254
Bei DNS Server 1 und 2 folgendes Eingetragen: 192.168.1.46
Bei Standartgateway folgendes Einegtrafen 192.168.1.46

- WAN>
Bei WAN-DNS-Einstellungen 1 und 2 folgendes Eingetragen: 192.168.1.46
Bei Forward local domain queries to upstream DNS auf JA

ADGUARD
Upstream Server:
# Unbound 127.0.0.1:5355 # AsusRouter [/1.168.192.in-addr.arpa/]192.168.1.1 [/RT-AX86U-6DD8/]192.168.1.1

Private inverse DNS-Server:
192.168.1.1

lg.

 

[null89er089]

Hallo,

ersteinmal Vielen Dank für die Super Anleitung. Ich denke es läuft jetzt soweit alles .

Allerdings habe ich von Zeit zu Zeit im Unbound log folgenden Fehler

[error] filtering: os.Chtimes(): chtimes /opt/adguardhome/work/data/filters/1676137472.txt: no such file or directory

und im log von adguard folgende:

2024/03/12 12:43:59.584427 [error] dnsproxy: upstream 127.0.0.1:5355 failed to exchange ;time.nist.gov. IN A in 20.002151845s: exchanging with 127.0.0.1:5355 over udp: read udp 127.0.0.1:44222->127.0.0.1:5355: i/o timeout

2024/03/12 12:43:59.584384 [error] dnsproxy: 127.0.0.1:5355: response received over udp: "exchanging with 127.0.0.1:5355 over udp: read udp 127.0.0.1:44222->127.0.0.1:5355: i/o timeout"

Vielen Dank für schon einmal für eine Hilfestellung.

Vg

 

[Kenji]

Es läuft nun bei mir!

Lösung zu #185

- LAN DNS IP, WAN DNS IP, STANDARDGATEWAY im Asus Router mit der DS IP ergänzt.

und danach mit der GUIDE: Best Practice: AdGuard Home & unbound um Domain lokal aufzulösen die DNS Umschreibung im Schritt 2 durchgeführt.

lg.

 

[plang.pl]

Standartgateway

Nein. Das Gateway ist immer der Router und niemals die DS!

Paperlessadresse nicht auflösen will im Lan.

Intern lässt du die am besten direkt auf die DS zeigen und nicht auf die ext. IP. (https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/). Ach sehe gerade, dass du das schon gemacht hast. Jetzt hab ichs aber schon geschrieben, also wirds auch gepostet

/opt/adguardhome/work/data/filters/1676137472.txt

Ich würde mal die eingetragenen Sperrlisten löschen und neu hinterlegen.
Zu den anderen Fehlern kann ich leider nix sagen. Wir hatten das hier schon ein oder zweimal. Ich kann mir da aber AdHoc keinen Reim drauf machen. Zur gleichen Zeit sollte m.E. im unbound Log auch ein Fehler verzeichnet sein. Wenn nicht, kann man in der Config Datei des unbound die "Geschwätzigkeit" mal hochstellen, damit man mehr Logeinträge bekommt.

 

[Keen]

Wie mache ich eigentlich ein Update von Adguard? Einfach im Containermanager auf Update klicken? oder ist es etwas komplizierter?

 

[plang.pl]

Das mit dem Container-Manager geht problemlos, wenn du die richtigen Ordner gemappt hast. Das gilt aber auch, wenn du das Update irgendwie anders durchführst. Ich mache meine Updates mit watchtower über folgenden Befehl im Aufgabenplaner: docker run --rm --name=watchtowertemp -v /var/run/docker.sock:/var/run/docker.sock containrrr/watchtower:latest --include-stopped --cleanup --run-once

 

[Keen]

Der manuelle Weg hat funktioniert, hast du ein Tutoriell wie das mit watchtower funktioniert?

 

[plang.pl]

Einfach den von mir geposteten Befehl als root im Aufgabenplaner eintragen und entweder automatisiert per Zeitplaner laufen lassen oder manuell per Rechtsklick -> Auführen. Der updatet dann alle Container und löscht sich selbst wieder

 

[Yahooman]

Hallo @plang.pl
erst einmal vielen Dank für die Ausführlich Anleitung .
Ich hab adguard und unbound mit deiner Anleitung und portainer inistalliert und der Test über nslookup war erfolgreich, soweit ich das sehen konnte. Bevor ich das ganze auf der Fritzbox ausprobiere, wollte ich es lokal auf einem Windows 11 Rechner ausprobieren. Ich habe hierzu unter Einstellungen -> Netzwerk und Internet -> Ethernet -> DNS-Serverzuweisung -> manuell auf DS gestellt. Zum Test habe ich example.org geblockt (siehe unterhalb).
Leider lässt sich example.org weiterhin über den Browser aufrufen. Hast du ein Idee woran das liegen mag. Geht der Browser über einen anderen DNS-Server? Wenn ja, kann ich das unterbingen?
Vielen Dank!
Yahooman

​

 

[plang.pl]

Du könntest mal versuchen, den DNS-Cache unter Windows zu leeren (ipconfig /flushdns). Ich empfehle immer, die Tests mit nslookup zu machen und nicht im Browser. Wenn es im Browser anders aussieht, als unter nslookup, wird ein anderer DNS-Server verwendet.
Siehst du die Anfragen im AdGuard?
Und schau mal mit ipconfig /all, ob der DNS überhaupt so hinterlegt ist, wie von dir eingetragen. Ich hinterlege den immer im Dialog der IPv4 Einstellungen auf dem Adapter.
Dein Problem könnte auch IPv6 sein. Wenn er über den IPv6 DNS geht, ist das ja nicht der AdGuard, wenn du das nicht eingetragen hast. Bei mir ist IPv6 global deaktiviert.

 

[Yahooman]

@plang.pl
Danke vielmals!

• IPv6 im Adapter deaktiviert
• dns cache über ipconfig /flushdns geleert
• check über ipconfig /all

und siehe da, es funktioniert. Bekomme jetzt ein "Seite wurde nicht gefunden"

Besteht die Möglichkeit, dass ich hier die "Standard-Adguardseite" schalte?

 

[plang.pl]

Du meinst das Schalten einer benutzerdefinierten Seite? Ja, das ist möglich. Ich hatte mir das anfangs bei mir auch so überlegt und umgesetzt. Allerdings funktioniert das aufgrund der nicht übereinstimmenden Zertifikate bei https-Verbindungen nicht und du wirst diverse Fehlermeldungen beim Surfen im Internet erhalten. Also lieber nicht machen.

 

[Yahooman]

@plang.pl
Okay, dann lasse ich das.

Hab mir den Update root.hints und root.zone im Aufgabenplaner als Wochenaufgabe eingestellt - danke für die Vorlage
Wie oft sollte man den Update anstoßen?

 

[plang.pl]

Ich würde das einfach einmal im Monat nachts automatisiert laufen lassen.

 

[Yahooman]

Eine Sache hätte ich da noch. Leider funktioniert die Auflösung der lokalen dns-namen (z. B. die DS und Fritzbox) nicht mehr. Lässt sich das lösen? Ich hab's über adguard und dns_rewrites probiert, aber ohne Erfolg.

 

[plang.pl]

Mit den Rewrites müsste das funktionieren. Wenn nicht, findest du dazu Hinweise in der Anleitung. Man kann z.B. lokale Hostnamen über die Fritz auflösen lassen. Oder halt die Fritz als DNS-Server (erster Hop) zwischenschalten. Ich mach das aber tatsächlich alles mit A-Records im unbound