Best Practice: AdGuard Home & unbound als DNS-Server

[Wiesel6]

Ich würde folgendes probieren. Alle Sperrlisten deaktivieren und dann einzeln wieder aktivieren und im Log schauen, ob die Liste korrekt geladen wird.
Irgendwann wir/sollte die Fehlermeldung kommen. Dann erstmal mit den anderen weitermachen und im Log überprüfen.
Die "fehlerhafte" Sperrliste schauen, ob es die wirklich gibt oder vielleicht ein Kopierfehler passiert ist.

 

[Gagac]

@Wiesel6
Danke für den Tipp, der hat es echt gebracht! Ich konnte die Schuldigen heraus filtern.
Es sind zwei Filter die vom TE zur Verfügung gestellt wurden (RPI Domain Squatting3 & RPI Domain Squatting4). Diese haben gar keine Filter-Regeln. Wahrscheinlich wurden deshalb die Dateien gar nicht erst angelegt.


Und ich hab noch etwas herausfinden können. Irgendwann heute Nacht hat AdGuard wieder angefangen seinen Dienst von selbst zu verrichten. Heißt, er filtert schön. Da ich ohnehin lokale Werbeblocker im Browser einsetze, hab ich das gar nicht bemerkt.

Dementsprechend hab ich im Protokoll noch etwas weiter zurück recherchiert und konnte folgende Fehlermeldungen finden.


Diese hab ich gestern anscheinend übersehen. Und der Zeitpunkt ab dem ich bemerkt hab, dass er nicht filtert kommt ungefähr hin.

Keine Ahnung weshalb die Verbindung verweigert wurde, aber zumindest hat es "sich selbst repariert". Jetzt läuft alles zumindest wie es sollte.

Vielen Dank für eure bisherige Hilfe!

PS: Durch den ganzen Tumult hab ich deutlich dazu gelernt!

PPS: Seitdem ich die beiden Container angelegt habe, rattern meine HDDs alle 30 Sekunden für 1-2 Sek. Ist das normal, bzw. ist das bei euch auch so? Denn wenn ich die Container stoppe sind meine Festplatten ganz ruhig. Ich hab etwas Bammel, dass sie sich dadurch vielleicht frühzeitig verabschieden könnten.

 

[Wiesel6]

Diese haben gar keine Filter-Regeln.

Wenn du die Liste wieder aktivierst, werden die Einträge geladen. Deaktiviert steht dort doch immer eine 0?
Ruf mal zum Testen die URL direkt im Browser auf.


Zu deinem PPS. Adguard arbeitet ja ständig, deswegen schlafen die Platten auch nie. Ich bin nicht der Festplatten Experte, soweit ich mir das gemerkt habe, sind die NAS Platten für den Dauerbetrieb ausgelegt und regelmäßiges Aus-/Einschalten kann Probleme machen.
Ich hatte früher Adguard auf nem PI mit SD karte. Das soll wegen den vielen Zugriffen auch nicht so gut sein. Aber bei mir ist noch nie eine SD im PI kaputt gegangen.
Mittlerweile nutze ich Adguard in einem separaten Tiny PC auf ner SSD.
Falls die Frage kommt wieso. Ich persönlich möchte nur noch Anwendungen, die im direkten Zusammenhang mit den Daten auf dem NAS stehen, dort laufen lassen. Alle anderen laufen auf einem separaten Gerät.

 

[Gagac]

Die Filter waren ursprünglich aktiviert. Als ich sah dass dort eine 0 steht hab ich sie deaktiviert. In deren Links sind gar keine Einträge.

Ja, NAS-Platten sind für den Dauerbetrieb konzipiert. Allerdings dachte ich, dass das nur für den Betrieb ansich zählt. Also, dass sie eingeschaltet bleiben. Aber wenn mit Dauerbetrieb wirklich das "unaufhörliche Arbeiten" gemeint ist, bin ich beruhigt.
Aber nerven tut es schon etwas. Mal sehen, vielleicht werde ich das Filtern auch auf einem Mini-PC, oder Raspberry Pi auslagern, wenn mir das ständige Rattern auf den Keks gehen sollte.

 

[plang.pl]

Ich werde das mit den Listen mal prüfen. Eventuell gibt es ja die ein oder andere von mir hier hinterlegte Liste nicht mehr.

 

[gaerti]

Die Listen von Doman squatting 3 & 4 sind leer. Bei mir übrigens auch. Dies habe ich auf Githib nachgesehen. Beide Listen sind nur mit einem Kopftext versehen.

Eine leere Liste sollte doch aber nicht zum Absturz respektive nichtfunktionieren des AdGuard / Unbound führen.

Ich hatte das Phänomen, dass der Docker Container von unbound orange leuchtete, auch schon gehabt.
Festgestellt hatte ich dies dadurch, dass ich nicht mehr ins Internet kam.
Nach dem Neustart beider Projektes lief es wieder.
gruss
thobo

 

[mj084]

Sorry, du schreibst hier, dass es anders ist mit Unbound im nicht Hyperlocal Modus - kannst aber keine klare Antwort liefern und sagst ich soll selbst recherchieren?

Es ist nicht verkehrt wenn man weiss was man tut? Genau, deswegen frage ich ja warum ich dann Unbound nutzen sollte, wenn man es nicht im Hyperlocal Modus laufen lässt - diese Frage beantwortest du einfach nicht!

Wenn du sowas als Einsteiger-Tutorial ausgibst, dann solltest schon genau sagen können wozu welche App/Funktion ist, anstatt auf Expertenwissen zu verweisen!

Das hat auch nichts mit vorkauen zu tun, scheinbar übernimmst du hier nur andere fertige Anleitungen und kannst mit deinem Halbwissen nicht die normalen Fragen beantworten

Sorry, sowas geht gar nicht - dann sollte man lieber einfach zugeben: ich weiss es nicht

Ich zitiere mich mal selbst...

Nach bisherigen Recherchen macht es keinen Sinn Unbound in Verbindung mit Adguard Home zu nutzen, WENN man Unbound nicht im Hyperlocal Modus betreibt...

Hier auch ein interessanter Thread dazu:

https://www.computerbase.de/forum/threads/adguard-mit-unbound.2138854/

 

[plang.pl]

Ich hab nun noch mal auf meiner Test-vDSM Maschine die Anleitung Schritt für Schritt ausgeführt, inkl. erweiterter Konfig. mit dem Import meiner Filter. Klappt einwandfrei. Und ja: Einige der RPI-Listen sind leer. Das sind Platzhalter. Wenn die vorigen Listen also "voll" sind, werden die neuen gefüllt. Fazit: Leere Listen machen wie erwartet keine Probleme und auch der manuelle Import der Listen über die Config-Datei stellt kein Problem dar.

 

[Gagac]

@gaerti
Ich schrieb doch oben bei #262, dass es anscheinend doch nicht an den Listen lag, sondern dass laut Log die Verbindung irgendwie verweigert wurde (aus welchen Gründen auch immer). Zumindest bin ich mir jetzt bewusst, dass AdGuard aufgrund fehlerhafter/fehlender/leerer Listen seinen Dienst nicht quittiert.

Wie gesagt, ich bin Newbie in diesem Bereich und wusste das nicht. Jetzt hab ich aber viel dazu gelernt.

 

[Wiesel6]

Hier noch nen Link zum Unbound Thema.
Zum Thema Datenschutz kann ich die Seite von Mike Kuketz empfehlen. Bei ihm wir alles unter diesem Gesichtspunkt betrachtet.
Diese Anleitung ist zwar für Pihole, aber unbound wird hier erklärt.
https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-unbound-adblocker-teil2/

In einem älteren Beitrag gibt es auch etwas zu hyperlocal
https://www.kuketz-blog.de/pi-hole-...ine-werbung-groesstmoegliche-unabhaengigkeit/

 

[mj084]

Ich frage mich auch warum in der Hyperlocal Config von @plang.pl keine QNAME minimization aktiv ist?

QNAME Minimization and Your Privacy

 

[plang.pl]

Doch ist es. Ist per default aktiv. Ursprünglich stand es in der Config drin. Ich hab aber alles, was ohnehin default ist, gestrichen. Siehe auch hier: https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html
"qname-minimisation: <yes or no>
[...]
Default: yes"

 

[mj084]

Ok, dann ergibt das Sinn

Dann verwendet Unbound eine "Default"-Config, und alles was nicht via unbound.conf angepasst wird, wird als Standard verwendet?

Wie verhält es sich denn da gerade mit der auth-zone, da gibt es ja default laut der Doku nix - da müsste man dann also definitiv eine angeben?

 

[plang.pl]

Die Config musst du m.W. schon anlegen. Aber alles, was darin nicht definiert ist, wird eben auf den default-Wert gesetzt.
Default arbeitet ja unbound nicht im Hyperlocal, deshalb wird da auch keine auth-zone gebraucht.

 

[update-freak]

Vielleicht ein Verbessungsvorschlag:
https://hub.docker.com/r/madnuttah/unbound (anstatt https://hub.docker.com/r/mvance/unbound)
(Funktioniert auch mit älteren Kernel Versionen ohne Workaround)


Erklärung: https://www.kuketz-forum.de/t/alpin...ierender-rekursiver-unbound-dns-resolver/7319
Habe den Tipp von @mj084 : Vielen Dank für deine großartige Unterstützung!

 

[mj084]

Die Quelle zu nennen wäre vielleicht auch noch ganz nett

 

[plang.pl]

@update-freak @mj084 Klingt gut. Schau ich mir mal an. Könntet ihr den Docker-Compose / Docker Run hier posten, wie ihr es aufgesetzt habt?
Die Mappings scheinen anders zu sein als bei dem anderen Image (zumindest auf den ersten Blick).

 

[Janüscht]

(Funktioniert auch mit älteren Kernel Versionen ohne Workaround)

Das macht auch das Image von mvance ohne Probleme. Der ältere Kernel ist nicht unbedingt das Problem, sondern eher die Installation. Hattest du nicht auch ein IIsues dazu aufgemacht, denn solltest du es wissen!

 

[update-freak]

@update-freak @mj084 Klingt gut. Schau ich mir mal an. Könntet ihr den Docker-Compose / Docker Run hier posten, wie ihr es aufgesetzt habt?
Die Mappings scheinen anders zu sein als bei dem anderen Image (zumindest auf den ersten Blick).

Docker compose: (siehe https://github.com/madnuttah/unbound-docker/tree/main/doc/examples):

version: "3"
services:
  unbound:
    container_name: Unbound
    image: madnuttah/unbound:latest
    ports:
      - 5335:5335/tcp
      - 5335:5335/udp
    network_mode: host
    environment:
      - UNBOUND_UID=1026
      - UNBOUND_GID=100
      - TZ=Europe/Berlin
    restart: always
    healthcheck:
      test: /usr/local/unbound/sbin/healthcheck.sh
      interval: 60s
      retries: 5
      start_period: 15s
      timeout: 30s

• Struktur aus Ordnern und Dateien von hier (https://github.com/madnuttah/unbound-docker/tree/main/doc/examples/usr/local/unbound) analog in /volume1/docker/unbound erstellen.
• Die Datei root.zone von https://www.internic.net/domain/root.zone in /volume1/docker/unbound/iana.d/root.zone erstellen
• Die Datei auth-zone.conf in docker/unbound/zones.d erstellen mit den Root-Servern von hier (https://www.iana.org/domains/root/servers). @mj084 Weißt du zufällig wo es da ein template gibt?

 

[mj084]

@upda

Das macht auch das Image von mvance ohne Probleme. Der ältere Kernel ist nicht unbedingt das Problem, sondern eher die Installation. Hattest du nicht auch ein IIsues dazu aufgemacht, denn solltest du es wissen!

Und warum funktioniert es dann bei Usern mit nem alten Kernel nicht?
Im Issue von @update-freak steht doch auch woran es liegt und wie es ggf. behoben werden könnte...

Ist aber nicht notwendig, da das Image von madnuttah ja bestens funktioniert und für mich das bessere Image aufgrund der Vorteile darstellt.

@update-freak

Keine Ahnung, das sind doch einfach die Root-Server, und die sollten bei Unbound eigentlich schon mit bei sein

Außerdem hast du hier doch das Template:

https://www.iana.org/domains/root/files