Adguard setzt sporadisch aus

[Ghost108]

Genau das Gleiche wollte ich in dem Moment auch schreiben. Einfach mal den privaten IP-Range in der AdGuard Config anpassen, sodass tatsächlich nur noch dein Heimnetz bei der Fritte angefragt wird: https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#rdns-private
Als ich die Hostnamauflösung noch drinne hatte, sah es bei mir so aus (keine Probleme):
Upstream DNS-Server:

# unbound
127.0.0.1:5355
# Fritz!Box
[/1.1.10.in-addr.arpa/]10.1.1.1
[/fritz.box/]10.1.1.1

Private Inverse DNS-Server

# unbound
127.0.0.1:5355

Hier würde ich gerne noch mal darauf zurückkommen.

ich verstehe ja das du als upstream den unbound container hinterlegt hast, aber warum auch private inverse DNS?

 

[plang.pl]

Ach, da hab ich das falsche kopiert...
So sieht meine aktuelle Einstellung aus (bei inverse DNS-Server), seit dem ich die Fritte rausgeschmissen habe. Im unbound sind bei mir zu vielen Geräten DNS-Namen hinterlegt - beispielsweise wird meine Fritte bei mir per PTR an den unbound mit "fritzbox.local" aufgelöst.
Als ich die Fritte noch mit in dem Konstrukt hatte, stand da natürlich nur die Fritte drinne

 

[Ghost108]

also wäre es so richtig, ja?


Upstream

# unbound
127.0.0.1:5355
# Fritz!Box
[/108.168.192.in-addr.arpa/]192.168.108.1
[/fritz.box/]192.168.108.1

Private Inverse DNS-Server

192.168.108.1

richtig?

 

[plang.pl]

So hatte ich es, ja.

 

[Ghost108]

okay habe es nun auch so eingestellt.
ein nslookup iphone ergibt nun:

Server: 192.168.108.250
Address: 192.168.108.250#53

Name: iphone.fritz.box
Address: 192.168.108.62

soweit so gut.
auch noch keine errors im log.
allerdings hatte ich diese config auch im Vorfeld schon so im Einsatz


aber im Adguard wird die .62 nicht als iphone.fritz.box angezeigt sondern nur mit der IP.
Ist ja auch nicht richtig ....

auch andere zeigen sich nur mit der IP

 

[Ghost108]

Guten Morgen, nun habe ich einen ganz interessanten Fall beobachten können:


Eben ließen sich Internetseiten wieder nicht aufrufen (endloses laden der Webseite).
In dem Moment habe ich mal ein nslookup auf sharepoint.myDomain.de gemacht (hier existiert einen rewrite rule in adguard zur ip 192.168.108.251)

ich habe einige Sekdungen keine Rückmeldung auf das nslookup erhalten und dann den timeout.
Zur gleichen Zeit in den Logs (siehe Anhang)

Im selben Zuge habe ich dann eine andere "Lösung" gefunden, um das Problem zu beheben OHNE Neustart des Containers:
Ich habe einfach wieder diese Zeilen aus den upstream server entfernt:

[/108.168.192.in-addr.arpa/]192.168.108.1
[/fritz.box/]192.168.108.1

sowie die ip 192.168.108.1 aus dem private inverse DNS-Server.
Danach funktioniert alles wieder sofort!

Das ist natürlich keine Lösung, sondern nur ein workaround.
Aber das sagt mir doch, das man jetzt weiß wo der Fehler sitzt - ich kann ihn mir nur nicht erklären :/

 

[mj084]

Hier habe ich zusätzlich zur 127.0.0.1 die IP von Adguard hinterlegt.
Somit ist nur Adguard berechtigt, Anfragen an Unbound zu schicken.

Muss hier mal kurz nachhaken: Solange kein explizites "deny" für Adressen angegeben wird, sind ja die Abfragen an unbound trotzdem zugelassen oder?

Aus https://nlnetlabs.nl/documentation/unbound/unbound.conf/

access-control: <IP netblock> <action>

By default only localhost (the 127.0.0.0/8 IP netblock, not the
loopback interface) is implicitly allowed, the rest is refused.
The default is refused, because that is protocol-friendly. The
DNS protocol is not designed to handle dropped packets due to
policy, and dropping may result in (possibly excessive) retried
queries.

Die Aufnahme der AdGuard IP macht demnach nur Sinn, wenn die Container in unterschiedlichen Netzen laufen, da bei den meisten Usern beide Container wohl im Host-Netz laufen, muss hier quasi nix explizit "freigegeben" werden...