Toggle sidebar

Best Practice: AdGuard Home & unbound als DNS-Server

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Richtig. Ich mache es hardcore. Aber nur, weil in meinen Tests der Fallback der Fritzbox nicht gegriffen hat. Das ist m.E. einfach schlecht implementiert und von daher kann man sich das auch schenken
 
  • Like
Reaktionen: *kw*
@*kw*
Du scheinst wohl überlesen zu haben, dass bei mir der Fallback funktioniert. Auf meinen Screenshots sieht man, dass die Fritzbox als lokaler DNS fungiert und AGH in beiden öffentlichen eingegeben ist und ich habe dennoch Internetzugriff, nachdem ich meine DS herunterfahre.
Man, jetzt zwingst du mich, ein Video zu drehen, um es dir zu beweisen. :unsure:
Mal sehen, ob ich es heute Abend schaffe. ^^
 
Alles gut. Ich hab im Moment einiges um die Ohren und mag sein, dass meine Konzentration darunter leidet. Ich versuche, mich (später) deinem Anliegen nochmal zu widmen.

Ggf. sind andere schneller... :)
 
Ich hab mal noch ne Frage, weil ich den Sinn des DNS-Rebind-Schutz der Fritzbox noch nicht kapiert habe.

Selbst nutze ich Pi-Hole (nicht Adguard) auf einem Pi3, aber das tut für meine Frage nix zur Sache.

In der Fritzbox habe ich unter
  • Internet - Zugangsdaten - DNS Server als Bevorzugter DNSv4-Server 9.9.9.9 / Alternativer DNSv4-Server 1.1.1.1 und die jeweilige v6-Version 2620:fe::fe alternativ 2606:4700:4700::1111 - DNS over TLS (DoT) dns.quad9.net / one.one.one.one - "Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen" ist aktiviert (das alles ist ja der Fallback, wenn das Pi-Hole nicht funktioniert).
  • Heimnetz - Netzwerk - Netzwerkeinstellungen - IPv4 bzw. IPv6 Einstellungen habe ich jeweils die interne feste IP von meinem Raspberry Pi(-hole) eingetragen, so dass allen Clients per DHCP das Pi-Hole als DNS mitgeteilt bekommen.
  • Sollte soweit alles passen.
Nun betreibe ich einige Dienste am Synology NAS (Carddav, Caldav, etc. im Reverse Proxy Modus über Port 443) mit eigener Domain und jeweils eigenen Subdomains (Wildcard Zertifikat). Dem Pi-Hole habe ich unter Local DNS - DNS Record die jeweiligen Subdomains eingetragen und die IPv4 bzw. IPv6 meines NAS hinterlegt, so dass im Heimnetz der Name subdomain.domain.tld zur internen IP des NAS aufgelöst wird.

Das funktioniert soweit auch ganz wunderbar, im Heimnetz aber auch von außerhalb aus dem Internet.

Die einzige Frage die ich jetzt habe: Wofür ist dieser Rebind-Schutz der Fritzbox? In welcher Situation könnte ich den in meiner Konstellation brauchen?
Bisher habe ich meine ganzen Subdomains da brav in der Fritz!Box eingetragen, jetzt aber durch probieren festgestellt, dass ich diese Einträge da drin garnicht brauche. Entsteht vielleicht sogar ein Sicherheitsrisiko, wenn ich da etwas eintrage?
 
Hallo zusammen,

ich möchte heute Abend mit durch die Anleitung durcharbeiten. Dass der erste post schon etwas älter sit, macht keinen Unterschied, richtig? Er wird soweit wie möglich aktuell sein und ich mich durcharbeiten, korrekt? :)

Wird endlich Zeit, dass die DS ihrer Aufgabe vollständig aufnimmt und auch Werbung/Tracking blockt.
 
Ja, die Anleitung ist nach wie vor aktuell
 
  • Like
Reaktionen: andopola
Moin Moin,
kurze Frage zur Anleitung:
In diesem Abschnitt:
Schritt 2: Installation des AdGuard Home und unbound-Containers (via CLI)
Unter DSM 7.2 und dem Container-Manager kann der Inhalt der Datei in dem angehängten ZIP unter /adguard/docker-compose.yml einfach eingefügt werden, wenn man im Container-Manager den Punkt "Projekte" und "Erstellen" anwählt. Dann entweder die Datei hochladen oder umstellen auf "docker-compose.yml erstellen" und nur den Inhalt einfügen.
Zum Vergrößern anklicken....
wird nur der Adguard Container erstellt. Ich vermute wenn ich weiterlese, das die Adguard und Unbound compose.yaml Datei im Projektmanager ausgeführt werden müssen, oder? Alles andere macht ja keinen Sinn.
Die Stacks sind ja sehr klein und kurz, gibt es einen bestimmten Grund nicht beide Container in einem Stack gleichzeitig zu installieren?
 
Ich hätte auch mal eine Frage. Da ich das noch nie gemacht habe, hoffe ich auf eure Hilfestellung.

Es steht ein Update bereit. Ich werde darauf aufmerksam gemacht, vor dem Update die Angaben im Dockerhub zu befolgen.

Nun, auf der zugehörigen Seite steht, dass ich vor dem Update den Container stoppen und entfernen soll. Unter dem Menüpunkt "Aktion" kann ich ihn zwar stoppen, finde aber nirgends die Auswahl ihn zu entfernen. Ich kann ihn löschen, ist das etwa damit gemeint? Oder kann ich ihn nur stoppen und dann direkt das Update ausführen?
 
Unbound habe ich vor der Aktualisierung gestoppt.
Bei Adguard habe ich mich lokal nur abgemeldet, dann die Aktualisierung gestartet.
Wird Adguard vorher gestoppt, kann das Update nicht mehr heruntergeladen werden.
Die alten Images werden automatisch gestoppt und ausgetauscht, bzw. gelöscht.
 
  • Like
Reaktionen: Gagac
Ich nutze zur Aktualisierung Watchtower.

Ja, das updatet „gnadenlos“, aber in den letzten Jahren hatte ICH keine Probleme damit.
 
  • Like
Reaktionen: Gagac
Vielen Dank für eure Hilfestellung! Das Update ging problemlos vonstatten. TschonBo's Tipp hat mir geholfen.
 
  • Like
Reaktionen: TschonBo
deltapapa schrieb:
wird nur der Adguard Container erstellt
Zum Vergrößern anklicken....
Oha. Das ist richtig. Habe das noch nie über den Container Manager gemacht, deshalb ist mir der Fehler nicht aufgefallen. Da muss man natürlich auch die compose von unbound reinladen. Das werde ich gleich ausbessern. Ggfs. werde ich auch mal die Anleitung updaten, sodass das alles über nur eine compose-Datei läuft.

Zu dem Update Thema: Ich nutze auch den Watchtower. Mit dem Container sollte man aber auch einfach bei den Images auf "Aktualisieren" klicken können und der deployd den Container neu, wenn ich das nicht falsch im Kopf habe. Alternativ den Stack neu deployen.

EDIT: Habe aktuell keinen Maintainer Status mehr. Mach mich mal ran.
 
  • Like
Reaktionen: deltapapa
Moin, ich habe nochmal die Container gelöscht und mache es nochmal neu (via Portainer, gefällt mir doch besser als der Syno Container Manager)
Nunja, eigentlich müssten man nur um eine einzelne Compose Datei zu erhalten Adguard und Unbound zusammenfügen, oder?
services:

adguard:
container_name: adguard
image: adguard/adguardhome:latest
network_mode: "host"
restart: always
volumes:
- /volume2/docker/adguard/work:/opt/adguardhome/work
- /volume2/docker/adguard/conf:/opt/adguardhome/conf

unbound:
container_name: unbound
image: mvance/unbound:latest
network_mode: "host"
restart: always
volumes:
- /volume2/docker/unbound/data:/opt/unbound/etc/unbound

Oder spricht da prinzipell was dagegen?
 
@deltapapa

Nein, ich habe beide Container auch in einem Stack zusammengefasst:

nutze jedoch das unbound Image von madnuttah und lasse die Container nicht automatisch updaten, sondern bekomme nur eine Benachrichtigung via eigenem ntfy Server aufs Handy - Container update ich dann via Portainer oder Dockge...

Code: 
services:
  adguard:
    container_name: adguard
    hostname: adguard
    image: adguard/adguardhome:latest
    labels:
      com.centurylinklabs.watchtower.monitor-only: true
    network_mode: host
    restart: always
    volumes:
      - /volume1/docker/adguard/conf:/opt/adguardhome/conf:rw
      - /volume1/docker/adguard/work:/opt/adguardhome/work:rw
  unbound:
    container_name: unbound
    image: madnuttah/unbound:latest
    network_mode: host
    environment:
      - TZ=Europe/Berlin
    labels:
      com.centurylinklabs.watchtower.monitor-only: true
    volumes:
     - /volume1/docker/unbound/unbound.conf:/usr/local/unbound/unbound.conf:rw 
     - /volume1/docker/unbound/conf.d/:/usr/local/unbound/conf.d/:rw
     - /volume1/docker/unbound/log.d/unbound.log:/usr/local/unbound/log.d/unbound.log:rw
     - /volume1/docker/unbound/zones.d/:/usr/local/unbound/zones.d/:rw
     - /volume1/docker/unbound/iana.d/:/usr/local/unbound/iana.d/:rw 
    restart: unless-stopped
    healthcheck:
      disable: true
 
Hi, ich versuche gerade das Projekt auf meiner DS423+ zum Laufen zu bekommen.
Es sind meine ersten Gehversuche mit Containern.
Ich habe ebenfalls beide Container über eine gemeinsame compose.yml erstellt und verwende den Synology Container Manager.
DS läuft mit DSM 7.2.1-69057 Update 7
Router ist eine FB7490

Code: 
version: "3"
services:
  adguard:
    container_name: adguard
    image: adguard/adguardhome:latest
    network_mode: "host"
    restart: always
    volumes:
      - /volume1/docker/adguard/work:/opt/adguardhome/work
      - /volume1/docker/adguard/conf:/opt/adguardhome/conf

  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    network_mode: "host"
    restart: always
    volumes:
      - /volume1/docker/unbound/data:/opt/unbound/etc/unbound

Die Fehlermeldung
"so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux)"
Zum Vergrößern anklicken....
habe ich durch Auskommentierung wegbekommen
Code: 
# so-rcvbuf: 1m

Der Adguard Container scheint zu laufen und ich könnte hier mit der config weitermachen, der Unbound Container wird jedoch nach ca 2 min in gelb angezeigt und gibt die Meldung
Error: error sending query: Could not send or receive, because of network error
Zum Vergrößern anklicken....
Weitere Details konnte ich z.B. im unbound log nicht finden

Unter "Netzwerk" wird angezeigt, dass beide Container dem "Host-Netzwerk" zugeordnet sind, soweit ja richtig.
Die Firewall der DS ist derzeit nicht aktiviert
Den Syno-DNS Server, der hier im Thread manchmal erwähnt wird, nutze ich nicht.
Das Heim-LAN läuft im Adressbereich 192.168.10.x

Hat jemand einen Hinweis, was diesen Fehler auslöst?
 
deltapapa schrieb:
Oder spricht da prinzipell was dagegen?
Zum Vergrößern anklicken....
Nein, kann man ruhig machen. Ich werde den Thread und den Anhang zu gegebener Zeit (wie oben geschrieben) auch noch aktualisieren, sodass beide Container in einem Compose Projekt ("Stack") sind.

timaukey schrieb:
Hat jemand einen Hinweis, was diesen Fehler auslöst?
Zum Vergrößern anklicken....
Hast du mal getestet, ob die Namensauflösung über den AdGuard bei Schritt 3.2 dennoch erfolgreich ist? Wenn du nur diese Fehlermeldung im Log hast, dürfte das nur der Healthcheck sein, der fehlschlägt. Das sollte nur ein Schönheitsfehler sein.
 
  • Like
Reaktionen: timaukey
Tatsache, Adguard eingerichtet, dann ging auch der Unbound Fehler weg. Durch die Adguard Brille sieht das Internet wirklich mal ganz anders aus. Ich bin begeistert und experimentiere.
Vielen Dank!
 
  • Like
Reaktionen: plang.pl
Moin, noch eine Frage: Du nutzt ja zur Installation deine Dateien aus der Projekt.zip. Könnte man die Einstellungen den nicht auch dem Stack mitgeben? Also die Verzeichnisse (leer) erstellen, und dann die entsprechenden Ports im Stack konfigurieren?
 
Ich weiß es nicht. Ich nutze halt das von mvance.
Mir ist bekannt, dass das von dir genannte Image einige Vorteile insbesondere in Szenarien mit alten Kernel-Versionen hat (soweit ich mich erinnern kann). Werde das mal prüfen und ggfs. umstellen. Dazu muss ich es aber erst eine Zeit lang selbst testen
 
  • Like
Reaktionen: mj084, Tuxnet und deltapapa

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten