[gelöst] von pihole zu Adguard Home ... brauche mal Hülfe für youtube & Co.

[Ford Prefect]

Die Pflege der Domainlisten usw bei pihole wurde langsam zu zeitaufwenig.

Also pihole aus Adguard Home Docker gestartet....

Als DNS Server sind eh nur, wie schon bei pihole auch, nur Family-DNS IPs/URLs eingetragen.

 

...seitdem beschwert sich die 18+ Jugend zuhause, dass youtube nur im eingeschränkten Modus läuft 🤡

Wechsle ich zurück nach Pihole und starte den PC neu, ist der Modus wieder deaktiviert. 🤔

 

Im Netz heisst es, die Funktion zum Save-Browsing wär schuld...testweise deaktiviert, aber bringts nicht (und selbst wenn, würde ich das nur für YT oder eintelne Clients machen, wenn überhaupt)

 

Hat Jemand einen Tipp, wie ich youtube, bei gleichzeitiger Verwendung der Schutzeinstellungen wieder "freigebe" ?

Mein google-fu reicht nicht.

 

Edit: siehe meinen dritten Post, unten: link ..habe eine Lösung gefunden...die funktioniert aber nicht User/Client selektiv (zumindest bis jetzt).

Edited November 17, 2021 by Ford Prefect
Lösung verlinkt

[Ford Prefect]

nobody?

Es geht darum, das hier abzustellen:

 

Wer hat das Problem mit Adguard Home nicht?

...wie gesagt, mit pihole gibt es das Problem nicht, obwohl ich da da auch Family-DNS einkonfiguriert habe.

[ich777]

5 hours ago, Ford Prefect said:

Hat Jemand einen Tipp, wie ich youtube, bei gleichzeitiger Verwendung der Schutzeinstellungen wieder "freigebe" ?

Mein google-fu reicht nicht.

Noch kein so ein Problem mit AdGuard gehabt...

Bist du dir sicher das nicht irgendeine liste aktiv ist die das auslöst?

Den family modus hast du aus hast du gesagt oder?

[Ford Prefect]

1 hour ago, ich777 said:

Bist du dir sicher das nicht irgendeine liste aktiv ist die das auslöst?

...habe keine extra Listen aktiviert.

1 hour ago, ich777 said:

Den family modus hast du aus hast du gesagt oder?

Jein...eigentlich habe ich alles aktiviert, aber auch die Kindersicherung und Safe Browsing mal deaktiviert....ohne Erfolg.

Ich habe in den upstream DNS einige Family DNS drin, aber das habe ich bei pihole auch.

 

Edit: also jetzt habe ich folgendes nacheinader probiert (immer den client rebootet, WIn10, Chrome, upstream DNS die gleichen wie in pihole)

 

• den Family Modus auf *aus*
• Safe browsing auf *aus*

-> YT Eingeschränkter-Modus: deaktiviert

 

• den Family Modus auf *aus*
• Safe browsing auf *ein*

-> YT Eingeschränkter-Modus: aktiviert

 

• den Family Modus auf *ein*
• Safe browsing auf *aus*

-> YT Eingeschränkter-Modus: deaktiviert

 

...bin mir sicher, dass ich diese Variante schonmal erfolglos durchgespielt habe....der Tipp mit "safe browsing" steht auch im I-Net und den hatte definitiv probiert.

 

Edit2: Also, ich habe jetzt wieder alles in Adguard wieder aktiviert.

 

• DNS Filter
• Family Filter
•  und Save Browsing

 

Weiters habe ich in den Benutzerdefinierten Filterregeln, die URLs von hier: https://www.youtube.com/check_content_restrictions

von der Filterung ausgenommen:

# entblocke youtube.com
@@||youtube.com^
@@||www.youtube.com^
@@||m.youtube.com^
@@||www.youtube-nocookie.com^
@@||youtube.googleapis.com^
@@||youtubei.googleapis.com^

 

...jetzt ist zumindest erstmal der eingeschränkte Modus deaktiviert

 

...mal sehen, ob es hält.🙃

Edited November 14, 2021 by Ford Prefect

[mgutt]

Mal eben was ändern ist bei einem DNS bekanntlich schwierig. Am besten startet man dafür immer einen frischen Firefox Container oder eine VM.

[Ford Prefect]

...hab den Client zum testen eben immer neu gebootet ... aktuell ist die Einstellung OK, auch für Andere im Heimnetz.

[sylus]

Habt ihr PiHole oder Adguard Home eigentlich rein als Docker in Unraid am laufen? Bei einem Ausfall des Servers würde ja kein Familienmitglied mehr ins Internet kommen.

Oder fahrt ihr hier Zweispurig?

Aktuell verwende ich noch einen alten Unifi Cloud Key auf dem ich zusätzlich Adguard Home installiert habe. Eigentlich gibt es aber keinen Grund mehr diesen zu verwenden.

 

[Anym001]

10 minutes ago, sylus said:

Habt ihr PiHole oder Adguard Home eigentlich rein als Docker in Unraid am laufen? Bei einem Ausfall des Servers würde ja kein Familienmitglied mehr ins Internet kommen.

Oder fahrt ihr hier Zweispurig?

 

Bei mir läuft PiHole auf einem extra Raspi, um genau diesen Fall zu vermeiden. 

[Ford Prefect]

...im Docker, aber der Router ist zweiter DNS und beide IPs werden via DHCP vom Router verteilt

 

Edit: Aber eigentlich will man ja, das niemand am DNS vorbei ins I-Net kommt...dafür habe ich eine Firewall-Regel, für denjenigen, der es versucht..der wird dann auf den Docker per port-forward gezwungen.

Edited November 16, 2021 by Ford Prefect

[mgutt]

Ich nutze Pihole nur für ausgewählte Geräte. Die haben dann einfach Pech gehabt, wenn der Server gerade aus ist.

 

Für alle würde ich sowas immer nur auf separater Hardware laufen lassen, außer für unRAID kommt irgendwann mal High Availability und man hat zwei Server.

[Ford Prefect]

...ich bin hier Mehrstufig unterwegs.

Upstream DNS sind eh immer Family-DNS und der Router als zweiter DNS sorgt immerhin noch dafür, dass man nix von den Leuten sieht, die so arm sind, dasss sie sich keine Kleider leisten können.

...ist Adguard weg, fällt halt der Werbeblocker aus....das merkt man dann ja schnell.

 

Die Kids haben eh ein eigenes Netz mit WLAN (VLAN / SSID) und in dem Netz ist noch ein Circle, der eh ARP Spofing macht und durch den alles muss. Da kann man schön filtern....und mal einfach "gute Nacht, Licht aus!" sagen ... und fürs Müll raustragen gibt es ein Voucher

 

Edited November 17, 2021 by Ford Prefect

[zero_neverload]

Wie ist den dein Fazit, nach dem du beides Systeme im Einsatz hattest?

 

Ich überlege auch ob ich zu adguard wechsel?

Ist dein Problem beseitigt?

Gruß Zero

[Ford Prefect]

Ja, mein unmittelbares Problem mit Youtube im eingeschränkten Modus ist jetzt weg.

Ob ich aber eine zufriedenstellene Lösung gefunden habe, weiss ich noch nicht.

Die Einstellungen, die ich vorgenommen habe wirken für Alle, was ich eigentlich nicht will. Ich kann das nur tolerieren, da ich eben für die "Under-Age" Generation zu Hause noch andere Bordmittel habe (und "dank" Home-Schooling ist youtube inzwischen Standard, auch bei den "Kleinen"....ohne dass sich die Schule dabei um Altersfreigabe-Einstellunegn der Medien und Plattformen kümmert 😬).

 

Im Unterschied zu pihole kann ich sagen, dass die Bedienung etwas einfacher scheint.

Die Standard-Filter in Adguard zum Werbeblock wirken besser als meine eigene Gravity-List aus PiHole, für welche ich aber mehr Zeit hätte investieren müssen um auf diesen Stand zu kommen.

 

...ich werde jetzt erstmal bei Adguard bleiben. ...fehlt noch unbound.

[zero_neverload]

Ok dann werde ich mir das mal auch genauer anschauen.

Ich hatte mir kürzlich auch den Apguard Docker installiert, allerdings lief der Container nicht.

 

Werde den nochmal neu installieren.

[ich777]

On 11/17/2021 at 8:11 AM, Ford Prefect said:

fehlt noch unbound.

Wenn du eine config brauchst nur melden, hier hilft man sich ja. 😉

[Ford Prefect]

1 hour ago, zero_neverload said:

Ich hatte mir kürzlich auch den Apguard Docker installiert, allerdings lief der Container nicht.

...der Container aus den Community-Apps startet "en francais" und ist vom template her nicht dazu ausgelegt, im custom bridge Mode zu laufen.

Das war bei mir das "Problem".

 

Der Port für das Web-UI ist dort eben *nicht* 80/443 sondern entsprechend woandershin gemappt.

Nach dem ersten Konfig-Schritt scheint der Container nicht mehr hochzukommen.

Das stimmt aber nicht...er läuft dann, weil custom.bridge (zB br0) einfach auf Port 80 weiter.

Kann man "vermeiden", wenn man im template den Port fürs UI direkt auf port 80 konfiguriert. 

[Ford Prefect]

19 minutes ago, ich777 said:

Wenn du eine config brauchst nur melden, hier hilft man sich ja. 😉

das Angebot nehme ich gerne an!...der unbound container von kutzilla aus den Apps kommt bei mir nicht hoch.

Wie gesagt, ich habe alle Docker immer nur als custon.bridge laufen....Services wie pihole, mqtt und unbound sind/sollen in ein getrenntes VLAN...da kann ich in der Firewall mal was ein/ausstellen

[zero_neverload]

Ich habe den Docker im Custom BR0 zum laufen gebracht.

Dort läuft er jetzt reibungslos.
Finde auch die vorhandenen Appfilter sehr gut.

[ich777]

1 hour ago, Ford Prefect said:

das Angebot nehme ich gerne an!

Hier ist das template von meinem Container, ich nehm Custom: br0, Pfade, IP musst du wie üblich anpassen,... my-Unbound.xml

(das template kannst du einfach in "/boot/config/plugins/dockerMan/templates-user" schmeißen dann hast du es unter "Add Container" zur Auswahl)

 

...und hier noch die config Datei selbst, dort musst du nur noch die IP die der Container dann hat ändern: unbound.conf und auch noch die root.hints die ich benutze: root.hints

(Container einmal starten lassen und dann beenden - wichtig weil ich eben "--restart=unless-stopped" verwende. Dann in das Hauptverzeichnis vom Container in appdata schmeißen, danach Container starten und dann sollte der auch laufen)

[Ford Prefect]

6 hours ago, ich777 said:

...und hier noch die config Datei selbst, dort musst du nur noch die IP die der Container dann hat ändern: unbound.conf und auch noch die root.hints die ich benutze: root.hints

...blöde Frage: muss in die .conf nicht noch ein-n forward DNS rein?

Ich stelle doch in Adguard den unbound als Forward-DNS ein....wo fragt unbound nach, bzw. müsset ich die DNS-forwarder nihct von adguard nach unound übertragen?

Habe da keinen Platzhalter in der .conf gefunden...

 

...beim start des Docker kommt immer ein Fehler für keine, einen oder mehr der ipv6 IPs aus der root.hints:

[1637236563] unbound[1:0] info: start of service (unbound 1.13.2).
[1637236624] unbound[1:0] info: service stopped (unbound 1.13.2).
[1637236733] libunbound[22:0] error: udp connect failed: Cannot assign requested address for 2001:500:12::d0d port 53

[1637236733] libunbound[22:0] error: udp connect failed: Cannot assign requested address for 2001:500:1::53 port 53

[1637236733] unbound[1:0] info: start of service (unbound 1.13.2).
[1637236887] unbound[1:0] info: service stopped (unbound 1.13.2).
[1637251467] libunbound[22:0] error: udp connect failed: Cannot assign requested address for 2001:500:1::53 port 53

[1637251467] unbound[1:0] info: start of service (unbound 1.13.2).

....Bug, Feature oder Fehler vor der Tastatur?

[ich777]

8 minutes ago, Ford Prefect said:

Ich stelle doch in Adguard den unbound als Forward-DNS ein....wo fragt unbound nach, bzw. müsset ich die DNS-forwarder nihct von adguard nach unound übertragen?

So wie ich es eingestellt hab fragt der direkt bei den root DNS Servern an, deswegen auch die root.hints Datei.

 

8 minutes ago, Ford Prefect said:

...beim start des Docker kommt immer ein Fehler für keine, einen oder mehr der ipv6 IPs aus der root.hints:

Weil ich IPv6 eigentlich deaktiviert hab/besitze, den Fehler kannst du aber eigentlich getrost ignorieren, kann man unter umständen aber auch abschalten, hat mich persönlich aber noch nicht wirklich gestört -> deswegen auch noch nicht "gelöst".

 

Also eine DNS Anfrage würd dann so ca. ablaufen:

+-------------------------------------------+
| Anfrage -> AdGuard -> Unbound             |
|                               \           |
|                           root DNS Server |
|                               /           |
| Antwort <- AdGuard <- Unbound             |
+-------------------------------------------+

 

[Ford Prefect]

1 hour ago, ich777 said:

So wie ich es eingestellt hab fragt der direkt bei den root DNS Servern an, deswegen auch die root.hints Datei.

Ahhhh....OK! 😇

Hmmm...dann habe ich aber nur die Adguard Filter ... da würde ich eher die Famuly-DNS und eine forward-zone aktivieren.

Hat das andere Nachteile/Effekte?

[ich777]

Just now, Ford Prefect said:

Hmmm...dann habe ich aber nur die Adguard Filter ... da würde ich eher die Famuly-DNS und eine forward-zone aktivieren.

Wie meinst du das? Bin grad schwer von Begriff glaub ich...

[Ford Prefect]

14 minutes ago, ich777 said:

Wie meinst du das? Bin grad schwer von Begriff glaub ich...

Na ein root-DNS Server ist ja sozusagen immer ohne Filter unterwegs, sozusagen "diskriminierungsfrei".

Wenn ein client jetzt "wie ist die IP für die Seite mit den Leuten ohne Kleider" anfragt, würde die von unbound ja aufgelöst.

Hätte ich jetzt kein Adguard mit aktiviertem Filter bzw. wäre der Filter "löchrig" ebenso.

Es gibt ja Family-DNS Server...die also schon auf Basis eines Filters arbeiten.

Wenn ich diese als Forward DNS nehme, wäre die Anwort auf die Frage von oben eben "null".

Ohne unbound würd eich die in Adguard eintragen. Mit unbound würde ich die in die "forward-zone" in der .conf eintragen.

Das würde zwar die Nutzung der root DNS übergehen, aber einen Family-Filter hätte ich trotzdem.

 

..bleibt die Frage, wafür dann noch unbound

[ich777]

6 minutes ago, Ford Prefect said:

Es gibt ja Family-DNS Server...die also schon auf Basis eines Filters arbeiten.

10 minutes ago, Ford Prefect said:

Das würde zwar die Nutzung der root DNS übergehen, aber einen Family-Filter hätte ich trotzdem.

Genau, wenn du es so benutzt ist es nicht wirklich Sinnvoll Unbound zu benutzen.

 

Nur zur Erklärung, ich benutze AdGuard Home in verbindung mit Unbound nicht so wie du...

 

Ich habe mir in AdGuard Home eigene Listen erstellt bzw. auch vorgefertigte mit denen ich die Seiten mit:

8 minutes ago, Ford Prefect said:

den Leuten ohne Kleider

rausfiltere und dann ab ich in AdGuard Home noch den DoH server aktiviert der per AdGuard/Intra am Handy aktiv ist und somit auch on the go greift.