Civic1201 Posted March 22 Share Posted March 22 @Jabberwocky Vielen Dank für Deine super Anleitung, die ich erfolgreich umsetzen konnte. Eine Frage zur Einstellung in der Fritzbox. Sollte diese Einstellung aktiviert sein: Vielen Dank nochmal! Quote Link to comment
Jabberwocky Posted March 23 Author Share Posted March 23 (edited) Freut mich, wenn es funktioniert Die Option in der Fritzbox "Bei DNS Störungen auf öffentliche DNS Server zurückgreifen" könntest du als Notfall-Notfall-Option aktivieren - Probleme sollten dadurch nicht aufkommen. Als Beispiel und nach den Vorschlägen in der Anleitung: In der Fritzbox hast du im DHCP den DNS Server auf deinen PiHole/Adguard (der dann über Unbound auflöst) eingestellt. Damit lösen alle Geräte im LAN, die ihre IP & DNS per DHCP erhalten, über deinen PiHole/Adguard auf In der Fritzbox hast du den von der Fritzbox genutzten DNS Server auf PiHole/Adguard eingestellt (unter Internet -> Account Information -> DNS Server). Hier kannst du neben dem "Prefered DNS Server" (PiHole/Adguard) noch einen "Alternative DNS Server" (Bspw. 8.8.8.8) eintragen. Damit löst die Fritzbox selbst erstmal über PiHole/Adguard auf und wenn der nicht erreichbar ist, fragt es bei dem Alternativen DNS nach Hilfreich ist das für Geräte mit festem IP Setup wie beispielsweise dem Unraid System an sich. Bei einem Neustart kann Unraid ja nicht auf den PiHole/Adguard als DNS zurückgreifen, da dieser noch nicht gestartet ist. Damit kannst du in Unraid als DNS einfach deine Fritzbox eintragen - Initial löst diese dann über den Alternativen DNS Server auf und greift, wenn PiHole/Adguard wieder läuft, auf diesen zurück Die Option "Bei DNS Störungen auf öffentliche DNS Server zurückgreifen" wäre damit nochmal ein zusätzliches Backup, wenn sowohl dein "Prefered DNS.." als auch dein "Alternative DNS.." nicht erreichbar sind - was eigentlich sehr selten der Fall sein sollte, da gerade die großen DNS wie 8.8.8.8 von Google oder 1.1.1.1 von Cloudflare sehr stabil sein sollten Edited March 23 by Jabberwocky 1 Quote Link to comment
Civic1201 Posted March 23 Share Posted March 23 @Jabberwocky vieln Dank, dann weiß ich Bescheid Ich habe mal in das Log von Unbound geschaut und da bekomme ich diese Fehlermeldungen: Quote root@Tower:~# tail /mnt/user/appdata/unbound/unbound.log [1711139419] unbound[1:0] warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache. [1711139419] unbound[1:0] info: start of service (unbound 1.19.3). [1711139672] unbound[1:0] info: service stopped (unbound 1.19.3). [1711140106] unbound[1:0] warning: subnetcache: serve-expired is set but not working for data originating from the subnet module cache. [1711140106] unbound[1:0] warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache. [1711140106] unbound[1:0] info: start of service (unbound 1.19.3). [1711141479] unbound[1:0] info: service stopped (unbound 1.19.3). [1711143557] unbound[1:0] warning: subnetcache: serve-expired is set but not working for data originating from the subnet module cache. [1711143557] unbound[1:0] warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache. [1711143557] unbound[1:0] info: start of service (unbound 1.19.3). Kannst Du mir dabei helfen? Quote Link to comment
Jabberwocky Posted March 24 Author Share Posted March 24 (edited) Jetzt etwas weiter gefasst, da ich es in der Anleitung am Anfang verlinkt habe Wenn du im Unbound Log unter /mnt/user/appdata/unbound/unbound.log die folgenden Warnmeldungen hast, sollte das kein Problem darstellen. Sie stellen eher einen Hinweis dar und sind keine Beeinträchtigung im Betrieb. warning: subnetcache: serve-expired is set but not working for data originating from the subnet module cache. warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache. Für mehr Details siehe >Klick< Man kann diese vermeiden in dem man in der unbound.conf die beiden Parameter ändert und damit das Prefetching bzw. Cache-Verhalten ändert. serve-expired: no prefetch: no Im Alltag im heimischen LAN sollten das Deaktivieren idR. nicht bemerkbar sein. Erklärung der beiden Parameter: prefetch: <yes or no> If yes, message cache elements are prefetched before they expire to keep the cache up to date. Turning it on gives about 10 percent more traffic and load on the machine, but popular items do not expire from the cache. Default is "no". serve-expired: <yes or no> If enabled, Unbound attempts to serve old responses from cache with a TTL of serve expired-reply-ttl in the response without waiting for the actual resolution to finish. The actual resolution answer ends up in the cache later on. Default is "no". Edited March 24 by Jabberwocky 1 Quote Link to comment
Civic1201 Posted March 24 Share Posted March 24 Vielen Dank! Ich werde das so belassen wie es ist, never change a running system Nächstes Wochenende werde ich das ganze auf einem weiteren Server umsetzen, jetzt weiß ich ja um die Kniffe. Du hattest ja die Firebog Listen geposted. Ich habe jetzt mal "auf Verdacht" alle grünen Listen hinzugefügt. Hier z.B. Würdest Du teilen, welche Listen Du verwendest oder ob alle grünen Listen "overkill" sind? Danke Dir @Jabberwocky Quote Link to comment
Jabberwocky Posted March 24 Author Share Posted March 24 (edited) Jup, sollte im Betrieb keine Probleme machen Von den Firebog Listen habe ich alle nicht-durchgestrichenen der verschiedenen Breiche Suspicious, Advertising, Trackings... (sind bei mir grob 1,4 Mio. Einträge im PiHole) im Einsatz und bisher noch keine Probleme damit gehabt. Im PiHole lassen sich die Listen auch recht leicht hinzufügen - einfach blockweise markieren und direkt im PiHole einfügen. Falls mal eine Seite nicht funktioniert, kannst du im PiHole über "Query Log" auch nachvollziehen, ob diese geblockt wurden und diese dann nachträglich auf die Whitelist setzten. Wenn es zu viele "False-Positives" sind, kannst du nachträglich die Listen auch einfach wieder reduzieren. Edited March 24 by Jabberwocky 1 Quote Link to comment
Curiosity Posted March 29 Share Posted March 29 Ich bin etwas Ratlos und hoffe hier Hilfe zu finden. Ich habe auf meinem Unraid AdGuard Home installiert, das funktioniert scheinbar auch. Okay nach der Konfiguration, erreiche ich AdGuard nicht mehr über IP:3000 sondern nur über die feste IP Adresse. Soweit ist das kein Problem. Der Advance Port Scanner zeigt mir den Port 80 und 53 an. Nun will ich AdGuard aber in HomeAssitant (Docker nicht VM) einbinden, aber egal welche kosntellation ich ausprobiere IP:3000 IP:80 mit SSL oder ohne, mit SSL Zertifikat prüfung oder ohne - in jeder erdenklichen Variante funktioniert das leider nicht. AdGuard (br0) lässt sich von HomeAssistant (Host) nicht finden. Ich habe in den Docker Einstellungen folgendes ausgewählt: Netzwerktyp für benutzerdefinierte Docker-Netzwerke: macvlan Host-Zugang zu benutzerdefinierten Netzwerken: Aktiviert Benutzerdefinierte Netzwerke beibehalten: Nein Wo liegt mein Fehler-ich sehe ihn nicht 🤔 Quote Link to comment
ich777 Posted March 29 Share Posted March 29 @Jabberwocky ich würde diese methode mit Docker nicht mehr empfehlen weil du iel zu viel custom machen musst. Ich würde dir statdessen empfehlen dir das mal mit LXC anzusehen, wie schon mehrmals erwähnt gubt es für beide bereits fertige images die praktisch nur ein drop in sind so wie ein Docker container. 1 Quote Link to comment
Jabberwocky Posted March 30 Author Share Posted March 30 (edited) On 3/29/2024 at 12:32 PM, Curiosity said: Ich bin etwas Ratlos und hoffe hier Hilfe zu finden. Ich habe auf meinem Unraid AdGuard Home installiert, das funktioniert scheinbar auch. Okay nach der Konfiguration, erreiche ich AdGuard nicht mehr über IP:3000 sondern nur über die feste IP Adresse. Soweit ist das kein Problem. Der Advance Port Scanner zeigt mir den Port 80 und 53 an. Nun will ich AdGuard aber in HomeAssitant (Docker nicht VM) einbinden, aber egal welche kosntellation ich ausprobiere IP:3000 IP:80 mit SSL oder ohne, mit SSL Zertifikat prüfung oder ohne - in jeder erdenklichen Variante funktioniert das leider nicht. AdGuard (br0) lässt sich von HomeAssistant (Host) nicht finden. Ich habe in den Docker Einstellungen folgendes ausgewählt: Netzwerktyp für benutzerdefinierte Docker-Netzwerke: macvlan Host-Zugang zu benutzerdefinierten Netzwerken: Aktiviert Benutzerdefinierte Netzwerke beibehalten: Nein Wo liegt mein Fehler-ich sehe ihn nicht 🤔 @Curiosity Mit HomeAssistant habe ich leider keine Erfahrung aber ein paar Ideen: Kannst du versuchen beide Docker in das selbe Netz (in dem Fall br0 mit eigenen IPs / oder beide auf Host) zu setzten? Einzeln sind beide aber erreichbar oder? Nur die Verbindung zwischen den beiden funktioniert nicht? Edited April 7 by Jabberwocky Quote Link to comment
Jabberwocky Posted March 30 Author Share Posted March 30 16 hours ago, ich777 said: @Jabberwocky ich würde diese methode mit Docker nicht mehr empfehlen weil du iel zu viel custom machen musst. Ich würde dir statdessen empfehlen dir das mal mit LXC anzusehen, wie schon mehrmals erwähnt gubt es für beide bereits fertige images die praktisch nur ein drop in sind so wie ein Docker container. Ja, wollte ich auch nochmal ausprobieren aber bin leider noch nicht dazu gekommen. Der Vorteil von LXC ist ähnlich wie bei einem Hypervisor oder? Also man kann den Containern dediziert Ressourcen zuweisen? Quote Link to comment
ich777 Posted March 30 Share Posted March 30 12 minutes ago, Jabberwocky said: LXC Ja kannst du auch. LXC is eben eine mischung aus Docker und VM, sprich es is mehr oder weniger einer VM jedoch mit geteilten resourcen so wie Docker, noch dazu bekommt jeder container eine eigene IP, du musst nicht mehrere komplizierte anleitungen schreiben, es is alles in einem image und vermutlich noch mehr was ich hier vergesse. Natürlich kannst das auch mit keepalived verwenden damit wenn dein Unraid server down ist oder der LXC container das ein backup PiHole/AdGuard (der zB auf einem RaspberryPi oder irgend einem SBC läuft) seamless übernehmen kann ohne dein eingreifen. Sieh dir dazu mal mein Image hier an: https://github.com/ich777/unraid_lxc_pihole Wenn du es testen willst lass es mich wissen (erfordert momentan nur ein kommando vom Terminal) und dann installation in der Unraid GUI. 😉 1 Quote Link to comment
Jabberwocky Posted April 7 Author Share Posted April 7 On 3/30/2024 at 8:33 AM, ich777 said: Ja kannst du auch. LXC is eben eine mischung aus Docker und VM, sprich es is mehr oder weniger einer VM jedoch mit geteilten resourcen so wie Docker, noch dazu bekommt jeder container eine eigene IP, du musst nicht mehrere komplizierte anleitungen schreiben, es is alles in einem image und vermutlich noch mehr was ich hier vergesse. Natürlich kannst das auch mit keepalived verwenden damit wenn dein Unraid server down ist oder der LXC container das ein backup PiHole/AdGuard (der zB auf einem RaspberryPi oder irgend einem SBC läuft) seamless übernehmen kann ohne dein eingreifen. Sieh dir dazu mal mein Image hier an: https://github.com/ich777/unraid_lxc_pihole Wenn du es testen willst lass es mich wissen (erfordert momentan nur ein kommando vom Terminal) und dann installation in der Unraid GUI. 😉 @ich777 Sehr gerne aber ich bin gerade leider ziemlich zu mit Themen aus der Arbeit - ich melde mich bei dir, wenn ein Ende in Sicht ist, ok? Quote Link to comment
ich777 Posted April 7 Share Posted April 7 2 minutes ago, Jabberwocky said: @ich777 Sehr gerne aber ich bin gerade leider ziemlich zu mit Themen aus der Arbeit - ich melde mich bei dir, wenn ein Ende in Sicht ist, ok? Kein ding, dauert ca 5 bis 10 Minuten bis alles läuft (inklusive LXC einrichten). Quote Link to comment
DPT Posted May 7 Share Posted May 7 Hi, erstmal vielen Dank für diese tolle und eigentlich idiotensichere Anleitung, die ist wirklich klasse 👍 Ich habe es genau so befolgt, wie beschrieben (Adguard) und bekomme auch gefilterte Sachen an der WebGUI von Adguard angezeigt, aber auf deiner Testseite https://fuzzthepiguy.tech/adtest/ bekomme ich immer noch die Google-Werbung angezeigt, obwohl ich gefühlt schon 20 Filter aktiv habe... Wenn ich hingegen die Chrome Erweiterung von Adguard aktiviere ist die Seite komplett Werbefrei... Muss ich da noch irgendwas machen, oder komme ich irgendwie an die Listen der Chrome-Erweiterung? Vielen Dank für die Hilfe im Voraus 🙂 Quote Link to comment
Jabberwocky Posted May 8 Author Share Posted May 8 Freut mich, dass es soweit funktioniert hat Ich habe es gerade nochmal getestet auf der https://fuzzthepiguy.tech/adtest/ und ich habe dort keine Werbung - ich habe im PiHole jedoch alle Listen von Firebog hinzugefügt. Die Adguard Chrome Erweiterung kenne ich leider nicht aber gibt es dort mglw. Einstellungen, wo du die Listen nachsehen kannst? Du solltest sie dort dann einfach kopieren und in Adguard einfügen können. Hier ein Screenshot der Einstellung der Erweiterung "uBlock", die letztlich dasselbe macht. Dort kommt man auf die Inhalte und die Quelle der jeweiligen Liste Quote Link to comment
ich777 Posted May 17 Share Posted May 17 On 5/8/2024 at 7:51 AM, Jabberwocky said: Freut mich, dass es soweit funktioniert hat Hast schon den LXC probiert, hab schon wieder einen glücklichen User (@Archonw) und das läuft auch viel einfcher ab... 1 Quote Link to comment
Civic1201 Posted June 5 Share Posted June 5 (edited) Ich habe leider ein ärgerliches Problem mit Adguard und Unbound, welches sporadisch auftritt... Dann kann ich manche Seiten nicht aufrufen und im Protokoll steht dann SERVFAIL, starte ich dann den Unbound Container neu, klappt es wieder. Eine Idee an was das liegen kann? Vielen Dank @Jabberwocky edit: zum Teil kann ich nicht mal google.de erreichen... Edited June 5 by Civic1201 Quote Link to comment
Jabberwocky Posted June 7 Author Share Posted June 7 (edited) Hi @Civic1201 Interessant, der SERVFAIL kommt also aus dem DNSSEC von deinem Unbound (also der IP 192.168.178.6 in deinem Setup) - also das er s.z. die Echtheit der Domain nicht bestätigt bekommt, wodurch er statt einem "NOERROR" ein "SERVFAIL" zurückgibt. Zum Testen, wenn es wieder auftritt und um den Fehler eingrenzen zu können (frei nach >> LINK <<): Öffne die Kommandozeile von deinem Unraid-System (wenn der "Host Access to custom networks" noch aktiviert ist) Mache einen DIG testweise gegen deinen Unbound mit dem folgenden Befehl (ersetze die IP mit der IP von deinem Unbound) dig +dnssec www.cyberciti.biz @192.168.0.6 Er sollte dir nun einen "NOERROR" oder eben "SERVFAIL" zurück geben, wenn alles geklappt hat. Testweise kannst du auch noch den folgenden Befehl absetzten, der garantiert ein "SERVERFAIL" zurück gibt (wieder mit der IP von deinem Unbound). dig +dnssec www.dnssec-failed.org @192.168.0.6 Das Ergebnis sollte dann etwas so aussehen (also mit der jeweiligen IP von deinem Unbound): Damit kann man zumindest den PiHole als Fehlerursache ausschließen. Vielleicht liegt es daran, dass alte Root-Keys zur Prüfung verwendet werden (nach >> LINK << und >> LINK <<). Ich nehme an, dass ein SERVFAIL auch zustande kommen kann, wenn die DNSSEC Validierung wegen einem alten Root-Key nicht erfolgreich durchgeführt werden kann. "Eigentlich" sollten die Root-Keys bei jedem Start vom Container aktualisiert werden. Zum Checken: Öffne eine Konsole von deinem Unbound Docker Container Prüfe hier, ob der Root-Trust-Anchor aktualisiert wurde mit dem folgenden Befehl. unbound-anchor -v Wenn er keinen aktuellen Inhalt hat, kannst du es mit dem folgenden Befehl aktualisieren (er gibt keine explizite Bestätigung aus aber danach sollte der "unbound-anchor -v" dir eine nun positive Rückmeldung geben) unbound-anchor Das Ergebnis sollte dann so aussehen Edited June 7 by Jabberwocky Quote Link to comment
Jabberwocky Posted June 11 Author Share Posted June 11 (edited) @Civic1201 Ich konnte den SERVFAIL Fehler nachstellen - er entsteht durch das DENSSEC vom Unbound und taucht im PiHole Log dann auf - in meinem Fall bei www.amazon.de (!) Nach einem Reload der Webseite, hat der Aufruf dann wieder normal geklappt. Das Problem kann scheinbar verschiedene Ursachen haben wie ich verstanden habe (siehe >> LINK << und >> LINK << und >> LINK <<) - wer hierzu noch Ideen hat, immer her damit DNSSEC wurde auf der aufgerufenen Webseite nicht korrekt implementiert Durchaus wahrscheinlich und möglich - wobei große Seiten wie Amazon das schon hinbekommen sollten denke ich Die Root Server für den rekursiven Aufruf sind nicht aktuell Sollte "eigentlich" keine Probleme machen, da sich diese nicht so oft ändern und Unbound bei jedem Update eine neue lädt Kann man mal aktualisieren indem man auf der CLI von Unraid (also NICHT im Docker Image von Unbound) Per Nano die Unbound.conf öffenen (je nachdem wo das Docker Image am Unraid liegt Und dieser diesen Hinweis beispielsweise bei den Basic Settings einfügst root-hints: root.hints Und die "root.hints" dann füllst mit curl --output /mnt/user/appdata/unbound/root.hints https://www.internic.net/domain/named.cache Das Ergebnis sollte dann so aussehen: Der Trust-Anchor ist nicht aktuell in der Anleitung ist in der unbound.conf explizit der root.key unter /var/root.key angegeben - durch den unbound-anchor Befehl wird eine zusätzliche "root.key" im Unbound Ordner angelegt, was aber keine Probleme machen sollte. Sieht man bei mir auch im vorherigen Screenshot, dass die Datei im Hauptverzeichnis unter der root.hints liegt Kann man aktualisieren, indem man eine CLI im Docker Image von Unbound öffnet Auf der nun recht schlichten CLI den folgenden Befehl absetzt unbound-anchor Nach dem Absetzen des Befehls bekommt man (leider) keine Bestätigung aber kann über den folgenden Befehl die root.key prüfen unbound-anchor -v Das Ergebnis sollte dann so aussehen Die Systemzeit vom Unbound ist nicht korrekt Zum prüfen hierzu einfach eine CLI im Docker Image von Unbound öffnen Und den folgenden Befehl absetzten date Als Ergebnis sollte dann deine Systemzeit zurückkommen. Bei Bedarf einfach updaten. Ich habe jetzt bei mir auch mal die root.hints und die roots.key aktualisiert und muss jetzt etwas beobachten, ob es nochmal auftritt - Fingers crossed Edited June 11 by Jabberwocky spell checking.. 1 1 Quote Link to comment
ich777 Posted June 17 Share Posted June 17 On 6/11/2024 at 12:14 PM, Jabberwocky said: wer hierzu noch Ideen hat, immer her damit Ich glaube in eurem Fall kann es wegen dem Docker Netz dazu kommen wenn das zu lange braucht zum antworten. Wie gesagt, ihr solltet echt mal LXC probieren, ich hab hier keine SERVERFAIL Meldungen (außer von squeezebox <- das gibt es nicht mehr und ist normal weil die Gegenstelle nicht antwortet). 1 Quote Link to comment
ich777 Posted June 20 Share Posted June 20 @Civic1201 konntest du das mit deinem LXC setup jetzt auch schon reproduzieren oder tritt das dort nicht auf? Quote Link to comment
Civic1201 Posted June 20 Share Posted June 20 4 hours ago, ich777 said: @Civic1201 konntest du das mit deinem LXC setup jetzt auch schon reproduzieren oder tritt das dort nicht auf? Mit Deinem Container habe ich absolut keine Probleme. Läuft wunderbar! Planst Du das ganze auch vielleicht mit Adguard+Unbound umzusetzen? Quote Link to comment
ich777 Posted June 20 Share Posted June 20 7 minutes ago, Civic1201 said: Planst Du das ganze auch vielleicht mit Adguard+Unbound umzusetzen? Gibt es doch schon lange, jedoch noch ohne Anleitung aber ist genau so zu installieren: https://github.com/ich777/unraid_lxc_adguard Das im Terminal ausführen: wget -O /tmp/lxc_container_template.xml https://raw.githubusercontent.com/ich777/unraid_lxc_adguard/main/lxc_container_template.xml Im Browser folgendes öffnen: http://<SERVERIP>/LXCAddTemplate Einstellen was du brauchst und "Apply" klicken Fertig Quote Link to comment
Civic1201 Posted June 20 Share Posted June 20 @ich777 ist aber ohne Unbound richtig? Quote Link to comment
ich777 Posted June 20 Share Posted June 20 11 minutes ago, Civic1201 said: @ich777 ist aber ohne Unbound richtig? Mit unbound, das hab ich dir aber glaub ich schon mal geschrieben. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.