:strip_exif()/i/2003594310.png?f=thumbmini)
:strip_icc():strip_exif()/u/198189/crop67ecf5f08705a_cropped.jpg?f=community)
@Ragnar9999 Ik zit op 130 blocked volgens die site, dus voor een deel moet het toch ook aan je blocklists liggen denk ik. Ik gebruik eigenlijk alleen de OISD lijst
:strip_icc():strip_exif()/u/250261/Resize%2520of%2520P.jpg?f=community)
Die heb ik er ook bij zitten (OISD)
en bij check filtering onderaan de custom filtering rules worden er hosts geblocked die volgens deze site niet geblocked worden
/f/image/Ky0sizppNy3YCnIIWzkQqZB7.png?f=fotoalbum_large)
en bij check filtering onderaan de custom filtering rules worden er hosts geblocked die volgens deze site niet geblocked worden
:fill(white):strip_exif()/f/image/Ky0sizppNy3YCnIIWzkQqZB7.png?f=user_large)
Ik heb Adguard Home op mijn synology draaien (ip 192.168.0.220), omdat ik het rechtsreeks op de USG nog niet werkende krijg.
Als ik de LAN settings aanpas in mijn unifi controller loopt het wifi verkeer niet via AGH, wat doe ik fout?
Als ik de WAN settings aanpas werkt het wel, maar dan is de gebruiker steeds 192.168.0.1 (de usg pro) en ik wil dit natuurlijk per client zien.
Iemand enig idee? Reboot van AP's deed de truc ;-)
/f/image/V1LrWb0OqGPxQ8GubqxXe77I.png?f=fotoalbum_large)
Als ik de LAN settings aanpas in mijn unifi controller loopt het wifi verkeer niet via AGH, wat doe ik fout?
Als ik de WAN settings aanpas werkt het wel, maar dan is de gebruiker steeds 192.168.0.1 (de usg pro) en ik wil dit natuurlijk per client zien.
Iemand enig idee? Reboot van AP's deed de truc ;-)
:fill(white):strip_exif()/f/image/V1LrWb0OqGPxQ8GubqxXe77I.png?f=user_large)
[ Voor 6% gewijzigd door sennevb op 07-01-2024 13:10 ]
:strip_exif()/u/101588/the_lemmings_masacre_2_by_wormthingy.gif?f=community)
Ik ben een tijdje terug bezig geweest met de Private DNS instelling op Android. Dat zou DNS-over-TLS ondersteunen en DNS-over-HTTPS. Dat laatste is echter gedeeltelijk waar. Nadat ik gister daar nog eens in was gedoken kwam ik erachter dat alleen DNS-over-HTTP3 ondersteund wordt. Omdat mijn huidige reverse proxy (nog) geen HTTP3 praat, werkt dat dus niet. Echter wilde ik toch wat toevallige bezoekers buiten houden.
Wat ik dus gisteren heb gedaan is via mijn reverse proxy (en dus ACME) een Let's Encrypt wildcard domain aangevraagd voor een vierde level domein. Dus voor *.dns.example.com. Deze heb gekoppeld aan AdGuard Home. En hierdoor kan ik namelijk Client ID's toepassen op basis van domeinnaam
. In Android heb ik nu dus bij Private DNS alex.dns.example.com, uiteraard met mijn eigen domein, staan. In AdGuard Home heb ik toen bij Settings > Client Settings een Alex client aangemaakt met de identifier alex. En dit komt dan ook netjes naar boven in de Client list:
:fill(white):strip_exif()/f/image/hMwnd50lLgWcBoGedQw5n9Vm.png?f=user_large)
Echter wilde ik vooral niet geautoriseerde buitenstaanders buiten houden. Ik zag namelijk een aantal requests van Alibaba Cloud uit o.a. Australië en Singapore. Maar dit heb ik nu gedaan met de volgende filter regel:
Die blokt dus alles behalve lokale requests en mijn eigen requests.
Uiteraard kan ik bij mijn client-id ook nog een soort sleutel meegeven, bijvoorbeeld alex-abcdef1234.dns.example.com om het een en ander nog wat verder af te schermen. Maar vooralsnog ben ik hier al best wel tevreden mee.
Wat ik dus gisteren heb gedaan is via mijn reverse proxy (en dus ACME) een Let's Encrypt wildcard domain aangevraagd voor een vierde level domein. Dus voor *.dns.example.com. Deze heb gekoppeld aan AdGuard Home. En hierdoor kan ik namelijk Client ID's toepassen op basis van domeinnaam
. In Android heb ik nu dus bij Private DNS alex.dns.example.com, uiteraard met mijn eigen domein, staan. In AdGuard Home heb ik toen bij Settings > Client Settings een Alex client aangemaakt met de identifier alex. En dit komt dan ook netjes naar boven in de Client list:Echter wilde ik vooral niet geautoriseerde buitenstaanders buiten houden. Ik zag namelijk een aantal requests van Alibaba Cloud uit o.a. Australië en Singapore. Maar dit heb ik nu gedaan met de volgende filter regel:
# Block unknown DNS requests ||*^$client=~192.168.0.0/16|~Alex
Die blokt dus alles behalve lokale requests en mijn eigen requests.
Uiteraard kan ik bij mijn client-id ook nog een soort sleutel meegeven, bijvoorbeeld alex-abcdef1234.dns.example.com om het een en ander nog wat verder af te schermen. Maar vooralsnog ben ik hier al best wel tevreden mee
.
In DNS Settings kan je onder Access Settings afdwingen dat alleen bepaalde IP Ranges en Client IDs toegang hebben tot je Adguard setup, dan hoef je niet perse een filter regel te gebruiken dus ik snap niet helemaal hoe externe scanners dan op je AdGuard Home terechtkomen 
Tenzij je in je wildcard cert het hele domein wat je gebruikt hebt vermeld?
Tenzij je in je wildcard cert het hele domein wat je gebruikt hebt vermeld?
[ Voor 30% gewijzigd door Devrim op 15-01-2024 21:53 ]
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
Die had ik even gemist. Toegepast in plaats van mijn filter regel. Lijkt in ieder geval functioneel hetzelfde. Bedankt
.Aangezien poort 853 openstaat, verwacht ik dat hier gewoon een poort scanner langskomt. Dat is niet zo vreemd.[D]us ik snap niet helemaal hoe externe scanners dan op je AdGuard Home terechtkomen
:strip_exif()/u/258856/crop5a3f74398ce0b_cropped.gif?f=community)
:strip_exif()/u/834/bianchi_logo2.gif?f=community){kind=logo}
Ben na het Unbound blocklists en Zenarmor avontuur weer terug. Na het aanpassen van de blocklists werkte bepaalde streaming provider niet meer goed. (Videoland) Helaas kan je in Unbound niet goed zien wat er wordt geblocked.
Heb de AdGuard Home plugin weer geactiveerd op m'n Sophos met OPNSense. Heb poort 53 en 853 dicht staan, alles loopt nu via AGH. Chromecasts worden niet gefilterd, videoland werkt weer naar behoren en laat reclames zien.
Heeft er iemand van jullie bestaande url's van streamingdiensten welke gewhitelist kunnen worden?
Heb de AdGuard Home plugin weer geactiveerd op m'n Sophos met OPNSense. Heb poort 53 en 853 dicht staan, alles loopt nu via AGH. Chromecasts worden niet gefilterd, videoland werkt weer naar behoren en laat reclames zien.
Heeft er iemand van jullie bestaande url's van streamingdiensten welke gewhitelist kunnen worden?
Whatever.
Heb geen reclame in Videoland (heb binnen de app handmatig de privacy instellingen aangepast, alles nagelopen en afwijzen) en deze blocklists::
Ben na het Unbound blocklists en Zenarmor avontuur weer terug. Na het aanpassen van de blocklists werkte bepaalde streaming provider niet meer goed. (Videoland) Helaas kan je in Unbound niet goed zien wat er wordt geblocked.
Heb de AdGuard Home plugin weer geactiveerd op m'n Sophos met OPNSense. Heb poort 53 en 853 dicht staan, alles loopt nu via AGH. Chromecasts worden niet gefilterd, videoland werkt weer naar behoren en laat reclames zien.
Heeft er iemand van jullie bestaande url's van streamingdiensten welke gewhitelist kunnen worden?
AdGuard DNS filter
https://adguardteam.githu...Filter/Filters/filter.txt
AdAway
https://adaway.org/hosts.txt
1Hosts (Pro)
https://o0.pages.dev/Pro/adblock.txt
adguardtracking
https://raw.githubusercon..._17_TrackParam/filter.txt
phisingarmy blocklist
https://phishing.army/download/phishing_army_blocklist.txt
adguardmobilespyware
https://raw.githubusercon.../AdguardMobileSpyware.txt
Malicious URL Blocklist (URLHaus)
https://adguardteam.githu...stry/assets/filter_11.txt
HaGeZi's Threat Intelligence Feeds
https://adguardteam.githu...stry/assets/filter_44.txt
WindowsSpyBlocker - Hosts spy rules
https://adguardteam.githu...stry/assets/filter_23.txt
Dandelion Sprout's Game Console Adblock List
https://adguardteam.githu...istry/assets/filter_6.txt
HaGeZi's Pro++ Blocklist
https://adguardteam.githu...stry/assets/filter_51.txt
Dandelion Sprout's Anti Push Notifications
https://adguardteam.githu...stry/assets/filter_39.txt
xiaomi
https://raw.githubusercon..._block_with_whitelist.lst
Perflyst and Dandelion Sprout's Smart-TV Blocklist
https://adguardteam.githu...istry/assets/filter_7.txt
HageziLGWebos
https://raw.githubusercon...dblock/native.lgwebos.txt
TiktokfingerprtHagezi
https://raw.githubusercon...ative.tiktok.extended.txt
AmazonactivityHagezi
https://raw.githubusercon...adblock/native.amazon.txt
Hagezipersonal
https://raw.githubusercon...main/adblock/personal.txt
HaGeZi's DynDNS Blocklist
https://raw.githubusercon...und/dyndns.blacklist.conf
@pielle007 Dank, heb nu een 2tal blocklists Adguard standard en Hagezi normal. Doet het nu prima.
Voorheen had ik ook geen reclame bij Videoland, maar liep de stream na 5-10min vast op de chromecast. Herstart van de chromecast was dan nodig.
Voorheen had ik ook geen reclame bij Videoland, maar liep de stream na 5-10min vast op de chromecast. Herstart van de chromecast was dan nodig.
Whatever.
np:
@pielle007 Dank, heb nu een 2tal blocklists Adguard standard en Hagezi normal. Doet het nu prima.
Voorheen had ik ook geen reclame bij Videoland, maar liep de stream na 5-10min vast op de chromecast. Herstart van de chromecast was dan nodig.
gebruik ook de chromecast 4k maar herken t vastlopen niet (gelukkig)
(heb op basis van mn blokkeer lijsten niets hoeven te whitelisten)
Google devices gebruiken de standaard googledns 8.8.8.8 heb ik gemerkt, pas als je deze blocked in je netwerk gaan ze via AGH.:
[...]
np
gebruik ook de chromecast 4k maar herken t vastlopen niet (gelukkig)
(heb op basis van mn blokkeer lijsten niets hoeven te whitelisten)
Whatever.
@pielle007 Niet dat, google negeert de opgegeven dns server en gaat vaak zelf via 8.8.8.8 communiceren. Zag eerst helemaal geen query logs van deze apparaten voorbij komen in AGH.
Whatever.
Ik had dit dus aangepast.:
In DNS Settings kan je onder Access Settings afdwingen dat alleen bepaalde IP Ranges en Client IDs toegang hebben tot je Adguard setup, dan hoef je niet perse een filter regel te gebruiken dus ik snap niet helemaal hoe externe scanners dan op je AdGuard Home terechtkomen
Maar het was toch niet helemaal hetzelfde. In de Custom Filtering Rules kon ik dus de door mij toegewezen naam gebruiken, die ik had ingesteld bij Client Settings::
Die had ik even gemist. Toegepast in plaats van mijn filter regel. Lijkt in ieder geval functioneel hetzelfde. Bedankt
||*^$client=~192.168.0.0/16|~Alex
Maar dat werkt dus niet in DNS Settings > Allowed Clients. Daar moest ik de client ID gebruiken, dus:
192.168.0.0/16 alex
En dan kan ik gebruiken maken van DNS-over-TLS met alex.dns.example.com.
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
Ik vang in mijn firewall alles af wat denkt rechtstreeks naar buiten te gaan voor DNS requests, en redirect (MASQ) ze naar Adguard Home. Adguard is dan ook meteen de enige die wel naar buiten mag met zijn requests.
Die google apparaten denken dus antwoord te krijgen van 8.8.8.8, maar is in feite gewoon mijn Adguard die ze antwoord
Die google apparaten denken dus antwoord te krijgen van 8.8.8.8, maar is in feite gewoon mijn Adguard die ze antwoord
Sometimes you need to plan for coincidence
:strip_icc():strip_exif()/u/10338/crop57713508e4db5_cropped.jpeg?f=community)
Werkt dit ook voor DNS-over-TLS?:
Ik vang in mijn firewall alles af wat denkt rechtstreeks naar buiten te gaan voor DNS requests, en redirect (MASQ) ze naar Adguard Home. Adguard is dan ook meteen de enige die wel naar buiten mag met zijn requests.
Die google apparaten denken dus antwoord te krijgen van 8.8.8.8, maar is in feite gewoon mijn Adguard die ze antwoord
:strip_icc():strip_exif()/u/46311/crop67969c002c0ce_cropped.jpg?f=community)
@ahbart Misschien dat er iets mis is met je IPv6 resolving? Dat Firefox daar een voorkeur voor heeft, het niet lukt (timeout) en dat er dan naar IPv4 overgeschakeld wordt? Je zou dit kunnen testen door IPv6 resolven in AdGuard Home onder DNS settings (tijdelijk) uit te zetten.
Of uiteraard op je client
Of uiteraard op je client
[ Voor 5% gewijzigd door alex3305 op 07-02-2024 13:04 ]
Dus: "Oplossen ipv6-adressen uitschakelen"?:
@ahbart Misschien dat er iets mis is met je IPv6 resolving? Dat Firefox daar een voorkeur voor heeft, het niet lukt (timeout) en dat er dan naar IPv4 overgeschakeld wordt? Je zou dit kunnen testen door IPv6 resolven in AdGuard Home onder DNS settings (tijdelijk) uit te zetten.
Of uiteraard op je client
Ja, dan gaat het heeel snel! Waar zijn mijn instellingen dan fout? Waar moet ik zoeken?
Ik heb nu bij Bootstrap:
code:
1
2
3
4
| 1.1.1.1 9.9.9.9 2606:4700:4700::1001 2620:fe::fe:9 |
Ik zou er de voorkeur voor hebben om het op te lossen.
Dit is het resultaat van de ipv6 test:
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/uEZMbQ86LLG99Tl6rVBaMDlu.jpg?f=user_large)
Ik zie niets opvallend toch?
Edit:
Ping test ziet er niet goed uit voor ipv6
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/IhaobfdYZzTtlio3EYDxJnUU.jpg?f=user_large)
IPv6 niet goed werkend in de Fritz? Of is dit een dns ding?
[ Voor 21% gewijzigd door ahbart op 07-02-2024 14:34 ]
Nee. In principe niets geks. En ik ben bang dat het ook niet in Adguard Home zit
Je zou eventueel nog met wat command line tools kunnen testen hoe daar bepaalde URL's resolven? En anders wellicht een apart topic hiervoor aanmaken?
Ik had nog een ping test ge-edit hierboven. Daar lijkt wel iets mis mee. Ik open een apart topic.:
[...]
Nee. In principe niets geks. En ik ben bang dat het ook niet in Adguard Home zit
Je zou eventueel nog met wat command line tools kunnen testen hoe daar bepaalde URL's resolven? En anders wellicht een apart topic hiervoor aanmaken?
Edit: Ik kom er achter dat het een dns probleem is op mij debian laptop. domdom
Dank voor het mee nadenken!!
[ Voor 10% gewijzigd door ahbart op 07-02-2024 15:34 ]
/u/125951/crop567a86fe6aeb0.png?f=community)
:strip_icc():strip_exif()/u/249279/crop5f1097e13cf2e_cropped.jpeg?f=community)
Mag ik vragen hoe anderen hun Adguard met Unbound hebben ingesteld?
Ik heb nog best een hoge responstijd vindt ik (circa 30ms)
Ik heb als DNS upstream servers enkel de unbound en 1.1.1.1 ingevoerd, maar ik heb het idee dat ik daar nog wat andere servers bij moet gooien.
:strip_exif()/f/image/rdBeUqnMlGdj2SJycMzf7yCo.jpg?f=fotoalbum_large)
Wat is jullie ervaring hiermee, en/of hebben jullie nog andere tips waarmee in de response tijd kan verbeteren?
Ik heb nog best een hoge responstijd vindt ik (circa 30ms)
Ik heb als DNS upstream servers enkel de unbound en 1.1.1.1 ingevoerd, maar ik heb het idee dat ik daar nog wat andere servers bij moet gooien.
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/rdBeUqnMlGdj2SJycMzf7yCo.jpg?f=user_large)
Wat is jullie ervaring hiermee, en/of hebben jullie nog andere tips waarmee in de response tijd kan verbeteren?
Als je dit kunt lezen, dan werkt mij Signature!
Whoa, wat een getallen! Dat kan echt stukken beter, ook met DoT (Quad9 pakt bij mij 55% van de requests, en zit op 7ms responsetijd)
:fill(white):strip_exif()/f/image/os5peKcJ381aDof24yFk7U9Z.png?f=user_large)
Overigens pakt de top-3 van de domeinen zo'n 22% van alle DNS requests, en dat is naar de cloud van wat slimme apparaten hier in huis.
[ Voor 10% gewijzigd door Hmmbob op 10-03-2024 17:01 ]
Sometimes you need to plan for coincidence
Ik probeer je niet over te halen om Unbound te gaan gebruiken. Het is een kwestie van:
1. vertrouw je de huidige DNS providers en is de performance oke, dan gewoon zonder Unbound verder gaan;
2. vertrouw je ze wat minder en je wilt een goeie performance dan wel naar Unbound.
In mijn geval zag ik dat één enkele devices heel lange responstijden hadden. Dat had ik mogelijk in Adguard hetzelfde gehad. Heb het gisteren opgelost met wat settings aanpassen en zit nu op 15ms (met gebruik DNS over TLS).
Ik heb best wel zitten stoeien met zoeken naar de juiste settings voor Unbound (en nog steeds dus
), dus kan goed begrijpen dat je niet begint aan Unbound.
Ja dat komt uiteraard vanuit de cache. Dat is ook heel het idee er van
Ik zal vast nog wel wat kunnen verbeteren in mijn setup hoor. Want mag ik vragen wat de server response tijden zijn bij jou?
Bij mij zijn die nog vrij hoog
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/8prdicnwdEt8th2lCtD6fPCI.jpg?f=user_large)
Als je dit kunt lezen, dan werkt mij Signature!
Ik vraag me alleen af waarom je unbound gebruikt? Je hebt er ook publieke dns bij staan. Of mis ik iets?:
[...]
Ja dat komt uiteraard vanuit de cache. Dat is ook heel het idee er van
Ik zal vast nog wel wat kunnen verbeteren in mijn setup hoor. Want mag ik vragen wat de server response tijden zijn bij jou?
Bij mij zijn die nog vrij hoog
[Afbeelding]
:strip_icc():strip_exif()/u/154963/crop659be07d13f5a_cropped.jpg?f=community)
Dat is niet waar, anders had je unbound wel als snelste gestaan. AdGuard kijkt naar de snelste server. De bedoeling van unbound is juist om alleen die te gebruiken. Je kan wel als fail over er 1 in de backup zetten. Mijn gemiddelde procestijd is 7. Heb er gisteren aan zitten rommelen maar nu staat die al zo. Internet is lekker snel, dus maak me er geen zorgen om.
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/k2GdEPxxue9igmFdppf0M283.jpg?f=user_large)
Beter van niet, Unbound cached ook al. Ik heb het eens een keer ingeschakeld optmistisch cache en toen had ik vage problemen.
En echt meerwaarde is er niet.
:fill(white):strip_exif()/f/image/MpvujQUJOBH8Odl6GhQxJITM.png?f=user_large)
[ Voor 32% gewijzigd door Glassertje op 11-03-2024 13:30 ]
Tuurlijk, zie onder. KPN 1 Gbit/s glas, 1 Gbit/s intern netwerk, AG draait in een Docker container op een NAS. geen Unbound, 4 upstream DNS via DoT, parallel requests, optimistic caching. Avg. request time 1 ms.:
[...]
Ja dat komt uiteraard vanuit de cache. Dat is ook heel het idee er van
Ik zal vast nog wel wat kunnen verbeteren in mijn setup hoor. Want mag ik vragen wat de server response tijden zijn bij jou?
Bij mij zijn die nog vrij hoog
[Afbeelding]
tls://8.8.4.4:853 31 ms
tls://8.8.8.8:853 27 ms
tls://1.0.0.1:853 23 ms
tls://1.1.1.1:853 18 ms