[AdGuard Home] Ervaringen & discussie

Pierre schreef op zaterdag 6 juli 2024 @ 11:55:
Ik heb ook AH draaien op een RaspBerry, echter ik krijg het niet voor elkaar om de filmpjes die via NU.nl geserveerd worden af te spelen, hij blockt ze op een of andere manier.

Als ik deze blokkeerlijst uitschakel dan werken die filmpje wel:

https://raw.githubusercon...ists/master/blocklist.txt

Bij inschakelen doen ze het weer niet

Dit heb bij de aangepaste filter regels gezet maar dit doet niet wat ik wil, iemand hier die weet wat ik moet doen.

@@||nu.nl^
@@||cmp.nu.nl^
@@||media.nu.nl^
@@||dpg.pexi.nl^
@@||myprivacy-static.dpgmedia.net^
@@||metrics.nu.nl^
@@||temptation.nu.nl^
@@||graph.nu.nl^

Pierre schreef op zaterdag 6 juli 2024 @ 11:55:
Ik heb ook AH draaien op een RaspBerry, echter ik krijg het niet voor elkaar om de filmpjes die via NU.nl geserveerd worden af te spelen, hij blockt ze op een of andere manier.

Als ik deze blokkeerlijst uitschakel dan werken die filmpje wel:

https://raw.githubusercon...ists/master/blocklist.txt

Bij inschakelen doen ze het weer niet

Dit heb bij de aangepaste filter regels gezet maar dit doet niet wat ik wil, iemand hier die weet wat ik moet doen.

@@||nu.nl^
@@||cmp.nu.nl^
@@||media.nu.nl^
@@||dpg.pexi.nl^
@@||myprivacy-static.dpgmedia.net^
@@||metrics.nu.nl^
@@||temptation.nu.nl^
@@||graph.nu.nl^

Glassertje schreef op zaterdag 6 juli 2024 @ 21:30:
[...]

Misschien heb je hier wat aan? Er staan een paar domeinen tussen die op je blocklist staan. Lees

Pierre schreef op zaterdag 6 juli 2024 @ 21:57:
[...]

Dat was hem inderdaad, deze op de whitelist cdn.jwplayer.com gezet en het werkt, bedankt.

systemctl start AdGuardHome

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

systemctl status AdGuardHome.service 
* AdGuardHome.service - AdGuard Home: Network-level blocker
     Loaded: loaded (/etc/systemd/system/AdGuardHome.service; enabled; preset: enabled)
     Active: active (running) since Sat 2024-07-13 15:27:26 CEST; 14min ago
   Main PID: 1076 (AdGuardHome)
      Tasks: 8 (limit: 76650)
     Memory: 79.3M
        CPU: 1.584s
     CGroup: /system.slice/AdGuardHome.service
             `-1076 /root/AdGuardHome/AdGuardHome -s run

Jul 13 15:27:26 adguard AdGuardHome[1076]: 2024/07/13 15:27:26.287800 [info] go to http://192.168.2.241:80
Jul 13 15:27:26 adguard AdGuardHome[1076]: 2024/07/13 15:27:26.287803 [info] go to http://[fe80::be24:11ff:fe39:8529%eth0]:80
Jul 13 15:27:26 adguard AdGuardHome[1076]: 2024/07/13 15:27:26.287976 [info] clients: processing addresses
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.543209 [info] dnsproxy: starting dns proxy server
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.543334 [info] dnsproxy: creating udp server socket 0.0.0.0:53
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.543386 [info] dnsproxy: listening to udp://[::]:53
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.543400 [info] dnsproxy: creating tcp server socket 0.0.0.0:53
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.543424 [info] dnsproxy: listening to tcp://[::]:53
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.545084 [info] dnsproxy: entering udp listener loop on [::]:53
Jul 13 15:27:27 adguard AdGuardHome[1076]: 2024/07/13 15:27:27.545128 [info] dnsproxy: entering tcp listener loop on [::]:53

[ Voor 73% gewijzigd door Dennisb1 op 13-07-2024 15:44 ]

[ Voor 7% gewijzigd door Jazco2nd op 31-07-2024 00:29 ]

fuzzyduck schreef op zaterdag 14 september 2024 @ 21:17:
Vraagje. Ik heb nu (heel dommig) 3 proxmox LXC containers draaien met daarin elk een Wireguard, voor elk apparaat dat ik met VPN naar huis wil laten verbinden. Zo zie ik in Aguard welke LXC het is en dus welk apparaat.

voorbeeld in Adguard:
192.168.1.10 mobiel1
192.168.1.11 mobiel2
192.168.1.12 mobiel3

Dit slaat natuurlijk nergens op en wil hier 1 wireguard LXC van maken voor alle apparaten. Hoe kan ik in adguard of in de LXc iets aanpassen zodat er een onderscheid gemaakt wordt?

Mirabis schreef op zaterdag 14 september 2024 @ 23:06:
[...]


Je kan een WireGuard server opzetten en de clients zo configureren dat ze elk een ander IP-address krijgen. Vervolgens de IP-adressen als clients koppelen in Adguard Home?

Bovenstaande doe ik rechtstreeks in OPNsense, maar zou ook zonder moeten kunnen.

fuzzyduck schreef op zondag 15 september 2024 @ 00:10:
[...]


De vpn clients zijn in de range 10.0.0.1/24. Ofwel 10.0.0.2 10.0.0.3 etc. toch gaat al dit dns verkeer uiteindelijk de lxc uit als 182.168.1.50( willekeurig voorbeeld ip) richting Aduard en hiermee kan ik dus niet filteren per vpn apparaat.

alex3305 schreef op zondag 15 september 2024 @ 11:15:
En als je de Wireguard clients ook IP's geeft in de 192.168.0.0/16 range? Bijvoorbeeld 192.168.25.0/24? Worden ze dan wel herkend door Adguard Home?

Bij mij werkt een dergelijke setup prima via mijn ASUS router.

[ Voor 90% gewijzigd door Wachten... op 29-09-2024 23:51 ]

Wachten... schreef op zondag 29 september 2024 @ 21:23:
Heeft iemand hier enig idee waarom ik een hele hoge response tijd heb op mijn Roborock?
Ik heb echt responsetijden van 10000ms. Hij kijkt dan naar api.xiaomi.com

gerritjan schreef op zondag 29 september 2024 @ 23:42:
[...]

Terwijl ik probeer te begrijpen wat een stofzuiger met AGH te maken heeft zie ik dat api.xiaomi.com niet bestaat, dus er hoort geen IP-adres bij.
Ik denk dat je wat beter moet uitleggen wat precies je probleem is, maar misschien heb je aan bovenstaande info al genoeg.

Wachten... schreef op maandag 30 september 2024 @ 17:25:
[...]
De roborock vraagt steeds naar iets met dus iets van xx.xx.api.roborock.com echter zijn die response tijden enorm hoog.

Het is dus niet dat de roborock iets met AGH te maken heeft, maar wel de requests die het opvraagt.

jesco_white schreef op vrijdag 10 november 2023 @ 21:33:
[...]
Ligt er aan welk modem denk ik. Ik heb van Ziggo een UBC1318 modem in gebruik en kan gewoon mijn Adguard Home in mijn thuisnetwerk opgeven als DNS server in het modem.

Wachten... schreef op vrijdag 25 oktober 2024 @ 21:52:
Ik heb dus nu wat problemen met mij DMD. De instellingen voor de DMD kreeg ik niet meer naar voren al ik op F1 drukte.

Ik dacht dus, ik stel mijn screenresidentifier even opnieuw in, maar ik krijg dan een foutmelding als ik het op wil slaan.

[Afbeelding]

Heeft iemand enig idee hoe ik dit op kan lossen, want ik kan momenteel niks meer

[ Voor 13% gewijzigd door jurroen op 25-10-2024 23:21 ]

jurroen schreef op vrijdag 25 oktober 2024 @ 23:16:
[...]


Verkeerde draadje?

Geen idee wat DMD is of wat een screenresidentifier met AGH van doen heeft. Je screenshot toont in ieder geval een permissie fout. Waarschijnlijk mist je gebruiker permissies voor dat tekstbestand.

Harmen schreef op zaterdag 26 oktober 2024 @ 19:29:
Heb m'n AdGuard dhpc server gemaakt, ging best soepeltjes. Veel fijnere interface dan de standaard Ziggo modem/router.
Loop nog wel tegen een issue aan dat mn Pixel 8 ads laat zien, onder dns staat er nog steeds een ipv6 dns adres. Iemand een idee hoe je dit kan uitzetten?

alex3305 schreef op dinsdag 29 oktober 2024 @ 20:50:
Welke DNS server krijgt je telefoon @manusjevanalles? En wat heb je in de DHCP ingesteld?

Je kunt ook Net Analyzer proberen voor meer informatie en om DNS requests uit te proberen. Ik vind die zelf altijd enorm prettig werken om te troubleshooten.

[ Voor 56% gewijzigd door manusjevanalles op 30-10-2024 07:58 ]

[ Voor 50% gewijzigd door gielie op 31-10-2024 13:43 ]

manusjevanalles schreef op dinsdag 29 oktober 2024 @ 20:21:
Ik ben Adguard aan het opzetten. Die draait in een container op Proxmox op 10.0.0.6. Ik probeer ads ook te blokkeren op onze Android telefoons. Maar ik krijg het niet voor elkaar, ik blijf ads zien en ik zie in het Dashboard van Adguard ook niets in de logs.

Ik heb zowel geprobeerd DNS-requests te forceren naar 10.0.0.6:
[Afbeelding]

[Afbeelding]

Alsmede 8.8.8.8 en 8.8.4.4 te blokkeren (niet tegelijk met bovenstaande settings), en dns en tns over tls voor zowel 8.8.8.8 als 8.8.4.4
[Afbeelding]

Maar het lijkt allemaal niets te doen. Wat doe ik fout? Ipv6 staat uit in de router.

EverLast2002 schreef op donderdag 31 oktober 2024 @ 21:12:
[...]


In plaats van keihard te blocken gebruik ik een redirect rule.
Clients die 8.8.8.8 (hardcoded) gebruiken krijgen dan geen "connection time-out of een webpage unavailable, maar ze worden doodleuk naar mijn interne DNS server doorgesluisd.
Daar gebruik ik de "!" optie voor in OPNsense Rules.

[ Voor 29% gewijzigd door ThinkPad op 01-11-2024 07:32 ]

ThinkPad schreef op vrijdag 1 november 2024 @ 07:27:
! is ‘NOT’. Ik vermoed dat de regel van @EverLast2002 alles wat niet de AGH DNS als destination heeft, ombuigt naar AGH.

Je kan AGH trouwens ook op je pfSense draaien als plug-in. Dat heb ik met OPNsense ook en werkt erg stabiel. Zonder AGH heeft je telefoon geen DNS en dus geen internet meer. Even je Proxmox server herstarten o.i.d. is niet zo goed voor je relatie Tenzij je pfSense ook virtueel hebt draaien natuurlijk, dan win je er niet echt wat mee. OPNsense is bij mij een fysieke machine (bewust, vroeger router wel als VM gedraaid maar ik wil onderhoud aan server kunnen doen zonder uitval internet).

alex3305 schreef op vrijdag 1 november 2024 @ 11:06:
@ThinkPad Ik heb (toevallig) twee fysieke nodes naast mijn router draaien. Een waar heel mijn homelab op draait en een ander die wat kleine zaken afhandelt. Op die tweede node heb ik een kopie van mijn primaire Adguard Home draaien die ik bijgewerkt houdt met adguardhome-sync. Die tweede instantie heb ik als secundaire DNS toegevoegd en zolang een van beide nodes dus online blijft, blijft 'het internet' ook werken.

Ik manage dit via Docker Compose:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80

--- services: adguardhome: container_name: ${COMPOSE_PROJECT_NAME} image: adguard/adguardhome:${ADGUARD_HOME_VERSION:-latest} restart: on-failure depends_on: - unbound networks: private: ports: - 53:53/tcp - 53:53/udp volumes: - adguard-data:/opt/adguardhome cpus: 1 labels: "com.centurylinklabs.watchtower.scope": "${COMPOSE_PROJECT_NAME}" adguardhome-sync: container_name: ${COMPOSE_PROJECT_NAME}-sync image: ghcr.io/bakito/adguardhome-sync:${ADGUARD_HOME_SYNC_VERSION:-latest} restart: on-failure command: run depends_on: - adguardhome networks: private: environment: CRON: "*/30 * * * *" ORIGIN_URL: ${SYNC_ORIGIN_URL} REPLICA_URL: http://adguardhome:3000 REPLICA_AUTO_SETUP: true REPLICA_USERNAME: ${SYNC_REPLICA_USERNAME} REPLICA_PASSWORD: ${SYNC_REPLICA_PASSWORD} RUN_ON_START: true cpus: 0.5 labels: "com.centurylinklabs.watchtower.scope": "${COMPOSE_PROJECT_NAME}" unbound: container_name: ${COMPOSE_PROJECT_NAME}-unbound image: klutchell/unbound:${UNBOUND_VERSION:-latest} restart: on-failure networks: private: ipv4_address: 10.100.100.20 healthcheck: disable: true cpus: 1 labels: "com.centurylinklabs.watchtower.scope": "${COMPOSE_PROJECT_NAME}" watchtower: container_name: ${COMPOSE_PROJECT_NAME}-watchtower image: containrrr/watchtower environment: TZ: ${TZ:-Europe/Amsterdam} WATCHTOWER_CLEANUP: true WATCHTOWER_LOG_LEVEL: error WATCHTOWER_SCHEDULE: "0 0 5 * * *" WATCHTOWER_SCOPE: ${COMPOSE_PROJECT_NAME} network_mode: bridge volumes: - /var/run/docker.sock:/var/run/docker.sock cpus: 0.1 labels: "com.centurylinklabs.watchtower.scope": "${COMPOSE_PROJECT_NAME}" volumes: adguard-data: name: adguard-data networks: private: name: ${COMPOSE_PROJECT_NAME} ipam: driver: default config: - subnet: 10.100.100.0/24

Resolven vindt plaats via een lokale Unbound container. Ik wil dit eigenlijk nog over meerdere nodes heen hebben met zoiets als Swarm, maar hier ben ik nog niet aan toegekomen. Updates gaan automatisch via Watchtower waarbij mijn primaire node een ander updateschema heeft.

Met deze setup heb ik eigenlijk geen omkijken naar de secundaire node. Het verkeer is ook niet bijzonder. Ongeveer 10% van alle DNS requests gaan naar de secundaire instantie. Dus dat die node underpowered is doet er ook niet zo toe. Met Unbound heb ik nog steeds een average response time van 6ms.

manusjevanalles schreef op vrijdag 1 november 2024 @ 21:52:
[...]


Dank voor het delen van je docker compose! Wat is het voordeel van Unbound boven de dns resolver van de router?

sjongenelen schreef op zondag 3 november 2024 @ 12:37:
Ik gebruik duckdns. Werkt gratis en ook met lets encrypt

Glassertje schreef op zondag 3 november 2024 @ 12:16:
Ik heb hier thuis 2 Pi's met AGH. Beide hebben een domein geregistreerd en deze moet ik binnenkort verlengen. Nu je ook in AGH een backup DNS kunt instellen, zou ik daar het lokale ip van mijn 2e Pi in kunnen zetten, dan heb ik maar 1 domein nodig. Maar aan de andere kant, als mijn 1e Pi niet meer reageert, werkt mijn internet op mijn telefoon niet meer. Ik vroeg me af hoe andere dit opgelost hebben?

Ik gebruik nu beide domeinen in de AdGuard Android app met DoH en dit werkt ook wel goed.

manusjevanalles schreef op vrijdag 1 november 2024 @ 07:11:
[...]


Zo doe ik het nu ook, ik redirect ze ook door. Wat bedoel je met het uitroepteken? Kan je wellicht eens screenshot delen van je rules?

alex3305 schreef op zondag 3 november 2024 @ 20:59:
[...]

Waarom heb je twee domeinen ? Waarom gebruik je niet één domein met een reverse proxy? En dan kun je ook nog kiezen voor bijvoorbeeld een subdomein. Daarnaast is/kan DuckDNS veel minder betrouwbaar zijn dan bijvoorbeeld Cloudflare DNS. Zie ook deze Reddit post van circa twee weken geleden.

Als je een DNS server op je router kunt draaien of aanpassen zou je zelfs een dubbel A-record in kunnen stellen zodat er automatische fallover is wanneer een van je Pi's down gaat.

Glassertje schreef op maandag 4 november 2024 @ 09:37:
[...]

Ik heb toen 2 domeinen genomen, omdat ik op dat moment weinig tijd had, om uit te zoeken hoe het allemaal precies werkt, want heb geen flauw idee. Maar ik ga er zeker naar kijken, om het anders te doen. Bedankt voor je reactie.

Ik heb wel een Asus router, maar vind het zonde om mijn Pi's niet te gebruiken. Als ze ooit overleden zijn, dan ga ik het wel op mijn Asus zetten.

1
2

address=/example.com/192.168.1.254
address=/example.com/192.168.1.4

❯ dig +short example.com @192.168.1.1
192.168.1.4
192.168.1.254

1
2
3
4

[//]192.168.1.1
[/lan/]192.168.1.1
[/internal/]192.168.1.1
[/example.com/]192.168.1.1

Zelfde als het probleem dat ik vast blijf hangen aan de Adguard Android app, terwijl als ik private dns zou gebruiken, het laden van web pagina's veel sneller gaat. Maar dat heb je als je moeite met verandering hebt. Maar is work in progress. 😁

alex3305 schreef op maandag 4 november 2024 @ 12:33:
[...]

Maar de domeinen gaan via een A-record toch naar hetzelfde outbound IP-adres? Daar heb je dan toch een SPoF. En het maakt dan niet uit of het dns1.example.com en dns2.example.com is of dns.example1.com en dns.example2.com. Dat is uiteindelijk toch alleen maar een naam met verwijzing.


[...]

Nee nee. Je snapt niet helemaal wat ik bedoel . Ik bedoel niet om AdGuard Home (of iets anders) op de ASUS router te zetten. Dat heb ik op mijn ASUS AX86S geprobeerd en was een drama. Ook met extra swap ruimte.

Ik heb ook twee AdGuard Home instanties draaien en die configureer ik op mijn ASUS router in de DHCP:
[Afbeelding]

Intern gebruik ik dus AGH en wanneer mijn primaire node omvalt dan gebruiken alle andere systemen in mijn netwerk automatisch de secundaire server. So far, so good.

Naast DNS heb ik ook diensten draaien die via HTTPS bereikbaar zijn. Daarvoor gebruik ik dus een reverse proxy. In mijn geval Caddy met automatische discovery. Daar heb ik in het Docker topic ook al het een en ander over geschreven. De reverse proxy zorgt er dan voor dat op basis van de Host name die binnenkomt er wordt gerouteerd naar de juiste achterliggende dienst. In mijn geval routeert bijvoorbeeld dns.example.com naar mijn primaire AdGuard Home en dns2.example.com naar mijn secundaire instantie. Tevens gebruik ik mijn reverse proxy voor HTTPS termination, authenticatie en autorisatie.

Maar wat je zou kunnen doen, en dat moet ik zelf eigenlijk ook nog bouwen , is dat je dnsmasq op de ASUS router gebruikt met een dubbel A-record om automatische fallover te hebben. Dus je kunt een reverse proxy dan op Pi A en Pi B draaien, en bij problemen bij Pi A wordt automatisch teruggegrepen naar Pi B. Als je Merlin hebt geïnstalleerd op de router en JFFS aan hebt staan kun je namelijk extra dnsmasq configuratie toevoegen in /jffs/configs/dnsmasq.conf.add. Bijvoorbeeld:

code:

1 2	address=/example.com/192.168.1.254 address=/example.com/192.168.1.4

En met dig krijg je dan:

❯ dig +short example.com @192.168.1.1
192.168.1.4
192.168.1.254

Mocht je dan de ASUS router niet als upstream gebruiken, dan kun je dit ook uitzonderen voor jouw eigen domein:

code:

1 2 3 4

[//]192.168.1.1 [/lan/]192.168.1.1 [/internal/]192.168.1.1 [/example.com/]192.168.1.1

Waarbij die onderste regel dus de ASUS router gebruikt als DNS upstream.

Het geinige van deze opzet bij mij is dat er buiten de deur Cloudflare wordt gebruikt. Daar zit dan een WAF op en block ik het e.e.a. door middel van regels. Bijvoorbeeld op regio. Ook heb ik hiermee (D)DoS bescherming en doe ik ook nog een stukje (dubbele) authenticatie. Maar intern, en via VPN, gaat dus alles lokaal. Dat is een stuk sneller dan alles via een cloud provider te laten lopen.

Wellicht wat complex en off-topic hier, maar ik vind het ook wel leuk om wat inzicht te geven hoe ik o.a. AdGuard Home gebruik.


[...]

Private DNS in Android vond ik niet lekker werken. Ik ben overgegaan naar Wireguard met de open source wgtunnel client. Deze schakelt bij mij automatisch en zowat naadloos over naar Wireguard wanneer ik van de thuis wifi af ben. Dit was super eenvoudig in de ASUS router op te zetten vanwege de native ondersteuning. Alleen moest ik dan de DNS server naar AdGuard Home handmatig aanpassen na het inladen van de configuratie op de client.

alex3305 schreef op donderdag 31 oktober 2024 @ 15:18:
Het zal vast aan mijn Unbound configuratie liggen, maar ik heb de laatste dagen wat problemen met hostnames die op CDN's zitten. Met name cdn.nos.nl geeft regelmatig een timeout. Ik draai deze Unbound container en heb een klein beetje het gevoel dat het komt omdat in de standaardconfiguratie Unbound ook expired resultaten serveert.

Misschien kan ik nog testen met een andere Unbound container, maar welke dan?

gerritjan schreef op woensdag 13 november 2024 @ 13:23:
Interessant verschijnsel. Sinds een paar weken krijg ik allemaal DoT-requests binnen van buitenlandse IP's, in dit geval uit iets dat de Alibaba-cloud heet.
Op zich niet zo vreemd, want poort 853 staat open voor de hele wereld. Maar ik begrijp niet waarom iets of iemand bij mij DNS-requests zou willen doen.

[Afbeelding]

[Afbeelding]

Binnenkort de firewall maar eens wat strenger afstellen.

Mirabis schreef op woensdag 13 november 2024 @ 14:08:
[...]

Bijv. DNS amplification attacks https://www.cloudflare.co...mplification-ddos-attack/

Waarom heb je het open voor de hele wereld?

gerritjan schreef op woensdag 13 november 2024 @ 14:19:
[...]

Ik zag tot nu toe geen reden om het verder dicht te zetten. Het gaat trouwens niet hard genoeg om het een DDOS-aanval te noemen.

gerritjan schreef op woensdag 13 november 2024 @ 14:19:
[...]

Ik zag tot nu toe geen reden om het verder dicht te zetten. Het gaat trouwens niet hard genoeg om het een DDOS-aanval te noemen.

EverLast2002 schreef op woensdag 13 november 2024 @ 14:30:
[...]
Dan nog....waarom zet je die poort open?

gerritjan schreef op woensdag 13 november 2024 @ 14:35:
[...]

Die poort staat open zodat ik de Private DNS-setting van Android kan gebruiken. Ook een paar familieleden maken daar gebruik van.

[ Voor 5% gewijzigd door EverLast2002 op 14-11-2024 15:42 ]

EverLast2002 schreef op woensdag 13 november 2024 @ 14:40:
[...]


Ik denk dat ik snap wat je wilt bereiken, maar dit werkt toch al zonder externe poorten open te zetten?

Hmmbob schreef op woensdag 13 november 2024 @ 14:48:
[...]

Euh, hoe zie je dat voor je?

alex3305 schreef op woensdag 13 november 2024 @ 22:15:
@gerritjan Ik heb in deze post hoe je eenvoudig met een client id kunt werken om ongewenst verkeer te blokkeren. Dat is ook eenvoudig in te stellen voor familieleden.

gerritjan schreef op woensdag 13 november 2024 @ 22:41:
[...]

Bedankt, maar je eenvoudige oplossing gaat mij enigszins boven m'n pet. Komt misschien ook omdat ik geen idee heb wat ik met Cloudfare kan of zou moeten doen.

Als het echt te gek wordt met ongewenste requests zal ik me eens verdiepen in client-id, voorlopig lijkt mij een geoblock afdoende.

1
2
3
4

NAME                    TYPE   VALUE
--------------------------------------------------
*.dns.example.com.      CNAME  example.com.
example.com.            A      192.0.2.23

1
2
3
4
5
6
7
8
9
10
11
12

services:
  nginx:
    container_name: nginx-proxy-manager
    image: lepresidente/nginxproxymanager:${NPM_VERSION:-latest}
    restart: on-failure
    network_mode: host
    environment:
      TZ: "Europe/Amsterdam"
      DB_SQLITE_FILE: '/data/database.sqlite'
    volumes:
      - /opt/appdata/nginx-proxy-manager/data:/data
      - /opt/appdata/letsencrypt:/etc/letsencrypt

1
2
3
4
5
6
7
8
9
10

services:
  adguardhome:
    container_name: adguardhome
    image: adguard/adguardhome:${ADGUARD_HOME_VERSION:-latest}
    restart: on-failure
    network_mode: host
    volumes:
      - /opt/appdata/adguard/workingdir:/opt/adguardhome/work
      - /opt/appdata/adguard/config:/opt/adguardhome/conf
      - /opt/appdata/letsencrypt:/opt/letsencrypt:ro

alex3305 schreef op donderdag 14 november 2024 @ 11:02:
[...]
In de query log komt dan netjes naar voren dat dan Alex is verbonden.
Een IP-filter of geoblock werkt overigens net zo goed. Ook hier. Alleen vond ik dit wel een hele chique oplossing die je in (bijna) puur AdGuard kunt implementeren.

gerritjan schreef op donderdag 14 november 2024 @ 13:44:
Bedankt voor je uitleg, wordt gewaardeerd!

Betekent dus wel dat elke user een andere URL krijgt als private DNS als ik het goed begrijp.

1
2
3

alex
henk
ingrid

alex3305 schreef op vrijdag 8 november 2024 @ 11:06:
[...]

Toch nog even mezelf quoten. Inmiddels heb ik Technitium DNS Server in gebruik genomen als vervanging van Unbound als recursive DNS. Met webinterface wellicht ook wat makkelijker beheerbaar dan Unbound. Althans het geeft wellicht wat meer inzicht in hoe het e.e.a. werkt. Het zou zelfs als vervanging van Adguard Home kunnen werken aangezien het een vergelijkbare feature set heeft.

In ieder geval lijken de door mij genoemde problemen vooralsnog hiermee opgelost.

[ Voor 13% gewijzigd door alex3305 op 14-11-2024 17:29 ]

alex3305 schreef op donderdag 14 november 2024 @ 17:28:
@EverLast2002 Kort door de bocht vind ik dit helemaal ruk. Niet alleen vanwege de continuïteit, maar ook omdat er in principe maar één paar ogen naar zoiets belangrijks als DNS kijken.

Overigens blijft de NOS bij mij moeilijk doen. Ook met Technitium. Ik verwacht dat de NOS CDN iets onconventioneels doet om (D)DoS te beperken. Grotere DNS providers zullen hier geen last van hebben omdat zij toch de resultaten cachen en die met grote regelmaat zal worden bijgewerkt.

Kleine nabrander: Ik had vooral voor Technitium gekozen omdat deze recursive is en ik dan ook Unbound uit kan sluiten als oorzaak voor mijn problemen.

EverLast2002 schreef op donderdag 14 november 2024 @ 20:09:
[...]


Ik kijk vluchtig door de logs van Technitium, en kom verwijzingen tegen naar een locatie
die de maker gebruikt heeft (Z:\Technitium\Projects\DnsServer\DnsServerCore\WebServiceAuthApi.cs: line 688)
En nog enkele soortgelijke meldingen.
Verder werkt alles prima zover ik kan nagaan.

alex3305 schreef op donderdag 14 november 2024 @ 11:02:
[...]

Het Cloudflare gedeelte is hier voor jou niet van toepassing als je dat niet gebruikt . Het gaat daarbij met name om de DNS instelling.


[...]

Als je een wildcard DNS record instelt, bijvoorbeeld met een CNAME en in AdGuard Home ook een wildcard certificaat hebt, dan kun je het wildcard gedeelte gebruiken als client id. Dus bij mijn DNS provider heb ik de volgende zone ingesteld:

code:

1 2 3 4

NAME TYPE VALUE -------------------------------------------------- *.dns.example.com. CNAME example.com. example.com. A 192.0.2.23

Uiteraard fictieve data

Eenzelfde instelling doe je dan in AdGuard Home:
[Afbeelding]

Tevens heb (eigenlijk had) ik in AdGuard Home mijn wildcard certificaat toegevoegd die ik via Let's Encrypt heb aangevraagd op die zone:
[Afbeelding]

Die certificaten heb ik via de DNS-01 challenge laten genereren vanuit NGINX Proxy Manager. Want dat werkt wel zo makkelijk . Dan blijven ze ook bijgewerkt en met een Docker volume mapping, map ik die readonly naar de AdGuard Home Container:

NGINX Proxy Manager

YAML:

1 2 3 4 5 6 7 8 9 10 11 12

services: nginx: container_name: nginx-proxy-manager image: lepresidente/nginxproxymanager:${NPM_VERSION:-latest} restart: on-failure network_mode: host environment: TZ: "Europe/Amsterdam" DB_SQLITE_FILE: '/data/database.sqlite' volumes: - /opt/appdata/nginx-proxy-manager/data:/data - /opt/appdata/letsencrypt:/etc/letsencrypt

AdGuard Home

YAML:

1 2 3 4 5 6 7 8 9 10

services: adguardhome: container_name: adguardhome image: adguard/adguardhome:${ADGUARD_HOME_VERSION:-latest} restart: on-failure network_mode: host volumes: - /opt/appdata/adguard/workingdir:/opt/adguardhome/work - /opt/appdata/adguard/config:/opt/adguardhome/conf - /opt/appdata/letsencrypt:/opt/letsencrypt:ro

Uiteraard zijn dit de relevante snippets en niet mijn volledige configuratie

Nu is het zo dat wanneer ik DNS-over-TLS benader met een waarde in de wildcard, dat die waarde dan als client id wordt gebruikt door AdGuard Home. Als ik dus in Android mijn private DNS instel op: alex.dns.example.com dan kan ik deze client ook een mooie naam geven:
[Afbeelding]

In de query log komt dan netjes naar voren dat dan Alex is verbonden.

In de DNS instellingen kun je vervolgens onder Access Settings, en dat was ik volgens mij in mijn vorige post vergeten te noemen, alleen clients toestaan of weigeren die aan jouw eisen voldoen. Dus in mijn geval accepteer ik alleen lokale verbindingen en de client id Alex:
[Afbeelding]

Een IP-filter of geoblock werkt overigens net zo goed. Ook hier. Alleen vond ik dit wel een hele chique oplossing die je in (bijna) puur AdGuard kunt implementeren.

Villager schreef op donderdag 14 november 2024 @ 20:19:
[...]


Ik zie ze ook staan. Heb Technitium Support de vraag gesteld waar deze voor zijn.

Hmmbob schreef op vrijdag 15 november 2024 @ 09:03:
[...]

1 aanvulling die vooral van belang is als je AdGuard lang draait zonder reboot/restart: gewijzigde certificaten worden pas actief bij een herstart van AdGuard. Stel dat je nginx de certs vernieuwd heeft, dan pikt AGH het niet automatisch op maar pas na een herstart. Tot die tijd gebruikt hij het oude cert, wat dan na verloop van tijd verloopt.

Hmmbob schreef op vrijdag 15 november 2024 @ 09:03:
[...]
1 aanvulling die vooral van belang is als je AdGuard lang draait zonder reboot/restart: gewijzigde certificaten worden pas actief bij een herstart van AdGuard. Stel dat je nginx de certs vernieuwd heeft, dan pikt AGH het niet automatisch op maar pas na een herstart. Tot die tijd gebruikt hij het oude cert, wat dan na verloop van tijd verloopt.

bertdrenth schreef op zaterdag 14 december 2024 @ 17:48:
Bij werkt Snapchat gewoon, en ja ik heb op safe gedrukt.
Avenguard draaid bij op dockers in een synology 718 nas. De dns staat goed in gesteld hij blokkeert wel bepaalde zaken alleen geen Snapchat of TikTok. Wat kan de oorzaak zijn?

gerritjan schreef op zaterdag 14 december 2024 @ 18:46:
[...]

wat zie je in de logs voorbijkomen? Bij mij ziet het er zo uit:

[Afbeelding]

[ Voor 30% gewijzigd door bertdrenth op 15-12-2024 11:19 ]

Bij werkt Snapchat gewoon, en ja ik heb op safe gedrukt.
Avenguard draaid bij op dockers in een synology 718 nas. De dns staat goed in gesteld hij blokkeert wel bepaalde zaken alleen geen Snapchat of TikTok. Wat kan de oorzaak zijn?

[ Voor 3% gewijzigd door FLA NL op 16-12-2024 18:57 ]

FLA NL schreef op zondag 15 december 2024 @ 11:51:
[...]


Kan het niet zijn dat het device wat je gebruikt een private dns optie aan heeft staan? Tegenwoordig staat dat default op automatisch in android bijvoorbeeld. Ik heb daar ook last van gehad, Hagezi heeft door ook weer een blocklist voor om externe dns services te blocken:

https://raw.githubusercon...ists/main/adblock/doh.txt

Verder zou je nog een stap verder kunnen gaan door port 853 upd/tcp te blokkeren in je router. En Asus routers hebben met de Merlin firmware nog een optie om dns (dns director) verkeer voor port 53 dat naar buiten te gaat om te leiden naar een lokale dns zoals adguard, zodat devices buiten die je lan omzeilen om een andere dns zoals google te gebruiken nog steeds kan forceren dat ze naar adguardhome gaan. Let wel als je dit doet dat adguardhome ge-exclude moet worden anders creëer je een loop indien je je router als upstream gebruikt. Daar heb je dan geen last van als je dns over https gebruikt in adguard zelf.

Daarnaast bestaat er bij Asus bij de wan instellingen ook nog een setting die voorkomt dat browsers als Firefox zelf kiezen om dns over https te gebruiken.

En zelfs als dit allemaal ingesteld is kan een device nog steeds gebruik maken van dns over https, als het IP nummer niet geresolved wordt bij de url maar voorgedefinieerd is. Dan zou je weer moeten gaan ip blocken.

FLA NL schreef op zondag 15 december 2024 @ 11:51:
[...]


Kan het niet zijn dat het device wat je gebruikt een private dns optie aan heeft staan? Tegenwoordig staat dat default op automatisch in android bijvoorbeeld. Ik heb daar ook last van gehad, Hagezi heeft door ook weer een blocklist voor om externe dns services te blocken:

https://raw.githubusercon...ists/main/adblock/doh.txt

Verder zou je nog een stap verder kunnen gaan door port 853 upd/tcp te blokkeren in je router. En Asus routers hebben met de Merlin firmware nog een optie om dns (dns director) verkeer voor port 53 dat naar buiten te gaat om te leiden naar een lokale dns zoals adguard, zodat devices buiten die je lan omzeilen om een andere dns zoals google te gebruiken nog steeds kan forceren dat ze naar adguardhome gaan. Let wel als je dit doet dat adguardhome ge-exclude moet worden anders creëer je een loop indien je je router als upstream gebruikt. Daar heb je dan geen last van als je dns over https gebruikt in adguard zelf.

Daarnaast bestaat er bij Asus bij de wan instellingen ook nog een setting die voorkomt dat browsers als Firefox zelf kiezen om dns over https te gebruiken.

En zelfs als dit allemaal ingesteld is kan een device nog steeds gebruik maken van dns over https, als het IP nummer niet geresolved wordt bij de url maar voorgedefinieerd is. Dan zou je weer moeten gaan ip blocken.

[ Voor 3% gewijzigd door Videopac op 15-12-2024 16:54 ]

[ Voor 71% gewijzigd door RichardKim06 op 27-12-2024 10:13 ]