Acties:
  • +1 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
- edit: ik gebruik nu een zelf geinstalleerde Debian lxc, de vorige keer had ik een Proxmox-helper-script versie gebruikt. Misschien dat in die laatste toch net effe andere pakketten zitten (of ontbreken).

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
@Glassertje
@stormfly

beetje offtopic, maar ik heb wat meer zitten lezen over configuraties binnen keepalived.
Blijkbaar is er een Master-Master setting (ik gebruik nu Master-Slave).
Heeft iemand hier dit al eens geprobeerd?
Ik vind het namenlijk ook interessant om een live "load balance" situatie
te draaien met een aantal AGH instanties waarvan ze allemaal actief meedoen maar de werkdruk onderling verdelen. Dit is net effe anders dan de failover Master-Slave configuratie waarin er maar 1 instantie actief is.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
EverLast2002 schreef op dinsdag 25 maart 2025 @ 22:29:
@Glassertje
@stormfly

beetje offtopic, maar ik heb wat meer zitten lezen over configuraties binnen keepalived.
Blijkbaar is er een Master-Master setting (ik gebruik nu Master-Slave).
Heeft iemand hier dit al eens geprobeerd?
Ik vind het namenlijk ook interessant om een live "load balance" situatie
te draaien met een aantal AGH instanties waarvan ze allemaal actief meedoen maar de werkdruk onderling verdelen. Dit is net effe anders dan de failover Master-Slave configuratie waarin er maar 1 instantie actief is.
Hi volgens mij kan keepalived dat niet binnen 1 groep je dient dan 2 groepen te maken en een 2e DNS server uit te delen aan je clients die op de andere node actief is. De reden dat je minimaal twee groepen/IPs nodig hebt voor master-master is dat VRRP werkt volgens het principe dat één router (node) de eigenaar is van een virtueel IP-adres. Wanneer die node faalt, neemt een andere het over.

Als je een link hebt wil ik wel meelezen?

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
@stormfly

je uitleg klinkt logisch met 2 groepen werken.
Ik ben er zelf nog niet helemaal aan uit, zoals je zult lezen spreken ze over
Master-Master configs, en een andere website over Active-Active configs.
Ik wil gewoon 1 VIP adres houden zoals nu met Master-Backup, en geen 2 VIPs.

https://docs.nginx.com/ng...lity/ha-keepalived-nodes/

https://www.pentestpartne...ility-and-load-balancing/

https://docs.redhat.com/e...itial-setup-conf-file-VSA

deze heeft 2 Master config voorbeelden, links in het menu:
https://github.com/shuaic...r/master1/keepalived.conf

Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
EverLast2002 schreef op woensdag 26 maart 2025 @ 14:58:
@stormfly

je uitleg klinkt logisch met 2 groepen werken.
Ik ben er zelf nog niet helemaal aan uit, zoals je zult lezen spreken ze over
Master-Master configs, en een andere website over Active-Active configs.
Ik wil gewoon 1 VIP adres houden zoals nu met Master-Backup, en geen 2 VIPs.

https://docs.nginx.com/ng...lity/ha-keepalived-nodes/

https://www.pentestpartne...ility-and-load-balancing/

https://docs.redhat.com/e...itial-setup-conf-file-VSA

deze heeft 2 Master config voorbeelden, links in het menu:
https://github.com/shuaic...r/master1/keepalived.conf
Inderdaad link twee gebruikt onderstaande setup er is dan 1 virtual IP en twee realservers die idd met loabalancing benaderd worden.

Tip: je kan de config van de website kopieren en in chatgpt of Claude.ai plakken en om uitleg vragen, de opmaak op die site met grijze blokken is ronduit waardeloos.

Je krijgt dan deze tekst:

In praktijk werkt deze setup als volgt:

Als de actieve VRRP server uitvalt, neemt een andere server het virtuele IP-adres over.
Het virtuele IP (192.168.133.38) wordt gebruikt voor inkomend SMTP verkeer op poort 25.
Dit verkeer wordt vervolgens verdeeld over de twee real servers (mailservers) via round-robin load balancing.
Als een van de real servers niet bereikbaar is (TCP check faalt), wordt deze tijdelijk uit de pool verwijderd.

Dit zorgt voor een robuuste mail-infrastructuur die zowel netwerk-level redundantie (via VRRP) als applicatie-level load balancing biedt.


code:
1
2
3
4
5
6
7
/---> LB_1 ------> RS_A
    /      |   \   ______/
   /       |    \ / 
V_IP    (VRRP)   X
   .       |    / \---> RS_B
    .      |   /        /
     . . > LB_2 -------/

Acties:
  • 0 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
Ik gebruik al lange tijd AdGuard Home, met de OISD blocklijst, en dit werkt prima. Sinds gister merk ik echter dat er toch behoorlijk wat reclames zichtbaar zijn, o.a. op legacy.dumpert.nl. AdGuard Home is nog gewoon actief, en al het verkeer gaat ook via AdGuard Home... Is iemand dit ook tegen gekomen? Ligt het aan de OISD lijst?

Acties:
  • 0 Henk 'm!

  • Harmen
  • Registratie: Oktober 1999
  • Laatst online: 15:36

Harmen

⭐⭐⭐⭐⭐⭐

zunrob schreef op zondag 30 maart 2025 @ 20:52:
Ik gebruik al lange tijd AdGuard Home, met de OISD blocklijst, en dit werkt prima. Sinds gister merk ik echter dat er toch behoorlijk wat reclames zichtbaar zijn, o.a. op legacy.dumpert.nl. AdGuard Home is nog gewoon actief, en al het verkeer gaat ook via AdGuard Home... Is iemand dit ook tegen gekomen? Ligt het aan de OISD lijst?
Heb dit eerder gezien, sommige browsers maken gebruik van een eigen dns server. (8.8.8.8) Heb een paar firewall regels ingesteld zodat enkel mn interne dns servers gebruikt mogen worden. Alle andere dns servers worden geblokkeerd.

Whatever.


Acties:
  • 0 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
Harmen schreef op zondag 30 maart 2025 @ 21:27:
[...]


Heb dit eerder gezien, sommige browsers maken gebruik van een eigen dns server. (8.8.8.8) Heb een paar firewall regels ingesteld zodat enkel mn interne dns servers gebruikt mogen worden. Alle andere dns servers worden geblokkeerd.
Het betreft in dit geval mijn Google Pixel 8 Pro. Kijk ik bij de WiFi instellingen klopt het DNS met AdGuard Home. Het vreemde is bovendien dat ik niks gewijzigd heb.

Acties:
  • 0 Henk 'm!

  • Ragger
  • Registratie: November 2000
  • Laatst online: 04-06 18:49

Ragger

slopen. alles kapot maken.

Heb je DNS over HTTPS / Secure DNS aanstaan in je browser? Dan wordt Adguard omzeild.

Acties:
  • 0 Henk 'm!

  • Harmen
  • Registratie: Oktober 1999
  • Laatst online: 15:36

Harmen

⭐⭐⭐⭐⭐⭐

zunrob schreef op zondag 30 maart 2025 @ 23:24:
[...]

Het betreft in dit geval mijn Google Pixel 8 Pro. Kijk ik bij de WiFi instellingen klopt het DNS met AdGuard Home. Het vreemde is bovendien dat ik niks gewijzigd heb.
Google gebruikt vaak hardcoded 8.8.8.8 als dns, poort 53/853 intern blokkeren zal het probleem oplossen. Sindsdien heb ik geen issues meer. (UXG Lite achter een ziggo modem in bridge)

Whatever.


Acties:
  • 0 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
Ragger schreef op zondag 30 maart 2025 @ 23:27:
Heb je DNS over HTTPS / Secure DNS aanstaan in je browser? Dan wordt Adguard omzeild.
Bedankt voor het meedenken, maar deze instelling maakt niks uit.

Acties:
  • 0 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
Harmen schreef op maandag 31 maart 2025 @ 08:49:
[...]


Google gebruikt vaak hardcoded 8.8.8.8 als dns, poort 53/853 intern blokkeren zal het probleem oplossen. Sindsdien heb ik geen issues meer. (UXG Lite achter een ziggo modem in bridge)
Maar het vreemde is dat ik niks gewijzigd heb... En het heeft voorheen altijd goed gewerkt.

Acties:
  • 0 Henk 'm!

  • TheCeet
  • Registratie: Oktober 2012
  • Laatst online: 11:58
Hier ook mijn Sony Android TV die indertijd de AGH omzeilde met hardcoded 8.8.8.8 DNS; Maar in netwerkinstellingen zag je wel mooi AGH IP staan.
Na firewall rule aan te passen dat alle DNS verkeer moet passeren via AGH was het verholpen.

Wie weet een update van jouw smartphone die ervoor zorgt van dit gedrag.

Acties:
  • 0 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
TheCeet schreef op maandag 31 maart 2025 @ 13:56:
Hier ook mijn Sony Android TV die indertijd de AGH omzeilde met hardcoded 8.8.8.8 DNS; Maar in netwerkinstellingen zag je wel mooi AGH IP staan.
Na firewall rule aan te passen dat alle DNS verkeer moet passeren via AGH was het verholpen.

Wie weet een update van jouw smartphone die ervoor zorgt van dit gedrag.
Het valt me eigenlijk alleen op bij de website legacy.dumpert.nl, allicht is daar gewoon wat aangepast.
Ik ga kijken of ik iets met de firewall kan.

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
Zucht... Vandaag het gebruik van AdGuard maar weer opgegeven..

Voorheen had ik (Proxmox host, Debian 11 LXC container) dat AGH na 1 of 2 dagen vastliep. Reboot van de container verhielp het maar natuurlijk kut als je dan geen internet hebt. Ik heb het niet kunnen oplossen.
Dus een jaar lang geen AGH gebruikt. Recent met een Alpine container toch nog eens geprobeert en zowaar.. geen issues..

Behalve 1.. Onze Sony Bravia Android TV (KD55-AG8) met de KPN App, bedraad aangesloten, laat geen enkele uitzending zonder stotteren zien. Ik gooide dat eerst nog op: App is vernieuwd, meer bandbreedte, dus dit is een soort bufferen aan t begin van n programma. Maar dat is het niet, want ook halverwege lijkt dit te gebeuren. Verder geen problemen met internet, op geen enkel device (100/100 Glasvezel, dus snelheid lijkt me niet het issue). Vandaag een nieuwe Deb12 LXC opgespint met Pi-hole (dat was in de tussenliggende periode tot release v6 ook mn go-to) en de tv is weer zonder haperen. Terwijl ik in AGH de tv uitgelsloten had van enige lijst... Dus zou je verwachten, geen controle, dus geen vertraging..

Iemand die dit herkend? En de gouden oplossing heeft?

[ Voor 3% gewijzigd door Koepert op 31-03-2025 17:15 ]


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
Koepert schreef op maandag 31 maart 2025 @ 17:15:
Zucht... Vandaag het gebruik van AdGuard maar weer opgegeven..

Voorheen had ik (Proxmox host, Debian 11 LXC container) dat AGH na 1 of 2 dagen vastliep. Reboot van de container verhielp het maar natuurlijk kut als je dan geen internet hebt. Ik heb het niet kunnen oplossen.
Dus een jaar lang geen AGH gebruikt. Recent met een Alpine container toch nog eens geprobeert en zowaar.. geen issues..

Behalve 1.. Onze Sony Bravia Android TV (KD55-AG8) met de KPN App, bedraad aangesloten, laat geen enkele uitzending zonder stotteren zien. Ik gooide dat eerst nog op: App is vernieuwd, meer bandbreedte, dus dit is een soort bufferen aan t begin van n programma. Maar dat is het niet, want ook halverwege lijkt dit te gebeuren. Verder geen problemen met internet, op geen enkel device (100/100 Glasvezel, dus snelheid lijkt me niet het issue). Vandaag een nieuwe Deb12 LXC opgespint met Pi-hole (dat was in de tussenliggende periode tot release v6 ook mn go-to) en de tv is weer zonder haperen. Terwijl ik in AGH de tv uitgelsloten had van enige lijst... Dus zou je verwachten, geen controle, dus geen vertraging..

Iemand die dit herkend? En de gouden oplossing heeft?
Zelf geen KPN hier dus ik herken het niet als zodanig.
Zit te denken aan een setting in AGH zoals Rate Limit (heb ik op 0 staan).
AGH > Settings > DNS Settings

Hoeveel RAM geef je de Debian LXC? Onder de 512MB krijg ik rare fouten.

Acties:
  • +1 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
@Koepert Ik heb geen KPN, wel Proxmox en AGH in Debian LXC’s. Met ‘maar’ 256MB geheugen @EverLast2002 ;) Ik herken je problemen verder niet. Ook ik heb mijn TV uitgesloten van blocklists, maar ervaar geen problemen met streamen van content.

Maar, als het met Pihole niet speelt dan lijkt de oorzaak me vrij duidelijk. Enige wat je kunt doen is troubleshooten, denk dat het een vrij specifieke case zal worden met weinig vergelijkbare situaties op het internet

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
EverLast2002 schreef op maandag 31 maart 2025 @ 18:03:
[...]


Zelf geen KPN hier dus ik herken het niet als zodanig.
Zit te denken aan een setting in AGH zoals Rate Limit (heb ik op 0 staan).
AGH > Settings > DNS Settings

Hoeveel RAM geef je de Debian LXC? Onder de 512MB krijg ik rare fouten.
Container heeft 2GB RAM met 512 Swap (maar met 2GB swap speelde het ook)

Rate limit staat op 20. Zal m eens op 0 zetten, kijken of dat verschil (gaat) maken.

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
Koepert schreef op maandag 31 maart 2025 @ 18:25:
[...]


Container heeft 2GB RAM met 512 Swap (maar met 2GB swap speelde het ook)

Rate limit staat op 20. Zal m eens op 0 zetten, kijken of dat verschil (gaat) maken.
2GB RAM voor een LXC is extreem veel. Een LXC kan juist met veel minder resources prima uit de voeten.

Mijn fout, ik heb met AlmaLinux containers problemen onder de 512MB, niet met Debian. Excuus.

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
EverLast2002 schreef op maandag 31 maart 2025 @ 18:28:
[...]


2GB RAM voor een LXC is extreem veel. Een LXC kan juist met veel minder resources prima uit de voeten.

Mijn fout, ik heb met AlmaLinux containers problemen onder de 512MB, niet met Debian. Excuus.
Ja i know, en mn Debian Pi-Hole heeft ook gewoon 512MB en gaat prima, maar ik heb die Alpine 2GB gegeven juist vanwege de issues die er waren. Ik zat in de hoek:

- Buffer bij opstarten stream
- Geheugen vol bij load (niet te zien)
- Netwerk dicht getrokken bij load (ook niet te zien)

Beide issues heb ik dus niet gezien in de metrics, maar om in elk geval de 2e tackelen had ik RAM opgehoogd.

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
Koepert schreef op maandag 31 maart 2025 @ 18:31:
[...]


Ja i know, en mn Debian Pi-Hole heeft ook gewoon 512MB en gaat prima, maar ik heb die Alpine 2GB gegeven juist vanwege de issues die er waren. Ik zat in de hoek:

- Buffer bij opstarten stream
- Geheugen vol bij load (niet te zien)
- Netwerk dicht getrokken bij load (ook niet te zien)

Beide issues heb ik dus niet gezien in de metrics, maar om in elk geval de 2e tackelen had ik RAM opgehoogd.
Alpine kan juist nog met minder uit de voeten dan Debian. Alpine is een super lichtgewicht.

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
EverLast2002 schreef op maandag 31 maart 2025 @ 18:34:
[...]


Alpine kan juist nog met minder uit de voeten dan Debian. Alpine is een super lichtgewicht.
Excuus ik vergeet een stap in de historie :P De Debian container heb ik gekilled omdat dit van AGH dus een vastloper maakte. Toen gekozen voor Alpine ivm lichtheid. Dat werkte wel, maar dus hakkelen, TOEN ben ik begonnen met RAM ophogen in de wetenschap dat dit voor Alpine niet nodig zou moeten zijn. Maar als stap in 1vd 3 logische oorzaken uitsluiten..

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
Koepert schreef op maandag 31 maart 2025 @ 18:37:
[...]


Excuus ik vergeet een stap in de historie :P De Debian container heb ik gekilled omdat dit van AGH dus een vastloper maakte. Toen gekozen voor Alpine ivm lichtheid. Dat werkte wel, maar dus hakkelen, TOEN ben ik begonnen met RAM ophogen in de wetenschap dat dit voor Alpine niet nodig zou moeten zijn. Maar als stap in 1vd 3 logische oorzaken uitsluiten..
met "htop" in een lxc kun je zien hoe de load is. Of via de gui van Proxmox, dan moet die Alpine lxc staan te pieken met geheugen?

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
EverLast2002 schreef op maandag 31 maart 2025 @ 18:40:
[...]


met "htop" in een lxc kun je zien hoe de load is. Of via de gui van Proxmox, dan moet die Alpine lxc staan te pieken met geheugen?
Ja idd, dat deed ie dus niet (ja max 80% ofzo met die 512MB maar dat is niet zorgwekkend) idem voor netwerkverkeer. Maar de snelheid van t netwerk in de proxmoxhost kan ik niet zoveel aan doen. RAM nog wel.. Zonder oplossing helaas.

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
@Koepert
als je niet perse bij lxc wil blijven dan kun je eens een vm proberen?
die vm kun je queues meegeven, net zoveel als cores (dus bijv 4 cores = 4 queues).
dat zit bij de eigenschappen van de virtuele netwerkkaart van de vm.
blijkbaar helpt dat met de doorstroom van netwerkpakketjes.
zou ook bijv voor een OPNsense vm moeten helpen.

Acties:
  • 0 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
Koepert schreef op maandag 31 maart 2025 @ 18:41:
[...]


Ja idd, dat deed ie dus niet (ja max 80% ofzo met die 512MB maar dat is niet zorgwekkend) idem voor netwerkverkeer. Maar de snelheid van t netwerk in de proxmoxhost kan ik niet zoveel aan doen. RAM nog wel.. Zonder oplossing helaas.
80%?! Holy smokes. Mijn LXC's komen niet boven de 100MB gebruik uit. Ik herstart de LXC wel elke dag, weet niet meer waarom, volgens mij tegen het vollopen van de disks. Ik heb 2 AGH instances en herstart ze met 1 uur verschil dus 0 impact.

1 cpu, 2 cores verder

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
lolgast schreef op maandag 31 maart 2025 @ 18:48:
[...]

80%?! Holy smokes. Mijn LXC's komen niet boven de 100MB gebruik uit. Ik herstart de LXC wel elke dag, weet niet meer waarom, volgens mij tegen het vollopen van de disks. Ik heb 2 AGH instances en herstart ze met 1 uur verschil dus 0 impact.

1 cpu, 2 cores verder
1 CPU 2 cores hier ook idd. En die 80% is een incidentele piek hoor, niet de default waarde.

@EverLast2002 Voor de Debian LXC was het al een VM, maar dat kost me gewoon teveel resources en voelt een beetje als een shotgun gebruiken voor een vlieg..

[ Voor 14% gewijzigd door Koepert op 31-03-2025 18:56 ]


Acties:
  • +1 Henk 'm!

  • zunrob
  • Registratie: April 2009
  • Laatst online: 15:23
Ik heb zojuist al Chrome instellingen van mijn Pixel 8 Pro vergeleken met die van mijn vriendin. Alle instellingen zijn exact hetzelfde. Zelfde versies van systeem etc. Echter, bij mij gaat het dus niet goed met de DNS en bij haar wel.

Het ligt echt aan Chrome, want Firefox doet het wel zoals verwacht... Iemand nog een ander idee wat de oorzaak kan zijn? Heb zowat alle instellingen in Chrome al aan en uit gezet op dit gebied.

Ok. Ik was er vrij klaar mee. Ik heb alle data van de Chrome app verwijderd, incl. de cache; het werkt weer zoals het hoort!

[ Voor 12% gewijzigd door zunrob op 31-03-2025 21:54 ]


Acties:
  • +2 Henk 'm!

  • sjongenelen
  • Registratie: Oktober 2004
  • Laatst online: 03-06 18:45
Off topic vwb de bravia tv: de netwerk aansluiting is 100mbit. Ik had zelf veel beter resultaat over wifi

you had me at EHLO


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
@Koepert

Heb je al eens gedacht dat het stotteren van je tv te maken kan hebben met IGMP snooping
(of het gebrek hiervan in je netwerk).
In veel netwerkswitches kun je dit aan/uitzetten, in jouw geval dus AANzetten.

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
EverLast2002 schreef op dinsdag 1 april 2025 @ 15:48:
@Koepert

Heb je al eens gedacht dat het stotteren van je tv te maken kan hebben met IGMP snooping
(of het gebrek hiervan in je netwerk).
In veel netwerkswitches kun je dit aan/uitzetten, in jouw geval dus AANzetten.
Hi

had ik aan gedacht, staat aan op de switch tussen de TV en de router (Fritzbox 4040).

Plot thickens. Internet gaat zojuist hier plat: De weginterface van de pihole reageert niet meer/niet meer bereikbaar. de lxc lijkt nog gewoon te draaien, geen gekke metrics (geen spikes of enorme dropoffs), console is ook nog gewoon benaderbaar maar geen webinterface en geen verkeer. Hetzelfde gedrag als mijn AGH op Debian ook had..

Ik denk wellicht dat er qua netwerkverkeer/ports iets niet lekker gaat op de host waardoor de NIC volloopt oid (omschrijving van een leek, i know) of datzelfde maar dan in de lxc.

Acties:
  • 0 Henk 'm!

  • Koepert
  • Registratie: Augustus 2013
  • Laatst online: 03-06 10:51
sjongenelen schreef op maandag 31 maart 2025 @ 22:35:
Off topic vwb de bravia tv: de netwerk aansluiting is 100mbit. Ik had zelf veel beter resultaat over wifi
Ook aan zitten denken, maar op dit moment zit ik (denk ik) een beetje aan mn taks qua wifi netwerk daarom juist de items die goed bedraad kunnen ook bedraad.

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
Ik heb keepalived geïnstalleerd via deze tutorial. Met dank aan @EverLast2002

Nu ben ik al dagen aan het proberen om IPv6 aan de praat te krijgen, maar het wil me niet lukken. Kan er ook maar weinig over vinden en heb ook al ChatGPT geprobeerd. IPv4 werkt wel.

Ik ben in de war of ik de fe80:, 2a02: of fdae: moet gebruiken. Ik heb ze allemaal geprobeerd en krijg bij allen de foutmeldingen:
keepalived.service - Keepalive Daemon (LVS and VRRP) was skipped because of an unmet condition check (ConditionFileNotEmpty=/etc/keepalived/keepalived.conf)
en
keepalived bind unicast_src failed 99 - Cannot assign requested address
Dit is tot hoever ik gekomen ben. Op de plaatsen van de xxxx is waar ik op vast loop. Daar heb ik alle adressen in AGH (fe80:, 2a02: en fdae) Is er iemand die me op weg kan helpen?

Master:
vrrp_instance VI_1 {
state MASTER
interface eth0
unicast_src_ip 192.168.178.100
unicast_peer {
192.168.178.101
}
virtual_router_id 1
priority 250
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
192.168.178.102/24
}
}

vrrp_instance VI_2 {
state MASTER
interface eth0
unicast_src_ip xxxxxxxxxxxxx
unicast_peer {
xxxxxxxxxxxxxxxxxxxxxx
}
virtual_router_id 2
priority 250
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
xxxxxxxxxxxxxxxxxxx
}
}
Backup:
vrrp_instance VI_1 {
state BACKUP
interface eth0
unicast_src_ip 192.168.178.101
unicast_peer {
192.168.178.100
}
virtual_router_id 1
priority 200
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
192.168.178.102/24
}
}

vrrp_instance VI_2 {
state BACKUP
interface eth0
unicast_src_ip xxxxxxxxxxxxxx
unicast_peer {
xxxxxxxxxxxx
}
virtual_router_id 2
priority 200
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
xxxxxxxxxxxxxxxxxx
}
}
Ik had eerst in de Fritzbox onder Netwerk > IPv6, DNSv6-server ook aankondigen via router advertisement (RFC 5006) en DHCPv6-server in de FRITZ!Box deactiveren uitgeschakeld. Daarna kreeg ik alleen nog IPv4 adressen en dit werkte prima, ook met IPv6, alleen niet op mijn Windows 11 PC. Hierop blijft de lokale DNS server van de Fritzbox zitten. Heb het lokale fdae: adres al vervangen voor de fe80 van AGH, maar op mijn pc veranderd die niet. Dus blijf advertenties zien. Vind het vreemd.

(De 2 AGH installaties staan op 2 Raspberry PI 4b.)

[ Voor 9% gewijzigd door Glassertje op 11-04-2025 00:23 . Reden: stukje aangevuld ]


Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Glassertje schreef op donderdag 10 april 2025 @ 23:54:
Ik heb keepalived geïnstalleerd via deze tutorial. Met dank aan @EverLast2002

Nu ben ik al dagen aan het proberen om IPv6 aan de praat te krijgen, maar het wil me niet lukken. Kan er ook maar weinig over vinden en heb ook al ChatGPT geprobeerd. IPv4 werkt wel.

Ik ben in de war of ik de fe80:, 2a02: of fdae: moet gebruiken. Ik heb ze allemaal geprobeerd en krijg bij allen de foutmeldingen:


[...]


en


[...]


Dit is tot hoever ik gekomen ben. Op de plaatsen van de xxxx is waar ik op vast loop. Daar heb ik alle adressen in AGH (fe80:, 2a02: en fdae) Is er iemand die me op weg kan helpen?

Master:

[...]


Backup:

[...]


Ik had eerst in de Fritzbox onder Netwerk > IPv6, DNSv6-server ook aankondigen via router advertisement (RFC 5006) en DHCPv6-server in de FRITZ!Box deactiveren uitgeschakeld. Daarna kreeg ik alleen nog IPv4 adressen en dit werkte prima, ook met IPv6, alleen niet op mijn Windows 11 PC. Hierop blijft de lokale DNS server van de Fritzbox zitten. Heb het lokale fdae: adres al vervangen voor de fe80 van AGH, maar op mijn pc veranderd die niet. Dus blijf advertenties zien. Vind het vreemd.

(De 2 AGH installaties staan op 2 Raspberry PI 4b.)
Als je de adressen weglaat terwijl de fout in de adressen zit, kunnen we niet echt helpen 8)

Je moet de global unicast adressen gebruiken. Kan je vanaf AGH pingen naar "ping6 ipv6.google.com"

Afbeeldingslocatie: https://tweakers.net/i/avcV4_O0OoqqRTpA9bjp80UTQm0=/800x/filters:strip_exif()/f/image/cmCBrziMtqVqyweJRsMfhWVA.png?f=fotoalbum_large

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
stormfly schreef op vrijdag 11 april 2025 @ 07:47:
[...]


Als je de adressen weglaat terwijl de fout in de adressen zit, kunnen we niet echt helpen 8)

Je moet de global unicast adressen gebruiken. Kan je vanaf AGH pingen naar "ping6 ipv6.google.com"

[Afbeelding]
@stormfly Was idd wel handig geweest. Ik kan pingen vanaf de Raspberry Pi.

Ik gebruik in mijn Fritzbox nu een fe80:: adres van 1 van de Raspberry Pi's. Maar volgens jouw beschrijving zou ik dus de 2a02 moeten gebruiken?

Ik heb de 2a02 en de fe80:: adressen niet tegelijk gebruikt, Dit heb ik alleen zo gedaan om mijn configuratie weer te geven.

Master:
vrrp_instance VI_1 {
state MASTER
interface eth0
unicast_src_ip 192.168.178.100
unicast_peer {
192.168.178.101
}
virtual_router_id 1
priority 250
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
192.168.178.102/24
}
}

vrrp_instance VI_2 {
state MASTER
interface eth0
unicast_src_ip 2a02:xxxxx:1:df20:1790:f73d:9578 / fe80::14c8:20d2:4767:ed5c (dit zijn de adressen die zichtbaar zijn in AGH)
unicast_peer {
2a02:xxxxxxx:1:baf:7e53:4dc0:cdd9 / fe80::1e90:2b40:72d4:2a3c (dit zijn de adressen die zichtbaar zijn in AGH)
}
virtual_router_id 2
priority 250
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
2a02:xxxxxx:1::/64 / fe80::1234/64
}
}
Backup:
vrrp_instance VI_1 {
state BACKUP
interface eth0
unicast_src_ip 192.168.178.101
unicast_peer {
192.168.178.100
}
virtual_router_id 1
priority 200
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
192.168.178.102/24
}
}

vrrp_instance VI_2 {
state BACKUP
interface eth0
unicast_src_ip 2a02:xxxxxxx:1:baf:7e53:4dc0:cdd9 / fe80::1e90:2b40:72d4:2a3c (dit zijn de adressen die zichtbaar zijn in AGH)
unicast_peer {
2a02:xxxxxxx:1:df20:1790:f73d:9578 / fe80::14c8:20d2:4767:ed5c (dit zijn de adressen die zichtbaar zijn in AGH)
}
virtual_router_id 2
priority 200
advert_int 1
authentication {
auth_type PASS
auth_pass dns12345
}
virtual_ipaddress {
2a02:xxxxxxx:1::/64 / fe80::1234/64
}
}

Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Glassertje schreef op vrijdag 11 april 2025 @ 08:26:
[...]

@stormfly Was idd wel handig geweest. Ik kan pingen vanaf de Raspberry Pi.

Ik gebruik in mijn Fritzbox nu een fe80:: adres van 1 van de Raspberry Pi's. Maar volgens jouw beschrijving zou ik dus de 2a02 moeten gebruiken?

Ik heb de 2a02 en de fe80:: adressen niet tegelijk gebruikt, Dit heb ik alleen zo gedaan om mijn configuratie weer te geven.

Master:

[...]


Backup:

[...]
Ik gebruik meerdere VLAN's dan heb je global unicast adressen nodig, als je slechts één vlan hebt kan je het met fe80 link local adressen gebruiken. Ik heb dat zelf nooit getest, hieronder mijn werkende config voor IPv6.

Zitten ze beide in hetzelfde vlan? Dan kan je beter de multicast variant gebruiken ipv de unicast variant, de multicast variant is autodetecting en neemt de kans weg op typo's in de vele IP adressen die bij unicast config wel hebt.

MASTER

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
global_defs {
  script_user root
  enable_script_security
  max_auto_priority 50
  vrrp_version 3         # Versie 3 ondersteunt zowel IPv4 als IPv6
  vrrp_garp_master_delay 5
  vrrp_garp_master_repeat 5
  vrrp_garp_master_refresh 30
  vrrp_garp_master_refresh_repeat 2
}
vrrp_script chk_pihole_ftl {
  script "/etc/keepalived/chk_pihole_ftl.sh"
  interval 10
  timeout 5
  fall 3
  rise 3
  weight -40
}

vrrp_script chk_dns {
  script "/etc/keepalived/chk_dns.sh"
  interval 10
  timeout 5
  fall 3
  rise 3
  weight -30
}

vrrp_script chk_dnsv6 {
  script "/etc/keepalived/chk_dnsv6.sh"
  interval 2
  timeout 5
  fall 3
  rise 3
  weight -30
}

# IPv4 configuratie
vrrp_instance pihole_ipv4 {
  state MASTER
  interface eth0
  virtual_router_id 1
  priority 100
  advert_int 1
  virtual_ipaddress {
    172.16.1.254/24
  }
  track_script {
    chk_dns
    chk_pihole_ftl
 }
}

# IPv6 configuratie
vrrp_instance pihole_ipv6 {
  state MASTER
  interface eth0
  virtual_router_id 51
  priority 100
  advert_int 1
  native_ipv6

  virtual_ipaddress {
    2a02:<knip>::254/64
  }
  track_script {
   chk_pihole_ftl
   chk_dnsv6
  }
}



BACKUP

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
global_defs {
  script_user root
  enable_script_security
  max_auto_priority 50
  vrrp_version 3
  vrrp_garp_master_delay 5
  vrrp_garp_master_repeat 5
  vrrp_garp_master_refresh 30
  vrrp_garp_master_refresh_repeat 2
}

vrrp_script chk_dns {
  script "/etc/keepalived/chk_dns.sh"
  interval 10
  timeout 5
  fall 3
  rise 3
  weight -30
}

vrrp_script chk_pihole_ftl {
  script "/etc/keepalived/chk_pihole_ftl.sh"
  interval 10
  timeout 5
  fall 3
  rise 3
  weight -40
}

vrrp_script chk_dnsv6 {
  script "/etc/keepalived/chk_dnsv6.sh"
  interval 2
  timeout 5
  fall 3
  rise 3
  weight -30
}

# IPv4 configuratie
vrrp_instance pihole_ipv4 {
  state BACKUP
  interface eth0
  virtual_router_id 1
  priority 75
  advert_int 1
  virtual_ipaddress {
    172.16.1.254/24
  }
  track_script {
    chk_dns
    chk_pihole_ftl
  }
}

# IPv6 configuratie
vrrp_instance pihole_ipv6 {
  state BACKUP
  interface eth0
  virtual_router_id 51
  version 3
  priority 75
  advert_int 1
  native_ipv6

  virtual_ipaddress {
    2a02:<knip>::254/64
  }
  track_script {
    chk_dnsv6
    chk_pihole_ftl
  }
}


De scripts om failover te realiseren.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
root@pihole:/etc/keepalived# cat chk_dns.sh
#!/bin/bash
# /etc/keepalived/chk_dns.sh
#
# Dit script controleert:
# 1. Of er internet-connectiviteit is via zowel 1.1.1.1 als 8.8.8.8
# 2. Of de lokale DNS-server (127.0.0.1) een geldig IPv4-adres teruggeeft voor een DNS-query naar google.com
#
# Bij een succesvolle internet EN DNS resolutie wordt 0 geretourneerd; anders 1.
#
# Zorg dat het script uitvoerbaar is:
# chmod +x /etc/keepalived/chk_dns.sh

# Functie om te controleren of internet beschikbaar is
check_internet() {
  # Probeer Cloudflare's 1.1.1.1
  ping -c 1 -W 2 1.1.1.1 > /dev/null 2>&1
  CLOUDFLARE_RESULT=$?

  # Probeer Google's 8.8.8.8
  ping -c 1 -W 2 8.8.8.8 > /dev/null 2>&1
  GOOGLE_RESULT=$?

  # Retourneer succes als ten minste één ping werkte
  if [ $CLOUDFLARE_RESULT -eq 0 ] || [ $GOOGLE_RESULT -eq 0 ]; then
    return 0
  else
    return 1
  fi
}

# Functie om te controleren of DNS-resolutie werkt
check_dns() {
  dig @127.0.0.1 google.com +short 2>/dev/null | grep -E -q '^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$'
  return $?
}

# Controleer internet en DNS
if check_internet && check_dns; then
  # Beide checks succesvol
  exit 0
else
  # Een van beide of beide checks gefaald
  exit 1
fi



code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
root@pihole:/etc/keepalived# cat chk_dnsv6.sh
#!/bin/bash
# /etc/keepalived/chk_dnsv6.sh
#
# Dit script controleert:
# 1. Of er internet-connectiviteit is via zowel IPv6 naar 2606:4700:4700::1111 als 2001:4860:4860::8888
# 2. Of de lokale DNS-server (::1) een geldig IPv6-adres teruggeeft voor een DNS-query naar google.com
#
# Bij een succesvolle internet EN DNS resolutie wordt 0 geretourneerd; anders 1.
#
# Zorg dat het script uitvoerbaar is:
# chmod +x /etc/keepalived/chk_dnsv6.sh

# Functie om te controleren of IPv6 internet beschikbaar is
check_internet_v6() {
  # Probeer Cloudflare's 2606:4700:4700::1111
  ping6 -c 1 -W 2 2606:4700:4700::1111 > /dev/null 2>&1
  CLOUDFLARE_RESULT=$?

  # Probeer Google's 2001:4860:4860::8888
  ping6 -c 1 -W 2 2001:4860:4860::8888 > /dev/null 2>&1
  GOOGLE_RESULT=$?

  # Retourneer succes als ten minste één ping werkte
  if [ $CLOUDFLARE_RESULT -eq 0 ] || [ $GOOGLE_RESULT -eq 0 ]; then
    return 0
  else
    return 1
  fi
}

# Functie om te controleren of DNS-resolutie voor IPv6 werkt
check_dns_v6() {
  dig @::1 google.com AAAA +short 2>/dev/null | grep -E -q '^[0-9a-fA-F:]+$'
  return $?
}

# Controleer internet en DNS
if check_internet_v6 && check_dns_v6; then
  # Beide checks succesvol
  exit 0
else
  # Een van beide of beide checks gefaald
  exit 1
fi


code:
1
2
3
4
5
6
7
8
9
root@pihole:/etc/keepalived# cat chk_pihole_ftl.sh
#!/bin/bash

# Check if pihole-FTL is running
if systemctl is-active --quiet pihole-FTL; then
    exit 0  # Success - service is running
else
    exit 1  # Failure - service is not running
fi

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
@stormfly Beide PI's zitten in dezelfde VLAN. Bijzonder vind ik dat ik een unicast_src failed 9 op het gebruikte Ipv6 adres krijg, met een melding dat die niet bestaat.

Bedankt voor je hulp. Ik krijg dat IPv6 niet echt onder de knie. Ik ga het vandaag nog proberen en als het me niet lukt, dan heb ik pech gehad.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Glassertje schreef op vrijdag 11 april 2025 @ 09:16:
@stormfly Beide PI's zitten in dezelfde VLAN. Bijzonder vind ik dat ik een unicast_src failed 9 op het gebruikte Ipv6 adres krijg, met een melding dat die niet bestaat.
Bij IPv6 SLAAC wisselen adressen op moment X vanwege privacy, als jij een adres aanroept wat niet meer in gebruik is kan ik die melding verklaren. Daarom -> multicast variant die vinden elkaar automatisch ;-)

Acties:
  • +1 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
stormfly schreef op vrijdag 11 april 2025 @ 09:17:
[...]


Bij IPv6 SLAAC wisselen adressen op moment X vanwege privacy, als jij een adres aanroept wat niet meer in gebruik is kan ik die melding verklaren. Daarom -> multicast variant die vinden elkaar ;-)
Dat deel begrijp ik, maar het 2a02 adres in AGH veranderd nooit. Heb het zelfs ook gecheckt met ifconfig.

Dat was ook de reden dat ik die fe80 adres gebruikte, want de AGH werd overspoelt met verschillende 2a02 adressen.

Als ik vanmiddag thuis ben, ga ik ermee aan de slag. Dankjewel.

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
@stormfly nog een klein vraagje. Als ik in AGH en bij ifconfig kijk zie ik deze:
fdae:8b57:72f7:0:52c1:9f17:3630:eaa6
Is dat de multicast? Want in jouw voorbeeld plaatje staat ff00 maar die heb ik nergens gezien?

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
En is er een tool, waarmee ik een virtueel ip kan maken? Want heb geen flauw idee hoe dit eruit moet komen zien?

Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Glassertje schreef op vrijdag 11 april 2025 @ 09:35:
En is er een tool, waarmee ik een virtueel ip kan maken? Want heb geen flauw idee hoe dit eruit moet komen zien?
2a02:xxxxxxx:1:baf:7e53:4dc0:cdd9 vraag aan chatgpt of hij er een adres van maakt eindigend op een getal wat jij waardeert, in mijn geval 254 en dan met een /64 subnet.
Glassertje schreef op vrijdag 11 april 2025 @ 09:29:
@stormfly nog een klein vraagje. Als ik in AGH en bij ifconfig kijk zie ik deze:


[...]


Is dat de multicast? Want in jouw voorbeeld plaatje staat ff00 maar die heb ik nergens gezien?
Dat heb je dus niet nodig als je mijn config bekijkt hoef je slechts een virtueel IP te plaatsen. De rest gaat automatisch.
Glassertje schreef op vrijdag 11 april 2025 @ 09:20:
[...]

Dat was ook de reden dat ik die fe80 adres gebruikte, want de AGH werd overspoelt met verschillende 2a02 adressen.
Daarom 1 virtual IP instellen en dan: sudo systemctl restart keepalived om te herstarten

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
stormfly schreef op vrijdag 11 april 2025 @ 11:13:
[...]


2a02:xxxxxxx:1:baf:7e53:4dc0:cdd9 vraag aan chatgpt of hij er een adres van maakt eindigend op een getal wat jij waardeert, in mijn geval 254 en dan met een /64 subnet.


[...]


Dat heb je dus niet nodig als je mijn config bekijkt hoef je slechts een virtueel IP te plaatsen. De rest gaat automatisch.


[...]


Daarom 1 virtual IP instellen en dan: sudo systemctl restart keepalived om te herstarten
Ala ik in heel de config 2a02 gebruik, krijg ik dan het probleem niet, dat ik in AGH onbeperkte IPv6 adressen zie? Het IPv6 SLAAC verhaal, wat je aanhaalde?

Ik heb in ieder geval genoeg dingen, wat ik vanmiddag kan doen. Dank daarvoor.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Glassertje schreef op vrijdag 11 april 2025 @ 11:21:
[...]

Ala ik in heel de config 2a02 gebruik, krijg ik dan het probleem niet, dat ik in AGH onbeperkte IPv6 adressen zie? Het IPv6 SLAAC verhaal, wat je aanhaalde?

Ik heb in ieder geval genoeg dingen, wat ik vanmiddag kan doen. Dank daarvoor.
Gebruik mijn config maar en daarna horen we de resultaten wel ;-) Je hoeft het 2a02 adres maar op één plaats in te vullen in mijn config. Ik begrijp je verwarring nog niet helemaal :*)

Acties:
  • 0 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
bericht verwijderd

[ Voor 94% gewijzigd door Glassertje op 11-04-2025 13:16 ]


Acties:
  • +1 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
@stormfly Ik heb het uiteindelijk maar opgegeven. Ik heb net maar een beetje gerommeld in mijn Fritzbox tot de IPv6 DNS uit mijn desktop is. En nu werkt het ook weer.

Ik snap helaas maar weinig van Linux en IPv6. Maar het werkt nu wel weer in ieder geval. 😁

Acties:
  • +1 Henk 'm!

  • darkrain
  • Registratie: Augustus 2001
  • Laatst online: 15:44

darkrain

Moderator Discord

Geniet

stormfly schreef op vrijdag 11 april 2025 @ 11:41:
[...]


Gebruik mijn config maar en daarna horen we de resultaten wel ;-) Je hoeft het 2a02 adres maar op één plaats in te vullen in mijn config. Ik begrijp je verwarring nog niet helemaal :*)
Deze config ook ff gepakt, maar die check voor pihole-ftl moet er wel uit natuurlijk voor AGH...

Nadat ik dat gedaan had en het voor mijn situatie had aangepast (denk aan andere interface namen) werkt het nu prima! Dank hiervoor.

Tweakers Discord


Acties:
  • +1 Henk 'm!

  • Glassertje
  • Registratie: September 2020
  • Laatst online: 15:39
@stormfly Het werkt inmiddels, dankjewel.

Acties:
  • +3 Henk 'm!

  • TheCeet
  • Registratie: Oktober 2012
  • Laatst online: 11:58
Nieuwe update, v0.107.60
Security
- Go version has been updated to prevent the possibility of exploiting the Go vulnerabilities fixed in 1.24.2.

Changed
- Alpine Linux version in Dockerfile has been updated to 3.21 (#7588).

Deprecated
- Node 20 support, Node 22 will be required in future releases.
NOTE: npm may be replaced with a different tool, such as pnpm or yarn, in a future release.

Fixed
- Filtering for DHCP clients (#7734).
- Incorrect label on login page (#7729).
- Validation process for the HTTPS port on the Encryption Settings page.

Removed
- Node 18 support.
https://github.com/Adguar...me/releases/tag/v0.107.60

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
#7729 was me totaal niet opgevallen, zo makkelijk lees je dus ergens overheen....

Acties:
  • 0 Henk 'm!

  • TheCeet
  • Registratie: Oktober 2012
  • Laatst online: 11:58
Heeft er hier iemand een idee om de updatetijd van blocklists aan te passen?
Nu kan je enkel de interval aanpassen: 1u, 12u, 24u, etc.
Maar ik zou graag ergens aanpassen om welk uur specifiek de update begint.

Acties:
  • 0 Henk 'm!

  • Wachten...
  • Registratie: Januari 2008
  • Laatst online: 14:52
Heeft iemand hier enig idee waarom ik niet op de website van Odido.nl kan komen?

Ik heb de standaard OISD lijst geactiveerd, en verder niks. Als ik in de Query logs kijk, dan zie ik ook niet dat de website geblokkeerd wordt.

Zodra ik handmatig de DNS aanpas op mijn computer en deze direct verwijs naar Google, en dus niet naar mijn Adguard DNS, dan werkt de website direct. Zet ik deze DNS settings terug naar Adguard, dan kom ik er niet meer op.

Als je dit kunt lezen, dan werkt mij Signature!


Acties:
  • +1 Henk 'm!

  • canonball
  • Registratie: Juli 2004
  • Laatst online: 15:46
Wachten... schreef op zaterdag 19 april 2025 @ 09:39:
Heeft iemand hier enig idee waarom ik niet op de website van Odido.nl kan komen?

Ik heb de standaard OISD lijst geactiveerd, en verder niks. Als ik in de Query logs kijk, dan zie ik ook niet dat de website geblokkeerd wordt.

Zodra ik handmatig de DNS aanpas op mijn computer en deze direct verwijs naar Google, en dus niet naar mijn Adguard DNS, dan werkt de website direct. Zet ik deze DNS settings terug naar Adguard, dan kom ik er niet meer op.
Ik gok dat je zelf recursing doet en dnssec gebruikt.
zie de discussie bij de collega's met pihole, met de uitleg van stormfly in "[Pi-Hole] Ervaringen & discussie"

Komt er op neer dat odido een fout heeft gemaakt, sommige dnssec implementaties zijn wat vergevingsgezinder dan andere :)

Acties:
  • 0 Henk 'm!

  • Wachten...
  • Registratie: Januari 2008
  • Laatst online: 14:52
canonball schreef op zaterdag 19 april 2025 @ 09:56:
[...]
Ik gok dat je zelf recursing doet en dnssec gebruikt.
zie de discussie bij de collega's met pihole, met de uitleg van stormfly in "[Pi-Hole] Ervaringen & discussie"

Komt er op neer dat odido een fout heeft gemaakt, sommige dnssec implementaties zijn wat vergevingsgezinder dan andere :)
Aha, dat verklaart een hoop
Ik gebruik inderdaad unbound

Dit zijn mijn upstream settings
code:
1
2
3
4
5
6
7
# Unbound
127.0.0.1:5335
# Extra
[///0.168.192.in-addr.arpa/]192.168.0.1
https://dns.quad9.net/dns-query
tls://dns.quad9.net
9.9.9.9


Kan ik toevallig ook iets in de GUI aanpassen waardoor het werkt? Of moet ik echt in de config van unbound wat aanpassen zoals in de post aangegeven?

Als je dit kunt lezen, dan werkt mij Signature!


Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Wachten... schreef op zaterdag 19 april 2025 @ 09:39:
Heeft iemand hier enig idee waarom ik niet op de website van Odido.nl kan komen?

Ik heb de standaard OISD lijst geactiveerd, en verder niks. Als ik in de Query logs kijk, dan zie ik ook niet dat de website geblokkeerd wordt.

Zodra ik handmatig de DNS aanpas op mijn computer en deze direct verwijs naar Google, en dus niet naar mijn Adguard DNS, dan werkt de website direct. Zet ik deze DNS settings terug naar Adguard, dan kom ik er niet meer op.
Uitvoerig in het pihole topic besproken inclusief workarround. Aai was al gedeeld zie ik nu.

Of in adguard de unbound resolver verwijderden. Of op CLI in unbound de workarround toepassen waar ik hier naar link. Dat laatste is een betere oplossing want elke DNS beheerder kan deze fouten maken. 1.1.1.1 schijnt net zo strak te filteren als unbound, maar 8.8.8.8 en KPNs eigen DNS weer niet. Die hanteren die optie dat één valide DNSSEC set voldoende is.

stormfly in "[Pi-Hole] Ervaringen & discussie"

[ Voor 21% gewijzigd door stormfly op 19-04-2025 10:30 ]


Acties:
  • 0 Henk 'm!

  • RedRayMann
  • Registratie: Maart 2005
  • Laatst online: 00:36
Hallo,

Ik heb een vraag over AdGuard Home icm Wireguard op een Unifi netwerk. Als ik in een verkeerd topic zit, hoor ik het graag.

Vraag;
Kunnen jullie mij helpen met instellingen mbt de combi Wireguard en AdGuard Home? Want met regelmaat werkt mijn VPN niet (als ik buitenshuis ben) en nu lijkt het dat wanneer ik thuis AdGuard uit zet, ik deze problemen niet heb. Dus denk dat het ergens door de AdGuard settings komt

Software;
Proxmox met Unifi (192.168.1.10) en AdGuard (192.168.1.12)
Android - WG Tunnel

Settings;
Unifi
Alle unifi hardware heeft een vast IP en een preferred DNS (192.168.1.12)
Settings - Internet - WAN - DNS Primary Server (9.9.9.9) en Secondary DNS (149.112.112.112)
Settings - Network - Default - DNS Server (192.168.1.12)
Settings - Routing - Static Routes
Name - WireGuard
Distance - 1
Destination Network - 192.168.2.1/32
Type - Next hop
Next Hop - 192.168.1.12


AdGuard
DNS Settings
https://dns.quad9.net/dns-query
tls://dns.quad9.net


Bootstrap DNS servers
9.9.9.9
149.112.112.112


WireGuard (vanuit Unifi Network Controler)
Use Alternate Address for Clients - MYDDNS.Hostname (desec.io)
DNS Server 1 - 192.168.1.12


Extra info
De VPN op mijn laptop, als ik op het netwerk zit. Werkt bijna altijd als ik het test.
Heb de zelfde VPN config files 3x in WG Tunnel, met twee verschillende DDNS servers én één keer mijn WAN adres, om de DDNS service uit te sluiten. (Zet ze niet tegelijk aan)
Het lijkt als ik Adguard uit zet, de VPN stabieler en beter werkt
Eenmaal buiten, bijvoorbeeld tijdens werk, werkt de VPN ineens niet meer en krijg ik niet meer actief.
Het heeft tot enkele weken al sinds begin dit jaar perfect gewerkt. En nu ineens enkele weken niet meer.

--edit--

Rond deze post vpn aangezet.(12:00 uur)
Rond 18:30 geen verbinding meer en geen mogelijkheid om te verbinden. Zowel op mijn mobiel als die van mijn vriendin (dus niet een telefoon probleem)

Nu thuis op wifi werkt het ook niet.

Adguard uit

Nog geen vpn...

Het lijkt dus misschien toch geen Adguard probleem

--edit--
VPN op laptop werkt
VPN op mobiel werkt niet

Als VPN aan staat, heb ik geen LAN toegang. Dus ik ga verder zoeken naar een Wireguard/ Unifi probleem.

Waarschijnlijk toch geen AdGuard probleem.
Excuus voor het vervuilen van het topic :)
Arg!
Waarschijnlijk is het een WG Tunnel probleem. Ik heb net de WireGuard app gedownload en een export van en WG Tunnel in WireGuard geïmporteerd. En de vpn doet het wel!
De zelfde settings, andere app.

[ Voor 16% gewijzigd door RedRayMann op 19-04-2025 23:07 ]


Acties:
  • +4 Henk 'm!

  • TheCeet
  • Registratie: Oktober 2012
  • Laatst online: 11:58
Security update
https://github.com/Adguar...me/releases/tag/v0.107.61
Security
Any simultaneous requests that are considered duplicates will now only result in a single request to upstreams, reducing the chance of a cache poisoning attack succeeding. This is controlled by the new configuration object pending_requests, which has a single enabled property, set to true by default.

NOTE: It's strongly recommended to leave it enabled, otherwise AdGuard Home will be vulnerable to untrusted clients.

Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
Wanneer ik in Settings > DNS settings , de Cache size van 4194304 naar -empty- zet en dan save blijft dit leeg zoals bedoeld.
Verlaat ik deze pagina en klik bijv op Dashboard en daarna terug naar Settings dan staat de standaard Cache size van 4194304 weer ingevuld....
Is dit een bug?

Acties:
  • 0 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
EverLast2002 schreef op dinsdag 22 april 2025 @ 23:38:
Wanneer ik in Settings > DNS settings , de Cache size van 4194304 naar -empty- zet en dan save blijft dit leeg zoals bedoeld.
Verlaat ik deze pagina en klik bijv op Dashboard en daarna terug naar Settings dan staat de standaard Cache size van 4194304 weer ingevuld....
Is dit een bug?
Welke waarde staat er in je AdGuardHome.yaml?

Acties:
  • +1 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
lolgast schreef op woensdag 23 april 2025 @ 07:35:
[...]

Welke waarde staat er in je AdGuardHome.yaml?
ook 4194304

ik heb nu "0" ingevuld i.p.v. leeg, en dit houdt ie wel vast.
ik ga er vanuit dat caching nu uitgeschakeld is.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
EverLast2002 schreef op woensdag 23 april 2025 @ 17:41:
[...]


ook 4194304

ik heb nu "0" ingevuld i.p.v. leeg, en dit houdt ie wel vast.
ik ga er vanuit dat caching nu uitgeschakeld is.
Waarom schakel je de cache uit?

Acties:
  • 0 Henk 'm!

  • Villager
  • Registratie: September 2013
  • Laatst online: 13:14
stormfly schreef op donderdag 24 april 2025 @ 05:03:
[...]


Waarom schakel je de cache uit?
Ik heb de cache ook uit staan, omdat die al in unbound aan staat...

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Villager schreef op donderdag 24 april 2025 @ 06:24:
[...]

Ik heb de cache ook uit staan, omdat die al in unbound aan staat...
Dan heb je toch altijd een extra lookup tussen applicaties. Dat vindt wel zonde, zoals ik eerder schreef hier of in Pi-Hole topic is voor snelheid van resolving het belangrijkste.

Acties:
  • 0 Henk 'm!

  • Villager
  • Registratie: September 2013
  • Laatst online: 13:14
stormfly schreef op donderdag 24 april 2025 @ 08:54:
[...]


Dan heb je toch altijd een extra lookup tussen applicaties. Dat vindt wel zonde, zoals ik eerder schreef hier of in Pi-Hole topic is voor snelheid van resolving het belangrijkste.
Ik zal het eens aanzetten en kijken wat het effect is op de responsetijden.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Villager schreef op donderdag 24 april 2025 @ 08:58:
[...]

Ik zal het eens aanzetten en kijken wat het effect is op de responsetijden.
Kan jij het meten? Ik probeer het in smokeping tussen AdGuardHome en PiHole-FTL maar het transparant meten over lange termijn is vrij complex.

Acties:
  • 0 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
Ik heb geen cache in AGH, wel in Technitium. Een lookup van AGH naar Technitium is gemiddeld 40us. Verwaarloosbaar dus ;)

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
lolgast schreef op donderdag 24 april 2025 @ 09:22:
Ik heb geen cache in AGH, wel in Technitium. Een lookup van AGH naar Technitium is gemiddeld 40us. Verwaarloosbaar dus ;)
Hmmm leuk die tool kende ik niet ;-) tnx

Acties:
  • 0 Henk 'm!

  • Villager
  • Registratie: September 2013
  • Laatst online: 13:14
stormfly schreef op donderdag 24 april 2025 @ 09:19:
[...]


Kan jij het meten? Ik probeer het in smokeping tussen AdGuardHome en PiHole-FTL maar het transparant meten over lange termijn is vrij complex.
Niet anders dan hetgeen in Adguard wordt aangegeven. Zit nu op 25ms..

Acties:
  • 0 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
stormfly schreef op donderdag 24 april 2025 @ 09:43:
[...]


Hmmm leuk die tool kende ik niet ;-) tnx
offtopic:
Behoeft wat stappen on als root dns server te fungeren, maar werkt voor mij fijner dan Unbound. Bij die laatste kreeg ik nooit het gevoel dat die goed/optimaal performde..

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 15:19
lolgast schreef op donderdag 24 april 2025 @ 10:54:
[...]

offtopic:
Behoeft wat stappen on als root dns server te fungeren, maar werkt voor mij fijner dan Unbound. Bij die laatste kreeg ik nooit het gevoel dat die goed/optimaal performde..
"Serve expired" en prefetching aanzetten scheelt een hoop in Unbound.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
lolgast schreef op donderdag 24 april 2025 @ 10:54:
[...]

offtopic:
Behoeft wat stappen on als root dns server te fungeren, maar werkt voor mij fijner dan Unbound. Bij die laatste kreeg ik nooit het gevoel dat die goed/optimaal performde..
Update (Oct 20, 2024): DNS server v13.1 now includes "Secondary ROOT Zone (RFC 8806)" option in Add Zone dialog reducing this entire blog post into a single click operation.

Dat lijkt nu wat simpeler te zijn, ik vraag mij af of het nodig is want dit gaat om de rootserver locally? Ik wil eigenlijk alleen een lookup doen bij de rootservers en dat doet hij out of the box als ik https://www.dnscheck.tools out of the box bezoek.

offtopic:
Ik post het bewust even hier, want het nadeel van GoT is dat de bekende topics voorzien zijn van de experts qua kennis. En bij een nieuw topic moet je maar geluk hebben dat de expert jouw topic ziet.

[ Voor 3% gewijzigd door stormfly op 24-04-2025 13:16 ]


Acties:
  • +1 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
stormfly schreef op donderdag 24 april 2025 @ 05:03:
[...]


Waarom schakel je de cache uit?
omdat mijn internetverbinding altijd snel genoeg is en caching in mijn beleving een feature is die snelheidswinst geeft wanneer veel clients tegelijk via een trage verbinding surfen.
met cache disabled ben ik van ~25msec naar ~11msec gegaan.

Acties:
  • 0 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
EverLast2002 schreef op donderdag 24 april 2025 @ 13:16:
[...]


omdat mijn internetverbinding altijd snel genoeg is en caching in mijn beleving een feature is die snelheidswinst geeft wanneer veel clients tegelijk via een trage verbinding surfen.
met cache disabled ben ik van ~25msec naar ~11msec gegaan.
En waar meet je dit, in de live logs van AdGuard?

Acties:
  • +1 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
stormfly schreef op donderdag 24 april 2025 @ 13:17:
[...]


En waar meet je dit, in de live logs van AdGuard?
info staat op het dashboard van adguardhome, ik hoef niks te meten.

Acties:
  • +1 Henk 'm!

  • lolgast
  • Registratie: November 2006
  • Nu online
stormfly schreef op donderdag 24 april 2025 @ 12:09:
[...]


Update (Oct 20, 2024): DNS server v13.1 now includes "Secondary ROOT Zone (RFC 8806)" option in Add Zone dialog reducing this entire blog post into a single click operation.

Dat lijkt nu wat simpeler te zijn, ik vraag mij af of het nodig is want dit gaat om de rootserver locally? Ik wil eigenlijk alleen een lookup doen bij de rootservers en dat doet hij out of the box als ik https://www.dnscheck.tools out of the box bezoek.

offtopic:
Ik post het bewust even hier, want het nadeel van GoT is dat de bekende topics voorzien zijn van de experts qua kennis. En bij een nieuw topic moet je maar geluk hebben dat de expert jouw topic ziet.
Wat jij wilt doet hij out-of-the-box inderdaad
ThinkPad schreef op donderdag 24 april 2025 @ 11:38:
[...]

"Serve expired" en prefetching aanzetten scheelt een hoop in Unbound.
Ik heb zelf slechte ervaringen met ‘serve expired’. Netflix die geen streams start, Videoland die geen streams start. Pagina’s via Cloudflare die onbereikbaar zijn.

En eerlijk, het zijn lapmiddelen die niet nodig moeten zijn. Mijn dns servers zitten op een weekgemiddelde van 3.52ms en 1.37ms. Zonder al die toeters en bellen. Enige wat ik aan caching heb is de standaard TTL’s van domeinen in Technitium

Acties:
  • 0 Henk 'm!

  • Villager
  • Registratie: September 2013
  • Laatst online: 13:14
Ik kan inmiddels wel bevestigen na 45K requests dat het aanzetten van de cache in Adguard naast die in Unbound een flinke verbetering geeft van de responstijd. In de praktijk merk ik er niet direct iets van, maar de Adguard Average processing time zit nu op 2ms en dit was dus 25ms. De Average upstream response time rechtsonderaan op adres 12.0.0.1:5353 zit op 18ms. Conclusie: Als je Unbound gebruikt dan heeft t zeker ook zin om de cache in Adguard aan te zetten.

Acties:
  • +2 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Villager schreef op vrijdag 25 april 2025 @ 16:59:
Ik kan inmiddels wel bevestigen na 45K requests dat het aanzetten van de cache in Adguard naast die in Unbound een flinke verbetering geeft van de responstijd. In de praktijk merk ik er niet direct iets van, maar de Adguard Average processing time zit nu op 2ms en dit was dus 25ms. De Average upstream response time rechtsonderaan op adres 12.0.0.1:5353 zit op 18ms. Conclusie: Als je Unbound gebruikt dan heeft t zeker ook zin om de cache in Adguard aan te zetten.
Dat is ook exact mijn filosofie elke cache in het pad kan helpen versnellen. Leuk dat je de ervaringen deelt vergeet ook niet: Optimistic caching
Make AdGuard Home respond from the cache even when the entries are expired and also try to refresh them.

Het opzoeken van een record via root -> TLD -> authoritative is best een lang pad, je merkt ook duidelijk als de betreffende URL voor het eerst door unbound heen moet. Daarom is een DNS van je provider ook vaak snel omdat je daar profiteert van de landelijk cache.
  • Client vraagt: Jij typt bijvoorbeeld www.example.nl in je browser.
  • Cache check: Je pc checkt eerst of hij het IP-adres al kent (cache).
  • DNS Resolver: Zo niet, dan vraagt je pc het aan een DNS resolver (meestal van je internetprovider).
  • Root servers: De resolver vraagt eerst aan een root server: “Waar vind ik .nl?”
  • TLD servers (.nl): De root server zegt: “Ga naar de .nl TLD servers.”
  • TLD servers: De resolver vraagt bij de .nl server: “Waar is example.nl?”
  • Authoritative server: De .nl server verwijst naar de authoritative DNS server voor example.nl.
  • Ophalen IP: De resolver vraagt daar het echte IP-adres op.
  • Terug naar client: De resolver geeft het IP-adres terug aan jouw pc.
  • Connectie: Je pc maakt dan een verbinding met het IP-adres.
Ik heb nu ook de KPN DNS erbij gezet in AdGuard, het IP van mijn UniFi router (ook een cache). En heb parallelle verzoeken ingeschakeld in AdGuard, zowel Technitium als Unbound verliezen het van KPN waarschijnlijk omdat KPN profiteert van een DNS cache met 3miljoen klanten >:) en het feit dat ze echt een loei snelle DNS farm hebben.

[ Voor 3% gewijzigd door stormfly op 25-04-2025 17:58 ]


Acties:
  • +2 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
https://github.com/Lissy93/AdGuardian-Term/releases

Afbeeldingslocatie: https://camo.githubusercontent.com/264814800d43852b6da68cd39c968f85eaa1d5b2d7e18f6e76a5abd402627f37/68747470733a2f2f692e6962622e636f2f4e7274643031642f6164677561726469616e2d64656d6f2e6769663f
Leuk tooltje om realtime mee te kijken, screenshot van GitHub.

[ Voor 3% gewijzigd door stormfly op 26-04-2025 13:19 ]


Acties:
  • +2 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Ik heb nog even lopen freubelen met tunning, zoals jullie mogelijk gelezen hebben is voor mij snelheid belangrijker dan ultieme privacy. Ik vertrouw KPN als provider, ook als ze loggen.


Minder dan 0ms is helaas niet haalbaar ;)
Afbeeldingslocatie: https://tweakers.net/i/qtMO_hvrXHK_3mSq1mllIcu6nTU=/800x/filters:strip_exif()/f/image/wmAEM2QFqMsXrtT1ceptLCR3.png?f=fotoalbum_large

Hier zie je heel goed wat een warme cache doet, en hoe snel het KPN DNS cluster is. KPN staat elke dag met stip op nummer #1 in de 24hr statistiek. Overigens wel het secondary adres, niet het primary. Daarna komt Technititim en daarna pas Unbound. Ik ben erg blij met de Technitium tip die hier werd gedeeld @lolgast

Technitium en Unbound draaien samen om te bepalen welke van de twee de snelste is, uiteindelijk zal er één vervallen.

KPN heeft een ping tijd van 4 a 5 ms terwijl de localhost intern draait, toch is het antwoord sneller terug vanuit KPN dan vanuit Technitium of Unbound. Ik gebruik de optie voor parallelle requests, de snelste wint.
Afbeeldingslocatie: https://tweakers.net/i/MvjY6FL7hbe_aeIrMNKTdXLBB78=/800x/filters:strip_exif()/f/image/Xwg7lXJBGsRuJemNd5MIiJNY.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/1ZixVXA-izOMYthm6GwmfpQhuXo=/800x/filters:strip_exif()/f/image/C7iHcr12ISQSdgAvPiFtuVqk.png?f=fotoalbum_large

Ik heb nog een overlay website gemaakt die de API output van AGH parsed, ik wil beter zien of iets uit cache komt. Draait in een klein docker container.
Afbeeldingslocatie: https://tweakers.net/i/0aTtCxn61V8npiy1hYzzXDVYxJE=/800x/filters:strip_exif()/f/image/X7gbwySauciaWJ2QyvoZi6vb.png?f=fotoalbum_large

Alle ultrakorte TTL's zet ik op 5 minuten ipv bijvoorbeeld 30seconden.
Afbeeldingslocatie: https://tweakers.net/i/5wMb7ZDakS9NnI1TyTMH9NFIoi4=/800x/filters:strip_exif()/f/image/l6dJvQ9Ljz0BFjWj7aL9E0Vj.png?f=fotoalbum_large

In Technitium heb ik de waardes iets verlaagd om prefetching iets eerder af te dwingen.
Afbeeldingslocatie: https://tweakers.net/i/j1M9ISU47QalZpWttUxylEm8aZg=/800x/filters:strip_exif()/f/image/CYwxVEx0o3GppMFLxXqvi3Ls.png?f=fotoalbum_large

Serve stale wait time naar 0
Afbeeldingslocatie: https://tweakers.net/i/Su6WAYXsPMdUNSx7i3DCjBUMVoQ=/800x/filters:strip_exif()/f/image/0uI4xlpoQ5xaIdhUQmdcEFcX.png?f=fotoalbum_large

Unbound heb ik ook veel aan getuned voor een 4 core machine hieronder mijn config. Unbound gecompiled met libevent:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
root@dnsserver:~# cat /etc/unbound/unbound.conf.d/unbound.conf
# Core Server Configuration
server:
    # Logging Settings
    log-time-ascii: yes
    log-time-iso: yes
    chroot: ""
    logfile: /var/log/unbound.log
    verbosity: 0
    statistics-interval: 0
    extended-statistics: yes
    statistics-cumulative: yes
    # Server Resource Settings
    num-threads: 4
    num-queries-per-thread: 4096
    so-rcvbuf: 4m
    so-sndbuf: 4m
    so-reuseport: yes
    # Network Interface Configuration
    interface: 127.0.0.1
    interface: ::1
    port: 5335
    # Protocol Support
    prefer-ip6: yes
    incoming-num-tcp: 1024
    outgoing-range: 8192
    edns-buffer-size: 1232
    max-udp-size: 1232
    # Cache Configuration
    rrset-cache-size: 256m
    msg-cache-size: 128m
    cache-max-ttl: 86400
    cache-max-negative-ttl: 60
    # Cache Performance Tuning
    prefetch: yes
    prefetch-key: yes
    serve-expired: yes
    serve-expired-ttl: 86400
    serve-expired-ttl-reset: yes
    serve-expired-reply-ttl: 30
    rrset-roundrobin: yes
    # Cache Slabs (Concurrency)
    msg-cache-slabs: 4
    key-cache-slabs: 4
    rrset-cache-slabs: 4
    infra-cache-slabs: 4
    # Privacy and Security
    use-caps-for-id: no
    # DNSSEC Configuration
    harden-algo-downgrade: no
    harden-referral-path: no
    # Query Privacy
    # Infrastructure Cache Settings
    infra-cache-numhosts: 10000
    infra-host-ttl: 900
    # TLS Configuration
    tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
    # Root Server Settings
    root-hints: "/var/lib/unbound/root.hints"
    target-fetch-policy: "3 2 1 0 0"
    unwanted-reply-threshold: 10000000
    # Private Network Definitions
    private-address: 10.0.0.0/8
    private-address: 172.16.0.0/12
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 192.0.2.0/24
    private-address: 198.51.100.0/24
    private-address: 203.0.113.0/24
    private-address: 255.255.255.255/32
    private-address: fd00::/8
    private-address: fe80::/10
    private-address: 2001:db8::/32
    # Access Control Lists
    access-control: 10.0.0.0/8 allow
    access-control: 172.16.0.0/12 allow
    access-control: 192.168.0.0/16 allow
    access-control: 127.0.0.1/32 allow
    access-control: ::1/128 allow
    access-control: ::/0 refuse

Acties:
  • 0 Henk 'm!

  • Jazco2nd
  • Registratie: Augustus 2002
  • Laatst online: 07-06 21:17
@stormfly ik begrijp niet waarom je Unbound én Technitum gebruikt. Beide kunnen exact hetzelfde doen.. met dezelfde root dns servers communiceren etc. Gewoon voor de hobby?

Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Jazco2nd schreef op dinsdag 29 april 2025 @ 08:34:
@stormfly ik begrijp niet waarom je Unbound én Technitum gebruikt. Beide kunnen exact hetzelfde doen.. met dezelfde root dns servers communiceren etc. Gewoon voor de hobby?
Performance meting, ik wilde bepalen welke van de twee sneller is en dat lijkt Technititum te zijn.

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 15:19
De vraag is: merk je in de praktijk het verschil tussen 5ms, 15ms of 25ms?

Acties:
  • +2 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
ThinkPad schreef op dinsdag 29 april 2025 @ 08:43:
De vraag is: merk je in de praktijk het verschil tussen 5ms, 15ms of 25ms?
Ja ik wel, je mag mij bijzonder noemen ;-) op een Ziggo lijn met 18ms zal je het mogelijk niet merken. Op een glasvezel lijn met lage latency, nieuwe UniFi netwerk apparatuur met hardware offloading, WiFi 6E, nieuwe MacBook. Dan kan je de zwakste schakel detecteren, en dat is dan DNS, Vooral als hij bij de root e.a. moet opvragen, ik merk dat direct. Ik kreeg unbound niet snel genoeg naar mijn wensen en dat blijkt ook uit de metingen.

Dit was mijn laatste post erover hoor :9 het doel is behaald, nu weer van de zonnige dagen genieten met de kids in de kids vakantie.

Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 15:19
Ik vind het wel een interessante discussie hoor. Ik heb AGH rechtstreeks op m'n OPNsense router draaien. Clients gaan naar AGH en in AGH is de enige upstream de Unbound van OPNsense zelf.

Voorheen had ik in Unbound altijd 1.1.1.1 en 8.8.8.8 maar ben onlangs geswitched naar Europese servers en ook gelijk over DoT: ThinkPad in "Zelfbouw project: Firewall / Router / AP"

Ik zie in de AGH logs dat queries die uit de AGH cache komen in 1-3ms beantwoord worden, prima. Maar ik zie ook 115-325-417ms en dat is dan in vergelijking met jouw logs en die van @lolgast bijv. wel érg traag. Ik zie zelfs 6000 - 10.000ms, daar gaat wat mis met een te trage upstream DoT resolver denk ik 8)7

Heb die DoT servers nu in Unbound geconfigureerd, zal ze eens rechstreeks in AGH zetten zodat ik kan zien welke er zo traag is en die eruit mikken.

Een ping in SmokePing naar de geconfigureerde DoT servers ziet er gewoon rustig uit, 8-24ms.

[ Voor 17% gewijzigd door ThinkPad op 29-04-2025 10:54 ]


Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
ThinkPad schreef op dinsdag 29 april 2025 @ 10:47:
Ik vind het wel een interessante discussie hoor. Ik heb AGH rechtstreeks op m'n OPNsense router draaien. Clients gaan naar AGH en in AGH is de enige upstream de Unbound van OPNsense zelf.

Voorheen had ik in Unbound altijd 1.1.1.1 en 8.8.8.8 maar ben onlangs geswitched naar Europese servers en ook gelijk over DoT: ThinkPad in "Zelfbouw project: Firewall / Router / AP"

Ik zie in de AGH logs dat queries die uit de AGH cache komen in 1-3ms beantwoord worden, prima. Maar ik zie ook 115-325-417ms en dat is dan in vergelijking met jouw logs en die van @lolgast bijv. wel érg traag. Ik zie zelfs 6000 - 10.000ms, daar gaat wat mis met een te trage upstream DoT resolver denk ik 8)7

Heb die DoT servers nu in Unbound geconfigureerd, zal ze eens rechstreeks in AGH zetten zodat ik kan zien welke er zo traag is en die eruit mikken.

Een ping in SmokePing naar de geconfigureerde DoT servers ziet er gewoon rustig uit, 8-24ms.
Ik heb een aantal van die EU servers in smokeping staan, die zijn niet allemaal even snel. Als je niet de optie voor parallele requests hebt ingeschakeld kiest AGH zelf de snelste en meest betrouwbare via een gewogen algoritme. Maar inderdaad dan moeten ze wel allemaal in AGH staan. AGH is de meest intelligente tool qua logica om keuzes te maken. En je slaat een hop over, omdat je vanuit AGH prima deze EU DNS servers kan aanspreken.

Wist je dat UniFi bij de WAN instellingen voor DNS op "auto" ook 1.1.1.1 aanroept naast de DNS van je provider? Daarmee kan je stellen dat 1.1.1.1 ook een hele goede cache vullingsgraad heeft. Bij een EU DNS server denk ik dat de cache minder optimaal is voor Hollands gebruik, ik hoor er niet veel mensen over.

Afbeeldingslocatie: https://tweakers.net/i/0BorTVyENiR_EqBCY4b_7VzZeos=/x800/filters:strip_exif()/f/image/zZxtIUG3V3CWGoZbYhOM7Jyb.png?f=fotoalbum_large

[ Voor 11% gewijzigd door stormfly op 29-04-2025 20:27 ]


Acties:
  • 0 Henk 'm!

  • Videopac
  • Registratie: November 2000
  • Laatst online: 11:39

Videopac

Rommelt wat aan.

stormfly schreef op dinsdag 29 april 2025 @ 19:32:
[...]


Ik heb een aantal van die EU servers in smokeping staan, die zijn niet allemaal even snel. Als je niet de optie voor parallele requests hebt ingeschakeld kiest AGH zelf de snelste en meest betrouwbare via een gewogen algoritme. Maar inderdaad dan moeten ze wel allemaal in AGH staan. AGH is de meest intelligente tool qua logica om keuzes te maken. En je slaat een hop over, omdat je vanuit AGH prima deze EU DNS servers kan aanspreken.
Welke (EU) DNS servers heb je allemaal opgegeven in AGH?
Wist je dat UniFi bij de WAN instellingen voor DNS op "auto" ook 1.1.1.1 aanroept naast de DNS van je provider? Daarmee kan je stellen dat 1.1.1.1 ook een hele goede cache vullingsgraad heeft. Bij een EU DNS server denk ik dat de cache minder optimaal is voor Hollands gebruik, ik hoor er niet veel mensen over.
[..]
Wat maakt EU DNS servers minder optimaal voor Hollands gebruik?

(Ik werk dus niet voor mijn werk met netwerken)

Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13:46
@stormfly
vraagje: wat precies doen die "various probes" in Smokeping?

ik vraag me af of in hoeverre een echo ping test relevant is in deze,
is het niet interessanter om te weten hoe snel een DNS server resolved ?

Acties:
  • 0 Henk 'm!

  • Puller
  • Registratie: Februari 2019
  • Laatst online: 03-06 15:22
@stormfly
Wil de tool proberen maar krijg bij git deze melding.

~# git clone git@github.com:spiralshapeturtle/aghlogviewer.git

Cloning into 'aghlogviewer'...
git@github.com: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

Wat doe ik fout?
Ik heb nog een overlay website gemaakt die de API output van AGH parsed, ik wil beter zien of iets uit cache komt. Draait in een klein docker container.

Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
Videopac schreef op dinsdag 29 april 2025 @ 21:07:
[...]

Welke (EU) DNS servers heb je allemaal opgegeven in AGH?
Ik geen, want ze staan voor mij allemaal op een te grote afstand. Heb er wel een aantal in smokeping staan, je ziet ze op het screenshot met hun IP's
Wat maakt EU DNS servers minder optimaal voor Hollands gebruik?

(Ik werk dus niet voor mijn werk met netwerken)
Het gaat mij om de cache hit ratio, anderen gaat het om privacy. Voor de cache is mijn theorie als volgt: ik hoor veel mensen om mij heen (Nederland) het hebben over 8.8.8.8 of 1.1.1.1 of 9.9.9.9. Als ik een EU DNS server gebruik dan kan die DNS server prima het Luxemburgse NU.lux in cache hebben maar als ik AD.nl bezoek moet hij een lange lookup doen omdat hij minder vaak lijkt gebruikt te zijn in onze omgeving. Wat deze DNS server voor mij trager maakt. Ook zijn er een aantal wel goed bereikbaar met een lage ping, anderen een fors hoge ping 40-100ms. Qua privacy ->is 8.8.8.8 voor mij wel een brug te ver omdat het bekend is dat Google leeft van data.
EverLast2002 schreef op dinsdag 29 april 2025 @ 22:22:
@stormfly
vraagje: wat precies doen die "various probes" in Smokeping?

ik vraag me af of in hoeverre een echo ping test relevant is in deze,
is het niet interessanter om te weten hoe snel een DNS server resolved ?
Bij controlD zie je dat gedrag goed, het is overigens iets gezakt. Een paar werken terug zaten ze op 5ms ping en 10ms resolve tijd. Waarbij ze een heel goed peering (internet) netwerk hebben, alleen zijn hun servers flink traag. Omdat ik graag met netwerken knutsel is RTT voor mij wel een relevante waarde, je hebt helemaal gelijk dat voor deze discussie de DNS REQ de plaat is waar we naar zouden moeten kijken. Het zijn dig probes.

Ik heb controlD eens toegevoegd in AGH +9.9.9.9 naast KPN en mijn eigen Technititum om te kijken hoe de ranking zich uitlijnt, of AGH hetzelfde beeld geeft als smokeping dat controlD vrij/erg traag is ondanks hun leuke nerdy marketing.
Afbeeldingslocatie: https://tweakers.net/i/6lY9YZsIIXa1nAl6H_RuA4Wh94M=/800x/filters:strip_exif()/f/image/dGoqLYY5Eam2CT4aSnmseMWI.png?f=fotoalbum_large
Puller schreef op woensdag 30 april 2025 @ 00:57:
@stormfly
Wil de tool proberen maar krijg bij git deze melding.

~# git clone git@github.com:spiralshapeturtle/aghlogviewer.git

Cloning into 'aghlogviewer'...
git@github.com: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

Wat doe ik fout?


[...]
Voor GitHub loopt er nog een leercurve hier :P ik heb de readme net aangepast. PB mij anders even om het werkend te krijgen, als het nu nog niet doorloopt.

offtopic:
EDIT: in de NPO app startte ik een video en dat komt blijkbaar uit lokale caches in het KPN netwerk. Ik weet dat KPN NetFlix caches heeft om zoveel mogelijk verkeer in het netwerk te houden. Dat heeft zich uitgebreid voor NPO. Zou je deze caches ook gebruiken als je 3th party DNS gebruikt?

edge.prd.cdn.bcms.gslb.kpn.com
npo.prd.cdn.bcms.kpn.com


NetFlix cache script
Afbeeldingslocatie: https://tweakers.net/i/nqsvTWjVIcICmCULYtTcXb9Vqnc=/800x/filters:strip_exif()/f/image/9fImhbvPE3xYEf8AjbsL0Rnl.png?f=fotoalbum_large

[ Voor 20% gewijzigd door stormfly op 30-04-2025 09:19 ]


Acties:
  • +1 Henk 'm!

  • Puller
  • Registratie: Februari 2019
  • Laatst online: 03-06 15:22
@stormfly
Aghlogviewer werkt nu, tnx
Leuke tool om live mee te kijken naar het dns gebeuren.

Acties:
  • +1 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 15:19
stormfly schreef op dinsdag 29 april 2025 @ 19:32:
[...]
Ik heb een aantal van die EU servers in smokeping staan, die zijn niet allemaal even snel. Als je niet de optie voor parallele requests hebt ingeschakeld kiest AGH zelf de snelste en meest betrouwbare via een gewogen algoritme. Maar inderdaad dan moeten ze wel allemaal in AGH staan. AGH is de meest intelligente tool qua logica om keuzes te maken. En je slaat een hop over, omdat je vanuit AGH prima deze EU DNS servers kan aanspreken.
Die optie staat zeker aan. Dit is na +/- 24u de tussenstand van de diverse servers en methoden (DoT / DoH / QUIC) die ik erin heb staan. Is vanaf een Odido glaslijn:
UpstreamResponse time
127.0.0.1:532 ms
tls://dns10.quad9.net:85312 ms
https://dns10.quad9.net:443/dns-query14 ms
tls://dns.quad9.net:85314 ms
https://doh.dns.sb:443/dns-query24 ms
quic://doq.dns4all.eu:85325 ms
tls://dns.sb:85326 ms
tls://dns.mullvad.net:85328 ms
tls://unicast.censurfridns.dk:85331 ms
https://dnspub.restena.lu:443/dns-query36 ms
tls://dnspub.restena.lu:85337 ms
tls://dot1.applied-privacy.net:85338 ms
https://dns.mullvad.net:443/dns-query40 ms
tls://resolver.dns4all.eu:85340 ms
https://doh.libredns.gr:443/dns-query43 ms
https://dns.digitale-gesellschaft.ch:443/dns-query52 ms
https://unicast.uncensoreddns.org:443/dns-query53 ms
https://doh.applied-privacy.net:443/query54 ms
https://doh.dns4all.eu:443/dns-query91 ms
EverLast2002 schreef op dinsdag 29 april 2025 @ 22:22:
@stormfly
vraagje: wat precies doen die "various probes" in Smokeping?

ik vraag me af of in hoeverre een echo ping test relevant is in deze,
is het niet interessanter om te weten hoe snel een DNS server resolved ?
Dat klopt, zou ik zelf ook willen meten. Heb alleen nog niet kunnen vinden hoe je DoT kan meten in SmokePing. Heb er nu alleen unencrypted DNS servers in staan en een ping naar DoT servers.
stormfly schreef op woensdag 30 april 2025 @ 08:15:
[...]
Ik geen, want ze staan voor mij allemaal op een te grote afstand. Heb er wel een aantal in smokeping staan, je ziet ze op het screenshot met hun IP's
[...]
Via https://www.dnscheck.tools/ zie ik dat DNS.SB via xTom in Amsterdam zit. DNS4ALL zit in Haarlem.
De rest zit allemaal ietsje verder idd: Wenen, Zürich, Luxemburg, Kopenhagen, Nürnberg.

Jij gebruikt uberhaupt geen encrypted (DoT) servers begrijp ik?

Ik neig nu naar het toevoegen van de Odido unencrypted servers (verkeer verlaat het Odido netwerk toch niet, dus alleen ISP kan evt. meelezen) aangevuld door een paar snelle encrypted servers zoals Quad9 unfiltered.

Acties:
  • +2 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
ThinkPad schreef op woensdag 30 april 2025 @ 20:48:
[...]

Die optie staat zeker aan. Dit is na +/- 24u de tussenstand van de diverse servers en methoden (DoT / DoH / QUIC) die ik erin heb staan. Is vanaf een Odido glaslijn:
UpstreamResponse time
127.0.0.1:532 ms
tls://dns10.quad9.net:85312 ms
https://dns10.quad9.net:443/dns-query14 ms
tls://dns.quad9.net:85314 ms
https://doh.dns.sb:443/dns-query24 ms
quic://doq.dns4all.eu:85325 ms
tls://dns.sb:85326 ms
tls://dns.mullvad.net:85328 ms
tls://unicast.censurfridns.dk:85331 ms
https://dnspub.restena.lu:443/dns-query36 ms
tls://dnspub.restena.lu:85337 ms
tls://dot1.applied-privacy.net:85338 ms
https://dns.mullvad.net:443/dns-query40 ms
tls://resolver.dns4all.eu:85340 ms
https://doh.libredns.gr:443/dns-query43 ms
https://dns.digitale-gesellschaft.ch:443/dns-query52 ms
https://unicast.uncensoreddns.org:443/dns-query53 ms
https://doh.applied-privacy.net:443/query54 ms
https://doh.dns4all.eu:443/dns-query91 ms



[...]

Dat klopt, zou ik zelf ook willen meten. Heb alleen nog niet kunnen vinden hoe je DoT kan meten in SmokePing. Heb er nu alleen unencrypted DNS servers in staan en een ping naar DoT servers.
Zover ik begrijp is de rechts response tijd kolom in AGH niet meer dan een simpele ping, want mijn Technitium staat daar op LAN snelheid 1ms maar toch wint KPN het in de linker kolom in het vele aantal replies die hij als eerste beantwoord.

Mijn DoT test zou zijn: allemaal invullen als upstream, parallelle verzoeken naar servers vinkje inschakelen en dan de linkse kolom uitlezen over 24 hr.

Afbeeldingslocatie: https://tweakers.net/i/LIOl9b_kmFwVuNBCExN1MQUqs2c=/800x/filters:strip_exif()/f/image/KUoPS9zpmqR0ltAwJtWQwdVU.png?f=fotoalbum_large
Via https://www.dnscheck.tools/ zie ik dat DNS.SB via xTom in Amsterdam zit. DNS4ALL zit in Haarlem.
De rest zit allemaal ietsje verder idd: Wenen, Zürich, Luxemburg, Kopenhagen, Nürnberg.
Afbeeldingslocatie: https://tweakers.net/i/WRKfYHLltVzOuR7aVpzube8A9Mw=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/oL4DkPak1Llc183SkdGTuSQV.png?f=user_large
Hij heeft ook een tijdje buiten Amsterdam gedraaid 8)
Ik neig nu naar het toevoegen van de Odido unencrypted servers (verkeer verlaat het Odido netwerk toch niet, dus alleen ISP kan evt. meelezen) aangevuld door een paar snelle encrypted servers zoals Quad9 unfiltered.
Ik heb niets te verbergen, waarom willen gebruikers persé anoniem blijven? Als er om wat voor reden een onderzoek komt dan zet de ISP een internettap op de POP en tappen ze gewoon je fiberdata af en sturen ze een tcpdump file door naar de overheid. Het gaat jullie over de UDP pakketten die door andere ISP's gaan en in plaintext te lezen zijn als je ze onderschept?
Jij gebruikt uberhaupt geen encrypted (DoT) servers begrijp ik?
Nee DoT heeft TCP als overhead, dat moet opbouwen met een 3way handshake mij te traag 8) waar ik wel naar uitkijk is DoH/3 of native QUIC. DoH/3 over HTTPv3 dat is UDP QUIC gebaseerd zonder TCP. Dat is alleen nog niet heel breed beschikbaar, beide zijn zeldzaam ondersteund.

Voor nu is 9.9.9.9 heel erg snel, leuke support en goede visie met die embedded security blocks. Alleen hebben ze ontzettend vaak last van DDOS attacks en dat ligt de boel plat, je moet er dus iets naast hebben voor 9.9.9.9. Voor mij zou dat dan 1.1.1.1 zijn als je niets van je provider wilt gebruiken, beide hebben ook DoT.

Ik ben benieuwd of jij na je DoT testen, ook eens kan testen met 2x Odido en 9.9.9.9 en 1.1.1.1 en dan het vinkje parallelle verzoeken ingeschakeld. Hoe vult de linkse kolom zich, hoe snel is de Odido DNS farm tov 9.9.9.9?

Acties:
  • 0 Henk 'm!

  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 15:19
stormfly schreef op woensdag 30 april 2025 @ 21:16:
[...]
Mijn DoT test zou zijn: allemaal invullen als upstream, parallelle verzoeken naar servers vinkje inschakelen en dan de linkse kolom uitlezen over 24 hr.
Ik zal de test nog eens opnieuw doen dan, de tabel die ik hierboven postte was alleen de rechterkolom.
stormfly schreef op woensdag 30 april 2025 @ 21:16:
[...]
Ik heb niets te verbergen, waarom willen gebruikers persé anoniem blijven? Als er om wat voor reden een onderzoek komt dan zet de ISP een internettap op de POP en tappen ze gewoon je fiberdata af en sturen ze een tcpdump file door naar de overheid. Het gaat jullie over de UDP pakketten die door andere ISP's gaan en in plaintext te lezen zijn als je ze onderschept?
Het gaat mij niet zozeer om anoniem blijven, maar meer dat ik met een vrij simpele ingreep kan zorgen dat niet alles klakkeloos unencrypted richting de VS gaat (1.1.1.1 en 8.8.8.8). Gaat idd ten koste van wat snelheid, maar ik moet zeggen dat het mij met browsen niet eens echt is opgevallen. Kwestie van in het interne netwerk zoveel mogelijk een goede cache opbouwen.
stormfly schreef op woensdag 30 april 2025 @ 21:16:
Nee DoT heeft TCP als overhead, dat moet opbouwen met een 3way handshake mij te traag 8) waar ik wel naar uitkijk is DoH/3 of native QUIC. DoH/3 over HTTPv3 dat is UDP QUIC gebaseerd zonder TCP. Dat is alleen nog niet heel breed beschikbaar, beide zijn zeldzaam ondersteund.
Ik kon zo 123 alleen DNS4ALL.eu vinden die QUIC ondersteunt. Maar die is nog vrij experimenteel en zelfs via QUIC nog behoorlijk traag. Maar ik keek ook naar de verkeerde kolom dus zal dat nog eens opnieuw beoordelen. Lees her-en-der wel wat over Quad9 die QUIC wil gaan ondersteunen, maar een roadmap is nog niet bekend.
stormfly schreef op woensdag 30 april 2025 @ 21:16:
Voor nu is 9.9.9.9 heel erg snel, leuke support en goede visie met die embedded security blocks. Alleen hebben ze ontzettend vaak last van DDOS attacks en dat ligt de boel plat, je moet er dus iets naast hebben voor 9.9.9.9. Voor mij zou dat dan 1.1.1.1 zijn als je niets van je provider wilt gebruiken, beide hebben ook DoT.
Het 'advies' was altijd om niet de DNS van je ISP te gebruiken want die waren vaak maar slecht, vaak storing etc. Ben daar de laatste jaren wel op teruggekomen. Het is een resolver die het dichtste bij je zit. Als je een goede interne resolver hebt die meerdere servers kan raadplegen en niet eerst gaat zitten wachten op een ISP DNS die misschien traag reageert dan is het volgens mij dikke prima. Ja het is unencrypted, maar het is alleen de ISP zelf die kan meelezen.
En als ze het DNS verkeer niet kunnen meelezen, dan zie ze alsnog wel welke webserver e.d. je contacteert.
stormfly schreef op woensdag 30 april 2025 @ 21:16:
Ik ben benieuwd of jij na je DoT testen, ook eens kan testen met 2x Odido en 9.9.9.9 en 1.1.1.1 en dan het vinkje parallelle verzoeken ingeschakeld. Hoe vult de linkse kolom zich, hoe snel is de Odido DNS farm tov 9.9.9.9?
Weer 24u verder, dit is de score.
Afbeeldingslocatie: https://tweakers.net/i/-a4yK-WcORH58a7HoFYJA4OtMak=/800x/filters:strip_icc():strip_exif()/f/image/8uVFxelgwQB3Hy0adpV3NEI0.jpg?f=fotoalbum_large

De primary van Odido gaat dus het meeste heen. Die is qua snelheid ook dikke prima. De secondary (62.58.48.20) is echt langzaam, met een simpele ping vanaf de router zie ik dat ook al (11ms vs 7ms voor de primary). Staat toch wat verder weg in het netwerk blijkbaar. Dit zijn overigens de DNS die ik op WAN DHCP kreeg. Ik zie hier weer anderen: https://www.odido.nl/serv...ido-dns-servers/000454242 maar die reageren niet op een dig. Misschien zijn ze voor DSL infra.

Ik ga 9.9.9.10 (Quad9 unfiltered) ook nog even toevoegen, die was naar mijn herinnering sneller dan de reguliere (filtered) Quad9. En heb de filtering toch liever zelf in de hand (via AGH) zodat ik evt. false positives kan corrigeren.

[ Voor 3% gewijzigd door ThinkPad op 01-05-2025 21:48 ]


Acties:
  • +1 Henk 'm!

  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 15:04
ThinkPad schreef op donderdag 1 mei 2025 @ 21:29:
[...]

Ik zal de test nog eens opnieuw doen dan, de tabel die ik hierboven postte was alleen de rechterkolom.


[...]

Het gaat mij niet zozeer om anoniem blijven, maar meer dat ik met een vrij simpele ingreep kan zorgen dat niet alles klakkeloos unencrypted richting de VS gaat (1.1.1.1 en 8.8.8.8). Gaat idd ten koste van wat snelheid, maar ik moet zeggen dat het mij met browsen niet eens echt is opgevallen. Kwestie van in het interne netwerk zoveel mogelijk een goede cache opbouwen.


[...]

Ik kon zo 123 alleen DNS4ALL.eu vinden die QUIC ondersteunt. Maar die is nog vrij experimenteel en zelfs via QUIC nog behoorlijk traag. Maar ik keek ook naar de verkeerde kolom dus zal dat nog eens opnieuw beoordelen. Lees her-en-der wel wat over Quad9 die QUIC wil gaan ondersteunen, maar een roadmap is nog niet bekend.


[...]

Het 'advies' was altijd om niet de DNS van je ISP te gebruiken want die waren vaak maar slecht, vaak storing etc. Ben daar de laatste jaren wel op teruggekomen. Het is een resolver die het dichtste bij je zit. Als je een goede interne resolver hebt die meerdere servers kan raadplegen en niet eerst gaat zitten wachten op een ISP DNS die misschien traag reageert dan is het volgens mij dikke prima. Ja het is unencrypted, maar het is alleen de ISP zelf die kan meelezen.
En als ze het DNS verkeer niet kunnen meelezen, dan zie ze alsnog wel welke webserver e.d. je contacteert.
Tnx voor je uitgebreide reactie! Inderdaad 1.1.1.1 is ook van de Amerikanen, dan is een ISP DNS op dit moment in deze wereldpolitiek zo gek nog niet.
[...]

Weer 24u verder, dit is de score.
[Afbeelding]

De primary van Odido gaat dus het meeste heen. Die is qua snelheid ook dikke prima. De secondary (62.58.48.20) is echt langzaam, met een simpele ping vanaf de router zie ik dat ook al (11ms vs 7ms voor de primary). Staat toch wat verder weg in het netwerk blijkbaar. Dit zijn overigens de DNS die ik op WAN DHCP kreeg.

Ik ga 9.9.9.10 (Quad9 unfiltered) ook nog even toevoegen, die was naar mijn herinnering sneller dan de reguliere (filtered) Quad9. En heb de filtering toch liever zelf in de hand (via AGH) zodat ik evt. false positives kan corrigeren.
Cool om te zien dat Odido toch ook tenminste één snelle DNS server heeft. KPN heeft naar haar DNS 3-4ms ping. 9.9.9.9 filtert alleen security, dan nog ben ik met je eens dat je de filtering zelf zou willen controleren.

Ik heb nog een oude mail opgezocht van 9.9.9.9 waar ze wat meer uitleg geven. Ik was zelf altijd helemaal fan van de .11 waarbij je dan een hash/deel van je IP blootgeeft om daarvoor in ruil het dichtstbijzijnde CDN toegewezen te krijgen. Dat zit toch iets anders in elkaar.

Overigens heeft 9.9.9.10 geen DNSSEC waardoor hij mogelijk wat sneller is in jouw ervaring.

Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen


EDIT: Afbeeldingslocatie: https://tweakers.net/i/Ulwn_apk6-zvbNCw4YvlMnV65MQ=/800x/filters:strip_exif()/f/image/aT35LiO6qSTMwUVKZSZmhnEs.png?f=fotoalbum_large
Geen noemenswaardige verschillen tussen .9 .10 je ziet dat de .11 wat trager is zoals het mailtje van Quad9 ook suggereert.

[ Voor 7% gewijzigd door stormfly op 01-05-2025 21:47 ]


Acties:
  • 0 Henk 'm!

  • Kroonkurk
  • Registratie: December 2015
  • Laatst online: 15:24
Voor QUIC kan je ook quic://dns-unfiltered.adguard.com gebruiken.

Acties:
  • 0 Henk 'm!

  • Deef_K
  • Registratie: September 2007
  • Laatst online: 15:01
Ik gebruik sinds deze week adguard premium familie via IOS en heb dan last van het feit dat de YouTube app in beperkte modus werkt. Ik kan dus geen reacties onder de video’s meer zien.

Een oplossing die ik gezien heb is de regel @@||YouTube.com^ toevoegen bij dns filtering - toelatingslijst. Dit werkt voor echter niet.

Als dns server gebruik ik de adguard dns familie bescherming. Een andere oplossing kan ik niet vinden. Heeft iemand voor mij de gouden tip?

[ Voor 7% gewijzigd door Deef_K op 04-05-2025 08:47 ]


Acties:
  • 0 Henk 'm!

  • Jumpman
  • Registratie: Januari 2002
  • Laatst online: 15:30
Deef_K schreef op zondag 4 mei 2025 @ 08:45:
Ik gebruik sinds deze week adguard premium familie via IOS en heb dan last van het feit dat de YouTube app ik beperkte modus werkt. Ik kan dus geen reacties onder de video’s meer zien.

Een oplossing die ik gezien heb is de regel @@||YouTube.com^ toevoegen bij dns filtering - toelatingslijst. Dit werkt voor echter niet. Een andere oplossing kan ik niet vinden. Heeft iemand voor mij de gouden tip?
Ik gebruik deze ook, sinds de scherpe aanbieding op mijn Apple iPhone. Ik gebruik als YouTube App al lang Brave, dus zag al nooit advertenties in video’s. Een andere optie als je toch de YouTube App wilt gebruiken zonder advertenties is een VPN naar Albanië op te zetten. Ik ben wel benieuwd of het met AdGuard Premium ook kan?

Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.


Acties:
  • 0 Henk 'm!

  • Deef_K
  • Registratie: September 2007
  • Laatst online: 15:01
Jumpman schreef op zondag 4 mei 2025 @ 08:50:
[...]


Ik gebruik deze ook, sinds de scherpe aanbieding op mijn Apple iPhone. Ik gebruik als YouTube App al lang Brave, dus zag al nooit advertenties in video’s. Een andere optie als je toch de YouTube App wilt gebruiken zonder advertenties is een VPN naar Albanië op te zetten. Ik ben wel benieuwd of het met AdGuard Premium ook kan?
Op het moment van schrijven heb ik zelf de oplossing gevonden haha. Je moet niet de familie dns gebruiken want bij deze staat safe search aan. Dus gewoon de normale dns gebruiken en dan is het beperkte modus probleem opgelost.

Video advertenties haalt adguard niet weg. Ik heb YouTube premium via de goedkopere manier.

Acties:
  • +1 Henk 'm!

  • Videopac
  • Registratie: November 2000
  • Laatst online: 11:39

Videopac

Rommelt wat aan.

Volgens mij heb ik met Vivaldi (browser) geen reclame bij Youtube.

Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)


Acties:
  • 0 Henk 'm!

  • Jumpman
  • Registratie: Januari 2002
  • Laatst online: 15:30
Deef_K schreef op zondag 4 mei 2025 @ 08:55:
[...]


Op het moment van schrijven heb ik zelf de oplossing gevonden haha. Je moet niet de familie dns gebruiken want bij deze staat safe search aan. Dus gewoon de normale dns gebruiken en dan is het beperkte modus probleem opgelost.

Video advertenties haalt adguard niet weg. Ik heb YouTube premium via de goedkopere manier.
Die kan je wel weghalen met AdGuard Premium. In YouTube op link delen klikken en dan zeggen openen in de AdGuard App. Maar zoals gezegd, ik gebruik nu Brave als YouTube App op iOS en SmartTube op CCWGTV.

Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.

Pagina: 1 ... 30 31 Laatste