[AdGuard Home] Ervaringen & discussie

Deef_K schreef op zondag 4 mei 2025 @ 08:45:
Ik gebruik sinds deze week adguard premium familie via IOS en heb dan last van het feit dat de YouTube app in beperkte modus werkt. Ik kan dus geen reacties onder de video’s meer zien.

Een oplossing die ik gezien heb is de regel @@||YouTube.com^ toevoegen bij dns filtering - toelatingslijst. Dit werkt voor echter niet.

Als dns server gebruik ik de adguard dns familie bescherming. Een andere oplossing kan ik niet vinden. Heeft iemand voor mij de gouden tip?

Remco Tr schreef op dinsdag 6 mei 2025 @ 12:05:
Misschien kan iemand het uitleggen die het beter begrijpt.

Probeer al een tijdje de NOS app aan de praat te krijgen adguard icm unbound. Alleen unbound gooit roet in het eten. Met verschillende settings wel of geen serve expired.

Als ik unbound vervang voor technitium werkt het wel gelijk. Probleem zit hem dus niet in blocklist maar echt in de afhandeling van unbound.

Wie weet er meer?

[ Voor 61% gewijzigd door ThinkPad op 06-05-2025 12:56 ]

ThinkPad schreef op dinsdag 6 mei 2025 @ 12:55:
[...]

Daar liep @alex3305 ook tegenaan, hij laat als oplossing nos.nl resolven door z'n provider DNS: alex3305 in "[AdGuard Home] Ervaringen & discussie"

[ Voor 58% gewijzigd door Glassertje op 06-05-2025 20:20 ]

alex3305 schreef op dinsdag 6 mei 2025 @ 20:53:
[...]
Inmiddels gebruik ik de NOS app overigens niet meer omdat de ontwikkelaars daar weer eens de toegankelijkheid van de app compleet verneukt hebben.

offtopic:
https://noslite.nl/

Remco Tr schreef op dinsdag 6 mei 2025 @ 12:05:
Misschien kan iemand het uitleggen die het beter begrijpt.

Probeer al een tijdje de NOS app aan de praat te krijgen adguard icm unbound. Alleen unbound gooit roet in het eten. Met verschillende settings wel of geen serve expired.

Als ik unbound vervang voor technitium werkt het wel gelijk. Probleem zit hem dus niet in blocklist maar echt in de afhandeling van unbound.

Wie weet er meer?

1
2
3
4
5

@@||topspin.npo.nl^$important
@@||atconnect.npo.nl^$important
@@||atconnect-npo-nl-cddc.at-o.net^$important
@@||nmonpoendpoint.2cnt.net^$important
@@||o314617.ingest.sentry.io^$important

1
2

harden-referral-path: yes
Als NS-sets of glue onbetrouwbaar zijn (bij at-o.net), kan dit validering breken.

1
2
3
4
5
6
7
8
9
10

Harden  the  referral  path by performing additional queries for
              infrastructure data.  Validates the replies if trust anchors are
              configured and the zones are signed.  This enforces DNSSEC vali-
              dation on nameserver NS sets and the nameserver  addresses  that
              are encountered on the referral path to the answer.  [b]Default no[/b],
              because  it  burdens  the  authority  servers, and it is not RFC
              standard, and could lead to performance problems because of  the
              extra  query  load  that is generated.  Experimental option.  If
              you enable it  consider  adding  more  numbers  after  the  tar-
              get-fetch-policy to increase the max depth that is checked to.

1
2
3
4

server:
    # Sta een ‘algorithm‑downgrade’ toe als er meerdere DS‑algoritmes zijn.
    # Daarmee gedraag je je zoals KPN/Google: één geldige keten is genoeg.
    harden-algo-downgrade: no

[ Voor 56% gewijzigd door stormfly op 06-05-2025 23:13 ]

[ Voor 5% gewijzigd door FLA NL op 06-05-2025 23:32 ]

FLA NL schreef op dinsdag 6 mei 2025 @ 23:00:
Ik gebruik als upstream mijn router waar dnssec validatie op aan staat. Die gebruikt vervolgens als upstream met DNS over TLS, Quad9 en Dns0.eu. Alhoewel ik wel een Odido verbinding heb zal het dus niet liggen en hoe zij de dnssec afhandeling doen. De reden dat ik mijn router als upstream heb is om DNS Rebinding tegen te gaan.

Ik heb overigens ook getest met Technitium DNS als upstream in Adguard te gebruiken. Maar als je die zo instelt dat die ook expired records terug geeft zoals Adguard dat doet met optimistic caching dan krijg ik ook dat probleem met de NOS. Wat in het geval van Adguard ook zag is dat de gecachte records andere IP adressen teruggaven dan toen ze uiteindelijk wel ververst waren. Na een aantal keer refreshen doet de NOS app het vaak weer en ik heb het vermoeden dat dat de tijdsduur van de TTL van 10 seconden is, die Adguard standaard terug geeft bij expired records als optimistic caching aanstaat. Bij unbound zou je hetzelfde gedrag kunnen krijgen als je serve-expired hebt aanstaan.

alex3305 schreef op vrijdag 15 november 2024 @ 11:54:
Nav. de post van @EverLast2002 gisteren, en omdat mijn NOS problemen toch niet opgelost waren met Technitium, ben ik maar weer teruggegaan naar Unbound. Maar ik laat nu de NOS dus maar via de DNS van mijn provider lopen:

Upstream DNS servers

code:

1 2 3 4 5 6

# Unbound 10.100.100.20 # Workaround [/nos.nl/]192.168.1.1 # Internal routing [//lan/internal/example.com/]192.168.1.1

Niet mooi. Maar voorlopig even functioneel.

[ Voor 6% gewijzigd door Videopac op 07-05-2025 21:46 ]

Kroonkurk schreef op donderdag 21 mei 2020 @ 20:37:
Volgens jouw log heb je dus een niet-officieel certificaat.
Regel dus ergens een gratis subdomeinnaam, bijvoorbeeld bij https://freedns.afraid.org/
Maak daar dus een subdomein aan, als voorbeeld: jouwserver.surfnet.ca
Zet dat subdomein naar jouw i.p. adres van de webserver. Maak een certificaat aan via LetsEncrypt voor dat subdomein en je hebt een geldig certificaat.

EverLast2002 schreef op zaterdag 17 juni 2023 @ 14:14:
[...]
- in System > Settings > General daar heb ik 9.9.9.9 en 1.0.0.1 staan, verder geen AGH ip adressen.
Dat veld is bedoeld voor OPNsense zelf zodat ie kan resolven wanneer je een update/upgrade doet. Heeft niks met je clients in je netwerk te maken.

ThinkPad schreef op dinsdag 20 mei 2025 @ 09:11:
[...]

Even hier op inhaken, want het dikgedrukte klopt niet helemaal. Gisteren een behoorlijke clusterfuck gecreëerd thuis vanwege dit ogenschijnlijke kleine detail

Ik heb op de clients als DNS het IP-adres van de OPNsense router. Unbound in OPNsense draait op poort 53. Via een NAT-rule buig ik de devices dan zodat ze naar AGH (draait op 53530) i.p.v. Unbound gaan. Ik dacht gisteren: hmm ik kan AGH wel op 53 zetten en Unbound naar een custom port, scheelt wellicht nog weer een paar ms. aan verwerkingstijd. Dat gedaan, maar toen begon de shitshow: OPNsense kon toen de namen van interne devices niet meer resolven. Hierdoor werden de firewall aliassen niet gevuld en werkten bepaalde firewall rules niet meer.

Kreeg het zo 123 ook niet opgelost, had onder System>General wel 127.0.0.1 gezet (en in AGH config ook als listen address toegevoegd) maar wilde niet werken. Uiteindelijk snapshot maar teruggedraaid.

Security
- Go version has been updated to prevent the possibility of exploiting the Go vulnerabilities fixed in 1.24.3.

Fixed
- Clients with CIDR identifiers showing zero requests on the Settings → Client settings page (#2945).
- Command line option --update when the dns.serve_plain_dns configuration property was disabled (#7801).
- DNS cache not working for custom upstream configurations.
- Validation process for the DNS-over-TLS, DNS-over-QUIC, and HTTPS ports on the Encryption Settings page.
- Searching for persistent clients using an exact match for CIDR in the POST /clients/search HTTP API.

Hmmbob schreef op woensdag 28 mei 2025 @ 09:05:
Ik weet niet waarop je verder gaat, maar de Chromecasts/Android TVs hier in huis moet ik ook forceren naar mijn eigen DNS dmv firewall rules; die negeren de DNS in de DHCP ook volledig. Met een dst-nat naar Adguard werkt het perfect.

Mikrotik:

code:

1 2 3 4 5

/ip firewall nat add action=dst-nat chain=dstnat comment="Intercept DNS from Cast devices" \ dst-address-list="Google DNS" dst-port=53 in-interface=bridge-LAN \ protocol=udp src-address-list="Cast Devices" \ to-addresses=192.168.88.33 to-ports=53

code:

1 2 3 4 5 6 7 8

/ip firewall address-list add address=192.168.88.111 list="Cast Devices" add address=192.168.88.112 list="Cast Devices" add address=192.168.88.113 list="Cast Devices" ... add address=192.168.88.122 list="Cast Devices" add address=8.8.4.4 list="Google DNS" add address=8.8.8.8 list="Google DNS"

The Source schreef op woensdag 28 mei 2025 @ 18:28:
Sorry search levert weinig op.
Ik heb net Adguard in mijn virtualbox in Hassio geinstalleerd op mijn homeserver (windows).
Werkt leuk op mijn telefoon, wil deze op mijn router gaan instellen.
Deze homeserver crashed / reboot wel eens... wat zijn de makkelijke opties om te voorkomen dat ik dan geen internet meer heb ik mijn devices?

DNS 2 een andere externe (provider/google) instellen werkt niet heb ik begrepen.
Ik zie verschillende nog een 2de DNS draaien, maar dat lijkt me een beetje te ver gegrepen.
Zijn er anderer oplossingen?

zordaz schreef op woensdag 28 mei 2025 @ 15:47:
[...]


Vergeet in dit soort gevallen niet om ook naar je DNS instellingen van IPv6 te kijken!

[ Voor 18% gewijzigd door ThinkPad op 03-06-2025 12:36 ]

ThinkPad schreef op dinsdag 3 juni 2025 @ 12:35:
Mooie tool gevonden om publieke DNS te benchmarken: GitHub: YaDNSb - Yet Another DNS Benchmark
Deze kan ook DoT / DoH benchmarken, wat de 'GRC DNS Benchmark' die je vaak langs ziet komen nog niet kan.

Moet alleen nog even een 'top50' domeinen ofzo vanuit m'n AGH hebben om een realistische test te creëren.
Heb deze tool in een Docker container draaien.

Zie ook: https://www.reddit.com/r/...ative_to_dns_performance/

@stormfly @RobertMe

ThinkPad schreef op dinsdag 3 juni 2025 @ 14:58:
Tsssk, een echte Tweaker heeft laptop mee op vakantie met VPN-tunnel naar huis toch? Al was het maar om op vakantie ook je AGH te kunnen gebruiken om geen reclames te zien

Onze "snelste-DNS-fetisjist" @stormfly zal het vast wel even proberen

Heb het net ook even (nouja, 'even', met bijna alles aangevinkt doet hij er wel 30 min. ofzo over) geprobeerd, zoals ik had verwacht is provider DNS toch het snelste (staat immers het dichtste bij)

Security
- Go version has been updated to prevent the possibility of exploiting the Go vulnerabilities fixed in 1.24.5.

Fixed
- TTL override calculation (#7903).
- Validation process for DNSCrypt settings (#7856).

Added
- New blocked services: ChatGPT, Claude, DeepSeek, Odysee.

Changed
- Updated dependencies.

[ Voor 26% gewijzigd door TheCeet op 28-07-2025 22:36 ]

rens-br schreef op zaterdag 2 augustus 2025 @ 21:00:
Ik heb Adguard nu al een hele tijd draaien met veel plezier in mijn netwerk. Bevalt beter dan Pi Hole, daarmee liep mijn vriendin nog wel eens te klagen dat ze allerlei zaken niet kon bereiken.

Nu probeer ik al een tijdje ook Adguard Home te gebruiken buiten mijn netwerk. In eerste instantie heb ik dat geprobeerd door Adguard Home naar buiten open te zetten, dat kreeg ik echter niet (lekker) werkend. Daarna heb ik het via wireguard geprobeerd. Dat lijkt soms te werken.. Maar soms ook niet.

Ik heb Adguard Home en Wireguard beide geïnstalleerd in twee losse docker containers. Ik dacht er vervolgens te zijn door adguard home en wireguard in hetzelfde netwerk te hangen en en in wireguard config file als dns server het interne docker ip mee te geven. Dit werkt alleen niet. Als ik de netwerken koppel werkt wireguard helemaal niet meer. Of ik krijg de melding dat de dns server niet gevonden kan worden.

Zijn er mensen met een vergelijkbare zelfde setup die wel goed en stabiel werkt?

GioStyle schreef op zaterdag 2 augustus 2025 @ 22:23:
[...]


Jouw setup heb ik een tijdlang gedraaid, maar inmiddels doet mijn router het Wireguard gedeelte. Als ik het me goed herinner had ik beide containers in hetzelfde netwerk draaien, in het config file het ip adres van de host ingevuld en in de router de juiste poort forwarden naar je Dockerhost.

rens-br schreef op zaterdag 2 augustus 2025 @ 22:56:
[...]


Ik maak beide containers los aan met hun eigen docker compose file, daarna hang ik ze in hetzelfde netwerk via portrainer en geef vervolgens in de docker compose file en de. conf die ik exporteer het interne IP van AH mee, maar toch werkt dat niet.

Je hebt het over iets forwarden, wat zou er geforward moeten worden?

GioStyle schreef op zaterdag 2 augustus 2025 @ 23:31:
[...]


Ik draai AdGuard Home op mijn Dockerhost. Al mijn clients verwijs ik (voor DNS) naar het ip adres van de Dockerhost. DNS verzoeken gaan via poort 53 en poort 53 op mijn Dockerhost is exposed met AdGuard Home container.

In WireGuard vul ik ook het ip adres (voor DNS) van de Dockerhost in, niet van de interne AdGuard Home ip adres.

En als laatst zal je in je router een poort moeten forwarden die kan babbelen met je WireGuard container. Ip adres van je Dockerhost + poortnummer die je gebruikt in je config.

[ Voor 4% gewijzigd door rens-br op 03-08-2025 00:39 ]

rens-br schreef op zondag 3 augustus 2025 @ 00:32:

Wireguard heb ik werkend. AH heb ik intern ook werkend, nu nog de blokkades via Wireguard.

GioStyle schreef op zondag 3 augustus 2025 @ 18:40:
[...]


't Enige wat mij nog te binnen schiet is: gebruik je vlan's? En zo ja, is de AdGuard Home container bereikbaar vanaf je vpn vlan?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

name: adguardhome

services:
  adguardhome:
    container_name: adguard-home
    image: adguard/adguardhome
    ports:
      - 53:53/tcp # plain dns over tcp
      - 53:53/udp # plain dns over udp
      - 90:80/tcp # http web interface
      - 3000:3000/tcp # initial setup web interface
      - 451:443/tcp #ssl
      - 451:443/udp #ssl
      - 853:853/tcp #DNS-over-TLS⁠
    networks:
      wg:
        ipv4_address: 10.42.42.20
      adguard:
    volumes:
      - /opt/adguardhome/conf:/opt/adguardhome/conf # app configuration
      - /opt/adguardhome/work:/opt/adguardhome/work # app working directory
volumes:
  config:
    driver: local
  work:
    driver: local 
    
networks:
    adguard:
        name: adguard
    wg:
        external: true

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

volumes:
  etc_wireguard:

services:
  wg-easy:
    image: ghcr.io/wg-easy/wg-easy:15
    container_name: wg-easy 
    environment:
      - INSECURE=true
      - PORT=51822
    networks:
      wg:
        ipv4_address: 10.42.42.42
        ipv6_address: fdcc:ad94:bacf:61a3::2a
    volumes:
      - etc_wireguard:/etc/wireguard
      - /lib/modules:/lib/modules:ro
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
      - "51822:51822"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
      # - NET_RAW # ⚠️ Uncomment if using Podman
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv6.conf.all.forwarding=1
      - net.ipv6.conf.default.forwarding=1

networks:
  wg:
    name: wg
    driver: bridge
    enable_ipv6: true
    ipam:
      driver: default
      config:
        - subnet: 10.42.42.0/24
        - subnet: fdcc:ad94:bacf:61a3::/64

[ Voor 5% gewijzigd door rens-br op 05-08-2025 08:30 ]

rens-br schreef op zondag 3 augustus 2025 @ 23:06:
Inmiddels de oplossing gevonden na 3 avonden prutsen. Het heeft dus wel degelijk iets te maken met delen van netwerken binnen de beide containers. Je moet adguard toevoegen aan het interne netwerk van wireguard en dan het interne ip adres van adguard home gebruiken als DNS server.

Dat ziet er in beide compose files als volgt uit:

Adguard-home:

code:

1 2 3 4 5 6 7

name: adguardhome volumes: config: driver: local work: driver: local

bart.koppers schreef op maandag 4 augustus 2025 @ 13:22:
[...]

Deze volumes: kun je volgens mij weglaten, omdat je erboven al mapt naar de dirs

Je kunt beide - denk ik - misschien net zo goed combineren in 1 compose.yml?

Voordeel is oa dat je dan naar elkaar kunt verwijzen via de hostnames die je voor beide containers hebt gedefinieerd met container_name.
To be honest: weet zo niet zeker of dat kan (ipv IPv4/6) in WG-easy/AGH

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

services:
  adguard-home:
    container_name: wireguard-adguard-home
    image: adguard/adguardhome:latest
    restart: unless-stopped
    ports:
      - 3001:3000/tcp # HTTP Web interface
    networks:
      internal:
        ipv4_address: 10.42.42.20
    volumes:
      - config:/opt/adguardhome/conf # app configuration
      - work/opt/adguardhome/work    # data dir

  adguard-home-sync:
    container_name: wireguard-adguard-home
    image: ghcr.io/bakito/adguardhome-sync:alpine-latest
    restart: unless-stopped
    command: run
    depends_on:
      - adguard-home
    networks:
      internal:
        ipv4_address: 10.42.42.30
    environment:
      - TZ=Europe/Amsterdam
      - CRON="*/30 * * * *"
      - ORIGIN_URL=http://your-adguard-home:80
      - REPLICA_URL=http://adguard-home:3000
      - REPLICA_AUTO_SETUP=true
      - REPLICA_USERNAME=admin
      - REPLICA_PASSWORD=somerandompassword
      - RUN_ON_START=true

  wg-easy:
    container_name: wireguard-wg-easy
    image: ghcr.io/wg-easy/wg-easy:15
    restart: unless-stopped
    depends_on:
      - adguard-home
    environment:
      - INSECURE=true
      - PORT=51822
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
      - "51822:51822"
    networks:
      internal:
        ipv4_address: 10.42.42.40
        ipv6_address: fdcc:ad94:bacf:61a3::2a
    volumes:
      - etc_wireguard:/etc/wireguard
      - /lib/modules:/lib/modules:ro
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
      # - NET_RAW # ⚠️ Uncomment if using Podman
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv6.conf.all.forwarding=1
      - net.ipv6.conf.default.forwarding=1

volumes:
  config:
    name: adguard-home-config
  work:
    name: adguard-home-work
  wireguard:
    name: wireguard

networks:
  internal:
    name: wiregaurd-internal
    driver: bridge
    enable_ipv6: true
    ipam:
      driver: default
      config:
        - subnet: 10.42.42.0/24
        - subnet: fdcc:ad94:bacf:61a3::/64

bart.koppers schreef op maandag 4 augustus 2025 @ 13:22:
[...]

Voordeel is oa dat je dan naar elkaar kunt verwijzen via de hostnames die je voor beide containers hebt gedefinieerd met container_name.
To be honest: weet zo niet zeker of dat kan (ipv IPv4/6) in WG-easy/AGH

alex3305 schreef op maandag 4 augustus 2025 @ 16:50:
@rens-br Het grote probleem bij deze twee Compose files is dat er een volgordelijkheid in zit, dat kan nogal onhandig zijn. Want eigenlijk heb je niet eens een attachable network gedefinieerd, maar attach je daarna wel een andere container daaraan. Dan zou je eigenlijk nog beter met een apart commando het netwerk kunnen aanmaken en dan beide containers attachen.

Ook kan de keuze van een .2 IPv4 adres nogal ongelukkig uitpakken als met een (verkeerde) uitrol de DHCP server heeft besloten dat deze aan een container hangt. Ik begin dus meestal met .20.

Dat is een goede tip en heb ik meteen aangepast.

Je zou er ook voor kunnen kiezen om AdGuard Home Sync te draaien en Wireguard een eigen DNS server te geven. Bijvoorbeeld:

DNS op hostname is extreem afhankelijk van de implementatie. Vooral reguliere DNS. Toen ik dat lokaal probeerde werkte het op mijn primaire host (Unraid) niet, maar op mijn secundaire host (Debian) wel. Allebei met dezelfde Compose file .

[ Voor 6% gewijzigd door bart.koppers op 05-08-2025 16:36 ]

alex3305 schreef op dinsdag 5 augustus 2025 @ 22:29:
@bart.koppers Je hoeft mij niets uit te leggen over Docker DNS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

services:
  adguard-home:
    container_name: adguard-home
    image: adguard/adguardhome:v0.107.64
    restart: on-failure:10
    hostname: leetower.adguard.docker.internal
    environment:
      TZ: Europe/Amsterdam
    networks:
      ingress:
        priority: 1
      internal:
        priority: 2
      ipvlan:
        ipv4_address: 192.168.40.4
        priority: 3
    volumes:
      - /mnt/applications/appdata/adguard-home/conf:/opt/adguardhome/conf
      - /mnt/applications/appdata/adguard-home/work:/opt/adguardhome/work

  unbound:
    container_name: adguard-home-unbound
    image: klutchell/unbound:1.23.1
    restart: on-failure:3
    hostname: leetower.unbound.docker.internal
    networks:
      internal:

networks:
  ingress:
    name: swarm-overlay
    external: true
  internal:
    name: adguard-home-internal
    driver: overlay
    attachable: true
  ipvlan:
    name: br0.40
    external: true

• De hostname wordt (automatisch) gegenereerd door Ansible, maar is dus een combinatie van de machiennaam inclusief de dienst en het domein docker.internal.
• Het ingress netwerk gebruik ik voor Caddy reverse proxy door middel van Docker labels. Dat is buiten scope hier en heb ik weggelaten.
• Het internal netwerk is een Swarm overlay netwerk die ik op twee machines heb
• Het ipvlan netwerk is een ipvlan (duh) bridge netwerk die getagd is.
• Mijn secundaire machine houdt ik synchroon met AdGuard Sync. Vergelijkbaar met mijn eerdere post.

1
2
3
4
5
6
7
8
9
10
11
12
13

services:
  adguard-home:
-    hostname: leetower.adguard.docker.internal
+    hostname: brickhouse.adguard.docker.internal

  adguard-home-unbound:
-    hostname: leetower.unbound.docker.internal
+    hostname: brickhouse.unbound.docker.internal

networks:
  ipvlan:
-    name: br0.40
+    name: br0.41

1
2
3
4

leetower.unbound.docker.internal
brickhouse.unbound.docker.internal
[/168.192.in-addr.arpa/]192.168.1.1
[/ip6.arpa/]192.168.1.1

1
2

127.0.0.11
192.168.1.1

1
2
3

192.168.1.1
[/168.192.in-addr.arpa/]192.168.1.1
[/ip6.arpa/]192.168.1.1

alex3305 schreef op woensdag 6 augustus 2025 @ 16:47:
Overigens heb ik het werkend gekregen . Het was nogal... voor de hand liggend .

TL;DR, om Docker containers op hostname te gebruiken in de AdGuard Home configuratie moet je eveneens Docker's interne DNS als bootstrap DNS server opgeven.

Ik heb nu onderstaande Docker Compose configuratie:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

services: adguard-home: container_name: adguard-home image: adguard/adguardhome:v0.107.64 restart: on-failure:10 hostname: leetower.adguard.docker.internal environment: TZ: Europe/Amsterdam networks: ingress: priority: 1 internal: priority: 2 ipvlan: ipv4_address: 192.168.40.4 priority: 3 volumes: - /mnt/applications/appdata/adguard-home/conf:/opt/adguardhome/conf - /mnt/applications/appdata/adguard-home/work:/opt/adguardhome/work unbound: container_name: adguard-home-unbound image: klutchell/unbound:1.23.1 restart: on-failure:3 hostname: leetower.unbound.docker.internal networks: internal: networks: ingress: name: swarm-overlay external: true internal: name: adguard-home-internal driver: overlay attachable: true ipvlan: name: br0.40 external: true

Een aantal puntjes van aandacht:

• De hostname wordt (automatisch) gegenereerd door Ansible, maar is dus een combinatie van de machiennaam inclusief de dienst en het domein docker.internal.
• Het ingress netwerk gebruik ik voor Caddy reverse proxy door middel van Docker labels. Dat is buiten scope hier en heb ik weggelaten.
• Het internal netwerk is een Swarm overlay netwerk die ik op twee machines heb
• Het ipvlan netwerk is een ipvlan (duh) bridge netwerk die getagd is.
• Mijn secundaire machine houdt ik synchroon met AdGuard Sync. Vergelijkbaar met mijn eerdere post.

Ik heb nog een andere machine met wat kleine verschillen:

Diff:

1 2 3 4 5 6 7 8 9 10 11 12 13

services: adguard-home: - hostname: leetower.adguard.docker.internal + hostname: brickhouse.adguard.docker.internal adguard-home-unbound: - hostname: leetower.unbound.docker.internal + hostname: brickhouse.unbound.docker.internal networks: ipvlan: - name: br0.40 + name: br0.41

Mijn Upstream DNS Servers configuratie heb ik nu als volgt:

code:

1 2 3 4

leetower.unbound.docker.internal brickhouse.unbound.docker.internal [/168.192.in-addr.arpa/]192.168.1.1 [/ip6.arpa/]192.168.1.1

En mijn Bootstrap DNS Servers zijn:

code:

1 2	127.0.0.11 192.168.1.1

En als laatste de Private Reverse DNS configuratie:

code:

1 2 3

192.168.1.1 [/168.192.in-addr.arpa/]192.168.1.1 [/ip6.arpa/]192.168.1.1

Het geheel lijkt nu, inclusief hostname lookup door middel van PTR records te werken . Daarnaast gebruiken beide AdGuard Home instanties dus nu ook allebei beide Unbound instanties waardoor ik direct failover heb .

Nu nog even aankijken, maar dit ziet er uit als een mooi resultaat .

Het enige wat ik nog niet werkend heb gekregen is een andere user / group voor de AdGuard Home container, maar dat vind ik geen bijster groot probleem.

Voor wat betreft “failover” : lijkt weinig toe te voegen, gezien dat DNS by design is ontworpen voor zo’n failover (reden dat er 2 of meer dns entries opgegeven kunnen worden via DHCP etc)

Ik snap niet waarom je zo kritisch moet zijn op de door mij gedeelde setup? Ik post dat hier alleen maar om anderen te helpen . Dat is niet heel positief, wel?

Security
- Go version has been updated to prevent the possibility of exploiting the Go vulnerabilities fixed in 1.24.6.

Added
- A separate checkbox in the Web UI to enable or disable the global DNS response cache without losing the configured cache size.
- A new "cache_enabled" field to the HTTP API (GET /control/dns_info and POST /control/dns_config). See openapi/openapi.yaml for the full description.

Changed
Configuration changes
In this release, the schema version has changed from 29 to 30.
- Added a new boolean field dns.cache_enabled to the configuration. This field explicitly controls whether DNS caching is enabled, replacing the previous implicit logic based on dns.cache_size.

# BEFORE:
'dns':
# …
'cache_size': 123456

# AFTER:
'dns':
# …
'cache_enabled': true
'cache_size': 123456
To roll back this change, set the schema_version back to 29.


Fixed
- Disabled state of Top clients action button in web UI (#7923).

TheCeet schreef op woensdag 20 augustus 2025 @ 21:42:
Nieuwe update.
v0.107.65

Changelog:

[...]

ThinkPad schreef op donderdag 21 augustus 2025 @ 13:22:
Volgens mij is het puur een setting om caching aan/uit te kunnen zetten, zonder bij het invoerveld eronder de waarde 0 (nul) in te moeten voeren

EverLast2002 schreef op woensdag 27 augustus 2025 @ 20:32:
even een WTF momentje daarnet :
ik draai in huis 3 AGH instanties (met keepalived als failover).
in AGH1 stond er in het dashboard een DNS queries getal van 99.000.
ik doe een 'refresh statistics' en het getal wordt KLEINER i.p.v groter.
vreemd, dus ik doe ook een refresh bij AGH2, en ook hier wordt het getal KLEINER.
AGH3 bleef gelijk qua getal maar die wordt sowieso zelden aangesproken.
kan iemand verklaren hoe dit komt?
ik dacht eerst dat AGH een log refresh had uitgevoerd, die staat bij mij op 7 dagen.
maar dit lijkt me niet de oorzaak.

EverLast2002 schreef op woensdag 27 augustus 2025 @ 20:32:
even een WTF momentje daarnet :
ik draai in huis 3 AGH instanties (met keepalived als failover).
in AGH1 stond er in het dashboard een DNS queries getal van 99.000.
ik doe een 'refresh statistics' en het getal wordt KLEINER i.p.v groter.
vreemd, dus ik doe ook een refresh bij AGH2, en ook hier wordt het getal KLEINER.
AGH3 bleef gelijk qua getal maar die wordt sowieso zelden aangesproken.
kan iemand verklaren hoe dit komt?
ik dacht eerst dat AGH een log refresh had uitgevoerd, die staat bij mij op 7 dagen.
maar dit lijkt me niet de oorzaak.

mathijsdelva schreef op vrijdag 29 augustus 2025 @ 13:14:
Ik heb wat hulp nodig. Ik ben helemaal niet thuis in deze zaken dus voor mij is echt alles nieuw. Ik heb een Raspberry Pi4 gekocht en die aangesloten op mijn Telenet modem met ethernet. De wifi van deze modem staat uit, want na m'n modem heb ik een Unify U7 Lite hangen verderop in m'n huis, verbonden via ethernet. De microSD in m'n Raspberry bevat Home Assistant. Via de add-on AdGuard Home probeer ik op DNS level alles te configureren zodat ik zonder ads kan surfen met al m'n apparaten op dit wifi netwerk.

Wat ik al weet is dat Telenet (fckers..) geen DNS changes toelaat in hun mijn.telenet.be. Dus ik moet dat instellen per toestel. Jammer, maar op zich geen probleem.

In algemene netwerk instellingen van Home Assistant (system > network, configure network interfaces), heb ik onder ipv4 voor static gekozen (zoals aangeraden) en daarbij krijg ik twee DNS IPs. Ik ga er vanuit dat ik één van deze 2 IPs moet gebruiken als DNS op mijn aparte toestellen. Klopt dat? Als ik dat doe, dan laden m'n websites etc wel nog, wat goed is, maar ik zie wel nog alle ads. Ik doe dus iets mis gok ik dan..

De log van m'n add-on zegt zaken als:
2025/08/29 12:43:47.000509 [info] dnsproxy: entering udp listener loop addr=127.0.0.1:53
2025/08/29 12:43:47.000509 [info] dnsproxy: entering listener loop proto=tcp addr=127.0.0.1:53

Kan iemand helpen? Eeuwige dank!

rens-br schreef op vrijdag 29 augustus 2025 @ 14:07:
[...]


Als het goed is heeft je raspberry pi een IP adres gekregen van telenet router (of je hebt deze fixed ingesteld op iets) en deze moet je gebruiken, vermoedelijk is dat een adres die begint met 192.168.X.X.

Verder kan je in de log van adguard home kijken wat voor requests daar voorbij komen. Zie je daar iets voorbij komen?

De log toont dit:

[11:59:55] INFO: Starting NGinx...
[11:59:55] INFO: Successfully send discovery information to Home Assistant.
s6-rc: info: service discovery successfully started
s6-rc: info: service legacy-services: starting
s6-rc: info: service legacy-services successfully started
2025/08/29 12:00:01.009202 [info] filtering: saving contents id=1 path=/data/adguard/data/filters/1.txt
2025/08/29 12:00:01.094682 [info] filtering: filter updated id=1 bytes_written=3105564 rules_count=133066
2025/08/29 12:00:01.094914 [info] filtering: updated filter id=1 rules_count=133066 prev_rules_count=0
2025/08/29 12:00:03.296914 [error] filtering: removing old filter path=/data/adguard/data/filters/1.txt err="remove /data/adguard/data/filters/1.txt.old: no such file or directory"
2025/08/29 12:35:42.982406 [info] dnsforward: starting reconfiguring server
2025/08/29 12:35:42.982546 [info] dnsproxy: stopping server
2025/08/29 12:35:42.983025 [info] dnsproxy: stopped dns proxy server
2025/08/29 12:35:43.083792 [info] addrproc: finished processing addresses
2025/08/29 12:35:43.083813 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 12:35:43.083924 [info] dnsproxy: cache enabled size=4096
2025/08/29 12:35:43.083979 [info] dnsproxy: max goroutines is set count=300
2025/08/29 12:35:43.084245 [info] dnsproxy: ratelimit is enabled rps=20 ipv4_subnet_mask_len=24 ipv6_subnet_mask_len=56
2025/08/29 12:35:43.084299 [info] dnsproxy: server will refuse requests of type any
2025/08/29 12:35:43.084345 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 12:35:43.084385 [info] dnsproxy: cache enabled size=4194304
2025/08/29 12:35:43.084428 [info] dnsproxy: max goroutines is set count=300
2025/08/29 12:35:43.085829 [info] dnsproxy: starting dns proxy server
2025/08/29 12:35:43.085941 [info] dnsproxy: creating udp server socket addr=127.0.0.1:53
2025/08/29 12:35:43.086360 [info] addrproc: processing addresses
2025/08/29 12:35:43.086389 [info] dnsproxy: listening to udp addr=127.0.0.1:53
2025/08/29 12:35:43.086480 [info] dnsproxy: creating tcp server socket addr=127.0.0.1:53
2025/08/29 12:35:43.087695 [info] dnsproxy: listening to tcp addr=127.0.0.1:53
2025/08/29 12:35:43.088072 [info] dnsforward: finished reconfiguring server
2025/08/29 12:35:43.088170 [info] dnsproxy: entering udp listener loop addr=127.0.0.1:53
2025/08/29 12:35:43.088212 [info] dnsproxy: entering listener loop proto=tcp addr=127.0.0.1:53
2025/08/29 12:43:46.891724 [info] dnsforward: starting reconfiguring server
2025/08/29 12:43:46.891885 [info] dnsproxy: stopping server
2025/08/29 12:43:46.892265 [info] dnsproxy: stopped dns proxy server
2025/08/29 12:43:46.993029 [info] addrproc: finished processing addresses
2025/08/29 12:43:46.993142 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 12:43:46.993370 [info] dnsproxy: cache enabled size=4096
2025/08/29 12:43:46.993428 [info] dnsproxy: max goroutines is set count=300
2025/08/29 12:43:46.993633 [info] dnsproxy: ratelimit is enabled rps=20 ipv4_subnet_mask_len=24 ipv6_subnet_mask_len=56
2025/08/29 12:43:46.993680 [info] dnsproxy: server will refuse requests of type any
2025/08/29 12:43:46.993761 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 12:43:46.993822 [info] dnsproxy: cache enabled size=4194304
2025/08/29 12:43:46.993870 [info] dnsproxy: max goroutines is set count=300
2025/08/29 12:43:46.996849 [info] dnsproxy: starting dns proxy server
2025/08/29 12:43:46.996987 [info] dnsproxy: creating udp server socket addr=127.0.0.1:53
2025/08/29 12:43:46.998185 [info] addrproc: processing addresses
2025/08/29 12:43:46.998424 [info] dnsproxy: listening to udp addr=127.0.0.1:53
2025/08/29 12:43:46.998966 [info] dnsproxy: creating tcp server socket addr=127.0.0.1:53
2025/08/29 12:43:46.999491 [info] dnsproxy: listening to tcp addr=127.0.0.1:53
2025/08/29 12:43:46.999647 [info] dnsforward: finished reconfiguring server
2025/08/29 12:43:47.000509 [info] dnsproxy: entering udp listener loop addr=127.0.0.1:53
2025/08/29 12:43:47.000509 [info] dnsproxy: entering listener loop proto=tcp addr=127.0.0.1:53
2025/08/29 13:31:33.376661 [info] dnsforward: starting reconfiguring server
2025/08/29 13:31:33.376814 [info] dnsproxy: stopping server
2025/08/29 13:31:33.377182 [info] dnsproxy: stopped dns proxy server
2025/08/29 13:31:33.477917 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 13:31:33.478006 [info] dnsproxy: cache enabled size=4096
2025/08/29 13:31:33.478056 [info] dnsproxy: max goroutines is set count=300
2025/08/29 13:31:33.478245 [info] dnsproxy: ratelimit is enabled rps=20 ipv4_subnet_mask_len=24 ipv6_subnet_mask_len=56
2025/08/29 13:31:33.478290 [info] dnsproxy: server will refuse requests of type any
2025/08/29 13:31:33.478332 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 13:31:33.478368 [info] dnsproxy: cache enabled size=4194304
2025/08/29 13:31:33.478410 [info] dnsproxy: max goroutines is set count=300
2025/08/29 13:31:33.479223 [info] dnsproxy: starting dns proxy server
2025/08/29 13:31:33.479321 [info] dnsproxy: creating udp server socket addr=127.0.0.1:53
2025/08/29 13:31:33.479352 [info] addrproc: finished processing addresses
2025/08/29 13:31:33.479386 [info] addrproc: processing addresses
2025/08/29 13:31:33.479671 [info] dnsproxy: listening to udp addr=127.0.0.1:53
2025/08/29 13:31:33.479732 [info] dnsproxy: creating tcp server socket addr=127.0.0.1:53
2025/08/29 13:31:33.480053 [info] dnsproxy: listening to tcp addr=127.0.0.1:53
2025/08/29 13:31:33.480152 [info] dnsforward: finished reconfiguring server
2025/08/29 13:31:33.480659 [info] dnsproxy: entering listener loop proto=tcp addr=127.0.0.1:53
2025/08/29 13:31:33.480903 [info] dnsproxy: entering udp listener loop addr=127.0.0.1:53
2025/08/29 13:38:29.204853 [info] dnsforward: starting reconfiguring server
2025/08/29 13:38:29.205004 [info] dnsproxy: stopping server
2025/08/29 13:38:29.205571 [info] dnsproxy: stopped dns proxy server
2025/08/29 13:38:29.306269 [info] addrproc: finished processing addresses
2025/08/29 13:38:29.306304 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 13:38:29.306391 [info] dnsproxy: cache enabled size=4096
2025/08/29 13:38:29.306444 [info] dnsproxy: max goroutines is set count=300
2025/08/29 13:38:29.306692 [info] dnsproxy: ratelimit is enabled rps=20 ipv4_subnet_mask_len=24 ipv6_subnet_mask_len=56
2025/08/29 13:38:29.306747 [info] dnsproxy: server will refuse requests of type any
2025/08/29 13:38:29.306795 [info] dnsproxy: upstream mode is set mode=load_balance
2025/08/29 13:38:29.306833 [info] dnsproxy: cache enabled size=4194304
2025/08/29 13:38:29.306876 [info] dnsproxy: max goroutines is set count=300
2025/08/29 13:38:29.307708 [info] dnsproxy: starting dns proxy server
2025/08/29 13:38:29.307804 [info] dnsproxy: creating udp server socket addr=127.0.0.1:53
2025/08/29 13:38:29.308006 [info] addrproc: processing addresses
2025/08/29 13:38:29.308164 [info] dnsproxy: listening to udp addr=127.0.0.1:53
2025/08/29 13:38:29.308677 [info] dnsproxy: creating tcp server socket addr=127.0.0.1:53
2025/08/29 13:38:29.309187 [info] dnsproxy: listening to tcp addr=127.0.0.1:53
2025/08/29 13:38:29.309360 [info] dnsforward: finished reconfiguring server
2025/08/29 13:38:29.309557 [info] dnsproxy: entering udp listener loop addr=127.0.0.1:53
2025/08/29 13:38:29.309854 [info] dnsproxy: entering listener loop proto=tcp addr=127.0.0.1:53
2025/08/29 13:39:19.318360 [error] POST homeassistant.local:8123 /control/dns_config: validating dns config: upstream servers: parsing error at index 1: cannot prepare the upstream: unsupported url scheme: http

[ Voor 0% gewijzigd door rens-br op 29-08-2025 14:49 . Reden: quote tags ]

mathijsdelva schreef op vrijdag 29 augustus 2025 @ 14:48:
[...]


Correct, bij verbonden apparaten in mijn telenet zie ik de Raspberry Pi staan met IP 192.168.0.114. Maar als die IP instel als DNS op m'n iPhone, dan laadt er geen enkele website.

[ Voor 20% gewijzigd door rens-br op 29-08-2025 14:55 ]

henk26 schreef op dinsdag 2 september 2025 @ 12:01:
Zijn er meer gebruikers waar sinds dit weekend de rabobank app niet meer werkt? Ik zie dat bepaalde domeinen van .rabobank.nl worden geblokkeerd waardoor de bankapp weigert verbinding te maken.

stormfly schreef op dinsdag 2 september 2025 @ 12:08:
[...]


Nee geen last van, zal door één bepaalde lijst komen?

[ Voor 16% gewijzigd door Hmmbob op 02-09-2025 13:34 ]

mathijsdelva schreef op woensdag 3 september 2025 @ 09:11:
Het is mij ondertussen gelukt, hoewel ik niet kan uitleggen waarom het wel ineens werkt. Ik heb eigenlijk niets veranderd.. Nu, er zijn mij ondertussen ook wat zaken duidelijk geworden. DNS level adguard biedt mij relatief weinig extra voordeel tov local apps op m'n Mac / iPhone gezien je daar betere adblocking hebt dan op DNS niveau (YouTube als één voorbeeld). Het is zelfs zo dat er wat issues zijn wat betreft adblocking op m'n Mac als ik de DNS instel tov de local app en die al dan niet aanzet terwijl de DNS aanstaat. Beetje teleurstellend.

bart.koppers schreef op dinsdag 2 september 2025 @ 15:33:
[...]


Heb je in de AGH addon wel Upstream DNS servers ingesteld (bv je router of Dns addressen van je provider), en bootstrap servers ingesteld? (1.1.1.1 of 8.8.8.8 bv?)

mathijsdelva schreef op woensdag 3 september 2025 @ 11:02:
[...]


Kan je even een voorbeeldlijst geven?