ComputerBase Menü
Aktuelles

Adguard Home - Client-Erkennung bei DNS-Kette Client => Fritzbox => AGH?

Erbsenkönig

Erbsenkönig

Lt. Commander
Registriert
Jan. 2008
Beiträge
1.437
Hallo zusammen!

Ich habe, um keine Probleme im Falle eines Ausfalls zu haben, meine Fritzbox so konfiguriert, dass DNS Anfragen meiner Netzwerkgeräte erst bei ihr landen und dann beim Adguard Home Docker auf meinem Unraid Server, im Fall der Fälle die Fritzbox aber andere DNS-Resolver verwendet falls mir Adguard Home wegbricht:

1691792060764.png



Mit dieser Konfiguration sehe ich in Adguard Home jedoch (verständlicherweise) nur die Fritzbox und nicht meinen Laptop, das Handy meiner Freundin, etc.:

1691792105582.png


Ich habe nun versucht herauszufinden, ob man dieses Problem irgenwie lösen kann, und bin auf die "Reverse DNS Funktion" gestoßen:

1691792173983.png


Die hier genannte IPv6-Adresse stimmt mit der ULA der Fritzbox überein. Leider erscheinen trotzdem keinerlei Clients in Adguard Home.

Soweit ich die Ausgabe des dig-Befehls verstehe, werden aber die relevanten Informationen hinsichtlich einzelner Clients bekanntgegeben:

Code: 
root@Tower:/mnt/cache-sandisk/Serien# dig @192.168.188.1 -t ptr 20.188.168.192.in-addr.arpa

; <<>> DiG 9.16.42 <<>> @192.168.188.1 -t ptr 20.188.168.192.in-addr.arpa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35594
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; QUESTION SECTION:
;20.188.168.192.in-addr.arpa.   IN      PTR

;; ANSWER SECTION:
20.188.168.192.in-addr.arpa. 9  IN      PTR     lenovo-t580-markus-laptop.fritz.box.
20.188.168.192.in-addr.arpa. 9  IN      PTR     Markus-Laptop.fritz.box.

;; AUTHORITY SECTION:
20.188.168.192.in-addr.arpa. 9  IN      NS      fritz.box.

;; ADDITIONAL SECTION:
fritz.box.              9       IN      A       192.168.188.1
fritz.box.              9       IN      AAAA    fd00::4a5d:35ff:fe65:f830

;; Query time: 0 msec
;; SERVER: 192.168.188.1#53(192.168.188.1)
;; WHEN: Fri Aug 11 23:52:12 CEST 2023
;; MSG SIZE  rcvd: 180

Die Wiki-Seite für Reverse-DNS verstehe ich leider nicht.

Kann mir hier jemand weiterhelfen? :)
 

Anhänge

  • 1691792163416.png
    1691792163416.png
    137,4 KB · Aufrufe: 245
  • 1691792281768.png
    1691792281768.png
    48,7 KB · Aufrufe: 224
Du musst in der Fritzbox die URL des AGH per DHCP (unter dem Punkt Netzwerk) an die Clients verteilen.
Dann siehst du auch die einzelnen Geräte.
 
Erbsenkönig schrieb:
Ich habe nun versucht herauszufinden, ob man dieses Problem irgenwie lösen kann, und bin auf die "Reverse DNS Funktion" gestoßen:
Zum Vergrößern anklicken....
Ich verstehe nicht, wie die Funktion dir da helfen soll. Die Anfragen kommen nach wie vor nur von der Fritzbox. Was anderes kann AGH da also nicht auflösen.

Wie schon Paxter schrieb, wenn du willst, dass AGH die einzelnen Clients erkennt, musst du die AGH Adresse als DNS Server verteilen.
 
  • Gefällt mir
Reaktionen: xexex
Erbsenkönig schrieb:
falls mir AdGuard Home wegbricht
Zum Vergrößern anklicken....
Die Frage hatte wir in etwa schon einmal … Ist das eigentlich nicht gut, wenn Du das gleich merkst? Wie ist der bei Dir installiert? Vielleicht können wir das optimieren. Ansonsten wüsste ich auch nichts anderes als AdGuard Home sowohl als DNSv4 als auch DNSv6 im Heimnetz bekannt zu machen: fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → (Taste) Weitere →
  1. (Taste) IPv4-Einstellungen → (DHCP-Server) Lokaler DNS-Server
  2. (Taste) IPv6-Einstellungen → (DNSv6-Server im Heimnetz) DNSv6-Server […] bekanntgeben
 
Ich drücke es mal so aus: DNS ist ein essentieller Bestandteil des Internets (und auch in Netzwerken). Das ist gleichbedeutend damit, dass DNS hochverfügbar sein muss, weil man sonst massive Probleme bekommt, wenn der DNS ausfällt. Traut man dem eigenen, lokal eingerichteten DNS nicht über den Weg, weil entweder die Hardware nicht stabil läuft oder weil man ständig an dem Server rumbastelt und ihn regelmäßig runterfährt bzw. neustartet, dann hat man sich einfach einen denkbar schlechten Ort für den DNS-Server ausgesucht.

Sicherlich gibt es Einstellungen für primären und sekundären DNS - und offenbar in der Fritzbox noch einen weiteren Override mit public DNS - aber das ist maximal Symptombekämpfung. Sorge dafür, dass dein DNS 100% am Netz ist und wenn das bedeutet, dass du ihn von einem ständig neugestarteten Server auf einen always-on-server umziehst - zB ein PI, o.ä. - dann ist das eben so.

Die Problematik mit primär/sekundär und ggfs weitere Overrides ist nämlich, dass die Namensauflösung latenzkritisch ist. Der Prozess der Namensauflösung beinhaltet daher ziemlich kurze Timeouts und wenn's dumm läuft, antwortet Adguard womöglich trotzdem zu langsam obwohl Adguard läuft, aber zB das Hostsystem gerade unter Last steht, und dann wird ziemlich schnell auf den sekundären DNS (da hast du auch die adguard IP drin) und dann eben der Public DNS genommen.

Wenn du einzelne Clients in Adguard sehen willst, wäre der übliche Weg einfach jener, bei dem du die Adguard-IP als DNS via DHCP im Netzwerk verteilen lässt und Adguard wiederum die Fritzbox als Upstream-DNS verwendet (ggfs nur als conditional forward), um auch lokale Namen wie zB "MeinNAS" auflösen zu können.
 
Paxter schrieb:
Du musst in der Fritzbox die URL des AGH per DHCP (unter dem Punkt Netzwerk) an die Clients verteilen.
Dann siehst du auch die einzelnen Geräte.
Zum Vergrößern anklicken....
Das ist der Standard-Weg soweit ich weiß. Da man aber keinen Ersatz-DNS-Server eintragen kann, habe ich dann wieder das Problem, dass im Fall der Fälle die DNS-Auflösung fehlschägt.

riversource schrieb:
Ich verstehe nicht, wie die Funktion dir da helfen soll. Die Anfragen kommen nach wie vor nur von der Fritzbox. Was anderes kann AGH da also nicht auflösen.

Wie schon Paxter schrieb, wenn du willst, dass AGH die einzelnen Clients erkennt, musst du die AGH Adresse als DNS Server verteilen.
Zum Vergrößern anklicken....

Ich war auf diesen Reddit-Kommentar gestoßen und nahm an, dass das ganze so wie hier beschrieben funktionieren könne:

https://www.reddit.com/r/Adguard/co...?utm_source=reddit&utm_medium=web2x&context=3

norKoeri schrieb:
Die Frage hatte wir in etwa schon einmal … Ist das eigentlich nicht gut, wenn Du das gleich merkst? Wie ist der bei Dir installiert? Vielleicht können wir das optimieren. Ansonsten wüsste ich auch nichts anderes als AdGuard Home sowohl als DNSv4 als auch DNSv6 im Heimnetz bekannt zu machen: fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → (Taste) Weitere →
  1. (Taste) IPv4-Einstellungen → (DHCP-Server) Lokaler DNS-Server
  2. (Taste) IPv6-Einstellungen → (DNSv6-Server im Heimnetz) DNSv6-Server […] bekanntgeben
Zum Vergrößern anklicken....

So eine Vorgehensweise habe ich im ip-phone-Forum bereits gefunden, aber dort wird das ganze als "nicht sinnvoll" beschrieben:

https://www.ip-phone-forum.de/threa...-dhcp-verteilen-unmöglich.298837/post-2369338

Boombastic schrieb:
Bei "Private reverse Servers" in Adguard mal folgendes eintragen:

192.168.188.1
[/188.168.192.in-addr.arpa/]192.168.188.1
Zum Vergrößern anklicken....

Habe ich gemacht, aber es tauchen weiterhin nur Anfragen der Fritzbox auf. Mein Laptop wird bei den Runtime-Clients zwar erkannt (über ARP, was auch immer das ist), aber die Anfragen werden ihm nicht zugeordnet:

1692049028687.png


Raijin schrieb:
Ich drücke es mal so aus: DNS ist ein essentieller Bestandteil des Internets (und auch in Netzwerken). Das ist gleichbedeutend damit, dass DNS hochverfügbar sein muss, weil man sonst massive Probleme bekommt, wenn der DNS ausfällt. Traut man dem eigenen, lokal eingerichteten DNS nicht über den Weg, weil entweder die Hardware nicht stabil läuft oder weil man ständig an dem Server rumbastelt und ihn regelmäßig runterfährt bzw. neustartet, dann hat man sich einfach einen denkbar schlechten Ort für den DNS-Server ausgesucht.

Sicherlich gibt es Einstellungen für primären und sekundären DNS - und offenbar in der Fritzbox noch einen weiteren Override mit public DNS - aber das ist maximal Symptombekämpfung. Sorge dafür, dass dein DNS 100% am Netz ist und wenn das bedeutet, dass du ihn von einem ständig neugestarteten Server auf einen always-on-server umziehst - zB ein PI, o.ä. - dann ist das eben so.

Die Problematik mit primär/sekundär und ggfs weitere Overrides ist nämlich, dass die Namensauflösung latenzkritisch ist. Der Prozess der Namensauflösung beinhaltet daher ziemlich kurze Timeouts und wenn's dumm läuft, antwortet Adguard womöglich trotzdem zu langsam obwohl Adguard läuft, aber zB das Hostsystem gerade unter Last steht, und dann wird ziemlich schnell auf den sekundären DNS (da hast du auch die adguard IP drin) und dann eben der Public DNS genommen.

Wenn du einzelne Clients in Adguard sehen willst, wäre der übliche Weg einfach jener, bei dem du die Adguard-IP als DNS via DHCP im Netzwerk verteilen lässt und Adguard wiederum die Fritzbox als Upstream-DNS verwendet (ggfs nur als conditional forward), um auch lokale Namen wie zB "MeinNAS" auflösen zu können.
Zum Vergrößern anklicken....

Das sind ernstzunehmende Aspekte des Ganzen. Ich hab hier auch noch nen Pi4 rumfliegen, würde den aber ungern auch noch nur deswegen hier laufen lassen, wenn doch Adguard Home im Unraid Docker schon so schön läuft....muss ich mir noch einmal durch den Kopf gehen lassen...
 
Erbsenkönig schrieb:
Ich war auf diesen Reddit-Kommentar gestoßen und nahm an, dass das ganze so wie hier beschrieben funktionieren könne:
Zum Vergrößern anklicken....
Nö, tut es nicht, wird auch im Beitrag so geschrieben. Reverse-DNS ermöglicht dir IP Adressen in Namen aufzulösen, nicht mehr und auch nicht weniger. In deinem Fall fragen die Clients die FB ab und die FB fragt dein AGH, da gibt es kein "im Auftrag von".

Die "Lösung" aus deinem Link beschreibt wie man AdGuard Home als primären DNS Server konfiguriert, der dann die Anfragen an die FB weitergibt.
 
  • Gefällt mir
Reaktionen: kartoffelpü, Raijin und Erbsenkönig
Erbsenkönig schrieb:
Ich hab hier auch noch nen Pi4 rumfliegen, würde den aber ungern auch noch nur deswegen hier laufen lassen, wenn doch Adguard Home im Unraid Docker schon so schön läuft....
Zum Vergrößern anklicken....
Du musst Adguard ja nicht zwingend auslagern, wenn dein Server zuverlässig läuft. Setzt du den Server produktiv ein, ist es sowieso ein NoGo, ständig an ihm rumzuschrauben. Produktivsysteme fässt man nicht an, sie sollen laufen und möglichst 100% verfügbar sein. Bastelst du an dem Server regelmäßig rum, weil du zB andere Dienste darauf testest und den Server ständig neustarten musst, dann lagere eben diese Tests auf ein anderes System aus. Der PI könnte als reine Testumgebung dienen.

Bei mir laufen beispielsweise 2 Proxmox-Hosts; einen für meine produktiven Systeme (u.a. pihole) und einen, auf dem ich neue Sachen teste bevor ich sie auf den primären Proxmox umziehe. So erhält man ein stabiles Netzwerk ohne längere Downtimes..

Im übrigen gibt es ja auch gerade für den Fall eines nicht antwortenden primären DNS den sekundären DNS, der als quasi-paralleler Fallback dient. Wenn du bei beiden die IP deines potentiell unzuverlässigen Adguard einträgst, nimmst du dem System die Ausweichmöglichkeit und sobald Adguard down ist, geht nix mehr - es sei denn der Override mit den public DNS der Fritzbox greift zügig, wenngleich dann natürlich ohne jedwede Filterfunktion. Befürchtet man einen unzuverlässigen DNS, bietet es sich daher an, auch den sekundären DNS zu befüllen - allerdings idealerweise mit einem Klon des primären, weil er nach Möglichkeit über dieselben Informationen verfügen sollte, zB lokale Namen. Adguard + google sind daher wenig zielführend, weil bei einem Ausfall von Adguard plötzlich keine lokalen Namen mehr aufgelöst werden können, da google einfach nichts von ihnen weiß. Das hieße also ein zweiter Adguard im Netzwerk als sekundärer Fallback. Dann kannst du am ersten rumschrauben soviel du willst.
 
Ich löse das bei mir so:
Meine Geräte haben manuelle IPs außerhalb der DHCP Range und verwenden Pi-Hole als DNS.
Die Geräte, die meine Freundin (mit)nutzt, haben alle keinen Werbeblocker, weil sie Probleme damit alleine nicht fixen könnte.
Auf Anrufe wie "Netflix geht nicht" wenn ich unterwegs bin, habe ich nämlich schlicht keinen Bock.
Wenn jetzt irgendwas nicht geht, weiß sie dass sie die FB neu starten soll. Wenns dann immer noch nicht geht liegts am Internet und sie soll der Telekom anrufen. Mehr muss sie nicht wissen.
 
Raijin schrieb:
Im übrigen gibt es ja auch gerade für den Fall eines nicht antwortenden primären DNS den sekundären DNS, der als quasi-paralleler Fallback dient.
Zum Vergrößern anklicken....
Vorsicht mit solchen Aussagen, der zweite DNS Eintrag ist mitnichten ein "Fallback", er wird schon parallel zum ersten angefragt, sobald es nur eine kleine Verzögerung bei der Abfrage des ersten gibt. In früheren Versionen fragte Windows noch abwechselnd beide DNS Server ab, es sollten also immer DNS Server in der Liste stehen die identische Informationen bereitstellen.
https://learn.microsoft.com/en-us/p...n593685(v=ws.11)#dns-client-resolver-behavior

Wohl der häufigste Fehler den Admins in Netzwerken machen ist, als "Fallback" Google oder ähnliche Server einzutragen, das führt zu den tollsten Problemen im Netzwerk. Würde man dort zum Beispiel den DNS Server der FB propagieren, so würden viele DNS Abfragen schlichtweg ungefiltert beantwortet werden.
 
Erbsenkönig schrieb:
Ich war auf diesen Reddit-Kommentar gestoßen und nahm an, dass das ganze so wie hier beschrieben funktionieren könne:

https://www.reddit.com/r/Adguard/co...?utm_source=reddit&utm_medium=web2x&context=3
Zum Vergrößern anklicken....
In dem Reddit Beitrag geht es darum, den AGH in die Lage zu versetzen, lokale Hostnamen im LAN aufzulösen, wenn man ihn danach fragt. Es geht nicht darum, die Identität des Anfragenden herauszufinden. Das geht komplett an deiner Problemstellung vorbei.
 
xexex schrieb:
Vorsicht mit solchen Aussagen, der zweite DNS Eintrag ist mitnichten ein "Fallback", er wird schon parallel zum ersten angefragt, sobald es nur eine kleine Verzögerung bei der Abfrage des ersten gibt.
Zum Vergrößern anklicken....
Hä? Ich hab doch geschrieben quasi-parallel? Auch die Problematik mit google als sekundärem DNS habe ich oben erklärt. Verstehe deine Kritik daher nicht wirklich. Wenn du meine Aussagen aus dem Kontext reißt, kannst du sie natürlich beliebig fehlinterpretieren.
 
Erbsenkönig schrieb:
als "nicht sinnvoll" beschrieben
Zum Vergrößern anklicken....
Um auch das noch zu erklären: Jene Beurteilung dort bezieht sich auf die lokale DNS-Auflösung. Wie auch das noch aufzulösen ist, hatte Raijin in seinem Post #6 letzter Absatz beschrieben. Mein Post plus jenes löst halt nicht Dein Thema Ausfallsicherheit, geht es nicht einmal an. @Erbsenkönig ganz anders herum gefragt: Hast Du noch gar nicht hinbekommen, dass Du die DNS-Clients in AdGuard Home siehst, willst Du das erstmal erreichen? Ja, das geht so, aber eben ohne Ausfallsicherheit. Die müssten wir (ganz) anders angehen, siehe Post #9.
 
Guten Abend,

Ich habe mein adguard home auf docker am rpi 4 laufen und ich bekomme von manchen Geräten die client Namen/ips doppelt wo aber noch ".fritz.box" hinter steht.
Das kann doch nicht richtig sein das manche Geräte doppelt angezeigt werden?

Es wird dann zb bei Domain im Verlauf einmal das ganze so angezeigt.
Domain
tpc.googlesyndication.com
Das ist zb gesperrt
Und dann eine Zeile weiter :
Domain
tpc.googlesyndication.com.fritz.box
Dies ist dann nicht gesperrt

Warum kommt das doppelt?
 
Zuletzt bearbeitet:
Wenn eine Domain nicht mit einem abschließenden . endet, wird bei der Namensauflösung implizit auch der lokale DNS-Suffix angehängt und geprüft. Trägt man in der lokalen DNS-Suffix-Suchliste gar mehrere lokale Netzwerkdomains ein wie es zB in komplexen Firmennetzwerken mit mehreren Standorten häufig der Fall ist, wird auch jede davon angehängt und aufgelöst, auch wenn es sie gar nicht gibt. Der ganze Prozess der Namensauflösung ist noch etwas komplexer, aber daher kommen eben solche *.fritz.box Domains im DNS-Log. Den lokalen Suffix bzw die Suchliste sieht man zB mit ipconfig /all[/icode)
 
Danke, weil das nur die gesperrten Domains sind. Und die dann nochmal abgefragt werden mit dem Anhang sind dann komischerweise nicht gesperrt.

Also alles normal.
Habe herausgefunden das dies nur mein Handy verursacht die Einträge.

Also habe ich nichts falsch in den Einstellungen.

Danke für deine hilfe 😊
 
Lucky007 schrieb:
Danke, weil das nur die gesperrten Domains sind.
Zum Vergrößern anklicken....
Vermutlich gibt AdGuard die Rückmeldung, Name könne nicht aufgelöst werden. Der Client versucht es dann nochmal und berücksichtigt dabei die Suchsuffixe. Das ist ein normales Verhalten um Kurznamen in einem Netzwerk auflösen zu können.
 
  • Gefällt mir
Reaktionen: Raijin
Danke,
Ist nur nervig weil die nächste Abfrage meist nicht gesperrt ist.
Irgendwas umstellen kann man nicht oder das es nicht mehr kommt?

Danke, ich dachte schon das ich irgendwo ein Fehler gemacht hatte...
 
Wenn du das "umstellen" würdest, hättest du massive Probleme mit lokalen Namen im Netzwerk. Denn auch da wird der Name "MeinNAS" implizit durch ".fritz.box" ergänzt und nach diesem Namen wird anschließend gesucht - und gefunden. DNS hat zu funktionieren und ist nicht dazu da, im Log besonders hübsch auszusehen.
 
  • Gefällt mir
Reaktionen: riversource
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Adguard Home - Client Namensauflösung läuft zur Fritzbox
Antworten
8
Aufrufe
311
CoMo
CoMo
Issou
Warface My.com Game Client: Fritzbox startet alle 5-10 Sek. neu!
Antworten
7
Aufrufe
1.047
Vindoriel
Vindoriel
P
Telefonie über IP Client (FritzBox)
Antworten
13
Aufrufe
5.025
Clcreative
C
R
Fritzbox Basis ->WR1043ND als AP (IP Client)->Fritzbox als Repeater konfigurieren.
Antworten
3
Aufrufe
890
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz