AdGuard Home und Fritzbox - Einrichtung

[LucaScaletta]

Guten Morgen Zusammen,

ich habe am Wochenende AdGuard Home per RaspBerry Pi ins Netzwerk eines Bekannten geholt und bin mir bei der Einrichtung in der Fritzbox nicht so sicher.

Es gibt laut Internet Recherche 2 Möglichkeiten die IP des RaspBerry Pi (als DNS) in der FB zu hinterlegen, wobei ich bei der ersten Möglichkeit ein Logikproblem sehe:

1:

Unter Internet - Zugangsdaten - DNS-Server ...

Hier sollen als Bevorzugter und Alternative DNSv4-Server/DNSv6-Server jeweils die korrekte Adresse des RPi eingetragen werden.
ABER laut meiner Logik, fällt der RPi einmal aus, gibt es keine DNS Auflösung im Netzwerk und somit ist das Geschrei groß.


2:

Über die Eintragung als Lokaler DNS-Server sowohl bei den IPv4 als auch den IPv6 Reiter, sehe ich schon eher die richtige Hinterlegung, doch werden hier dann bei meinem Test keine Filter in AdGuard angewendet und die Funktion ist gleich 0.

Kann mir hier jemand einen Tipp geben?

merci

 

[NeoExacun]

Der Effekt bei Ausfall des RPi sollte bei beiden Wegen der selbe sein. Bei Möglichkeit 1 Fragen alle Clients die Fritzbox an und die fragt den RPi statt den Provider. Bei Möglichkeit 2 fragen die Clients direkt den RPi an.

Du musst auf jeden Fall deinen DHCP Request erneuern, nachdem du Möglichkeit 2 eingestellt hast. sonst fragen dir Clients noch den alten DNS-Server (die Fritzbox) an.

 

[KillerPinockel]

Wichtig noch zum Thema Gastnetz. Siehe hier:
https://docs.pi-hole.net/routers/fritzbox-de/#pi-hole-im-gastnetzwerk-nutzen

Ist zwar für PiHole aber spielt keine Rolle.

Ich habe sowohl im DHCP den DNS geändert als auch den DNS unter Zugangsdaten. IM AdGuard stehen dann die DNSe drin, wo Anfragen hin sollen. Musst du sowohl für IPv4 als auch für IPv6 machen.

 

[LucaScaletta]

@NeoExacun

Das ist mir bewusst, aber das stört mich persönlich nicht weiter. Das wäre ein nettes Feature, wenn man wissen möchte, welcher Client hier Mordsanfragen stellt.

Mir persönlich geht es eher um die Ausfallsicherheit. bevorzuge tue ich Möglichkeit 2, allein weil niemand zw. Bevorzugter und Alternative DNS unterscheidet und die Blockrate arg sinkt.

Doch kennt man jemand eine Möglichkeit, einen abgerauchten RPi (als DNS) abzufangen und dennoch die Namensauflösung zu genieren?

 

[blondi3480]

Doch kennt man jemand eine Möglichkeit, einen abgerauchten RPi (als DNS) abzufangen und dennoch die Namensauflösung zu genieren?

Wenn Ausfallsicherheit so wichtig ist dann einfach einen zweiten RPi installieren als Backup und den als zweiten DNS Server eintragen.

Im übrigen läuft es bei uns im Büro genau so, dass wir den internen DNS-Server als Primären eingetragen haben und den Google-DNS als Sekundären. Einfach damit wir einen DNS haben wenn der VPN-Tunnel ausfällt. Und bei uns klappt das super.

 

[Raijin]

Über die Eintragung als Lokaler DNS-Server sowohl bei den IPv4 als auch den IPv6 Reiter, sehe ich schon eher die richtige Hinterlegung, doch werden hier dann bei meinem Test keine Filter in AdGuard angewendet und die Funktion ist gleich 0.

Es spielt keine Rolle an welcher Stelle du einen lokalen DNS-Server in die Kette einhängst. Trägst du ihn in die Interneteinstellungen des Routers als Upstream-DNS ein, fragen die Clients weiterhin den Router, aber dieser reicht sofort zu seinem Upstream-DNS = Adguard weiter. Ist Adguard down, keine Namensauflösung. Trägst du Adguard in den DHCP-Einstellungen ein, fragen die Clients direkt Adguard und dieser leitet zu seinem Upstream-DNS weiter. Ach hier gibt es keine Namensauflösung, wenn Adguard down ist.

Deswegen ist es einerlei wo du Adguard einträgst. Wenn du an der Zuverlässigkeit zweifelst, musst du entweder auf Adguard verzichten oder wie von @blondi3480 vorgeschlagen einen Klon von Adguard auf einem zweiten PI danebenstellen. DNS ist ein zeitkritisches System und deswegen ist man gut damit beraten, Adguard oder pihole nicht auf einem Bastel-System zu installieren, an dem man ständig rumfummelt. Wenn man das nämlich tut, ist die Wahrscheinlichkeit auch entsprechend hoch, dass man plötzlich Probleme mit dem Internet bekommt, weil Adguard von jetzt auf gleich nicht mehr funzt, weil man ja unbedingt dran rumfummeln musste

 

[LucaScaletta]

@Raijin

Der RPi ist in solchen Dingen immer meine "Bastelbude" um genau solche Szenarien durch zu spielen. Der produktive Einsatz erfolgt auf einem Synology NAS, an welchem nicht "rumgefummelt" wird.

@All

Gut, danke ... dann bespreche ich das mit dem eigentlichen Owner des Netzwerks und wir nutzen dann das Ergebnis als "Ausfall" - DNS

 

[Raijin]

Der RPi ist in solchen Dingen immer meine "Bastelbude" um genau solche Szenarien durch zu spielen. Der produktive Einsatz erfolgt auf einem Synology NAS, an welchem nicht "rumgefummelt" wird.

Das ist ja auch ok. Ich wollte nur darauf hinweisen, dass es keine Rolle spielt wo Adguard eingetragen ist. Fällt Adguard aus, gibt's kein DNS.

Prinzipiell geht es bei der Position von Adguard nur darum ob man einzelne Clients auseinanderhalten möchte - ggfs um clientspezifische Profile zu nutzen - oder ob man zB das Gastnetzwerk ebenfalls mit Adguard gefiltert werden soll. Beide Szenarien schließen sich weitestgehend aus.


Adguard als Upstream-DNS in den Interneteinstellungen des Routers:

Client --> Router --> Adguard --> 8.8.8.8

= Adguard sieht nur einen Client, die Fritzbox. Dafür profitieren sowohl Clients im Haupt- als auch im Gastnetzwerk von Adguard, da es indirekt genutzt wird


Adguard als DNS in den DHCP-Einstellungen des Routers:

Hauptnetzwerk: Client --> Adguard --> (Router) --> 8.8.8.8
Gastnetzwerk : Client --> Router --> 8.8.8.8

= Adguard wird von den Clients im Hauptnetzwerk direkt angesprochen, aber Clients im Gastnetzwerk haben keine Verbindung zu Adguard und gehen ungefiltert über den Router




Bei pihole könnte man noch mit Conditional Forwarding arbeiten und das Setup etwas anpassen und auch die Gast-Clients von Adguard profitieren lassen, aber ich meine, dass Adguard keine native Unterstützung für conditional forwarding bietet und man es von Hand via ssh einrichten müsste. Kann aber auch sein, dass das mittlerweile auch über die GUI geht.

 

[laola1]

Ich habe auch einiges getestet, die Möglichkeit 2 ist seht verlockend weil man alle Clients sieht incl. deren Anfragen. Aber ich habe mich letztendlich für die Version 1 entschieden, AdGuard direkt unter Internet als DNS eingetragen. So habe ich bei Ausfall des AdGuards keine DNS Probleme, weil im Fehlerfall ein öffentlicher DNS hinzugezogen wird. Mehrfach getestet, läuft einwandfrei.
------------------------------------------------------------------------------

 

[visiongss]

Hallo, ist zwar lange her aber keiner hier hat gefragt was passiert wenn beides (DNS+DHCP) auf AdGuard weitergeleitet werden. Gibt es irgendwelche Einschränkungen?

 

[norKoeri]

Dann müssen wir nachfragen: Warum willst Du auch noch DHCP auf dem AdGuard machen? Macht normal wenig Sinn, weil die FRITZ!Box der IPv6-Router bleibt.

 

[visiongss]

hab's getestet, macht Probleme. Beim Streamen hatte ich Verbindungsabbrüche, evtl. entsteht da ein Loop. Habe jetzt auf die Variante2 gewechselt. Ich wollte nur wissen ob man ohne Probleme beides gleichzeitig umleiten kann, weil ich die Clients aufgelistet haben möchte und gleichzeitig das alles über AdGuard läuft auch das Gästenetzwerk.
Gegenfrage: Was hat das mit IPv6 zu tun? Ich benutze im lokalen Netz nur IPv4, oder meinst du die öffentliche IP?

 

[norKoeri]

beides gleichzeitig umleiten

Ja, das wird in diesem Thread behandelt …

Was hat das mit IPv6 zu tun? Ich benutze im lokalen Netz nur IPv4 […]

Dann hat das nichts mit IPv6 zu tun. Ich wollte lediglich anmerken, dass wenn AdGuard Home den DHCP-Server für IPv4 spielt, die FRITZ!Box weiterhin Router-Advertisements für IPv6 machen würde. Aber weil Du kein IPv6 im Heimnetz nutzt, macht sie das nicht.