AdGuard, mehrere Instanzen?

[Zero_Official]

Hallo,

hat jemand Adguard mit mehreren instanzen laufen? wenn ja wie?
ich habe Synology NAS mit 3 Netzwerkschnittstellen die jeweils einem Vlan angehören, jetzt wollte ich
meinen Adguard im Docker um 2 instanzen erhöhen.

Ich habe im Docker 3 Netzwerke erstellt und Aguard per duplizieren um 2 erhöht und an die Schnittstellen angebunden.

Ich kann mich an allen Instanzen Anmelden und Pingen aber DNS läuft nur auf dem Ersten???
was ist falsch?
Die Ports in Containern. werden dynmisch verteilt und überschneiden sich nicht....

Der Zweck von dem Ganzer ist, jeder Vlan soll eigenen DNS haben und nicht quer abfragen.

 

[Raijin]

Du hättest nicht 3 Netzwerke erstellen müssen. Es hätte meiner Ansicht gereicht, 3 Container zu erstellen, auch mit denselben Ports. Dazu einfach Portweiterleitungen im Host einrichten, die source-basiert tcp/udp 53 an den jeweiligen Container weiterleiten.


Ansonsten bietet Docker auch die Möglichkeit, Docker-Netzwerke direkt an ein VLAN vom Host zu hängen. Die Adguard-Instanzen sind dann Bestandteil des VLANs. Dazu empfehle ich ein sehr informatives, aber auch kurzweiliges Video von Networkchuck - don't forget the coffee!


Dein aktuelles Problem kommt übrigens höchstwahrscheinlich genau durch die 3 Docker-Netzwerke. Die Ports für die beiden zusätzlichen Instanzen/Netzwerke sind zu 95% nicht korrekt gemappt.

 

[Zero_Official]

@Raijin
leider lässt sich in der Synology NAS Docker nicht an ein einzelnes Interface binden... sonst wäre es ja leicht.

Ich habe jetzt eine Andere Lösung so das Klients als DNS eine IP von Synology bekommen und DNS Server
forwarded an Adguard (Docker Netzwerk ohne Masquerading so das Docker IP sichtbar ist)
(und Adguard IP kann bei ACL's verwendet werden statt Synologys)

Vorteil es ist etwas Schneller.
Nachteil es sind keine Klients in der Übersicht bein Adguard sondern nur das Gateway vom Adguard/Docker.

Wenn ich aber die IP vom Adguard als DNS an Klients verteile habe ich probleme DDNS über verschiedene IP Ranges zu errechen.

ZB. myddns soll bei vlan X ip 192.168.10.10 als antwort kriegen und bei Vlan Y 192.168.20.10.

Deshalb war der Gedanke mit mehreren DNS Instanzen, jeder Vlan sollte eine IP aus eigener IP-range zu DDNS als antwort bekommen.

 

[Raijin]

leider lässt sich in der Synology NAS Docker nicht an ein einzelnes Interface binden... sonst wäre es ja leicht.

Muss man ja auch nicht. Wenn du einfach 3 Container ins Standard-Docker-Netzwerk hängst, bekommen sie alle eben eine IP aus diesem Docker-Subnetz zugewiesen - ob das 3x Adguard ist oder was auch immer, spielt keine Rolle. Mittels iptables sagst du der Synology dann, dass alles, was von source-ip = 192.168.10.0/24 auf tcp/udp 54 an kommt, an zB 172.16.0.1 geleitet wird, bei 192.168.20.0/24 an 172.16.0.2.

Es kann sein, dass man das im Docker-Interface der Synology nicht direkt machen kann, aber wenn man sich via ssh einloggt und die Regeln in iptables anschaut - speziell die FORWARD chain - sieht man wie Docker die Container mit dem Host verbindet. Dort werden genau solche Regeln hinzugefügt, nur dass sie eben nicht source-basiert sind. Genau da setzt man an. Docker richtet standardmäßig docker-user ein, wenn ich das noch richtig im Kopf habe, und da kann man benutzerdefinierte Regeln für Docker einfügen. Dazu sollte man die Container aber nicht direkt mit einem Portmap starten, sondern selbiges eben wie beschrieben selbst einrichten.

 

[Zero_Official]

@Raijin
der Gedanke ist nicht schlecht ich werde es mal ausprobieren, wobei mir bei ssh und Synology murksen schon übel wird....

 

[Raijin]

ich habe Synology NAS mit 3 Netzwerkschnittstellen

Eventuell reicht es auch aus, die Container-Ports wie folgt zu mappen:

AdGuard 1: -p 192.168.10.123:53:53
AdGuard 2: -p 192.168.20.123:53:53
AdGuard 3: -p 192.168.30.123:53:53

Damit sollte Docker automatisch entsprechende Regeln einbauen, die zwar nicht source-basiert sind, aber dafür anhand der IP-Adresse der Netzwerkschnittstelle (hier: 192.168.x.123) differenziert werden. Manuelles Eingreifen in iptables wäre nicht nötig. Ich ging eingangs von einem gerouteten Netzwerk aus und nicht davon, dass das NAS physisch in jedem VLAN vorhanden ist.

 

[Zero_Official]

@Raijin
ich habe so wie du gesagt hast 3 Container an dasselbe Docker interface gebunden und siehe da Adguard-3
löst Namen auf, ohne Iptable konfig.
Juhuu.
DANKE

 

[Raijin]

Bei Netzwerkfragen einfach den NetzwErklärbär Raijin fragen