Einrichten von AdGuard Home nicht möglich

[eriksOn]

Hallo ihr Lieben,
ich habe Probleme meinen AdGuard Home auf meinem MinisForum Server zum laufen zu bringen. Ich denke es hängt mit der Belegung der Ports zusammen. Ich habe verschiedene Container auf Portainer laufen. Darunter Wireguard, DuckDNS-Script und Nextcloud. Alles klappt bisher einwandfrei. AdGuard hingegen habe ich in mehreren Anläufen nicht zum laufen gekriegt. Ich denke es liegt am Portforwarding oder an der generellen Portbelegung der anderen Container.

Gibt es hier jemanden der sich damit gut auskennt und mir via Discord bei der Einrichtung helfen könnte?

MfG

 

[xCtrl]

Die WebGui für den Installprozess rufst Du mit http und Port 3000 auf, dort kannst Du sagen über welchen http Port er für die Webgui erreichbar sein soll. Ansonsten nutzt Adguard Home im Standard Port 53 für DNS. Habs bei mir im Einsatz als Opnsense Plugin

so als kleiner Infosplitter

 

[snaxilian]

via Discord bei der Einrichtung helfen könnte?

Nein denn das widerspricht dem Sinn eines Forums. Am Ende hättest nämlich nur du die Lösung anstatt jeder der diesen Thread findet weil er ggf. das gleiche oder ein ähnliches Problem hat.
Außerdem setzt dann keinerlei Lernfortschritt oder Erkenntnisgewinn bei dir ein wenn das jemand anderes für dich zusammen klickt.
Wenn nur du eine Lösung willst dann beauftrage einen entsprechenden IT'ler und bezahle ihn dafür. Wenn du Hilfe im Forum möchtest dann beschreibe dein Setup entsprechend so, dass jeder hier es nachvollziehen und reproduzieren kann. Nur dann können wir den Fehler finden und dir bei der Lösung helfen.

Bisher wissen wir, dass du Portainer verwendest, Nextcloud, einen dyndns Dienst, Wireguard und willst jetzt noch Adguard Home (AH) nutzen.
Welche Schritte hast du alles unternommen um AH zu installieren? Bist du einer Anleitung gefolgt, wenn ja welcher und an welchen Schritten bist du bei dir ggf. abgewichen? Bei Video-Anleitungen bitte Zusammenfassung/Screenshots. Zumindest ich für meinen Teil habe keine Lust mir Werbung anzusehen oder elendig langes Geschwafel anzuhören für etwas was man mit paar Bildern und wenigen Zeilen Text auch beschreiben kann, das geht einfach schneller

 

[eriksOn]

[...]

Verstehe ich Voll und Ganz die Kritik.
Ich habe verschiedene Herangehensweisen befolgt und bin am Ende immer zu dem Ergebnis gekommen, dass kein Traffic durch den AdGuard geschickt wurde. Nach dem Einstellen der IP-Adresse meines MiniServers (MS) als DNS-Server in der FritzBox (FB), wurden dann natürlich keine Internetseiten mehr aufgerufen. Neustarten der FB und auch des MS haben keinen Erfolg gebracht.

Die Einrichtung habe ich bisher immer als Stack gemacht:
"version: "3"
services:
adguardhome: image: adguard/adguardhome
container_name: adguardhome
ports:

• 53:533/tcp
• 53:533/udp
• 80:8088/tcp
• 3000:3000/tcp

volumes:

• /pfad/zum/adguard/data:/opt/adguardhome/work
• /pfad/zum/adguard/conf:/opt/adguardhome/conf

restart: unless-stopped"

Die Ports sind abgeändert, da andere Container bereits einige der Ports nutzen.

In die Ersteinrichtung und dann auch die Main-UI bin ich gekommen. Konnte Einstellungen vornehmen etc. Im EInrichtungsassistent sagt er jedoch z.B. eine falsche IP zum Einrichten im Router (das ist dann die Portainer-interne IP) und habe deswegen die "Haupt-IP" meines Servers genommen (wie auch schon letztes Jahr, wo die Einrichtung problemlos klappte).

In keinem der Tutorials, Videos, Anleitungen wurde etwas darüber erwähnt, dass Portforwarding am Router betrieben werden muss. Dies hatte ich dann manuell auch schon versucht, auch ohne Erfolg...

 

[Raijin]

bin am Ende immer zu dem Ergebnis gekommen, dass kein Traffic durch den AdGuard geschickt wurde.

Adguard ist auch nur ein DNS und da geht kein Traffic "durch", sondern es wird lediglich eine Domain aufgelöst. DNS ist nur ein Telefonbuch, in das man vor dem Anruf reinguckt, nicht mehr und nicht weniger.

Im EInrichtungsassistent sagt er jedoch z.B. eine falsche IP zum Einrichten im Router (das ist dann die Portainer-interne IP) und habe deswegen die "Haupt-IP" meines Servers genommen

Das ist auch richtig so. Normalerweise haben VMs bzw. Container nur eine virtuelle IP-Adresse auf dem Host. Docker-Container haben in der Regel zB eine 172.17.0.x. Diese IP ist aber außerhalb des Hosts nicht erreichbar und deswegen braucht der Container beim Starten das Portmapping und damit ist er über die IP-Adresse des Hosts erreichbar.

oder

Der Container wird im Bridge-Modus betrieben und dann bekommt er tatsächlich eine eigene IP-Adresse aus dem lokalen Netzwerk.

In keinem der Tutorials, Videos, Anleitungen wurde etwas darüber erwähnt, dass Portforwarding am Router betrieben werden muss. Dies hatte ich dann manuell auch schon versucht, auch ohne Erfolg...

Es ist auch richtig und wichtig, dass das nirgendwo steht, weil man in Folge dessen Post von der Bundesnetzagentur bekommen kann, da der DNS im Internet als Open DNS Resolver erreichbar wäre und für DNS Amplification Attacks genutzt werden kann und eher früher als später auch wird. Einen lokalen DNS betreibt man daher ausschließlich lokal und nicht öffentlich erreichbar - insbesondere, wenn man überhaupt nicht weiß was wie und wo.


Adguard baust du so in dein Netzwerk ein:

1) Adguard auf einem System deiner Wahl installieren
2) Als Upstream-DNS die IP deines Internetrouters eingeben
3) Im Router als Internet-DNS den DNS des Providers (Standard) oder eines anderen public DNS eingeben
4) Im Router den DHCP so einstellen, dass er die IP des Adguard als DNS verteilt

DNS-Aufrufkette: Client --> Adguard --> Router --> Provider/public DNS

oder

1) Adguard auf einem System deiner Wahl installieren
2) Als Upstream-DNS einen public DNS wählen
3) Im Router als Internet-DNS die IP des Adguard eingeben
4) Im Router den DHCP so einstellen, dass er die Router-IP als DNS verteilt (Standard)

DNS-Aufrufkette: Client --> Router --> Adguard --> Provider/public-DNS

 

[eriksOn]

Vielen Dank für die ausführliche Antwort. Das Kuriose ist jetzt, dass ich spaßeshalber mal PiHole installiert habe und genauso eingerichtet habe wie AdGuard. PiHole filtert die DNS-Anfragen (ich habe das als "Traffic" bezeichnet) wie vorgesehen. Dabei habe ich genau die gleichen Einstellungen in Portainer und Router vorgenommen.

Ich werde weiter rumprobieren und mich hier die Tage bei Bedarf nochmal melden. Lieben Dank an alle :-)!

 

[Zipfelklatscher]

ports:

• 53:533/tcp
• 53:533/udp
• 80:8088/tcp
• 3000:3000/tcp

[...]

Die Ports sind abgeändert, da andere Container bereits einige der Ports nutzen.

Dann darfst du aber nicht die internen Ports des Containers abändern, sondern die nach außen gemappten Port. Es sollte also eigentlich heißen:

ports:
- 533:53/tcp
- 533:53/udp
- 8080:80/tcp
- 3000:3000/tcp

Links stehen immer die Ports auf dem Host, rechts die Container-Ports. Letztere sollten nicht verändert werden.

Wobei man den Port 53 auf dem Host eigentlich gar nicht ändern sollte, da DNS-Anfragen nun mal standardmäßig auf Port 53 laufen. Also sollte Port 53 auch auf Port 53 weitergeleitet werden. Maximal den Port für das Webinterface und den Einrichtungsassistenten kann man anpassen, wenn es nötig ist. Aber wie gesagt: nicht auf der rechten Seite (Container-Ports).

 

[Biernot]

Hallo,
kann ich auch mehreren Netzen die es bei mir gibt den gleichen Adguard zuweisen ohne das es ein Sicherheitsrisiko in den Netzen gibt ?

 

[Raijin]

Die Frage ist zu unspezifisch als dass man eine belastbare Antwort geben könnte. Solange Adguard als DNS nicht öffentlich erreichbar ist und deine "mehrere Netze" unter deiner Kontrolle sind, stellt ein DNS kein Sicherheitsrisiko dar. In diesem Szenario ist Adguard nichts anderes als dein Telefonbuch auf der Kommode im Flur. Da kommt niemand ran außer du und deine Mitbewohner.

Generell gibt es nur wenige Situationen, in denen DNS-Server überhaupt "gefährlich" sein können. Allen gemein ist, dass jemand mit ausreichend krimineller Energie Zugriff auf den DNS haben muss. Einerseits kann ein Nutzer eines DNS wie oben beschrieben den DNS-Server für DoS-Attacken missbrauchen und andererseits kann ein Administrator des DNS-Servers (echt oder gehackt) Nutzer anhand der Logs tracken oder mit gefaketen DNS-Einträgen auf böswillige Fake-Seiten leiten.

Letzteres ist ein Grund warum man nur einschlägig bekannte öffentliche DNS-Server im www nutzen sollte, sei es direkt am Gerät oder als Upstream-DNS im Router bzw. Adguard. Also nicht einfach irgendeine DNS-IP abtippen, weil jemand sagt "Dieser DNS ist super toll", weil das im worst case ein DNS-Server ist, der zB deine.bank.de nicht auf deine Bank leitet, sondern auf einen Clon, um deine Zugangsdaten abzugreifen.

 

[andy_m4]

der zB deine.bank.de nicht auf deine Bank leitet, sondern auf einen Clon, um deine Zugangsdaten abzugreifen.

Mal unabhängig davon das Du recht hast, das ein böser DNS-Server ein Problem ist:
Gegen dieses konkrete Szenario sollte eigentlich "https" helfen.