Adguard Home auf Fritzbox betreiben

Hm, verstehe nicht warum immer wieder dnsmasq ins Spiel gebracht wird?

Das ist doch auch nur ein DNS/DHCP Ersatz und das macht AdGuard ja selber bereits?
 
Hallo LazyT,
hast du (oder jemand sonst) schon mal, beim Adguard Home die Verschlüsselung(-soptionen), insbesondere DNS over TLS, eingeschaltet.?
Bei mir steigt die Box oder/und Adguard Home dann aus. Die CPU-Auslastung liegt dann bei ca. 100 %. :confused:
 
Zuletzt bearbeitet:
Hatte nur Mal kurz mit selfsigned Cert probiert ob es prinzipiell geht.

DoT/DoH geht doch aber auch so ohne auf HTTPS zu wechseln?
 
Ich habe es nur mal schnell auf meiner 7590 getestet:
Sehr schöne Idee.
Ließ sich ganz einfach nachmachen und klappte sofort.
Ich bin begeistert.

- Binary von Github geladen
- AdGuardHome aus dem Archive nach "/var/media/ftp/adguard" entpackt
- "multid -s" aufgerufen um DNS-Port freizugeben
- "/var/media/ftp/adguard/AdGuardHome" gestartet
- multid wieder gestartet
Ich habe das mal in ein Script zusammengefaßt:
Code:
cd /var/media/ftp
wget -O- https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.105.2/AdGuardHome_linux_mips_softfloat.tar.gz | gunzip -c | tar x
cd AdGuardHome
wget https://curl.se/ca/cacert.pem
multid -s
SSL_CERT_FILE=/var/media/ftp/AdGuardHome/cacert.pem /var/media/ftp/AdGuardHome/AdGuardHome &
# erst nach der Ersteinrichtung den multid wieder starten
sleep 5
multid
Geht natürlich nur auf MIPS Boxen und es müssen 25 MB im eigenen NAS frei sein (7390, 7490, 7580, 7590).

Geht so nicht auf 3272, 3370, 3390, 7272, 7362SL, 7412, 7430, 7520, 7530, 7560 ...
Da müßte man es im RAM oder auf einem Stick machen.

Hier noch ein Script für eine 7520/7530:

Code:
cd /var/tmp
wget -O- https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.105.2/AdGuardHome_linux_armv7.tar.gz | gunzip -c | tar x
cd AdGuardHome
wget https://curl.se/ca/cacert.pem
multid -s
SSL_CERT_FILE=/var/tmp/AdGuardHome/cacert.pem /var/tmp/AdGuardHome/AdGuardHome &
# erst nach der Ersteinrichtung den multid wieder starten
sleep 5
multid
 
Zuletzt bearbeitet:
  • Like
Reaktionen: prisrak1
... mit selfsigned Cert probiert ...
Wie hast du das Zertifikat erstellt bzw. auf die Box bekommen?
DoT/DoH geht doch aber auch so ohne auf HTTPS zu wechseln?
Wenn du " [ ] Automatisch auf HTTPS umleiten (deaktiviert) " meinst, ja. Aber hast DoT/DoH auch direkt probiert?

Ich habe das mal in ein Script zusammengefaßt:
Das ist auch eine gute Idee. eisbaerin, kannst du die "Seiteneffekte" des dann im Hintergrund werkelenden DNS-Teils vom multid abschätzen?
 
Nein, leider nicht.
Ich hatte nur bemerkt, daß es bei meiner 7580 auch ohne Wiederstart von multid ging.
Inzwischen habe ich es aber wieder gestartet.

Bei einer anderen 7490 hat sich das multid nach ca. 30min selber gestartet.
 
Aber hast DoT/DoH auch direkt probiert?
Ja klar, sehe ich doch im Log welcher meiner eingetragenen Server der Schnellste war.

Trag unter Upstream die DoT/DoH DNS ein, z.B.

Code:
tls://dns3.digitalcourage.de
tls://dns.digitale-gesellschaft.ch
tls://dot.ffmuc.net
https://dns.digitale-gesellschaft.ch/dns-query

Und unter Bootstrap die normalen, z.B

Code:
46.182.19.48
91.239.100.100
89.233.43.71

Die Verschlüsselungseinstellungen sind meiner Meinung nach nur für den Zugriff der Clients aus dem Lan auf AGH.
 
Ich habe in #24 noch eine Variante für die 7520/7530 angefügt.

IMO darf der multid erst nach der Ersteinrichtung wieder gestartet werden, da er sonst sofort wieder Port 53 belegt.
Also sollte es in #1 so heißen:
- <ip der fritzbox>:3000 im Browser aufgerufen und die Erstkonfiguration durchgeführt
- multid wieder gestartet
 
- "/var/media/ftp/adguard/AdGuardHome" gestartet
Ich möchte aber noch dringend davor warnen das Programm so im NAS laufen zu lassen.
Es werden sehr häufig Log und Statistik Dateien geschrieben, die den Flash (NAS) in kurzer Zeit kaputt machen.
IMO sollte es im RAM laufen und nur das Config-File sollte aus dem NAS kommen.
Anbei mal die Optionen:
Code:
AdGuardHome [options]

Options:
  -c, --config VALUE                 Path to the config file
  -w, --work-dir VALUE               Path to the working directory
  -h, --host VALUE                   Host address to bind HTTP server on
  -p, --port VALUE                   Port to serve HTTP pages on
  -s, --service VALUE                Service control action: status, install, uninstall, start, stop, restart, reload (configuration)
  -l, --logfile VALUE                Path to log file. If empty: write to stdout; if 'syslog': write to system log
  --pidfile VALUE                    Path to a file where PID is stored
  --check-config                     Check configuration and exit
  --no-check-update                  Don't check for updates
  --no-mem-optimization              Disable memory optimization
  -v, --verbose                      Enable verbose output
  --glinet                           Run in GL-Inet compatibility mode
  --version                          Show the version and exit
  --help                             Print this help
 
Zuletzt bearbeitet:
Apropos Optionen... Funktioniert bei dir die Service control action ? Bei mir nämlich nicht:
Rich (BBCode):
# ./AdGuardHome -s restart
2021/03/29 12:26:22 [info] Service control action: restart
2021/03/29 12:26:22 [fatal] exec.Command(sh) failed: exit status 127:
 
Bedeutet das, dass du dort keine Einstellunge konfiguriert hast?
Genau, aus dem LAN muss kein Client zur FB Dot/DoH machen und https brauche ich da auch nicht.

@eisbaerin
Möchtest du ein eigenes Thema dazu aufmachen/übernehmen? Dann könntest du es besser pflegen, Scripte anhängen, ergänzen usw?

Ich bin ja doch eher selten hier unterwegs... ;)
 
Genau, aus dem LAN muss kein Client zur FB Dot/DoH machen und https brauche ich da auch nicht.
Irgendwie zweifel ich etwas daran, dass bei dieser Konfiguration DoT/DoH betrieben wird. TLS ohne Zertifkat?
"Wenn die Verschlüsselung aktiviert ist, funktioniert die AdGuard Home Admin-Oberfläche über HTTPS, und der DNS-Server wartet auf Anfragen über DNS-over-HTTPS und DNS-over-TLS."
Was bedeutet das?
Stellt AGH gar keine verschlüsselten Anfragen an die Upstream-DNS-Server?

Kannst du bitte mal testweise folgende Upstream-DNS-Server ausprobieren?
Code:
tls://1dot1dot1dot1.cloudflare-dns.com
tls://dns.quad9.net
Bei mir steigt AGH dann aus bzw. beschäftigt die CPU zu 98 %.
 
Zuletzt bearbeitet:
Es werden sehr häufig Log und Statistik Dateien geschrieben, ...
In welchem Umfang? Wenn nicht zu groß, würde ich davon ausgehen, dass das Wear-Leveling dem (ausreichend) entgegenwirken sollte (aber natürlich ohne Garantie). Aber wenn das mehrere MB jeden Tag sind, dann hilft bei ca. 500MB Flashspeicher auch das Wear-Leveling nicht (auf Dauer) weiter.
 
Stellt AGH gar keine verschlüsselten Anfragen an die Upstream-DNS-Server?

Nochmal: alles auf der Seite Verschlüsselungseinstellungen ist für Anfragen aus dem LAN an AGH. Unabhängig davon macht AGH doch trotzdem DNS-Anfragen über DoT/DoH nach außen.

Guckst du ins Anfragenprotokoll und gehst mal auf ein ? siehst du dort welcher DNS geantwortet hat. Und das sind bei mir mal DoT und mal DoH DNS-Server, je nachdem welcher gerade am schnellsten geantwortet hat. Also das geht wie gesagt auch so.

Es werden sehr häufig Log und Statistik Dateien geschrieben

Das Log selbst geht standardmäßig nach stdout. Was er schreibt sind die Anfragenprotokolle (querylog.json) und DBs (session, stats, leases).

Die Anfragen lasse ich eh nur im RAM (AdGuardHome.yml -> querylog_file_enabled: false, querylog_size_memory: 4000). Wenn das Log dann gekappt wird (mir reichen 24h) müsste man halt vergrößern bei Bedarf.

DHCP habe ich statische Leases, die ändern sich also eh nicht mehr nach dem Anlegen denke ich.

Statistiken und Sitzungen sind 128Kb bzw 32Kb groß. Ob sich da so oft was ändert müsste man beobachten.

Die Filter täglich updaten, das sind nochmal so 700Kb (adguard) bzw. 300Kb (adaway).
 
Funktioniert bei dir die Service control action ?
Habe ich noch nicht getestet.

Möchtest du ein eigenes Thema dazu aufmachen/übernehmen?
Nein, nicht unbedingt. Störe ich hier?
Ich bin ja doch eher selten hier unterwegs...
Das ist doch nicht entscheidend.
In welchem Umfang? Wenn nicht zu groß,
Ich hatte hier eine data/querylog.json mit 22.238.353 Byte.
Kommt natürlich immer drauf an, was man so in dem Webinterface macht.
Statistiken und Sitzungen sind 128Kb bzw 32Kb groß. Ob sich da so oft was ändert müsste man beobachten.
Richtig! Beobachten!
Die braucht man aber IMO nicht unbedingt gesichert im Flash.
Da genügt es auch, wenn die im RAM sind.
Die Filter täglich updaten
Das kann man auch ausschalten.
Aber auch die genügen im RAM, weil die schnell sofort nachgeladen sind.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Nochmal: alles auf der Seite Verschlüsselungseinstellungen ist für Anfragen aus dem LAN an AGH...
Danke für deine Geduld mit meinen Zweifel.
Ich konnte (und kann) mir bloss nicht erklären, wieso AGH bei bestimmten DoT-Servern "aussteigt".
Code:
tls://1.1.1.1
tls://dns.quad9.net
Ist das denn nur bei mir so?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.