Sehr schöne Idee.Ich habe es nur mal schnell auf meiner 7590 getestet:
Ich habe das mal in ein Script zusammengefaßt:- Binary von Github geladen
- AdGuardHome aus dem Archive nach "/var/media/ftp/adguard" entpackt
- "multid -s" aufgerufen um DNS-Port freizugeben
- "/var/media/ftp/adguard/AdGuardHome" gestartet
- multid wieder gestartet
cd /var/media/ftp
wget -O- https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.105.2/AdGuardHome_linux_mips_softfloat.tar.gz | gunzip -c | tar x
cd AdGuardHome
wget https://curl.se/ca/cacert.pem
multid -s
SSL_CERT_FILE=/var/media/ftp/AdGuardHome/cacert.pem /var/media/ftp/AdGuardHome/AdGuardHome &
# erst nach der Ersteinrichtung den multid wieder starten
sleep 5
multid
cd /var/tmp
wget -O- https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.105.2/AdGuardHome_linux_armv7.tar.gz | gunzip -c | tar x
cd AdGuardHome
wget https://curl.se/ca/cacert.pem
multid -s
SSL_CERT_FILE=/var/tmp/AdGuardHome/cacert.pem /var/tmp/AdGuardHome/AdGuardHome &
# erst nach der Ersteinrichtung den multid wieder starten
sleep 5
multid
Wie hast du das Zertifikat erstellt bzw. auf die Box bekommen?... mit selfsigned Cert probiert ...
Wenn du " [ ] Automatisch auf HTTPS umleiten (deaktiviert) " meinst, ja. Aber hast DoT/DoH auch direkt probiert?DoT/DoH geht doch aber auch so ohne auf HTTPS zu wechseln?
Das ist auch eine gute Idee. eisbaerin, kannst du die "Seiteneffekte" des dann im Hintergrund werkelenden DNS-Teils vom multid abschätzen?Ich habe das mal in ein Script zusammengefaßt:
Ja klar, sehe ich doch im Log welcher meiner eingetragenen Server der Schnellste war.Aber hast DoT/DoH auch direkt probiert?
tls://dns3.digitalcourage.de
tls://dns.digitale-gesellschaft.ch
tls://dot.ffmuc.net
https://dns.digitale-gesellschaft.ch/dns-query
46.182.19.48
91.239.100.100
89.233.43.71
- <ip der fritzbox>:3000 im Browser aufgerufen und die Erstkonfiguration durchgeführt
- multid wieder gestartet
Dass geht soweit, aber mich würde interessieren, was du bei den Verschlüsselungseinstellungen eingetragen hast.Trag unter Upstream die DoT/DoH DNS ein, z.B.
Bedeutet das, dass du dort keine Einstellunge konfiguriert hast?Die Verschlüsselungseinstellungen sind meiner Meinung nach nur für den Zugriff der Clients aus dem Lan auf AGH.
Ich möchte aber noch dringend davor warnen das Programm so im NAS laufen zu lassen.- "/var/media/ftp/adguard/AdGuardHome" gestartet
AdGuardHome [options]
Options:
-c, --config VALUE Path to the config file
-w, --work-dir VALUE Path to the working directory
-h, --host VALUE Host address to bind HTTP server on
-p, --port VALUE Port to serve HTTP pages on
-s, --service VALUE Service control action: status, install, uninstall, start, stop, restart, reload (configuration)
-l, --logfile VALUE Path to log file. If empty: write to stdout; if 'syslog': write to system log
--pidfile VALUE Path to a file where PID is stored
--check-config Check configuration and exit
--no-check-update Don't check for updates
--no-mem-optimization Disable memory optimization
-v, --verbose Enable verbose output
--glinet Run in GL-Inet compatibility mode
--version Show the version and exit
--help Print this help
# ./AdGuardHome -s restart
2021/03/29 12:26:22 [info] Service control action: restart
2021/03/29 12:26:22 [fatal] exec.Command(sh) failed: exit status 127:
Genau, aus dem LAN muss kein Client zur FB Dot/DoH machen und https brauche ich da auch nicht.Bedeutet das, dass du dort keine Einstellunge konfiguriert hast?
Irgendwie zweifel ich etwas daran, dass bei dieser Konfiguration DoT/DoH betrieben wird. TLS ohne Zertifkat?Genau, aus dem LAN muss kein Client zur FB Dot/DoH machen und https brauche ich da auch nicht.
tls://1dot1dot1dot1.cloudflare-dns.com
tls://dns.quad9.net
In welchem Umfang? Wenn nicht zu groß, würde ich davon ausgehen, dass das Wear-Leveling dem (ausreichend) entgegenwirken sollte (aber natürlich ohne Garantie). Aber wenn das mehrere MB jeden Tag sind, dann hilft bei ca. 500MB Flashspeicher auch das Wear-Leveling nicht (auf Dauer) weiter.Es werden sehr häufig Log und Statistik Dateien geschrieben, ...
Stellt AGH gar keine verschlüsselten Anfragen an die Upstream-DNS-Server?
Es werden sehr häufig Log und Statistik Dateien geschrieben
Habe ich noch nicht getestet.Funktioniert bei dir die Service control action ?
Nein, nicht unbedingt. Störe ich hier?Möchtest du ein eigenes Thema dazu aufmachen/übernehmen?
Das ist doch nicht entscheidend.Ich bin ja doch eher selten hier unterwegs...
Ich hatte hier eine data/querylog.json mit 22.238.353 Byte.In welchem Umfang? Wenn nicht zu groß,
Richtig! Beobachten!Statistiken und Sitzungen sind 128Kb bzw 32Kb groß. Ob sich da so oft was ändert müsste man beobachten.
Das kann man auch ausschalten.Die Filter täglich updaten
Was ist der Grund dafür? 22MB (täglich) wären mir für den internen NAS/NAND-Speicher auch zu viel.Ich hatte hier eine data/querylog.json mit 22.238.353 Byte.
Nein, dachte nur wäre bei dir vielleicht besser aufgehoben.Nein, nicht unbedingt. Störe ich hier?
Nein, das ist meiner Meinung nach für systemd gedacht.Funktioniert bei dir die Service control action
Danke für deine Geduld mit meinen Zweifel.Nochmal: alles auf der Seite Verschlüsselungseinstellungen ist für Anfragen aus dem LAN an AGH...
tls://1.1.1.1
tls://dns.quad9.net