Hallo zusammen,
ich habe AdGuard Home auf meiner OPNsense-Firewall installiert und stehe vor einem Problem mit der dauerhaften Speicherung der AdGuardHome.yaml-Konfigurationsdatei. Trotz wiederholter Anpassungen an der Datei werden meine Änderungen regelmäßig überschrieben, vermutlich durch Systemneustarts oder automatisierte Prozesse.
Hier sind die Details zu meinem Setup:
OPNsense-Version: 24.7.1-amd64
AdGuardHome.yaml wird unter /usr/local/AdGuardHome/ gespeichert.
Bisher habe ich versucht:
Die Datei auf schreibgeschützt zu setzen (chmod 444), was jedoch den Dienststart verhindert hat.
Ein manuelles Backup vor jeder Änderung zu erstellen, was jedoch auf Dauer nicht praktikabel ist.
Insbesondere geht's mir um die IP auf der AdGuardHome lauscht einzuschränken (als Standard ist hier ,,0.0.0.0" eingestellt).
dns:
bind_hosts:
- 0.0.0.0
port: 53
Hat jemand eine Idee, wie ich die AdGuardHome.yaml so konfigurieren kann, dass sie nicht überschrieben wird? Gibt es eine Möglichkeit, AdGuard Home so einzurichten, dass es die Datei bei Neustarts nicht neu generiert? Oder vielleicht eine bewährte Methode, die Konfiguration dauerhaft und sicher zu speichern?
Ich freue mich auf eure Ratschläge und Lösungen.
Vielen Dank im Voraus!
Beste Grüße,
Passiert bei mir nicht. Wie hast du AGH denn installiert? Doch hoffentlich über das Plugin?
Das hab ich bei mir auch noch nicht erlebt, ich nutze AGH seit locker 2 Jahren auf der OPNSense.
Aber ist eh erst mal interessant, wie die AGH installiert hat.
AGH wurde ganz normal über Plugin installiert ... "Passiert bei mir nicht" - was denn genau ? kannst du die yaml-config ändern und wird die nach den Änderungen per webgui nicht überschrieben? Dachte dass AGH überall lauscht ist Standard Setting
Die bind_hosts Einstellung wird doch nur im Wizard bei der Ersteinrichtung geschrieben. Danach muss man Änderungen sowieso in der Datei machen.
"Passiert bei mir nicht" heißt, niemand überschreibt mir ungewollt die Datei. So sieht die bei mir aus:
dns:
bind_hosts:
- 127.0.0.1
port: 53530
ok, verstehe. Könnte dieses Verhalten evtl. daran liegen, dass ich Unbound DNS verwende (5353), eig. nicht ... Versuche ADH Neuzuinstallieren
Ich habe Unbound auf 0.0.0.0:53 und AGH auf 127.0.0.1:53530.
AGH hat als Upstream DNS 127.0.0.1:53 (Unbound) drin.
So haben alle angeschlossenen Netze per Default Unbound als Resolver. Dort, wo ich AGH benutzen will, habe ich ein NAT Portforward Regel z.B.: LAN address:53 --> 127.0.0.1:53530.
Dickes Danke für deinen Tipp zur "Unbound als primär DNS auf Port 53"! Ich hab's gestern gleich ausprobiert, nachdem ich mich durch ein paar andere Ansätze gekämpft habe, läuft nun gut und die config von AdGuard wird nicht mehr überschriebenen :)
Unbound macht das, was es am besten kann, und AdGuard filtert alles schön sauber vor. Nochmals vielen Dank für deine Unterstützung und den wertvollen Tipp!
Beste Grüße
Quote from: Patrick M. Hausen on August 17, 2024, 03:30:14 PMSo haben alle angeschlossenen Netze per Default Unbound als Resolver. Dort, wo ich AGH benutzen will, habe ich ein NAT Portforward Regel z.B.: LAN address:53 --> 127.0.0.1:53530.
Das klingt sehr interessant.
Kannst Du das für einen Anfänger etwas genauer erklären, wie Du das geregelt hast?
Das steht doch genau in dem von dir zitierten Post. Einfach alles, welcher Dienst auf welchem Port und wie das Port-Forwarding aussieht.
Sorry, aber ich sehe den Wald vor lauter Bäumen nicht.
Vielleicht noch einmal für einen DAU erklären?
Du stellst Unbound auf "alle Interfaces" und Port 53 ein.
Du stellst AGH auf 127.0.0.1 und Port 53530 ein.
Du stellst in AGH den Upstream Resolver auf 127.0.0.1:53 ein.
Du legst auf LAN eine Port-Forward-Regel "LAN address" Port 53 --> 127.0.0.1 Port 53530 an.
Das sind die 4 Einstellungen, die du machen musst.
Quote from: Patrick M. Hausen on October 01, 2025, 03:28:52 PMDu stellst Unbound auf "alle Interfaces" und Port 53 ein.
[...]
Das sind die 4 Einstellungen, die du machen musst.
Warum stellst du unbound auf "alle Interfaces" ? Ist es nicht besser, den WAN-Anschluss da auszuschließen? Ich habe es jedenfalls so gemacht und das Duo unbound/AGH tut brav seinen Dienst.
Quote from: Patrick M. Hausen on October 01, 2025, 03:28:52 PMDu legst auf LAN eine Port-Forward-Regel "LAN address" Port 53 --> 127.0.0.1 Port 53530 an.
Ah jetzt ja .....
Danke!!
Quote from: kruemelmonster on October 01, 2025, 05:24:36 PMWarum stellst du unbound auf "alle Interfaces" ? Ist es nicht besser, den WAN-Anschluss da auszuschließen? Ich habe es jedenfalls so gemacht und das Duo unbound/AGH tut brav seinen Dienst.
Weil es einen Grund gibt, weshalb da "All (recommended)" steht. Also für das "recommended". Hatten wir hier im Forum schon x-mal.
Wenn du die Interfaces auflistest, bindet der Dienst an jedes einzeln. Fällt das Interface dann mal runter (Kabel gezogen, angeschlossener Switch rebootet, ...), verliert er in der Regel den offenen Socket und ist nicht mehr erreichbar.
"All (recommended)" heißt nun gerade nicht "jedes Interface einzeln", sondern es wird an die spezielle Adresse INADDR_ANY gebunden aka 0.0.0.0. Diese ist immer verfügbar, auch wenn sich mal wo IP-Adressen ändern oder Interfaces kommen und gehen. Das ist der Grund für das "recommended".
Und das der Dienst auch an WAN aktiv ist - du hast keine "deny all" Regel auf WAN? ;-) Also, kein Problem.
Vielen Dank für die Erklärung.
Ich versuche immer noch etwas dazu zu lernen. Ist halt kein Vergleich als HeimNetzwerkadmin im Vergleich zu euch Fachleuten, die beruflich bedingt die Netzwerkmöglichkeiten und Eigenheiten bis in die hintersten Winkel kennen.
Und ja, die Regeln auf dem WAN sind vorhanden.