OPNsense Forum

Hallo opnsense-Community,

ich hätte ein paar Fragen betreffend AGH, zunächst jedoch mein Setup.

• OPNsense 25.1.3-amd64
• AGH v0.107.57

Ich habe bis dato mit unbound (inkl.) Blocklists gearbeitet, nun aber gesehen dass AGH doch sehr gute Werkzeuge mit an Bord hat um zu "switchen". Allen voran die Client-basierten Möglichkeiten klingen spannend.

AGH läuft aktuell (als primary DNS) und nutzt unbound als Resolver, ich habe hier jedoch relativ hohe Antwortzeiten (~200-250ms).
Direkt über unbound läuft das performanter, direkt über AGH ebenso (bei identen Blocklists) -> hier meine erste Frage: an was kann das liegen, respektive wie kann man das optimieren?
(siehe auch ein ähnliches Problem hier: https://forum.opnsense.org/index.php?topic=44439.msg221745#msg221745)

Meine zweite Frage betrifft die definierten upstream-Server, in diesem Falle direkt über AGH.

Trage ich hier bspw. (basierend auf https://adguard-dns.io/kb/de/general/dns-providers/)

• tls://security.cloudflare-dns.com
• tls://dns.quad9.net

ein, bekomme ich eine Fehlermeldung: "Server ,,tls://security.cloudflare-dns.com:853": konnte nicht verwendet werden, bitte überprüfen Sie die korrekte Schreibweise".

Trage ich tls://dns.adguard-dns.com ein, funktioniert alles fehlerfrei - und das bringt mich zu meiner zweite Frage: an was kann das liegen?

Ich habe absolut nichts an den Bootstrap-DNS-Server geändert, der Adguard-DNS funktioniert ja - nur der Rest eben nicht.

Danke euch für eure Zeit und schönen Tag!

Aktuelle CFG (Ausschnitt):

http:
  pprof:
    port: 6060
    enabled: false
  address: <OPNSENSE_IP>:3000
  session_ttl: 720h
users:
  - name: <AGH_USER>
    password: <AGH_PASSWORD>
auth_attempts: 5
block_auth_min: 15
http_proxy: ""
language: ""
theme: auto
dns:
  bind_hosts:
    - <OPNSENSE_IP>
    - <VLAN_A>
    - <VLAN_B>
    - <VLAN_C>
    - <VLAN_D>
    - <VLAN_E>
    - <VLAN_F>
    - 127.0.0.1
  port: 53
  anonymize_client_ip: false
  ratelimit: 20
  ratelimit_subnet_len_ipv4: 24
  ratelimit_subnet_len_ipv6: 56
  ratelimit_whitelist: []
  refuse_any: true
  upstream_dns:
    - '[/*.<LOCALDOMAIN>/]127.0.0.1:<UNBOUND_PORT>'
    - 127.0.0.1:<UNBOUND_PORT>
  upstream_dns_file: ""
  bootstrap_dns:
    - 9.9.9.10
    - 149.112.112.10
    - 2620:fe::10
    - 2620:fe::fe:10
  fallback_dns: []
  upstream_mode: load_balance
  fastest_timeout: 1s
  allowed_clients: []
  disallowed_clients: []
  blocked_hosts:
    - version.bind
    - id.server
    - hostname.bind
  trusted_proxies:
    - 127.0.0.0/8
    - ::1/128
  cache_size: 4194304
  cache_ttl_min: 0
  cache_ttl_max: 0
  cache_optimistic: false
  bogus_nxdomain: []
  aaaa_disabled: false
  enable_dnssec: true
  edns_client_subnet:
    custom_ip: ""
    enabled: false
    use_custom: false
  max_goroutines: 300
  handle_ddr: true
  ipset: []
  ipset_file: ""
  bootstrap_prefer_ipv6: false
  upstream_timeout: 2s
  private_networks: []
  use_private_ptr_resolvers: true
  local_ptr_upstreams:
    - 127.0.0.1:<UNBOUND_PORT>
  use_dns64: false
  dns64_prefixes: []
  serve_http3: false
  use_http3_upstreams: false
  serve_plain_dns: true
  hostsfile_enabled: true
tls:
  enabled: false
  server_name: ""
  force_https: false
  port_https: 443
  port_dns_over_tls: 853
  port_dns_over_quic: 853
  port_dnscrypt: 0
  dnscrypt_config_file: ""
  allow_unencrypted_doh: false
  certificate_chain: ""
  private_key: ""
  certificate_path: ""
  private_key_path: ""
  strict_sni_check: false
querylog:
  dir_path: ""
  ignored: []
  interval: 24h
  size_memory: 1000
  enabled: true
  file_enabled: true
statistics:
  dir_path: ""
  ignored: []
  interval: 24h
  enabled: true
filters:
  - enabled: false
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
    name: AdGuard DNS filter
    id: 1
  - enabled: false
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_2.txt
    name: AdAway Default Blocklist
    id: 2
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_48.txt
    name: HaGeZi's Pro Blocklist
    id: 1742110114
  - enabled: true
    url: https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
    name: OISD Blocklist Big
    id: 1742110115
whitelist_filters: []
user_rules:
  - <REDACTED>
dhcp:
  enabled: false
  interface_name: ""
  local_domain_name: lan
  dhcpv4:
    gateway_ip: ""
    subnet_mask: ""
    range_start: ""
    range_end: ""
    lease_duration: 86400
    icmp_timeout_msec: 1000
    options: []
  dhcpv6:
    range_start: ""
    lease_duration: 86400
    ra_slaac_only: false
    ra_allow_slaac: false
filtering:
  blocking_ipv4: ""
  blocking_ipv6: ""
  blocked_services:
    schedule:
      time_zone: Local
    ids: []
  protection_disabled_until: null
  safe_search:
    enabled: false
    bing: true
    duckduckgo: true
    ecosia: true
    google: true
    pixabay: true
    yandex: true
    youtube: true
  blocking_mode: default
  parental_block_host: family-block.dns.adguard.com
  safebrowsing_block_host: standard-block.dns.adguard.com
  rewrites:
    - domain: <CLIENT>.<LOCALDOMAIN>
      answer: <ANSWER>
  safe_fs_patterns:
    - /usr/local/AdGuardHome/userfilters/*
  safebrowsing_cache_size: 1048576
  safesearch_cache_size: 1048576
  parental_cache_size: 1048576
  cache_time: 30
  filters_update_interval: 24
  blocked_response_ttl: 10
  filtering_enabled: true
  parental_enabled: false
  safebrowsing_enabled: false
  protection_enabled: true
clients:
  runtime_sources:
    whois: true
    arp: true
    rdns: true
    dhcp: true
    hosts: true
  persistent: []
log:
  enabled: true
  file: ""
  max_backups: 0
  max_size: 100
  max_age: 3
  compress: false
  local_time: false
  verbose: false
os:
  group: ""
  user: ""
  rlimit_nofile: 0
schema_version: 29