DNS Setup mit Unbound, DNSmasq und AdGuardHome --- Wie viele Optionen gibt es?

[mzurhorst]

Guten Morgen zusammen.

Der Titel sagt im Prinzip schon alles:  Ich muss mich über Weihnachten endlich mit dem Ende von ISC DHCP beschäftigen, und das führt zwangsläufig zu Fragen im Zusammenhang mit DNSmasq. Je mehr ich lese, desto mehr "Meinungen" finde ich zu dem Thema. Nun frage ich mich:

• Gibt es da nur eine korrekte Konstellation, und die anderen Sachen funktionieren halt leidlich?
• Oder gibt es tatsächlich mehrere, richtige Setups?

Im Moment habe ich AdGuardHome als DNS-Server für die Clients. Dieser leitet 100% an Unbound weiter. Fertig. Lief so nun 2 Jahre einwandfrei.

Mich reitet die Frage, welcher Dienst nun der DNS-Server auf Port 53 sein soll in Zukunft? Und wie viel Unfug ich ineffizient ans Laufen bekomme, weil ich einer falschen Meinung im Internet gefolgt bin?

Code Select Expand

1)  Client --> AGH --> extern: Unbound
                   |
                   --> intern: DNSmasq
Das habe ich gerade testweise laufen. DNSmasq läuft auf Port 53000 und löst die lokale Domain auf mit folgendem Eintrag in AGH:  [/zurhorst.baerl/]192.168.1.1:53000

Code Select Expand

2)  Client --> DNSmasq --> AGH --> Unbound

3)  Client --> DNSmasq --> AGH --> Unbound
                       |
                       --> Unbound  (Fallback, falls AGH ausfällt)

4)  Client --> DNSmasq --> AGH --> Provider-DNS
Alle diese Varianten, wo ich den DNSmasq auf Port 53 setze, die habe ich bisher noch nicht angefasst.


Was ist denn nun richtig?


Danke & viele Grüße,
   Marcus

[Patrick M. Hausen]

Ich sehe zwei sinnvolle Setups:

- DNSmasq für alles (DHCP und DNS)
- Kea und Unbound

Beide potentiell kombiniert mit AdGuard Home.

Ich verwende Kea und Unbound mit AGH und das funktioniert prima. Ich registriere allerdings keine dynamischen Leases im DNS - das hatte ich auch mit ISC nicht getan. Statische Leases funktionieren prima.

[kruemelmonster]

Ich habe vor kurzem (vor/letzte? Woche) von ISC / unbound / AdGh umgestellt.

Nutze jetzt AdGh zusammen mit dnsmasq und unbound. Das funktioniert stabil.
AdGh leitet an unbound weiter. Dnsmasq macht DHCP und ist autoritativer DNS-Server für meine interne Domain. Anfragen dazu werden von unbound dorthin umgeleitet. Funktioniert im dnsmasq mit statischen Überschreibungen und auch mit dynamischen IPs.

[mzurhorst]

Moin.

Zwei Antworten, zwei Meinungen. Also gibt es schon mehrere Möglichkeiten.
Ich stelle die Frage mal anders und versuche, über meine Requirements zu kommen.

• Ich hätte gerne Filterung der Werbung --> AGH wird benötigt
• Ich würde gerne meine Geräte daheim mit Namen ansprechen.

Beim zweiten Punkt bin ich flexibel.
Am liebsten würde ich das Gerät direkt mit "ping <hostname>" erreichen können. Alternativ wäre ein "ping <hostname>.zurhorst.baerl" für mich aber auch in Ordnung.

Damit stellt sich mir die Frage, ob ich Unbound wirklich dringend benötige, oder ob DNSmasq alleine die Anforderung erfüllen könnte.
Vermutlich nämlich nicht.


Dann wären zwei Wege:

Code Select Expand

1)  Client --> DNSmasq --> AGH --> Provider-DNS
                       |
                       --> Provider-DNS  (Fallback, falls AGH ausfällt)


2)  Client --> AGH --> Provider-DNS
                   |
                   --> DNSmasq  (nur für intern)

Das erste gefällt mir fast besser, weil ich damit noch mögliche Fehler im AGH überbrücken könnte.
Der Preis ist dann aber, dass ich keine einzelnen Statistiken mehr sehe im AGH, und dass ich nicht pro Gerät individuelle Regeln einrichten könnte.

In beiden Szenarien wäre aber mit Unbound ein Dienst raus.

[Monviech (Cedrik)]

Benutz doch die Blocklisten in Unbound und die Statistic darin. Sind erst azfgewertet worden in den letzten Updates.

AGH wird unter umständen gar nicht mehr benötigt.

[Patrick M. Hausen]

AGH hat ein viel netteres User-Interface, was das Blocken und Ausnahmen angeht, das ist doch überhaupt nicht vergleichbar. Wann hast du dir das Dashboard von AGH zuletzt angesehen? Und dann gibt es Apps für Mobilgeräte, mit denen man das mal für 5 Minuten ausschalten kann, etc. pp.

Ich predige ja auch immer möglichst einfache Setups aber AGH ist eine völlig andere Liga.

[Monviech (Cedrik)]

Mein Missfallen hat nichts mit den Fähigkeiten oder Userinterface von AGH zu tun, es sind eher Umweltfaktoren wie das bauen der Binary und die Distribution (das schließt aber die Person aus die das Repo und das Plugin maintained, nichts gegen die. Es hat nichts mit ad hominem zu tun, es hat nur mit der Software und deren Herkunft und der Distribution zu tun die einfach mehr Supportaufwand bedeutet.)

Für das Ausmaß an Installationen gerade bei Home-Usern wäre eine andere (öffentliche) Build Methode und andere Distribution der Binary sicherlich besser, aber schwer umsetzbar.

EDIT: Bleh Artikulation ist schwer xD

[Patrick M. Hausen]

Es gibt doch einen FreeBSD Port. Rein in die Poudriere und es fällt ein Paket raus. Was hält euch davon ab, das Plugin ins offizielle Community Repo zu nehmen?

[Monviech (Cedrik)]

Ich kann dazu nichts sagen weil ich es nicht weiß.

[mzurhorst]

Wenn ich den computer nur mit "hostname" erreichen möchte statt "hostname.searchdomain", hätte dies dann einen Unterschied ob Unbound, AGH oder DNSmasq der DNS-Server auf Port 53 ist?
-- Davon würde ich erst mal gerne abhängig machen, was ich an die Clients verteile.

[Patrick M. Hausen]

Wenn ich den computer nur mit "hostname" erreichen möchte statt "hostname.searchdomain", hätte dies dann einen Unterschied ob Unbound, AGH oder DNSmasq der DNS-Server auf Port 53 ist?

Nein, das passiert alles auf dem jeweiligen Client. Der DHCP-Server muss den Clients die Domain oder eine Liste von Domains mitgeben. Die Resolver-Library hängt die Domain dann an die Hostnamen an. Der DNS-Server verändert niemals die Anfragen, mit den der Client ihn bewirft.