Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
« previous
next »
Print
Pages: [
1
]
Author
Topic: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS (Read 923 times)
markus.tobatz
Newbie
Posts: 30
Karma: 0
DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
on:
May 12, 2024, 06:23:46 pm »
Bevor ich mich an die Umsetzung mache, hier eine Frage, ob und wie das technisch lösbar ist. Ich nutze OPNsense 24.1.5 mit Unbound DNS, ganz normal. Ich möchte Adguard Home einsetzen aber ungern ein externes Repository auf der OPNsense integrieren, daher war die Überlegung, Adguard als Docker auf dem permanent aktiven NAS aufzusetzen. Ich benötige Adguard, weil ich bei der Blocklist Ausnahmen für bestimmte Clients machen muss.
Dazu hätte ich für DNS-Anfragen, die *nicht* vom NAS kommen im OPNsense eine Port Forwarding Regel für UDP Port 53 eingerichtet, die auf den Adguard Docker Container auf dem NAS verweist. Und Adguard wiederum soll als Upstream natürlich den Unbound von OPNsense verwenden.
Die Frage ist nun: Wie kann ich da nun die Verfügbarkeit erhöhen. Für den Fall, dass das NAS gerade nicht verfügbar ist, werden dann vermutlich keine DNS Anfragen mehr beantwortet. Gibt es eine Möglichkeit im OPNsense den integrierten Unbound *doch* zu nutzen, falls das Adguard auf dem NAS nicht antwortet oder erreichbar ist?
Logged
markus.tobatz
Newbie
Posts: 30
Karma: 0
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #1 on:
May 13, 2024, 02:32:25 pm »
Ich sehe gerade, es gibt ja Nginx als offizielles Plugin. Damit müsste sich doch ein UDP Reverse Proxy für DNS aufsetzen lassen. Per Upstream könnte ich dann Adguard auf dem NAS ansprechen und im Fehlerfall auf Unbound zurückfallen. Das schaue ich mir mal genauer an...
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #2 on:
May 13, 2024, 05:11:20 pm »
Aber dann wäre ja der Proxy der Single Point of Failure.
DNS an sich ist Fehlertolerant aufgebaut. Man kann Clients mehr als einen DNS Server geben.
«
Last Edit: May 13, 2024, 05:17:09 pm by Monviech
»
Logged
Hardware:
DEC740
markus.tobatz
Newbie
Posts: 30
Karma: 0
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #3 on:
May 13, 2024, 05:26:19 pm »
Achso, das SPoF stört mich hier nicht. Ich nutze Nginx für diverse Reverse Proxy Geschichten seit vielen Jahren, vertraue also darauf. Und da der Nginx auf der OPNsense laufen soll ist das auch weniger kritisch für mich. Die Clients bekommen bisher eh nur den Unbound auf der OPNsense als DNS Server mitgeteilt. Und wenn mir die ganze OPNsense-Kiste abrauscht, ist eh Feierabend. Und sollte der Nginx Proxy doch mal ausfallen, dann ist es so, damit kann ich leben. Mein NAS ist da deutlich ausfallgefährdeter als die dedizierte Appliance.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #4 on:
May 13, 2024, 05:29:52 pm »
Ich hab 2 Raspberry Pis mit Pihole laufen, auf welchen auch Unbound Rekursiv läuft. Die beiden DNS Server verteile ich an meine Clients. Für Domains, die nur die OPNsense mit ihrem Unbound wegen DHCP registrierung kennt, gibt es bedingte Weiterleitungen. Das funktioniert recht Ausfallsicher.
Logged
Hardware:
DEC740
markus.tobatz
Newbie
Posts: 30
Karma: 0
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #5 on:
May 13, 2024, 09:09:38 pm »
:'(
1) Anpassungen am Nginx Plugin werden mit dem Reload-Button nicht übernommen, da ist immer ein De- und Aktivieren des Plugins notwendig (quasi für einen kompletten Neustart des Services) - das ist aber noch das kleinere Übel.
2) Ärgerlicher ist aber, dass ich den lokalen Unbound nicht als Backup-Server im Upstream definieren kann, der wird dann einfach nicht genutzt. Muss ihn also im Round Robin ständig aktiv halten mit einer niedrigeren Priorität.
3) Was aber gerade gar nicht funktioniert, aber essentiell ist: Die Client IP kommt nicht in Adguard an, sondern immer nur die IP der OPNsense. Hat dazu jemand eine Idee?
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #6 on:
May 13, 2024, 09:21:59 pm »
Was soll denn sonst passieren, wenn du einen NginX als Proxy dazwischen klebst? Das geht nicht anders mit der Client-IP-Adresse, dann.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
markus.tobatz
Newbie
Posts: 30
Karma: 0
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #7 on:
May 13, 2024, 09:35:57 pm »
"Na klar". Wofür sonst gibt es Header wie X-Real-IP oder X-Forwarded-For...Adguard unterstützt das auch, siehe
https://github.com/AdguardTeam/AdGuardHome/wiki/Encryption#nginx
Möglich, dass ich mir morgen nochmal die trusted_proxies Direktive in Adguard anschauen muss
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #8 on:
May 13, 2024, 10:00:52 pm »
Das ist für HTTP(S), nicht für DNS-Queries. Im DNS gibt es solche Header nicht.
Machst Du DoH vom Nginx zum AGH?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
markus.tobatz
Newbie
Posts: 30
Karma: 0
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #9 on:
May 14, 2024, 07:28:21 am »
Argh. Du hast natürlich recht, daran habe ich nicht gedacht.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #10 on:
May 14, 2024, 07:49:00 am »
Hohe Verfügbarkeit bei DNS bekommt man, indem man mehrere DNS Server an die Clients mitteilt. Das ist bei DNS alles ins Protokoll eingebaut, und man muss da nicht drum herum basteln.
Das ist in dem Fall ein Infrastrukturproblem, was durch einen zusätzlichen DNS Server mit Adguard am einfachsten behoben wird.
Logged
Hardware:
DEC740
Tuxtom007
Hero Member
Posts: 502
Karma: 25
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #11 on:
May 14, 2024, 08:47:50 am »
Moin,
ich kann das rumgebastel eh nicht nachvollziehen, wo die beste Lösung naheliegend ist - AdGuard auf der OPNSense laufen zu lassen. Das erspart ne ganze Menge Probleme, weil es einfach funktioniert.
Wenn gehört das externe Repository den, wo Adguard liegt ? Es ist eine Deutsche IT-Firma. Man munkelt, das einige der Mitarbeiter auch hier im Forum unterwegs sind.
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS
«
Reply #12 on:
May 14, 2024, 09:02:20 am »
Der Mensch, der das Repo aufgesetzt hat und wartet, ist Michael Münz, hier als @mimugmail unterwegs.
Die Seite hat doch ein ordentliches Impressum:
https://www.routerperformance.net/about/
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DNS-Verfügbarkeit gewährleisten bei AdGuard auf externem NAS