Adguard und Unbound DNS zusammen mal nicht

[loaded]

Moin ich habe AdGuardHome als plugin in meiner OpnSense installiert und es scheint soweit alles zu laufen.

Mein Problem ist aber UnboundDNS das musste ich deaktivieren weil AdGuard auf dem selben Port läuft.

Man kann beides zusammen laufen lassen aber da verstehe ich die einstellungen nicht oder ich mache da was falsch:

Das Video habe ich genommen
https://www.youtube.com/watch?v=_JhQn30mqCw

Hier noch eine weitere erklärung
https://0x2142.com/how-to-set-up-adguard-on-opnsense/


in den Videos wird zwar auch beschrieben was man machen muss damit beides läuft aber das geht wohl nicht bei mir ( warum ? )

die datei bearbeiten und den port 53 von Adguard auf z.b. 53053 ändern

 /usr/local/AdGuardHome/AdGuardHome.yaml
dns:
 bind_hosts: meine IP-adressen der VLans
 port: 53 ( diesen ändern auf 53053


Dann Services > Unbound DNS > Query Forwarding
einen neuen server angeben  da wo Adguard läuft meine Opnsense läuft auf der 10.6.4.10 das ist also meine server IP.
der ServerPort ist aus der yaml datei port 53053 ).
der Port 53 bleibt bei Unbound DNS so eingestellt wie er ist.

alles speichern und neu starten aber da ändert sich nichts.

[Zapad]

was versprichst du dir von Tandem Adguard/Unbound?

ich nutze Adguard als Docker image und wüsste nicht wofür ich Unbound nachschalten sollte.
Gibt doch nur Probleme... so wie bei dir...

[Patrick M. Hausen]

AdGuard Home braucht zwingend einen rekursiven Upstream-Server. Dafür nehme ich meinen lokalen Unbound? Was schlägst du sonst vor?

@loaded

Bei mir ist Unbound der Default-Nameserver auf Port 53 überall. AdGuard Home liegt auf 127.0.0.1:53530 und hat 127.0.0.1:53 als einzigen Upstream.

Auf allen Interface, bei denen ich will, dass die Clients AGH benutzen, habe ich eine NAT Port Forward Regel von TCP/UDP, Destination: this firewall:53 nach 127.0.0.1:53530.

Klappt ausgezeichnet. Statische Overrides und Registrierungen vom DHCPd in Unbound funktionieren auch.

[Zapad]

Unbound braucht auch einen externen DNS Server wie Adguard auch, ich nutze quad9 oder auch cloudflare als tls port 853
port 53 ist nur intern erlaubt.

[Patrick M. Hausen]

Wieso das denn? Natürlich braucht Unbound keinen upstream Server. Noch nie.

[Zapad]

für die lokale Auflösung nicht, aber ob der TE an lokaler Namensauflösung oder eher an DNS Filterung interessiert ist?

[Monviech (Cedrik)]

Unbound ist ein rekursiver DNS Server.

Der artikel erklärt den unterschied zwischen forwarder und rekursion recht gut:

https://docs.pi-hole.net/guides/dns/unbound/

[Zapad]

@Monviech
Danke.
und nun auf Deutsch von Cloudflare:

Was ist ein rekursives DNS?

Bei einem rekursiven DNS-Lookup kommuniziert ein DNS-Server mit mehreren anderen DNS-Servern, um eine IP-Adresse zu finden und an den Client zurückzugeben. Dies steht im Gegensatz zu einer iterativen DNS-Abfrage, bei der der Client direkt mit jedem an der Suche beteiligten DNS-Server kommuniziert. Auch wenn das eine sehr technische Definition ist, sollte ein genauerer Blick auf das DNS-System und den Unterschied zwischen Rekursion und Iteration helfen, etwas Licht ins Dunkel zu bringen.


Was die Frage nicht beantwortet, warum sollte man Unbound dem Adguard nachschalten?

Es funktioniert auch so.

ich habe DNS auf NAS und Forwarde zum Adguard, einfach aus dem Grund das ich manche DNS Zonen lieber von NAS
auflöse und Rest zum Adguard leite.

Nur weil einer Blödsinn auf seiner Seite postet und erklärt das man Adguard unbedingt zum Unbound leinen muss?
Muss nicht! es funktioniert auch so hervorragend.

....und wenn man unbedingt dhcp Clients dynamisch bei dns registrieren will auch gut, eventuell dann Ubound>Adguard forwarden.

[Tuxtom007]

Was die Frage nicht beantwortet, warum sollte man Unbound dem Adguard nachschalten?

Auflösung lokaler Hostnamen z.b., wenn Unbound auf der OPNSense läuft funktioniert das grossartig.


an den TE:
- Adguard vor Unbound auf Port 53
- Unbound auf Port 53053 (z.b.) hinter Adguard
- entsprechend in Adguard konfigurieren, das er an Unbound weiterleitet.

Funktioniert so bei mir seit 2 Jahren problemlos, Konfig kann ich gerne nachreichen, musst dann aber bis heute abend warten.

[Patrick M. Hausen]

Was die Frage nicht beantwortet, warum sollte man Unbound dem Adguard nachschalten?

Weil man seine DNS-Anfragen nicht einem US-Konzern geben will?