M
MrChrisse100
Newbie
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #1
Hallo,
ich richte gerade mein Heimnetzwerk neu ein und experimentiere mit Unraid herum, worauf ein Adguard Container läuft. Den Adguard habe ich schon als DNS-Server auf der Fritzbox eingestellt, darüber läuft auch schon der ganze Traffic. Das Problem, das ich habe, ist, dass ich zum Beispiel auf Nextcloud oder auch Adguard über eine Domain (z.B. adguard.org oder nextcloud.local) in meinem Heimnetzwerk zugreifen möchte, anstatt über eine IP-Adresse (und optional mit einem SSL-Zertifikat).
Ich habe versucht, eine einfache DNS-Umschreibung für adguard.org hinzuzufügen, wie im folgenden Bild gezeigt:
Ich sehe die DNS-Umschreibungsanfrage in den AdGuard-Protokollen, aber wenn ich meinen Browser öffne, erhalte ich die Meldung “DNS_PROBE_POSSIBLE” und nicht das AdGuard Home-Dashboard, auf das die IP-Adresse 192.168.178.2 verweist.
Wenn ich nslookup ausführe, erhalte ich Folgendes:
Ich kann über die IP-Adresse direkt im Browser auf Adguard zugreifen, aber nicht über diese Umschreibung.
Habt ihr eine Idee?
Vielen Dank im Voraus! 🙏
R
riversource
Commander
- Registriert
- Juli 2012
- Beiträge
- 3.064
- 9. März 2024
- #2
Da könnte der DNS Rebind Schutz der Fritzbox zuschlagen.
M
MrChrisse100
Newbie
Ersteller dieses Themas
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #3
dazu habe ich auch schon etwas gelesen, deshalb habe ich diese Einträge ergänzt (die ersten drei sind notwenidg für den Unraid-Server, die beiden darunter habe ich für adguard ergänzt):
S
sandreas
Lieutenant
- Registriert
- Juli 2012
- Beiträge
- 584
- 9. März 2024
- #4
Es könnte auch das Certificate-Pinning im Browser sein. Mein Rat wäre eher, das nicht mit den "Original-Domains" zu lösen (adguard.org) sondern mit einer eigenen Domain:
adguard.meinedomain.org
So überschreibst du keine gültige Domain mit was anderem (adguard.org könntest du ja gar nicht mehr aufrufen dann)
Ich habe es bei mir so gemacht, dass ich den Nginx-Proxy-Manager nutze, um mir über duckdns ein gültiges Wildcard-Zertifikat abzuholen (*.meinedomain.duckdns.org) und dann alle meine Services über https://<service>.meinedomain.duckdns.org erreichbar sind.
Das sind zwar längere Domain-Namen, aber der Browser speichert sich die daher tippe ich im Browser nur adg und kriege https://adguard.meinedomain.duckdns.org vorgeschlagen. Zusätzlich habe ich eine eindeutige Domain die mir gehört und ein zugehöriges https Zertifikat. Falls du dir das mal angucken magst, hat Wolfgang dazu ein Video gemacht, das erklärt es ganz gut - ich habe allerdings meine Services nicht nach außen frei gegeben sondern nutze eine VPN-Verbindung für den Zugriff:
YouTube
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personenbezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
Datenschutzerklärung
F
floklo4
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 1.369
- 9. März 2024
- #5
Ich schreibe im Heimnetz auf ".box" um, was auch funktioniert.
fritz.box -> 192.168.178.1
adguard.box -> 192.168.178.50
plex.box -> 192.168.178.40
qnap.box -> 192.168.178.40
(ohne SSL-Zertifikate)
M
MrChrisse100
Newbie
Ersteller dieses Themas
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #6
das habe ich gerade auch einmal probiert, auch hier erhält Adguard die Umschreibungsanfrage, trotzdem wird mir DNS_PROBE_POSSIBLE angezeigt:
ich habe im Adguard die IP-Adresse der Fritzbox bei DNS-Server auch noch eingetragen:
und auch das hier einmal ausgefüllt:
muss ich sonst noch etwas machen?
CoMo
Commander
- Registriert
- Dez. 2015
- Beiträge
- 2.532
- 9. März 2024
- #7
Die Domains, die du verwenden solltest, sind entweder internal oder home.arpa, keine existierenden TLDs.
M
MrChrisse100
Newbie
Ersteller dieses Themas
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #8
Vielen Dank für deine ausführliche Antwort!
sandreas schrieb:
Ich habe es bei mir so gemacht, dass ich den Nginx-Proxy-Manager nutze, um mir über duckdns ein gültiges Wildcard-Zertifikat abzuholen (*.meinedomain.duckdns.org) und dann alle meine Services über https://<service>.meinedomain.duckdns.org erreichbar sind.
Kannst du kurz erklären, wie du das mit NPM gemacht hast, oder eine Anleitung verlinken, der du gefolgt bist, NPM habe ich auch parallel auf dem Unraid am laufen, der steht bei mir hinter der DNS-Umschreibung von oben:
192.168.178.60, das hat aber auch nicht funktioniert, deshalb wollte ich erst einmal den "einfacheren Weg" ohne NPM usw. gehen...
sandreas schrieb:
ich habe allerdings meine Services nicht nach außen frei gegeben sondern nutze eine VPN-Verbindung für den Zugriff
über eine VPN-Verbindung (Wireguard) greife ich aktuell auch zu, allerdings läuft Wireguard auf der Fritzbox, ich denke das stellt aber kein Problem dar, oder?
s1ave77
Bisher: mae1cum77
Admiral
- Registriert
- März 2010
- Beiträge
- 8.074
- 9. März 2024
- #9
MrChrisse100 schrieb:
allerdings läuft Wireguard auf der Fritzbox, ich denke das stellt aber kein Problem dar, oder?
Ist egal.
Einige meiner Docker-Container reichen Ports in's LAN durch. Da nutze ich HTTP oder HTTPS mit selbsterstelltem Zertifikat. Ist keine Einschränkung in dem Kontext, dafür gibt's ja Wireguard.
Nur für Zugriff von außen sind Let's Encrypt Zertifate ein Muß.
F
floklo4
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 1.369
- 9. März 2024
- #10
Vielleicht habe ich auch einen großen Denkfehler, aber was soll die Fritz!Box als DNS-Server machen? In deinem Netzwerk macht das doch AdGuard.
Ich kann jetzt nur von mir sprechen (Kabelanschluss bei Pyur, IPv4 only, DHCP durch Fritz!Box):
Fritz!Box -> Internet -> Zugangsdaten -> DNS-Server -> Andere DNSv4-Server verwenden
Dort stehen Google DNS und Cloudflare DNS drin, weil die DNS-Server von Pyur stellenweise nicht erreichbar sind
Fritz!Box -> Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Adressen -> IPv4-Einstellungen -> Heimnetz -> Lokaler DNS-Server: IP von AdGuard (der wird per DHCP an die Clients verteilt)
AdGuard -> Einstellungen -> Upstream-DNS-Server: Cloudflare und Google DNS
Parallele Abfragen, Rest Default
Mein PC bekommt also die IP von der Fritz!Box per DHCP zugeteilt, als DNS wird die IP von AdGuard genutzt. DNS-Anfragen gehen also an diese IP und eben nicht an die Fritz!Box. Dadurch funktioniert ja auch die DNS-Umschreibung.
Bob.Dig
Captain
- Registriert
- Dez. 2006
- Beiträge
- 4.027
- 9. März 2024
- #11
MrChrisse100 schrieb:
Den Adguard habe ich schon als DNS-Server auf der Fritzbox eingestellt, darüber läuft auch schon der ganze Traffic.
Sicher? Könnte nämlich auch an IPv6 liegen, welches weiter den normalen Weg geht.
Zuletzt bearbeitet:
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.153
- 9. März 2024
- #12
floklo4 schrieb:
Ich schreibe im Heimnetz auf ".box" um, was auch funktioniert.
fritz.box -> 192.168.178.1
adguard.box -> 192.168.178.50
plex.box -> 192.168.178.40
qnap.box -> 192.168.178.40(ohne SSL-Zertifikate)
schlechte idee. was passiert, wenn jemand diese domains reserviert und dein lokaler resolver mal nicht funktioniert oder du das mit einem gerät ausserhalb deines netzes auflöst? dann verbindest du dich unwissentlich mit einer fremden kiste. das hatte avm gerade erst selbst gehabt.
F
floklo4
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 1.369
- 9. März 2024
- #13
Wenn AdGuard nicht funktioniert, dann kann ich gar nichts mehr auflösen. Auf dem QNAP NAS läuft AdGuard in einer VM, starte ich das NAS wegen einem Update neu, dann geht nichts mehr (nada, Null, nix). Erst wenn das NAS wieder erreichbar ist und die VM hochgefahren, erreiche ich die lokalen Umschreibungen wieder (und andere Domains im Internet).
M
MrChrisse100
Newbie
Ersteller dieses Themas
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #14
sandreas schrieb:
Ich habe es bei mir so gemacht, dass ich den Nginx-Proxy-Manager nutze, um mir über duckdns ein gültiges Wildcard-Zertifikat abzuholen (*.meinedomain.duckdns.org) und dann alle meine Services über https://<service>.meinedomain.duckdns.org erreichbar sind.
Wie hast du an der Stelle Adguard mit Nginx verbunden?
Leitest du alle Anfragen an *.meinedomain.duckdns.org an die IP-Adresse von Nginx weiter? Und gibst du hier einen speziellen Port an?
Mit meinem derzeitigen Setup funktioniert es noch nicht:
In Adguard habe ich diese 2 neuen DNS-Umschreibungen eingefügt:
Und in NPM dann eine neue Regel für einen Proxy Host eingetragen:
Ich habe den Eindruck, dass Adguard die Anfrage gar nicht richtig weiterleitet...
Ich habe mittlerweile auch den DNS-Server wie oben beschrieben in der Fritzbox umgestellt, sodass nur noch in "Fritz!Box -> Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Adressen -> IPv4-Einstellungen -> Heimnetz -> Lokaler DNS-Server" (und bei IPv6 das gleiche) die IP von Adguard steht. Unter Internet -> Zugangsart -> DNS-Server stehen wieder die Standardeinstellungen drin.
Zuletzt bearbeitet:
S
sandreas
Lieutenant
- Registriert
- Juli 2012
- Beiträge
- 584
- 9. März 2024
- #15
MrChrisse100 schrieb:
Wie hast du an der Stelle Adguard mit Nginx verbunden?
Da wird nix mit einander verbunden.
Deine Fritzbox agiert als ERSTER DNS-Server für alle per DHCP verbundenen clients (also alle, die automatisch eine IP bekommen), sprich:
- Du verbindest dein Notebook mit dem WLAN und es bekommt eine IP (sagen wir mal 192.168.178.100)
- Du rufst auf deinem Notebook oder Handy https://www.google.de auf
- Dein Notebook kennt die IP für google.de nicht, also fragt er deine Fritzbox: He du, wie ist die IP für google.de?
- Deine Fritzbox kennt die IP auch nicht, also fragt er den nächsten DNS (z.B. adguard oder 8.8.8.8), ob er die kennt, usw.
Jetzt hast du AdGuard vermutlich selbst zu Hause auf nem Raspi oder so gehostet, z.B. unter 192.168.178.50. Um das lokale Web-Interface aufzufrufen, kannst du http://192.168.178.50:3000 in deinen Browser eintippen und wirst das WebInterface von AdGuard sehen. Unter 192.168.178.50:53 läuft gleichzeitig der DNS Dienst von AdGuard, so dass du die 192.168.178.50 auch als DNS Server überall eintragen kannst.
Wenn du jetzt das WebInterface von Adguard statt mit der IP und dem Port mit https und einem Namen aufrufen willst, musst du:
- Nginx-Proxy-Manager verwenden und dir die dessen IP notieren (fürs Beispiel nehmen wir mal 192.168.178.20)
- Dafür sorgen, dass in der Fritzbox für adguard.meinedomain.duckdns.org die IP von Nginx hinterlegt wird (192.168.178.20)
- Im Nginx-Proxy-Manager eine Reverse-Proxy-Konfiguration hinterlegen, die https://adguard.meinedomain.duckdns.org auf 192.168.178.50:3000 verweist
- Nginx-Proxy-Manager mit einem Lets-Encrypt-Zertifikat ausstatten (das geht mit dem WebInterface für verschiedene Anbieter sehr einfach, duckdns.org is einer davon)
Jetzt passiert folgendes:
- Du rufst https://adguard.meinedomain.duckdns.org auf
- Dein ERSTER DNS (die Fritzbox) sagt: Hey, kenne ich, die IP ist 192.168.178.20 und leitet dich dahin weiter
- Der Nginx-Proxy-Manager sagt: Hey, die adguard.meinedomain.duckdns.org Domain kenne ich, die verweist auf 192.168.8.50:3000 und verweist dich dahin
- Und weil du ein Wildcard-Zertifikat für *.meinedomain.duckdns.org hast und du die aufrufst und alles auch zum Namen passt, solltest du https ohne Warnung nutzen können.
M
MrChrisse100
Newbie
Ersteller dieses Themas
- Registriert
- März 2024
- Beiträge
- 6
- 9. März 2024
- #16
Schon einmal vielen Dank für die ausführlichen Hilfen! 🙏🙏🙏
Ich stehe glaub ich noch etwas auf dem Schlauch...
sandreas schrieb:
Wenn du jetzt das WebInterface von Adguard statt mit der IP und dem Port mit https und einem Namen aufrufen willst, musst du:
- ...
- Dafür sorgen, dass in der Fritzbox für adguard.meinedomain.duckdns.org die IP von Nginx hinterlegt wird (192.168.178.20)
das würde ich doch dann in Adguard als DNS-Umschreibung einrichten, oder? Oder muss das in der Fritzbox konfiguriert werden?
sandreas schrieb:
- Im Nginx-Proxy-Manager eine Reverse-Proxy-Konfiguration hinterlegen, die https://adguard.meinedomain.duckdns.org auf 192.168.178.50:3000 verweist
das mache ich dann über Proxy Hosts, oder? z.B. so:
MrChrisse100 schrieb:
Ich habe mittlerweile auch den DNS-Server wie oben beschrieben in der Fritzbox umgestellt, sodass nur noch in "Fritz!Box -> Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Adressen -> IPv4-Einstellungen -> Heimnetz -> Lokaler DNS-Server" (und bei IPv6 das gleiche) die IP von Adguard steht. Unter Internet -> Zugangsart -> DNS-Server stehen wieder die Standardeinstellungen drin.
@sandreas hast du den Adguard auch als lokalen DNS-Server konfiguriert? Bzw. worin genau besteht der Vorteil diesen als lokalen zu konfigurieren? Außer, dass man in Adguard die IPs der einzelnen Geräte angezeigt bekommt, das wäre für mich aber nicht wichtig
Anhänge
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
