34
Frage zu Adguard DNS Server Einstellungen
Hallo,
ich habe hinter der Fritzbox eine PI mit Adguard laufen. Der Adguard ist der DNS Server. Dort habe ich div. Upstream-DNS-Server eingestellt:
tls:dns3.digitalcourage.de
tls:one.one.one.one
tls:1dot1dot1dot1.cloudflare-dns.com
Ich dachte, durch "tls:...." wird DNS over TLS verwendet. Wenn ich aber in das Anfragenprotokoll des Adguard schaue, steht da nur "normales DNS". DNSSEC ist auch aktiviert, davon taucht auch nirgendwo was auf.
Ist das so korrekt?
Danke
ich habe hinter der Fritzbox eine PI mit Adguard laufen. Der Adguard ist der DNS Server. Dort habe ich div. Upstream-DNS-Server eingestellt:
tls:dns3.digitalcourage.de
tls:one.one.one.one
tls:1dot1dot1dot1.cloudflare-dns.com
Ich dachte, durch "tls:...." wird DNS over TLS verwendet. Wenn ich aber in das Anfragenprotokoll des Adguard schaue, steht da nur "normales DNS". DNSSEC ist auch aktiviert, davon taucht auch nirgendwo was auf.
Ist das so korrekt?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63699124439
Url: https://administrator.de/contentid/63699124439
Printed on: April 29, 2024 at 06:04 o'clock
34 Comments
Latest comment
Hallo,
was steht denn unter encryption?
Hast du ein Zertifikat installiert?
Gruß
was steht denn unter encryption?
Hast du ein Zertifikat installiert?
Gruß
Einfach mal ein apt install tcpdump machen auf dem Pi und checken mit tcpdump -i eth0 port 853 ob dort DoT Traffic an die Upstram DNS Server geht. 😉
Das schafft dann Gewissheit.
https://blog.daniel.wydler.eu/2021/02/21/adguard-home-im-netzwerk-implem ...
Das schafft dann Gewissheit.
https://blog.daniel.wydler.eu/2021/02/21/adguard-home-im-netzwerk-implem ...
Moin,
Gruß,
Dani
tls:dns3.digitalcourage.de
tls:one.one.one.one
tls:1dot1dot1dot1.cloudflare-dns.com
meiner Meinung nach fehlen die beiden Slashes nach dem Protokoll (z.B. tls://). Siehe auch hier.tls:one.one.one.one
tls:1dot1dot1dot1.cloudflare-dns.com
Ist das so korrekt?
Was sagt den der "Test upstreams"?Gruß,
Dani
1
Ja, die "//" fehlen. Tippfehler...
Test upstream, alles ok.
Zur Ergänzung:
Ich hatte zum Testen einen Adguard nach der Anleitung von Daniel Wydler auf einem vserver installiert, das hat auch wunderbar geklappt.
Dann hab ich den Adguard in mein Heimnetzwerk auf einen Raspi verlagert. Allerdings auf Docker! Mein Fehler, an das Zertifikat hab ich gar nicht mehr gedacht, dachte das würde im Container automatisch eingerichtet.
Es schaut also jetzt so aus:
Und jetzt die Frage:
Wie bekomme ich Zertifikate in den Docker Container bzw. bringe Docker dazu welcher zu erstellen und auch im Updatefall wieder mit einzubinden?
In der Lösung auf dem vserver war ja eine Domain im Spiel.
Test upstream, alles ok.
Zur Ergänzung:
Ich hatte zum Testen einen Adguard nach der Anleitung von Daniel Wydler auf einem vserver installiert, das hat auch wunderbar geklappt.
Dann hab ich den Adguard in mein Heimnetzwerk auf einen Raspi verlagert. Allerdings auf Docker! Mein Fehler, an das Zertifikat hab ich gar nicht mehr gedacht, dachte das würde im Container automatisch eingerichtet.
Es schaut also jetzt so aus:
Und jetzt die Frage:
Wie bekomme ich Zertifikate in den Docker Container bzw. bringe Docker dazu welcher zu erstellen und auch im Updatefall wieder mit einzubinden?
In der Lösung auf dem vserver war ja eine Domain im Spiel.
Moin,
Wenn die Voraussetzungen stimmen, kannst du das SSL-Zertifikat mit Hilfe von certbot (in Form eines Containers) abrufen. Ich würde hierbei auf ACME via dns-01 Challenge setzen. Somit muss nämlich nicht der Port 80 aus dem Internet erreichbar sein. Dies wäre nämlich erforderlich wenn du ACME via http-01 Challenge nutzen möchtest.
Gruß,
Dani
Mein Fehler, an das Zertifikat hab ich gar nicht mehr gedacht, dachte das würde im Container automatisch eingerichtet.
Nein, wird es nicht.Wie bekomme ich Zertifikate in den Docker Container bzw. bringe Docker dazu welcher zu erstellen und auch im Updatefall wieder mit einzubinden? In der Lösung auf dem vserver war ja eine Domain im Spiel.
du brauchst im LAN ebenfalls eine Domain, auf die dein AdGuard reagiert. Dabei ist zu beachten, dass es sich um eine Domain mit einer öffentliche TLD handelt. Sprich kein .local, .loc, .i, etc. Anderenfalls kannst du dafür nämlich kein Zertifikat bei den öffentlichen CAs abrufen.Wenn die Voraussetzungen stimmen, kannst du das SSL-Zertifikat mit Hilfe von certbot (in Form eines Containers) abrufen. Ich würde hierbei auf ACME via dns-01 Challenge setzen. Somit muss nämlich nicht der Port 80 aus dem Internet erreichbar sein. Dies wäre nämlich erforderlich wenn du ACME via http-01 Challenge nutzen möchtest.
Gruß,
Dani
Domains habe ich viele rumliegen.
Muss ich beim Domainanbieter was in DNS Einstellungen ändern? Die Domain sollte von Außen nicht aufgelöst werden könnnen.
Wäre das dann z.B. das hier:
https://www.willianantunes.com/blog/2022/08/create-a-certificate-using-c ...
Muss ich beim Domainanbieter was in DNS Einstellungen ändern? Die Domain sollte von Außen nicht aufgelöst werden könnnen.
Wäre das dann z.B. das hier:
https://www.willianantunes.com/blog/2022/08/create-a-certificate-using-c ...
Moin,
Gruß,
Dani
Wäre das dann z.B. das hier:
wenn du das alle 90 Tage manuell tun möchtest, kann das funktionieren. Alternativ und klassisch in Verbindung mit ACME. Somit fällt die manuelle Tätigkeit weg. Setzt natürlich voraus, dass dein DNS Hoster in der Liste der unterstützten Anbieter von ACME auftaucht.Muss ich beim Domainanbieter was in DNS Einstellungen ändern?
In der Regel nicht. Wir wissen aber auch nicht, was du für Einstellungen getätigt hast.Die Domain sollte von Außen nicht aufgelöst werden können.
Erst einmal nicht. Wichtig ist, dass auf den FQDN Dein AdGuard angesprochen werden kann.Gruß,
Dani
Dafür gibt es cronjob 😉
Frohe Ostern allen!
Danke.
Dachte auch das mit Cronjob zu lösen. Aber ein Schritt nach dem anderen. Erst mal einrichten ich lerne ja noch.
Bin auch für andere Lösungen offen. Muss ja nicht Docker sein, Hauptsache kein Port deswegen offen. Domain liegt bei Netcup
Dachte auch das mit Cronjob zu lösen. Aber ein Schritt nach dem anderen. Erst mal einrichten ich lerne ja noch.
Bin auch für andere Lösungen offen. Muss ja nicht Docker sein, Hauptsache kein Port deswegen offen. Domain liegt bei Netcup
Lässt man tcpdump auf port 853 laufen sieht man sofort das der Adguard problemlos auch die konfigurierten Upstream DoT DNS Server fragt! Auch ganz ohne Zertifikatsgenerierung...
Zertifikate brauchst du für den Adguard nur wenn du daheim per SSL auf die Weboberfläche zugreifen willst ansonsten sind die für DNSoTLS nicht nötig.
Brauchst du auch für andere Maschinen Certs kannst du folgendes machen.
Bei https://desec.io (non-profit organization based in Berlin) einen kostenlosen Account erstellen. Bei Netcup für die entsprechende Domain dann die Nameserver auf die bei https://desec.io zeigen lassen und dort deine Records hinterlegen. Abschließend noch einen API-Key generieren lassen. Dann kannst du daheim Let's Encrypt mit DNS-Challenge-Verifizierung nutzen denn die API von desec.io ist in den gängigen Implementierungen wie Certbot oder acme.sh schon enthalten.
Somit hast du dann auch die Möglichkeit Wildcard-Zertifikate via Let's Encrypt erstellen zu können, was mit der http Challenge dagegen nicht möglich ist. Eingehende Ports müssen dafür nicht geöffnet werden da die Validierung ja durch einen DNS-Record-Abfrage bei desec.io durchgeführt wird.
Gruß pp.
Brauchst du auch für andere Maschinen Certs kannst du folgendes machen.
Bei https://desec.io (non-profit organization based in Berlin) einen kostenlosen Account erstellen. Bei Netcup für die entsprechende Domain dann die Nameserver auf die bei https://desec.io zeigen lassen und dort deine Records hinterlegen. Abschließend noch einen API-Key generieren lassen. Dann kannst du daheim Let's Encrypt mit DNS-Challenge-Verifizierung nutzen denn die API von desec.io ist in den gängigen Implementierungen wie Certbot oder acme.sh schon enthalten.
Somit hast du dann auch die Möglichkeit Wildcard-Zertifikate via Let's Encrypt erstellen zu können, was mit der http Challenge dagegen nicht möglich ist. Eingehende Ports müssen dafür nicht geöffnet werden da die Validierung ja durch einen DNS-Record-Abfrage bei desec.io durchgeführt wird.
Gruß pp.
1
Erstmal danke für die Antworten:
@aqui:
Deinen letzten Post verstehe ich nicht. Ist das eine Feststellung, eine Frage?
@puderpader: klingt interessant:
Ich erklär nochmal kurz warum ich das mit den Zertifkaten im Kopf hatte.
1. Adguard zeigt im Anfrageprotokoll normales DNS an, ich möchte natürlich DNS oder TLS nutzen
2. Für die anderen Docker Container wollte ich mit dem NPM umstellen, dass sie nicht mehr auf IP, sondern auf subdomain erreichbar sind.
Daher war die Idee ein Wildcard Zertifikat zu erstellen und das sowohl für den Adguard als auch für den NPM zu nehmen. Wenn ich Deine Ausführungen richtig verstanden habe, sollte das aber mit Deinem Vorschlag gehen, richtig?
@aqui:
Deinen letzten Post verstehe ich nicht. Ist das eine Feststellung, eine Frage?
@puderpader: klingt interessant:
Ich erklär nochmal kurz warum ich das mit den Zertifkaten im Kopf hatte.
1. Adguard zeigt im Anfrageprotokoll normales DNS an, ich möchte natürlich DNS oder TLS nutzen
2. Für die anderen Docker Container wollte ich mit dem NPM umstellen, dass sie nicht mehr auf IP, sondern auf subdomain erreichbar sind.
Daher war die Idee ein Wildcard Zertifikat zu erstellen und das sowohl für den Adguard als auch für den NPM zu nehmen. Wenn ich Deine Ausführungen richtig verstanden habe, sollte das aber mit Deinem Vorschlag gehen, richtig?
@michi1983
@puderpader
@itstrue
Gruß,
Dani
Gruß,
Dani
Dafür gibt es cronjob 😉
Bitte vollständig zitieren und den Link anschauen. dort wird DNS-01 verwendet und manuell den notwendigen TXT Eintrag gesetzt. Drauf habe ich meine Antwort bezogen.@puderpader
Zertifikate brauchst du für den Adguard nur wenn du daheim per SSL auf die Weboberfläche zugreifen willst ansonsten sind die für DNSoTLS nicht nötig.
Es werden Zertifikate benötigt, wenn AdGuard für deine Clients DoH und DoT anbieten soll. Darauf habe ich bezogen. Für Upstream ist das nicht relevant. Hier ist nur wichtig, dass die Zertifikate der CAs, welche die Zertifikate ausgestellt haben, hinterlegt sind. Was bei meinem aktuellen Linux meistens der Fall ist.@itstrue
1. Adguard zeigt im Anfrageprotokoll normales DNS an, ich möchte natürlich DNS oder TLS nutzen
Geht es dir um die Verbindung zwischen Client <-> Dein Adguard oder AdGuard -> Upstream Server?Gruß,
Dani
Gruß,
Dani
1
@Dani:
Sowohl als auch. Die Verbindung vom AdGuard zum TLS DNS und dann die internen Verbindungen zu den Containern
Sowohl als auch. Die Verbindung vom AdGuard zum TLS DNS und dann die internen Verbindungen zu den Containern
Quote from @Dani:
@michi1983
@michi1983
Dafür gibt es cronjob 😉
Bitte vollständig zitieren und den Link anschauen. dort wird DNS-01 verwendet und manuell den notwendigen TXT Eintrag gesetzt. Drauf habe ich meine Antwort bezogen.Bin mir nicht sicher ob wir aneinander vorbei reden. Den txt Eintrag setzt du nur einmalig, danach kannst du cronjob alle x Tage das Cert erneuern lassen. Wo genau ist an meiner Antwort jetzt was „falsch“?
Zitat von @michi1983:
Bin mir nicht sicher ob wir aneinander vorbei reden. Den txt Eintrag setzt du nur einmalig, danach kannst du cronjob alle x Tage das Cert erneuern lassen. Wo genau ist an meiner Antwort jetzt was „falsch“?
Nein, die hinterlegte Challenge im TXT Record ist für jede Anforderung eines Zertifikates anders, ein einmaliges Setzen funktioniert also nicht.Bin mir nicht sicher ob wir aneinander vorbei reden. Den txt Eintrag setzt du nur einmalig, danach kannst du cronjob alle x Tage das Cert erneuern lassen. Wo genau ist an meiner Antwort jetzt was „falsch“?
1Quote from @puderpader:
Zitat von @michi1983:
Bin mir nicht sicher ob wir aneinander vorbei reden. Den txt Eintrag setzt du nur einmalig, danach kannst du cronjob alle x Tage das Cert erneuern lassen. Wo genau ist an meiner Antwort jetzt was „falsch“?
Nein, di3 Challenge im TXT Record ist für jede Anforderung eines Zertifikates anders, ein einmaliges Setzen funktioniert also nicht.Bin mir nicht sicher ob wir aneinander vorbei reden. Den txt Eintrag setzt du nur einmalig, danach kannst du cronjob alle x Tage das Cert erneuern lassen. Wo genau ist an meiner Antwort jetzt was „falsch“?
Okay dann nehme ich meine Aussage zurück, wusste ich tatsächlich nicht.
Ist das eine Feststellung, eine Frage?
Es ist eine Feststellung und bestätigt den Kommentar vom Kollegen @puderpader das keine Zertifikate für die Upstream DNS Server erforderlich sind.Würdest du bei dir einen tcpdump machen auf TCP 853 Pakete würdest du es selber bestätigt bekommen!
Lokal lässt man den Adguard ja in der Regel immer klassisch mit DNS UDP/TCP 53 laufen.
@aqui:
Ich hatte bisher keine Zugriff um einen tcpdump zu machen. Hab das mal laufen lassen:
42 packets captured
42 packets received by filter
0 packets dropped by kernel
Da da nix von errors etc. steht, scheint es durchzugehen. Wie der Adgaurd läuft zeigen ja die Screenhots oben. Warum zeigt dann aber Adguard im Anfrageprotokoll immer "Standard DNS" an und nicht DNS over TLS"?
@puderpader: Kannst Du noch was dazu sagen, ob meine Annahmen zu Deinem Vorschlag so korrekt sind?
Ich hatte bisher keine Zugriff um einen tcpdump zu machen. Hab das mal laufen lassen:
42 packets captured
42 packets received by filter
0 packets dropped by kernel
Da da nix von errors etc. steht, scheint es durchzugehen. Wie der Adgaurd läuft zeigen ja die Screenhots oben. Warum zeigt dann aber Adguard im Anfrageprotokoll immer "Standard DNS" an und nicht DNS over TLS"?
@puderpader: Kannst Du noch was dazu sagen, ob meine Annahmen zu Deinem Vorschlag so korrekt sind?
Works as designed without any certificate! 👍
root@adguard:/home/pi# tcpdump -i eth0 port 853
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:53:24.560351 IP 192.168.1.252.45686 > dns3.digitalcourage.de.domain-s: Flags [S], seq 1228397514, win 64240, options [mss 1460,sackOK,TS val 323945953 ecr 0,nop,wscale 6], length 0
12:53:24.580266 IP dns3.digitalcourage.de.domain-s > 192.168.1.252.45686: Flags [S.], seq 4232776691, ack 1228397515, win 65160, options [mss 1448,sackOK,TS val 401423916 ecr 323945953,nop,wscale 7], length 0
12:53:24.580447 IP 192.168.1.252.45686 > dns3.digitalcourage.de.domain-s: Flags [.], ack 1, win 1004, options [nop,nop,TS val 323945973 ecr 401423916], length 0
12:53:24.608806 IP 192.168.1.252.45686 > dns3.digitalcourage.de.domain-s: Flags [P.], seq 1:556, ack 1, win 1004, options [nop,nop,TS val 323946002 ecr 401423916], length 555
12:53:24.628418 IP dns3.digitalcourage.de.domain-s > 192.168.1.252.45686: Flags [.], ack 556, win 505, options [nop,nop,TS val 401423965 ecr 323946002], length 0
12:53:24.629260 IP dns3.digitalcourage.de.domain-s > 192.168.1.252.45686: Flags [P.], seq 1:242, ack 556, win 505, options [nop,nop,TS val 401423965 ecr 323946002], length 241
Ja genau, so schauts bei mir auch aus. Dennoch die Frage: Warum zeigt dann aber Adguard im Anfrageprotokoll immer "Standard DNS" an und nicht DNS over TLS"?
Damit ist sehr wahrscheinlich das lokale Abfrageprotokoll gemeint und nicht das der Upstream DNS Server. Sprich deine lokalen Clients fragen ja üblicherweise mit "Standard DNS" also TCP/UDP 53 den Adguard.
Wäre möglich. Scheinen die Anfragen an den Adguard zu sein von den Clients. Was der Adguard damit macht, sieht man ja nicht. UNd im Zweifel ist es ja der Adguard, der dann etwas blockt oder nicht und nicht der Upstream DNS.
Dann haben wir zumindest das geklärt
Dann haben wir zumindest das geklärt
Zitat von @itstrue:
Daher war die Idee ein Wildcard Zertifikat zu erstellen und das sowohl für den Adguard als auch für den NPM zu nehmen. Wenn ich Deine Ausführungen richtig verstanden habe, sollte das aber mit Deinem Vorschlag gehen, richtig?
Klar.Daher war die Idee ein Wildcard Zertifikat zu erstellen und das sowohl für den Adguard als auch für den NPM zu nehmen. Wenn ich Deine Ausführungen richtig verstanden habe, sollte das aber mit Deinem Vorschlag gehen, richtig?
OK danke. Ich werde das in nächster Zeit mal angehen, wenn es etwas ruhiger ist und ich ein Backup gemacht habe
Moin,
Gruß,
Dani
Ja genau, so schauts bei mir auch aus. Dennoch die Frage: Warum zeigt dann aber Adguard im Anfrageprotokoll immer "Standard DNS" an und nicht DNS over TLS"?
poste doch einen Screenshot vom Query Log. Damit wir alle vom Gleichen sprechen.Da da nix von errors etc. steht, scheint es durchzugehen.
Siehst du Pakete in der Ausgabe wie im aqui's Kommentar?Gruß,
Dani
Ja ich sehe genau die gleiche Ausgabe wie aqui.
Hier der Screenshot:
Hier der Screenshot:
Bitte noch Screenshots von den DNS settings.
Jepp so ist DNSoTLS für interne Anfragen an den Adguard deaktiviert nur für die externen Abfragen des Adguard wird DNSoTLS genutzt. Willst du die Anfragen intern auch verschlüsseln dann musst du das Häkchen im zweiten Screenshot aktivieren und ein entsprechendes Zertifikat eintragen. An den Clients muss Secure-DNS natürlich auch aktiviert sein damit diese es nutzen.
1
Alles klar, danke. Primär ist extern wichtiger, und das geht ja. Mit den Zertifikaten für den internen Gebrauch, muss ich in den nächsten Tagen mal rumspielen.
Du solltest dir auch im klaren darüber sein das das ganze auch Ressourcen- und Geschwindigkeitseinbußen bei DNS-Abfragen bedeuten kann. Schnelles DNS ist ja auch ein nicht zu unterschätzender Faktor bei der "Schwupdizität" der Internet-Verbindung. Eine Risiko-Nutzen-Abwägung wäre da also angebracht.
1
Danke, für die Screenshots. Jetzt komm ich auch mit. Das kommt davon, wenn man neben der Arbeit her, hier mitschreibt. 
Das Log Query enthält ja nur die Anfragen von deinen Clients an den AdGuard Server. Die Anfragen an den Upstream-Server werden dort nicht geloggt.
Gruß,
Dani
Das kommt davon, wenn man neben der Arbeit her, hier mitschreibt. Das Log Query enthält ja nur die Anfragen von deinen Clients an den AdGuard Server. Die Anfragen an den Upstream-Server werden dort nicht geloggt.
Gruß,
Dani
