AdGuard Home auf Synology NAS installieren!

deltapapa_100

Moin Moin,

ich finde das Tutorial sehr gut gemacht, informativ und sehr ausführlich. Vielen Dank zuerst dafür

Ich hätte da jedoch eine kleine Verständnisfrage.

Mein Setup: Ich habe eine 918+, nutze diese als Datenablage, Backupmaschine (ActiveBackup, USB-Backup und Hyperbackup), PhotoBackup für alle möglichen Handys und habe PiHole im Docker drauf laufen.

Ich hatte früher eine eigene Domain, dann in der FB die Ports offen und noch WEBDAV genutzt, das habe ich jetzt alles abgeschaltet. Das ganze gefrickel mit dem VPN Tunnel, offene Ports etc. war mir alles zu umständlich, jetzt nutze ich für meinen mobilen Apps QC, und Kalender und PW Manager habe ich von der NAS wieder ausgelagert und so alles lokal.

Nunja, ich nutze also keine DNS Funktionen auf der DS oder ähnliches.

Bringt mich zur Frage: Was genau macht ein MACVLan. Bzw. wozu brauch ich das im speziellen Fall Adguard?

Achja, wenn ich im Terminal ifconfig eingebe, bekomme ich folgende Ports:

Code

Link encap:Ethernet  HWaddr 02:42:E8:83:1C:07
inet addr:172.17.0.1  Bcast:172.17.255.255  Mask:255.255.0.0
UP BROADCAST MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


eth0      Link encap:Ethernet  HWaddr 00:11:32:AE:5B:1F
inet addr:192.168.178.230  Bcast:192.168.178.255  Mask:255.255.255.0
inet6 addr: fe80::211:32ff:feae:5b1f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:9427476 errors:0 dropped:0 overruns:0 frame:0
TX packets:6261243 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9977631297 (9.2 GiB)  TX bytes:3429013477 (3.1 GiB)


eth1      Link encap:Ethernet  HWaddr 00:11:32:AE:5B:20
inet addr:169.254.85.21  Bcast:169.254.255.255  Mask:255.255.0.0
UP BROADCAST MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


lo        Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:65536  Metric:1
RX packets:695245 errors:0 dropped:0 overruns:0 frame:0
TX packets:695245 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:91181638 (86.9 MiB)  TX bytes:91181638 (86.9 MiB)

Alles anzeigen

Ich habe der DS in der FB eine feste IP gegeben, habe aber weiter oben gelesen, dass das evtl. nicht ausreichend ist, oder?

Sorry, so viele Frage

Vielen dank und viele Grüße,

deltapapa

**Foxly**

Moin deltapapa_100 ,

Zitat von deltapapa_100

Bringt mich zur Frage: Was genau macht ein MACVLan.

Normal ist ein Docker Container unter der IP-Adresse des Hosts (also da, wo der Container drauf läuft) erreichbar. Ein macVlan bietet den Vorteil, dass der Container eine IP-Adresse aus deinem Netzwerk zugewiesen werden kann, z.B. 192.168.178.231.

Zitat von deltapapa_100

Achja, wenn ich im Terminal ifconfig eingebe, bekomme ich folgende Ports:

Ports sind es nicht, aber dafür deine IP-Adresse der NAS .

Zitat von deltapapa_100

Ich habe der DS in der FB eine feste IP gegeben, habe aber weiter oben gelesen, dass das evtl. nicht ausreichend ist, oder?

Zitat von deltapapa_100

eth0 Link encap:Ethernet HWaddr 00:11:32:AE:5B:1F inet addr:192.168.178.230 Bcast:192.168.178.255 Mask:255.255.255.0

Bei dir wird eine IP-Adresse angezeigt. Der Fall bezog sich auf eine stetig wechselnde bzw. gar keine IP-Adresse.

Zitat von deltapapa_100

ich finde das Tutorial sehr gut gemacht, informativ und sehr ausführlich. Vielen Dank zuerst dafür

Danke und sehr gerne

deltapapa_100

Vielen Dank für deine Antworten, habe ich jetzt erst gesehen.

Noch eine kurze Frage: Im Moment habe ich PiHole im Docker auf meiner DS918 laufen, klappt soweit eigentlich ganz gut.

Ich hatte in meiner FB jedoch IPv6 eingeschaltet, und dann klappte es mit dem Filtern teilweise nicht mehr.

Habe ich das Problem mit AdGuard auch? Bzw weißt du, wie man das umgehen kann? Im Moment hilft nur, IPv6 wieder auszuschalten...

Viele Grüße,

Dirk

**Foxly**

Zitat von deltapapa_100

Vielen Dank für deine Antworten, habe ich jetzt erst gesehen.

Gerne, kein Problem.

Zitat von deltapapa_100

Ich hatte in meiner FB jedoch IPv6 eingeschaltet, und dann klappte es mit dem Filtern teilweise nicht mehr.
Habe ich das Problem mit AdGuard auch? Bzw weißt du, wie man das umgehen kann? Im Moment hilft nur, IPv6 wieder auszuschalten...

Ich nutzte kein IPv6 in meinem privaten Netzwerk. Im Class-C Netzwerk gibt es so viele IPv4 Adressen, dass es im Haushalt gar keinen Sinn ergibt IPv6 zu nutzen. Ich würde es weiterhin ausschalten, wenn ich du wäre. Möchtest du dennoch IPv6 im privaten Haushalt nutzen, gibt dir der Einrichtungsassistent von AdGuard Home vor, welche Adressen du konfigurieren musst. Sieht dann so aus:

In deiner Fr!tzBox musst du dann nur in den Netzwerkeinstellungen die jeweiligen lokalen DNS-Server eintragen. Oder du lässt AdGuard Home via DHCP deine IP-Adressen im Netzwerk verteilen.

Da AdGuard sowie Pihole einen integrierten DHCP Server bieten.

deltapapa_100

Moin Moin Foxly,

ich hatte jetzt Zeit und habe Adguard Home erfolgreich auf der DS918 installiert.

Läuft soweit auch prima.

Ich hätte jedoch 2 Anmerkungen:

1)

Bei der Erstellung des mcvlan habe ich ziemlich lange gebaucht um herausfinden was der Unterschied zwischen parent, subnet, gateway und ip-range ist. In deinem Beispiel hat der Router die 192.168.178.254, was ich für einen Router sehr untypisch fand. (aber natürlich nicht unmöglich) meist hat dieser ja die 192.168.178.1, zum Beispiel. Das "ip-range" die Adresse von Adguard im Docker sein soll, war für mich sehr ungewöhlich, hat aber ja funktioniert.

2)

Ich hatte große Probleme meine in der FritzBox vorher eingetragene IP Adresse der PiHole als lokalen DNS Server mit der neuen IP Adresse des Adguard auszutauschen. Wenn ich die IP Adresse in der Fritz Box eingetragen habe, passierte gar nichts. Wenn ich dann die PiHole abgeschaltet habe (die ja auch auf der DS im Docker läuft) ausgeschaltet habe, hatte ich kein Internet mehr. Und auch keinen Zugriff auf die FB. Habe dann die PiHole wieder eingeschaltet und dann lief es wieder. Nunja, habe dann gesucht, und bin in einem anderen PiHole Tutorial fündig geworden, dass man kurz die Netzwerkverbindung trennen soll, damit die Einstellungen des lokalen DNS Servers aus der FB an den Client übertragen werden. Und siehe da, hat dann auch super geklappt. Vielleicht könnte man das noch als Anmerkung aufnehmen.

Ich hätte aber auch noch 2 Fragen: Muss ich in Adguard keine weiteren Einstellungen vornehmen? Ich habe aus dem anderen Tutorial den Upstream DNS Server eingetragen, damit die Namensauflösung funktioniert. In PiHole habe ich noch irgendwelche Filterlisten hinzugefügt etc, ist das in AG nicht mehr notwendig (Deine Einschätzung als Experte

Und kann man ein erstelltes mcvlan auch wieder löschen.

Vielen Dank für das super Tutorial, freue mich schon ggf neue

LG,

deltapapa

**Foxly**

Moin deltapapa_100,

Zitat von deltapapa_100

1)
Bei der Erstellung des mcvlan habe ich ziemlich lange gebaucht um herausfinden was der Unterschied zwischen parent, subnet, gateway und ip-range ist. In deinem Beispiel hat der Router die 192.168.178.254, was ich für einen Router sehr untypisch fand. (aber natürlich nicht unmöglich) meist hat dieser ja die 192.168.178.1, zum Beispiel. Das "ip-range" die Adresse von Adguard im Docker sein soll, war für mich sehr ungewöhlich, hat aber ja funktioniert.

Man nimmt i. d. R. in seinem Subnet die ersten oder letzten IP-Adressen für die Netzwerkkomponenten bzw. Gateways. Die IP-Range könnten auch mehrere IP-Adressen sein, wird aber mit der Netzwerkmaske /32 begrenzt auf eine.

Zitat von deltapapa_100

2)
Ich hatte große Probleme meine in der FritzBox vorher eingetragene IP Adresse der PiHole als lokalen DNS Server mit der neuen IP Adresse des Adguard auszutauschen. Wenn ich die IP Adresse in der Fritz Box eingetragen habe, passierte gar nichts. Wenn ich dann die PiHole abgeschaltet habe (die ja auch auf der DS im Docker läuft) ausgeschaltet habe, hatte ich kein Internet mehr. Und auch keinen Zugriff auf die FB. Habe dann die PiHole wieder eingeschaltet und dann lief es wieder. Nunja, habe dann gesucht, und bin in einem anderen PiHole Tutorial fündig geworden, dass man kurz die Netzwerkverbindung trennen soll, damit die Einstellungen des lokalen DNS Servers aus der FB an den Client übertragen werden. Und siehe da, hat dann auch super geklappt. Vielleicht könnte man das noch als Anmerkung aufnehmen.

Code: CMD

ipconfig /release
ipconfig /renew

Diese Befehle sagen Windows (solltest du einen Windows-Rechner nutzen), dass er einen neuen DHCP-Lease beantragen soll. Hätte man sich das Deaktivieren sparen können.

Zitat von deltapapa_100

Ich hätte aber auch noch 2 Fragen: Muss ich in Adguard keine weiteren Einstellungen vornehmen? Ich habe aus dem anderen Tutorial den Upstream DNS Server eingetragen, damit die Namensauflösung funktioniert. In PiHole habe ich noch irgendwelche Filterlisten hinzugefügt etc, ist das in AG nicht mehr notwendig (Deine Einschätzung als Experte

Die Filter kannst du unter Filter > DNS-Sperrliste bearbeiten. Hier kannst du Filter hinzufügen (hier gibt es eine wirklich ausreichend große Liste mit Beschreibung) oder aber du fügst die Listen von Pihole hinzu.

Zitat von deltapapa_100

Und kann man ein erstelltes mcvlan auch wieder löschen.

Das Löschen eines macVlan ist absolut einfach. Entweder über die GUI von DSM oder aber via CLI.

docker network rm

docker network rm: Removes one or more networks by name or identifier. To remove a network, you must first disconnect any containers connected to it.

docs.docker.com

Grüße

FloX

Vielen Dank für das tolle Tutorial! Eigentlich funktioniert alles, leider wird nur keine Werbung gefiltert. Mein Verdacht ist, dass ich beim Erstellen des macvlan einen Fehler gemacht habe. Meine Parameter waren:

sudo docker network create -d macvlan -o parent=eth0 --subnet=192.168.1.1/24 --gateway=192.168.1.1
--ip-range=192.168.1.5/32 dc_macvlan

-unter eth0 wurde die IP der Diskstation angezeigt
- die Adresse des Routers (Fritzbox) ist 192.168.1.1
- die Fritzbox ist DHCP und vergibt 192.168.1.20 bis 192.168.1.200
- unter 192.168.1.5 erreiche ich die Adguard-GUI: da steht: 34 DNS-Anfragen, geblockt 0. An beiden Werten ändert sich nichts
- in der Fritzbox ist als DNS 192.168.1.5 eingetragen, 2. DNS kann man nicht eintragen
- ipconfig /release und /new bringt nichts

Ich verstehe das /24 hinter der subnet=192.168.1.1/24 nicht.

Vielleicht hat jemand eine Idee? Vielen Dank!

Flo

**Foxly**

Hallo FloX

Nutzen denn deine Clients bereits den neuen DNS? Welche Werbung wird denn nicht blockiert?

/24 ist die Abkürzung der Subnetmask. Die 24 steht für 255.255.255.0

FloX

Hallo Foxly,
total nett, dass Du mich hier supportest. Ich stelle totale DAU-Fragen und das Problem ist wohl, dass ich das grundsätzliche Prinzip nicht verstehe.
Im Prinzip geht es jetzt irgendwie, soviel vorweg. Trotzdem würde ich es gerne besser verstehen. Ich habe zuerst die Adguard-IP in der Fritzbox unter Heimnetz, Netzwerk, Netzwerkeinstellungen, IPv4-Adressen als DNS-Server eingetragen. Ich verstehe das so, dass die Clients von der Fritzbox über DHCP den DNS-Server mitgeteilt bekommen und die Clients dann bei Adguard anfragen. Das ist insofern schön, weil ich in der GUI sehen kann, welcher Client was so anfragt aber es scheint so zu sein, dass einige Clients sich nicht an den zugewiesenen DNS-Server halten, sondern trotzdem an Adguard vorbei sich den Content laden können. Das war wohl das Problem bei meiner Anfrage oben. Die EInstellungen sind für mich auch verwirrend, unter Android kann ich generell für alle Verbindungen noch "Privates DNS" aus oder einschalten in den einzelnen Netzwerkverbindungen manuell einen DNS eintragen und noch im Browser "sicheres DNS" an oder abwählen. Es hat auch erst funktioniert, als ich in den Clients, wo das geht (Windows, Ipad, Android) einen DNS manuell eingetragen habe. Das geht aber natürlich nicht bei den besonders bösartigen IoT-Gadgets, Smart-TVs usw. Daher ist es wahrscheinlich doch sinnvoller, die Adguard-IP-Adresse in der Frtzbox unter Internet, Zugangsart, DNS-Server von "Vom Internetanbieter zugewiesene DNSv4-Server verwenden" auf manuell zu stellen und an dieser Stelle Adguard aktiv werden zu lassen. Dann fragt nur noch die Fritzbox und nicht mehr die einzelnen Clients bei Adguard an. Das ist zuverlässiger, hat aber den Nachteil, dass man nicht mehr die Aktivität der Clients sieht oder irgendwelche Ausnahmen pro Client definieren kann. Wie machen denn das die anderen hier?

2. Punkt, den ich überhaupt nicht verstehe: Was ist mit IPv6 bzw. DNSv6? Hat der Adguard-Server über das macvlan auch eine IPv6-Adresse, die ich in den Router bzw. die Clients eintragen muss? Ich habe IPv6 jeztz erstmal deaktiviert, keine Ahnung, ob das irgendwelche Nachteile hat.

VG und Danke

Flo

**Foxly**

Zitat von FloX

Hallo Foxly,
total nett, dass Du mich hier supportest. Ich stelle totale DAU-Fragen und das Problem ist wohl, dass ich das grundsätzliche Prinzip nicht verstehe.
Im Prinzip geht es jetzt irgendwie, soviel vorweg. Trotzdem würde ich es gerne besser verstehen. Ich habe zuerst die Adguard-IP in der Fritzbox unter Heimnetz, Netzwerk, Netzwerkeinstellungen, IPv4-Adressen als DNS-Server eingetragen. Ich verstehe das so, dass die Clients von der Fritzbox über DHCP den DNS-Server mitgeteilt bekommen und die Clients dann bei Adguard anfragen. Das ist insofern schön, weil ich in der GUI sehen kann, welcher Client was so anfragt aber es scheint so zu sein, dass einige Clients sich nicht an den zugewiesenen DNS-Server halten, sondern trotzdem an Adguard vorbei sich den Content laden können. Das war wohl das Problem bei meiner Anfrage oben. Die EInstellungen sind für mich auch verwirrend, unter Android kann ich generell für alle Verbindungen noch "Privates DNS" aus oder einschalten in den einzelnen Netzwerkverbindungen manuell einen DNS eintragen und noch im Browser "sicheres DNS" an oder abwählen. Es hat auch erst funktioniert, als ich in den Clients, wo das geht (Windows, Ipad, Android) einen DNS manuell eingetragen habe. Das geht aber natürlich nicht bei den besonders bösartigen IoT-Gadgets, Smart-TVs usw. Daher ist es wahrscheinlich doch sinnvoller, die Adguard-IP-Adresse in der Frtzbox unter Internet, Zugangsart, DNS-Server von "Vom Internetanbieter zugewiesene DNSv4-Server verwenden" auf manuell zu stellen und an dieser Stelle Adguard aktiv werden zu lassen. Dann fragt nur noch die Fritzbox und nicht mehr die einzelnen Clients bei Adguard an. Das ist zuverlässiger, hat aber den Nachteil, dass man nicht mehr die Aktivität der Clients sieht oder irgendwelche Ausnahmen pro Client definieren kann. Wie machen denn das die anderen hier?
2. Punkt, den ich überhaupt nicht verstehe: Was ist mit IPv6 bzw. DNSv6? Hat der Adguard-Server über das macvlan auch eine IPv6-Adresse, die ich in den Router bzw. die Clients eintragen muss? Ich habe IPv6 jeztz erstmal deaktiviert, keine Ahnung, ob das irgendwelche Nachteile hat.
VG und Danke
Flo

Sorry, dass ich aktuell nicht direkt antworten kann. Mich plagt eine dicke Erkältung 🤧. Sobald ich wieder halbwegs an den Rechner komme, kann ich dir auch helfen.

FloX

Hallo Foxly,

bitte nicht "sorry" sagen! Eilt nicht und ein bisschen Eigeninitiative ist immer lehrreich. Bezüglich IPv6 hattest Du weiter oben schon was geschrieben, ich lasse es jetzt aus. Soweit ich weiß, könnte man auch über macvlan dualstack(?)konfigurieren aber das bringt hier wohl nichts.

Gute Besserung!

Flo

**Foxly**

Zitat von FloX

Ich habe zuerst die Adguard-IP in der Fritzbox unter Heimnetz, Netzwerk, Netzwerkeinstellungen, IPv4-Adressen als DNS-Server eingetragen. Ich verstehe das so, dass die Clients von der Fritzbox über DHCP den DNS-Server mitgeteilt bekommen und die Clients dann bei Adguard anfragen. Das ist insofern schön, weil ich in der GUI sehen kann, welcher Client was so anfragt aber es scheint so zu sein, dass einige Clients sich nicht an den zugewiesenen DNS-Server halten, sondern trotzdem an Adguard vorbei sich den Content laden können.

Das Vorgehen ist korrekt und deine Interpretation auch. Wenn der Client einen weiteren DNS-Server in den Einstellungen gespeichert hat, kann es unter Umständen nicht funktionieren.

Zitat von FloX

Die EInstellungen sind für mich auch verwirrend, unter Android kann ich generell für alle Verbindungen noch "Privates DNS" aus oder einschalten in den einzelnen Netzwerkverbindungen manuell einen DNS eintragen und noch im Browser "sicheres DNS" an oder abwählen.

Ich nehme an, dass du hier die Einstellung des Gerätes selbst meinst. Ich habe leider keine Android-Geräte, vergleiche dies aber mal mit Apple. Hier habe ich auch die Möglichkeit, für das Gerät intern eine private WLAN-Adresse zu nutzen. Hier würde ich natürlich meinen Traffic weiter verschleiern. Auch die Browser Einstellungen brauchst du nicht anpassen, da du in deinem eigenen Netzwerk i.d.R. sicher surfst. Deshalb nutze ich diese Funktion in meinem eigenen Netzwerk nicht. Allerdings in jedem anderen, wenn ich keinen VPN nutze.

Zitat von FloX

Es hat auch erst funktioniert, als ich in den Clients, wo das geht (Windows, Ipad, Android) einen DNS manuell eingetragen habe.

Wenn der neue DNS-Server via Fritz!Box verteilt wird, steht da auch eine Zeit.

Wenn der Client erst den DHCP "gefragt" hat, wird er keine neuen Einstellungen übernehmen. Erst nachdem die Zeit abgelaufen ist, wird der DHCP dem Client die neuen Informationen "geben".
Dies umgeht man in Windows mit einem ipconfig /release und ipconfig /renew. Bei anderen Geräten reicht es, die WLAN oder LAN-Verbindung zu trennen oder in der Fritz!Box IP-Gerätezuordnung zu löschen. Oder warten .

Zitat von FloX

Daher ist es wahrscheinlich doch sinnvoller, die Adguard-IP-Adresse in der Frtzbox unter Internet, Zugangsart, DNS-Server von "Vom Internetanbieter zugewiesene DNSv4-Server verwenden" auf manuell zu stellen und an dieser Stelle Adguard aktiv werden zu lassen.

Brauchst du nicht, sobald du einen lokalen DNS-Server eingestellt hast, wird die Fritz!Box auch nur diesen nutzen. Siehe meine Einstellungen:

Zitat von FloX

Dann fragt nur noch die Fritzbox und nicht mehr die einzelnen Clients bei Adguard an. Das ist zuverlässiger, hat aber den Nachteil, dass man nicht mehr die Aktivität der Clients sieht oder irgendwelche Ausnahmen pro Client definieren kann. Wie machen denn das die anderen hier?

Genau dies ist dann der Nachteil. Ich habe bei mir noch eine etwas andere Netzwerkstruktur. Da bei mir AdGuard bei Hetzner auf einem Server läuft und ich zusätzlich noch einen Server für pfSense habe. Über die pfSense läuft mein Traffic und somit sieht dies dann so aus:

Somit kann ich unter AdGuard nicht einstellen, was welcher Client darf, dies regelt aber meine pfSense für mich.

Zitat von FloX

2. Punkt, den ich überhaupt nicht verstehe: Was ist mit IPv6 bzw. DNSv6? Hat der Adguard-Server über das macvlan auch eine IPv6-Adresse, die ich in den Router bzw. die Clients eintragen muss? Ich habe IPv6 jeztz erstmal deaktiviert, keine Ahnung, ob das irgendwelche Nachteile hat.

Nein, das macVLAN läuft nur unter IPv4. Glaube, mir du willst in deinem Netzwerk kein IPv6 nutzen. Es macht m. E. keinen Sinn, bei so kleinen Netzwerken auf IPv6 zusetzten, da es für die meisten zu kompliziert ist. Deshalb habe ich dies mit Absicht nicht in meinen Tutorials verwendet.

Grüße

AdGuard Home auf Synology NAS installieren!

Jetzt mitmachen!

Tags