AdGuard Home in LXC

[Joe247]

Hi...

Aktuell betreibe ich AdGuard Home auf einem PI, würde damit aber gerne auf einen Proxmox LXC Container umziehen. Die Installation hat soweit auch geklappt.

Jetzt bin ich aber mit der DNS Konfiguration etwas ratlos...
Solange AdGuard auf dem PI lief war die IP des PI als DNS im Proxmox Node eingetragen und von dort an die Container "weitergereicht".
Wie mache ich das jetzt wenn AdGuard im LXC läuft? Kann ich die IP des Container als DNS im Node eintragen? Welchen DNS sollte ich für den Container auf dem AdGuard selbst läuft eintragen?

Schon mal Danke für Euer Feedback.

Viele Grüße
Jochen

 

[Ralli]

Die Hosts sollten niemals auf infrastrukturell notwendige Dienste aus einer darin gehosteten VM oder einem LXC konfiguriert werden.

Ein AdGuard oder ein Pi-hole sollte dafür da sein, für die "echten" Clients einen gefilterten DNS zur Verfügung zu stellen aber nicht den Maschinen, die ansonsten die Infrastruktur bereitstellen.

Also konfiguriere den oder die Host(s) auf einen immer verfügbaren DNS und die entsprechenden Container und VMs entsprechend ihrer Rolle ebenfalls oder manuell auf die IP von AdGuard.

 

[Falk R.]

Dein ADGuard auf dem Pi muss ja auch einen DNS eingetragen haben.
Die meisten nehmen hierfür ihren Router oder öffentliche DNS Server.
Wenn dein ADGuard der einzige DNS ist, am besten einen öffentlichen DNS als secondary auf dem Host eintragen.

 

[Dunuin]

Du könntest natürlich auch einfach zwei Adguards betreiben. Einmal auf dem PVE Host als LXC und einmal auf dem Pi. Fällt dann einer von beiden aus, dann läuft der andere wenigstens noch. Man kann ja bei jedem OS mindestens zwei DNS Server angeben und die suchen sich dann frei einen der beiden aus.

 

[Joe247]

Danke für Euren Input!
Habe jetzt den Host und den LXC auf einen öffentlichen DNS eingestellt. In allen anderen Containern und VMs ist AdGuard eingetragen.
Damit sollte es jetzt passen...

 

[AcSpo]

Hi.
Auch wenn schon was älter, hätte ich die Frage hier auch.

Bei mir ist Proxmox hinter einer fritz.box.

Wenn ich bei der fritz.box dann den AdGuard Home als IP eintrage (was ich ja auf jeden Fall machen will, wenn ich so einen DNS Blocker aufsetze), dann greift bei den "Standard-Einstellungen (use host DNS)" ja quasi der LXC auf den DNS drauf zu, welcher am Router definiert ist. Und das wäre ja dann wieder der LXC Container.

Wie genau muss man das dann machen?

Proxmox selbst andere DNS geben und zusätzlich dem LXC (AdGuard Home) auch?
Oder wie ist hier das beste Vorgehen?

 

[Dunuin]

Ich weiß nicht wie das bei Adguard ist, aber bei Pi-hole habe dem LXC einen öffentlichen DNS Server verpasst, damit der LXC auch DNS auflösen kann, wenn es mal ein Problem mit Pi-hle gibt.

Ist aber sonst auch nicht weiter tragisch, wenn der LXC die Fritzbox als DNS server hat und die dann an den DNS Server von Adguard weiterleitet. Den Adguard wirst du dann ja so eingestellt haben, dass der entweder rekursiv selbst die DNS auflöst oder die Anfragen wiederum an einen öffentlichen DNS-Server weiterleitet.

 

[AcSpo]

Ist aber sonst auch nicht weiter tragisch, wenn der LXC die Fritzbox als DNS server hat und die dann an den DNS Server von Adguard weiterleitet.

Wie ist es denn am "sinnigsten" Proxmox selbst und die LXCs einzustellen in solch einem Szenario?

Proxmox selbst auch öffentliche IPs geben und jedem LXC dann auch?

 

[cwt]

Im PVE sollte man generell keinen virtualisierten DNS eintragen. Fällt die VM bzw. LXC aus, ist beim PVE Schicht mit Namensauflösung.

Meinst Du mit öffentlichen IPs DNS von Google, Cloudflare, Quad9 & Co.? Das ist Geschmacksache. Die Router-IP als DNS reicht i. d. R. vollkommen aus. Bei FW Appliances wie OPNSense/pfSense bieten sich Dienste wie Unbound an, welche gegen die Roots auflösen.

 

[AcSpo]

Die Router-IP als DNS reicht i. d. R. vollkommen aus.

Wenn man dann im Router als DNS aber den AdGuard LXC nutzt, ist das dann auch ok?

 

[cwt]

Das würde ich nicht tun, denn damit machst Du das gesamte Netzwerk abhängig vom LXC. Wenn Du möchtest, dass Clients den AdGuard als DNS verwenden, kannst Du dessen IP in den DHCP-Optionen eintragen und/oder - falls Clients statistische IPs haben - dort jeweils manuell. Bei einfachen Routern wie den Fritten kann man entweder die DNS Server des Providers nutzen oder public DNS.

Edit: wenn Du dem LXC den Router als DNS vorgibst und dem Router wiederum den LXC als DNS, läufst Du in eine Schleife.

 

[Dunuin]

Edit: wenn Du dem LXC den Router als DNS vorgibst und dem Router wiederum den LXC als DNS, läufst Du in eine Schleife.

Jain. Weiß nicht wie das bei Adguard ist, aber bei Pi-hole kann man durch aus verschiedene DNS Einstellungen für den Pi-hole Dienst und dem LXC haben (halt einmal DNS Client und einmal DNS Server). Dann hat man auch keine Schleife, wenn der LXC die Fritzbox als DNS eingetragen hat, die Fritzbox wieder zum LXC verweist und Pi-hole in dem LXC dann z.B. selbst per Unbound rekursiv auflöst oder an etwas wie 1.1.1.1 weiterleitet.

Und das keine Namensauflösung mehr geht, sobald der Werbeblockende DNS-Server auffällt, ist ja eingewolltes Feature. Ziel ist ja, dass da nicht alles korrekt an DNS aufgelöst werden kann. Wäre ja ungünstig, wenn man dann dann doch getrackt wird oder Werbung durchkommt, wenn dann auf einen unfilternden DNS-Server ausgewichen wird. Wenn man da Redundanz will, dann sollte man schon mehrere Adguards/Piholes auf verschiedenen Geräten laufen haben und diese beiden dann als primären und sekundären DNS-Server bei den Clients eintragen. Aber halt nicht etwas wie Adguard/Pihole + unfilternde DNS Server (öffentliche wie 1.1.1.1 oder der vom ISP) in einem OS mischen.