Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Adguard Home 0.103.2

Adguard Home logo (79 pix)Adguard Home versie 0.103.1 is uitgekomen en wegens een vervelende bug in de rules matching ook meteen 0.103.2. Met deze software kan er thuis een dns server worden opgezet om zo onder meer advertenties en malware te blokkeren op het gehele netwerk. Het is daarmee dus vergelijkbaar met Pi-hole. Adguard Home werkt op een machine met Windows, macOS, Linux of FreeBSDen is verder ook in staat om tegen phishing te beschermen en heeft het parental control. Op ons eigen forum kan over het programma worden gediscussieerd. De release notes voor versie 0.103.1 zien er als volgt uit:

Completely redesigned query log: #1421

Bet you spend a lot of time here. You just can't resist, can you? I surely can't. The more important it's for the query log to look slick, and even more important to be super informative. Luckily, the updated query log ticks all the boxes.

$client modifier support: #1761

One of the advantages of adblock-style syntax (and the reason we prefer it to 'hosts' files) is extensibility. Let us demonstrate it once again by extending the syntax with a new modifier. Now you can narrow rules scope to a specific client(s).

A couple of examples:

  • @@||*^$client=127.0.0.1 — unblock everything for localhost;
  • ||example.org^$client='Frank\'s laptop' — block example.org for the client named Frank's laptop only. Sorry Frank, no example.org for you today. Note that the name must be enclosed in quotes and the quote character must be escaped.

Here you can find more examples.

'Edge' update channel

This new update channel is for you if you really like living on the edge want to use the LATEST version of AdGuard. It is updated daily and this is the closest thing to the master branch you can get. And if even that's not enough for you... check out our job listings, I guess. Here you can learn how to install it.

Multi-arch Docker images

Instead of a multitude of arch-specific tags, we now publish multi-arch images to Docker Hub. So if you were using some arm64-latest tag, don't do that anymore and simply switch to latest.

Other changes Added or improved
  • Move "Blocked services" to a separate page under "Filters" menu: #1744
  • Do not require root for the first startup: #1699
  • Add support for PTR/rDNS for DHCP hostnames: #1682
  • "Drill down" to activity reports: #1625
  • Expose cache size and TTL settings: #1587
  • Rolling log files: #1573
  • Reduce the ARP scanning period: #1398
  • Choosing filter lists for AdGuard Home: #1325
  • Add an option to disable writing query log to file: #876
  • GL-Inet integration: #1853
Fixed
  • Autohosts module crash: #1814
  • Hosts file parsed improperly: #1807
  • Unable to add local lists: #1792
  • Adding two DNS rewrites for a domain, null IP for AAAA and CNAME causes Adguard to use CNAME for both A & AAAA records: #1764
  • "DNS rewrites" - An error is prompted when adding a new rewrite rule, but the actual addition is successful.: #1754
  • In "Setup guide - Router - 4th line", the hyperlink "DHCP server" is not available.: #1740
  • Rules Special characters "^" not working as expected: #1732
  • DNS rewrites cause panic logging stats: #1724
  • panic in dnsforward.(*Server).updateStats: #1712
  • Do not reply to DNS responses: #1710
  • Block for tag not work in website: #1707
  • Trailing 0 in last IP octet is ignored when specifying disallowed client: #1687
  • AdGuard Home expects valid TLS config even when allow_unencrypted_doh is configured: #1677
Other
  • Show a link to the FAQ article about Ubuntu when port 53 is in use: #1889
  • Fixing FreeBSD install: #1871
  • Use the same tooltip style everywhere: #1866
  • Only loopback interface during first installation: #1856
  • Make language tag in HTML same as setting language in AdGuard Home: #1797
  • Statistics reset after reboot: #1785
  • Skype file transfer issue: #1782
  • error handling UDP packet: dns: buffer size too small: #1777
  • Wrong 24 hour time format DNS blocklists page: #1766
  • mDNS/Bonjour requests may be spamming the logfile: #1742
  • When anonymize IPs is enabled, trim IPs to /16: #1741
  • Log spam after upgrade to v0.102.0: #1735
  • Don't hide version string when built-in auto-update is disabled: #1726
  • v0.102.0 crashes when rewriting any internal CNAME: #1704
  • syslog error message - unexpected HTTP status code 400 from 'https://dns-family.adguard.com:443/dns-query: #1697
  • Incorrect rules count: #1694
  • Add more info about DNS names from etc/hosts to "Clients (runtime)": #1686
  • Allow Fastest IP address and Parallel requests to toggle each other on and off: #1678
  • Use of monospace font in selected textareas of the web UI: #1650
  • Make reloading log list work better: #1642
  • Support for disabling DNS caching: #1591
  • Add another /querylog API call with offset/limit params: #1559
  • DNS Rewrites: support wildcard domain name exceptions: #1547
  • Internal DNS queries for whois.* domains bypass AGH: #1535
  • Improve logs page - clear input field when switching from/to logs page: #1523
  • Document the DNS blocking limitations and issues: #1433
  • http: TLS handshake error: #1167
API changes

Please read the changelog to learn about API changes.

Please note, that starting with this version we now strip "v" prefix from the version name in beta and release builds, but it is still there in "edge" builds.

Adguard Home 0.103.2 screenshot

Versienummer 0.103.2
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Windows 8, Windows 10
Website Adguard Team
Download https://github.com/AdguardTeam/AdGuardHome/wiki/Getting-Started#installation
Bestandsgrootte 6,86MB
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

23-07-2020 • 20:49

47 Linkedin

Submitter: MadMax12

Bron: Adguard Team

Reacties (47)

Wijzig sortering
Laat ik t lijstje wat ik bijhoud even plaatsen voor de liefhebbers: https://oisd.nl
Error: control/filtering/add_url | Couldn't fetch filter from url https://oisd.nl: data is HTML, not plain text | 400
https://oisd.nl is dan ook de website waar de beschrijvingen voor de daadwerkelijke lijsten staan.
De lijsten staan hier: https://oisd.nl/?p=dl inclusief een overzichtje welke lijst je voor welke blocker kan gebruiken:

Voor AdGuard Home kan je: https://abp.oisd.nl/ gebruiken
Voor pi-hole https://dbl.oisd.nl/
enz.
Tnx, kan ik dan de standaardlijsten verwijderen en alleen deze gebruiken?
Tnx, kan ik dan de standaardlijsten verwijderen en alleen deze gebruiken?
OISD website faq zegt van niet, maar ik heb het wel gedaan omdat er in de standaard lijstjes false positives zitten.
Ook voor @pe0mot
In de faq op de site staat van wel (indien je het gebruikt met AGH of Pi-Hole)
https://oisd.nl/?p=faq
Q Should I leave the default lists enabled?
A When using this list in browser add-on blockers (eg. uBlock Origin); Yes definitely, as this is not meant to be a replacement for it's default lists.
When using this list in network based DNS blockers (eg Pi-hole, Adguard Home); No. I designed this list to be used as the sole list for DNS based blocking. But there's no shame in using this list along any other list(s).
Yep, gelijk.
Ik keek alleen naar ublock (waar ik aanraad om ze ook uit te zetten :-), maar bij Adguard kunnen ze inderdaad uit.
Voor AdGuard Home kan je: https://abp.oisd.nl/ gebruiken
Voor pi-hole https://dbl.oisd.nl/
Toen ik AdGuard Home in gebruik had naast mijn Pi-Hole, gebruikte ik dbl.oisd.nl gewoon in AdGuard, wat is de reden dat voor AdGuard nu een andere lijst gebruikt moet worden? :)

En andersom; heeft het meerwaarde om de AdBlockPlus lijst in Pi-Hole toe te voegen? :)
Dit is in elk geval wat de lijstmaker zegt: https://oisd.nl/?p=dl (met de icoontjes zie je wat waar 'hoort')
In de faw van oisd wordt aangegeven dat de abp-stijl lijst meer blokkeert. (completer is)

Adguard Home noemt de abp-stijl de 'moderne' variant, maar kan 123 niet vinden wat hun voorkeur is. https://github.com/Adguar...ome/wiki/Hosts-Blocklists

De abp lijst is 'korter' omdat daar reguliere expressies en wildcards in worden gebruikt. Ik denk dat het voornamelijk een effecientieslag is. (kleiner bestand, minder downloaden, misschien sneller te parsen door het systeem?)

Ik weet niet op de Pi-hole wrapperscripting de abp-stijl ondersteund. Anders moet je dat even bij de pi-hole mensen vragen :)
Mijn aanname: Je hebt kans dat dnsmasq (want pi-hole is slechts een dnsmasq installatie met een zooi scripting er omheen (en een lighttpd ervoor)) de wildcards niet goed ondersteund, en dan heeft het natuurlijk geen meerwaarde, want dan zou de pi-hole scripting de reguliere expressies moeten omsmurfen tot 'platte data' en dat is op z'n simpelst gezegd niet erg efficient.
Zowel voor Adguard Home als PiHole een van de meeste complete lijsten die er is.
Bedankt! Gebruik de lijst al een hele tijd. Heel compleet. :)
Dankjewel heb ze toegevoegd aan Ublock Origin :)
Gevonden!
Wij hebben meerdere malen contact gehad via Reddit over jouw briljante lijst en snelle responses! :)
Bedankt voor alle effort die je in alle lijsten steekt! :Y _O_
Ik was ook een enthousiaste gebruiker, maar ik ben inmiddels over naar NextDNS. NextDNS heeft bij mij Adguard Home (en daarvoor Pi-Hole) vervangen. Grote voordeel is dat het werkt via elke netwerk (wifi / 3g / public networks).
Hier een leuke review: https://stanislas.blog/2020/04/nextdns/
Alleen staan deze DNS servers in London, wat evt voor extra hops en latency zorgt.
Desondanks vind ik het inderdaad een mooie oplossing!
Terwijl er op hun website dat ze in een datacenter in Amsterdam zitten. Tevens via Ziggo gaat het over een Level 3 transit :(
Via tracert kwam ik in Londen uit. Dat was ong 1-2 maand geleden.
Weet niet hoe de situatie nu is.
Nog steeds, daarom mijn reactie dat het over die trage Level3 transit gaat.
Nope, vanaf xs4all is de trace naar AMS

edit:
8ms

[Reactie gewijzigd door pe0mot op 24 juli 2020 11:40]

Zou je is een traceroute willen posten?
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| fritz.box - 0 | 7 | 7 | 2 | 2 | 3 | 2 |
| xxxxxxxx.xs4all.net - 0 | 7 | 7 | 8 | 9 | 11 | 8 |
| 0.ae23.xr1.2f300.xs4all.net - 0 | 7 | 7 | 8 | 19 | 42 | 8 |
| 0.et-7-3-0.xr1.sara.xs4all.net - 0 | 7 | 7 | 8 | 9 | 10 | 8 |
| ams-ix.as13335.net - 0 | 7 | 7 | 14 | 32 | 101 | 15 |
| 104.31.88.168 - 0 | 7 | 7 | 9 | 9 | 11 | 9 |
|________________________________________________|______|______|______|______|______|______|
WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

Edit:
Dit is dus naar my.nextdns.io

Snel even een traceroute naar 45.90.30.225
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| fritz.box - 0 | 23 | 23 | 1 | 2 | 3 | 2 |
| lo0.dr23.2f300.xs4all.net - 0 | 23 | 23 | 8 | 10 | 27 | 9 |
| 0.ae23.xr2.2f300.xs4all.net - 0 | 23 | 23 | 8 | 9 | 12 | 9 |
| 0.et-4-0-0.xr1.sara.xs4all.net - 0 | 23 | 23 | 8 | 9 | 11 | 10 |
| asd-s5-rou-1041.NL.eurorings.net - 0 | 23 | 23 | 9 | 10 | 18 | 10 |
| adm-b1-link.telia.net - 0 | 23 | 23 | 9 | 10 | 13 | 10 |
| adm-bb4-link.telia.net - 0 | 23 | 23 | 9 | 10 | 13 | 10 |
| adm-b3-link.telia.net - 0 | 23 | 23 | 9 | 11 | 24 | 15 |
| vultr-ic-313751-adm-b3.c.telia.net - 0 | 23 | 23 | 10 | 12 | 25 | 11 |
| No response from host - 100 | 5 | 0 | 0 | 0 | 0 | 0 |
| No response from host - 100 | 5 | 0 | 0 | 0 | 0 | 0 |
| dns2.nextdns.io - 0 | 23 | 23 | 9 | 10 | 12 | 10 |
|________________________________________________|______|______|______|______|______|______|
WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

[Reactie gewijzigd door pe0mot op 25 juli 2020 14:19]

Ziet er inderdaad goed uit, maar dan stuur je wel al je verkeer over 1 partij.
Je wil het trackers moeilijk maken maar legt wel al je eieren in 1 mand.
Ook is deze niet gratis. Voorlopig nog wel, maar dat is niet voor lang meer.
NextDNS heb ik ook naar gekeken maar ik kan nou niet precies bepalen wat ze nou waar doen.

Je hebt of de optie om direct met hun dns-servers te praten, en dan wordt het 'daar gefilterd'. In het geval van een pi-hole/AdGuard Home installatie verlaat het je netwerk niet. (met 4g heb je daar dan ook niet zoveel aan natuurlijk). Voor het merendeel van de mensen is dit prima, maar zodra je apparaten in je eigen netwerk hebt, kan dit onpraktisch zijn. (ligt 100% aan hoe alles in je netwerk met elkaar praat)

Je kan ook gaan werken met lokaal geïnstalleerde apps, waar ze niet helemaal transparant zijn wat er nou gebeurd. Fungeert het als een VPN-achtige constructie die het DNS-verkeer naar hen stuurt en daar laat filteren, of filtert het lokaal op je telefoon/apparaat?

Je kan ook een service installeren op een raspberry pi (of ander platform), maar ook dan is het niet helemaal transparant voor mij waar hij nou filtert. Het lijkt er op alsof het altijd bij hen op de centrale diensten de filtering doet. Dan voel ik persoonlijk meer voor om het direct in m'n netwerk of eigen apparaat te doen. Dat scheelt weer een beetje data wat het internet op moet.


Het ogenschijnlijke voordeel van NextDNS lijkt in elk geval, dat het een 'one-stop-shop' is, en waar je verder nooit meer wat aan hoeft te doen. Dus dat kan een voordeel zijn. Niet dat je aan je pi-hole of AGH zo veel hoeft te doen natuurlijk :)
NextDNS kan je niet zelf hosten en is in mijn ogen net zo onbetrouwbaar als bijvoorbeeld cloudflare die dit ook aanbied overgens. Dus beetje rare vergelijking ;) daarnaast heeft adguard ingebouwde DOH en DOT dus kan je er ook altijd mee connected zijn mits je android hebt (iphone moet je een app installeren, wat super simepl is)
Je kunt NextDNS ook "gewoon" als upstream DNS server instellen in Pi-Hole danwel AdGuard Home. :)
Wellicht word het tijd om de introtekst te updaten:
Het is daarmee dus vergelijkbaar met Pi-hole. Waar die laatste bedoeld is om op een Raspberry Pi te draaien werkt Adguard Home op een machine met Windows, macOS, Linux of FreeBSD
Pi-hole is origineel bedoeld voor de RPi (zit ook in de naam), maar inmiddels ook geport naar zowat elke grote Linux variant die er is, zelfs Windows en MacOS zijn mogelijk (al is het wel een beetje anders dan een installer draaien, je moet het met een Docker container oplossen)
Sterker nog, Adguard is ook te draaien op de RPi / ARM.

[Reactie gewijzigd door ThaStealth op 23 juli 2020 22:29]

Als je het op een bestaande Linux installatie wil installeren, en je installatie niet 100% voor pi-hole wil gebruiken (of in elk geval zelf iets wil doen met een dns-server of webserver), moet je wel maar hopen dat het je eigen dnsmasq- of lightppdinstallatie niet kapot maakt. Dat vind ik het grote nadeel van pi-hole. De installatie neemt de complete instalaltie/configuratie van dnsmasq en lighttpd op een vrij harde manier over. Als je er zelf nog iets mee wilt, dan moet je of geluk hebben dat je het systeem niet in de weg zit of veel geduld hebben om het bij iedere update weer aan de praat te houden.
Dus ja. Het kan, maar het is niet optimaal.

Pi-hole is onder een de streep een dnsmasq installatie met lighttpd ervoor een een hele zwerm php scripting en andere noodzakelijke pakketjes om de boel draaiend te houden. Het is een relatief zware methode om het beoogde doel te bewerkstelligen (generieke advertentieblokkering voor een LAN). Het is ook nog is beperkter in functionaliteit. Zo ondersteund het geen Doh/DoT en is de webserver standaard niet https.
Je kan er dan uiteraard zelf een SSL-certificaat er in zetten en een nog een ander stuk software er achter zetten, zoals dnscrypt-proxy2 voor DoH/DoT, maar dan heb je geen dnsmasq niet nodig, want dnscrypt-proxy2 werkt ook met blocklists. Je kan ook eventueel een unbound-server er achter zetten, maar ook daar geldt voor dat als je dan wilt, dat je dan eigenlijk geen dnsmasq meer nodig hebt, want unbound ondersteund ook blocklists. Op die manier blijft een pi-hole functioneel een heel knap in elkaar gescript systeem, maar het is echt veel te veel overhead voor het beoogde doel.

AdGuard Home is een zelfgeschreven dns-server, met ingebouwde webserver, DoT/DoH ondersteuning en dus ook blocklist ondersteuning. Het is één losse binary (en één configuratiebestand) en werkt eigenlijk op vrijwel alle gangbare consumentenomgevingen.

Doordat het één losse binary is, kan je het dus simpel op een willekeurige omgeving zetten. (Linux, FreeBSD, Windows, MacOS, maar ook routers, en andere (Linux/UNIX-gebaseerde) appliances met verschillende CPU-architecturen (op het moment x86_64, verschillende ARM typen en verschillende MIPS typen) zoals NASen en routers, en dat zonder de overhead van een complete dockeromgeving. (begrijp me niet verkeerd, er is niks mis met docker, maar aangezien het maar één losse binary is, en niet een hele combinatie van allerlei toolts en scripts zoals pi-hole, is het dus niet eens nodig)


Achtergrond:
Ik heb zelf een tijdje pi-hole gebruikt. Toen ik DoH wilde gaan gebruiken had ik dnscrypt-proxy2 er achter gezet. Toen ik daar is wat beter naar keek, zag ik dat ik heel Pi-hole niet meer nodig had, en werkte ik met de blocklists van dnscrypt-proxy2. Het enige nadeel daarvan was, dat er geen web interface was. Ik kon dus niet naar 'mooie grafiekjes' kijken en zo, maar ik vond de simpliciteit van de opzet van dnscrypt-proxy2 voor mij persoonlijk belangrijker dan de web interface.
Doordat ik de pi-hole installatie niet meer gebruikte leek de dns-vertaling ook wat sneller te lopen. Maar dat kan placebo zijn. Ik had het niet gemeten.

Op een gegeven moment had ik dnscrypt-proxy2 op m'n router (Ubiquity USG3) gezet. Want waarom zou ik de overhead van een pi in m'n netwerk willen hebben voor DNS als het ook op de router kan.
En sinds een paar maanden heb ik de boel omgezet naar AdGuard Home. Nu heb ik het beste van twee werelden. Ik heb een functioneel uitgebreidere DNS-server met advertentieblokkade, ingebouwde webserver, enz. enz. enz. en dan ook nog de 'mooie grafiekjes', en dat alles plat op m'n router geïnstalleerd.
Als je het op een bestaande Linux installatie wil installeren, en je installatie niet 100% voor pi-hole wil gebruiken (of in elk geval zelf iets wil doen met een dns-server of webserver), moet je wel maar hopen dat het je eigen dnsmasq- of lightppdinstallatie niet kapot maakt. Dat vind ik het grote nadeel van pi-hole. De installatie neemt de complete instalaltie/configuratie van dnsmasq en lighttpd op een vrij harde manier over. Als je er zelf nog iets mee wilt, dan moet je of geluk hebben dat je het systeem niet in de weg zit of veel geduld hebben om het bij iedere update weer aan de praat te houden.
Dus ja. Het kan, maar het is niet optimaal.
Als je de Docker container gebruikt ben je hier in 1 klap van af. :) Die wijzigingen zitten dan immers alleen in de container, niet het lokaal geïnstalleerde OS. Later in jouw bericht impliceer je dat Docker een flinke overhead impact heeft, maar niets is minder waar. Ik draai Pi-Hole in Docker op een Pi3B en dat presteerd net zo goed als dat ik Pi-Hole baremetal zou draaien. Die overhead valt echt reuze mee.
Zo ondersteund het geen Doh/DoT en is de webserver standaard niet https.
Zover ik weet is men wel bezig om DoT danwel DoH te gaan supporten. De webinterface wil je niet via internet beschikbaar hebben, uitsluitend over lokale LAN, TLS encryption over de pagina is dan op zich niet meer nodig. :) Dat de webinterface dus niet over HTTPS beschikbaar is, is op zich geen nadeel.

[Reactie gewijzigd door CH4OS op 26 juli 2020 13:56]

Als je de Docker container gebruikt ben je hier in 1 klap van af. :) Die wijzigingen zitten dan immers alleen in de container, niet het lokaal geïnstalleerde OS.
Klopt helemaal
Later in jouw bericht impliceer je dat Docker een flinke overhead impact heeft, maar niets is minder waar. Ik draai Pi-Hole in Docker op een Pi3B en dat presteerd net zo goed als dat ik Pi-Hole baremetal zou draaien. Die overhead valt echt reuze mee.
Docker biedt net zoals elk ander virtualisatieplatform een overhead. De overhead is inderdaad heel klein, maar het is er weldegelijk, zij het minimaal. Het ligt helemaal aan je usecase. Als heel je docker-omgeving compleet hebt geautomatiseerd, (zoals ze het bijvoorbeeld in Home Assistant doen. Het feit dat er onderwater docker wordt gebruikt is transparant voor de gebruiker) dan zie ik zeker een meerwaarde ervan. Als je wilt hobbyen op de servertje snap ik het ook nog wel, maar als je je docker-omgeving met de hand beheerd en die pi (of andere omgeving) nergens anders voor gebruikt, vind ik het nergens op slaan.
Zover ik weet is men wel bezig om DoT danwel DoH te gaan supporten.
Daar heb je nu nog niks aan natuurlijk. Ze zullen of een vage wrapper moeten gaan bouwen en dus nog een derdepartij tool moeten gaan installeren in een toch al 'bloated' systeem, of ze moeten hopen dat een toekomstige versie van dnsmasq het gaat ondersteunen.
De webinterface wil je niet via internet beschikbaar hebben, uitsluitend over lokale LAN, TLS encryption over de pagina is dan op zich niet meer nodig. :) Dat de webinterface dus niet over HTTPS beschikbaar is, is op zich geen nadeel
Dat je een pi-hole/AGH achtige applicatie niet vanaf internet wil kunnen bedienen snap ik op zich wel. Ik heb daar ook geen gebruik voor. Ik ben echter wel van mening dat alle telecommunicatie versleuteld en ondertekend moet zijn. Deels principieel, maar ook omdat http toch ten alle tijden gevoelig is voor afluisteren en het middels allerlei relatief simpele trucjes om te leiden is naar een andere pagina of de data op die pagina te veranderen. (arp poisening, etc). https vermoeilijkt dit.
https://www.youtube.com/watch?v=_BNIkw4Ao9w <-- Dit filmpje laat zien hoe simpel het is om http-sites qua inhoud om te bouwen. (de usecase is hier dat 'platte statische websites' (dus zonder login enzo) ook https nodig hebben')
Tevens: Het feit dat er al derdepartijsoftware wordt geïnstalleerd met pi-hole die ssl certificaten ondersteund, maakt het naar mijn mening nog vreemder dat ze het niet domweg er in zetten. Zelfs een niet ondertekend certificaat is beter dan geen certificaat.
Als je wilt hobbyen op de servertje snap ik het ook nog wel, maar als je je docker-omgeving met de hand beheerd en die pi (of andere omgeving) nergens anders voor gebruikt, vind ik het nergens op slaan.
Ik heb al meerdere malen gehad dat Pi-Hole de installatie om zeep heeft geholpen. De repair of reinstall opties werkten dan ook niet meer, omdat bepaalde tools die Pi-Hole nodig heeft verdwenen waren (ik heb serieus een keer gehad dat apt verdwenen was). Uiteindelijk ben je dan genoodzaakt een herinstallatie te doen en om dat elke keer te doen omdat Pi-Hole een booboo maakt werd voor mij gewoon zonde van de tijd. Ik gebruik Pi-Hole op een Pi3b in een Docker container dus vooral ten behoeve van sandboxing. Een andere docker container moet nog komen, maar die container is nog niet uitgebracht, althans, de laatste keer dat ik keek. ;) Dat is een container voor het uitlezen van mijn slimme meter.
Ik ben echter wel van mening dat alle telecommunicatie versleuteld en ondertekend moet zijn. Deels principieel, maar ook omdat http toch ten alle tijden gevoelig is voor afluisteren en het middels allerlei relatief simpele trucjes om te leiden is naar een andere pagina of de data op die pagina te veranderen. (arp poisening, etc). https vermoeilijkt dit.
Ik snap wat je zegt, maar om dit te kunnen doen bij een webinterface dat uitsluitend via LAN beschikbaar is, heb je sowieso lokaal al toegang nodig of zul je gericht de aanval moeten doen met specifieke kennis.

Als degene lokaal toegang heeft (gehad), zit het probleem ergens anders (namelijk dat iemand fysiek toegang heeft weten te verkrijgen tot het netwerk) en is het probleem (imo) veel groter.

Als degene van buitenaf weet aan te vallen heeft diegene dusdanig specifieke kennis nodig, dat de aanval specifiek op jou gericht moet zijn, wat het weer oninteressant maakt voor mensen die echt kwaad in de zin zijn. Die willen immers zo breed mogelijk met zo min mogelijk effort (en dus super efficiënt) te werk gaan. De aanval op 1 specifiek netwerk richten (zeker als het voor een consument is) is dan gewoon niet interessant genoeg.

[Reactie gewijzigd door CH4OS op 27 juli 2020 09:21]

Ik heb al meerdere malen gehad dat Pi-Hole de installatie om zeep heeft geholpen. De repair of reinstall opties werkten dan ook niet meer, omdat bepaalde tools die Pi-Hole nodig heeft verdwenen waren (ik heb serieus een keer gehad dat apt verdwenen was).
Precies de reden om geen pi-hole te gebruiken maar een systeem als AdGuard Home. Heel de pi-hole installatie is een samenraapsel van tooltjes van dnsmasq, lighthttpd en php met een hele vracht vereiste libraries en scripting er omheen. Ik moet ook wel zeggen, dat ik het heel knap in elkaar gezet vindt! Alleen is het wel foutgevoelig. AdGuard Home is één statische binary met een configuratiebestand die native op (vrijwel) ieder Linux-achtig (inclusief NASsen, routers, enz. enz.) systeem (op x86_64 en andere CPU-architeturen), Windows en MacOS werkt.
Ik snap wat je zegt, maar om dit te kunnen doen bij een webinterface dat uitsluitend via LAN beschikbaar is, heb je sowieso lokaal al toegang nodig of zul je gericht de aanval moeten doen met specifieke kennis.
Ik erken direct dat het concrete voorbeeld vergezocht is, maar het feit dat het al standaard in één van de gebruikte tools zit (lighttpd) maakt het bijzonder zwak dat het niet gewoon gebruikt wordt. Het zou in de praktijk voor de pi-hole bouwers slechts een minimale hoeveelheid werk moeten zijn om het er in te zetten.
Je kan gewoon een ongetekend certificaat gebruiken, of eventueel zelfs een duckdns-entry, die niet op internet bestaat, maar wel in je eigen netwerk, of als je zelf een domein hebt met een name server met een fatsoenlijke API, kan je dat ook doen. (ik gebruik het zelf bij Cloudflare DNS. Ik heb verschillende subdomains die alleen in m'n eigen lan bestaan, en niet op internet vertalen, maar wel met een ondertekend certificaat).

N.B. En het fysiek in je netwerk komen kan overigens relatief simpel zijn, afhankelijk van wat voor apparaten je in je netwerk heeft. Vooral Buuf Truus is dan erg kwetsbaar, want die houdt (terecht, want dat zouden de fabrikanten voor haar moeten doen) helemaal geen rekening met beveiliging van bijvoorbeeld .alle slimme dingen als een slimme thermostaat, koelkast of wasmachine. Ook kan het van een één of ander stuk malware komen dat je virusscanner nog niet kent, dat via een gehackte website wordt verspreidt.

Uiteraard zijn het allemaal vergezochte situaties, maar door simpelweg alles te versleutelen en te ondertekenen, maakt de communicatie in je eigen netwerk een heel stuk moeilijker voor al die 'kwaadwillenden'. En nogmaals. Ze hebben de technologie al in gebruik. Ze zetten het alleen niet aan, om een één of andere reden.
Weet iemand of je in Adguard home ook Local DNS Records kan instellen?
Jup dit kan je. In de filter settings "Custom filtering rules" kan je hosts toevoegen zoals je zou doen met een hosts file (192.168.0.123 server.home.lan)
Geprobeerd maar werkt niet helaas.

192.168.1.100 unifi.domain.local toegevoegd maar ping je naar het unifi of de fqdn krijg ik geen reply. (flushdns gedaan).

Nevermind, had een exception gemaakt voor me laptop in Adguard.

[Reactie gewijzigd door Samplex op 24 juli 2020 00:43]

Jup. Onder: Filters > DNS rewrites (Allows to easily configure custom DNS response for a specific domain name.)

[Reactie gewijzigd door sjhgvr op 23 juli 2020 21:03]

Top, thanks both!
Ik weet dat je Adguard Home kunt gebruiken in Wireguard. Weet iemand hoe ik dit kan instellen in Docker-compose bestand? Ik maak gebruik van Portainer. E.e.a. kan ook in Home Assistant maar die wil ik hier buiten laten.
Ik begrijp niet helemaal hoe je in 1 docker-compose bestand container AdGuard Home in container WireGuard kunt gebruiken. Ik heb dit zelf nog nooit gedaan en weet niet hoe. Ik neem aan dat iemand dit gebruikt en ik zou graag willen zien hoe zijn bestand eruit ziet.
Die hoeven niet in dezelfde container te zitten.
Wireguard geeft bij mij het IP adres van mijn docker host (= server waar op al mijn docker services draaien) mee in de client config, en mijn docker host die gebruikt de DNS server die de rest van mijn netwerk gebruikt: zijnde AdGuard (drie draait toevallig op een andere raspberry pi)
Op deze manier gebruiken alle Wireguard clients automatisch de DNS van AdGuard.

Je kan eventueel hier je vraag verduidelijken: [Adguard Home] Ervaringen & discussie
Want zonder info over je config/docker is het nogal moeilijk om concreet te helpen.
Dankjewel voor de info.
Ik zal mijn vraag daar nogmaals neerzetten.
Misschien stuur ik je nog een DM.
Hallo allemaal,

ik had voorheen ook Pi-Hole op een raspberry draaien maar wilde jullie toch even op de openwrt router van GL-iNet, de AR750S-ext, wijzen.
Eigenlijk is het een Travel router maar hij functioneert ook goed in mijn netwerk.
Buiten dat op deze router Adguardhome draait heeft hij ook nog de volgende voordelen:
1) USB tethering. Mobiele telefoon via USB als backup internet voor lan
2) Wisp mode. Een kant van de wifi maakt verbinding met mobiele hotspot e de andere kant met je eigen netwerk.
2) Gigabit poorten voor wan en 2x lan
3) Wifi router voor 2,4GHz en 5GHz met guest netwerk
4) Openwrt software dus langdurige ondersteuning en upgrades
5) Adguardhome advertentieblokker voor het hele netwerk incl. mobiele telefoons/tablets
6) Firewall met zone instellingen
7) Wireguard VPN server/client
8) VPN client voor de meest voorkomende providers waaronder PIA, Ipvanish Nordvpn. Via MAC adres bepalen welke apparaten via de VPN moeten lopen.
9) VPN killswitch mocht VPN uitvallen
10) Cloudfare DNS met DoH/DoT Veilige DNS server met encryptie.
Ik zelf heb altijd een pihole gehad met DOH en DOT. Handig voor android waar DOT tegenwoordig in is gebakken (vanaf android 9 als ik mij niet vergis). Ik heb hier een gist voor geschreven: https://gist.github.com/b...0b7e8111d5f1b1a9d02d147c7
Hier gebruik ik unbound als dns resolver en gaat je dns nooit unencrypted het netwerk over.

Ik ben echter sinds kort over naar adguard puur omdat de developers van pihole nogal eigenwijs zijn in mijn ogen en heel veel dingen niet belangrijk vinden, zoals standaard DOT of DOH inbouwen. Doen ze heel nors over. Adguard is dan ook weer een beetje tricky omdat het geschreven is in en door rusland en het toch een wat ander soort project is (ze verdienen er geld mee en hebben producten). Nu vind ik wel dat ze bij adguard open staan voor features en hier veel beter mee omgaan en luisteren naar wat de gebruiker wilt (als ik github mag geloven).

Hier heeft een medelander (freekws) een mooie ansible voor gemaakt:
https://github.com/Freekers/ansible-adguard
werkt super simpel en eenvoudig!

[Reactie gewijzigd door nivong op 24 juli 2020 12:55]

Iemand anders ervaring met Snaps van Snapcraft? Blijkbaar is het wel heel erg simpel om AdGuard Home te installeren middels; https://snapcraft.io/install/adguard-home/raspbian

P.S. Ik ga het zo even testen en rapporteer terug zodra ik AdGuard Home werkend heb zoals beschreven via de voorgenoemde url.

P.P.S. Ik kan de webinterface niet benaderen en de installatie niet uitvoeren vanwege het volgende; https://forum.snapcraft.i...service-in-core-18/9698/4 https://github.com/Adguar...95#issuecomment-431665802

Alleen ik heb nog geen flauw idee hoe ik de Snap configuratiebestanden aan moet passen...

[Reactie gewijzigd door Indir op 24 juli 2020 20:27]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True