9
Adguard Server nur über Wireguard erreichbar machen
Hallo,
ich möchte Adguard Home auf einem öffentlichen vServer (Ubuntu) installieren und damit allen Geräten Zugriff auf Adguard geben.
Um kein Angriffsziel für DNS Attacken abzugeben war meine Idee folgende:
Der Adguard Server
- soll als DNS Server per (DoT) in der Fritzbox hinterlegt werden,
- nur über eine Wireguard Verbindung erreichbar (auch für SSH Zugriffe) sein.
Frage:
- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
- Was muss eigetsellt werden, damit der Adguard Server nur auf dem Wg0 Interface lauscht?
Hat hier jemand Konfigurationstipps oder Quellen die das Vorgehen beschreiben bzw. wonach man hier am besten sucht?
Danke
ich möchte Adguard Home auf einem öffentlichen vServer (Ubuntu) installieren und damit allen Geräten Zugriff auf Adguard geben.
Um kein Angriffsziel für DNS Attacken abzugeben war meine Idee folgende:
Der Adguard Server
- soll als DNS Server per (DoT) in der Fritzbox hinterlegt werden,
- nur über eine Wireguard Verbindung erreichbar (auch für SSH Zugriffe) sein.
Frage:
- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
- Was muss eigetsellt werden, damit der Adguard Server nur auf dem Wg0 Interface lauscht?
Hat hier jemand Konfigurationstipps oder Quellen die das Vorgehen beschreiben bzw. wonach man hier am besten sucht?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8020254280
Url: https://administrator.de/contentid/8020254280
Ausgedruckt am: 19.11.2024 um 15:11 Uhr
9 Kommentare
Neuester Kommentar
Macht es Sinn dafür nen vServer zu verbraten?!
Gibts auch als Service: https://adguard-dns.io/en/welcome.html (mit zusätzlcihem Mehrwert)
PS: Muss doch reichen der Fritze als DNS-Server Deinen vServer zu hinterlegen?! Und sonst WG-tunnel und dort "alles" tunneln. Dann wird doch automatisch der gesamte Internetverkehr inkl. DNS über den vServer geroutet?!
Gibts auch als Service: https://adguard-dns.io/en/welcome.html (mit zusätzlcihem Mehrwert)
PS: Muss doch reichen der Fritze als DNS-Server Deinen vServer zu hinterlegen?! Und sonst WG-tunnel und dort "alles" tunneln. Dann wird doch automatisch der gesamte Internetverkehr inkl. DNS über den vServer geroutet?!
Moin.
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configurat ...
bsp
Alternativ oder als zusätzliche Stufe geht's natürlich auch per Firewall.
Soll uns das was angehen? Ist doch sein Bier was er sich wie und mit was braut.
Gruß siddius
Zitat von @itstrue:
- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
PersistentKeepalive = 25 für den Peer auf der Fritte in der Wireguard-Config hinterlegen. Die Fritte baut den Tunnel aber eh sowieso automatisch bei IP-Zugriff auf die WG interne IP auf.- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
- Was muss eigetsellt werden, damit der Adguard Server nur auf dem Wg0 Interface lauscht?
In der yaml config die Listener-IP nur auf die WG-interne IP legen.https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configurat ...
bind_host (before v0.106.0) - IP address on which to serve DNS queries.
bind_hosts (after v0.106.0) - IP addresses on which to serve DNS queries. For each network interface there can only be one IP address of each IP version. Examples of valid configurations:'dns':
'bind_hosts':
- '10.0.0.1' iptables -I INPUT 1 -i wg0 -p tcp --dport 53 -s 10.0.0.0/24 -j ACCEPT
iptables -I INPUT 1 -i wg0 -p udp --dport 53 -s 10.0.0.0/24 -j ACCEPTGruß siddius
Und hier steht wie man die Fritzbox an den vServer per VPN anbindet.
Mit Wireguard:
Fritzbox Wireguard vServer Kopplung
Mit IPsec:
Fritzbox vServer VPN mit IPsec
Mit Wireguard:
Fritzbox Wireguard vServer Kopplung
Mit IPsec:
Fritzbox vServer VPN mit IPsec
Danke für die Antworten.
Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Es soll weiterhin die Möglichkeit bestehen zusätzlich zu dieser bestehenden FB => Adguard Server Wireguard Verbindung parallel auch andere Wireguard Verbindungen zur FB aufzubauen. Z.B. vom Laptop unterwegs, vom Smartphone etc. um Diente im Heimnetzwerk zu erreichen. Diese Verbindungen sind in der FB bereits vorhanden, und dürfen nicht flöten gehen.
Geht das überhaupt?
Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Es soll weiterhin die Möglichkeit bestehen zusätzlich zu dieser bestehenden FB => Adguard Server Wireguard Verbindung parallel auch andere Wireguard Verbindungen zur FB aufzubauen. Z.B. vom Laptop unterwegs, vom Smartphone etc. um Diente im Heimnetzwerk zu erreichen. Diese Verbindungen sind in der FB bereits vorhanden, und dürfen nicht flöten gehen.
Geht das überhaupt?
Zitat von @itstrue:
Danke für die Antworten.
Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Klar kein Problem, bei dem Split-Tunnel konfiguriert man ja nur das gewünschte Subnetz oder Hosts die man erreichen möchte in den AllowedIPs.Danke für die Antworten.
Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Es soll weiterhin die Möglichkeit bestehen zusätzlich zu dieser bestehenden FB => Adguard Server Wireguard Verbindung parallel auch andere Wireguard Verbindungen zur FB aufzubauen. Z.B. vom Laptop unterwegs, vom Smartphone etc. um Diente im Heimnetzwerk zu erreichen. Diese Verbindungen sind in der FB bereits vorhanden, und dürfen nicht flöten gehen.
Geht das überhaupt?
Klar, custom Configs kannst du problemlos in die Fritze importieren. Die Gebenstellen sind ja alles nur normale Peers, also nichts außergewöhnliches.Geht das überhaupt?
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Klar kein Problem.Und wie lege ich das fest, dass nur der DNS Traffic durch Wireguard geht?
In den AllowedIPs der WG Config auf der Fritte nur den Host eintragen auf dem du den DNS Server erreichen willst, also nur den vServer mit seiner Tunnel-IP.
Also die externe IP vom vServerß
Vll. stehe ich auf dem Schlauch: Wenn ich die odert die IP vom vServer eintrage, dann heißt das doch nur, dass nur Traffic zu dieser IP erlaubt ist, aber nicht, dass nur der DNS Traffic durch geht und der Rest direkt von der FB ins WWW...
Oder verstehe ich das falsch?
Vll. stehe ich auf dem Schlauch: Wenn ich die odert die IP vom vServer eintrage, dann heißt das doch nur, dass nur Traffic zu dieser IP erlaubt ist, aber nicht, dass nur der DNS Traffic durch geht und der Rest direkt von der FB ins WWW...
Oder verstehe ich das falsch?
Nein, die Wireguard interne IP des Servers natürlich!
Die AllowedIPs definieren auf der Fritte was überhaupt durch den Tunnel kann und darf denn das Cryptokey Routing lässt nur das durch was in den AllowedIPs steht.
Ein Gateway Redirect was du meinst findet nur statt wenn du in den AllowedIPs des Peers 0.0.0.0/0 einträgst, was man natürlich nicht macht wenn man einen Split-Tunnel haben möchte!
Was der vServer dann an seiner Tunnelinternen IP annimmt bestimmst du dann noch zusätzlich mit seiner Firewall, du lässt dort also nur Port 53 UDP/TCP zu, fertig.
Normaler Internettraffic der Fritze geht auch weiterhin direkt ins Internet und nicht durch den Tunnel, ist ja auch klar weil in den AllowedIPs ja nur ein Host drin steht, die Fritze also auch nur diese Host-Route in ihre Routing-Tabelle einträgt.
Lies dir das Tutorial von aqui nochmal in Ruhe durch da steht das eigentlich alles drin, du musst es nur mal lesen!
Vll. stehe ich auf dem Schlauch: Wenn ich die odert die IP vom vServer eintrage, dann heißt das doch nur, dass nur Traffic zu dieser IP erlaubt ist, aber nicht, dass nur der DNS Traffic durch geht und der Rest direkt von der FB ins WWW...
Oder verstehe ich das falsch?
Jepp du stehst vollends auf dem Schlauch.Oder verstehe ich das falsch?
Die AllowedIPs definieren auf der Fritte was überhaupt durch den Tunnel kann und darf denn das Cryptokey Routing lässt nur das durch was in den AllowedIPs steht.
Ein Gateway Redirect was du meinst findet nur statt wenn du in den AllowedIPs des Peers 0.0.0.0/0 einträgst, was man natürlich nicht macht wenn man einen Split-Tunnel haben möchte!
Was der vServer dann an seiner Tunnelinternen IP annimmt bestimmst du dann noch zusätzlich mit seiner Firewall, du lässt dort also nur Port 53 UDP/TCP zu, fertig.
Normaler Internettraffic der Fritze geht auch weiterhin direkt ins Internet und nicht durch den Tunnel, ist ja auch klar weil in den AllowedIPs ja nur ein Host drin steht, die Fritze also auch nur diese Host-Route in ihre Routing-Tabelle einträgt.
Lies dir das Tutorial von aqui nochmal in Ruhe durch da steht das eigentlich alles drin, du musst es nur mal lesen!
2
