itstrue
Goto Top

Adguard Server nur über Wireguard erreichbar machen

Hallo,

ich möchte Adguard Home auf einem öffentlichen vServer (Ubuntu) installieren und damit allen Geräten Zugriff auf Adguard geben.

Um kein Angriffsziel für DNS Attacken abzugeben war meine Idee folgende:

Der Adguard Server
- soll als DNS Server per (DoT) in der Fritzbox hinterlegt werden,
- nur über eine Wireguard Verbindung erreichbar (auch für SSH Zugriffe) sein.

Frage:
- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
- Was muss eigetsellt werden, damit der Adguard Server nur auf dem Wg0 Interface lauscht?

Hat hier jemand Konfigurationstipps oder Quellen die das Vorgehen beschreiben bzw. wonach man hier am besten sucht?

Danke

Content-ID: 8020254280

Url: https://administrator.de/forum/adguard-server-nur-ueber-wireguard-erreichbar-machen-8020254280.html

Ausgedruckt am: 21.12.2024 um 14:12 Uhr

Visucius
Visucius 01.08.2023 aktualisiert um 13:30:48 Uhr
Goto Top
Macht es Sinn dafür nen vServer zu verbraten?!

Gibts auch als Service: https://adguard-dns.io/en/welcome.html (mit zusätzlcihem Mehrwert)

PS: Muss doch reichen der Fritze als DNS-Server Deinen vServer zu hinterlegen?! Und sonst WG-tunnel und dort "alles" tunneln. Dann wird doch automatisch der gesamte Internetverkehr inkl. DNS über den vServer geroutet?!
7907292512
7907292512 01.08.2023 aktualisiert um 14:35:26 Uhr
Goto Top
Moin.
Zitat von @itstrue:
- Wie bringe ich der Fritzbox bei, dass sie dazu eine Wiregaurd Verbinung zum Adguard Server (dauerhaft) aufrechthalten muss?
PersistentKeepalive = 25 für den Peer auf der Fritte in der Wireguard-Config hinterlegen. Die Fritte baut den Tunnel aber eh sowieso automatisch bei IP-Zugriff auf die WG interne IP auf.
- Was muss eigetsellt werden, damit der Adguard Server nur auf dem Wg0 Interface lauscht?
In der yaml config die Listener-IP nur auf die WG-interne IP legen.
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configurat ...
bind_host (before v0.106.0) - IP address on which to serve DNS queries.
bind_hosts (after v0.106.0) - IP addresses on which to serve DNS queries. For each network interface there can only be one IP address of each IP version. Examples of valid configurations:
bsp
'dns':  
    'bind_hosts':  
    - '10.0.0.1'  
Alternativ oder als zusätzliche Stufe geht's natürlich auch per Firewall.
iptables -I INPUT 1 -i wg0 -p tcp --dport 53 -s 10.0.0.0/24 -j ACCEPT
iptables -I INPUT 1 -i wg0 -p udp --dport 53 -s 10.0.0.0/24 -j ACCEPT
Zitat von @Visucius:
Macht es Sinn dafür nen vServer zu verbraten?!
Soll uns das was angehen? Ist doch sein Bier was er sich wie und mit was braut.

Gruß siddius
aqui
aqui 01.08.2023 um 18:42:58 Uhr
Goto Top
Und hier steht wie man die Fritzbox an den vServer per VPN anbindet.
Mit Wireguard:
Fritzbox Wireguard vServer Kopplung
Mit IPsec:
Fritzbox vServer VPN mit IPsec
itstrue
itstrue 01.08.2023 um 22:46:39 Uhr
Goto Top
Danke für die Antworten.

Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:

Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.

Es soll weiterhin die Möglichkeit bestehen zusätzlich zu dieser bestehenden FB => Adguard Server Wireguard Verbindung parallel auch andere Wireguard Verbindungen zur FB aufzubauen. Z.B. vom Laptop unterwegs, vom Smartphone etc. um Diente im Heimnetzwerk zu erreichen. Diese Verbindungen sind in der FB bereits vorhanden, und dürfen nicht flöten gehen.

Geht das überhaupt?
7907292512
7907292512 01.08.2023 aktualisiert um 23:23:26 Uhr
Goto Top
Zitat von @itstrue:

Danke für die Antworten.

Ich bin mir aber nicht sicher, ob ich genau beschreiben konnte, was ich wollte. Daher noch mal eine Präzisierung:

Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Klar kein Problem, bei dem Split-Tunnel konfiguriert man ja nur das gewünschte Subnetz oder Hosts die man erreichen möchte in den AllowedIPs.
Es soll weiterhin die Möglichkeit bestehen zusätzlich zu dieser bestehenden FB => Adguard Server Wireguard Verbindung parallel auch andere Wireguard Verbindungen zur FB aufzubauen. Z.B. vom Laptop unterwegs, vom Smartphone etc. um Diente im Heimnetzwerk zu erreichen. Diese Verbindungen sind in der FB bereits vorhanden, und dürfen nicht flöten gehen.

Geht das überhaupt?
Klar, custom Configs kannst du problemlos in die Fritze importieren. Die Gebenstellen sind ja alles nur normale Peers, also nichts außergewöhnliches.
itstrue
itstrue 01.08.2023 um 23:22:51 Uhr
Goto Top
Die FB soll die Wireguard Verbindung zum Adguard Server dauerhaft aufrechterhalten, aber es sollen nur die DNS Anfragen für Adguard durch en Wireguard Tunnel laufen. Mein restlicher Fritzbox => Internet Traffic soll herkömmlich und nicht durch den Wireguard Tunnel.
Klar kein Problem.

Und wie lege ich das fest, dass nur der DNS Traffic durch Wireguard geht?
7907292512
7907292512 01.08.2023 aktualisiert um 23:28:22 Uhr
Goto Top
Zitat von @itstrue:
Und wie lege ich das fest, dass nur der DNS Traffic durch Wireguard geht?

In den AllowedIPs der WG Config auf der Fritte nur den Host eintragen auf dem du den DNS Server erreichen willst, also nur den vServer mit seiner Tunnel-IP.
itstrue
itstrue 01.08.2023 um 23:31:54 Uhr
Goto Top
Also die externe IP vom vServerß

Vll. stehe ich auf dem Schlauch: Wenn ich die odert die IP vom vServer eintrage, dann heißt das doch nur, dass nur Traffic zu dieser IP erlaubt ist, aber nicht, dass nur der DNS Traffic durch geht und der Rest direkt von der FB ins WWW...
Oder verstehe ich das falsch?
7907292512
7907292512 01.08.2023 aktualisiert um 23:51:30 Uhr
Goto Top
Zitat von @itstrue:

Also die externe IP vom vServerß
Nein, die Wireguard interne IP des Servers natürlich!
Vll. stehe ich auf dem Schlauch: Wenn ich die odert die IP vom vServer eintrage, dann heißt das doch nur, dass nur Traffic zu dieser IP erlaubt ist, aber nicht, dass nur der DNS Traffic durch geht und der Rest direkt von der FB ins WWW...
Oder verstehe ich das falsch?
Jepp du stehst vollends auf dem Schlauch.
Die AllowedIPs definieren auf der Fritte was überhaupt durch den Tunnel kann und darf denn das Cryptokey Routing lässt nur das durch was in den AllowedIPs steht.
Ein Gateway Redirect was du meinst findet nur statt wenn du in den AllowedIPs des Peers 0.0.0.0/0 einträgst, was man natürlich nicht macht wenn man einen Split-Tunnel haben möchte!
Was der vServer dann an seiner Tunnelinternen IP annimmt bestimmst du dann noch zusätzlich mit seiner Firewall, du lässt dort also nur Port 53 UDP/TCP zu, fertig.
Normaler Internettraffic der Fritze geht auch weiterhin direkt ins Internet und nicht durch den Tunnel, ist ja auch klar weil in den AllowedIPs ja nur ein Host drin steht, die Fritze also auch nur diese Host-Route in ihre Routing-Tabelle einträgt.

Lies dir das Tutorial von aqui nochmal in Ruhe durch da steht das eigentlich alles drin, du musst es nur mal lesen!