Wireguard - AdGuard - DoT Server
Hallo,
folgendes Setting:
Auf einem VPS läuft ein Wireguard Server mit Docker, in der Config sind div. DNS Server eingetragen. Viele davon waren DoT Server, z.B. 5.9.164.112 dns3.digitalcourage.de. Jetzt habe ich gemerkt, dass Wireguard gar kein DoT unterstützt, außer durch einen zusätzlichen DNS Proxy wie z.B. dnscrypt-proxy.
Auf einem anderen VPS hab ich nen Adguard Home, auch mit Docker.
Folgende Idee:
- Ich trage in meinem Wiregaurd die IP des Adguard Server ein, also nicht als DoT, sondern unverschlüsselt. Und vll. noch 1.1.1.1 und 8.8.8.8 als Backup, falls der Adguard Server nicht erreichbar ist.
- Im Adguard sind div. DoT Server konfiguriert.
- In der Firewall des Adguard Servers lasse ich nur Zugriffe auf den DNS Port von der IP des Wireguard Server zu.
Damit hätte ich doch trotzdem DoT bei meinen Wireguard Verbindungen und gleichzeitig auch den Werbeblocker.
Funktioniert das?
Danke
folgendes Setting:
Auf einem VPS läuft ein Wireguard Server mit Docker, in der Config sind div. DNS Server eingetragen. Viele davon waren DoT Server, z.B. 5.9.164.112 dns3.digitalcourage.de. Jetzt habe ich gemerkt, dass Wireguard gar kein DoT unterstützt, außer durch einen zusätzlichen DNS Proxy wie z.B. dnscrypt-proxy.
Auf einem anderen VPS hab ich nen Adguard Home, auch mit Docker.
Folgende Idee:
- Ich trage in meinem Wiregaurd die IP des Adguard Server ein, also nicht als DoT, sondern unverschlüsselt. Und vll. noch 1.1.1.1 und 8.8.8.8 als Backup, falls der Adguard Server nicht erreichbar ist.
- Im Adguard sind div. DoT Server konfiguriert.
- In der Firewall des Adguard Servers lasse ich nur Zugriffe auf den DNS Port von der IP des Wireguard Server zu.
Damit hätte ich doch trotzdem DoT bei meinen Wireguard Verbindungen und gleichzeitig auch den Werbeblocker.
Funktioniert das?
Danke
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673029
Url: https://administrator.de/forum/wireguard-adguard-dot-server-673029.html
Ausgedruckt am: 18.06.2025 um 10:06 Uhr
10 Kommentare
Neuester Kommentar
Moin,
die Dokumentation ist da nicht klar, aber die Server werden wohl eher Random abgefragt und nicht in einem Prioritätsmodus. Dann wirst Du Dein Ziel nicht erreichen, weil 1.1.1.1 und 8.8.8.8 dann öfter ebenfalls genutzt werden.
Sinnvoller ist es, 2 Wireguard Configurationen zu erstellen, 1x mit Adguard als DNS, 1x mit Public DNS. Wenn dann bei bestehendem Tunnel Fehler in der Namensauflösung auftreten (Problem mit Adguard), dann Tunnel beenden und 2. Config nutzen.
Gruß
DivideByZero
die Dokumentation ist da nicht klar, aber die Server werden wohl eher Random abgefragt und nicht in einem Prioritätsmodus. Dann wirst Du Dein Ziel nicht erreichen, weil 1.1.1.1 und 8.8.8.8 dann öfter ebenfalls genutzt werden.
Sinnvoller ist es, 2 Wireguard Configurationen zu erstellen, 1x mit Adguard als DNS, 1x mit Public DNS. Wenn dann bei bestehendem Tunnel Fehler in der Namensauflösung auftreten (Problem mit Adguard), dann Tunnel beenden und 2. Config nutzen.
Gruß
DivideByZero
Ok, danke, dachte Wireguard arbeitet das sequentiell ab. Aber mit 2 Alternativ Konfig gehts ja auch.
Aber der Rest - wie von mir beschrieben - sollte gehen, oder?
Aber der Rest - wie von mir beschrieben - sollte gehen, oder?
dass Wireguard gar kein DoT unterstützt
Der Wireguard Server selber benötigt ja auch gar kein DoT. Warum sollte er es dann also unterstützen? Mal abgesehen das er es auch gar nicht kann und immer, wie alles andere auch, den DNS Server des drunterliegenden Betriebssystems nutzt der ebenfalls weder DoT noch DoH kann.Fragt sich also was deine Erwartungshaltung hier war? 🤔
im Wireguard die IP des Adguard Server ein, also nicht als DoT, sondern unverschlüsselt.
Das wäre genau der richtige Weg!In der Firewall des Adguard Servers lasse ich nur Zugriffe auf den DNS Port von der IP des Wireguard Server zu
Wenn du gar keine anderen lokalen oder remoten DNS Clients hast die den Adguard befragen kann man das so machen, keine Frage.Damit hätte ich doch trotzdem DoT bei meinen Wireguard Verbindungen und gleichzeitig auch den Werbeblocker.
Nur dann wenn dein Wireguard Server gleichzeitig auch DNS Server ist und du in der Client Wireguard Konfig den Parameter "DNS = xyz" gesetzt hast! Siehe dazu auch die Anmerkung zum DNS Setup im Wireguard Tutorial!Die wenigsten WG VPN Server sind aber auch gleichzeitig DNS Server?!
Außerdem wäre es doch ziemlich unlogisch den WG Clients als DNS den WG Server anzugeben der dann quasi als "DNS Durchlauferhitzer" an den Adguard weiterleitet.
Den Unsinn kann man sich dann gleich sparen und bei den Clients direkt den Adguard als DNS im Wireguard Setup anzugeben. So erspart man sich den "DNS Durchlauferhitzer" und bleibt trotzdem Malware und werbefrei!
Aber warum einfach machen wenn es umständlich auch geht...?!
Natürlich musst du bei direkter Adguard Angabe dann die Adguard (nftables) Firewall so erweitern das sie DNS Anfragen aus dem internen Wireguard IP Netz passieren lässt und nicht nur vom Server. 😉
Wem seine eigenen Datensicherheit etwas wert ist der benutzt auch niemals etwas was auf Google DNS Server basiert!
Vll. reden wir aneinander vorbei.
Ich will, dass alle Clients, die über Wireguard Verbindungen aufbauen, zum Adguard geleitet werden, der dann die DNS Anfragen per DoT an die DNS Server schickt.
Und das war geplant, in dem ich den Parameter "DNS = Aduagard IP" setze.
Ich will, dass alle Clients, die über Wireguard Verbindungen aufbauen, zum Adguard geleitet werden, der dann die DNS Anfragen per DoT an die DNS Server schickt.
Und das war geplant, in dem ich den Parameter "DNS = Aduagard IP" setze.
Vll. reden wir aneinander vorbei.
OK, sorry das war natürlich nicht beabsichtigt. 🙈Ich will, dass alle Clients, die über Wireguard Verbindungen aufbauen, zum Adguard geleitet werden
Ja aber das steht doch oben explizit beschrieben und auch im dir bereits geposteten DNS Abschnitt des WG Tutorials.Und das war geplant, in dem ich den Parameter "DNS = Aduagard IP" setze.
Jepp, Bingo! Das ist ja auch der richtige und übliche Weg. Natürlich nur auf den Clients, denn auf dem WG Server ist eine DNS Angabe im WG Setup natürlich Unsinn. Siehe Tutorial...Warum also dieser Thread mit dem Ausflug zur DNS Konfig des WG Servers und Adguard Firewall der eigentlich damit rein gar nüscht zu tun hat?? 🤔
Und das war geplant, in dem ich den Parameter "DNS = Aduagard IP" setze.
Richtig, in den Configs jedes Clients, und los.
1
Wieso? Die Firewall des Aguard Server hat damit doch was zu tun. Wenn ich nicht will, dass den Adguard über den offenen DNS Port jeder fluten kann, muss ich doch was einstellen.
Die Firewall des Aguard Server hat damit doch was zu tun
Da hast du Recht aber einzig und allein nur wenn der Server selber DNS Anfragen stellt!! Das tut er natürlich nicht wenn er nur Client Traffic über sich routet.Bei deinen Clients ist das aber nicht der Fall wenn du dort die Adguard IP als DNS in der Wireguard Konfig angibst.
In dem Falle nutzen die WG Clients dann direkt die Adguard IP in ihren DNS Requests. Sprich der Adguard "sieht" die interne Wireguard IP des Clients als Absender aber doch logischerweise nie den WG Server. Der routet ja nur!
Vermutlich hast du hier deinen Denkfehler?! 🤔
Kannst du auch ganz leicht selber sehen wenn du dir auf dem Adguard einmal einen einfachen CLI Paketsniffer mit apt install tcpdump installierst und den einmal mit tcpdump port 53 startest. Dann zeigt er dir alle bei ihm von überallher eingehenden TCP und UDP DNS Requests und zeigt dir dessen Absender IP. Vorausgesetzt dein Adguard werkelt auf unixoider Basis?!
ok, verstanden. Denkfehler.
1
Wenn es das als Lösung war bitte deinen Thead dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
