AdGuard nur für einzelne(!) SSIDs verwenden? Bitte um Hilfe bei DNS Konfiguration

Hi,

ich habe mir bei Hetzner eine kleine Cloud-Kiste mit AdGuard hochgezogen. Prinzipiell tut sie auch, was sie soll. Firewall für die Kiste steht auch.

Mein Ziel ist, dass einzelne SSIDs über meine UDM und den AP-AC Pro den AdGuard nutzen sollen, andere aber nicht (Arbeiten mit SEO/Werbung – "wie sehen es die Kunden", zum Testen/Vergleichen).

Als Privatmensch mag man ja die ganze Werbung natürlich auch nicht so wirklich, daher wollte ich das gerne über verschiedene SSIDs "mischen" können.

Seit dem letzten Supportfall mit Vodafone (Kabelanschluss) habe ich eine Dual Stack Verbindung mit einer festen IPv4 und IPv6.

Ich habe in der FritzBoxCable 6660 alles Standard gelassen, die normalen DNS-Server des Anbieters, lediglich das Netzwerk habe ich auf 192.168.42.0/24 geändert.

Gehe ich über das WLAN der FritzBox und das darüber angeschlossene direkte Kabel, und konfiguriere mir die IP des AdGuards ein, funktioniert es prima, die Werbung wird geblockt.

Die UDM mit dem AC Pro läuft auch schon seit einer ganzen Weile sehr gut. Sie hängt als normaler Client mit der WAN-Seite im 192.168.42er Netz der FritzBox.

Netzwerk-Übersicht der Innenseite der UDM:

SSIDs gibt es jeweils auch für die Netze S, D, und J sowie das Gäste-Netz (also insgesamt vier von der UDM) und das normale WLAN der FritzBox 6660 Cable.

Ich bekomme es nicht hin, wenn ich über die SSIDs der UDM/AC Pro gehe, dass die Werbung geblockt wird.

Über das WLAN und LAN der FritzBox funktioniert es (trotz noch eingetragener Standard DNS Server).

In den Netzen, die die Werbung blocken sollen (erstmal Netz S und das Gäste Netz), habe ich den Auto-Haken bei "DNS Server" ausgeschaltet und als einzigen von den vier möglichen DNS Einträgen die IP des AdGuards eingetragen. Das wird auch angezeigt, wenn ich einen Lease von dem jeweiligen Netz bekomme, dort steht unter DNS die AdGuard IP drin. Ich checke nicht, an welcher Stelle es im Netztraffic noch am AdGuard vorbeigeht und er sich über die WLAN-Verbindung doch noch die Werbung nascht.

Der Haken bei "Default Gateway" steht überall in der UDM in allen Netzen auf "Auto".

Bin gespannt auf eure Antworten...

An welchen Stellen genau muss ich denn ich denn dann in der UDM die IP vom AdGuard setzen, damit das auch für die UDM der Standard wird? Im Default Netz? Unter "Internet" (manueller Modus) in den beiden DNS-Stellen? Beides?

Also, ich habe die IP des AdGuard DNS jetzt an folgenden Stellen eingetragen. In der FritzBox:

• 1. und 2. DNS Server in der FritzBox (IPv6 Unterstützung abgeschaltet)

In der UDM:

• LAN Port 5 WAN-Konfiguration des Internet-Zugangs: DNS "Auto" Haken abgeschaltet und auch hier als Primären und Sekundären DNS eingetragen
• In den jeweiligen Netzen habe ich dort wo geblockt werden soll, steht von den möglichen vier DNS Einträgen jeweils nur die IP vom AdGuard Server drin
• Dasselbe im Default Netz der UDM
• In dem bisher einen Netz, wo nichts geblockt werden soll, habe ich als DNS 1.1.1.1, 8.8.8.8 und die beiden originalen Vodafone DNS Server eingetragen.

Auch nach mehreren Tagen derselbe Effekt: Alle Verbindungen, die über die FritzBox direkt gehen, werden sehr erfolgreich von Werbung geblockt. LAN wie WLAN, als DNS-Server ist die IP der FritzBox mitgegeben. IPv6 habe ich in der UDM auch erstmal bei den Netzen abgeschaltet.

Auch in den WLAN Verbindungen über die UDM werden je nach WLAN wie gewünscht die von mir eingetragenen DNS Server angezeigt, wenn ich zwischen den WLANs wechsele.

Trotzdem kommt über alle SSIDs der UDM und scheinbar eben alle Netze weiter Werbung. Wenn ich eine "werbelastige" Seite auf habe, über FritzBox alles super, lasse ich die Seite auf und wechsele in eins der UDM-Netze, Seite aktualisieren, alles voller Werbung. Über ALLE Netze der UDM, nicht nur das, was nicht geblockt werden soll.

Wer hat eine Idee, wo es klemmt?

Zitat von schoger

Wenn ich mich richtig erinnere, hat z.B. der Firefox einen recht aggressiven DNS-Cache eingebaut. Kann also sein, dass Dein Browser sich die URLs der Werbung gemerkt hat und gar nicht mehr AdGuard fragt.

Versuch doch mal, den Browser zwischen zwei Tests zu beenden oder den Rechner neu zu starten.

Habe ein ähnliches Setup bei mir laufen, und es funktioniert tadellos.

Nach meiner Erfahrung zeigt sich identisches Verhalten sowohl bei Firefox, Chrome und auch Safari. Habe speziell Firefox auf "Alzheimer" konfiguriert, das bei jedem Beenden Cache, Cookies usw. geleert werden.

Was an Deinem Setup ist denn ähnlich und was unterschiedlich?

Zitat von Denyseus

Mal mit https://dnsleaktest.com geschaut welche DNS-Server genommen werden? Standardmäßig wird das ja der von deinem ISP sein.

Die Ergebnisse bringen mir mehr Verwirrung denn Klarheit.

Zuerst mal ein paar Screenshots, wenn der Rechner über das FritzBox-WLAN bei mir läuft

Wie gesagt, in der FritzBox ist die IP von AdGuard DNS (bei Hetzner gehostet) primär und Sekundär eingetragen bei abgeschaltetem IPv6.

Konfiguration über UDM, ein WLAN, das NICHT BLOCKEN soll:

Konfiguration über WLAN, ein WLAN, das die Werbung blocken soll:

Da ja teils aus den Screenshots von mir englische Kommentare ersichtlich sind – ich habe auch nach einer gefühlten Ewigkeit eine Info vom Support vom Ubiquiti Help Center erhalten, denen hatte ich das auch erläutert und ein Support-File mitgeschickt.

Hier die Antwort vom Support:

Zitat von UI Support

...

According to the shared support file, you have a Content filtering option enabled.

When you enable that feature, the DNS requests are not routed through your Custom DNS servers and it will get bypassed.

I would request you please disable the Content Filtering option on the LAN/VLAN Networks and check if that works.

Best,

UI Support

Ubiquiti Inc.

Alles anzeigen

Das ist auch korrekt (gewesen), testweise habe ich jetzt dann mal in allen Netzwerken das Content Filtering rausgenommen, alles auf "None" gestellt und werde zu nachtschlafender Zeit die UDM mal restarten. Morgen schaue dann mal, was das gebracht hat. Ergibt auch Sinn für mich, was der Support da schreibt. In einem Netz hatte ich den Family-, in einem anderen den Work-Filter drin.

Ich berichte weiter, morgen oder so.

Zitat von razor

LMFAO! Hmkay...

Das habe ich nicht gesehen / ist mir nicht aufgefallen, da ich diese Feature selbst nicht benutze. Ich habe aber oben auch kein Bild ofer hinweis gefunden, dass Du den Content-Filter aktiviert hattest.

Das steht da auch nirgendwo, Asche auf mein Haupt

Die Konfiguration war jetzt vor der AdGuard-Änderung sehr lange so, weil sie gut lief, ich hab die UDM bestimmt schon zwei Jahre am Laufen.

Und bevor mir der Support mich darauf gestoßen hat, habe ich auch zwischen einem Content-Filter und DNS nicht zwingend einen Zusammenhang gesehen/hatte das einfachn icht (mehr) auf dem Zettel.

Nach ein paar Stunden Test scheint es auch ohne Neustart schon so zu sein, dass das die entschiedende Einstellung war. Man muss sich also pro Netzwerk entscheiden entweder Content-Filter oder Custom DNS. Bei aktivem Content Filter wird Custom DNS verworfen.

Danke an alle Beteiligten, die mit"orakelt" haben, wo das Problem war

Zitat von razor

Alle meine Clients verwenden die in einem separaten VLAN vorhandenen pi-holes und ich sehe auch die LAN-IPs der Clients in den pi-holes.

Kannst Du in AdGuard auch die einzelnen Clients sehen sidewinder ? Die sollten da auftauchen, wenn Du die AdGuard-IP in den VLANs als DNS-Server eingetragen hast - so wie ich bei mir.

Wenn Du das nur in den UDM bei der Internet-Verbindung konfiguriert hast, dann wirst Du wahrscheinlich nur die UDM als Client sehen.

Nochmal zur – hoffentlich vollständigen – Klärung.

Mein Setup ist nicht so, das der AdGuard in meinem LAN oder einem VLAN ist, sondern nur bei Hetzner, den ich dort hochgezogen haben.

Und wie ich im OP oben auch schrieb war mein Ziel, dass unterschiedliche SSIDs, die von meinem Anschluss aus rausgehen (mit statischer IP), eben je nach SSID und wofür das jeweilige WLAN genutzt wird, eben unterschiedliche DNS-Server nutzen.

So dass ein Netz z.B. den Family Filter drin hat von der UDM, meins ist vor allem werbegeblockt über den AdGuard, das Gäste Netz auch mit Family-Filter und ein weiteres Netzwerk wird halt nix geblockt und alles geht ungefiltert.

Und natürlich kommt an meinem Hetzner AdGuard immer nur die eine IP an, mit der mein Anschluss draußen im Netz eben unterwegs ist. Aber das ist ja auch ok.

Weiter habe ich den AdGuard halt so konfiguriert, dass er nur meine IP "bedienen" soll, sonst hab ich sehr schnell viele Gäste dort, denke ich.