AdGuardHome

[Aleksandr]

3 часа назад, WMac сказал:

Вы бы разобрались что ли что такое AGH, какие есть варианты установки. От варианта установки зависит кто, как и чем обменивается.

Подскажите кратко, если не сложно. Или где почитать.

Тоже не очень понимаю, почему идет в журнале отображается Нешифрованный DNS, это запрос адреса у сервера ADH, или сервер ADH делает не шифрованный запрос, к тому же google tls://dns.google.com

Сервер ADH у меня установлен в docker, порты прописаны (если это важно). Адрес клиент получает по DHCP

По журналу также не нашел информации, в журнале есть записи с перечеркнутым значком, так и без, также как и на вашем скрине, от чего это зависит и на что влияет:) не могу разгадать загадку и описание не найду...

Спасибо

[aleeko]

19 часов назад, Aleksandr сказал:

Тоже не очень понимаю, почему идет в журнале отображается Нешифрованный DNS, это запрос адреса у сервера ADH, или сервер ADH делает не шифрованный запрос, к тому же google tls://dns.google.com

Насколько я все понимаю это AGH/AdGuardHome (ADH) установленный на моем Keenetic отправляет не шифрованные запросы на google tls://dns.google.com
И моя задача как раз в том, что бы сделать эти запросы шифрованными. Или я ошибаюсь?

[Aleksandr]

22 часа назад, aleeko сказал:

Или я ошибаюсь

Я не уверен, писал выше, но есть не малая вероятность, что запрос шифрованный и обеспечивается сертификатом принимающей стороны

Подробнее тут:

https://developers.cloudflare.com/1.1.1.1/encrypted-dns/dns-over-tls

[aleeko]

Уважаемые кинетиководы. Я обнаружил иную задачу, при использовании AdGuardHome.

а точнее, после использования opkg dns-override У меня перестает пускать в интернет клиентов из  Гостевой сети, а также иные сопутствующие проблемы.
Кто то сталкивался с этим, и как решали проблему? Спасибо

 

[Elijah]

В 01.09.2021 в 16:31, mystique_man сказал:

Никто не пытался открыть доступ к agh из внешки в варианте dot/doh? сертификат keendns можно для этих целей прикрутить как-то? Хочу указать свой agh на андроид смартфоне)

Я пытался. В веб-интерфейсе маршрутизатора ("Доступ к веб-приложениям домашней сети") создал домен 4-го уровня (adguardhome.ДОМЕН.keenetic.pro) с такими настройками: 

• Доступ из интернета: Свободный доступ
• Устройство: Этот интернет-центр
• Протокол: HTTPS
• Порт TCP: 5443

Потом в настройках AdGuard Home ("Шифрование"):

• Имя сервера: adguardhome.ДОМЕН.keenetic.pro
• Порт HTTPS: 5443 (иначе ошибка: "Error: control/tls/validate | port 443 is not available, cannot enable HTTPS on it | 400")
• Сертификаты: /tmp/nginx/certs/ДОМЕН.keenetic.pro.certs.pem
• Приватный ключ: /tmp/nginx/certs/ДОМЕН.keenetic.pro.key.pem

Так вот: цепочка сертификатов проходит проверку, а на приватный ключ AdGuard Home ругается: "Некорректный приватный ключ. Failed to parse private key: tls: failed to parse private key".

В чём может быть проблема?

[mystique_man]

21 час назад, Elijah сказал:

Я пытался. В веб-интерфейсе маршрутизатора ("Доступ к веб-приложениям домашней сети") создал домен 4-го уровня (adguardhome.ДОМЕН.keenetic.pro) с такими настройками: 

• Доступ из интернета: Свободный доступ
• Устройство: Этот интернет-центр
• Протокол: HTTPS
• Порт TCP: 5443

Потом в настройках AdGuard Home ("Шифрование"):

• Имя сервера: adguardhome.ДОМЕН.keenetic.pro
• Порт HTTPS: 5443 (иначе ошибка: "Error: control/tls/validate | port 443 is not available, cannot enable HTTPS on it | 400")
• Сертификаты: /tmp/nginx/certs/ДОМЕН.keenetic.pro.certs.pem
• Приватный ключ: /tmp/nginx/certs/ДОМЕН.keenetic.pro.key.pem

Так вот: цепочка сертификатов проходит проверку, а на приватный ключ AdGuard Home ругается: "Некорректный приватный ключ. Failed to parse private key: tls: failed to parse private key".

В чём может быть проблема?

напишите в поддержку))) может там разъяснят.

местные Вам спасибо скажут, если решится вопрос использования сертификатов keendns)

[Elijah]

В 07.02.2022 в 14:30, mystique_man сказал:

напишите в поддержку))) может там разъяснят.

Вот что ответили в техподдержке:

SSL-сертификат выпускается CDN-центром сертификации Let's Encrypt индивидуально для конкретного домена xxx.keenetic.pro \ .link \ .name службы KeenDNS, поэтому использовать для сервисов не представляется возможным - скачать или расшифровать сертификат нельзя.

Но если у вас есть поддержка открытых пакетов OPKG Entware, то там есть возможность использовать отдельно службу ACME https://bin.entware.net/armv7sf-k3.2/uacme_1.7-2_armv7-3.2.ipk или поднять свой NGINX с возможностью работы certbot https://certbot.eff.org/all-instructions \ https://forum.keenetic.net/topic/145-веб-сервер-на-кинетике/ с бесплатным получение \ продлением сертификатов.

Перед этим не забудьте освободить TCP\80, который по умолчанию слушает веб-сервер роутера.

[dududuk]

Подскажите,если выключал Adguard home и пользовался встроенным в кинетик ,как сейчас обратно перейти?Нужны команды в sli?

[aleeko]

1 час назад, dududuk сказал:

Подскажите,если выключал Adguard home и пользовался встроенным в кинетик ,как сейчас обратно перейти?Нужны команды в sli?

Все зависит от того, как вы его выключали

[dududuk]

1 час назад, aleeko сказал:

Все зависит от того, как вы его выключали

Просто выключил в панели управления

[aleeko]

22 минуты назад, dududuk сказал:

Просто выключил в панели управления

Если выключали в панели управления adguard home то там же его и надо включать, cli не нужен в этом случае

[dududuk]

В журнале чехарда, ощущение что ничего не работает

http://prntscr.com/26y0far

 

Хочу глянуть где подросток шастает в интернете, это возможно с помощью adguardhome? 

[aleeko]

Только что, dududuk сказал:

В журнале чехарда, ощущение что ничего не работает

http://prntscr.com/26y0far

 

Хочу глянуть где подросток шастает в интернете, это возможно с помощью adguardhome? 

Регистрируйте хосты по Mac или по ip и шпионьте. Это уже в открытых источниках инструкции эдгард есть… мануал с оф сайта копировать бессмысленно 

[dududuk]

1. Найдите настройки DHCP или DNS. Найдите буквы «DNS» рядом с текстовым полем, в которое можно ввести два или три ряда цифр, разделенных на 4 группы от одной до трёх цифр.
2. Введите туда адрес вашего AdGuard Home.

прописываю адрес 192.168.1.1 , роутер естественно возмущается : этот адрес используется для домашней сети.

добавил порт, роутер принял.

 

Добавил клиента,в журнале пусто, можно как то проверить работоспособность? Может командами как-то или переустановить? Рекламу фильтрует,но в журнале ерунда

 

Edited February 17, 2022 by dududuk

[vasek00]

8 часов назад, dududuk сказал:

Хочу глянуть где подросток шастает в интернете, это возможно с помощью adguardhome? 

1. Зарегистрировать своих клиентов на роутере (присвоить IP по MAC, на телефонах убрать рандомизацию MAC, а то клиенты каждый раз будут под новым IP)

2. На ADGH если нужно то в настройках клиента сделать запись для для данного клиента, т.е. присвоить имя по IP или MAC, тогда в журнале против данного IP будет красоваться еще и имя.

3. В журнале если выбрать конкретного клиента то отфильтруются записи, останутся только по данному клиенту

(записей будет столько много что в них искать знакомые строчки по именам не очень то)

В журнале не какой чехарды нет он показывает все запросы в том числе и заблокированные от всех клиентов сети, просто в нем видно ВСЕ и знакомое имя youtube нужно будет искать в нем или name.ххх

Скрытый текст

Покажите основную страницу панель управления, что у вас в разделе Частые клиенты и что у вас получаю клиенты в качестве DNS адреса от роутера (настройки DHCP на роутере - поле DNS адреса)

 

Если вам Хочу глянуть где подросток шастает в интернете, это возможно с помощью adguardhome?  попробуйте nextdns именно для него

1. зарегистрироваться на nextdns.io и сделать настройки в нем (не очень сложно принцип такой же как и в ADGH - фильры и сервисы + denylist/alowlist и есть лог и аналитика)

2. в логе/аналитике имена доменов будет так же много но как то по удобней

На клиенте в настройках на смартфоне поставить - настройки - подключение - другие настройки - Персональный DNS = прописать полученный в п.1 сервер DNS типа fxxxxx.dns.nextdns.io

 

Вариант а

- тем самым выходя заставите данного клиента при использование мобильной сети выходить через данный сервер

Вариант b

- если клиент будет выходить через wifi то он попадет опять же в статистику nextdns только под ip роутера ( его адрес выхода в интернет, но если клиент один то трудно будет ошибиться.

Если даже не регистрировать клиента IP-MAC то в nextdns он все равно будет и так как опять же он один то ошибиться трудно. Кол-во запросов nextdns при регистрации = 300000 что для анализа работы данного клиента хватит.

Скрытый текст

 

Edited February 18, 2022 by vasek00

[Sir Grey (Butch)]

рекламу на ютюб через официальное приложение на огрызке можно заблокировать через это расширение?

[vasek00]

1 час назад, Sir Grey (Butch) сказал:

рекламу на ютюб через официальное приложение на огрызке можно заблокировать через это расширение?

Если речь про AdGuardHome, то почему огрызке.

Рекламу на ютюб не заблокировать AdGuardHome, только раздел Фильтры -> "Заблокированные сервисы"

Для планшетов/смартфонов на Android используйте - YouTube Vanced.

Edited February 25, 2022 by vasek00

[krass]

27 минут назад, vasek00 сказал:

Если речь про AdGuardHome, то почему огрызке.

Рекламу на ютюб не заблокировать AdGuardHome, только раздел Фильтры -> "Заблокированные сервисы"

Для планшетов/смартфонов на Android используйте - YouTube Vanced.

У человека apple, а там IOS ....разве вансед есть на эту ос?

[vasek00]

1 час назад, krass сказал:

У человека apple, а там IOS ....разве вансед есть на эту ос?

Не заметил про данное упоминание apple

3 часа назад, Sir Grey (Butch) сказал:

рекламу на ютюб через официальное приложение на огрызке можно заблокировать через это расширение?

 

[krass]

Только что, vasek00 сказал:

Не заметил про данное упоминание apple

 

так слово "огрызок" вроде всегда означало продукцию Apple ( надкусанное яблоко)

[YuriV]

Научите как настроить AdGuardHome чтобы рекламы в YouTube не было. Youtube смотрю на телевизоре Samsung, DNS в настройках сети прописан роутера.

Edited March 1, 2022 by YuriV

[vasek00]

1 час назад, YuriV сказал:

Научите как настроить AdGuardHome чтобы рекламы в YouTube не было. Youtube смотрю на телевизоре Samsung, DNS в настройках сети прописан роутера.

AdGuardHome не может, можете обратиться в ТП данной компании по данному вопросу.

[Next]

Что то перестало всё работать, фильтры включены, в журнале рисует что блокирует, а по факту на пк и телефоне реклама есть.

[amb]

господа, мучаюсь уже второй день – ничего не получается, а именно:

1. установил через opkg install adguardhome-go → перезаписал поверх файл из гитхаба, настройки запуска 755

2. остался оригинальный S99adguardhome → сам скрипт работает, реагирует на start/stop/status и так далее, но при перезагрузке роутера не запускается бинарник. вручную запускается, само собой. как это вылечить?

3. после запуска так и не смог настроить систему, чтобы она работала. пробовал как крайнюю меру 0.0.0.0 (порт 53 c opkg dns-override) – браузеры не резолвят ни с телефонов, ни с провода. в самой консоли через nslookup обращается к 127.0.0.1 и находят адрес. вообще хотелось бы, чтобы работало только на 192.168.1.1 и/или локалхосте. насколько я понимаю, 127.0.0.1 самый правильный вариант, но не понимаю, как к нему завернуть все запросы, тем более, что он реально работает судя по nslookup.

nslookup с компа по проводу: Sever UnKnown, Address: 192.168.1.1, отвал по таймауту. пробовал ip name-server прописать в Bridge0 – может чот не так сделал, конечно, но после перезагрузки вообще перестал видеть 192.168.1.1, пришлось общий сброс делать. менял через редактирование конфига и загрузку в вебморду. resolv.conf только одну строчку с таймаутами содержит. в панели управления роутером стоит галка не принимать внешние DNS. если там прописать какой-нибудь 8.8.8.8, то браузеры, конечно, начинают работать. transmission внутренний тоже работает, вроде как.

Spoiler

удалось завернуть через internet → wired → IP and DNS Settings → Advanced Settings → DNS1 192.168.1.1:53, но как-то неправильно это. зачем тогда opkg dns-override? через Internet Safety не получилось. хочется, чтобы системно роутер кормил запросы AdGuard.

 

Edited April 4, 2022 by amb

[vasek00]

11 час назад, amb сказал:

господа, мучаюсь уже второй день – ничего не получается

У вас помимо данного ADG что еще запускается из /opt/etc/init.d (т.е. какие либо скрипты есть на Sхх....., скорей всего есть S51dropbear) ?

Вопрос зачем надо было делать установил через opkg install adguardhome-go → перезаписал поверх файл из гитхаба, настройки запуска 755.

 

По стандартной методике, что где и как

1. После установки скрипт запуска обратить внимание где что лежит

#!/bin/sh

. /opt/etc/AdGuardHome/adguardhome.conf

ENABLED=yes
PROCS=AdGuardHome
ARGS="$OPTIONS"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

Сам файл лежит в /opt/bin, его conf файл лежит в /opt/etc/AdGuardHome с переменными запуска. Обратить внимание на переменную PATH -> если ADG лежит в другом месте например /opt/home/.... то он не запуститься тогда подправить переменную PATH дописав в конец ........./sbin:/bin:/opt/home/AdGuardHome

Сам conf

# Path to the working directory
DIR="-w /opt/etc/AdGuardHome"

# Path to log file
LOG="-l /opt/var/log/AdGuardHome.log"

# Path to a file where PID is stored
PID="--pidfile /opt/var/run/AdGuardHome.pid"

# Don't check for updates
UPD="--no-check-update"

OPTIONS="$DIR $LOG $PID $UPD"

В запуск

AdGuardHome -w /opt/etc/AdGuardHome -l /opt/var/log/AdGuardHome.log --pidfile /opt/var/run/AdGuardHome.pid --no-check-update

Далее install -> 192.168.1.1:3000 и в итоге после настройки всего

/opt/etc/init.d # netstat -ntulp | grep AdGuard
tcp        0      0 192.168.1.1:8078     0.0.0.0:*               LISTEN      1066/AdGuardHome
tcp        0      0 192.168.1.1:53       0.0.0.0:*               LISTEN      1066/AdGuardHome
udp        0      0 192.168.1.1:53       0.0.0.0:*                           1066/AdGuardHome
/opt/etc/init.d # 

Внимание : так как видим запуск ADG на порту 53 то он должен быть сначала освобожден командой в CLI

opkg dns-override
system configuration save

После всех процедур появится yaml файл в /opt/etc/AdGuardHome, который уже можно подправить как надо.

bind_host: 192.168.1.1
bind_port: 8078
beta_bind_port: 0

dns:
  bind_hosts:
  - 192.168.1.1
  port: 53

Основные параметры работы ADG это два блока. Можно еще добавить во второй блок

dns:
  bind_hosts:
  - 127.0.0.1
  - 192.168.1.1
  port: 53

тем самым будет обрабатывать запросы с 127.0.0.1 (от локальных сервисов роутера)

tcp        0      0 192.168.1.1:53          0.0.0.0:*               LISTEN      952/AdGuardHome
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      952/AdGuardHome
udp        0      0 192.168.1.1:53          0.0.0.0:*                           952/AdGuardHome
udp        0      0 127.0.0.1:53            0.0.0.0:*                           952/AdGuardHome

Не которые ставят 0.0.0.0
 

После того как все настроено перезапуск роутера запустил ADG без проблем.

~ # ps | grep AdG
  675 root      686m S    AdGuardHome -w /opt/etc/AdGuardHome -l /opt/var/log/AdGuardHome.log --pidfile /opt/var/run/AdGuardHome.pid --no-check-update

 

В своих же инструкциях я описываю установку из гитхаба :

1. Переписать AdGuardHome в каталог /opt/home/AdGuardHome

2. Дать ему chmod 755 AdGuardHome

3. Создать например скрипт в /opt/etc/init.d/S101AdGuardHome с содержимом

#!/bin/sh

ENABLED=yes
PROCS=AdGuardHome
ARGS="-w /opt/home/AdGuardHome -l /opt/tmp/AdGuardHome.log --pidfile /opt/var/run/adguardhome.pid --no-check-update"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/home/AdGuardHome

. /opt/etc/init.d/rc.func

Где в PATH добавлен каталог "/opt/home/AdGuardHome"

В этом же каталоге "/opt/home/AdGuardHome" будут и все фильтры лежать и yaml файл, ну а логи "/opt/tmp/AdGuardHome.log"

Любое последующее обновление просто копирования AdGuardHome из гитхаба разарх.файла в "/opt/home/AdGuardHome"

 

Edited April 5, 2022 by vasek00

[Goga777]

Где лучше ставить adh - на роутере гига3 или на VPS для своей домашней сети? Процессор или память на гига3 не будут перегружены ?

[Александр Рыжов]

7 часов назад, Goga777 сказал:

Где лучше ставить adh - на роутере гига3 или на VPS для своей домашней сети? Процессор или память на гига3 не будут перегружены ?

Очень хороший вопрос. С одной стороны на виртуалке дома больше ресурсов, с другой, появляется ещё одна точка отказа. Лично я не ставил на MIPS-роутеры agh из-за своих предубеждений по поводу софта на GO.

На ARM-роутере никаких проблем нет точно. Разве что настройки по умолчанию могут раздуть логи.

Остановился на виртуалке, где нагрузки от agh вовсе не чувствуется. Повторюсь, всё это IMHO.

[vasek00]

8 часов назад, Goga777 сказал:

Где лучше ставить adh - на роутере гига3 или на VPS для своей домашней сети? Процессор или память на гига3 не будут перегружены ?

По памяти уже писал сколько может потреблять (ниже даже вот столько) в среднем 60-70МB

Name:   AdGuardHome
Umask:  0022
State:  S (sleeping)

VmPeak:   748608 kB
VmSize:   748608 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:     85476 kB
VmRSS:     71448 kB
RssAnon:           53968 kB
RssFile:           17480 kB
RssShmem:              0 kB
VmData:   107036 kB
VmStk:       132 kB
VmExe:      7184 kB
VmLib:         4 kB
VmPTE:       224 kB
VmPMD:        20 kB
VmSwap:        0 kB
Threads:        10

Примите к сведению для оценки используемой памяти на роутерах с 256 плюс если сервис "Классификация трафика и IntelliQoS" так же может очень много потреблять

Name:   ntce-pace2

VmPeak:    72332 kB
VmSize:    70456 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:     70752 kB
VmRSS:     69004 kB
RssAnon:           60856 kB
RssFile:            8148 kB
RssShmem:              0 kB
VmData:    61652 kB
VmStk:       132 kB
VmExe:      3300 kB
VmLib:       964 kB
VmPTE:       148 kB
VmPMD:        12 kB
VmSwap:        0 kB
Threads:        1

в итоге все остальное останется для торрент качалки. Проверял на две загрузки, всего на 40GB и даже в этих случаях работает.

По поводу нагрузки на проц для повседневной работы нагрузку не заметно, если нужно нагрузить проц для именно данного сервиса то это на клиенте например ПК на LAN должен быть запущен dnsbench (тестирование публичных DNS серверов на скорость ответа) тогда проц может уйти под 100%, но вряд ли у вас возникнут такие задачи в которых вы сможете делать такое кол-во DNS запросов.

Все что описано выше это для проца 7621A (на 4 потока) с памятью 256MB, у вас же проц 7621 на два потока.

 

Есть хорошая альтернатива на сегодня

 

Edited April 29, 2022 by vasek00

[Goga777]

в репозитарии для фильтров находится несколько текстовых файлов, к примеру для российских фильтров 

https://github.com/AdguardTeam/AdguardFilters/tree/master/RussianFilter/sections

11 файлов. Такая же история и с другими фильтрами. Надо все текстовые файлы из этих каталогов устанавливать ручками? в итоге получится для 5 фильтров около 50-70 текстовых файлов добавлять ручками. Никак этот процесс не ускорить? 

[anian]

Может кто-то уже сталкивался

https://forum.keenetic.com/topic/14408-38-beta-2-ndnproxy-on-port-53/

Не могу стартонуть уже установленый AGH на версии 3.8 beta2 порт 53 занят