AdGuard Home 端口替换/重定向 导致 乳酸菌饮料+ 白名单失效

kkfuzi

软路由，乳酸菌饮料+搭配AdGuard home，乳酸菌饮料+模式 绕过大陆IP，DNS解析是PDNSD

之前发现乳酸菌饮料+的访问控制（白名单/黑名单）不稳定，经常失效，后来经过测试比较，发现是AGH的问题。。

- 如果AGH设置成“使用53端口替换 dnsmasq” 或者“重定向53端口到AdGuardHome”模式， 乳酸菌饮料+的访问控制/白名单 无效，设置成白名单的国外域名依然走代理。

- 如果AGH设置成“作为dnsmasq的上游服务器” 就没问题了。。。（

AGH已加入GFW list）

但用上游服务器模式就没法统计局域网客户端信息和自定义客户端的广告过滤。。

不知道有没有人遇到类似问题，有什么解决方案么，谢谢。

=================
防杠： 关于AdGuard home的配置方案，我知道论坛里有五花八门的配置模式，但如果你看luci-app-adguardhome的作者，其实已经写的很清楚 https://github.com/rufengsuixing/luci-app-adguardhome

dns重定向
- 作为dnsmasq的上游服务器(在AGH中统计到的ip都为127.0.0.1，无法统计客户端及对应调整设置，乳酸菌饮料-plus正常)
- 重定向53端口到 AdGuardHome（ipv6需要开启ipv6 nat redirect 否则如果客户端使用ipv6过滤无效，不以dnsmasq为上游乳酸菌饮料-plus失效）
- 使用53端口替换 dnsmasq(需要设置AGH的dnsip为0.0.0.0, AGH和dnsmasq的端口将被交换，不以dnsmasq为上游乳酸菌饮料-plus失效)


关于乳酸菌饮料配合
- 方法一gfw代理：dns重定向-作为dnsmasq的上游服务器
- 方法二gfw代理：手动设置adh上游dns为自己即127.0.0.1:[自己监听的端口]，然后使用 dns重定向-使用53端口替换dnsmasq，（因为端口互换后就是dnsmasq为上游了）
- 方法三国外ip代理：任意重定向方式，adh加入gfw列表，开启计划任务定时更新gfw即可
- 方法四gfw代理：dns重定向-重定向53端口到AdGuardHome,设置adh上游dns 为127.0.0.1:53

=================
关于我的测试方案，三个测IP的网站：
http://test-ipv6.com/
https://whatismyipaddress.com/
http://www.882667.com/

分别把域名随机加入白名单/黑名单，测试下来只有“dns重定向-作为dnsmasq的上游服务器”模式工作正常（连接符合白名单黑名单设置）。其他两种重定向模式，不管三个网站放在白名单还是黑名单，全部走代理。

=================
更新结论

在github上得到信息了 官方的v0.104.0-beta1开发进程里边：“7931e50 + DNS: add "ipset" configuration setting”就是在做这个优化，只能坐等了

martin_ni

防火墙注释53端口。

kkfuzi

martin_ni 发表于 2020-9-12 23:18
防火墙注释53端口。

为了能让AGH重定向正常工作，在用AGH之前就已经注释了防火墙规则
#iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
#iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

xhackf

参考这篇帖子解决。https://www.right.com.cn/forum/thread-4030183-1-1.html

kkfuzi

xhackf 发表于 2020-9-13 12:59
2楼说的是正确的，参考这篇帖子解决。https://www.right.com.cn/forum/thread-4030183-1-1.html

我已经注释了，注释了之后还存在此问题。

而且其实你说的那篇文章说的不严谨，或者说没有完全明白adguardhome的配置模式，比如客户端的显示，本来就是AGH不同重定向模式造成的，如果设置成dnsmasq上游服务器，改端口是没有用的。

luci-app-adguardhome的作者写的很清楚 https://github.com/rufengsuixing/luci-app-adguardhome

dns重定向
- 作为dnsmasq的上游服务器(在AGH中统计到的ip都为127.0.0.1，无法统计客户端及对应调整设置，乳酸菌饮料-plus正常)
- 重定向53端口到 AdGuardHome（ipv6需要开启ipv6 nat redirect 否则如果客户端使用ipv6过滤无效，不以dnsmasq为上游乳酸菌饮料-plus失效）
- 使用53端口替换 dnsmasq(需要设置AGH的dnsip为0.0.0.0, AGH和dnsmasq的端口将被交换，不以dnsmasq为上游乳酸菌饮料-plus失效)


关于乳酸菌饮料配合
- 方法一gfw代理：dns重定向-作为dnsmasq的上游服务器
- 方法二gfw代理：手动设置adh上游dns为自己即127.0.0.1:[自己监听的端口]，然后使用 dns重定向-使用53端口替换dnsmasq，（因为端口互换后就是dnsmasq为上游了）
- 方法三国外ip代理：任意重定向方式，adh加入gfw列表，开启计划任务定时更新gfw即可
- 方法四gfw代理：dns重定向-重定向53端口到AdGuardHome,设置adh上游dns 为127.0.0.1:53


我现在的问题就是乳酸菌饮料是方法三模式，但部分重定向模式会导致白名单失效，哪怕已经注释了L大的防火墙规则。

教皇

kkfuzi 发表于 2020-9-13 16:27
我已经注释了，注释了之后还存在此问题。

而且其实你说的那篇文章说的不严谨，或者说没有完全明白adgu ...

你确定看了人家说的吗？我看你是看都不看。
人家让你按截图里的设置，不是注释掉！如果你定义的端口是54，就像截图里里面把后面的两个53改为54

kkfuzi

教皇 发表于 2020-9-13 16:41
你确定看了人家说的吗？我看你是看都不看。
人家让你按截图里的设置，不是注释掉！如果你定义的端口是54 ...

刚刚已经测试过了，改成54没有用，还是走代理。注释和改端口的本质是一样的，也就是让AGH来接管dnsmasq。这可以解决局域网客户端显示具体ip的问题，但不是本帖讨论的导致乳酸菌饮料白名单无效的解决方案。

kkfuzi

在github上得到信息了
官方的v0.104.0-beta1开发进程里边：“7931e50 + DNS: add "ipset" configuration setting”就是在做这个优化，只能坐等了。。。。

nossr

我用的是gfwlist模式，按照那个个帖子把设置了我AdGuard home的端口5353，不过在客户端排行那一栏还是只有127.0.0.1
目前外网正常访问，按照楼主的方法将三个ip分别加入乳酸菌饮料的强制转发名单，ip也从本地ip变成了外网ip
注意到AdGuard home的上游dns一栏中自动添加了127.0.0.1:8053也就是本机的china-dns端口，想请教下楼主我这属于啥情况啊，如何测试AdGuard home是否起作用呢
下面是记录
Sep 21 23:51:13 【AdGuardHome】: 启用本机 AdGuardHome 服务
Sep 21 23:51:13 【AdGuardHome】: 修改本机 AdGuardHome 服务器的上游 DNS: 127.0.0.1:8053
Sep 21 23:51:13 【AdGuardHome】: 运行 /opt/AdGuardHome/AdGuardHome
Sep 21 23:51:16 【AdGuardHome】: 启动成功
Sep 21 23:51:16 【AdGuardHome】: 检测到 dnsmasq 转发规则, 删除 server=127.0.0.1#8053
Sep 21 23:51:16 【AdGuardHome】: 添加 AdGuardHome 的 dnsmasq 转发规则 server=127.0.0.1#5353
Sep 21 23:51:16 【AdGuardHome】: 守护进程启动