Pages: [1]   En bas

Auteur Sujet: Débutant - Configuration de Adguard (et relecture de ma configuration)  (Lu 1204 fois)

0 Membres et 1 Invité sur ce sujet

SaladCesar

  • Abonné Sosh fibre
  • *
  • Messages: 17
Débutant - Configuration de Adguard (et relecture de ma configuration)
« le: 21 mars 2023 à 23:10:06 »
Bonjour,

Je suis débutant sur OpenWRT. Je l'utilise pour me connecter au réseau Orange. J'ai 2 réseaux, mon réseau local (ethernet + wifi 2.4ghz + wifi 5ghz) et un réseau pour invité séparé de mon réseau principal et sans code (wifi 2.4ghz). Jusqu'ici tout marche bien.

Maintenant je voudrais ajouter Adguard Home pour protéger tout mon réseau et aussi utiliser ses fonctionnalités de DNS over HTTPS. Mais je n'arrive pas à le configurer correctement et je voudrais demander de l'aide. J'ai essayé de suivre ce tutoriel : https://openwrt.org/docs/guide-user/services/dns/adguard-home#installation . Après avoir changé le port de dnsmasq vers 54, je peux correctement mettre en place Adguard sur le port 53 lors de la configuration. Mais ensuite, Adguard me demande de choisir une interface sur laquelle écouter. Et là je suis un peu bloqué, je dois choisir soit br-lan (mon réseau) soit br-guest (mon réseau invité).

A chaque fois, le réseau choisi fonctionne correctement avec Adguard, mais tous les autres n'ont plus aucun accès DNS ni d'accès internet. Si je choisis d'écouter sur br-lan, j'ai bien adguard sur mon réseau perso, mais le réseau invité n'a plus d'accès internet, et OpenWRT lui même n'a plus non plus d'accès internet (il ne peut plus télécharger de packages opkg par exemple). Alors je ne sais pas comment faire. Vous pourrez trouver ci-dessous ma config actuelle. Je suppose que je dois la modifier pour faire fonctionner Adguard sur tous mes réseaux, et que le réseau invité reste bien séparé mais je ne sais pas comment faire. Je suppose qu'il faudrait faire une interface unifiée à laquelle serait ensuite connecté br-lan et br-guest, me permettant ainsi de dire à Adguard d'écouter le DNS sur cette interface pour que ça englobe tout ? Mais je ne vois pas comment faire.

network
Code: [Sélectionner]
root@OpenWrt:/etc/config# cat network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6ifaceid '::cafe'
        option ipaddr '192.168.1.1'

config interface 'wan6'
        option proto 'dhcpv6'
        option device 'wan.832'
        option reqprefix 'auto'
        option reqaddress 'none'
        option defaultreqopts '0'
        option sendopts '11:private 15:FSVDSL_livebox.Internet.softathome.livebox4 16:private 17:private'
        option reqopts '11 17 23 24'
        option noclientfqdn '1'
        option noacceptreconfig '1'
        option clientid 'private' # X correspond à la MAC de votre box après 00030001, ça sera également votre DUID.

config interface 'wan4'
        option proto 'dhcp'
        option device 'wan.832'
        option hostname '*'
        option broadcast '1'
        option vendorid 'sagem'
        option reqopts '1 3 6 15 28 51 58 59 90 119 125'
        option sendopts '77:private 90:private'
        #option norelease '1'
        option clientid 'private' # MAJ 11/12/22, bientot necessaire, X correspond à la mac de la box après 01

config device
        option name 'wan.832'
        option type '8021q'
        option ifname 'wan'
        option vid '832'
        list egress_qos_mapping '1:0'
        list egress_qos_mapping '0:6'
        list egress_qos_mapping '6:6'
        option macaddr 'private'

config device
        option name 'eth0'

config device
        option type 'bridge'
        option name 'br-guest'

config interface 'guest'
        option proto 'static'
        option device 'br-guest'
        option ipaddr '192.168.3.1'
        option netmask '255.255.255.0'
firewall
Code: [Sélectionner]
root@OpenWrt:/etc/config# cat firewall

config defaults
        option synflood_protect '1'
        option input 'DROP'
        option output 'DROP'
        option forward 'DROP'
        option flow_offloading '1'
        option flow_offloading_hw '1'

config include 'orange_rules'
        option enabled '1'
        option type 'nftables'
        option path '/etc/nftables.d/nft-prio6-rules.include'
        option position 'chain-append'
        option chain 'mangle_postrouting'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option family 'ipv4'
        option input 'DROP'
        option forward 'DROP'
        option masq '1'
        list network 'wan4'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan6'
        list src_ip 'fc00::/6'
        list dest_ip 'fc00::/6'

config rule
        option name 'Allow-MLD'
        option proto 'icmp'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan6'
        list src_ip 'fe80::/10'

config rule
        option name 'Allow-ICMPv6-Input'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'neighbour-advertisement'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'packet-too-big'
        list icmp_type 'router-advertisement'
        list icmp_type 'router-solicitation'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wan6'

config rule
        option name 'Allow-ICMPv6-Forward'
        option dest '*'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan6'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'packet-too-big'
        list icmp_type 'parameter-problem'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'

config zone
        option name 'wan6'
        option output 'ACCEPT'
        option family 'ipv6'
        list device 'wan.832'
        option forward 'ACCEPT'
        option input 'DROP'
        list network 'wan6'

config forwarding
        option src 'lan'
        option dest 'wan6'

config forwarding
        option src 'wan6'
        option dest 'lan'

config include 'miniupnpd'
        option type 'script'
        option path '/usr/share/miniupnpd/firewall.include'

config redirect
        option dest 'lan'
        option target 'DNAT'
        option name 'HTTP'
        list proto 'tcp'
        option src 'wan'
        option src_dport '80'
        option dest_ip '192.168.1.36'
        option dest_port '80'

config redirect
        option dest 'lan'
        option target 'DNAT'
        option name 'HTTPS'
        list proto 'tcp'
        option src 'wan'
        option src_dport '443'
        option dest_ip '192.168.1.36'
        option dest_port '443'

config zone
        option name 'guest'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'guest'

config forwarding
        option src 'guest'
        option dest 'wan'

config forwarding
        option src 'guest'
        option dest 'wan6'

config rule
        option name 'Allow-DNS-Guest'
        option src 'guest'
        option dest_port '53'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCP-Guest'
        option family 'ipv4'
        list proto 'udp'
        option src 'guest'
        option src_port '68'
        option dest_port '67'
        option target 'ACCEPT'

config redirect 'adguardhome_dns_53'
        option src 'lan'
        option proto 'tcp udp'
        option src_dport '53'
        option target 'DNAT'
        option name 'Adguard Home'
        option dest 'lan'
        option dest_port '53'
dhcp
Code: [Sélectionner]
root@OpenWrt:/etc/config# cat dhcp

config dnsmasq
        option domainneeded '1'
        option localise_queries '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
        option localservice '1'
        option ednspacket_max '1232'
        option noresolv '0'
        option cachesize '1000'
        option rebind_protection '0'
        option port '54'
        list server '192.168.1.1'

config dhcp 'lan'
        option interface 'lan'
        option start '10'
        option limit '50'
        option leasetime '12h'
        option dhcpv4 'server'
        option ra 'server'
        list ra_flags 'none'
        list dhcp_option '6,192.168.1.1'
        list dhcp_option '3,192.168.1.1'
        list dns '2a01:cb05:89be:1400::cafe'

config odhcpd 'odhcpd'
        option maindhcp '0'
        option leasefile '/tmp/hosts/odhcpd'
        option leasetrigger '/usr/sbin/odhcpd-update'
        option loglevel '4'

config host
        option name 'DietPi'
        option dns '1'
        option mac 'DC:A6:32:0D:EF:12'
        option ip '192.168.1.36'

config dhcp 'guest'
        option interface 'guest'
        option start '100'
        option limit '150'
        option leasetime '12h'

config host
        option name 'wled-WLED'
        option ip '192.168.1.50'
        option mac '84:F3:EB:21:B3:62'
wireless
Code: [Sélectionner]
root@OpenWrt:/etc/config# cat wireless

config wifi-device 'radio0'
        option type 'mac80211'
        option path '1e140000.pcie/pci0000:00/0000:00:01.0/0000:02:00.0'
        option band '2g'
        option channel 'auto'
        option country 'FR'
        option cell_density '0'
        option htmode 'HT40'

config wifi-device 'radio1'
        option type 'mac80211'
        option path '1e140000.pcie/pci0000:00/0000:00:01.0/0000:02:00.0+1'
        option band '5g'
        option channel 'auto'
        option country 'FR'
        option cell_density '0'
        option htmode 'HE80'

config wifi-iface 'default_radio1'
        option device 'radio1'
        option network 'lan'
        option mode 'ap'
        option key 'choucroute2310!'
        option ssid 'OpenWRT5'
        option ieee80211w '1'
        option encryption 'sae-mixed'

config wifi-iface 'wifinet1'
        option device 'radio0'
        option mode 'ap'
        option key 'choucroute2310!'
        option network 'lan'
        option ssid 'OpenWRT24'
        option encryption 'sae-mixed'

config wifi-iface 'wifinet2'
        option device 'radio0'
        option mode 'ap'
        option ssid 'le wifi du voisin'
        option encryption 'none'
        option isolate '1'
        option network 'guest'
De plus, je suis débutant et donc pas tout à fait sur de ma configuration. Si vous voyez la moindre erreur, ou que vous avez des idées d'amélioration, je suis très intéressé.
Merci d'avance pour toute réponse, et passez une très bonne journée.
IP archivée

ubune

  • Abonné Orange Fibre
  • *
  • Messages: 316
Débutant - Configuration de Adguard (et relecture de ma configuration)
« Réponse #1 le: 19 octobre 2023 à 09:24:27 »
Hello,
J'utilise également adguard sur openwrt.

Lors du wizard d'install adguard, choisis toutes les interfaces, et pas une interface spécifique, ça résoudra ton problème.
Par contre vérifie bien que tu drop les flux à destination du routeur (input) sur les interfaces wan/wan6, afin qu'on ne puisse par faire de resolution dns en pointant sur ton ip pub ^^'

Edit sorry je viens de voir que ton message datait de mars...
IP archivée
Pages: [1]   En haut