Cómo configurar AdGuard Home sin conocimientos técnicos

¿Cómo configurar AdGuard Home sin conocimientos técnicos? Si estás harto de que cada web que visitas se convierta en un festival de anuncios, rastreadores y ventanas emergentes, y además tienes en casa móviles, tablets, Smart TV y cacharros varios conectados al WiFi, probablemente te hayas planteado alguna vez bloquear la publicidad para toda la red. La buena noticia es que se puede hacer y no necesitas ser ingeniero de redes para conseguirlo.

En este artículo vas a ver cómo configurar AdGuard Home sin conocimientos técnicos, apoyándonos en ejemplos reales: desde quien lo instala en una Raspberry Pi o en Proxmox, hasta quien lo monta en un VPS con Docker para tener bloqueo de anuncios incluso fuera de casa. Veremos también cómo evitar que algunos dispositivos se salten el DNS, qué es eso del DoH/DoT y cómo se relaciona con las listas de Hagezi, además de repasar funciones avanzadas de AdGuard en Windows para que entiendas mejor todo el ecosistema.

Qué es AdGuard Home y por qué interesa más allá de un simple bloqueador

AdGuard Home es un servidor DNS filtrante que se instala en tu propia red. En lugar de bloquear anuncios solo en el navegador como hacen las extensiones típicas, intercepta todas las peticiones DNS de los dispositivos antes de que lleguen a Internet, de forma que cualquier aparato conectado a tu WiFi (móvil, portátil, Smart TV, consola, altavoces inteligentes, etc.) se beneficia del filtrado sin que tengas que instalar nada en cada uno.

En la práctica, AdGuard Home actúa como una especie de “centralita de llamadas” para los nombres de dominio: cuando un dispositivo pregunta por la IP de una web o de un servidor de anuncios, el servidor DNS de AdGuard decide si deja pasar esa petición o la bloquea usando listas de filtros similares a las de uBlock Origin o Pi-hole. Así puede cortar publicidad, rastreadores, dominios maliciosos, contenido adulto o incluso redes sociales completas si te interesa.

Otro punto fuerte es su interfaz web muy cuidada y fácil de entender, con estadísticas de todo lo que se resuelve (y se bloquea), detalle por cliente, listas de bloqueo, filtros personalizados, control parental y hasta servidor DHCP integrado. Lo bueno es que, aun teniendo muchas opciones avanzadas, para un uso básico se puede dejar casi todo con los valores por defecto y funciona estupendamente.

Comparado con soluciones similares como Pi-hole, AdGuard Home suele gustar porque viene con muchas funciones “de fábrica”: soporte para DNS cifrado (DNS-over-HTTPS y DNS-over-TLS), servidor DHCP integrado, bloqueo de malware y phishing, búsquedas seguras, control parental, etc., sin necesidad de instalar software adicional ni toquetear archivos de configuración raros.

Cómo y dónde instalar AdGuard Home sin volverte loco

Para montar AdGuard Home necesitas un dispositivo que haga de servidor encendido 24/7. No hace falta nada potente; con algo muy modesto es más que suficiente. Hay varias opciones habituales que se repiten en muchas configuraciones reales.

Una de las más populares es usar una Raspberry Pi con Raspberry Pi OS Lite. Un usuario contaba que compró una Raspberry Pi 5, instaló el sistema, puso AdGuard Home con la configuración básica y cambió el DNS del router para que apuntase a la IP de la Raspi. Resultado: empezó a ver el tráfico de casi todos sus dispositivos en el panel, aunque algunos aparatos de Amazon intentaban saltarse el DNS del router, tema del que hablaremos más adelante.

Si tienes un servidor Proxmox en casa, otra alternativa muy cómoda es instalar AdGuard Home en un contenedor LXC usando los Proxmox VE Helper-Scripts de la comunidad. Desde el Datacenter, entras en el nodo, abres la Shell y ejecutas un script que te despliega AdGuard Home prácticamente solo, con un sencillo asistente de instalación que te pregunta si quieres los valores por defecto, una instalación detallada con confirmaciones, ajustes avanzados, usar un archivo de configuración propio, opciones de diagnósticos y la salida del instalador.

Comando para lanzar el instalador: bash -c "$(curl -fsSL https://raw.githubusercontent.com/community-scripts/ProxmoxVE/main/ct/adguard.sh)"

También se puede montar en un PC viejo o un VPS mediante Docker. Muchos usuarios lo tienen así: se conectan por SSH a su VPS o a su máquina con Linux, instalan Docker y Docker Compose, crean un docker-compose.yml sencillo donde el contenedor expone el puerto 53 para DNS, el 3000 para el asistente inicial y algún puerto más para la interfaz web (por ejemplo, mapeando el 80 interno al 8181 externo) y levantan el servicio con un docker-compose up -d. El comportamiento y la interfaz de AdGuard Home son idénticos a los de una instalación “normal”.

La clave en todos los escenarios es que el dispositivo donde corre AdGuard Home tenga una IP fija y estable en tu red local (en el caso de la Raspberry Pi o de un servidor doméstico) o, si usas un VPS, que sepas bien cómo abrir los puertos DNS y de administración en el firewall del sistema y del proveedor cloud, con mimo respecto a la seguridad.

Instalar AdGuard Home en Proxmox paso a paso (sin complicarse)

En Proxmox, una forma muy agradecida de desplegar AdGuard Home es tirando de los Proxmox VE Helper-Scripts, unos scripts comunitarios que automatizan la creación de contenedores y máquinas virtuales con distintas aplicaciones ya preparadas.

El proceso básico consiste en ir al Datacenter de Proxmox, seleccionar tu nodo y abrir la opción de Qabıq. Desde ahí ejecutas el script de AdGuard Home, por ejemplo:

Al ejecutar el asistente verás opciones como: instalación con configuración por defecto, modo verbose, configuración avanzada, usar archivo de configuración propio, opciones de diagnóstico

Cuando se lanza el asistente, verás varias opciones: instalación con configuración por defecto, la misma pero en modo “verbose” para que te pregunte antes de aplicar cada ajuste, un modo de Ətraflı konfiqurasiya donde eliges todos los parámetros a mano, la posibilidad de usar un archivo de configuración propio, configuraciones de diagnóstico y, por supuesto, la opción de salir. Para alguien sin demasiada experiencia, lo más sensato es elegir la opción de valores por defecto.

Después el asistente te pregunta dónde se va a guardar la plantilla del contenedor LXC, en qué almacenamiento se alojará el contenedor y, en cuanto termina la configuración, te indica que ya puedes acceder a AdGuard Home a través de la IP asignada y el puerto de configuración inicial (normalmente el 3000).

A partir de ese momento, abres un navegador en un equipo de tu red, entras en la URL con la IP del contenedor y el puerto 3000 y se inicia el asistente web de AdGuard Home. Solo tienes que pulsar en “Get Started” y seguir los pasos:

• Seç interfaz y puerto de administración para el panel web (puerto típico 80, aunque puedes cambiarlo).
• Xüsusi IP y puerto del servidor DNS (por defecto 53).
• Yaradın usuario y contraseña de administrador con cierta seguridad.
• Ver un pequeño resumen de cómo apuntar tus dispositivos a este nuevo DNS.

Tras terminar el asistente, ya puedes iniciar sesión en el panel de AdGuard Home y explorar todas sus secciones: configuración DNS, DHCP integrado, listas de bloqueo, filtros personalizados, estadísticas, control parental, bloqueo de servicios concretos y mucho más.

Configurar los dispositivos para usar AdGuard Home como DNS

Una vez instalado, queda lo realmente importante: conseguir que los dispositivos de tu red usen AdGuard Home como servidor DNS. Esto se puede hacer de forma temporal, tocando solo un equipo, o de manera permanente a nivel de router para que todo el mundo pase por ahí sin enterarse.

Si quieres hacer pruebas rápidas en un equipo con GNU/Linux, puedes cambiar el archivo /etc/resolv.conf para que apunte al servidor AdGuard. Con permisos de superusuario, lo editas y añades una línea del tipo:

Ejemplo de entrada en resolv.conf: nameserver IP_ADGUARD

Ten en cuenta que este archivo se suele regenerar al reiniciar la red o el sistema, así que es un cambio temporal útil para testear si el servidor responde bien o si las listas de filtros hacen lo que esperas antes de tocar nada en el router.

La configuración recomendada a largo plazo es cambiar el DNS directamente en el router de tu casa. Así, cualquier dispositivo que obtenga su configuración por DHCP (lo normal: móviles, ordenadores, consolas, etc.) recibirá automáticamente la IP de AdGuard Home como servidor DNS sin que tengas que tocar uno por uno.

Para hacerlo, entras a la interfaz web del router (las IP típicas suelen ser Və ya 192.168.1.1 192.168.0.1), inicias sesión con tu usuario administrador y buscas en el menú alguna sección de red local, LAN o DHCP. En un router Xiaomi AX3200, por ejemplo, se entra en “Ajustes – Ajustes de red – Ajustes de red” y se marca la opción de “Configurar DNS manualmente”.

En el campo de DNS1 introducimos la IP local del servidor AdGuard Home (la de la Raspberry, el contenedor LXC, el servidor físico, etc.). Muchas veces se permite un DNS secundario (DNS2): puedes dejarlo en blanco para que nada se salga del filtro o poner un DNS público de respaldo como 1.1.1.1, sabiendo que esa ruta podría usarse si el primario falla.

Tras guardar cambios y, si hace falta, reiniciar el router, la red empezará a enviar las consultas DNS a AdGuard Home. Puede que haya que desconectar y reconectar algunos dispositivos al WiFi para que cojan la nueva configuración.

Qué pasa cuando algunos dispositivos intentan saltarse el DNS (DoH, DoT y compañía)

Un problema que se ve cada vez más es que ciertos dispositivos o aplicaciones ignoran el DNS configurado en el router y se conectan directamente a servicios de DNS cifrado (DoH o DoT) como los de Google, Cloudflare o los propios del fabricante del aparato. Un usuario comentaba que sus dispositivos de Amazon parecían “probar” a ir por el DNS del router, ver que se bloqueaban algunas cosas y luego cambiar de ruta para esquivar las restricciones.

Este comportamiento es posible porque muchos sistemas permiten configurar DNS propios a nivel de sistema o incluso dentro de una app concreta. Además, DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) viajan por puertos cifrados (normalmente 443 para DoH y 853 para DoT), lo que hace más difícil interceptarlos si no controlas el firewall de la red.

Para evitarlo, listas como las de Hagezi plantean una estrategia clara: asegurarte de que tu servidor DNS local es el “de arranque” en tu red. Eso implica dos cosas: redirigir o bloquear todo el tráfico DNS estándar saliente (TCP/UDP 53) que no pase por tu servidor y, además, bloquear el tráfico saliente de DNS over TLS (TCP 853) hacia el exterior, de forma que no puedan usar servidores cifrados de terceros sin tu control.

En la práctica, esto se consigue configurando reglas en el firewall del router o del cortafuegos que uses en tu red: se bloquea cualquier salida al puerto 53 excepto desde tu propio servidor de AdGuard Home, y se cortan también las conexiones al puerto 853. Para DNS-over-HTTPS, muchas listas de filtros incluyen los dominios de DoH conocidos para que el propio AdGuard Home pueda detenerlos como si fueran cualquier otro dominio no deseado.

Con estas medidas, aunque un dispositivo tenga configurado un DNS distinto, la conexión directa a servidores externos se verá bloqueada, forzando que todo el tráfico DNS pase sí o sí por AdGuard Home, donde podrás filtrar, registrar y controlar lo que sucede realmente.

Uso de AdGuard en los dispositivos: apps, modo hogar y fuera de casa

Más allá de AdGuard Home, existen las aplicaciones de AdGuard para Windows, Android e iOS, que funcionan como bloqueadores a nivel de dispositivo. Muchos usuarios combinan ambas cosas: en casa, los dispositivos usan el DNS de AdGuard Home; cuando salen de la red, las apps tiran de AdGuard DNS privado (el servicio gestionado de AdGuard) o de filtros a nivel de sistema.

La duda habitual es si los móviles y portátiles pueden cambiar de manera automática a AdGuard Private DNS cuando no están en la red doméstica. En la práctica, muchos perfiles se configuran así: al conectarse a la WiFi de casa, los dispositivos usan el DNS local de AdGuard Home; cuando están en redes externas, las apps usan el servicio privado en la nube asociado a tu cuenta (en algunos planes de pago, válidos durante varios años).

Además, soluciones como Tailscale permiten que, aunque estés fuera de casa, puedas seguir utilizando AdGuard Home como DNS, porque tu dispositivo se conecta virtualmente a tu red privada. Algunos usuarios lo tienen así: bloquean anuncios para toda la familia en casa, y cuando viajan o están en una WiFi pública poco fiable, enrutan el DNS a través de Tailscale hacia su servidor AdGuard Home en el homelab.

Todo esto se combina con las opciones avanzadas de las aplicaciones de AdGuard en Windows, que permiten afinar mucho el filtrado. Aunque estas opciones están pensadas para usuarios más técnicos, conviene tener claro qué existe “debajo” por si en algún momento necesitas ir más allá del uso básico.

Configuración avanzada de AdGuard en Windows: lo que te interesa conocer

Dentro de AdGuard para Windows hay una sección de Ətraflı parametrlər que antes se llamaba configuración de bajo nivel. No hace falta tocar nada para el uso diario, pero ofrece un montón de controles finos sobre cómo se maneja el tráfico, el DNS y la seguridad, y muchas de esas ideas te ayudan a entender mejor lo que AdGuard Home hace a nivel de red.

Por ejemplo, existe la opción de bloquear TCP Fast Open en Edge, lo que obliga a que el navegador use un comportamiento más estándar que a veces ayuda a sortear problemas con proxies o sistemas de filtrado. También puedes activar el uso de Şifrələnmiş Müştəri Salamı (ECH), una tecnología que cifra la parte inicial de la conexión TLS donde va el nombre del servidor al que te conectas, reduciendo aún más la cantidad de información que se filtra en claro.

En materia de certificados, AdGuard puede verificar la transparencia de certificados siguiendo la política de Chrome y, si el certificado no cumple con esos requisitos de transparencia, decidir no filtrarlo para que sea el propio navegador el que lo bloquee. De igual manera, es posible habilitar la verificación de revocación de certificados SSL/TLS mediante consultas OCSP en segundo plano, de forma que, si se detecta que un certificado ha sido revocado, AdGuard corta las conexiones activas y futuras a ese dominio.

Otras funciones cómodas son la posibilidad de excluir aplicaciones del filtrado indicando su ruta completa, activar notificaciones emergentes controladas, interceptar automáticamente las URL de suscripción de filtros (por ejemplo, enlaces que empiezan por abp:subscribe), filtrar tráfico HTTP/3 cuando el navegador y el sistema lo soportan, o elegir entre filtrar usando un modo de redirección del driver o un modo en el que el sistema ve a AdGuard como la única aplicación conectada a Internet.

También puedes decidir si filtrar conexiones localhost (algo imprescindible si usas AdGuard VPN, ya que muchas conexiones se enrutan por ahí), excluir rangos de IP concretos de ser filtrados, habilitar escritura de archivos HAR para depuración (ojo, esto puede ralentizar la navegación), o incluso modificar la forma en que AdGuard forma las peticiones HTTP, añadiendo espacios extra o fragmentando paquetes TLS y HTTP para esquivar inspecciones profundas de paquetes (DPI) en redes muy restrictivas.

En el apartado de rendimiento de red hay opciones para habilitar y ajustar TCP keepalive, definiendo intervalo y tiempo de espera para mantener vivas conexiones inactivas y así sortear NAT agresivos de algunos proveedores. También se puede bloquear por completo los complementos de Java por razones de seguridad, dejando JavaScript intacto.

La sección avanzada de DNS en AdGuard para Windows permite establecer tiempos de espera para los servidores DNS, habilitar HTTP/3 en upstreams de DNS-over-HTTPS si el servidor lo soporta, usar upstreams alternativos cuando los principales fallan, consultar varios servidores DNS ascendentes en paralelo para responder con el primero que conteste (aumentando la sensación de velocidad) y decidir si siempre se debe responder con un error SERVFAIL cuando todos los upstreams y alternativas fallan.

Se puede también habilitar el filtrado de solicitudes de DNS seguras, es decir, redirigir las peticiones de DoH/DoT hacia el proxy DNS local para que pasen por el mismo control que el resto. Además, puedes definir el modo de bloqueo para reglas de tipo hosts o de estilo adblock (responder con error “Rechazado”, “NxDomain” o una IP personalizada) y configurar direcciones IPv4 e IPv6 personalizadas para las respuestas bloqueadas.

En cuanto a redundancia, la configuración permite especificar servidores fallback predeterminados del sistema o personalizados, así como una lista de bootstrap DNS que sirven de traductores iniciales cuando usas upstreams cifrados que se definen por nombre en lugar de IP. También se incluye una sección para exclusiones: dominios que deben resolverse usando el DNS del sistema sin aplicar reglas de bloqueo, o SSID de WiFi que no deben pasar por el filtrado DNS porque, por ejemplo, ya están protegidos por AdGuard Home u otro sistema de filtros.

Todo este abanico de opciones avanzadas no es obligatorio para que AdGuard Home funcione, pero ayuda a entender la filosofía general de AdGuard a la hora de manejar DNS, certificados y tráfico cifrado, y te da pistas de hasta dónde puedes llegar si un día necesitas un control muy fino sobre tu red.

Con todo lo anterior, queda claro que, aunque al principio pueda sonar técnico, montar y configurar AdGuard Home sin grandes conocimientos es totalmente asumible si sigues la idea básica de: tener un pequeño servidor encendido, instalar AdGuard Home (ya sea con un script en Proxmox, en una Raspberry o con Docker), apuntar el DNS de tu router a ese servidor y, si quieres ir un paso más allá, usar firewall y listas como las de Hagezi para evitar que los dispositivos más rebeldes se salten tus reglas; a partir de ahí, dispones de un panel muy visual donde ver qué se bloquea, ajustar filtros, activar funciones de seguridad y extender esa protección incluso cuando sales de casa gracias a las apps de AdGuard o a soluciones como Tailscale.

• AdGuard Əsas səhifə actúa como un servidor DNS filtrante que protege a todos los dispositivos de la red sin instalar nada en cada uno.
• Bu bilərsiniz instalar fácilmente en Raspberry Pi, Proxmox, PCs o VPS y basta con apuntar el router a su IP para usarlo.
• İstifadəsi listas de bloqueo, firewall y control de DoH/DoT impide que ciertos dispositivos se salten el DNS de AdGuard.
• the opciones avanzadas de AdGuard permiten afinar certificados, DNS, HTTP/3 y exclusiones para una red más segura.