Как настроить AdGuard Home без технических знаний

¿Как настроить AdGuard Home без технических знаний? Если тебе это надоело Каждый посещенный вами сайт становится рекламным фестивалемУчитывая наличие трекеров и всплывающих окон, а также наличие мобильных телефонов, планшетов, Smart TV и других устройств, подключенных к Wi-Fi дома, вы, вероятно, задумывались о блокировке рекламы во всей своей сети. Хорошая новость заключается в том, что это возможно, и для этого не нужно быть сетевым инженером.

В этой статье вы увидите, как Настройте AdGuard Home без технических знанийНа реальных примерах мы рассмотрим всё: от установки на Raspberry Pi или Proxmox до настройки на VPS с Docker для блокировки рекламы даже вне дома. Мы также узнаем, как предотвратить обход DNS некоторыми устройствами, что такое DoH/DoT и как они связаны со списками Hagezi, а также рассмотрим расширенные функции AdGuard в Windows, чтобы помочь вам лучше понять всю экосистему.

Что такое AdGuard Home и почему это больше, чем просто блокировщик рекламы?

AdGuard Home — это Фильтрующий DNS-сервер, который вы устанавливаете в своей сетиВместо того чтобы блокировать рекламу только в браузере, как это делают типичные расширения, он перехватывает все DNS-запросы от устройств до того, как они попадут в Интернет, поэтому любое устройство, подключенное к вашему Wi-Fi (мобильный телефон, ноутбук, Smart TV, консоль, умные колонки и т. д.), получает выгоду от фильтрации без необходимости устанавливать что-либо на каждое из них.

На практике AdGuard Home действует как своего рода «Колл-центр» для доменных именКогда устройство запрашивает IP-адрес веб-сайта или рекламного сервера, DNS-сервер AdGuard решает, разрешить или заблокировать запрос, используя списки фильтров, аналогичные спискам uBlock Origin или Pi-hole. Это позволяет блокировать рекламу, трекеры, вредоносные домены, контент для взрослых и даже целые социальные сети, если вы этого хотите.

Еще одна сильная сторона – это Очень продуманный и простой для понимания веб-интерфейсОн включает в себя статистику по всем разрешённым (и заблокированным) запросам, подробную информацию по каждому клиенту, списки блокировки, настраиваемые фильтры, родительский контроль и даже встроенный DHCP-сервер. Самое приятное, что, несмотря на множество расширенных настроек, для базового использования можно оставить практически всё по умолчанию, и всё будет работать идеально.

По сравнению с аналогичными решениями, такими как Pi-hole, AdGuard Home в целом нравится, потому что Он поставляется со многими «заводскими» функциями.: Поддержка шифрованного DNS (DNS-over-HTTPS и DNS-over-TLS), встроенного DHCP-сервера, блокировка вредоносных программ и фишинга, безопасный поиск, родительский контроль и т. д. без необходимости установки дополнительного программного обеспечения или возни со странными файлами конфигурации.

Как и где установить AdGuard Home, не сойдя с ума

Для настройки AdGuard Home вам понадобится устройство, которое будет действовать как сервер 24/7Ничего мощного не требуется; чего-то очень скромного будет более чем достаточно. Есть несколько распространённых вариантов, которые повторяются во многих реальных конфигурациях.

Один из самых популярных — это использование Raspberry Pi с ОС Raspberry Pi LiteОдин пользователь сообщил, что купил Raspberry Pi 5, установил операционную систему, настроил AdGuard Home с базовой конфигурацией и изменил DNS-сервер роутера так, чтобы он указывал на IP-адрес Raspberry Pi. В результате на панели управления появился трафик практически со всех устройств, хотя некоторые устройства Amazon пытались обойти DNS роутера, о чём мы поговорим позже.

Если у вас дома есть сервер Proxmox, еще одна очень удобная альтернатива — Установить AdGuard Home в контейнер LXC Используя скрипты-помощники Proxmox VE от сообщества. Из центра обработки данных вы входите в узел, открываете оболочку и запускаете скрипт, который практически автоматически разворачивает AdGuard Home. Простой мастер установки спрашивает, хотите ли вы использовать значения по умолчанию, предлагает подробную установку с подтверждениями, расширенные настройки, использует ваш собственный файл конфигурации, параметры диагностики и выходные данные установщика.

Команда для запуска установщика: bash -c "$(curl -fsSL https://raw.githubusercontent.com/community-scripts/ProxmoxVE/main/ct/adguard.sh)"

Его также можно установить на старый ПК или VPS с использованием DockerМногие пользователи делают это следующим образом: они подключаются через SSH к своему VPS или Linux-компьютеру, устанавливают Docker и Docker Compose и создают docker-compose.yml Простая настройка, в которой контейнер предоставляет порт 53 для DNS, порт 3000 для начального мастера и некоторые дополнительные порты для веб-интерфейса (например, сопоставление внутреннего порта 80 с внешним портом 8181), а служба запускается с docker-compose вверх -dПоведение и интерфейс AdGuard Home идентичны «обычной» установке.

Ключевым моментом во всех сценариях является то, что устройство, на котором работает AdGuard Home, имеет фиксированный и стабильный IP-адрес в вашей локальной сети (в случае Raspberry Pi или домашнего сервера) или, если вы используете VPS, убедитесь, что вы знаете, как открыть порты DNS и управления в системе и брандмауэре провайдера облачных услуг, уделив особое внимание безопасности.

Установите AdGuard Home на Proxmox шаг за шагом (без сложностей)

В Proxmox очень эффективным способом развертывания AdGuard Home является извлечение Вспомогательные скрипты Proxmox VE, некоторые скрипты сообщества, которые автоматизируют создание контейнеров и виртуальных машин с различными готовыми приложениями.

Основной процесс включает в себя переход к Proxmox Datacenter, выберите свой узел и откройте опцию ОболочкаОтсюда вы запускаете скрипт AdGuard Home, например:

При запуске мастера вы увидите такие параметры, как: instalación con configuración por defecto, modo verbose, configuración avanzada, usar archivo de configuración propio, opciones de diagnóstico

После запуска мастера вы увидите несколько опций: установка с конфигурацией по умолчаниюТо же самое, но в «подробном» режиме, то есть он спрашивает вас перед применением каждой корректировки, режим Расширенная конфигурация где вы выбираете все параметры вручную, возможность использования пользовательский файл конфигурацииНастройки диагностики и, конечно же, выход. Для тех, у кого мало опыта, разумнее всего выбрать настройки по умолчанию.

Затем помощник спрашивает вас, куда вы направляетесь. сохранить шаблон контейнера LXC, в котором будет размещен контейнер, и как только настройка будет завершена, он сообщит вам, что теперь вы можете получить доступ к AdGuard Home через назначенный IP-адрес и порт начальной конфигурации (обычно 3000).

С этого момента вы открываете браузер на компьютере в вашей сети, входите в URL с IP-адресом контейнера и портом 3000 После этого запустится веб-мастер AdGuard Home. Просто нажмите «Начать» и следуйте инструкциям:

• Выбрать интерфейс управления и порт для веб-панели (типичный порт 80, хотя вы можете его изменить).
• Настроить IP-адрес и порт DNS-сервера (по умолчанию 53).
• Создать имя пользователя и пароль администратора с некоторой уверенностью.
• Ознакомьтесь с кратким описанием того, как направить свои устройства на этот новый DNS.

После завершения работы мастера вы можете Войдите в панель управления AdGuard Home. и изучите все его разделы: настройки DNS, встроенный DHCP, черные списки, пользовательские фильтры, статистика, родительский контроль, блокировка определенных служб и многое другое.

Настройте устройства для использования AdGuard Home в качестве DNS

После установки остается самая важная часть: Настройте устройства в вашей сети так, чтобы они использовали AdGuard Home в качестве DNS-сервера.Это можно сделать временно, коснувшись только одного устройства, или постоянно на уровне маршрутизатора, чтобы все проходили через это незаметно.

Если вы хотите провести быстрые тесты на машине GNU/Linux, вы можете изменить файл /etc/resolv.conf Чтобы он указывал на сервер AdGuard. Отредактируйте его с правами суперпользователя, добавив следующую строку:

Пример записи в resolv.conf: nameserver IP_ADGUARD

Обратите внимание, что этот файл обычно восстанавливаться при перезапуске сети или системыПоэтому это полезное временное изменение, позволяющее проверить, хорошо ли реагирует сервер и работают ли списки фильтров так, как вы ожидаете, прежде чем что-либо трогать на маршрутизаторе.

Рекомендуемая долгосрочная конфигурация — это изменение DNS прямо на роутере из вашего дома. Таким образом, любое устройство, получающее конфигурацию по DHCP (обычно это мобильные телефоны, компьютеры, консоли и т. д.), автоматически получит IP-адрес AdGuard Home в качестве своего DNS-сервера, без необходимости настраивать их по отдельности.

Для этого вам необходимо получить доступ к веб-интерфейсу маршрутизатора (типичные IP-адреса обычно 192.168.1.1 или 192.168.0.1), вы входите в систему как ваш администратор и ищете в меню раздел локальная сеть (LAN) или DHCPНапример, на роутере Xiaomi AX3200 перейдите в «Настройки» — «Настройки сети» — «Настройки сети» и выберите опцию «Настроить DNS вручную».

В поле DNS1 вводим Локальный IP-адрес сервера AdGuard Home (Raspberry Pi, контейнер LXC, физический сервер и т. д.). Вторичный DNS (DNS2) часто допускается: вы можете оставить его пустым, чтобы ничего не ускользнуло от фильтра, или указать резервный публичный DNS, например, 1.1.1.1, учитывая, что этот маршрут можно будет использовать в случае сбоя основного.

После сохранения изменений и, при необходимости, перезагрузки маршрутизатора, сеть начнет работать. Отправлять DNS-запросы в AdGuard HomeВозможно, вам придется отключить и повторно подключить некоторые устройства к сети Wi-Fi, чтобы они приняли новые настройки.

Что происходит, когда некоторые устройства пытаются обойти DNS (DoH, DoT и другие)?

Одна из проблем, которая становится все более распространенной, заключается в том, что Некоторые устройства или приложения игнорируют DNS, настроенный на маршрутизаторе. Они подключаются напрямую к зашифрованным DNS-сервисам (DoH или DoT), например, от Google, Cloudflare или производителя устройства. Один пользователь заметил, что его устройства Amazon, похоже, «пытаются» использовать DNS роутера, сталкиваются с блокировками и затем меняют маршруты, чтобы обойти ограничения.

Такое поведение возможно, потому что Многие системы позволяют вам настраивать собственный DNS. на системном уровне или даже в рамках конкретного приложения. Более того, DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) проходят через зашифрованные порты (обычно 443 для DoH и 853 для DoT), что затрудняет их перехват, если вы не контролируете сетевой брандмауэр.

Чтобы избежать этого, можно использовать списки, подобные тем, что есть у Хагези Они предлагают чёткую стратегию: сделать ваш локальный DNS-сервер «загрузочным» сервером в вашей сети. Это включает в себя два момента: перенаправить или заблокировать весь исходящий стандартный DNS-трафик (TCP/UDP 53) что он не проходит через ваш сервер и, кроме того, блокировать исходящий трафик DNS через TLS (TCP 853) извне, чтобы они не могли использовать зашифрованные сторонние серверы без вашего контроля.

На практике это достигается путем настройки правила в брандмауэре маршрутизатора или брандмауэра, который вы используете В вашей сети: весь исходящий трафик на порт 53 блокируется, за исключением трафика с вашего сервера AdGuard Home, а также блокируются соединения с портом 853. Для DNS-over-HTTPS многие списки фильтров включают известные домены DoH, поэтому AdGuard Home может сам блокировать их, как любые другие нежелательные домены.

Благодаря этим мерам, даже если на устройстве настроен другой DNS, прямое соединение с внешними серверами будет заблокировано, что заставит Весь DNS-трафик должен проходить через AdGuard Home.где вы можете фильтровать, записывать и контролировать то, что на самом деле происходит.

Использование AdGuard на устройствах: приложения, домашний режим и режим «вне дома»

Помимо AdGuard Home, есть еще Приложения AdGuard для Windows, Android и iOSкоторые действуют как блокировщики на уровне устройства. Многие пользователи совмещают оба подхода: дома устройства используют DNS AdGuard Home; при отключении от сети приложения используют AdGuard Private DNS (управляемый сервис AdGuard) или фильтры на уровне системы.

Распространенный вопрос: могут ли мобильные телефоны и ноутбуки автоматически переключиться на AdGuard Private DNS когда они не подключены к домашней сети. На практике многие профили настроены следующим образом: при подключении к домашнему Wi-Fi устройства используют локальный DNS AdGuard Home; при подключении к внешним сетям приложения используют службу частного облака, привязанную к вашей учётной записи (в некоторых платных тарифах действует несколько лет).

Кроме того, такие решения, как Чешуя Это позволяет вам продолжать использовать AdGuard Home в качестве DNS-сервера, даже находясь вне дома, поскольку ваше устройство виртуально подключается к вашей частной сети. Некоторые пользователи настраивают это следующим образом: блокируют рекламу для всей семьи дома, а в поездках или при использовании ненадёжного общественного Wi-Fi перенаправляют DNS через Tailscale на сервер AdGuard Home в домашнем офисе.

Все это сочетается с Расширенные возможности приложений AdGuard в WindowsЭти параметры позволяют осуществлять гораздо более тонкую фильтрацию. Хотя эти параметры предназначены для более технически подкованных пользователей, полезно понимать, что за ними скрывается, на случай, если вам когда-нибудь понадобится что-то большее, чем просто базовые функции.

Расширенные настройки AdGuard в Windows: что нужно знать

В AdGuard для Windows есть раздел для Расширенные настройки Ранее известный как низкоуровневая конфигурация. Для повседневного использования вам не нужно ничего менять, но он предлагает множество тонких настроек обработки трафика, DNS и безопасности, и многие из этих функций помогают вам лучше понять, что делает AdGuard Home на сетевом уровне.

Например, есть возможность Блокировать TCP Fast Open в EdgeЭто заставляет браузер использовать более стандартное поведение, что иногда помогает обойти проблемы с прокси-серверами или системами фильтрации. Вы также можете включить использование Зашифрованное приветствие клиента (ECH), технология, которая шифрует начальную часть TLS-соединения, где указывается имя сервера, к которому вы подключаетесь, что еще больше сокращает объем информации, передаваемой в виде открытого текста.

Что касается сертификатов, AdGuard может проверить прозрачность сертификатов Согласно политике Chrome, если сертификат не соответствует требованиям прозрачности, вы можете не фильтровать его, и браузер сам заблокирует его. Аналогичным образом, возможно, Включить проверку отзыва сертификата SSL/TLS через фоновые запросы OCSP, поэтому, если обнаруживается, что сертификат отозван, AdGuard прерывает активные и будущие соединения с этим доменом.

Другие удобные функции включают возможность Исключите приложения из фильтрации, указав их полный путь., активировать контролируемые всплывающие уведомления, автоматически перехватывать URL-адреса подписки на фильтр (например, ссылки, начинающиеся с abp:subscribe), фильтровать HTTP/3-трафик, когда браузер и система это поддерживают, или выбрать между фильтрацией с использованием режима перенаправления драйвера или режимом, в котором система видит AdGuard как единственное приложение, подключенное к Интернету.

Вы также можете решить, фильтрация локальных соединений (что очень важно, если вы используете AdGuard VPN, так как многие соединения проходят через него), исключить определенные диапазоны IP-адресов из фильтрации, включить запись HAR-файлов для отладки (будьте осторожны, это может замедлить работу браузера) или даже изменить способ, которым AdGuard формирует HTTP-запросы, добавляя дополнительные пробелы или фрагментируя пакеты TLS и HTTP, чтобы обойти глубокую проверку пакетов (DPI) в сетях с очень высокими требованиями.

В разделе производительности сети есть опции для Включить и настроить TCP keepaliveЭто позволяет вам задавать интервалы и тайм-ауты для поддержания неактивных соединений, что позволяет обойти агрессивную трансляцию сетевых адресов (NAT) некоторых провайдеров. Вы также можете полностью заблокировать плагины Java из соображений безопасности, оставив JavaScript нетронутым.

Расширенный раздел DNS в AdGuard для Windows позволяет вам настроить Время ожидания DNS-сервераВключите HTTP/3 в восходящих потоках DNS-over-HTTPS, если сервер его поддерживает, используйте альтернативные восходящие потоки, когда основные выходят из строя, параллельно отправляйте запросы нескольким восходящим DNS-серверам, чтобы ответить первым ответившим (что увеличивает ощущение скорости), и решите, следует ли всегда выдавать ошибку SERVFAIL, когда все восходящие и альтернативные потоки выходят из строя.

Вы также можете Включить фильтрацию безопасных DNS-запросовТо есть, перенаправлять запросы DoH/DoT на локальный DNS-прокси, чтобы они проходили те же проверки, что и остальные. Кроме того, вы можете определить режим блокировки для правил по типу хоста или правил в стиле блокировщика рекламы (ответ «Отклонено», «NxDomain» или пользовательский IP-адрес) и настройка пользовательских адресов IPv4 и IPv6 для заблокированных ответов.

Что касается избыточности, конфигурация позволяет указать резервные серверы системные настройки по умолчанию или пользовательские настройки, а также список DNS-загрузка Они служат начальными трансляторами при использовании зашифрованных восходящих потоков, определяемых по имени, а не по IP-адресу. Также предусмотрен раздел исключений: домены, которые должны разрешаться с помощью системного DNS без применения правил блокировки, или SSID Wi-Fi, которые не должны проходить через DNS-фильтрацию, например, поскольку они уже защищены AdGuard Home или другой системой фильтрации.

Весь этот набор дополнительных опций не является обязательным для работы AdGuard Home, но он помогает понять Общая философия AdGuard при работе с DNS, сертификатами и зашифрованным трафиком, и это дает вам подсказки относительно того, как далеко вы можете зайти, если однажды вам понадобится очень точный контроль над вашей сетью.

Учитывая все вышесказанное, становится ясно, что, хотя на первый взгляд это может показаться технически сложным, Настройка и конфигурирование AdGuard Home вполне осуществимы без глубоких знаний. Если следовать основной идее: запустить небольшой сервер, установить AdGuard Home (с помощью скрипта в Proxmox, на Raspberry Pi или с помощью Docker), направить DNS вашего маршрутизатора на этот сервер и, если вы хотите пойти дальше, использовать брандмауэры и списки, такие как Hagezi, чтобы не дать наиболее «непослушным» устройствам обойти ваши правила, то у вас будет очень наглядная панель, на которой вы сможете увидеть, что заблокировано, настроить фильтры, активировать функции безопасности и расширить эту защиту, даже когда вы выходите из дома, благодаря приложениям AdGuard или решениям, таким как Tailscale.

• AdGuard Главная действует как фильтрующий DNS-сервер который защищает все устройства в сети без необходимости установки чего-либо на каждое из них.
• Он может Простая установка на Raspberry Pi, Proxmox, ПК или VPS и вам просто нужно указать маршрутизатору его IP-адрес, чтобы использовать его.
• Использование El черные списки, брандмауэр и контроль DoH/DoT Он не позволяет определенным устройствам обходить DNS AdGuard.
• Лас- Расширенные возможности AdGuard Они позволяют вам точно настраивать сертификаты, DNS, HTTP/3 и исключения для более безопасной сети.