ADGuard auf einem Home Server ist eine tolle Sache. In diesem Artikel erfahrt ihr, wie ihr ADGuard einrichtet und was die Vorteile dessen sind.
Ok, warum sollte man Teile des Internets blocken. Ganz einfach, weil man es kann! Im ernst, dafür gibt es einige gute Gründe. Zum einen ist da lästige Werbung, die auf manchen Seiten extrem Überhand genommen hat. Zum anderen gibt es durchaus Bereiche im Netz, die entweder schädlich oder jugendgefährdend sind. Sobald Kinder im Haushalt leben und man deren Internetzugang einschränken will muss man sich da Gedanken machen. Das erste Problem mit der Werbung kann man ganz gut mit einem Pi-Hole lösen. Das zweite wird schwieriger, da Pi-Hole lediglich Blacklisting kann, d.h. man kann nur bestimmte Seiten blocken, nicht aber alles blocken außer bestimmte Seiten, also eine Whitelist.
Nach einiger Suche bin ich auf ADGuard Home gestoßen https://adguard.com/de/adguard-home/overview.html
Die Installation (hier unter Debian) ist simpel:
Als erstes den eventuell laufenden DNS Resolver stoppen und deaktivieren (soll ja der ADGuard übernehmen):
sudo systemctl
disable systemd-resolved
sudo systemctl
stop systemd-resolved
Herunterladen und installieren von ADGuard:
sudo curl -sSL https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh
Ich weiß, es gibt viele Gründe, die gegen automatische Downloads und Installation in solchen Einzeilern sprechen, aber dafür spricht die Einfachheit und Schnelligkeit. Wer möchte kann auch manuelle Installation vornehmen, oder ein Dockerimage nutzen. Das findet ihr alles auf der AdGuard Webseite.
Nun geht es auf der Weboberfläche mit einem recht einfachen Einrichtungsassistenten weiter: http://server:3000
Das erste Begrüßungsfenster einfach mit Anfangen starten:
Bei dem 2. Schritt empfehle ich für Admin-Weboberfläche und den DNS Server „Alle Schnittstellen“ zu wählen, wenn der AdGuard auf allen Schnittstellen reagieren soll. Allerdings würde ich den Port der Admin-Weboberfläche ändern, falls ihr den Server noch für andere Webdienste (z.b. Nextcloud, Webserver, o.ä.) nutzen wollt und diese den Port 80 bedienen sollen. Ich nutze meistens Port84, da dieser kein (mir) bekannter reservierter Port ist.
Dann noch einen Benutzer und dazugehöriges Passwort vergeben:
Dann kommt ein Hinweis, dass man nun seine Geräte anpassen muss, damit diese den AdGuard als DNS Server nutzen. Einfach bestätigen und schon ist die allgemeine Einrichtung erledigt.
Damit die Clients im Netzwerk auch den AdGuard nutzen muss man bei diesen den AdGuard als DNS Server hinterlegen. In den meisten Netzen sollte die IP (und DNS Server) Vergabe ja zentral gemacht werden, entweder von einem eigenen Server oder aber von dem Router. Dort sollte dann der AdGuard als DNS Server hinterlegt werden, damit die Clients den automatisch bekommen. Bitte bedenkt, dass der AdGuard acuh immer laufen muss, sonst können die Clients keine Namensauflösung machen. Leider können die meisten Router keinen sekundären DNS Server mitgeben. Der AdGuard kann auch als DHCP Server genutzt werden, der deutlich mächtiger ist, als der der meisten Router.
Nun muss man unter Filter → DNS-Sperrlisten die gewünschten Sperrlisten hinzufügen.
Unter Filter → Benutzerdefinierte Filterregeln kann man nun seine individuellen Filterregeln erstellen.
Ein
||*^
beantwortet alle DNS Anfragen mit 0.0.0.0 (Standardeinstellung). Anschließend kann man für einzelne Clients oder URLs Ausnahmen erstellen.
Ich empfehle im Netz mit festen IP Reservierungen zu arbeiten, da dies ziemliche Vorteile bei regeln z.B. in der Firewall oder eben dem AdGuard bietet. So kann man Subnetze nutzen (z.B. Kinder, Gäste, IoT-Geräte, Drucker, usw.) und kann dann für diese Subnetze entsprechende Regeln bauen.
Ich betreibe AdGuard Home auf einem Raspi4 mittlerweile seit 9 Monaten. Die Software fischt die Werbung konsequent ab. Wenn man sich einmal die Statistiken ansieht, wieviel "Werbung" mittlerweile auf den Webseiten eingebettet sind und was der AdGuard dann blockt, ist der Einsatz einer solchen Software eine absolut lohnenswerte Sache. Und die Installation ist wirklich einfach....
Danke, allerdings muss man dann auch wirklich auf dem Router strenge Regeln für alle Geräte fahren, damit wirklich alles darüber läuft (insb. auch DNS). Sollte man das ohnehin nicht erreichen können, aber die jeweiligen Clients gut kontrollieren, würde es eventuell auch die Schmalspurlösung innerhalb eines Webbrowsers tun, z. B. LeachBlock NG mit Whitelist.
Es geht ja gerade darum Werbung und ungewollte Inhalte für alle Clients im eigenen Netz zu filtern und eben nicht nur für einen Browser auf einem Gerät. Ich möchte auch keine nervende Werbung auf meinem SmartTV oder in irgendwelchen Spielen auf meinem Smartphone. Und spätestens hier helfen BrowserPlugins recht wenig.
Adguard betreibt auch einen DNS Server. Seit ich diesen bei unserem Router als Standard DNS konfiguriert habe, ist weitestgehend Ruhe. Das ist die einfachste Lösung die mir bekannt ist, um über die ganze Werbung Herr zu werden.
Kleine Frage: was ist der Unterschied zu pi-hole? Kann mir jemand Vor- und Nachteile der beiden vergleichen?
Pi-Hole hat nur die Möglichkeit bestimmte Domains zu blockieren. AdGuard kann das auch, aber eben auch alles blocken, außer explizit freigegeben Domains. Das ist von Vorteil, wenn man z.B. Kinder im Haushalt hat und diesen nur bestimmte Seiten freigeben will und alles andere blocken möchte.
Kann Pi-Hole nicht auch mittels Regex Blacklist und Gruppen alle Webseiten für bestimmte Devices sperren und mittels Whitelist für entsprechende Devices nur freigegebene Webseiten zulassen?