Debian Adguard

Introduction

Adguard ist ein DNS-Resolver, der DNS-SEC (validierte DNS Records), DNS over TLS (DoT) und DNS over HTTPS (DoH) unterstützt. DNS-Sec verhindert, dass gefälschte IP-Adressen von gakaperten DNS-Servern zurückgeliefert werden. Leider verwenden nur wenige Sites DNS-SEC für die Validierrung, aber die Zahl steigt. DoT und DoH erhöhen die Privatsphäre, da die Anfragen zwischen DNS-Resolver und DNS-Server verschlüsselt werden. Daneben bietet Adguard noch einen Netzwerk-Weiten Ad-Blocker mit Hilfe von Blocklists. Die Verwaltung geschiegt über ein komfortables und übersichtliches Webinterface.

Installation

cd /opt
wget https://static.adguard.com/adguardhome/release/AdGuardHome_linux_amd64.tar.gz
tar xvf AdGuardHome_linux_amd64.tar.gz
rm AdGuardHome_linux_amd64.tar.gz
AdGuardHome/AdGuardHome -s install

Nach der Installation erscheint IP-Adresse mit Port, unter der das Webbasierte Setup erreichbar ist. Üblicherweise http://IP:3000

• Webbrowser öffnen und angegebene Adresse eingeben
• Anfangen anklicken
• In Schritt 2/5 evtl. den Port des DNS-Servers ändern, auf dem Adguard laufen soll, falls bereits ein anderer DNS-Server (z.B. Bind zur Auflösung lokaler Domains) auf dem Default Port 53 lauscht
• Username und Passowort für den Admin user eingeben, mit dem der Zugriff auf das Webinterface geschützt wird
• Im Schritt 4/5 weiter anklicken. Evtl vorher die Hinweise zur Einrichtung diverser Clients anzeigen
• Im letzten Schritt Übersicht öffnen klicken, um das eigentliche Webinterface zu öffnen

Konfiguration mittels Webinterface

im Webbrowser die IP-Adresse des Adguard-Servers eingeben und mit eben angelegtem Admin-User und Passwort einloggen

DNS-Einstellungen

Einstellungen/DNS-Einstellungen auswählen Hier können die Upstream DNS-Server, d.h. die Server, die zur Namensauflösung von Internet Domains verwendet werden. hier kann der DNS-Server des Internet-Providers, die Ip des Internet-Routers (leitet die Anfragen ebenfalls zum Provider weiter) oder DoT und DoH Server eingetragen werden. Provider DNS-Server unterstützen üblicherweise (noch) nicht DoT bzw. DoH. Im Internet gibt es zahlreiche Informationen zu DoT und DoH Servern (z.B. Cloudflare, Quad9, Google und zahlreiche weitere) und deren Privacy Policies. Es bringt wenig, wenn die DNS-Anfragen zum DNS-Server verschlüsselt sind, und der DNS-Provider sammelt die Daten und nutzt diese z.B. für Werbezwecke (wie z.B. Google) oder verkauft diese weiter. DoT und DoH verlangsamen etwas die Namensauflösung, da eine TLS bzw HTTPS-Verbindung anstatt einer unverschlüsselten aufgebaut wird. Andererseits beschleunigt Adguard wiederholte Abfragen, da es einen Cache enthält. Neben den DNS-Servern gibt es auch Einstellungsmöglichkeiten für DNS-Sec.

Verschlüsselung

Unter Einstellungen/Verschlüsselungseinstellungen kann das Webinterface per HTTPS verschlüsselt werden. Zusätzlich kann die Verbindung von Clients zu Adguard per DoT auf Port 853 verschlüsselt werden. Dies beherrschen aber noch nicht viele DNS-Resolver. Für beides sind ein privater Schlüssel und ein SSL-Zertifikat erforderlich.

Filter

Mittels Filter kann ein Großteil von Werbung, Tracking und Malware für alle Clients unterbunden werden. 3 Filrer Listen sind bereits an Bord, die aktiviert werden sollten. Im Internet stehen zahlreiche weitere Blocking Listen zur Verfügung, die sehr einfach einbindbar sind und regelmäßig in einstellbaren Abständen automatisch aktualisiert werden. Adguard bietet ebenfalls weitere Filter an, deren Einrichtung hier exemplarisch erläutert werden soll

• Filter/DNS-Sperrliste auswählen
• Sperrliste hinzufügen auswählen
• Bezeichnung eingeben (beliebig; wenn die Liste selbst eine Bezeichnung enthält, wird der Name überschrieben. Dies ist z.B. bei den Adguard-Listen der Fall, bei vielen anderen nicht)
• Adresse eingeben
  • Hier einige von Adguard betreute Filter:
  • AdGuard Base Filter: https://filters.adtidy.org/extension/chromium/filters/2.txt
  • AdGuard German filter: https://filters.adtidy.org/extension/chromium/filters/6.txt
  • AdGuard Social Media filter: https://filters.adtidy.org/extension/chromium/filters/4.txt
  • AdGuard Tracking Protection filter: https://filters.adtidy.org/extension/chromium/filters/3.txt
• Speichern anklicken

Die Liste wird heruntergeladen und die Anzahl blockierter Sites angezeigt.

Clients

Damit der Adguard verwendet wird, müssen sämtliche DNS-Anfragen zu Adguard gelangen. Dies ist am einfachsten, wenn im Netzwerk ein DHCP-Server zur Verfügung steht, bei dem der DNS-Server konfigurierbar ist. Dann bekommen alle DHCP-Clients automatisch die Adresse von Adguard mitgeteilt und verwendet. Falls konfigurierbar kann auch ein Custom DNS-Server in Internet Router wie z.B. Fritzboxen eingetragen werden. Hier die IP von Adguard hinterlegen und Adguard wird ebenfalls von allen Clients verwendet, die bisher den Router als DNS-Server verwendeten. Die IP des Adguard-Servers kann auch manuell bei allen Clients hinterlegt werden. Dies sollte bei allen Betriebssystemen und auch Android und IOS Mobil Geräten möglich sein.

Funktionstest

Internet surfen und email sollte nach wie vor wie gewohnt funktionieren. Positiver Effekt: Weniger Werbung und andere "Nervereien" (z.B. Faceboot Like Buttons). Die Webseite zeigt interessante Statistiken zu angefragten und geblockten Sites und auch wieviele Anfragen von welchem Client eintrafen