Adguard Home

🎯 Objectifs :

Installer et déployer Adguard
Exposer Adguard
Sécuriser les requêtes avec SSL/TLS
Configurer les appareils clients

AdGuard Home est un serveur DNS anti-pub et anti-traçage qui fonctionne au niveau du système. Une fois configuré, il couvrira TOUS vos appareils domestiques et vous n'aurezbesoin d'aucun logiciel côté client pour cela.

Il fonctionne comme un serveur DNS qui redirige les domaines de suivi vers un «black hole», empêchant ainsi vos appareils de se connecter à ces serveurs.

En pratique, une fois en place, il vous faudra juste configurer les serveurs DNS de vos appareils, pour que ces derniers l'utilisent.

Rappel sur le fonctionnement d'un DNS :

Lorsque vous naviguez sur un site, ou une application, des requêtes sont émises vers un ou des domaines afin d'afficher le contenu de votre page. Les publicités notamment. Votre appareil ne connait pas les adresses IP de ces serveurs à joindre. Pour les connaitre, il va contacter un serveur de nom (Domain Name Server) qui lui va lui répondre avec l'adresse IP la plus à jour pour le domaine de la requête.

Par défaut, votre appareil utilise le serveur votre fournisseur d'accès, paramétré dans votre box ou directement sur le CGNAT de votre opérateur si appareil mobile. Cela peut etre changé directement dans les réglages de votre navigateur, mais aussi dans le système de votre appareil, et parfois directement dans votre box si votre FAI le permet.

Adguard lui, va s'intercaler entre le serveur de nom et votre appareil. Si vous paramétrez vos appareil, ils contacteront d'abord adguard qui filtrera les requetes, via des listes régulièrement mises à jour :

Si le domaine n'est pas dans une blocklist, il contactera des serveurs de noms génériques (dit upstreams) et répondra vers vos appareils avec l'adresse IP recherchée.
Si le domaine est dans une blocklist, il ne contactera pas les DNS upstream et ne répondre pas à vos appareils. Le contenu affilié à cette requete ne s'affichera pas.

C'est ainsi que les pubs et domaines malveillants sont bloqués : leurs domaines sont présents dans la blocklist, le reste de la page lui charge correctement.

Installation

Structure des dossiers :

root
└── docker
    └── adguard
        ├── confdir
        ├── workdir
        ├── compose.yaml
        └── .env

Nous monterons aussi le dossier /docker/swag/config/etc/letsencrypt afin d'avoir accès au certificat SSL de Swag.

Ouvrez Dockge, et cliquez sur compose

Nommez la stack adguard et copiez la configuration ci-dessous

version: "2"
services:
  
  adguardhome:
    container_name: adguard
    image: adguard/adguardhome
    restart: unless-stopped
    ports:
      - 53:53/udp
      - 8080:80/tcp
      - 4443:443/tcp
      - 853:853/tcp
      - 3000:3000/tcp
    volumes:
      - /docker/adguardhome/confdir:/opt/adguardhome/conf
      - /docker/adguardhome/workdir:/opt/adguardhome/work
      - /docker/swag/config/etc/letsencrypt:/swag-ssl:ro
    networks:
      - swag

networks:
  swag:
    name: swag_default
    external: true

Nous avons ajouté le réseau de Swag afin que les deux puissent communiquer ensemble. Assurez-vous que le nom du réseau soit correct. Ici nous partons du principe qu'il se nomme swag_default

✨ Astuce : Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour

services:
  adguardhome:
    #...
    labels:
      - com.centurylinklabs.watchtower.enable=true

Déployez la stack.

Rendez-vous sur http//ipduserveur:3000 et suivez les instructions

Et voilà, vous avez déployé Adguard !

Exposer Adguard avec Swag

Pour être utilisable hors de chez vous, vous devez exposer Adguard

Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type adguard.mondomaine.fr avec pour CNAME mondomaine.fr et que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT. Redirigez également le port 53 et le port 853 vers votre serveur. Ces ports serviront à router les requêtes DNS.

N'utilisez pas les tunnels cloudflare pour exposer Adguard, et désactivez tout proxy.

Créez et ouvrez le fichier adguard.subdomain.conf

✨ Astuce pour les allergiques au terminal : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal.

sudo vi /docker/swag/config/nginx/proxy-confs/adguard.subdomain.conf

Editez le fichier en appuyant sur i puis copiez la configuration ci-dessous :

## Version 2023/05/31
# make sure that your adguard container is named adguard
# make sure that your dns has a cname set for adguard

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name adguard.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    #if ($lan-ip = yes) { set $geo-whitelist yes; }
    #if ($geo-whitelist = no) { return 404; }
    if ($geo-blacklist = no) { return 404; }

    # enable for ldap auth (requires ldap-location.conf in the location block)
    #include /config/nginx/ldap-server.conf;

    # enable for Authelia (requires authelia-location.conf in the location block)
    #include /config/nginx/authelia-server.conf;

    # enable for Authentik (requires authentik-location.conf in the location block)
    #include /config/nginx/authentik-server.conf;

    location / {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app adguard;
        set $upstream_port 3000;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location /control {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app adguard;
        set $upstream_port 3000;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location /dns-query {
        # to properly use this please set `allow_unencrypted_doh: true` and `force_https: false` in adguard
        # see https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configuration-file
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app adguard;
        set $upstream_port 3000;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }
}

✨ Astuce :

Vous pouvez protéger cette app avec Authentik en ouvrant adguard.subdomain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf;. n'oubliez pas de créer une application et un fournisseur dans Authentik. Il vous faudra exclure l'url https://adguard.mondomaine.fr/dns-query de l'authentification :

Editez le fournisseur d'Adguard
Dans paramètres avancés du protocole > chemins authentifiés, saisissez ^/dns-query

Appuyez sur Echap puis sauvegardez et quittez en tapant :x

Et voilà, vous exposez Adguard à présent !

Configurer le chiffrement SSL/TLS

Le chiffrement est essentiel si vous souhaitez garder privées les requêtes que vous faites vers adguard. Chiffrer ces requêtes c'est vous assurez que personne, meme votre FAI ne connaissent votre historique. C'est aussi vous assurer que personne d'autre que votre serveur vous répond.

Afin de configurer le chiffrement :

Allez dans paramètre puis dans chiffrement.
Parametrez comme suit

Puis en dessous, dans la section certificats cochez Définir un emplacement de fichier du certificat
Dans le champs de saisie, mettez /swag-ssl/live/mondomaine.fr/fullchain.pem en remplaçant mondomaine.fr par votre domaine principal.
Dans clé privée cochez Définir un fichier pour la clef privée
Dans le champs de saisie, mettez /swag-ssl/live/mondomaine.fr/privkey.pem en remplaçant mondomaine.fr par votre domaine principal.
Validez

Et voilà ! Vous avez protégé vos futures requêtes DNS !

Configurer les appareils

Pour configurer vos appareils, vous avez plusieurs choix (que vous pouvez cumuler).

Sécuriser le réseau local

Vous pouvez sécuriser votre réseau local avec adguard en configurant votre box pour que chaque requête DNS soit dirigée par défaut vers adguard plutot que les services de votre FAI. Attention, votre box doit pouvoir permettre le changement de DNS (Orange ne le permet pas).

Généralement cette option est dans les paramètres DHCP de votre box. Pensez bien à ajouter un serveur secondaire tel que :

Cloudlare : 1.1.1.1
Google : 8.8.8.8

En effet, sans cela, si votre serveur tombe, vos appareils n'arriveraient plus à se connecter à internet.

Des appareils peuvent avoir un autre DNS paramétré et ne pas utiliser ceux de la box.

Forcer un navigateur à utiliser Adguard

Dans votre navigateur, vous pouvez configurer un DNS pour le forcer à utiliser adguard home. Dans les paramètres, il vous faudra renseigner l'adresse https://adguard.mondomaine.fr/dns-query

Windows, paramétrer Adguard au niveau système

Dans windows, vous devez paramétrer Adguard pour chaque carte réseau que vous souhaitez utiliser.

Rendez vous dans accueil > Réseau et internet > et choisissez votre carte réseau à modifier
Cliquez sur modifier les DNS (parfois dans propriété du matériel)
Choisissez Manuel
Activez IPv4
Renseignez l'IP publique de votre serveur (celle accessible depuis internet)
Activez DNS sur HTTPS (modèle manuel)
Désactivez retour au texte en clair
Enregistrez

Tous les programmes de votre machine utilisant cette carte réseau seront filtrés par Adguard.

Ajouter des filtres

Allez dans les paramètres et changez les filtres.

DevelopmentIT-Tools

AppsVaultwarden