Hallo zusammen. Ich habe AdGuard Home auf meinem HA-Server installiert. Nun wühle ich mich durch die Einstellungen (und das sind viele und von Netzwerk habe ich nur wenig Ahnung). So wie ich es jetzt eingestellt habe, wird zwar einiges gefiltert (laut Übersicht 25% durch Filter gesperrt), aber z.B. die FritzBox-Oberfläche erreiche ich nur noch über die IP-Adresse (nicht mehr über https://fritz.box) und die in AdGuard angeklickten “Gesperrte Dienste” sind immer noch aller erreichbar. Hat mir jemand vielleicht eine Step-für-Step Anleitung, was ich in AdGuard und in der FritzBox einstellen muss und was auch problemlos funktioniert? Was ich bisher im Internet gefunden habe, bezieht sich anscheinend auf eine ältere Version und die Einstellungen stimmen nicht mit den mir angebotenen Möglichkeiten überein…
Im Grunde müssen alle Geräte die DNS-Anfragen an AdGuard senden, der fragt dann bei der Fritzbox und die beim Provider nach.
Dazu bringt man die Fritzbox dazu, allen Geräten per DHCP die IP des Rechners auf dem HA und AdGuard laufen als DNS-Server zu verteilen.
AdGuard reicht die Anfragen dann (gefiltert) an die Fritzbox weiter.
Ich sage mal, so sollte es gehen:
Dem Rechner, auf dem HA und AdGuard laufen eine feste/statische IP geben, entweder in HA Einstellungen> System> Netzwerk, dort die IP der Fritzbox (in der Regel 192.168.178.1) als DNS und Gateway angeben. Die IP muss außerhalb des Bereichs liegen, die die Fritzbox als DHCP Server an Geräte vergibt. (siehe 3.)
In AdGuard die IP der Fritzbox in Einstellungen> DNS-Server eintragen
In der Fritzbox: Heimnetz> Netzwerk > Netzwerkeinstellungen>IPV4 Einstellungen>Lokaler DNS-Server: Hier die IP des Rechners auf dem HA und AdGuard laufen eingeben.
Dafür sorgen, dass überall die Änderungen aktiviert werden. z.B. das Netzwerkkabel ziehen und wieder stecken oder, am sichersten, alles neu booten, also Fritzbox, HA und vor allem das Gerät mit dem Du testest.
Wenn Du willst, kannst Du das noch überall um IPV6 ergänzen.
Das ist aber nicht zwingend, Du kannst aber auch so über IPV6 kommunizieren, nur die DNS Anfragen (auch für IPV6) erfolgen dann (in deinem Netzwerk) über IPV4.
Eine DNS Umschreibung ist nicht notwendig. Ich habe in Adguard unter DNS-Einstellungen folgende Zeilen als Upstream-DNS-Server eingetragen:
# local (fritz.box)
[/fritz.box/]192.168.178.1
Damit werden alle Anfragen zu fritz.box zurück an selbige geroutet.
Zusätzlich kann man auf der selben Einstellungsseite unter Private inverse DNS-Server folgendes eintragen: 192.168.178.1:53
Damit kann Adguard zu einer IP den lokalen Namen ermitteln.
Danke für den Tipp.
Werde ich mir demnächst mal genauer ansehen.
Als ich vor über 6 Jahren den Adguard Home Docker in Betrieb genommen habe, war mir dies noch nicht bekannt. Aber er läuft auch so seit dem total geräuschlos im Hintergrund.
Kleine Info: Wenn z. B. PROXMOX vorhanden ist, kann man auch sehr schön Pi-hole darauf laufen lassen. Gefällt mir “besser” als Adguard. Habe aber AdGuard als App zusätzlich auf allen Devices installiert.
Finde die Konfiguration von Pi-hole für mich deutlich einfacher.
Kurze Frage zum Verständnis:
ISt die Integration für einen installierten AdGuard gedacht oder erstellt die quasi ne AdGuard Installation?
Ich hab n AdGuard auf Proxmox laufen und könnte den dann ggf. einbinden hier oder? Oder wäre das dann n 2. AdGuard in meinem Netzwerk?
Mit der Integration kann man sich ein eigenes Dashboard bauen. Hier mal mein Überblick mit Schalter, falls ich das filtern mal kurzfristig ausschalten möchte:
Mit pi-hole geht das wohl ähnlich, den hatte ich früher aber ich fand die Upgrades teils umständlich mit händischer Nacharbeit. In der c’t gab es mal einen Artikel mit Vergleich der beiden Lösungen (quasi funktionsgleich) und Tipps zur Einrichtung. Da hatte ich die Info für die DNS Einstellungen auch her.
Besonders spannend ist das ganze Filtern zu beobachten, wenn man die Clients direkt anfragen lässt wie @miami es oben beschrieben hat.
Ich halte die Konfiguration für suboptimal. Dann weist die Fritzbox alle Clients an, Adguard auf HA als DNS-Resolver zu benutzen. Adguard reicht dann aber alle Anfragen erstmal sinnlos zurück an den DNS-Resolver der Fritzbox, der sie dann an die konfigurierten Upstream-DNS-Server der Fritzbox reicht - in der Regel werden das die DNS-Server des Zugangsproviders sein. Der Zwischenschritt über die Fritzbox kostet unnötig Zeit und verursacht unnötig Last auf der Fritzbox und das kann man sich beides sparen.
Und dann habe ich die IPs der Google-DNS-Server als Fallback- und Bootstream-DNS-Server hinterlegt:
8.8.8.8
8.8.4.4
Bei uns gibt es ca. 70.000 DNS-Abfragen pro Tag im Netzwerk. Die erspare ich der Fritzbox alle, die sie ohnehin nicht selbst auflösen, sondern die Anfragen nur weiterreichen kann.
Ja. Nein.
Schritt 3 in den Netzwerkeinstellungen der Fritz!Box weist gerade die Clients an, dass Anfragen direkt an AdGuard zu stellen sind. Ohne diese Einstellung fragen die Clients tatsächlich erst die Fritz!Box, die dann AdGuard fragt.
Schritt 2 sollte so tatsächlich nicht sein, sondern die Fritz!Box nur wie von mir zuvor genannt zusätzlich zu den öffentlichen Upstream Servern eingetragen werden.
Dann hat man erreicht, dass Clients AdGuard direkt fragen und AdGuard nur für lokale Namen bei der Fritz!Box nachfragt.
Übrigens muss in Schritt 1 die lokale IP für AdGuard nicht ausserhalb des Bereichs der Fritz!Box liegen.
An der Stelle kann man sich auch überlegen, ob man nicht auch auf zensurfreie DNS Server umstellt, bspw. von digitalcourage. Ja, eine solche Zensur findet auch in Deutschland statt, allerdings nicht aus politischen Gründen: CUII-Liste: Diese Websites sperren Provider freiwillig
Nein, AdGuard kennt keine Regel im Sinne von: Frage nur für lokale Hostnamen bei 192.168.178.1. nach. Wenn man bei Upstream z.B. 3 Server einträgt und einer davon die Fritzbox ist, dann wird grob ein Drittel der Anfragen immer noch an die Fritzbox gehen. So ganz genau kann man es pauschal nicht sagen, weil AdGuard verschiedene Modi kennt, wie es die definierten Upstream-Server verwendet. Wenn man bestimmte Hostnamen auf lokale IPs auflösen will, kann man dafür unter Adguard » Filter » DNS-Umschreibungen verwenden. Ggf. (nicht getestet) funktioniert es auch, die Fritzbox als Fallback zu definieren, aber wenn sie als UpStream-Server definiert ist, bekommt sie auch Anfragen und das ergibt wenig Sinn.
Wenn Du Dir die Liste der obigen DNS-Resolver anschaust, dann wirst Du feststellen, dass die überwiegend zensurfrei sind…
Also doch so, wie ich es schon beschrieben hatte. Dann kann ich es ja so belassen.
Es gibt keine “beste” Einstellung.
Das musst du nun eine Weile so testen und schauen, ob deine gewählten DNS Server schnell genug sind und es so für dich passt.
Ich habe zB diese für mich als gut befunden:
# Adguard DNS
https://unfiltered.adguard-dns.com/dns-query
# Quad9 DNS
https://dns10.quad9.net/dns-query
# Mullvad DNS
https://dns.mullvad.net/dns-query
# Cloudflare DNS
https://dns.cloudflare.com/dns-query
#Cisco OpenDNS
https://doh.opendns.com/dns-query
Fallback-DNS-Server:
1.1.1.1
1.0.0.1
In der Fritzbox habe ich Adguard Home auch bei Alternativer DNS Server angegeben, damit sich kein Gerät “vorbei mogeln” kann.
Außerdem auch noch bei Heimnetz/Netzwerk → Netzwerkeinstellungen → IPv4-Einstellungen → lokaler DNS Server. So sieht man alle Geräte in AG und welche Adressen sie ansteuern oder was auf den Geräten blockiert wurde.
Dabei muss man dann natürlich bedenken, dass bei einem Ausfall von Adguard Home auch kein Internet mehr funktioniert. Auf die Fritzbox kommt man ja trotzdem noch, um ggf DNS Server zu ändern. Ist bei mir aber seit über 6 Jahren noch nie vorgekommen.
Es kommt dann natürlich auch noch viel auf deine ausgewählten Filterlisten an.
Ich persönlich halte mich da an die Empfehlungen von hier: https://github.com/hagezi/dns-blocklists
Wer mehr über DNS Umgehung von Netzwerkgeräten lesen möchte oder das auch in Verbindung mit einer Fritzbox selbst einrichten möchte, dem empfehle ich diesen Artikel
Das ist hier für PiHole beschrieben, kann allerdings auch für AdGuard umgesetzt werden.
In Mike’s Empfehlungsecke finden sich sich zudem viele DNS Server mit unterschiedlichen Services (z.B. Werbe und Trackingblocker, zensurfrei, etc)
Für mein Verständnis beißt sich AdGuard und Google, ich setze AdGuard ja ein weil ich eben meine Daten nicht preisgegeben möchte.
Falls jemand mit AdGuard auch erreichen möchte, dass die Familienmitglieder sicherer im Internet unterwegs sind, der muss dann unbedingt darauf achten, dass im Endgerät der Nutzer kein privates DNS aktiviert ist. Die Filtereinstellungen von AdGuard werden dadurch umgangen.
Die Hauptfunktion von AdGuard ist es, Werbung zu blocken. Deswegen heißt das Ding auch AdGuard und nicht PrivacyGuard. Google führt DNS-Abfragen nicht mit anderen Daten von anderen Services zusammen, speichert keine Daten im Sinne von “Saarsurfer hat am 08.02.2025 11:45:12 youp0rn.com aufgerufen”. Häufig gestellte Fragen | Public DNS | Google for Developers
Natürlich kann man frei entscheiden, dass man Google trotzdem nicht vertraut und dann passt man seine Liste der Upstreamserver eben entsprechend an. Gibt ja genug.
Die Bootstream-Server werden lediglich benötigt, um die Domains der Upstream-Server auflösen zu können. Das einzige was da zählt, ist maximale Verfügbarkeit. Deswegen würde ich da nicht die Server von Mullvad, Digitalcourage u.ä. eintragen.