[3] AdGuard Home – Menu [Ustawienia]

Menu to zawiera 5 kart, które zostaną omówione poniżej. Te ustawienia odpowiadają za konfigurację pracy serwera AdGuard Home.

Ustawienia > Ustawienia główne

[Zablokuj domeny za pomocą filtrów i plików host] – Na samej górze mamy możliwość włączenia lub wyłączenia filtrowania zapytań DNS. Zaznaczona fiszka oznacza włączenie, a co za tym idzie filtrowanie wspomnianych zapytań. Poniżej znajduje się lista wyboru gdzie można ustawić częstotliwość z jaką będzie aktualizowana lista zainstalowanych filtrów w naszym AdGuard Home.

[Użyj usługi sieciowej Bezpieczne przeglądanie AdGuard] – Włączenie tej opcji wysyła niepełną część adresu żądanej witryny skrócona za pomocą SHA256 (w celu anonimizacji). Jeśli AdGuard Home sprawdzi i stwierdzi, że witryna jest bezpieczna to wyśle odpowiedź do klienta w sieci i możliwy będzie do niej dostęp z komputera/hosta klienta, jeśli nie – to zostanie zablokowana.

[Użyj usługi Kontrola Rodzicielska AdGuard] – Witryna jest sprawdzana przez AdGuard Home pod kątem materiałów dla dorosłych. Wysyłanie danych odbywa się w ten sam sposób jak opisano powyżej. Jeśli AdGuard Home stwierdzi, że witryna nie posiada treści dla dorosłych wyśle odpowiedź na zapytanie DNS od klienta/hosta.

[Użyj bezpiecznego wyszukiwania] – W przypadku zaznaczenia tej opcji mamy także możliwość wskazania z jakich wyszukiwarek AdGuard Home ma korzystać. Włączenie tej opcji wymusza bezpieczne wyszukiwanie za pomocą włączonych poniżej wyszukiwarek.

Konfiguracja dzienników

Opcją główną jest zaznaczenie [Włącz dziennik] – bez włączenia tej opcji wszystkie inne ustawienia nie mają żadnej mocy sprawczej.

Zaznaczenie opcji [Anonimizuj adres IP klienta] powoduje nie wyświetlanie oktetu, który może określać komputer – wszystko zależy od maski sieci. Dla maski [255.255.255.0 /24] nie jest wyświetlany ostatni oktet, który określa przecież adres komputera/hosta w sieci.

Następną opcją jest [Rotacja dzienników zapytań]. Pola wyboru określają z jaką częstotliwością są rotowane wspomniane dzienniki. Do wyboru mamy kilka predefiniowanych okresów. Jest też możliwość ustawienia własnego okresu.

Pole tekstowe [Ignorowane domeny] pozwala wpisać domeny, które nie będą zliczane w statystykach. Wpisy dokonujemy jako jedna domena w jednej linii.

Całość zmian zatwierdzamy przyciskiem [Zapisz].

Istnieje też możliwość wyczyszczenia/wyzerowania dzienników. Dokonujemy tego klikając przycisk [Wyczyść dziennik zdarzeń].

Konfiguracja statystyk

W tej sekcji pierwszą z opcji jest włączenie lub wyłączenie gromadzenia/przechowywania statystyk. Możliwe jest także ustawienie jednego z predefiniowanych okresów, przez jaki owe statystyki będą wyświetlane w głównym oknie AdGuard Home. Możliwe jest także ustawienie własnego czasookresy przez jaki będą wyświetlane i gromadzone wspomniane statystyki.

W oknie [Ignorowane domeny] istnieje możliwość wpisania domen, które nie będą uwzględniane w statystykach. Wpisujemy po jednej domenie w wierszu.

Ustawienia > Ustawienia DNS

Główne serwery DNS

W sekcji [Główne serwery DNS] wpisujemy serwery (adresy IP lub FQDN) do których AdGuard Home wysyła zapytanie DNS. Każdy serwer DNS należy wpisać w osobnej linijce.

Należy także wybrać sposób w jaki odpytywane będą – w przypadku pisania dwóch lub więcej – serwery nadrzędne DNS. Nie rozpisuję się więcej na ten temat, bo jest dość jasny opis w AdGuard Home.

Kolejne pole to [Rezerwowe serwery DNS]. W tym polu wpisujemy adresy serwerów, gdy serwery nadrzędne z jakiś przyczyn nie będą dostępne. Składnia i sposób zapisu jest taki sam jak dla nadrzędnych serwerów DNS.

Opcja „Serwery DNS bootstrap” służy do ustawienia serwerów DNS, które będą wykorzystywane na początku procesu rozwiązywania zapytań DNS, zanim system zdobędzie odpowiedzi z innych źródeł (np. pamięci podręcznej). Jest to szczególnie ważne dla zapewnienia, że AdGuard Home może nawiązać połączenie z Internetem i rozpocząć prawidłowe rozwiązywanie zapytań DNS. Wybór odpowiednich serwerów bootstrap pozwala na lepszą kontrolę nad bezpieczeństwem i wydajnością działania.

W polu [Prywatne odwrotne serwery DNS] możemy pisać adresy serwerów DNS, które zostaną użyte do rozwiązywania zapytań PTR, SOA i NS w sieciach prywatnych/lokalnych wykorzystujących prywatne zakresy adresów IP. Wpisujemy po jednym adresie w jednej linii.

Opcja [Użyj prywatnych odwrotnych resolverów DNS] dotyczy odwróconego rozwiązywania DNS (reverse DNS resolution) i służy do konfiguracji systemu DNS w taki sposób, aby zapytania o odwrotne rozwiązywanie adresów IP były kierowane do prywatnych serwerów DNS, zamiast do publicznych, które obsługują takie zapytania. To rozwiązanie zwiększa prywatność użytkowników, zapewnia lepszą kontrolę nad procesem odwrotnego rozwiązywania adresów IP i może poprawić bezpieczeństwo, ponieważ zapytania DNS nie są wysyłane do publicznych usług DNS, które mogą gromadzić dane o aktywności użytkowników.

Opcja [Włącz odwrotne rozpoznawanie adresów IP klientów] pozwala na włączenie mechanizmu odwrotnego rozwiązywania DNS dla adresów IP klientów, które wysyłają zapytania do serwera DNS. W praktyce oznacza to, że AdGuard Home podejmuje próbę przekształcenia adresu IP klienta (np. urządzenia w sieci lokalnej) na odpowiadającą mu nazwę domeny (jeśli taka istnieje).

Odwrotne rozpoznawanie DNS (reverse DNS resolution) to proces, który pozwala na znalezienie powiązanej nazwy domeny na podstawie adresu IP. W klasycznym przypadku, kiedy urządzenie wysyła zapytanie DNS, serwer DNS rozwiązuje nazwę domeny (np. www.example.com) na odpowiadający jej adres IP (np. 93.184.216.34). Odwrotne rozpoznawanie DNS działa odwrotnie – na podstawie adresu IP stara się znaleźć powiązaną nazwę domeny.

Wszystkie dokonane zmiany w tej sekcji należy zapisać klikając przycisk [Zastosuj].

Możliwe jest także sprawdzenie/przetestowanie poprawności działania skonfigurowanych głównych/nadrzędnych serwerów DNS poprzez kliknięcie przycisku [Test głównych serwerów DNS]. Pozytywne zakończenie tego testu sygnalizowane jest stosownym komunikatem w kolorze zielonym na dole okna przeglądarki.

Konfiguracja serwera DNS

Sekcja [Konfiguracja serwera DNS] odpowiada – jak nazwa wskazuje – za ustawienia serwera rozwiązywania nazw.

Pierwsza opcja [Limit ilościowy] ogranicza ilość zapytań w ciągu sekundy, jakie klient może wykonać w celu odpytania AdGuard Home. Jeśli zostanie ustawiona wartość 0 wtedy ograniczenie zostanie wyłączone.

Aby móc ograniczyć prędkość zapytań należy odpowiednio ustawić/skonfigurować długość maski dla podsieci. Jest możliwość ustawienia wspomnianej długości podsieci zarówno dla adresów IPv4 oraz IPv6. Dokonać tego można w polach – odpowiednio dla IPv4 i IPv6 – [Długość maski podsieci dla adresów IPv4] oraz [Długość maski podsieci dla adresów IPv6].

Można wykluczyć poszczególnych klientów/hosty ze wspomnianych powyżej ograniczeń wpisując ich adresy IP (każdy w jednej linii) w polu [Lista zezwoleń ograniczających prędkość].

Opcja [Włącz podsieć klienta EDNS] w AdGuard Home pozwala na przesyłanie dodatkowych informacji o podsieci klienta w zapytaniach DNS, co może poprawić jakość odpowiedzi DNS, zwiększyć kompatybilność z klientami EDNS oraz umożliwić lepsze zarządzanie siecią z wieloma podsieciami. Dzięki temu AdGuard Home staje się bardziej elastyczny i wydajny w obsłudze zapytań DNS w zróżnicowanych sieciach.

Możliwe jest także włączenie niestandardowego adresu IP dla tej opcji – po jej włączeniu pojawi się pole w które należy wpisać wspomniany adres IP.

Opcja [Włącz DNSSEC] aktywuje mechanizmy weryfikacji odpowiedzi DNS przy użyciu protokołu DNSSEC, zapewniając dodatkową warstwę bezpieczeństwa w sieci. Dzięki DNSSEC, użytkownicy mogą mieć pewność, że odpowiedzi DNS, które otrzymują, są autentyczne, integralne i wolne od manipulacji. To szczególnie ważne w kontekście ochrony prywatności oraz zapobiegania atakom typu „man-in-the-middle” czy „DNS spoofing”. Włączenie tej opcji jest zalecane dla każdego, kto chce zwiększyć bezpieczeństwo swojej sieci i chronić się przed nieautoryzowanymi zmianami w odpowiedziach DNS.

Jeśli chcesz wyłączyć rozwiązywanie adresów IPv6 należy zaznaczyć opcję [Wyłącz rozwiązywanie adresów IPv6]. Dodatkowo należy wybrać typ blokowania. Należy także ustawić TTL dla zablokowanej odpowiedzi – czyli czas przez jaki klienty będą buforować zablokowaną odpowiedź.

Wszystkie zmiany dokonane w tej sekcji należy zapisać klikając przycisk [Zapisz].

Konfiguracja pamięci podręcznej DNS

Ta sekcja odpowiada za konfigurację pamięci podręcznej, z której korzysta AdGuard Home w trakcie pracy.

Pierwszą wartością do ewentualnej konfiguracji jest pole [Rozmiar pamięci podręcznej]. W nim to określamy – w bajtach – wielkość/rozmiar pamięci, w której AdGuard Home przechowuje wpisy dotyczące DNS, z której pobiera odpowiedzi to klientów, jeśli zapytanie miało już miejsce. Jeśli chcesz ustawić zerowy rozmiar tej pamięci pozostaw/ustaw to pole puste.

Pole [Nadpisz minimalną wartość TTL] określa czas w sekundach jaki jest dopisywany (przedłużany) do czasu życia wpisu DNS wychodzącego z bufora AdGuard Home podczas odpowiedzi na zapytania DNS. Opcja ta dotyczy wpisów z najkrótszą wartością TTL.

Opcja w polu [Nadpisz maksymalną wartość TTL] odpowiada za ustawienie maksymalnego czasu życia wpisu (TTL) w pamięci podręcznej AdGuard Home.

Zaznaczenie opcji [Optymistyczne buforowanie] pozwala na korzystanie z odpowiedzi AdGuard Home do klientów z pamięci podręcznej nawet w przypadku wygaśnięcia czasu życia wpisu (TTL). Jednocześnie AdGuard Home próbuje owe wpisy odświeżyć.

Wszystkie zmiany dokonane w tej sekcji należy zatwierdzić klikając przycisk [Zapisz].

Możliwe jest także wyczyszczenie wszystkich wpisów, a co za tym idzie – całej pamięci podręcznej – klikając przycisk [Wyczyść pamięć podręczną].

Ustawienia dostępu

W tej sekcji możesz skonfigurować TYLKO DOZWOLONYCH lub TYLKO ZABRONIONYCH klientów, którzy korzystają z AdGuard Home.

W polu [Dozwoleni klienci] możesz wpisać adresy CIDR, adresy IP lub FQDN hostów. Jeśli w tym polu istnieją wpisy to AdGuard Home zaakceptuje żądania TYLKO od tych klientów.

Pole [Niedozwoleni klienci] podobnie jak powyżej może zostać wypełnione adresami CIDR, adresami IP lub FQDN hostów/klientów. Jeśli AdGuard Home zobaczy wpisy w tym polu, żądania od tych klientów zostaną odrzucone. Jeśli w polu powyżej [Dozwoleni klienci] istnieją wpisy, to maja one wyższy priorytet i AdGuard Home zignoruje wpisy w tym polu.

Pole [niedozwolone domeny] zawiera wpisy domen, dla których AdGuard Home usuwa zapytania DNS – nie są one ponadto wpisywane do dziennika zapytań. Nie należy mylić tej listy z filtrami AdGuard Home.

Wszystkie zmiany dokonane w tej sekcji należy zatwierdzić klikając przycisk [Zapisz konfigurację].

Ustawienia > Ustawienia szyfrowania

Główną opcją jest zaznaczenie (włączenie) [Włącz szyfrowanie]. Dopiero zaznaczenie tej opcji pozwala na dalszą konfigurację szyfrowania wykorzystywanego przez AdGuard Home. Powoduje to działanie panelu administracyjnego z wykorzystaniem HTTPS, oraz nasz serwer DNS będzie nasłuchiwał żądań za pomocą DNS-over-HTTPS, a także DNS-over-TLS.

Działanie serwera DNS jest domyślnie włączone, jeśli jednak mamy włączoną szyfrowaną komunikację, możemy także zezwolić na korzystanie z nieszyfrowanego kanału. Możliwe jest całkowite wyłączenie działania AdGuard Home jako serwera DNS z nieszyfrowaną komunikacją, jednak wymagane do tego jest skonfigurowanie co najmniej jednego szyfrowanego serwera nadrzędnego DNS. Wyłączenie to możliwe jest po odznaczeniu opcji [Włącz zwykły DNS].

Po włączeniu opcji szyfrowanej komunikacji, dostępna staję się druga część okna, gdzie w polu [Nazwa serwera] należy wpisać nazwę FQDN hosta AdGuard Home, a nazwa ta musi odpowiadać nazwie w certyfikacie.

Zaznaczenie opcji [Przekieruj automatycznie do HTTPS] powoduje automatyczne przekierowanie żądań HTTP do bezpiecznego protokołu HTTPS.

Można skonfigurować własny niestandardowy port dla komunikacji HTTPS – dokonujemy tego w polu [Port HTTPS].

Możliwe jest także ustawienie/zmiana portów dla komunikacji [DNS-over-TLS] oraz [DNS-over-QUIC]. Dokonać tego możemy w polach noszących odpowiednio nazwy [Port DNS-over-TLS] i [Port DNS-over-QUIC].

Aby możliwe było korzystanie z szyfrowanych połączeń należy także skonfigurować certyfikaty. Do wyboru mamy możliwość certyfikatów z własnym podpisem (odsyłam do najnowszego poradnika, gdzie wyjaśniam proces tworzenia takiego certyfikatu w oparciu o system Rocky Linux 9), lub tez wykupić taki certyfikat w firmie obcej. Dostępne są także darmowe certyfikaty na stronie [letsencrypt.org].

Gdy już będziemy posiadaczami certyfikatu, należy w sekcji [Certyfikaty] albo wskazać ścieżkę do niego, albo wkleić zawartość certyfikatu.

Podobną operację należy przeprowadzić dla [Klucz prywatny] – jedynie wskazujemy/wklejamy jak nazwa wskazuje – klucz prywatny.

Całość zmian zatwierdzamy klikając [Zapisz konfigurację].

Jest też opcja zresetowania zmian do wartości domyślnych – należy wtedy kliknąć przycisk [Resetowanie ustawień].

Ustawienia > Ustawienia klienta

Strona [Ustawienia klienta] podzielona jest na dwie części – zatem przejdźmy do pierwszej sekcji – a mianowicie [Trwali klienci].

Tutaj wyświetlani są klienci, którzy mają przypisane na stałe rekordy w AdGuard Home. Jak widać na poniższym zrzucie ekranu, jak na razie żaden klient nie jest dopisany do listy – aby dopisać klienta do wspomnianej listy trwałych rekordów naciskamy przycisk [Dodaj klienta].

W oknie [Nowy klient] na pierwszej stronie konfiguracyjnej [Ustawienia] w pierwszym polu wpisujemy przyjazną dla nas nazwę klienta. Możemy w kolejnym polu [Tagi] przypisać spersonalizowane tagi, po których będzie nam łatwiej zarządzać grupami klientów.

Następne pole to [Identyfikator]. To tutaj ustawiamy jak AdGuard Home będzie identyfikował/rozpoznawał konkretnego klienta/hosta. Identyfikacja może nastąpić za pomocą adresu IP, MAC, CIDR lub skonfigurowanego ClientID. Jeżeli chcemy dodać więcej opcji identyfikacji do konkretnego klienta/hosta należy nacisnąć znak [+].

W sekcji [Ochrona] jest możliwość spersonalizowania działania serwera DNS AdGuard Home – nie będę się rozpisywał do istniejących tam opcji – albowiem zostało to omówione w rozdziale „Ustawienia główne”. Jedynie wspomnę, że zaznaczenie [Użyj ustawień globalnych] implikuje korzystanie przez klienta z globalnych ustawień (dla całego AdGuard Home), zaś odznaczenie tej opcji włącza nam możliwość personalizacji.

Jedynie krótkiego wyjaśnienia wymaga sekcja [Dziennik zapytań i statystyki].

Zaznaczając opcję [Zignoruj tego klienta w dzienniku zapytań] możemy wykluczyć logowanie zapytań DNS wysyłanych przez niego.

W przypadku zaznaczenia opcji [Ignoruj tego klienta w statystykach] nie będzie brany pod uwagę ruch przez niego generowany.

Przejdźmy teraz do drugiej karty, a mianowicie [Zablokuj określone usługi].

Na tej karcie, jak i na pozostałych pierwsza część okna pozostaje bez zmian – czyli [Nowy klient], [Tagi] i [Identyfikator].

Jeśli przełącznik [Użyj globalnych zablokowanych usług] jest włączony (czerwony kolor) klient korzysta z list blokowania dla całego AdGuard Home. Wyłączenie tej opcji pozwala nam wybrak szczegółowo dla konkretnego klienta/hosta, które usługi mają być zablokowane.

Jest też opcja użycia przyciski [Zablokuj wszystko], który blokuje wszystkie serwisy widniejące poniżej. Odwrotnie działa przycisk [Odblokuj wszystko] – z tym że, wszystkie usługo zostaną odblokowane.

Kolejna karta to [Wstrzymanie blokowania serwisów] – za jej pomocą możemy ustawić harmonogram, zgodnie z którym blokowane będą poszczególne serwisy. Aby można było przygotować nowy harmonogram należy nacisnąć przycisk [Nowy harmonogram].

W nowym oknie wybieramy strefę czasową, następnie dni (szare nieaktywne, zielone aktywne), oraz godziny w których blokowanie serwisów ustawionych w poprzedniej karcie będzie wyłączone.

Po dokonaniu tych zmian klikamy na [Dodaj harmonogram].

Jak widać ustawiony przez Nas harmonogram widnieje na liście.

Ostatnia już karta konfiguracji klienta to [Główne serwery DNS]. Na niej możemy dla konkretnego klienta/hosta skonfigurować z jakich serwerów nadrzędnych DNS klient będzie korzystał. Zasada jest tak sama jak zostało to opisane w sekcji „Główne serwery DNS”.

Jeżeli mamy potrzebę konfiguracji rozmiaru pamięci podręcznej dla poszczególnych klientów/hostów – dokonać tego możemy wpisując odpowiedni rozmiar w polu [Konfiguracja pamięci podręcznej upstream serwerów DNS].

Całość ustawień konfiguracyjnych dla konkretnego klienta zapisujemy klikając przycisk [Zapisz].

Po dodaniu i skonfigurowaniu klienta jest on widoczny na liście.

Modyfikacja konfiguracji jest możliwa poprzez kliknięcie niebieskiej ikony ołówka w kolumnie [Akcja]. Skasowanie ustawień następuje po kliknięciu ikony kosza, która także znajduje się w kolumnie [Akcja].

Druga część okna ustawień klientów to lista znalezionych (za pomocą AR, pliku /etc/hosts i innych metod) urządzeń korzystających lub mogących korzystać z AdGuard Home.

Ustawienia > Ustawienia DHCP

Na tej karcie ustawiamy/konfigurujemy serwer DHCP, który może pracować pod kontrolą AdGuard Home. Pamiętać należy jedynie o tym, że jeśli aktualnie korzystamy z innego serwera DHCP w Naszej sieci (na przykład w routerze), należy go wyłączyć jeśli chcemy korzystać z serwera DHCP wbudowanego w AdGuard Home.

W danej sieci może pracować bowiem TYLKO jeden serwer DHCP. OK – mogą pracować dwa serwery DHCK, ale w trybie Master-Slave, ale o tym w innym artykule 😉

Na samej górze widnieją trzy przyciski służące do podstawowej obsługi serwera DHCP.

[Włącz serwer DHCP] – za jego pomocą włączamy lub wyłączamy serwer DHCP.

[Sprawdź serwery DHCP] – klikając go, AdGuard Home sprawdzi czy w Naszej sieci istnieją inne działające serwery DHCP. W przypadku mojej instalacji AdGuard Home w systemie Rocky Linux 9 działanie tego przycisku zwracało błąd, ponieważ nie potrafiło wykryć czy do posiadanej karty sieciowej został przypisany stały adres IP – a jest przypisany.

[Resetowanie ustawień] – przywraca stan serwera DHCP i jego ustawień do wartości domyślnych.

Pod przyciskami znajduje się lista wyboru karty sieciowej, która ma zostać przypisana do serwera DHCP. To jej interfejs będzie nasłuchiwał żądań przydzielenia i rezerwacji adresów od klientów.

Kolejne dwie sekcje dotyczą konfiguracji adresacji, jak będzie przyznawana klientom DHCP – mamy możliwość skonfigurowania osobno adresacji dla sieci IPv4 oraz IPv6. Opis zaś dotyczył będzie tylko IPv4 – dla IPv6 jest to to samo, z uwzględnieniem zapisu i adresacji dla adresów  IPv6.

W polu [Adres bramy] wpisujemy adres IP urządzenia, które ma pełnić rolę bramy. Przeważnie będzie to masz router, lub inne urządzenie (serwer), które łączy naszą sieć wewnętrzną z Internetem.

[Maska podsieci] to pole wypełniamy przypisaną dla naszej sieci maska. W większości standardowych przypadków dla sieci [192.168.X.0] będzie to [255.255.255.0], dla sieci [172.16.X.X – 172.31.255.255] będzie to [255.240.0.0], zaś dla sieci [10.X.X.X – 10.255.255.255] maska będzie miała wartość [255.0.0.0]. Powtarzam – DLA WIĘKSZOŚCI STANDARDOWYCH przypadków. W razie wątpliwości należy zapytać swojego dostawcę usług internetowych.

Następnie podajemy początkowy i końcowy zakres adresów IP, z którego to klienci będą je otrzymywali. Dokonujemy tego w polach [Zakres adresów IP].

Ostatnim polem jest [Czas dzierżawy DHCP], które odpowiada za to na jaki okres czasu (tutaj w sekundach) klient otrzymuje dzierżawę posiadanego adresu IP.

Zapisu wszystkich zmian dokonujemy klikając [Zapisz konfigurację].

Sekcja [Dzierżawy statyczne DHCP] wyświetla listę klientów, którzy są skojarzeni na stałe z konkretnym adresem IP.

Aby dokonać takiego skojarzenia należy nacisnąć przycisk [Dodaj dzierżawę statyczną].

W wyświetlonym oknie wpisujemy kolejno adres MAC (sprzętowy) karty sieciowej klienta, któremu chcemy przydzielić stały/zarezerwowany konkretny adres IP. W kolejnym polu wpisujemy właśnie adres IP, który chcemy przydzielić. W ostatnim polu wpisujemy przyjazną dla Nas nazwę hosta. Całość ustawień zapisujemy poprzez kliknięcie [Zapisz].

Dodana dzierżawa pokaże się na liście. Jeśli chcemy skasować wszystkie skonfigurowane dzierżawy, możemy dokonać tego klikając [Zresetuj wszystkie dzierżawy].