AdGuard Home på Raspberry Pi
– til dem der ikke vil rode med Pi-hole

Pi-hole vs AdGuard: den ærlige version

Pi-hole er teknisk set fremragende. Den er moden, veldokumenteret og har et aktivt community. Problemet er at standardblocklisten er aggressiv nok til at knække et par legitime sites om ugen, og så sidder man der og whitelist-er domæner mens resten af husstanden venter på at tingene virker igen. Jeg endte med en hel tekstfil med undtagelser og brugte stadig tid på det måneder efter.

AdGuard Home har langt mere konservative standardindstillinger. Den blokerer det åbenlyse uden at ramme det uskyldige. Dertil kommer forældrekontrol og safe search der fungerer fra dag ét uden ekstra opsætning, og per-enhed regler der giver granulær kontrol uden at det kræver en weekend at sætte op.

Pi-hole er stadig det rigtige valg for power users der vil styre alt og ikke har nogen hjemme der klager. AdGuard er det rigtige valg for alle andre.

Hvad du har brug for

• Raspberry Pi (3, 4 eller 5) med Raspberry Pi OS Bookworm/Bullseye, eller Ubuntu Server 22.04/24.04
• USB3 SSD-adapter + 120 GB+ SSD (stærkt anbefalet over SD-kort, se Pi-hole guiden for detaljer)
• Docker og Docker Compose installeret
• SSH-adgang
• En statisk eller reserveret IP-adresse til Pi'en

Har du ikke sat en statisk IP op endnu, se afsnittet om statisk IP i Pi-hole opsætningsguiden. Fremgangsmåden er den samme.

Docker Compose installation

AdGuard Home kører som én enkelt binary, men med Docker Compose er det nemt at opdatere og administrere sammen med andre services på samme Pi.

Opret en mappe og en docker-compose.yml:

mkdir ~/adguardhome && cd ~/adguardhome

version: "3"
services:
  adguardhome:
    image: adguard/adguardhome:latest
    container_name: adguardhome
    restart: unless-stopped
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
      - "3000:3000/tcp"
    volumes:
      - ./work:/opt/adguardhome/work
      - ./conf:/opt/adguardhome/conf

Start containeren:

docker compose up -d

AdGuard Home kører nu og venter på at blive konfigureret via opsætningsguiden på port 3000.

Opsætningsguiden (port 3000)

Første gang skal du igennem en wizard. Gå til:

http://[pi-ip]:3000

Wizarden beder dig vælge netværksinterface, sætte admin-brugernavn og adgangskode, og til sidst viser den hvad du skal konfigurere på din router. Brug den IP du har reserveret til Pi'en.

Når wizarden er færdig, er webgrænsefladen tilgængelig på port 80:

http://[pi-ip]

Port 3000 bruges kun til første opsætning.

Router DNS konfiguration

For at alle enheder på netværket bruger AdGuard Home, skal du pege routerens DHCP-DNS på Pi'ens IP. Log ind på din router (typisk 192.168.1.1 eller 192.168.0.1), find DHCP-indstillingerne og sæt primær DNS til Pi'ens IP.

Primær DNS:    192.168.1.100   (Pi'ens IP)
Sekundær DNS:  1.1.1.1         (Cloudflare fallback)

Genstart enheder på netværket eller forny DHCP-lease for at de begynder at bruge AdGuard Home.

DNS upstream og DoH

Under Settings, DNS settings, kan du vælge upstream DNS-servere. Standardvalget er fine, men du kan skifte til Cloudflare (1.1.1.1), Quad9 (9.9.9.9) eller aktivere DNS-over-HTTPS direkte fra grænsefladen:

https://dns.cloudflare.com/dns-query
https://dns.quad9.net/dns-query

AdGuard Home understøtter DoH og DoT uden ekstra konfiguration. Det er bygget ind fra starten, til forskel fra Pi-hole hvor det kræver Unbound eller en separat DoH-proxy.

Blocklists: standarden er god nok

Under opsætningen tilføjes AdGuard DNS filter automatisk. Det dækker ca. 50.000 domæner og er bevidst konservativt. De fleste familier behøver ikke mere end det.

Vil du tilføje mere, gå til Filters, DNS blocklists, Add blocklist. OISD Basic er et godt valg:

https://big.oisd.nl/

Steven Black er et alternativ, men mere aggressivt. Start med OISD Basic og se om det giver false positives på dit netværk inden du skruer op. Det er nemmere at tilføje bagefter end at finde ud af at noget er knækket fordi en blocklist er for aggressiv.

Opdatér alle blocklists via Filters, DNS blocklists, Update all. Det sker også automatisk efter standardplanen.

Forældrekontrol og Safe Search

Her adskiller AdGuard Home sig mest fra Pi-hole. Gå til Settings, General settings:

• Parental control: Blokerer kategorier som adult content, gambling og lignende på DNS-niveau
• Safe search: Tvinger Google, Bing og YouTube til safe search-tilstand

Begge aktiveres med et enkelt klik. Pi-hole kan opnå noget lignende, men det kræver manuelle DNS-overrides og ekstra blocklister. Her er det bare en toggle, og den virker.

Per-enhed regler

Under Settings, Client settings, kan du tilføje enheder ved MAC-adresse eller IP og give dem individuelle indstillinger. Børnenes tablets kan have parental control aktiveret og safe search tvunget, mens voksen-computerne kører med standardindstillinger.

Kender du ikke enhedernes MAC-adresser, finder du dem i din routers DHCP-tabel eller direkte i AdGuard Homes query log, som identificerer klienter automatisk.

Test at det virker

Fra en terminal på en enhed på netværket:

nslookup doubleclick.net [pi-ip]

Returnerer den 0.0.0.0, blokerer AdGuard Home korrekt. Query Log i webgrænsefladen viser hvilken regel der traf og om forespørgslen blev blokeret eller tilladt. Den er langt mere detaljeret end Pi-holes standard log.

Nyttige kommandoer

# Genstart AdGuard Home
docker compose restart adguardhome

# Følg logs
docker compose logs -f adguardhome

# Stop
docker compose down

# Opdatér til ny version
docker compose pull && docker compose up -d

Hvad AdGuard IKKE gør

AdGuard Home blokerer DNS-forespørgsler, ikke HTTPS-trafik. YouTube-reklamer serveres fra Googles egne domæner og blokeres ikke. Det er ikke et bug. Det er en arkitekturbegrænsning ved DNS-baseret blokering generelt, og den deles med Pi-hole.

Apps med hardcoded DNS-servere omgår AdGuard Home på samme måde. Det er ikke almindeligt, men det sker. Løsningen er DNS-interception i routeren, men det er udenfor denne guides scope.

AdGuard Home laver heller ikke HTTPS inspection. Den ser domænet i DNS-forespørgslen, ikke indholdet af HTTPS-trafikken.

Til de fleste familier er AdGuard det rigtige valg

Pi-hole er stadig fremragende software, men det er skrevet til folk der gider vedligeholde det. AdGuard Home kræver langt mindre opmærksomhed, har bedre standardindstillinger for et familienetværk og giver forældrekontrol uden ekstra arbejde.

Installationen tager 15 minutter. Konfigurationen er ligetil. Og de næste seks måneder bruger du ikke en weekend på at whitelist-e domæner du aldrig har hørt om.

Kilder

• AdGuard Home på GitHub
• adguard.com — AdGuard Home oversigt
• OISD blocklist