Einsteinium PostĂ©(e) le 27 fĂ©vrier 2022 PostĂ©(e) le 27 fĂ©vrier 2022 PrĂ©ambule Bonjour Ă tous, Nous allons voir aujourdâhui lâinstallation dâun serveur AdGuard en docker version express et sa configuration de base avec sous domaine. Qui dit sous domaine⊠dit certificat ! Donc je vous invite Ă suivre ce tutoriel, car je partirai du principe oĂč vous lâavez suivi :  I - PrĂ©paration de l'installation A ) On commence par lâaugmentation dâune limite du serveur « UDP Receive Buffer Size », faire une tĂąche qui s'exĂ©cutera au dĂ©marrage : Panneau de configuration / Planificateurs de tĂąches / CrĂ©er / TĂąche dĂ©clenchĂ©e / Script dĂ©fini par l'utilisateur Avec pour utilisateur "root", en Ă©vĂšnement "DĂ©marrage", que lâon dĂ©sactive et dans le script on inscrit : echo net.core.rmem_max=2500000 >> /etc/sysctl.conf sysctl -p ExĂ©cutez manuellement la tĂąche pour appliquer la modification, cette modification est permanente, mais gardez la tĂąche de cĂŽtĂ© au cas oĂč un update ferait sauter cette derniĂšre. B ) On commence par la crĂ©ation d'un dossier "AdGuard" dans le dossier "docker" C ) CrĂ©ation de 2 sous dossiers que vous crĂ©ez dans le dossier "AdGuard" : "confdir" et "workdir"  II - CrĂ©ation du docker A ) Le script du docker La crĂ©ation d'un fichier "dockeradguard.sh" dans le dossier "AdGuard" contenant les lignes suivantes : #!/bin/sh docker pull adguard/adguardhome:latest docker stop AdGuard docker rm AdGuard docker image prune -f docker volume ls -qf dangling=true | xargs -r docker volume rm docker run -d \ --cpu-shares=10 \ --memory=1G \ --memory-swap=1G \ --name=AdGuard \ -v /volume1/docker/AdGuard/workdir:/opt/adguardhome/work:rw \ -v /volume1/docker/AdGuard/confdir:/opt/adguardhome/conf:rw \ -v /volume1/docker/Acme/domain.tld:/opt/adguardhome/cert:ro \ -p 53:53/tcp -p 53:53/udp \ -p 3000:3000/tcp \ --restart always \ adguard/adguardhome:latest exit 0  B ) Les variables Ă personnaliser 1 ) La mĂ©moire --memory=1G \ --memory-swap=1G \ Ici le rĂ©glage est pour 1Go, alors je dĂ©bute dans AdGuard, je sais que les updates de liste mangent de la mĂ©moire donc jâai prĂ©vu trĂšs large, nĂ©anmoins vous pouvez rĂ©duire ces valeurs, jamais vu le docker au dessus de 100Mo, il faudra mettre alors pour : 128Mo : 128M 256Mo : 256M La variable memory-swap = memory, empĂȘche le docker de dĂ©border dans le swap une fois la limite de mĂ©moire max atteinte. 2 ) Les certificats Si vous avez suivi le tutoriel mis en prĂ©ambule alors ici il ne reste qu'Ă personnaliser cette ligne en remplaçant « domain.tld » : -v /volume1/docker/Acme/domain.tld:/opt/adguardhome/cert:ro \ 3 ) Le port Une fois la configuration de base faite en seconde partie, vous pourrez supprimer ce port qui deviendra inutile du script : -p 3000:3000/tcp \  C ) CrĂ©ation et update journalier Nous crĂ©ons une tĂąche qui exĂ©cutera notre fichier tous les jours Ă 5h30 : Panneau de configuration / Planificateurs de tĂąches / CrĂ©er / TĂąche planifiĂ©e / Script dĂ©fini par l'utilisateur Avec pour utilisateur "root" et dans le script le chemin de notre fichier "/volume1/docker/AdGuard/dockeradguard.sh" ExĂ©cutez manuellement la tĂąche pour la crĂ©ation initiale.  VoilĂ Â c'est terminĂ©, on ouvre temporairement dans le pare-feu du nas le port 3000, en seconde partie je donne les configurations. Adresse du serveur : http://ipdunas:3000 0 Citer
Einsteinium PostĂ©(e) le 27 fĂ©vrier 2022 Auteur PostĂ©(e) le 27 fĂ©vrier 2022 Je vous donne ma configuration, le serveur adguard fera ses requĂȘtes en DoH. A vous ensuite de personnaliser Ă votre sauce, cela n'est vraiment que pour vous donner une base de dĂ©part et vous invite Ă en dĂ©battre le cas Ă©chĂ©ant si votre avis diverge ou si vous voulez rajouter votre touche. Premier lancement Adresse du serveur : http://ipdunas:3000 Etape 1/5 : On clique sur "C'est parti" Etape 2/5 : Interface web administrateur, on modifie le port 80 par 3000, puis on valide par "Suivant" Etape 3/5 : Ici pas besoin de dĂ©tail đ Etape 4/5 : On clique sur "Suivant" Etape 5/5 : On valide avec "Ouvrir le Tableau de bord"  CrĂ©ation du sous domaine pour AdGuard : Pour DSM 7, n'ayant plus vue sur DSM 6 Dans Panneau de configuration / SĂ©curitĂ© / AvancĂ© / Niveau de profil TLS / SSL : CompatibilitĂ© intermĂ©diaire Dans : Panneau de configuration / Portail de connexion / AvancĂ© A ) CrĂ©ation d'un profil d'accĂšs afin que AdGuard ne soit pas accessible Ă distance On Clique sur le bouton "Profil de contrĂŽle d'accĂšs" puis "CrĂ©er". Nom du profil : Lan On clique ensuite deux fois sur "CrĂ©er" et on met : Sur la premiĂšre ligne en IP source : 192.168.0.0/24 ou 192.168.1.0/24 en fonction de votre rĂ©seau puis on laisse "Autoriser" Sur la seconde ligne on n'inscrit rien en IP source et on choisit "Refuser" Maintenant on peut sauvegarder. B ) CrĂ©ation du sous domaine On clique sur le bouton "Proxy inversĂ©" puis "CrĂ©er". Dans GĂ©nĂ©ral : Nom du proxy inversĂ© : AdGuard Source : - Protocole : HTTPS - Nom d'hĂŽte : adguard.ndd.fr - port : 443 Activer HSTS âïž Profil de contrĂŽle dâaccĂšs : Lan (du point prĂ©cĂ©dent) Destination : - Protocole : HTTPS - Nom d'hĂŽte : localhost - Port : 3001 Dans En-tĂȘte personnalisĂ©e : On fait "CrĂ©er" puis "WebSocket" Dans ParamĂštres avancĂ©s : Les 3 dĂ©lais Ă 60 Version HTTP du proxy : HTTP 1.1 Utiliser la page d'erreur renvoyĂ©e par le serveur cible La configuration AdGuard Si je ne prĂ©cise pas un point particulier, alors c'est que le champs est par dĂ©faut. Dans ParamĂštres / ParamĂštres gĂ©nĂ©raux : On va rĂ©duire l'intervalle de mise Ă jour des filtres Ă 12 heures, un juste milieu, la valeur suivante Ă©tant une heure... cela est un peu disproportionnĂ©. Les 3 cases suivantes sont cochĂ©es chez moi, lĂ c'est Ă vous de voir, perso je vous le recommande surtout si vous avez des enfants. Configuration du journal : On coche Anonymiser l'IP du client et on rĂ©duit la rĂ©tention du journal des requĂȘtes Ă 30 jours pour rĂ©duire la lourdeur des logs. Dans ParamĂštres / ParamĂštres DNS : Serveurs DNS upstream : https://family.cloudflare-dns.com/dns-query Alors ici j'ai mis les adresse dns doh de cloudflare en mode "family" qui bloque les logiciels malveillants et le contenu rĂ©servĂ© aux adultes. Serveurs DNS d'amorçage : 1.1.1.3 1.0.0.3 2606:4700:4700::1113 2606:4700:4700::1003 Qui correspondent au serveur mis prĂ©cĂ©demment. Configuration du serveur DNS : Limite de taux : 0 Activer DNSSEC âïž Mode du blocage : IP nulle Configuration du cache DNS : Remplacer le TTL minimum : 300 Remplacer le TTL maximum : 86400 Caching optimiste âïž Dans ParamĂštres / ParamĂštres de chiffrement : Activer le Chiffrement (HTTPS,......) : âïž Nom du serveur : adguard.ndd.fr Port HTTPS : 3001 Emplacement du certificat : /opt/adguardhome/cert/fullchain.cer Emplacement de la clef privĂ©e : /opt/adguardhome/cert/domain.tld.key (modifier domain.tld)  Dans Filtres / Listes de blocage DNS : 1) On Active "AdAway Default Blocklist" 2) On clique sur "Ajouter liste de blocage" puis "Choisissez dans la liste" Dans "Choisir des listes de blocage", on coche tout sauf les "RĂ©gional" 3) On clique sur "Ajouter liste de blocage" puis "Ajouter une liste personnalisĂ©e", on le fera Ă 4 reprises pour les listes suivantes : Mobile ads filter / https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_11_Mobile/filter.txt Social media filter / https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_4_Social/filter.txt URL Tracking filter / https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_17_TrackParam/filter.txt Tracking Protection filter / https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt  C'est terminĂ© pour les rĂ©glages, on peut donc faire le point II - B ) 3 ) du tutoriel et supprimer le port 3000 du pare feu du nas, on ouvrira le port 53 en TCP & UDP dans le pare-feu du nas vers l'ip du routeur, vous accĂ©dez dĂ©sormais Ă la configuration de adguard via son sous domaine et il ne vous reste plus qu'Ă indiquer dans votre routeur en serveur l'ip de votre nas đ Pour testĂ© la bonne activation du DoH : https://1.1.1.1/help 0 Citer
.Shad. Posté(e) le 27 février 2022 Posté(e) le 27 février 2022 (modifié) Pourquoi https://localhost:3001 pour le proxy inversé. Le port 3001 n'est mentionné nulle part ailleurs, tu voulais pas dire 3000 ? Et pourquoi https ? Adguard s'expose par défaut sur un port sécurisé ? Autre chose, pour l'écriture en octet pour la mémoire dans docker cli, tu peux utiliser le "M" pour mega. Donc 128Mo -> 128M. Merci pour le tuto sinon, je testerai un jour pour comparer avec Pihole. Modifié le 27 février 2022 par .Shad. 0 Citer
Einsteinium PostĂ©(e) le 27 fĂ©vrier 2022 Auteur PostĂ©(e) le 27 fĂ©vrier 2022 il y a 25 minutes, .Shad. a dit : Pourquoi https://localhost:3001 pour le proxy inversĂ©. 3000 http, 3001 https avec AdGuard, le port est visible dans la configuration que je donne, je lâai donc mis dans le reverse, par habitude avec Plex, ou cela cause des problĂšmes, bref vieille habitude. AprĂšs Ă la base je fessais du DoT de bout en bout lors de mes test, donc câĂ©tait nĂ©cessaire, avant de me ravisĂ© et de ne faire que du dns simple entre le docker et le routeur avec du DoH entre AdGuard et le Wan. il y a 36 minutes, .Shad. a dit : Autre chose, pour l'Ă©criture en octet pour la mĂ©moire dans docker cli, tu peux utiliser le "M" pour mega. Donc 128Mo -> 128M. Effectivement pour la mĂ©moire, la encore une vieille habitude, jâĂ©diterais le tutoriel, car effectivement plus simple pour les novices. il y a 37 minutes, .Shad. a dit : Merci pour le tuto sinon, je testerai un jour pour comparer avec Pihole. A la base jâai Ă©tĂ© sĂ©duit par le fait de ne pas avoir besoin de super droit et le fait de pouvoir faire du doh/dot principalement et dâautres options bien sympathiques directement aussi (recherche sĂ©curisĂ© et cieâŠ), voilĂ une comparaison sommaire : https://github.com/AdguardTeam/AdGuardHome#comparison-pi-hole Apres niveau interface, rapiditĂ© et fluidité⊠Que du bon. 0 Citer
MilesTEG1 PostĂ©(e) le 27 fĂ©vrier 2022 PostĂ©(e) le 27 fĂ©vrier 2022 (modifiĂ©) Hello đ @Einsteinium Ton tuto m'intĂ©resse pour certains rĂ©glages au niveau du DoT/DoH. J'ai actuellement une installation fonctionnelle de Adguard-Home en macvlan, mais sans utiliser de nom de domaine ni de https pour ADGH. J'ai ça comme rĂ©glages dans l'onglet DNS : (clic pour zoomer)  Lien vers l'image : https://i.imgur.com/3JgyTrQ.png Mais du coup, je ne sais pas si les requĂȘtes DNS partent bien en DoH... Faut que je tente avec tes rĂ©glages pour voir ^^ et donc que je monte le certificat ACME. Mais du coup, question, pourquoi tu fais crĂ©er le conteneur avec un script que tu lances tous les jours ? C'est pour en faire une MAJ tous les jours s'il y en a une de dispo ? Perso, je passe par Portainer pour crĂ©er mes conteneurs, et j'utilise watchtower pour faire les MAJ.  ModifiĂ© le 27 fĂ©vrier 2022 par MilesTEG1 0 Citer
Einsteinium PostĂ©(e) le 27 fĂ©vrier 2022 Auteur PostĂ©(e) le 27 fĂ©vrier 2022 Il y a 1 heure, MilesTEG1 a dit : Mais du coup, je ne sais pas si les requĂȘtes DNS partent bien en DoH... https://1.1.1.1/help Il y a 1 heure, MilesTEG1 a dit : Mais du coup, question, pourquoi tu fais crĂ©er le conteneur avec un script que tu lances tous les jours ? C'est pour en faire une MAJ tous les jours s'il y en a une de dispo ? Perso, je passe par Portainer pour crĂ©er mes conteneurs, et j'utilise watchtower pour faire les MAJ. Exactement, perso je n'utilise aucun docker avec de super droit et au final cela revient au mĂȘme, alors oui la c'est chaque jour, mais cela reload chaque jour les dock. 0 Citer
MilesTEG1 PostĂ©(e) le 27 fĂ©vrier 2022 PostĂ©(e) le 27 fĂ©vrier 2022 Il y a 2 heures, Einsteinium a dit : https://1.1.1.1/help Oh ! Top, merci đ Vu ce qui va suivre, je pense que c'est tout bon pour le DoH đ Mais pas pour le DoT. Y a moyen d'avoir ça aussi ? Ou bien c'est l'un ou l'autre ?  0 Citer
MilesTEG1 PostĂ©(e) le 27 fĂ©vrier 2022 PostĂ©(e) le 27 fĂ©vrier 2022 il y a 26 minutes, .Shad. a dit : C'est l'un ou l'autre. Ok, c'est ce que je me disais en voyant les rĂ©glages dans les navigateurs đ 0 Citer
MilesTEG1 Posté(e) le 28 février 2022 Posté(e) le 28 février 2022 Du coup, je reste sur ma maniÚre d'installer/configurer mes conteneurs ^^ Par contre, est-ce d'une utilité particuliÚre que je fasse la manip du certificat et du nom de domaine pour adguard ? 0 Citer
Shiraz Adama PostĂ©(e) le 26 fĂ©vrier 2023 PostĂ©(e) le 26 fĂ©vrier 2023 Bonjour, Merci pour ce tuto. Par contre lors du dĂ©ploiement du conteneur via le script, j'ai une erreur qui empĂȘche de le lancer.  docker: Error response from daemon: driver failed programming external connectivity on endpoint AdGuard (18336e8478e7a6f213d1a19cea600cf61131df2fb8a1f5855bf3551d2d9d3006): Error starting userland proxy: listen tcp4 0.0.0.0:53: listen: address already in use. Ce que je comprends, un autre programme Ă©coute dĂ©jĂ le port 53, comment identifier ce programme ? Alors j'ai mal interprĂ©ter l'erreur. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.