AdGuard Home : bloquer publicités et trackers sur tout le réseau LAN

Chaque fois qu'un appareil de votre réseau domestique ou d'entreprise charge une page web, consulte une application, ou simplement vérifie ses mises à jour, il émet des requêtes DNS vers des serveurs tiers. Ces requêtes révèlent vos habitudes de navigation, les applications que vous utilisez, vos horaires de connexion — des données précieuses pour les régies publicitaires et les acteurs du tracking. Au-delà de la vie privée, les publicités constituent un vecteur d'attaque réel : le malvertising (publicité malveillante) est responsable d'une part croissante des infections par malware, les utilisateurs cliquant sur des bannières publicitaires piégées hébergées sur des réseaux publicitaires légitimes compromis. La solution : un DNS sinkhole, un serveur DNS local qui filtre les requêtes vers les domaines publicitaires et malveillants avant même qu'ils n'atteignent les appareils du réseau. AdGuard Home est aujourd'hui la solution de DNS sinkhole la plus avancée dans la catégorie open source. Plus complet que Pi-hole (son principal concurrent), il intègre nativement le DNS chiffré (DoH, DoT, DoQ), une interface moderne, un contrôle parental évolué et une gestion multi-utilisateurs. Ce guide couvre l'installation, la configuration complète, les meilleures listes de blocage, le déploiement en haute disponibilité et les bonnes pratiques de sécurité DNS pour protéger l'ensemble de votre réseau.

AdGuard Home vs Pi-hole — comparatif fonctionnel et technique

Pi-hole et AdGuard Home sont les deux solutions open source dominantes pour le DNS sinkhole. Si Pi-hole a été le pionnier, AdGuard Home a rapidement comblé ses lacunes et surpassé son rival sur plusieurs points.

Avantages d'AdGuard Home par rapport à Pi-hole :

• DNS chiffré natif : AdGuard Home supporte nativement DNS over HTTPS (DoH), DNS over TLS (DoT) et DNS over QUIC (DoQ) en tant que serveur — ce qui permet aux clients du réseau de résoudre leurs requêtes DNS de manière chiffrée. Pi-hole nécessite un composant supplémentaire (Unbound ou cloudflared) pour offrir des fonctionnalités équivalentes.
• Un seul binaire Go : AdGuard Home est distribué comme un seul binaire compilé en Go, sans dépendance externe. Pi-hole est un ensemble de scripts Bash et de composants (dnsmasq/FTL, PHP, lighttpd) plus difficile à maintenir sur des systèmes non standard.
• Interface web moderne et réactive : l'UI d'AdGuard Home est plus moderne, plus intuitive, et propose des statistiques plus détaillées.
• Filtrage par utilisateur : AdGuard Home peut associer des règles de filtrage distinctes à des utilisateurs ou des groupes d'appareils identifiés par leur IP ou leur MAC address.
• Mises à jour automatiques : AdGuard Home se met à jour depuis l'interface web sans réinstallation.

Avantages de Pi-hole :

• Communauté plus ancienne et plus vaste, beaucoup plus de tutoriels et de ressources.
• Intégration native avec Gravity (gestionnaire de listes de blocage) très mature.
• Client DHCP intégré plus éprouvé.

Verdict : Pour une nouvelle installation en 2026, AdGuard Home est le choix recommandé, particulièrement si vous souhaitez le DNS chiffré natif ou un déploiement sur Raspberry Pi, NAS ou conteneur Docker.

Installer AdGuard Home sur Linux et Raspberry Pi

AdGuard Home s'installe en quelques minutes sur pratiquement n'importe quelle plateforme Linux. Le script d'installation officiel gère l'ensemble du processus.

Installation avec le script officiel (Linux x86_64, ARM) :

# Méthode recommandée : script officiel AdGuard
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v

# AdGuard Home est installé dans /opt/AdGuardHome/
# Le service systemd est créé automatiquement
systemctl status AdGuardHome

Installation manuelle (si vous préférez contrôler le processus) :

# Télécharger la dernière version pour votre architecture
# Sur Raspberry Pi 4 (ARM 64-bit) :
wget https://github.com/AdguardTeam/AdGuardHome/releases/latest/download/AdGuardHome_linux_arm64.tar.gz
tar -xzf AdGuardHome_linux_arm64.tar.gz
sudo ./AdGuardHome/AdGuardHome -s install

Via Docker (pour NAS Synology, QNAP, ou serveur Linux) :

docker run --name adguardhome \
  -v /opt/adguardhome/work:/opt/adguardhome/work \
  -v /opt/adguardhome/conf:/opt/adguardhome/conf \
  -p 53:53/tcp -p 53:53/udp \
  -p 80:80/tcp \
  -p 443:443/tcp \
  -p 3000:3000/tcp \
  --restart unless-stopped \
  -d adguard/adguardhome

Vérifier que le port 53 est libre : Sur Ubuntu 22.04+, le service systemd-resolved occupe le port 53 par défaut. Il faut le désactiver avant d'installer AdGuard Home :

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved
# Modifier /etc/resolv.conf pour pointer vers 127.0.0.1
echo "nameserver 127.0.0.1" | sudo tee /etc/resolv.conf

Configuration initiale — interface, port DNS et Web UI

Lors du premier lancement, AdGuard Home affiche un assistant de configuration accessible sur le port 3000. Ouvrez http://IP-SERVEUR:3000 dans votre navigateur.

L'assistant de configuration guide à travers :

1. Interface d'administration : choisissez sur quelle interface écoute l'interface web (généralement 0.0.0.0:3000 ou 0.0.0.0:80).
2. Interface DNS : sélectionnez 0.0.0.0:53 pour écouter sur toutes les interfaces (ou une IP spécifique pour plus de contrôle).
3. Compte administrateur : créez un identifiant et un mot de passe forts pour l'accès à l'interface d'administration.

Après l'assistant, accédez à l'interface principale sur le port configuré. Le tableau de bord affiche en temps réel : nombre de requêtes DNS, taux de blocage, principales requêtes bloquées, principaux clients DNS.

Configuration des DNS upstream (serveurs DNS de résolution) : Dans Settings → DNS Settings → Upstream DNS servers, saisissez les serveurs DNS en amont que AdGuard Home utilisera pour résoudre les requêtes non bloquées :

# Cloudflare DNS (DoH)
https://cloudflare-dns.com/dns-query
# Google DNS (DoH)
https://dns.google/dns-query
# Quad9 (filtrage malware, DoH)
https://dns.quad9.net/dns-query
# Ou pour les DNS traditionnels :
8.8.8.8
1.1.1.1

Activez "Load-balancing" pour distribuer les requêtes entre plusieurs upstream DNS.

Configurer votre routeur pour utiliser AdGuard Home

Pour que tous les appareils du réseau bénéficient du filtrage AdGuard Home, la méthode la plus efficace est de configurer le routeur pour distribuer l'IP du serveur AdGuard Home comme serveur DNS via DHCP.

Méthode 1 — Configurer le DHCP du routeur (recommandé) :

1. Connectez-vous à l'interface de gestion de votre routeur (généralement 192.168.1.1).
2. Recherchez les paramètres DHCP (serveur DHCP, options DHCP).
3. Modifiez le(s) serveur(s) DNS distribués par DHCP pour pointer vers l'IP du serveur AdGuard Home (ex : 192.168.1.50).
4. Optionnellement, définissez un DNS secondaire (l'IP d'un second serveur AdGuard Home pour la redondance, ou 1.1.1.1 comme fallback).

Après cette modification, tous les nouveaux baux DHCP attribueront l'IP AdGuard Home comme DNS. Les appareils existants devront renouveler leur bail (ipconfig /release && ipconfig /renew sur Windows, ou simplement débrancher/rebrancher le WiFi).

Méthode 2 — Utiliser AdGuard Home comme serveur DHCP : AdGuard Home intègre un serveur DHCP qui peut remplacer celui du routeur. Activez-le dans Settings → DHCP Settings. Cette approche donne à AdGuard Home une visibilité totale sur les appareils du réseau (correspondance IP ↔ nom de l'équipement) et simplifie la configuration. Désactivez d'abord le serveur DHCP du routeur avant d'activer celui d'AdGuard Home pour éviter les conflits.

Méthode 3 — Configurer les DNS statiquement sur chaque appareil : Moins pratique, cette méthode consiste à configurer manuellement le DNS sur chaque appareil. Utile pour tester ou pour les appareils qui ignorent les DNS distribués par DHCP (certains smartphones Google ou Amazon qui utilisent des DNS codés en dur — voir la section sur les règles personnalisées).

Listes de blocage — ajouter et personnaliser

La qualité du filtrage d'AdGuard Home dépend directement des listes de blocage (blocklists) utilisées. Ces listes recensent les domaines publicitaires, de tracking, malveillants ou indésirables.

Listes recommandées en 2026 :

• AdGuard DNS filter (incluse par défaut) : liste officielle AdGuard, mise à jour fréquemment, bonne couverture publicités et tracking.
• OISD (One Indicator of Suspicion for Domains) — https://big.oisd.nl/domainswild : liste très complète (~1,7M domaines), faible taux de faux positifs.
• Hagezi's DNS Blocklists — https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.txt : excellente couverture tracking, multilingue.
• Steven Black's Unified Hosts — https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts : liste éprouvée avec modes fusionnés (publicités + malware + fake news optionnel).
• Malware Filter — https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-agh.txt : domaines hébergeant des malwares (URLhaus).

Ajouter une liste dans AdGuard Home : Filters → DNS Blocklists → Add blocklist → Enter custom list URL. Saisissez l'URL de la liste et un nom descriptif. AdGuard Home télécharge et met à jour automatiquement les listes selon l'intervalle configuré (par défaut : toutes les 24 heures).

Conseil sur le choix des listes : Ne pas accumuler des dizaines de listes redondantes. Une combinaison de 3 à 5 listes complémentaires est plus efficace et moins lourde en mémoire qu'une accumulation de 30 listes dont la moitié se chevauchent. Vérifiez le taux de blocage dans les statistiques : un taux entre 15% et 30% est typiquement sain. Au-delà, vous risquez des faux positifs gênants.

DNS over HTTPS (DoH) et DNS over TLS (DoT)

AdGuard Home peut agir comme serveur DoH et DoT pour vos clients internes, chiffrant ainsi les requêtes DNS sur le réseau local — une protection importante contre l'écoute passive sur WiFi et les attaques man-in-the-middle internes.

Configuration DoH/DoT sur AdGuard Home :

1. Obtenez un certificat TLS pour votre domaine interne (Let's Encrypt si vous avez un domaine public, ou un certificat PKI interne).
2. Dans Settings → Encryption Settings, activez "Enable Encryption".
3. Spécifiez le nom de domaine (ex : adguard.votre-domaine.fr), le chemin vers le certificat et la clé privée.
4. Choisissez les ports : 853 pour DoT, 443 pour DoH.

Configurer les clients pour utiliser DoH :

# Windows 11 (Paramètres → Réseau → DNS over HTTPS)
# Ajouter manuellement : https://adguard.votre-domaine.fr/dns-query

# Firefox (about:config) :
# network.trr.uri = https://adguard.votre-domaine.fr/dns-query
# network.trr.mode = 2 (DoH avec fallback)

# Android (Paramètres → Réseau → DNS privé) :
# Entrer : adguard.votre-domaine.fr (DoT automatique sur port 853)

Vérification du chiffrement DNS :

dig @adguard.votre-domaine.fr +https example.com A  # Test DoH
dig @adguard.votre-domaine.fr +tls example.com A   # Test DoT (bind-utils récent)

Règles personnalisées — whitelist, blacklist et réécriture DNS

Les règles personnalisées permettent d'affiner le comportement du filtrage au-delà des listes prédéfinies.

Whitelist (liste blanche) — débloquer un domaine : Si un domaine légitime est bloqué par erreur (faux positif), ajoutez une règle de déblocage dans Filters → Custom Filtering Rules :

@@||app-légitime.fr^  # Débloquer le domaine app-légitime.fr et tous ses sous-domaines

Blacklist personnalisée — bloquer un domaine spécifique :

||domaine-indésirable.fr^  # Bloquer ce domaine spécifique

Réécriture DNS (DNS Rewrites) : Utile pour résoudre des domaines internes sans passer par un serveur DNS externe. Filters → DNS Rewrites → Add DNS rewrite :

• Domaine : intranet.votre-domaine.local → IP : 192.168.1.100
• Domaine : nas.local → IP : 192.168.1.200

Bloquer les DNS codés en dur (contournement) : Certains appareils (Amazon Echo, Google Chromecast) utilisent des serveurs DNS codés en dur (8.8.8.8, 8.34.208.1) qui contournent AdGuard Home. La solution : une règle de pare-feu qui redirige tout le trafic DNS (port 53 UDP/TCP) vers AdGuard Home, quelle que soit l'IP de destination configurée sur l'appareil.

# Règle iptables pour intercepter tout le DNS
iptables -t nat -A PREROUTING -i br0 ! -d 192.168.1.50 -p udp --dport 53 -j DNAT --to-destination 192.168.1.50:53
iptables -t nat -A PREROUTING -i br0 ! -d 192.168.1.50 -p tcp --dport 53 -j DNAT --to-destination 192.168.1.50:53

Contrôle parental et filtrage par horaire

AdGuard Home offre des fonctionnalités de contrôle parental et de filtrage par groupe d'appareils qui en font une solution complète pour les environnements familiaux et d'entreprise.

Configuration des groupes de clients : Settings → Client Settings permet de créer des profils pour des appareils ou groupes d'appareils identifiés par adresse IP ou MAC :

• Profil "Enfants" (tablette iPad des enfants, MAC : AA:BB:CC:DD:EE:FF) : activer "Safe Search", "SafeBrowsing", liste de blocage de contenu adulte, filtrage DNS activé uniquement entre 7h et 21h.
• Profil "Invités" (plage DHCP WiFi invité 192.168.2.0/24) : filtrage renforcé, pas d'accès aux ressources locales.
• Profil "Serveurs" (plage 192.168.1.0/24) : filtrage minimal, accès à tous les domaines nécessaires.

Filtrage par horaire : Les règles de blocage peuvent être limitées à des plages horaires dans les profils clients. Par exemple, bloquer les réseaux sociaux (TikTok, Instagram) uniquement pendant les heures de travail (8h-18h) sur les postes d'employés.

SafeBrowsing et Safe Search : AdGuard Home intègre une liste de sites de phishing et de malware maintenue par AdGuard (indépendamment des listes de blocage). Activez SafeBrowsing dans Settings → General Settings. Safe Search force Google, YouTube et Bing à afficher des résultats filtrés (version enfants des moteurs de recherche).

Statistiques et journaux de requêtes

L'interface d'AdGuard Home propose des statistiques détaillées qui permettent de comprendre le trafic DNS de votre réseau.

Tableau de bord principal :

• Nombre total de requêtes sur 24h / 7 jours / 30 jours.
• Nombre de requêtes bloquées et pourcentage de blocage.
• Top 10 des domaines les plus demandés (légitimes et bloqués).
• Top 10 des clients DNS les plus actifs (par IP).
• Graphique temporel des requêtes/blocages.

Journal des requêtes (Query Log) : Le journal en temps réel liste chaque requête DNS avec : timestamp, IP du client, domaine demandé, résultat (autorisé/bloqué), raison du blocage (quelle liste), temps de réponse. Ce journal est invaluable pour identifier les faux positifs et déboguer les problèmes de connectivité.

Configurer la rétention des logs : Settings → General Settings → Query log retention. Par défaut 24h, peut être étendu à 90 jours selon votre capacité de stockage. Sur un Raspberry Pi avec carte SD, limitez à 24h ou 7 jours pour préserver la carte.

Haute disponibilité — déploiement redondant

Pour les environnements où la résolution DNS est critique (entreprise, infrastructure de production), un seul serveur AdGuard Home est un point de défaillance unique. Une architecture redondante s'impose.

Architecture primaire + secondaire :

1. Déployez deux instances AdGuard Home sur deux serveurs ou Raspberry Pi distincts.
2. Configurez votre routeur pour distribuer deux serveurs DNS via DHCP : DNS primaire = 192.168.1.50 (AdGuard Home 1), DNS secondaire = 192.168.1.51 (AdGuard Home 2).
3. Si le serveur primaire tombe, les clients basculent automatiquement sur le secondaire.

Synchronisation de la configuration : Les deux instances doivent avoir des configurations identiques (mêmes listes de blocage, mêmes règles personnalisées). Synchronisez manuellement ou via un script cron :

# Script de synchronisation de la configuration AdGuard Home
rsync -avz /opt/AdGuardHome/AdGuardHome.yaml [email protected]:/opt/AdGuardHome/AdGuardHome.yaml
ssh [email protected] "sudo systemctl restart AdGuardHome"

Un outil communautaire appelé AdGuardHome Sync automatise cette synchronisation bidirectionnelle.

DNS anycast (pour les grandes infrastructures) : Dans les environnements réseau avancés, il est possible de déployer plusieurs serveurs AdGuard Home avec une adresse IP anycast, les paquets DNS étant routés vers le serveur le plus proche selon les règles de routage BGP ou OSPF.

Sécurité DNS — rebinding et DNSSEC

AdGuard Home intègre des protections contre certaines attaques DNS avancées.

Protection contre le DNS Rebinding : Le DNS rebinding est une attaque qui consiste à faire résoudre un domaine public vers une adresse IP privée, permettant à du code JavaScript malveillant exécuté dans un navigateur d'accéder à des ressources internes du réseau. Activez "Enable rebind protection" dans Settings → DNS Settings : AdGuard Home bloquera les réponses DNS renvoyant des adresses IP privées (RFC 1918) pour des domaines publics.

DNSSEC : Activez la validation DNSSEC dans Settings → DNS Settings → Enable DNSSEC. AdGuard Home vérifiera les signatures DNSSEC des réponses DNS, rejetant les réponses non signées pour les domaines qui supportent DNSSEC. Notez que tous les domaines ne supportent pas encore DNSSEC, et que l'activation peut provoquer des timeouts sur des domaines mal configurés.

Pour approfondir la sécurité DNS dans votre organisation, consultez notre guide sur la sécurité DNS et les Response Policy Zones, notre article sur la surveillance du trafic réseau, notre guide pare-feu pfSense et notre article sur la architecture Zero Trust.

Ressources officielles : présentation officielle AdGuard Home et le dépôt GitHub AdGuard Home avec la documentation complète.

Questions fréquentes sur AdGuard Home

AdGuard Home ralentit-il la navigation web ?

Non, au contraire. AdGuard Home dispose d'un cache DNS intégré qui mémorise les réponses aux requêtes déjà résolues. Les requêtes suivantes vers le même domaine sont servies depuis le cache local en quelques microsecondes, sans aller interroger les serveurs DNS upstream. De plus, le blocage des publicités réduit la quantité de ressources que le navigateur doit télécharger pour afficher une page. Dans la pratique, les utilisateurs constatent une navigation plus rapide, particulièrement sur les sites fortement publicitaires.

AdGuard Home peut-il bloquer les publicités dans les applications mobile (YouTube, etc.) ?

Le filtrage DNS d'AdGuard Home bloque les publicités servies depuis des domaines dédiés (ex : doubleclick.net, googlesyndication.com). Les publicités intégrées directement dans le contenu du même domaine (YouTube ads diffusées depuis googlevideo.com) ne peuvent pas être bloquées par DNS sans bloquer aussi le contenu vidéo légitime. Pour YouTube, des solutions spécifiques comme YouTube Vanced/ReVanced (Android) ou des extensions navigateur (uBlock Origin) complètent efficacement le filtrage DNS.

Comment mettre à jour AdGuard Home ?

La mise à jour depuis l'interface est la méthode la plus simple : dans Dashboard → Update available, cliquez sur "Update". AdGuard Home télécharge la nouvelle version, s'arrête, se remplace et redémarre automatiquement. Alternativement, via la ligne de commande : sudo /opt/AdGuardHome/AdGuardHome --update. Les configurations et statistiques sont préservées lors des mises à jour. Planifiez les mises à jour lors de fenêtres de maintenance car le service est brièvement interrompu (quelques secondes).

AdGuard Home peut-il fonctionner sur un NAS Synology ou QNAP ?

Oui. La méthode la plus simple est d'utiliser l'image Docker officielle (adguard/adguardhome) via le gestionnaire de conteneurs intégré à Synology DSM (Docker) ou QNAP (Container Station). Configurez les volumes persistants pour les répertoires de travail et de configuration, exposez les ports nécessaires (53 UDP/TCP, 3000 TCP pour l'UI), et démarrez le conteneur. Le NAS étant généralement allumé 24h/24, c'est une plateforme idéale pour héberger AdGuard Home en production domestique ou en petite entreprise.

Comment exclure un appareil du filtrage AdGuard Home sans désactiver le service ?

Dans Settings → Client Settings, ajoutez l'adresse IP ou MAC de l'appareil à exclure, créez un profil client, et désactivez le filtrage pour ce profil spécifique (cochez "Disable all filters and parental control"). Cet appareil continuera à utiliser AdGuard Home comme serveur DNS (bénéficiant du cache et des rewrites DNS personnalisés) mais ses requêtes ne seront pas filtrées. Cette approche est préférable à configurer manuellement un autre DNS sur l'appareil, car elle préserve la journalisation centralisée de toutes les requêtes.