Установка и настройка AdGuard Home на VPS: создание личного DNS-сервера с DoH и защитой от рекламы

1. Що ми налаштовуємо і навіщо: філософія приватного DNS

DNS (Domain Name System) — це "телефонна книга" інтернету. Кожен раз, коли ви вводите адресу сайту, ваш пристрій запитує DNS-сервер: "Яка IP-адреса у google.com?". Традиційно ці запити відправляються у відкритому вигляді через сервери вашого інтернет-провайдера (ISP). Це створює дві критичні проблеми: провайдер бачить всі ваші дії в мережі, а рекламні мережі можуть використовувати DNS-запити для відстеження ваших інтересів.

AdGuard Home — це мережевий програмний комплекс для блокування реклами і стеження. На відміну від браузерних розширень, він працює на рівні системи. Якщо додаток на вашому смартфоні намагається відправити аналітику на сервер розробника, AdGuard Home просто повертає порожню відповідь (IP 0.0.0.0), і запит блокується до того, як він покине вашу мережу.

Чому варто вибрати self-hosted рішення на VPS замість використання публічних DNS (наприклад, AdGuard DNS або Cloudflare)?

• Повний контроль: Ви самі вирішуєте, які списки фільтрації використовувати і які домени вносити в білий список.
• Конфіденційність: Ваші логи запитів не зберігаються на сторонніх серверах. Ви можете повністю відключити логування.
• Гнучкість: Можливість налаштування DNS-over-HTTPS (DoH), що робить ваш DNS-трафік невідрізнимим від звичайного HTTPS-трафіку, обходячи блокування і цензуру.
• Продуктивність: Власний сервер на якісному каналі зв'язку часто відповідає швидше, ніж перевантажені публічні вузли.

У 2026 році, коли кількість трекерів в мобільних додатках і Smart TV досягло піку, наявність власного DNS-фільтра стає не розкішшю, а базовим елементом цифрової гігієни.

2. Який VPS-конфіг потрібен під цю задачу

AdGuard Home — вкрай ефективний і невимогливий до ресурсів додаток, написаний мовою Go. Він здатний обробляти тисячі запитів в секунду навіть на найскромнішому залізі. Однак для стабільної роботи з включеним шифруванням і об'ємними списками фільтрації (більше 500 000 правил) потрібні певні параметри.

Для більшості сценаріїв (особисте використання + сім'я) ідеально підійде хмарний сервер початкового рівня. Ви можете вибрати VPS з вказаними характеристиками в локації, максимально близькій до вашого фізичного місцезнаходження. Пінг (затримка) — критичний фактор для DNS. Якщо сервер знаходиться в 200 мс від вас, кожне завантаження сайту буде починатися з цієї затримки.

Коли потрібен Dedicated сервер? Тільки якщо ви плануєте підняти публічний DNS-сервер для великої аудиторії або корпоративної мережі з тисячами користувачів, де важлива апаратна ізоляція і відсутність "галасливих сусідів" по гіпервізору.

3. Підготовка сервера: безпека і системні утиліти

Після оренди VPS і отримання доступу по SSH, перш за все необхідно убезпечити систему. Ми будемо використовувати Ubuntu 24.04/26.04 LTS.

Оновимо системні пакети до актуальних версій 2026 року:

sudo apt update && sudo apt upgrade -y
    

Встановимо базовий набір утиліт, які знадобляться нам для діагностики та роботи:

sudo apt install -y curl wget git ufw tar net-tools dnsutils build-essential
    

Налаштуємо базовий файрвол (UFW). Нам потрібно відкрити порти для SSH, веб-інтерфейсу AdGuard Home і самих протоколів DNS:

# Дозволяємо SSH (переконайтеся, що ваш порт 22, якщо не міняли)
sudo ufw allow 22/tcp

# Порт для початкового налаштування AdGuard Home
sudo ufw allow 3000/tcp

# Стандартний DNS (UDP/TCP)
sudo ufw allow 53/udp
sudo ufw allow 53/tcp

# DNS-over-TLS (DoT)
sudo ufw allow 853/tcp

# DNS-over-HTTPS (DoH) і веб-інтерфейс (HTTPS)
sudo ufw allow 443/tcp
sudo ufw allow 80/tcp

# DNS-over-QUIC (DoQ)
sudo ufw allow 7844/udp

# Включаємо файрвол
sudo ufw enable
    

Порада: Рекомендується також налаштувати авторизацію за SSH-ключами і відключити вхід за паролем в /etc/ssh/sshd_config для запобігання брутфорс-атак.

4. Розв'язання конфлікту з systemd-resolved на порту 53

В сучасних дистрибутивах Ubuntu служба systemd-resolved за замовчуванням займає порт 53, використовуючи його для локального резолвінгу. Це не дозволить AdGuard Home запуститися. Нам потрібно звільнити цей порт.

Створимо директорію для конфігурації, якщо вона відсутня, та відредагуємо файл:

sudo mkdir -p /etc/systemd/resolved.conf.d
sudo nano /etc/systemd/resolved.conf

Внесіть наступні зміни до файлу /etc/systemd/resolved.conf:

[Resolve]
DNS=127.0.0.1
DNSStubListener=no

Тепер створимо симлінк для коректної роботи /etc/resolv.conf та перезапустимо службу:

sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
sudo systemctl restart systemd-resolved

Перевірте, що порт 53 тепер вільний командою sudo lsof -i :53. Якщо вивід пустий — все зроблено вірно.

5. Встановлення AdGuard Home: покроковий алгоритм

Ми будемо використовувати офіційний метод встановлення через автоматизований скрипт, який скачує актуальну бінарну збірку, налаштовує права та створює системну службу systemd.

Виконайте команду встановлення:

curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v

Ця команда виконає наступні дії:

• Визначить архітектуру вашого процесора (x86_64, ARM і т.д.).
• Завантажить останню стабільну версію AdGuard Home (актуальну на 2026 рік).
• Розпакує файли в директорію /opt/AdGuardHome.
• Зареєструє сервіс AdGuardHome в системі.

Перевірте статус служби, щоб переконатися, що вона працює:

sudo systemctl status AdGuardHome

Якщо ви бачите active (running), значить сервер готовий до первинної конфігурації.

6. Первинне налаштування через веб-інтерфейс

Тепер відкрийте ваш браузер та перейдіть за адресою: http://IP_ВАШОГО_СЕРВЕРА:3000.

Вас зустріне майстер налаштування AdGuard Home:

1. Початок: Натисніть "Почати".
2. Налаштування інтерфейсів:
   • Веб-інтерфейс: виберіть "Всі інтерфейси" (All Interfaces) та порт 3000 (або 80, якщо він вільний).
   • DNS-сервер: виберіть "Всі інтерфейси" та порт 53.
3. Створення адміністратора: Введіть логін та надійний пароль. Ці дані будуть використовуватися для входу в панель управління.
4. Завершення: Система покаже вам інструкції з налаштування DNS на різних пристроях.

Після завершення панель управління стане доступна за адресою http://IP_ВАШОГО_СЕРВЕРА:3000. Увійдіть, використовуючи створені облікові дані.

7. Налаштування шифрування: SSL, DoH та DoT

Використовувати звичайний DNS через порт 53 у відкритому інтернеті небезпечно — будь-який проміжний вузол може перехопити або підмінити ваші запити. В 2026 році стандартом є використання шифрованих протоколів.

Отримання SSL-сертифіката (Let's Encrypt)

Для роботи DoH та DoT вам знадобиться доменне ім'я, направлене на IP вашого VPS. Ми будемо використовувати certbot для отримання безкоштовного сертифіката:

# Установка certbot
sudo apt install -y certbot

# Отримання сертифіката (замініть dns.example.com на ваш домен)
sudo certbot certonly --standalone -d dns.example.com

Ваші сертифікати будуть збережені в /etc/letsencrypt/live/dns.example.com/.

Налаштування в AdGuard Home

Перейдіть в розділ "Налаштування" -> "Налаштування шифрування" у веб-інтерфейсі:

• Поставте галочку "Увімкнути шифрування".
• Ім'я сервера: введіть ваш домен (наприклад, dns.example.com).
• HTTPS порт: 443.
• DNS-over-TLS порт: 853.
• Шлях до файлу сертифіката: /etc/letsencrypt/live/dns.example.com/fullchain.pem.
• Шлях до файлу закритого ключа: /etc/letsencrypt/live/dns.example.com/privkey.pem.

Натисніть "Зберегти конфігурацію". Тепер ваш сервер підтримує:

• DoH: https://dns.example.com/dns-query
• DoT: tls://dns.example.com

8. Тонке налаштування фільтрів та оптимізація продуктивності

Перейдіть в розділ "Фільтри" -> "DNS-фільтри". За замовчуванням включено тільки AdGuard DNS filter, але для максимальної ефективності варто додати додаткові списки.

Рекомендовані списки (2026):

• OISD (Big): Один з найповніших та якісних списків, який мінімізує хибні спрацювання.
• Steven Black's List: Відмінна база для блокування реклами та шкідливих сайтів.
• NoTrack: Спеціалізований список проти трекерів.

Налаштування вищестоящих (Upstream) серверів

В розділі "Налаштування" -> "Налаштування DNS" вкажіть, куди AdGuard Home буде пересилати дозволені запити. Для максимальної приватності використовуйте шифровані апстріми:

https://dns.cloudflare.com/dns-query
https://dns.google/dns-query
tls://9.9.9.9

Виберіть метод "Паралельне опитування" (Parallel requests), щоб мінімізувати затримку: AdGuard Home відправить запит всім апстрімам одночасно та вибере найшвидшу відповідь.

Кешування

Встановіть розмір кешу не менше 64 МБ (або більше, якщо дозволяє RAM). Це дозволить миттєво віддавати відповіді на повторні запити популярних доменів без звернення до зовнішніх серверів.

9. Бекапи, оновлення та обслуговування системи

AdGuard Home зберігає всі налаштування та дані в одній директорії /opt/AdGuardHome. Це спрощує процес резервного копіювання.

Скрипт автоматичного бекапу

Створимо простий скрипт, який буде архівувати конфігурацію та відправляти її в безпечне місце:

#!/bin/bash
BACKUP_DIR="/home/user/backups"
TIMESTAMP=$(date +"%Y%m%d_%H%M%S")
mkdir -p $BACKUP_DIR

# Останавливаем сервис для консистентности данных
sudo systemctl stop AdGuardHome
tar -czf $BACKUP_DIR/agh_backup_$TIMESTAMP.tar.gz /opt/AdGuardHome
sudo systemctl start AdGuardHome

# Удаляем бэкапы старше 30 дней
find $BACKUP_DIR -type f -mtime +30 -delete

Додайте цей скрипт в crontab -e, щоб він запускався раз на тиждень.

Оновлення AdGuard Home

Оновлення відбувається прямо з веб-інтерфейсу. Коли виходить нова версія, у верхній частині панелі з'являється кнопка "Оновити". Процес займає близько 10 секунд та проходить в автоматичному режимі.

10. Troubleshooting + FAQ: вирішення типових проблем

Яка помилка виникає найчастіше під час встановлення?

Найчастіша проблема — bind: address already in use на порту 53. Це майже завжди означає, що systemd-resolved або інший DNS-резолвер (наприклад, dnsmasq) все ще запущений. Перевірте це командою sudo netstat -tulpn | grep :53 і переконайтеся, що ви виконали кроки з розділу 4 даного гайду.

Що робити, якщо деякі сайти перестали відкриватися?

Це називається "overblocking". Зайдіть в розділ "Журнал запитів", знайдіть заблокований домен (він буде підсвічений червоним) і натисніть кнопку "У список винятків". AdGuard Home автоматично додасть правило до вашого персонального білого списку.

Який VPS-конфіг мінімально підійде?

Для стабільної роботи одного користувача достатньо 512 МБ оперативної пам'яті та 1 ядра CPU. Однак, якщо ви плануєте зберігати логи за тривалий період (декілька місяців), вам знадобиться більше дискового простору (від 20 ГБ) і бажано 1 ГБ RAM для комфортної роботи веб-інтерфейсу під час перегляду великих журналів.

Що вибрати — VPS чи dedicated для цієї задачі?

Для особистого DNS-сервера VPS — ідеальний вибір. Dedicated сервер буде надмірним за потужністю та вартістю. Єдиний випадок, коли виділений сервер виправданий — це створення публічного DNS-сервісу з захистом від DDoS-атак на канальному рівні та необхідністю обробки мільйонів запитів на годину.

Як перевірити, що DoH працює?

Ви можете використовувати онлайн-сервіси перевірки DNS (наприклад, dnsleaktest.com) або консольну утиліту kdig:

kdig -d @dns.example.com +https / google.com
    

Якщо ви бачите успішну відповідь з IP-адресою, значить шифрування налаштовано вірно.

Чи впливає AdGuard Home на швидкість інтернету?

На саму пропускну здатність (Мбіт/с) — ні. На швидкість завантаження сторінок — так, позитивно. Блокуючи важкі рекламні скрипти та банери до їх завантаження, ви економите трафік та ресурси процесора вашого пристрою. Затримка (latency) може незначно зрости при першому запиті, але за рахунок кешування наступні запити будуть виконуватися миттєво.

11. Висновки та наступні кроки

Встановлення AdGuard Home на власний VPS — це потужний крок до забезпечення цифрової приватності та безпеки. Ви створили надійний бар'єр проти реклами та стеження, який працює на всіх ваших пристроях, від ноутбука до розумної лампочки.

Що робити далі?

• Інтеграція з Unbound: Ви можете встановити unbound на цей же VPS, щоб перетворити AdGuard Home на повноцінний рекурсивний DNS-сервер. Це дозволить вам не довіряти навіть апстримам на кшталт Google чи Cloudflare.
• Налаштування мобільних пристроїв: Додайте вашу DoH-адресу в налаштування "Приватний DNS" на Android або використовуйте профілі конфігурації для iOS.
• Моніторинг: Налаштуйте повідомлення в Telegram через API AdGuard Home, якщо сервер стане недоступним або кількість заблокованих загроз різко зросте.

Регулярно перевіряйте актуальність ваших списків фільтрації та не забувайте оновлювати систему безпеки вашого VPS. Тепер ваш інтернет став чистішим та безпечнішим.