Herramientas básicas

AdGuard Home en casa: por qué lo uso y cómo lo tengo montado

Instalación de una herramienta para tener un DNS local que filtre anuncios, seguimiento, etc.

En casa cada vez tenemos más cacharros conectados: móviles, tablets, Smart TV, consolas, altavoces inteligentes, cámaras, el NAS, el homelab… y todos hablan constantemente con Internet.

Muchos de esos dispositivos no permiten instalar bloqueadores de publicidad ni extensiones de navegador (algunos con un claro propósito de monitorización), así que terminan siendo un coladero de anuncios, rastreadores, estadísticas de uso y telemetría en general de todo tipo. Seguro que alguna vez os ha saltado un anuncio de algo que acabáis de hablar con vuestra pareja, o un comentario inocente de los hijos hace que os salga publicidad de Pokémon hasta en la sopa… ese tipo de cosas son las que tratamos de evitar.

Una de las formas más sencillas de poner orden y protegernos en el camino es filtrar a nivel de DNS1: en vez de dejar que cada dispositivo resuelva dominios “a su bola” contra el DNS del operador, hacemos que todas las peticiones pasen por un servidor que tenemos bajo control.

Ahí es donde entra AdGuard Home.

Por qué necesitas filtrar DNS en tu red doméstica

Qué es el filtrado DNS y qué problemas resuelve

Cuando escribes un nombre en el navegador (o una app decide llamar a su API), lo primero que ocurre es una consulta DNS: “oye, ¿qué IP tiene este dominio?”.

Si en ese momento pones un intermediario que sepa distinguir entre “dominio legítimo” y “dominio de publicidad/tracking/malware”, puedes bloquear mucho ruido antes de que llegue al dispositivo o salga de tu red. Algo así como el puerta de un garito. Y todo este tráfico que no quieres son los calcetines blancos de las comunicaciones.

Con filtrado DNS en casa consigues, entre otras cosas:

  • Reducir publicidad en webs y apps en todos los dispositivos.
  • Cortar buena parte de la telemetría de Smart TV, móviles y otros trastos “parlanchines”.
  • Frenar conexiones hacia dominios identificados como malware o phishing.
  • Tener visibilidad de quién está llamando a qué, desde tu propia red.
  • Y además, como cortas mucho tráfico, tu internet volverá a ir rápido.

Y lo mejor: lo haces una sola vez, en el centro de la red, y se benefician todos los equipos que usen ese DNS.

Ventajas frente a instalar bloqueadores por dispositivo

Bloquear en el navegador con uBlock Origin u otras extensiones varias sigue siendo útil y desde luego es mejor que nada, pero:

  • No puedes instalarlo en una Smart TV u otros dispositivos IoT.
  • No afecta a las apps móviles.
  • No protege a nivel de sistema, solo el navegador.

Al puerta le ha dicho tu app que está en la lista y con ella pasan todos los colegas vestidos con chándal marronero…

Un bloqueador DNS tipo AdGuard Home o Pi‑hole actúa antes. La petición al dominio ni siquiera se resuelve, así que da igual si viene de un navegador, la app del tiempo o el firmware de la tele. Incluso los juegos móviles que te fríen a anuncios pasan a ser un remanso de paz.

Limitaciones y expectativas realistas

Filtrar DNS no es magia. Hay varios casos donde se queda corto:

  • No puede evitar anuncios embebidos en el propio contenido (por ejemplo, un vídeo con publicidad integrada).
  • Si una app mete los anuncios desde el mismo dominio que el contenido principal, no puedes bloquear sin romper la app.
  • No sustituye a un buen antivirus ni a hábitos de navegación razonables.

Por eso, lo normal es combinar varias capas: filtrado DNS en la red, bloqueador en el navegador en tus equipos principales y, si quieres rizar el rizo, algo de control parental o reglas específicas por dispositivo.

AdGuard Home en dos párrafos: qué es y qué aporta

AdGuard Home es un servidor DNS “para casa” pensado para bloquear publicidad, rastreadores y sitios peligrosos a nivel de red. Es software libre, se instala en Linux, Docker, NAS, routers avanzados y cacharros variados, y se administra desde un panel web muy cómodo.

Pero no resuelve por él mismo. Sólo filtra lo que no queramos, y le pide a DNS públicos que resuelvan lo autorizado.

Importante: no es lo mismo AdGuard Home (software que instalas tú) que AdGuard DNS (servicio en la nube de la misma empresa). Con AdGuard Home los datos de DNS se quedan en tu infraestructura y tú decides qué listas usar, qué dispositivos filtrar y cómo.

Algunas funciones interesantes:

  • Panel web con estadísticas, clientes, dominios más consultados, etc.
  • Listas de bloqueo integradas, fácil de activar y desactivar.
  • Reglas personalizadas de allowlist/denylist.
  • Perfiles por dispositivo (control parental, restricciones horarias).
  • Soporte para DNS cifrado (DoH/DoT) hacia los servidores upstream.

AdGuard Home vs alternativas: qué montar según tu caso

Pi‑hole vs AdGuard Home

Pi‑hole fue el “clásico” durante muchos años: muy popular en Raspberry Pi y homelabs; funciona como sumidero DNS que bloquea publicidad y trackers usando listas.

AdGuard Home llegó después con una interfaz algo más moderna y varias funcionalidades integradas (control parental, DNS cifrado, perfiles) sin tener que montarlo todo a mano.

A grandes rasgos:

  • Pi‑hole encaja muy bien si quieres algo sencillo, minimalista y con mucha documentación comunitaria.
  • AdGuard Home encaja mejor si te gusta tener todo (listas, control parental, DNS cifrado, perfiles) integrado en una sola herramienta.

Los dos bloquean publicidad y rastreadores de forma muy similar; la diferencia está más en el “envoltorio” y en cuánto quieres trastear.

Otras opciones: NextDNS, AdGuard DNS y compañía

Si no quieres montar servicio en casa, puedes irte a soluciones “en la nube” como NextDNS o AdGuard DNS. En esos casos apuntas el DNS de tu router (o de tus dispositivos) a sus servidores y gestionas todo desde su panel web.

Ventajas:

  • No tienes que mantener nada de infraestructura. ✅
  • Se aplica igual cuando sales de casa si configuras el mismo DNS en móvil/portátil. ✅

Inconvenientes:

  • Les estás dando tu tráfico DNS a un tercero. ❌
  • Dependencia total de su disponibilidad y latencia de sus servidores. ❌
  • Si se cae tu conexión a ellos, el DNS de casa se queda cojo. Estás vendido. ❌

Una combinación razonable a la par que paranóica es usar AdGuard Home en casa y dejar configurado NextDNS o AdGuard DNS como “plan B” en tus dispositivos cuando estás fuera de la red doméstica.

Dónde instalar AdGuard Home en casa

En Proxmox (mi opción recomendada)

Si ya tienes un homelab con Proxmox (o estás pensando en montarlo), la opción más limpia suele ser montarlo en un contenedor LXC.

Consumes muy pocos recursos, tienes aislamiento razonable, puedes hacer backups del contenedor y Proxmox se encarga del resto.

Requisitos mínimos:

  • Un Proxmox medianamente reciente.
  • Un bridge de red que salga a tu LAN.
  • Reservar una IP fija para el contenedor de AdGuard Home.

En el NAS, Raspberry Pi u otros cacharros

Si no tienes Proxmox, o prefieres separar roles, también puedes instalar AdGuard Home:

  • En un NAS tipo Synology/QNAP vía Docker o contenedor.
  • En una Raspberry Pi (el clásico): bajísimo consumo, fácil de dedicar solo a DNS.
  • En cualquier mini PC Linux que tengas por casa.

Aquí el trade‑off suele ser: ¿quieres depender del NAS para que la red resuelva DNS? Si el NAS va cargado de cosas, o lo apagas por la noche, tal vez prefieras otro host siempre encendido.

Router “avanzado”: OpenWrt, OPNsense, routers ASUS y similares

Otra opción es integrar AdGuard Home directamente en el propio router, si este es razonablemente avanzado:

  • OpenWrt: puedes instalar AdGuard Home como servicio adicional y hacer que el router sea a la vez gateway y filtro DNS.
  • OPNsense: hay plugins y guías para correr AdGuard Home como servicio separado o en contenedor.
  • Routers ASUS y similares: algunos modelos facilitan la integración con AdGuard Home o AdGuard DNS desde su interfaz, con asistentes casi automáticos.

Esto tiene la ventaja de que “todo vive” en el router, pero te ata al firmware y capacidades de ese dispositivo. También sabemos que esa pieza no se suele apagar por las noches y siempre va a estar disponible…

Mi despliegue: AdGuard Home en Proxmox paso a paso

En lo que queda de post voy a centrarme en el escenario que más sentido tiene en un homelab: AdGuard Home en un contenedor LXC dentro de Proxmox, y el router de casa apuntando a ese contenedor como DNS principal.

Crear el contenedor LXC en Proxmox

La forma más cómoda de desplegar AdGuard Home en Proxmox es usando los scripts de comunidad estilo helper scripts 🔗, que automatizan LXC + instalación del servicio.

En esencia, el flujo es:

  1. Crear un contenedor LXC Debian/Ubuntu desde la interfaz de Proxmox.
  2. Asignarle:
    • 1 vCPU.
    • 512 MB – 1 GB de RAM (más que suficiente para uso doméstico).
    • 4–8 GB de disco.
  3. Poner el contenedor en el bridge de tu LAN (vmbr0 o el que tengas) y fijar una IP estática, ya sea dentro del contenedor o por reserva DHCP en el router.

Una vez tengas el contenedor en marcha con IP fija, ejecutas el script de instalación de AdGuard Home (o instalas manualmente el binario siguiendo la guía oficial).

Primer arranque y asistente web de AdGuard Home

Nada más instalarlo, AdGuard Home levanta una interfaz web inicial en un puerto tipo 3000 para el asistente.
Desde cualquier equipo de tu LAN abres http://IP_DEL_CONTENEDOR:3000 y:

  • Creas usuario y contraseña del panel.
  • Eliges en qué interfaz/puerto va a escuchar DNS (por defecto el estándar, 53).
  • Confirmas los DNS “upstream”, es decir, a quién reenvía las consultas que no bloquea.

Aquí suele tener sentido usar proveedores que soporten DNS cifrado, como Cloudflare, Quad9, etc., y activar DoH o DoT para que entre tu AdGuard Home y ellos el tráfico vaya cifrado.

Cuando termines el asistente, AdGuard Home ya estará resolviendo DNS para cualquier equipo que apunte a la IP del contenedor.

Configuración base que recomiendo

Algunos puntos que yo ajustaría desde el principio:

Listas de bloqueo

  • Mantener las listas del propio AdGuard Home que vienen activadas por defecto.
  • Activar al menos una lista general moderna tipo OISD o HaGeZi (son muy completas y mantienen buen equilibrio entre bloqueo y falsos positivos).
  • Añadir listas específicas para malware/phishing.

Para añadir listas es tan sencillo como acceder al menú de listas de bloqueo, adguard-add-list.png

indicar que queremos añadir eligiendo de la propia lista de AdGuard…

adguard-add-from-list.png

…y marcar todas aquellas que consideremos necesarias

adguard-choose-list.png

Además, tenemos la opción de consultar tanto la web de la lista como la propia definición con los sitios que bloquea. Más transparencia imposible.

Estadísticas y logs

  • Dejar activado el log de consultas pero con retención limitada y rotado (por ejemplo, 7–30 días) para no llenar el disco pero ser capaces de diagnosticar algún problema.

Reglas personalizadas Implica monitorizar los logs, las queries que se lanzan y analizar el uso de red que se hace, pero si queremos afinar, es lo mejor.

  • Añadir dominios de telemetría especialmente ruidosos que quieras cortar en toda la red.
  • Ir rellenando la allowlist según detectes falsos positivos (banca online, streaming, etc.).

En tu post puedes incluir ejemplos concretos de dominios que hayas tenido que permitir y cómo los detectaste en las estadísticas.

Configurar el router para usar AdGuard Home como DNS

Con AdGuard Home funcionando, toca la parte clave: hacer que el resto de la casa lo use.
La forma “limpia” es tocar la configuración de DHCP del router para que entregue la IP de AdGuard Home como DNS principal y único a todos los clientes. De ahí la importancia de que su dirección IP no cambie.

Cambiar DNS en el servidor DHCP del router

Cada marca llama a esto de una forma, pero la idea siempre es la misma:

  1. Entrar al panel del router (normalmente http://192.168.1.1 o similar).
  2. Buscar la sección de LAN / DHCP / Servidor DHCP.
  3. Localizar los campos “DNS primario” / “DNS del servidor DHCP” / “DNS manual”.
  4. Poner como DNS primario la IP de tu contenedor de AdGuard Home.
  5. (Opcional) Dejar un DNS secundario como backup (otro AdGuard Home, Pi‑hole, NextDNS, etc.).

Al aplicar los cambios, los dispositivos que renueven su lease DHCP empezarán a usar tu AdGuard Home.

Evitar que el router o los clientes se salten tu DNS

Algunos routers, por defecto, ignoran lo que pongas como DNS en DHCP y siguen usando el DNS del operador para sus propias consultas.

Cuando sea posible, conviene desactivar cualquier opción tipo “usar DNS del ISP” o “DNS automático del proveedor” y forzar que el router también use AdGuard Home.

Por otro lado, algunos dispositivos avanzados (móviles, portátiles) pueden estar configurados para usar directamente un DNS externo (8.8.8.8, 1.1.1.1, etc.).
Si quieres ser estricto, puedes crear reglas de firewall/NAT para redirigir todo el tráfico hacia el puerto 53 externo de vuelta a AdGuard Home, de forma que aunque un cliente intente saltárselo, acabe pasando por tu filtro.

Casos especiales: routers del operador, WiFi mesh, etc.

Si tienes el típico router capado del operador que no te deja cambiar DNS, toca ponerse creativo:

  • Usar un router neutro propio detrás, dejando el del operador en modo bridge o DMZ.
  • Dejar el router del operador para la ONT y WiFi básico, y que tu router principal (donde sí controlas el DHCP) sea el que entregue el DNS de AdGuard Home.
  • En algunos sistemas mesh, el servidor DHCP está en el propio mesh, no en el router del operador, y es ahí donde hay que cambiar el DNS.

En todos estos casos el objetivo es el mismo: que el servidor DHCP que realmente usan tus dispositivos entregue la IP de AdGuard Home como DNS.

Trabajo fino: perfiles, control parental y seguimiento por dispositivo

Identificar clientes y nombrarlos

Por defecto, en las estadísticas de AdGuard Home verás IPs: 192.168.1.23, 192.168.1.45, etc.
Para no volverte loco, conviene dedicar unos minutos a:

  • Asignar nombres a los clientes desde el propio AdGuard Home (o desde el DHCP del router).
  • Poner reservas DHCP a los dispositivos “importantes” (IP fija para el iPad de la niña, la consola, etc.) o configurarlos con IP estática desde el propio dispositivo si es posible.

Así, cuando mires las estadísticas, verás “iPad_nina”, “SmartTV_salon”, “Portatil_trabajo” en lugar de IPs anónimas. Y esto es importante para analizar el tráfico y saber qué bloquear y cuál es el origen.

Perfiles, horarios y control parental

A partir de aquí puedes crear perfiles por dispositivo o grupo:

  • Un perfil “Niños” con categorías de adulto/juego/apuestas bloqueadas.
  • Un perfil “Invitados” con menos restricciones.
  • Un perfil “Trabajo” donde limitas redes sociales durante ciertas horas, si quieres ponerte estricto.

La mayoría de estas reglas se basan en categorías de dominios que ya vienen predefinidas y en reglas horarias relativamente fáciles de configurar.

Las caras cuando entienden que a determinada hora youtube les deja de funcionar, pero no es que esté roto, o que no pueden entrar a sitios que no conviene… no tiene precio. Ahora sé lo que siente cierto señor los días de partido.

Comentaremos este punto en más detalle en un próximo post.

Qué mirar en las estadísticas y cómo detectar problemas

El panel de AdGuard Home te muestra, entre otras cosas:

  • Número de consultas totales y porcentaje de bloqueadas.
  • Dominios más consultados.
  • Clientes que más preguntan.

Esto es perfecto para detectar:

  • Dispositivos que están llamando constantemente a dominios raros.
  • Falsos positivos (servicios legítimos que han caído en alguna lista).

Cuando veas que algo “se rompe” (por ejemplo, una app deja de funcionar), lo normal es ir al log de AdGuard Home, filtrar por ese cliente, y ver qué dominios se están bloqueando justo en ese momento.

De ahí suele salir el dominio que hay que pasar a la allowlist.

Mantenimiento, backup y “plan B”

Actualizaciones de AdGuard Home y del contenedor

AdGuard Home se puede actualizar desde su propio panel o desde la línea de comandos, según cómo lo hayas instalado.

En un LXC de Proxmox, además, conviene de vez en cuando actualizar el sistema base (apt upgrade) como harías con cualquier otra máquina Linux.

Copias de seguridad y restauración

La ventaja de un LXC es que puedes:

  • Hacer un backup completo del contenedor desde Proxmox (snapshot o backup programado).
  • Respaldar específicamente las carpetas de configuración de AdGuard Home, por si quieres migrarlo a otro host.

En caso de desastre, restaurar el contenedor en Proxmox suele ser tan sencillo como restaurar la copia, asegurarte de que recupera la misma IP y listo.

Estrategias de alta disponibilidad “doméstica”

Si tu AdGuard Home es el único DNS de la red y se cae, de repente nada resuelve nombres (aunque la conexión a Internet siga viva).
Una forma sencilla de evitarlo es:

  • Configurar un segundo DNS en el router (otro AdGuard Home, un Pi‑hole en Raspberry, NextDNS, etc.).
  • Mantener uno de los DNS apuntando a un servicio externo confiable por si tu homelab entero se apaga.

Aquí volvemos al equilibrio: en una casa normal, tener un DNS principal en AdGuard Home y un secundario “en la nube” suele ser más que suficiente.

Conclusiones y recomendaciones prácticas

Si ya tienes Proxmox en casa, montar AdGuard Home como contenedor LXC es una forma muy barata (en tiempo y recursos) de mejorar la privacidad y el control de toda tu red doméstica.

Solo necesitas reservarle una IP fija, correr el asistente inicial y apuntar el DNS del router hacia ese contenedor.

Para la mayoría de casas, yo me quedaría con esta arquitectura:

  • AdGuard Home en Proxmox como DNS principal.
  • Un DNS secundario (NextDNS/AdGuard DNS o similar) como “rueda de repuesto”.
  • Listas modernas tipo OISD/HaGeZi, más alguna de malware y phishing. Cuantas más incluyamos más le va a costar moverse, hay que encontrar el equilibrio.
  • Perfiles básicos por dispositivo o grupo (Niños, Invitados, Trabajo).

Si no te apetece mantener nada en casa, puedes irte directamente a NextDNS o AdGuard DNS y olvidarte de Proxmox, LXC y compañía, pero pierdes parte del control y de la gracia del homelab.

En mi caso, tener el filtro en casa me da la sensación de que la red “es mía” de verdad… y, de paso, tengo otro juguete más en el homelab.

Footnotes

  1. Domain Name System. Sistema de Nombres de Dominio (DNS) es el directorio telefónico de Internet, que traduce nombres de dominio legibles por humanos (como www.google.com 🔗) en direcciones IP numéricas (como 216.58.210.163) que los dispositivos utilizan para identificarse y comunicarse entre sí. Su función principal es la resolución de nombres, permitiendo que los usuarios accedan a sitios web sin necesidad de recordar direcciones IP complejas.