配合AdGuard Home使用时的设置

[vernesong]

一、效果展示

二、AdGuard Home部分的主要设置

三、OpenClash的主要设置

*应用配置后确保防火墙中的这条规则在下面那条DNSMASQ规则之前

否则请尝试前往网络-防火墙-自定义规则，注释掉系统默认的转发到53端口的规则

*注意按照此设置后类似网易云解锁等插件将失效，如需使用此类插件可将AdGuard Home的重定向取消后将其作为OpenClash的唯一上游dns服务器，并开启OpenClash的DNS劫持，但ADG将无法统计各个客户端的流量情况，请自行取舍

[z775729168]

我直接改成53了……不设置任何重定向，openclash也不劫持dns，也不需要改nat。
需要adguardhome设置上游本机7874端口，openwrt web ui中adguardhome监听端口改成53，这样adguardhome应该不会启动。然后重启。如果adguardhome能启动，就成功了。
我也不明白dnsmasq为什么优先启动会被adguardhome抢端口……这样网易云之类的应该正常的，至少我是这样。
也许可以把dnsmasq直接关掉，用adguardhome完全代替……但是adguardhome提供的dhcp的选项好像少了一些，好像不划算。

更新一下，我把dnsmasq完全关了，adguardhome的DHCP配置的IP生效更快，而且adguardhome在处理ptr(在日志搜索“168.192”)的时候，如果自己不是DHCP服务器时，有时耗费大量时间。
使用adguardhome代替dnsmasq的另一个好处是，配置文件比较直观简单，一个文件就可以配置dns和dhcp。

需要在openwrt->系统->启动项中禁用dnsmasq并启用adguradhome。

[bluebabes]

泪崩，dnsmasq 抢不过 adguardhome， 直接没法用了， 对了， openwrt 的 dhcp 依赖 dnsmasq 的， 这个也无法用了， 得启动 adguardhome 的 dhcp

算了，直接关了dnsmasq ，用 adguardhome 吧， 拦截广告对我来说很棒

[yongman]

我也是直接使用adg做dns server, 禁用dns后的dhcp功能会有问题，dnsmasq的dhcp不会分发dns server，所以需要在/etc/config/dhcp的config dhcp 'lan'中增加两个dhcp option

	list dhcp_option '3,192.168.1.1'
	list dhcp_option '6,192.168.1.1'

192.168.1.1是adg的地址。

[rakan907]

哥们想问一下你OpenClash用的FakeIP模式还是默认模式呢 还有是增强还是混合模式呢

 list dhcp_option '3,192.168.1.1'
list dhcp_option '6,192.168.1.1'

对于加入的这两个ADG地址需要加上ADG“3000”的端口号吗

[edwinhuish]

ADG 3000 是管理端口，不是DNS端口，如果ADG的DNS端口是53的话，直接这个就可以了。

[BilikoX]

这解决了我的问题，也可以在web中配置：网络->接口->LAN->高级设置->DHCP 选项中填入6,192.168.1.254

[InspoOnU]

让Dnsmasq监听53以外的端口（比如6653），这样不影响DHCP。AdGuard Home直接监听53端口，防火墙加入以下自定义规则以劫持DNS：
Firewall4:
nft insert rule inet fw4 dstnat position 0 tcp dport 53 counter redirect to 53
nft insert rule inet fw4 dstnat position 0 udp dport 53 counter redirect to 53
Firewall3:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

AdGH替换Dnsmasq后，最好把PTR 、本地请求都转发到Dnsmasq。Dnsmasq关闭重绑定保护。若要同时使用网易云解锁插件，只要单独设置云音乐的域名走Dnsmasq。

参考AdGH配置：
dns:
port: 53
upstream_dns:
- '127.0.0.1:7874'
- '[/lan/]127.0.0.1:6653'
- '[//]127.0.0.1:6653'
- '[/music.163.com/]127.0.0.1:6653'
local_ptr_upstreams:
- '127.0.0.1:6653'

参考Dnsmasq命令行配置：
uci set dhcp.@dnsmasq[0].noresolv="1"
uci set dhcp.@dnsmasq[0].rebind_protection='0'
uci set dhcp.@dnsmasq[0].port="6653"
uci add_list dhcp.lan.dhcp_option='6,192.168.1.1'
uci commit dhcp
/etc/init.d/dnsmasq restart

[Diffused7245]

看发帖时间是21年的，现在新版本不行了，改了dnsmasq的端口后，下面的设备dhcp就没有dns了，估计是dnsmasq试图给设备的dns也是改过端口的，但是现在的设备基本没有自定义dns端口的功能，所以就获取不到了。

[InspoOnU]

看发帖时间是21年的，现在新版本不行了，改了dnsmasq的端口后，下面的设备dhcp就没有dns了，估计是dnsmasq试图给设备的dns也是改过端口的，但是现在的设备基本没有自定义dns端口的功能，所以就获取不到了。

我用官方最新的OpenWRT依旧正常。如果不行你可以试试手动制定DHCP下发的DNS
uci add_list dhcp.lan.dhcp_option='6,192.168.1.1'

[edwinhuish]

如何知道自己的防火墙到底是 Firewall4 还是 Firewall3 呢？

[lsp0701]

我是用华硕 merlin 固件+科学上网插件，参考了这里的配置把AdguardHome配置在dnsmasq(系统自带的DNS和DHCP服务)之前，很不错，点赞~

[wuiiled]

[//]127.0.0.1:6653

这一行是什么意思？

[vernesong]

对了，建议关闭adg的DNS缓存，容易出问题

[diaoyue-qiaoyun]

这个很重要，以前adg的DNS缓存打开，总是莫名一些网站上不去

[yangxiaoge]

牛皮，帮大忙了！

[magic3584]

大佬 5553 是在哪配置的？我的表：NAT里也没有 DNSMASQ规则。。。

[vernesong]

没有就不去管

[magic3584]

大佬我现在 oc 是 adg 的唯一上游， adg 设置是“作为 dnsmasq 的上游”，但是 adg 里只能显示 localhost。请教怎么在 adg 里显示各个设备 ip

[5ycloud]

ADGUARD过滤效果还不错，腾讯视频广告过滤不彻底

[5ycloud]

优化了一下ADGUARD的DNS解析设置，一下子平均解析时间搞到了10ms一下，请问
各位大佬们能否分享一下国内比较好用的DNS过滤器？

[yongman]

:-）

[5ycloud]

怎么 做到这么快的 大佬

优化DNS缓存，DNS重写，或者上游的本地，都会加速解析响应时间！

[5ycloud]

:-）

这个才是该有的响应水平

[rakan907]

具体这么设置能分享一下吗

[kayboy69]

不太懂这个，按照教程设置的，应该成功了吧

[NV3S]

https://openwrt.org/docs/guide-user/services/dns/adguard-home
我是用了这个方式，然后用以下几种方式配合openclash
一种是全局上游设置到 127.0.0.1:7874 的clash dns监听口，clash开fake-ip，特别不走代理的ip，在adguardhome里添加客户端，设置自定义dns到上层网关；
第二种和上一种相反，全局到上层dns，但需要过clash的ip，添加为客户端，自定义dns到127.0.0.1:7874;
第三种就是只设置全局上游为127.0.0.1:7874，但clash开redir-host。

以上场景是有上层路由routeros做主路由+dhcp，然后dhcp时候需要过clash的客户端，用dns的参数3、6覆盖为openwrt的ip。

[ghost]

不是7874吗，为什么藏个5553在里面，搞得adguardhome+dnsmasq+openclash收不到请求

[diaoyue-qiaoyun]

哪种都可以啊，我用的fakeip增强模式，那个dhcp我一般不用

…

---原始邮件--- 发件人: ***@***.***> 发送时间: 2023年1月20日(周五) 下午2:04 收件人: ***@***.***>; 抄送: ***@***.******@***.***>; 主题: Re: [vernesong/OpenClash] 配合AdGuard Home使用时的设置 (Discussion #1420) 哥们想问一下你OpenClash用的FakeIP模式还是默认模式呢 还有是增强还是混合模式呢 list dhcp_option '3,192.168.1.1' list dhcp_option '6,192.168.1.1' 对于加入的这两个ADG地址需要加上ADG“3000”的端口号吗 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: ***@***.***>

[rakan907]

我改fake ip 增强模式 然后adh上游填的127.0.0.1:7874 然后测试上游服务器 显示连接失败

[Mrered]

我和你问题一样，adh一直提示 服务器 "127.0.0.1:7874"：无法使用，请检查你输入的是否正确，请问解决了吗

[xuanpro]

你的解决了吗

[diaoyue-qiaoyun]

测试显示是失败，这是个bug，但实际能工作没问题，直接保存应用

…

---原始邮件--- 发件人: ***@***.***> 发送时间: 2023年1月27日(周五) 晚上7:21 收件人: ***@***.***>; 抄送: ***@***.******@***.***>; 主题: Re: [vernesong/OpenClash] 配合AdGuard Home使用时的设置 (Discussion #1420) 我改fake ip 增强模式 然后adh上游填的127.0.0.1:7874 然后测试上游服务器 显示连接失败 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: ***@***.***>

[yyysuo]

Adguard Home占用0.0.0.0:53端口，转发dns请求到127.0.0.1:7874，不开启Fake-IP 持久化的情况下，响应时间都是1ms以下，是正常的，但是开启fakeip持久化之后，fakeip的响应时间达到了几十ms，请问这是什么问题呢？

[vernesong]

本地存储查询需要时间

[yyysuo]

本地存储查询需要时间

本地存储能加载到内存中吗？223.5.5.5公共dns直接查询在我这里的响应时间也就是5ms以内，大部分时间在2ms，本地查询几十ms，反而会慢呢？

[vernesong]

不能，不开也影响不大

[yyysuo]

不能，不开也影响不大

真是快人快语，感谢大佬解惑。

[bingbaicai]

老师。你这设置的环境OP是旁路由还是单OP路由的？

[suyin-long]

openclash 的 DNS 设置中没有 “自定义上游DNS服务器” 怎么办？

[DawnAleax]

openclash 的 DNS 设置中没有 “自定义上游DNS服务器” 怎么办？

覆写设置➡️DNS设置➡️*自定义上游 DNS 服务器

[yongman]

openclash 版本 v0.45.139-beta

设置了 ADG 53端口 -> dnsmasq 1053 -> openclash 7874 工作正常，ADG 做第一层过滤，但是有个问题，openclash 在 dns 设置里禁用 dns 劫持，防火墙里还是会出现

-A PREROUTING -p tcp -m tcp --dport 53 -m comment --comment "OpenClash DNS Hijack" -j REDIRECT --to-ports 1053
-A PREROUTING -p udp -m udp --dport 53 -m comment --comment "OpenClash DNS Hijack" -j REDIRECT --to-ports 1053

这两条规则，手动删除这两条规则就可以正常走 ADG 了，否则被直接劫持到 dnsmasq 了。看到 openclash 启动完成后会有这条日志，话说这个 DNS 劫持能否完全禁用？@vernesong

2023-08-25 00:00:26 提示：检测到 Dnsmasq 正常工作，还原防火墙 DNS 劫持规则...
2023-08-24 23:59:26 OpenClash 启动成功，请等待服务器上线！
2023-08-24 23:59:26 第九步: 添加计划任务,启动进程守护程序...
2023-08-24 23:59:26 第八步: 重启 Dnsmasq 程序...
2023-08-24 23:59:26 提示：开始添加自定义防火墙规则...
2023-08-24 23:59:26 提示：正在根据防火墙端口转发和防火墙通信规则添加端口绕过规则...
2023-08-24 23:59:26 提示：在 FAKE-IP 模式下绕过中国 IP 可能会导致 Dnsmasq 加载时间过长，暂时劫持 DNS 至内核直到 Dnsmasq 正常工作...
2023-08-24 23:59:24 提示：IPv6 代理模式为 TProxy...
2023-08-24 23:59:24 提示：DNS 劫持未开启...
2023-08-24 23:59:24 第七步: 设置防火墙规则...
2023-08-24 23:59:23 第六步: 等待主程序下载外部文件...
2023-08-24 23:59:20 第五步: 检查内核启动状态...

[shange1993]

我也遇到这问题，请问如何解决呢

[250king]

这延迟好痛啊

[DawnAleax]

adguard home防火墙劫持53端口，只能劫持普通的UDP流量吧？
如何劫持其他类型的dns查询呢，因为在oc那边开了TUN模式后在info日志里面是可以看到劫持了dns查询
因为一些原因我是用的增强模式关掉udp代理

[caliban511]

那如果 adguardhome 和 openclash 不在一个机器上呢？openclash 在主路由，adguardhome 在内网机器上，这要怎么配置呢？

[codingiran]

我的环境跟你一样，请问你是怎么处理的？

[caliban511]

楼下不是写了吗？而且我后来发现adg去广告好像没多大效果，现在没有用这个了

[DawnAleax]

127.0.0.1换成局域网主机IP不就行了 Caliban ***@***.***> 于 2024年3月19日周二 14:02写道：

…

那如果 adguardhome 和 openclash 不在一个机器上呢？openclash 在主路由，adguardhome 在内网机器上，这要怎么配置呢？ — Reply to this email directly, view it on GitHub <#1420 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AHXJ4SFROBTMKCJWPH6REFDYY7IIZAVCNFSM47LGYK3KU5DIOJSWCZC7NNSXTOKENFZWG5LTONUW63SDN5WW2ZLOOQ5TQOBTGYZDEMI> . You are receiving this because you commented.Message ID: ***@***.***>

[caliban511]

我目前的用法是把需要过滤广告的客户端的dns设置成adgyardhome，而 adguardhome 的上游设置成 openclash 。
顺便好奇，dnsmasq 哪来的 127.0.0.1 让你改啊？

[DawnAleax]

DNSmasq有转发功能，你这功能实现了不就行了，没必要折腾。 dnsmasq转发至adg主机再到openclash的dns Caliban ***@***.***> 于 2024年3月19日周二 14:26写道：

…

我目前的用法是把需要过滤广告的客户端的dns设置成adgyardhome，而 adguardhome 的上游设置成 openclash 。 顺便好奇，dnsmasq 哪来的 127.0.0.1 让你改啊？ — Reply to this email directly, view it on GitHub <#1420 (reply in thread)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AHXJ4SBCZADVMRKMPZLPCM3YY7LCJAVCNFSM47LGYK3KU5DIOJSWCZC7NNSXTOKENFZWG5LTONUW63SDN5WW2ZLOOQ5TQOBTGYZTIOI> . You are receiving this because you commented.Message ID: ***@***.***>

[myckjx]

这个做法确实可行，不过要补充一下，防火墙那两条“iptables -t nat ...”规则必须注释掉，避免和“重定向53端口到Adguardhome”相互冲突。另外如果是机场的话，“自定义上游dns”可能会导致断网，取消掉即可（然后更新下配置文件）。

[screousi0103]

效果不佳，现在应用的广告都内置httpdns，路由器部署AdGuardHome连httpdns都没法拦截，更别说用dotdoh的大厂了

想要过滤广告（特别是隐私）最简单且有效的还得是借助能代理流量的软件，流量全部走核心、订阅相关拦截规则、开域名嗅探

[DawnAleax]

不全是，现在app的广告都已经和内容使用一个域名了，单纯的dns已经没有办法去广告了，更别提广告还是走的https加密，就算是代理软件也没办法的

[screousi0103]

现在app的广告都已经和内容使用一个域名了，单纯的dns已经没有办法去广告了，更别提广告还是走的https加密，就算是代理软件也没办法的

是的

浏览器插件或客户端过滤当前设备大概能过滤⁴⁄₆~⁵⁄₆，因为可以针对性的过滤路径或文件

而通过网关装adghome能有就²⁄₆~³⁄₆就不错了

通过流量过滤我的感觉是介于两者之间，能过滤一部分的手机开屏广告和一部分的浏览器弹出广告，算是一个配置既不太麻烦效果也能接受的均衡点吧