Si necesitas un filtrado de DNS en tu red local para bloquear todos los dominios que quieras, y así tener un férreo control parental, AdGuard Home es una de las mejoras opciones que puedes usar. Este software actúa como servidor de DNS para toda la red, pudiendo añadir varias listas de bloqueo para filtrar diferentes dominios e incluso servicios populares como las redes sociales, de esta forma, tendremos un control parental realmente completo. El router ASUS ROG Rapture GT-BE19000AI incorpora Docker en el firmware ASUSWRT, por lo que podremos instalarlo fácilmente para añadir esta funcionalidad. Hoy en RedesZone os vamos a explicar cómo instalar y configurar AdGuard Home en tu router de ASUS.
AdGuard Home es un software que nos permite montar un servidor de DNS local, el objetivo es poder filtrar dominios e incluso servicios populares para toda la red, pero también tenemos opciones avanzadas para solamente filtrar contenido a ciertos clientes, para que funcione como un control parental en nuestra red. Este servidor de DNS nos permitirá configurar los populares DNS de Cloudflare o Google a los que reenviar las solicitudes DNS (siempre y cuando no estén en la lista de bloqueo), además, nos permite usar DNS over TLS de cara a estos DNS de terceros, y también de cara a la red local, para añadir una capa de cifrado a todas las solicitudes y respuestas.
El router de ASUS nos permite instalar este servicio de forma local mediante Docker, primero tenemos que instalar el sistema de contenedores, y posteriormente instalar el contenedor de AdGuard Home para que esté disponible en la red local. A continuación, os vamos a explicar en detalle qué debes tener en cuenta y cómo hacerlo, para que su instalación sea un completo éxito.
Instalación de AdGuard Home con Docker
Lo primero que debemos hacer es instalar el sistema de Docker a través del menú del firmware, para ello, debemos irnos al menú de «AI Board» que tenemos en la zona de la izquierda. Una vez que estemos en esta sección, debemos irnos a «Gestión de Docker / Controlar e implementar» y pinchamos en «Instalar». Este proceso puede tardar hasta un minuto, y una vez que termine el proceso, ya podemos instalar más contenedores de Docker, e incluso acceder a Portainer para gestionar todos los contenedores de forma óptima.
En la zona inferior es donde podemos ver el nombre del host al que acceder para poder ver los contenedores de Docker que instalaremos, pero también podemos usar directamente una dirección IP privada (en nuestro caso es la 192.168.50.33). Otras opciones disponibles son las de buscar actualizaciones de firmware, resetear a valores de fábrica toda la parte de contenedores (es un proceso que puede tardar hasta 30 minutos, ya que realizará una instalación desde cero), así como reiniciar el subsistema de contenedores (sin reiniciar el router por completo).
Una vez que esté instalado, si pinchamos en «Abrir» se nos abrirá una pestaña nueva en el navegador con Portainer y su asistente de configuración, y será donde gestionar y administrar todos los contenedores. Ahora tenemos que irnos a la parte superior y pinchar en «Instalar» donde tenemos «AdGuard Home«. El proceso de instalación durará unos segundos, y cuando haya acabado, podemos ver el botón de «Abrir» que nos abrirá el asistente de configuración de AdGuard Home.
En estos instantes ya tenemos instalado tanto el sistema de contenedores, Portainer para gestionar todos los contenedores, así como AdGuard Home.
Gestión mediante Portainer
Portainer es el contenedor de Docker que nos permitirá crear, borrar y administrar otros contenedores que tenemos instalados en el router. Es fundamental que sepas el funcionamiento básico de Portainer, porque a través de él, podemos instalar más contenedores que no tenemos como acceso directo en el firmware ASUSWRT. Si es la primera vez que acceder a Portainer, verás un pequeño asistente de configuración donde debemos poner el nombre de usuario «admin» y la contraseña de administrador, con el objetivo de acceder a la plataforma de gestión de contenedores. En el último menú, debemos pinchar en «Get Started» y ya estaremos listos para administrarlos.
Si pinchamos en «local» podemos acceder posteriormente a «Containers» de la parte de la izquierda. El contenedor de AdGuard Home se llama «adguard-asus» y no debemos tocar la configuración predeterminada, no obstante, podemos parar el contenedor, reiniciarlo por si se bloquea, así como actualizarlo si pinchamos en «Recreate«. En estos menús podemos ver el estado general del contenedor, de hecho, podríamos incorporar algunos ajustes adicionales pinchando en «Duplicate/Edit» pero no es recomendable que toques la configuración predeterminada.
Como podéis ver, Portainer nos permitirá administrar todos los contenedores instalados en el router, es el contenedor más importante porque nos permitirá instalar muchos más y gestionarlos.
Puesta en marcha con su asistente
La primera vez que accedemos vía web al contenedor de AdGuard Home, tendremos que seguir un sencillo asistente de puesta en marcha para que todo funcione correctamente. Tenemos un total de tres pasos que debemos completar:
- Configurar la interfaz web de administración y la interfaz del servidor DNS. Es recomendable dejar todo de forma predeterminada, es decir, «Todas las interfaces» para ambas opciones, y los puertos 80 y 53 respectivamente. No tenemos que poner una IP estática en AdGuard Home, porque este contenedor en modo host siempre tendrá la misma IP internamente, gestionado directamente por el contenedor.
- Autenticación: debemos poner un nombre de usuario como «admin» y la correspondiente contraseña. Con estas credenciales podrás acceder a la administración de AdGuard Home más adelante, y así poder realizar todos los ajustes que quieras.
- Configurar los dispositivos: tendremos que configurar los dispositivos clientes con la dirección IP que nos aparecerá ahí, en nuestro caso, es la 192.168.50.33.
En estos instantes, ya estamos listos para entrar en la web de administración y proceder con la configuración del servidor de DNS para filtrar los contenidos que queramos.
Al actualizar la página web, podemos ver que nos pedirá el nombre de usuario y la contraseña que hemos configurado previamente. Una vez que introduzcamos las credenciales correctas, podemos ver el panel de control principal del sistema, donde nos encontraremos con las consultas DNS, las consultas bloqueadas y mucha más información realmente útil.
En estos instantes, ya tenemos acceso a AdGuard Home, pero debemos realizar las configuraciones necesarias para que todo funcione correctamente.
Configuración de AdGuard Home
AdGuard Home viene sin ninguna configuración previa, debemos configurarlo desde cero. La parte positiva es que es realmente configurable, podemos realizar ajustes bastante avanzados de forma sencilla. Hay algunas configuraciones que son complemente obligatorias, y otras son opciones.
Configuración DNS
Lo primero que debemos configurar son los proveedores de DNS que podemos usar con AdGuard Home, nuestra recomendación es que uses siempre DNS over TLS o bien DNS over HTTPS. El motivo es para que tu operador no te espíe, y que las consultas DNS y sus respuestas vayan totalmente cifradas punto a punto. En nuestro caso, hemos usado DNS over TLS de Cloudflare, por lo que tendrás que poner:
- tls://1dot1dot1dot1.cloudflare-dns.com
También podéis usar los de Google, e incluso los de Quad9. Por supuesto, siempre es recomendable usar los proveedores que menor latencia tengan:
- tls://dns10.quad9.net
- tls://dns.google
Quad9 integra filtrados por defecto, por lo que podría ser redundante respecto a las listas de bloqueo configuradas en este servicio, así que es mejor que uses directamente los de Google o Cloudflare que funcionan realmente bien, y con baja latencia.
Otras opciones que podemos usar son la política de carga de DNS, si tenemos varios proveedores podemos realizar un balanceo de carga, consultas paralelas o bien la dirección IP más rápida. También tenemos la posibilidad de usar un DNS alternativo, la sintaxis es la misma que en proveedores DNS. También es muy importante poner los DNS de «arranque», ya que DNS over TLS tienen dominios que hay que resolver, y esto lo haremos con DNS convencionales (sin cifrar). Es recomendable pinchar en el botón de «Probar proveedores DNS» para comprobar que todo funciona bien.
Finalmente, podemos configurar algunos ajustes adicionales como el límite de cantidad, si queremos habilitar DNSSEC y otras opciones avanzadas como el caché y reglas de acceso a AdGuard Home.
Configuración del cifrado
Este servicio nos permite acceder a la administración vía HTTPS en lugar de HTTP, además, también podemos usar DNS over TLS en la red local en lugar de usar DNS. Esto último no es demasiado importante en una red local doméstica, porque nosotros seremos los administradores de la red, además, podría ocasionar problemas con algunos clientes que no soporten este protocolo. AdGuard Home no nos permite crear una CA con sus certificados públicos y privados, por lo que tendremos que crearlos «fuera» y luego copiarlos aquí.
En nuestra opinión, no es necesario habilitar el cifrado completo usando HTTPS para acceder a la administración, DNS sobre HTTPS o TLS, ya que estamos en red local y no es necesario en un entorno doméstico. Otra cosa muy diferente sería si estamos en un entorno empresarial, entonces añadir una capa de cifrado siempre es una buena idea.
Configuración de clientes
AdGuard Home nos permite añadir clientes basados en su dirección IP privada de origen, podemos darle un nombre, etiqueta, e incluso añadir una configuración específica para dicho cliente. Por ejemplo, podríamos bloquear ciertos servicios en este cliente, pausar el bloqueo en un determinado horario, e incluso usar unos proveedores DNS en concreto para este cliente. Otra opción es usar el servidor DHCP integrado en AdGuard Home, pero en este caso no es necesario porque ya lo hará el router, sería redundante y te daría problemas porque los clientes cogerán la IP del servidor DHCP más rápido.
Es muy importante que cada cliente de la red local obtenga por DHCP la IP del servidor DNS de AdGuard Home, de lo contrario, en el listado de clientes solamente veremos uno (el propio router), y no tendremos opción de diferenciar qué cliente ha realizado una determinada petición.
Filtros
En el menú de filtros es donde podemos encontrar diferentes configuraciones, para filtrar o no filtrar unos determinados dominios en el sistema. En esta sección, podemos encontrar lo siguiente:
- Lista de bloqueo de DNS: podemos añadir reglas en base a una URL que siga una determinada sintaxis, actualmente hay algunas listas de bloqueo que ya vienen en AdGuard Home como predeterminadas y que podemos añadir a golpe de clic, sin necesidad de hacer nada más. Cuando añadamos las reglas, podemos ver el número de reglas y cuándo se han actualizado por última vez. Lo mejor de tener reglas basadas en URL, es que se actualizarán regularmente de forma transparente.
- Lista de permitidos DNS: es una lista blanca de dominios permitidos, el sistema primero consultará este listado para permitir el acceso al dominio. Aunque tengamos en una de las listas de bloqueo el dominio, se permitirá su acceso al estar en este listado ya que tiene prioridad máxima.
- Reescrituras DNS: es una lista que permite configurar la respuesta DNS personalizada para un nombre de dominio específico. Imaginemos que queremos que un dominio resuelva una IP en concreto que nosotros queremos, desde aquí podremos hacerlo fácilmente.
- Servicios bloqueados: en este menú podemos permitir o bloquear servicios muy populares de forma global, luego podemos ir definiendo cliente por cliente qué queremos permitir o bloquear. Por ejemplo, podemos bloquear algunos servicios de IA, CDN, servicios de citas, así como juegos y apuestas etc.
- Reglas de filtrado personalizado: si quieres reglas avanzadas, podrás crearlas aquí. En la parte inferior tenemos una leyenda con la sintaxis que debemos utilizar.
Lo más importante es elegir buenas listas de bloqueo para no permitir rastreadores que podrían poner en riesgo nuestra privacidad, e incluso listas de bloqueo con webs que han sido marcadas como malware. Algunas de las más recomendables son las siguientes:
- AdGuard DNS Filter
- AdGuard DNS Popup Hosts Filter
- HaGeZi’s Normal Blocklist
- HaGeZi’s Pro Blocklist
- OISD Blocklist Big
- Peter Lowe’s BLocklist
- Steven Black’s List
| Nombre de la lista | Propósito de la lista | URL para añadir |
|---|---|---|
| Hagezi DNS Blocklists | Multi-categoría: bloqueo de malware, contenido adulto, estafas y publicidad | https://github.com/hagezi/dns-blocklists |
| Ealenn AdGuard Home List | Multi-propósito: listas de bloqueo optimizadas para AdGuard Home | https://github.com/Ealenn/AdGuard-Home-List |
| Block List Project | Categorizado: dominios por tipo (malware, rastreadores, contenido adulto, juegos) | https://github.com/blocklistproject/Lists |
| NextDNS Parental Control Bypass Methods | Específico para control parental: bloquea métodos de evasión (proxies, VPNs) | https://raw.githubusercontent.com/nextdns/metadata/master/parentalcontrol/bypass-methods |
| NextDNS Piracy Blocklists – Proxies | Bloqueo de proxies y métodos de evasión de filtrados | https://raw.githubusercontent.com/nextdns/piracy-blocklists/master/proxies |
También hay otras muchas listas de bloqueo para bloquear dominios exclusivos de algunos equipos, como de equipos Samsung, OPPO, Windows, Xiaomi, y muchos otros más. Es muy importante que dediques tiempo a configurar esta listas adecuadamente.
Como podéis ver, AdGuard Home dispone de una gran cantidad de opciones de configuración avanzadas, sobre todo de cara a los filtros que podemos añadir.
Otras opciones
En el «Registro de consultas» es donde podemos ver un completo registro con todos los dominios que se han intentado resolver, y si está permitido o bloqueado a través de AdGuard Home. Esto es fundamental para ver si un dominio no resuelve porque está en una lista de bloqueo, o por si hay otro tipo de problema. Finalmente, en la pestaña de «Guía de configuración» es donde podemos ver todas las interfaces donde el servicio está escuchando para resolver los dominios.
Ahora que ya tenemos configurado el sistema de filtrado de dominios, debemos configurar el router correctamente para poder exprimirlo al máximo.
Configuración del router para usar los DNS de AdGuard Home
De manera predeterminada el propio router de ASUS usará el servicio de AdGuard Home para resolver los dominios, el problema es que el cliente será el propio router (192.168.50.1) y no podemos ver qué clientes han pedido un dominio en concreto. Esto hace que la configuración individualizada por clientes no sea posible, pero tiene solución si configuramos correctamente el servidor DHCP del router.
Si nos vamos a «Configuración / LAN / Servidor DHCP» podemos ver lo que se les proporciona a los clientes cableados e inalámbricos de la red principal, en este menú, tenemos que configurar:
- Servidor DNS 1: 192.168.50.33 (la dirección IP de AdGuard Home, que puedes ver en la pestaña de «Guía de configuración»).
- Servidor DNS 2: lo dejamos vacío.
También debemos marcar la opción de «Anunciar IP del enrutador además de DNS especificado por el usuario» y elegimos «No«. De esta forma, a los clientes solamente se les proporcionará la dirección IP de AdGuard Home.
Si queremos que el router use el servidor DNS de AdGuard Home, nos iremos a «Configuración / WAN» y en la sección de «Servidores DNS» nos aseguraremos de tener la dirección IP de AdGuard Home, tal y como os hemos indicado anteriormente.
En estos momentos, todos los clientes del router ya estará usando AdGuard Home de forma nativa, y podremos ver a todos los clientes directamente en el servicio. Si entramos en la web de administración podemos ver los diferentes clientes con su dirección IP privada:
En este panel de control podemos ver algunas estadísticas generales, los clientes más frecuentes, los dominios más consultados, así como los dominios más bloqueados, los proveedores DNS más usados, así como el tiempo promedio de respuesta del proveedor DNS.
Una de las funcionalidades estrella de este router es que podemos instalar contenedores Docker, y es una gran noticia que ASUS haya puesto AdGuard Home en el firmware para su instalación a golpe de clic, sin necesidad de tener que instalarlo manualmente a través de Portainer. El funcionamiento de este servicio es muy bueno en el router, aunque deberás controlar el «Tiempo promedio de procesamiento» y que esté por debajo de los 150ms aproximadamente, para que la resolución de DNS no se ralentice demasiado.
El rendimiento del servicio de filtrado está directamente relacionado con el número y tamaño de las listas de bloqueo. Como referencia, en router como el GT-BE19000AI, un tiempo de procesamiento promedio por debajo de 75ms es excelente. Añadir 2-3 listas de las recomendadas (con unos 200K dominios bloqueados), no debería impactar demasiado. Sin embargo, cargar muchas listas con millones de dominios, sí impactará en tu navegación web y notarás lentitud.
| Paso | Acción de verificación | Resultado esperado | Completado |
|---|---|---|---|
| 1 | Comprobar puertos del contenedor | Verificar en Portainer que los puertos 53, 80, etc., están correctamente mapeados y activos. | ☐ |
| 2 | Verificar DHCP del router | Acceder a la sección LAN > Servidor DHCP del router y confirmar que el único DNS asignado es la IP de AdGuard Home (192.168.50.33). | ☐ |
| 3 | Probar resolución DNS en un cliente | En un PC o móvil, ejecutar ‘nslookup google.com’. La respuesta debe mostrar el servidor AdGuard Home como el resolutor. | ☐ |
| 4 | Probar bloqueo de dominios | Añadir un dominio conocido a la lista de bloqueo (ej: ‘doubleclick.net’) y intentar acceder. El acceso debe ser denegado. | ☐ |
| 5 | Revisar registro de consultas | Navegar por varias webs y verificar que las consultas aparecen en el ‘Registro de consultas’ de AdGuard Home, identificando el cliente correcto. | ☐ |
Solución de problemas habituales
Cuando instalamos este servicio, es posible encontrarnos con ciertos problemas a la hora de ejecutarlo, y a la hora de usarlo para bloquear dominios a nivel de red.
Conflicto de puertos usados
Problema: El contenedor de AdGuard Home utiliza el puerto 80 TCP para acceder vía web a su administración, y también tiene los puertos 53 TCP y UDP para el servidor de DNS. De manera adicional, si habilitamos el cifrado en el servicio, usará el puerto 443 TCP predeterminado para la conexión HTTPS.
Solución: En el caso del router de ASUS, todos los puertos que usa AdGuard Home están disponibles porque no se «pisan» con otros contenedores que usen estos mismos puertos. Esto es algo fundamental para no tener que cambiarlos a través de Portainer. Si en un futuro instalas un contenedor que también haga uso de estos mismos puertos, entonces sí tendrás un conflicto de puerto y tendrás que cambiar uno de ellos.
Configuración incorrecta del DNS en los clientes.
Problema: Los clientes no resuelven dominios (no les funciona la navegación) correctamente porque el servidor DHCP del router no apunta a la IP de AdGuard Home como servidor DNS primario.
Solución: Accede a la configuración del servidor DHCP del router ASUS en «Configuración / LAN / Servidor DHCP«, asegúrate de establecer la dirección IP del contenedor, en nuestro caso es el 192.168.50.33 tal y como os hemos indicado antes. Una vez hecho, en los clientes fuerza una reconexión, en los clientes Wi-Fi puedes encender y apagar el Wi-Fi en el dispositivo, y en los clientes cableados basta con quitar y poner el cable nuevamente.
No veo los diferentes clientes en AdGuard Home
Problema: En el panel de control principal no se ven los diferentes clientes que realizan solicitudes DNS, ni tampoco se ve en el registro de consultas. Solamente hay una dirección IP que realiza todas las solicitudes y es la 192.168.50.1 (el propio router).
Solución: Accede a «Configuración / LAN / Servidor DHCP«, asegúrate de establecer la dirección IP del contenedor, aplica cambios y prueba a reconectar el cliente para que obtenga nuevamente la dirección IP. Revisa también la opción de «Anunciar IP del enrutador además de DNS especificado por el usuario» y elege «No«.
Diferencias entre AdGuard Home y Pi-hole
AdGuard Home y Pi-hole son las dos soluciones más populares para control parental y bloqueo de anuncios a nivel de red mediante bloqueo de DNS basado en listas. Ambas soluciones son realmente buenas, pero el enfoque es totalmente diferente.
Diferencias fundamentales
El servicio de Pi-hole está diseñado para instalarse en sistemas Linux limpios, típicamente en Raspberry Pi o dispositivos similares. AdGuard Home ofrece amplia compatibilidad multiplataforma, incluyendo Docker en routers avanzados como el ASUS. Otro aspecto a tener en cuenta, es que AdGuard ofrece muchas más opciones de configuración avanzadas que Pi-Hole, aunque también hay que tener presente el consumo de recursos: Pi-hole es extremadamente ligero, mientras que AdGuard consume algo más de recursos a cambio de muchas más funcionalidades.
A continuación, os indicamos tres ventajas clave por la que preferimos AdGuard Home respecto a Pi-Hole:
- Interfaz más moderna e intuitiva. Para gestionar el control parental a través del router ASUS, esta claridad es fundamental. Pi-hole es muy técnica y puede resultar complicado de configurar en un primer momento para un usuario doméstico.
- Soporte nativo para DNS cifrado: podemos configurar tanto DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) y DNSCrypt, activado de serie sin configuración adicional. Pi-hole requiere integración externa con herramientas como Unbound o Cloudflare.
- Control parental y funciones integradas: incluye funciones de control parental integradas, bloqueo de sitios de phishing y malware, y búsqueda segura forzada en motores de búsqueda. Todo esto está directamente desde la interfaz sin necesidad de scripts externos. Pi-hole carece de estas funciones nativas y requiere listas de bloqueo personalizadas.
Gracias al soporte de Docker del router ASUS GT-BE19000AI, vamos a poder instalar un control parental muy completo, avanzado, con decenas de opciones, y con una interfaz gráfica de usuario realmente intuitiva. Además, la capacidad nativa de cifrado DNS añadirá una capa de confidencialidad a nuestras peticiones y respuestas DNS.
