Chaque appareil du réseau fait des centaines de requêtes DNS par jour vers des serveurs de publicité, de tracking et de télémétrie. L’aspirateur, la Smart TV, le téléphone, les ampoules connectées. AdGuard Home intercepte toutes ces requêtes au niveau DNS et bloque celles qui correspondent aux listes de filtrage, avant même qu’elles ne partent sur Internet.
Résultat sur mon réseau : 6 611 requêtes bloquées en 24h. Et parmi les bénéfices concrets, un auquel je ne m’attendais pas : les pubs sur Canal+ via l’Apple TV ne passent plus.
Pourquoi un LXC dédié sur Proxmox
AdGuard Home est un service infrastructure critique. Si il tombe, toutes les résolutions DNS du réseau s’arrêtent. Je l’ai mis dans un LXC Proxmox dédié plutôt qu’en Docker sur une autre machine pour plusieurs raisons :
- Backup PBS : le LXC est sauvegardé quotidiennement par Proxmox Backup Server. En cas de problème, restauration complète en 2 minutes.
- Redémarrage isolé : je peux redémarrer uniquement AdGuard sans toucher aux autres services.
- Monitoring propre : le LXC apparaît comme un nœud distinct dans les outils de monitoring, avec ses propres métriques CPU/RAM.
- Haute dispo simplifiée : si je veux dupliquer sur un second nœud Proxmox, c’est un clone de LXC.
Installation via community-scripts
Depuis le shell Proxmox, une seule commande crée le LXC et installe AdGuard Home :
bash -c "$(wget -qLO - https://community-scripts.github.io/ProxmoxVE/ct/adguard.sh)"Le script (community-scripts.org/scripts/adguard) crée un LXC Debian léger, installe AdGuard Home et ses dépendances, et expose l’interface sur le port 3000. Configuration initiale via http://<IP_LXC>:3000.
Les listes de filtrage actives
J’utilise 10 listes en parallèle. L’avantage d’AdGuard Home est qu’elles se déduplicent automatiquement, donc pas de double blocage ni de ralentissement.
La liste qui fait le plus de travail : HaGeZi’s Threat Intelligence avec plus d’un million de règles couvrant les domaines malveillants connus. En combinaison avec OISD Blocklist Big (328k règles), la couverture est très large sans générer trop de faux positifs.
Intégration avec le réseau UniFi
Dans l’UDM SE (Network > Settings > Networks > sélectionner chaque réseau > DHCP Name Server) :
- DNS primaire : IP du LXC AdGuard Home
- DNS secondaire :
1.1.1.1(fallback si AdGuard est indisponible)
Tous les appareils du réseau reçoivent l’IP d’AdGuard comme DNS via DHCP. Pas de configuration sur chaque appareil.
Pour les appareils IoT qui codent en dur 8.8.8.8 dans leur firmware (certaines Smart TV, aspirateurs connectés), une règle firewall sur l’UDM SE redirige de force tout trafic DNS vers AdGuard :
Source : VLAN IoT
Destination : Any, port 53
Action : Redirect vers IP_ADGUARD:53Même les appareils qui ignorent le DNS DHCP passent par le filtre.
Canal+ sur Apple TV : les pubs disparaissent
C’est le bénéfice auquel je ne m’attendais pas. L’Apple TV ne supporte pas les extensions navigateur ni les bloqueurs tiers. Les pubs sur Canal+ et les applications de replay TV étaient inévitables. Sauf que Canal+ charge ses publicités depuis des domaines tiers répertoriés dans les listes de filtrage. AdGuard bloque ces domaines au niveau DNS : l’Apple TV ne peut plus les joindre, les pubs ne chargent pas.
Le même effet s’applique à toutes les applications qui passent par des serveurs publicitaires connus : replay TV, apps mobiles, Smart TV. Aucune installation sur l’appareil, aucune configuration : c’est le DNS qui filtre.
Les statistiques
Sur les dernières 24h sur mon réseau :
Les domaines les plus bloqués : diag.meethue.com (télémétrie Philips Hue), mobile.events.data.microsoft.com (analytics Microsoft), nexus-websocket-a.intercom.io (chat support embarqué dans des apps), grs.hihonorcloud.com (télémétrie Honor). Des appareils premium qui envoient des données en continu sans que l’utilisateur le sache.
Safe Search forcé sur tout le réseau
AdGuard Home permet de forcer le Safe Search sur Google, Bing, YouTube et DuckDuckGo pour tout le réseau d’un coup (Filtres > Contrôle parental). Sur un réseau familial avec des enfants, ça s’active en un clic sans toucher à aucun appareil individuellement. Sur mon setup, 259 recherches ont été redirigées en mode Safe Search en 24h.
FAQ
AdGuard Home ou Pi-hole en 2026 ?
AdGuard Home : UI moderne, DNS-over-HTTPS natif, gestion des listes plus simple, client assignment propre. Pi-hole reste fonctionnel mais la communauté est moins active sur les nouvelles fonctionnalités. Pour un nouveau setup, AdGuard Home sans hésiter.
Est-ce que ça casse des sites ou des applications ?
Rarement. Certains sites utilisent des domaines de tracking pour des fonctions utiles (SNCF, Amazon, quelques apps bancaires). AdGuard Home a une whitelist simple accessible depuis l’interface. En pratique, une dizaine de domaines à débloquer au fil du temps.
Que se passe-t-il si AdGuard Home tombe ?
Le DNS secondaire (1.1.1.1) prend le relais automatiquement : la navigation continue sans filtrage. C’est pour ça que le LXC est sauvegardé par PBS et monitoré par Uptime Kuma avec un check toutes les 60 secondes.
Faut-il déclarer AdGuard en DNS primaire ou secondaire sur le routeur ?
En primaire uniquement. Si tu déclares un DNS secondaire non filtrant, Windows et les Smart TV l’utilisent en priorité dès qu’AdGuard met plus de quelques ms à répondre. Tu perds tout le filtrage. Déclare uniquement AdGuard comme DNS DHCP.
Pour aller plus loin
- Nginx Proxy Manager : reverse proxy HTTPS qui utilise AdGuard pour la résolution locale
- Uptime Kuma : pour monitorer la disponibilité du LXC AdGuard
- Proxmox Backup Server : sauvegarde quotidienne du LXC AdGuard
- Mon setup homelab 2026 : vue d’ensemble de l’architecture réseau
