使用 AdGuard Home 自建 DNS 防污染、去广告 #2 – 优化增强设置详解教程

前言

本篇教程来详细讲解如何正确的设置 AdGuard Home ，来更有效的防止 DNS 污染以及去广告。与其它 AdGuard Home 教程的只讲方法、不讲逻辑的胡乱设置不同，认真看完这篇教程你会收获大量的知识和启发。

设置

常规设置

文字介绍已经很好理解了，按需设置即可。重点是以下几个，如果你尚处于单身状态，那么就不要开启，否则会影响生理卫生知识的学习。

使用 AdGuard【家长控制】服务：如果家中有尚未成年的孩子，建议开启，屏蔽成人内容。
强制安全搜索：在 Bing、Google、Yandex、YouTube 等网站上强制使用安全搜索，屏蔽 NSFW 内容。

使用 AdGuard Home 自建 DNS 防污染、去广告 #2 - 优化增强设置详解教程

DNS 设置

上游 DNS 服务器

AdGuard 文档中给出了一些知名的 DNS 服务器供选择。如果你阅读过《先导篇》，那么你一定还记得 DoT/DoH 技术。所以这里的上游 DNS 自然是要选择 DoT/DoH 加密技术的服务器的，可以防止 DNS 解析记录被劫持、篡改以及跟踪。缺点是可能对解析速度会有些许影响，毕竟 TCP 协议不如 UDP 来得有效率，且加解密需要一点时间，不过在机器性能不错且网络通畅的情况下其实是可以忽略的，都是毫秒级别的差距。根据所在网络环境的不同推荐两组选择：

中国大陆网络环境推荐选择腾讯 (DNSPod) 和阿里的公共 DNS 。

TIPS: 中国大陆不推荐使用海外的 DNS ，因为延迟很高且都受到了不同程度的干扰，可用性不高，强行设置只会得到减速效果或者报错。
```
tls://dns.pub
https://dns.pub/dns-query
tls://dns.alidns.com
https://dns.alidns.com/dns-query
```
自由网络环境，比如海外的 VPS ，或者给代理软件做 DNS ，推荐使用 Google 和 Cloudflare 的公共 DNS。

TIPS: Google 的 DNS 似乎在中国大陆有着不错的可用性，一般会路由至 Google 香港的服务器节点。不过由于dns.google域名被污染无法解析，只能使用 IP 形式的 DoT 方案。
```
tls://8.8.8.8
tls://8.8.4.4
tls://dns.google
https://dns.google/dns-query
tls://1.1.1.1
tls://1.0.0.1
https://dns.cloudflare.com/dns-query
```

以上分别使用了 DoT 和 DoH 两种技术组合，在《先导篇》中有说过它们最大区别在于使用端口的不同。而关于这两个技术博主经常会看到类似的两种观点：

“443 端口经常被干扰，853 端口底层技术员不懂，国内的服务器不会去管。”
“443 端口正常流量国内不会管，853 端口想封是分分钟的事。”

不管他们孰是孰非，在没有可靠数据做支撑的情况下，小孩才做选择，我全都要。根据博主这几年对不同网络环境的测试，有的网络都能用，有的网络只能使用其一，这需要根据自身所在网络环境实测，如果延迟很高或者运营商对其进行了封锁，那么就只能退而求其次了。

上游 DNS 服务器输入框下面有几个单选项，字面理解应该是解析策略、模式之类的选项，官方文档暂时没有相关介绍，根据字面含义和自身实际体验总结如下：

负载均衡：使用加权随机算法来选择最快的服务器，用到了算法，属于玄学范畴了。
并行请求：同时请求所有上游 DNS 服务器，取最快给出的响应结果，所以解析速度快，但解析出的 IP 延迟可能不是最低的。这反应到实际使用中可能是首次打开网页快，但后续的加载慢，比如图片可能很长时间才会显示。
最快的 IP 地址：同时请求所有上游 DNS 服务器，在所有响应结果中选出延迟最低的 IP ，因为要等待所有上游 DNS 服务器响应结果，所以解析速度会很慢，但所解析的 IP 延迟理论上是最低的。反应到实际使用中可能是首次打开网页非常慢，甚至可能不能打开，要多刷新几次，但后续使用就非常流畅了。

博主个人倾向于选择负载均衡这个折中的方案，这个选择仁者见仁，没有所谓的最好一说。

Bootstrap DNS 服务器

Bootstrap DNS 服务器（引导 DNS 服务器）的作用只是解析上游 DoT/DoH 技术 DNS 服务器的域名，所以这里需要填写使用 UDP 协议的传统 DNS 服务器 IP 地址。推荐使用当地运营商的 DNS ，因为延迟低解析快，然后再加几个公共 DNS 作为备胎。

设置完点击测试上游服务器，没有问题点保存即可。

DNS 服务设定

速度限制：0
使用 EDNS ：已知前面提及的上游 DNS 服务器都是支持 EDNS 技术的，它有助于获取到更合适的 CDN 节点，建议勾选。
使用 DNSSEC : 用于效验 DNS 记录的签名，防止 DNS 缓存被投毒，建议勾选。勾选后会在日志页面请求列显示小绿锁图标。
禁用 IPv6 ：丢弃 IPv6 的 DNS 查询。在本地网络和网站都支持 IPv6 会优先使用 IPv6 去访问网站，但目前 IPv6 的建设还处于初级阶段，大多数地区的 IPv6 网络体验都一般。还有一些代理软件对 IPv6 支持不佳，开启后可能会影响国际互联网的访问。如果对此没有特殊需求，那么直勾选即可，这样既不影响 BT 软件连接 IPv6 网络，又可以优先使用 IPv4 来上网。如果只有 IPv4 ，那么是否勾选没有区别。

DNS 缓存配置

先简单科普一下 TTL ，它是英语 Time To Live 的简称，中文翻译为 “存活时间”。放在 DNS 解析中意为一条域名解析记录在 DNS 服务器中的存留时间，单位是秒。

正常情况下 TTL 默认 0 即可，即从上游 DNS 服务器获取 TTL 值。如果你所部署的网络环境到上游 DNS 服务器的延迟比较高，那么可以适当增加 TTL 值，让缓存更持久，短时间内请求同样域名的解析会直接从缓存中读取，实现秒解析。不过 TTL 值不宜过大，不然会导致记录不能及时更新，结果是网站无法正常打开。据博主观察目前多数域名的 TTL 值普遍在 300 以内，所以给出以下设置参考值：

覆盖最小 TTL 值：600
覆盖最大 TTL 值：3600

加密设置

设置管理页面使用 HTTPS 加密以及 AdGuard Home 自身的 DoH/DoT 功能，如果不对外开放服务，只是在本地局域网使用是用不到的。对外开放 DNS 服务在中国大陆可能会有 “法律” 风险，而部署在国外网络速度缓慢，所以对于普通用户而言加密设置就成了摆设。

客户端设置

在这里可以单独设置每个设备单独使用的上游 DNS 及过滤规则，需要将设备 DNS 设置为 AdGuard Home 服务器的在 IP ，或者使用下面将要提到的 DHCP 设置。每个人的需求不一样，所以这个部分就不详细说明了。

DHCP 设置

使用 AdGuard Home 作为 DHCP 服务器去代替路由器上的 DHCP 服务器，这个功能的主要作用是自动分配 AdGuard Home 的 DNS 给到设备，然后配合客户端设置去做精细化 DNS 和过滤规则设置。除非是你的路由设备的 DHCP 功能缺斤少两，否则一般是不会不到的。目前这个功能处于实验阶段，稳定性还有待考证。有兴趣的小伙伴可以自己去深入研究，这里不做过多赘述。