OpenWrt 広告ブロッカー DNS暗号化 ペアレンタルコントロール

Japanese notation

こちらに統合しました

はじめに

初心者対応構成

• スクリプトでの自動設定
• UCIとLuCi及びWinSCPにて比較しながら作業がおススメ

PowerShellでSSHアクセス

• PowerShellの開始 (キー入力)：Win+x > a > はい
  ※Windows7以降標準搭載

ssh root@192.168.1.1

ssh root@192.168.1.1のショートカット作成（デスクトップ）

powershell

$DESKTOP = ([Environment]::GetFolderPath("Desktop") + "\192.168.1.1.lnk")
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("$DESKTOP")
$Shortcut.TargetPath = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
$Shortcut.Arguments = '-windowstyle hidden -ExecutionPolicy RemoteSigned "Start-Process ssh root@192.168.1.1"'
$Shortcut.IconLocation = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe,0"
$Shortcut.WorkingDirectory = "."
$Shortcut.Save()

• 強制的に貼り付け
• yes

---

SSHログイン出来ない場合

known_hostsクリア

• C:\Users\yourusername\.ssh\known_hosts ※Windows隠しファイル

powershell

Clear-Content .ssh\known_hosts -Force

---

OpenSSHのインストール
※Windows 10 Fall Creators Update(1709)以降標準搭載

• 機能の確認

powershell

Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'

• 機能のインストール

powershell

Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

---

以下排他利用推奨

※先にSQMチューニング推奨

• AdGuardとAdBlock
• AdGuardとDNS over HTTPS (DoH)
• AdGuardとDNS over TLS (DoT)
• DNS over HTTPS (DoH)とDNS over TLS (DoT)

AdGuardはフラッシュ容量12M程度は最低限必要
フラッシュ容量が小さい場合AdBlock推奨

AdGuard HOME

ワンコピペ自動スクリプト

これ一つで以下の以下の機能を満たす(おススメ)

• 広告ブロック
• ペアレンタルコントロール
• DNS over HTTPS (DoH)
• DNS over TLS (DoT)

前提条件

• 少なくとも 50MB の空き RAM
• 少なくとも 100MB のディスク/フラッシュ空き容量 (フラッシュ/ストレージ要件を参照)
• より高性能なルーター、つまりプロセッサ クロック速度が高いデュアルコアを推奨します

スクリプト

• adguard-config.sh
  • adguard.sh

インストール

• adguard
• htpasswd
• libaprutil
• libapr
• libexpat

アドイン

• AdGuard Japanese filter
• 280blocker

SSH: /etc/config-software/adguard-config.sh

mkdir -p /etc/config-software; wget --no-check-certificate -O /etc/config-software/adguard-config.sh https://raw.githubusercontent.com/site-u2023/config-software/main/adguard-config.sh; sh /etc/config-software/adguard-config.sh

※強制終了：Ctrl+c
※LANインターフェイス名=lan

自動構成の設定内容

利用可能サイズ確認

• フラッシュ
  ※参考利用フラッシュ: WXR-5950AX12 71.3M - 60.0M = 11.3M

SSH

df -Th | fgrep 'overlayfs:/overlay' | awk '{ print $5 }'

• メモリー

SSH

free | fgrep 'Mem:' | awk '{ print $4 }'

設定

SSH

opkg update
opkg install adguardhome
service adguardhome enable
service adguardhome start
NET_ADDR=$(/sbin/ip -o -4 addr list br-lan | awk 'NR==1{ split($4, ip_addr, "/"); print ip_addr[1] }')
NET_ADDR6=$(/sbin/ip -o -6 addr list br-lan scope global | awk 'NR==1{ split($4, ip_addr, "/"); print ip_addr[1] }')
echo "Router IPv4 : ""${NET_ADDR}"
echo "Router IPv6 : ""${NET_ADDR6}"
uci set dhcp.@dnsmasq[0].noresolv="0"
uci set dhcp.@dnsmasq[0].cachesize="1000"
uci set dhcp.@dnsmasq[0].rebind_protection='0'
uci set dhcp.@dnsmasq[0].port="54"
uci -q delete dhcp.@dnsmasq[0].server
uci add_list dhcp.@dnsmasq[0].server="${NET_ADDR}"
uci -q delete dhcp.lan.dhcp_option
uci -q delete dhcp.lan.dns
uci add_list dhcp.lan.dhcp_option='6,'"${NET_ADDR}" 
uci add_list dhcp.lan.dhcp_option='3,'"${NET_ADDR}"
for OUTPUT in $(ip -o -6 addr list br-lan scope global | awk '{ split($4, ip_addr, "/"); print ip_addr[1] }')
do
	echo "Adding $OUTPUT to IPV6 DNS"
	uci add_list dhcp.lan.dns=$OUTPUT
done
uci commit dhcp
/etc/init.d/dnsmasq restart
# DNSインターセプト@IPTables(ファイアウォール3)
# IPV4
uci set firewall.adguardhome_dns_53='redirect'
uci set firewall.adguardhome_dns_53.src='lan'
uci set firewall.adguardhome_dns_53.proto='tcp udp'
uci set firewall.adguardhome_dns_53.src_dport='53'
uci set firewall.adguardhome_dns_53.target='DNAT'
uci set firewall.adguardhome_dns_53.name='Adguard Home'
uci set firewall.adguardhome_dns_53.dest='lan'
uci set firewall.adguardhome_dns_53.dest_port='53'
# IPV6
uci set firewall.adguardhome_dns_53.family="any"
uci commit firewall
/etc/init.d/firewall restart

確認

SSH

nslookup one.one.one.one localhost

AdGuard Home ログイン

• 192.168.1.1:3000

初期設定

• 管理用ウェブインターフェイス
  • すべてのインターフェイス　ポート8080※80以外の任意
• DNSサーバ
  • すべてのインターフェイス　ポート53
• ユーザー名　任意
• パスワード　任意
• パスワード(確認用)　任意

QRコード : 192.168.1.1:3000

QRコード : 192.168.1.1:8080

AdGuard HOME 設定
直接設定ファイルに書き込む場合

SSH

# サービス停止
service adguardhome stop

vi /etc/adguardhome.yaml

SSH

# サービス開始
service adguardhome start

DNS設定

• 上流DNSサーバ

既知のDNSプロバイダーの一覧

yaml: 上流DNSサーバ

# LAN domain intercept
[/lan/]127.0.0.1:54
[//]127.0.0.1:54
# DNS-over-QUIC
quic://unfiltered.adguard-dns.com
# DNS-over-TLS
tls://1dot1dot1dot1.cloudflare-dns.com
tls://dns.google
# DNS-over-HTTPS(coercion HTTP/3)
h3://dns.cloudflare.com/dns-query
h3://dns.google/dns-query
h3://unfiltered.adguard-dns.com/dns-query
# DNS-over-HTTPS
# https://dns.cloudflare.com/dns-query
# https://dns.google/dns-query
# https://unfiltered.adguard-dns.com/dns-query
# NTP service
[/jp.pool.ntp.org/]1.1.1.1
[/pool.ntp.org/]1.0.0.1
[/jp.pool.ntp.org/]2606:4700:4700::1111
[/pool.ntp.org/]2606:4700:4700::1001

• ブートストラップDNSサーバ

yaml: ブートストラップDNSサーバ

1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001

• プライベートリバースDNSサーバー

yaml: プライベートリバースDNSサーバー

192.168.1.1:54

• プライベートリバースDNSリゾルバを使用
• クライアントのIPアドレスの逆解決を有効にする

DNSブロックリスト

• ブロックリストに追加する
  • カスタムリストを追加する
    • 新しいブロックリスト

フィルターリスト

• AdGuardフィルターリスト（adguard.com）
• AdGuardフィルターリスト（GitHub）
• 280blocker
• 豆腐フィルタ
• なんJ AdGuard部

フィルター導入参考

• AdGuard Japanese filterの参考手順

yaml: 名称を入力

AdGuard Japanese filter

yaml: リストのURLまたは絶対パスを入力してください

https://adguard.com/kb/ja/general/ad-filtering/adguard-filters/

• 280blockerの参考手順

yaml: 名称を入力

280blocker

yaml: リストのURLまたは絶対パスを入力してください

https://280blocker.net/files/280blocker_domain_ag_202307.txt

※202307は翌月の年月を入力

• 豆腐フィルタの参考手順

yaml: 名称を入力

豆腐フィルタ

yaml: リストのURLまたは絶対パスを入力してください

https://raw.githubusercontent.com/tofukko/filter/master/Adblock_Plus_list.txt

• AdGuard DNS filter
• AdAway Default Blocklist
• AdGuard Japanese filter
• 280blocker
• 豆腐フィルタ

確認

• Toolz
  • Adblock Test
• AdGuard
  • dGuardのDNSサーバーの位置地図
  • AdGuardサービスの作動確認ページ
• Cloudflar
  • Connection Information
  • Browsing Experience Security Check
• DNS leak test
• IP/DNS Detect
  
• Mac App Store
  • AdGuard Home Remote
    カスタムフィルタ
• フィルタ
  • カスタム・フィルタリングルール
    ※yutubeの参考手順

yaml: 1つの行に1つのルールを入力してください。 広告ブロックルールやhostsファイル構文を使用できます。

# ブロック
||amazon.co.jp
# 解除
@@||youtube.com

ウェブパスワードをリセットする

htpasswdを使えるようにする
※apache2インストール不要

アンインストール

SSH

service adguardhome stop
service adguardhome disable
opkg remove adguardhome
uci -q delete dhcp.@dnsmasq[0].noresolv
uci -q delete dhcp.@dnsmasq[0].cachesize
uci set dhcp.@dnsmasq[0].rebind_protection='1'
uci -q delete dhcp.@dnsmasq[0].server
uci -q delete dhcp.@dnsmasq[0].port
uci -q delete dhcp.lan.dhcp_option
uci -q delete dhcp.lan.dns
uci add_list dhcp.lan.dhcp_option="6,1.1.1.1,1.0.0.1"
uci add_list dhcp.lan.dhcp_option="6,8.8.8.8,8.8.4.4"
uci add_list dhcp.lan.dns="2606:4700:4700::1111"
uci add_list dhcp.lan.dns="2606:4700:4700::1001"
uci add_list dhcp.lan.dns="2001:4860:4860::8888"
uci add_list dhcp.lan.dns="2001:4860:4860::8844"
uci set network.wan.peerdns="0"
uci set network.wan6.peerdns="0"
uci -q delete network.wan.dns
uci -q delete network.wan6.dns
uci -q delete firewall.adguardhome_dns_53
uci commit
reboot

AdBlock

ワンコピペ自動スクリプト

フィルター

• 豆腐フィルタ
• なんJ AdGuard部

スクリプト

• adblock-config.sh
  • adblock.sh
  • adblock-fast.sh

アドイン

• Adblock_Plus_list.txt

SSH: /etc/config-software/adblock.sh

mkdir -p /etc/config-software; wget --no-check-certificate -O /etc/config-software/adblock-config.sh https://raw.githubusercontent.com/site-u2023/config-software/main/adblock-config.sh; sh /etc/config-software/adblock-config.sh

※強制終了：Ctrl+c

AdBlock自動構成の設定内容

設定

SSH

opkg update

opkg install adblock
opkg install luci-i18n-adblock-ja
opkg install tcpdump-mini
uci set adblock.global.adb_backupdir="/etc/adblock"

cp /etc/adblock/adblock.sources.gz /etc/adblock/adblock.sources.tofu.gz
gunzip /etc/adblock/adblock.sources.tofu.gz

sed -i -e '$d' /etc/adblock/adblock.sources.tofu
sed -i -e '$d' /etc/adblock/adblock.sources.tofu
cat <<"EOF" >> /etc/adblock/adblock.sources.tofu
                },
                "tofu": {
                                "url": "https://raw.githubusercontent.com/tofukko/filter/master/Adblock_Plus_list.txt",
                                "rule": "BEGIN{FS=\"[|^]\"}/^\\|\\|([[:alnum:]_-]{1,63}\\.)+[[:alpha:]]+\\^(\\$third-party)?$/{print tolower($3)}",
                                "size": "XL",
                                "focus": "tofu",
                                "descurl": "https://github.com/tofukko/filter"
               }
}
EOF

gzip /etc/adblock/adblock.sources.tofu
uci set adblock.global.adb_srcarc="/etc/adblock/adblock.sources.tofu.gz"
uci set adblock.global.adb_enabled="1"
uci set adblock.global.adb_backup="1"
uci set adblock.global.adb_backupdir="/etc/adblock"
uci set adblock.global.adb_backup_mode="1"
uci add_list adblock.global.adb_sources='tofu'

uci commit adblock
/etc/init.d/adblock enable
/etc/init.d/adblock start

確認

• Panopticlick
• Toolz
  • Adblock Test

AdBlock-fast自動構成の設定内容

設定

SSH

#! /bin/sh
opkg update

opkg install adblock-fast
opkg install luci-app-adblock-fast
opkg install luci-i18n-adblock-fast-ja
opkg install ip6tables-mod-nat
opkg install kmod-ipt-nat6
opkg --force-overwrite install gawk grep sed coreutils-sort

uci set adblock-fast.config.enabled=1
uci set adblock-fast.config.procd_trigger_wan6='1'
uci set adblock-fast.file_url=file_url
uci set adblock-fast.file_url.url='https://raw.githubusercontent.com/tofukko/filter/master/Adblock_Plus_list.txt'
uci set adblock-fast.file_url.action='block'
uci set adblock-fast.file_url.enabled='1'

uci commit adblock-fast
service adblock-fast enable
service adblock-fast start

確認

• Panopticlick
• Toolz
  • Adblock Test

DNS over HTTPS (DoH)

HTTPS-DNS-PROXY

ワンコピペ自動スクリプト

• doh.sh

SSH: /etc/config-software/doh.sh

mkdir -p /etc/config-software; wget --no-check-certificate -O /etc/config-software/doh.sh https://raw.githubusercontent.com/site-u2023/config-software/main/dot.sh; sh /etc/config-software/doh.sh

※強制終了：Ctrl+c

自動構成の設定内容

設定

SSH

opkg update
opkg install https-dns-proxy
opkg install luci-app-https-dns-proxy
opkg install luci-i18n-https-dns-proxy-ja
/etc/init.d/rpcd restart
#
while uci -q delete https-dns-proxy.@https-dns-proxy[0]; do :; done
uci set https-dns-proxy.dns="https-dns-proxy"
uci set https-dns-proxy.dns.bootstrap_dns="1.1.1.1,1.0.0.1"
uci set https-dns-proxy.dns.resolver_url="https://cloudflare-dns.com/dns-query"
uci set https-dns-proxy.dns.listen_addr="127.0.0.1"
uci set https-dns-proxy.dns.listen_port="5053"
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart

確認

SSH

nslookup one.one.one.one localhost

• Connection Information
• Browsing Experience Security Check

DNS over TLS (DoT)

STUBBY

ワンコピペ自動スクリプト

• dot.sh

SSH: /etc/config-software/dot.sh

mkdir -p /etc/config-software; wget --no-check-certificate -O /etc/config-software/dot.sh https://raw.githubusercontent.com/site-u2023/config-software/main/dot.sh; sh /etc/config-software/dot.sh

※強制終了：Ctrl+c

自動構成の設定内容

設定

SSH

opkg update
opkg install stubby
/etc/init.d/dnsmasq stop
uci set dhcp.@dnsmasq[0].noresolv="1"
uci set dhcp.@dnsmasq[0].localuse="1"
uci -q delete dhcp.@dnsmasq[0].server
uci -q get stubby.global.listen_address \
| sed -e "s/\s/\n/g;s/@/#/g" \
| while read -r STUBBY_SERV
do uci add_list dhcp.@dnsmasq[0].server="${STUBBY_SERV}"
done

uci set network.wan.peerdns='0'
uci set network.wan.dns='127.0.0.1'
uci set network.wan6.peerdns='0'
uci set network.wan6.dns='0::1'

uci commit
/etc/init.d/dnsmasq start
/etc/init.d/network reload
# ブート失敗対策
sed -i "/exit 0/d" /etc/rc.local
echo "/etc/init.d/stubby restart" >> /etc/rc.local 
echo "exit 0" >> /etc/rc.local 

確認

SSH

nslookup one.one.one.one localhost

• Connection Information
• Browsing Experience Security Check

ペアレンタルコントロール

インターネットアクセスの時間制限

マックアドレス＠ファイアーウォール制御

参考

SSH

uci add firewall rule
uci set firewall.@rule[-1].name="Filter-Parental-Controls"
uci set firewall.@rule[-1].src="lan"
uci set firewall.@rule[-1].src_mac="00:11:22:33:44:55"
uci set firewall.@rule[-1].dest="wan"
uci set firewall.@rule[-1].start_time="21:30:00"
uci set firewall.@rule[-1].stop_time="07:00:00"
uci set firewall.@rule[-1].weekdays="Mon Tue Wed Thu Fri"
uci set firewall.@rule[-1].target="REJECT"
uci commit firewall
/etc/init.d/firewall restart

タイムコントロール

パーソナル OpenWrt OPKG サーバー
マックアドレス制御

SSH

sed -i 's/option check_signature/# option check_signature/g' /etc/opkg.conf
echo "src/gz custom_generic https://raw.githubusercontent.com/lrdrdn/my-opkg-repo/main/generic" >> /etc/opkg/customfeeds.conf
echo "src/gz custom_arch https://raw.githubusercontent.com/lrdrdn/my-opkg-repo/main/$(grep "OPENWRT_ARCH" /etc/os-release | awk -F '"' '{print $2}')" >> /etc/opkg/customfeeds.conf

opkg update
opkg install luci-app-timecontrol
/etc/init.d/rpcd reload

無線スケジュール

WiFi制御

SSH

opkg update
opkg install wifischedule
opkg install luci-app-wifischedule
opkg install luci-i18n-wifischedule-ja

CRON

WiFi(SSID別)制御

SSH

/etc/init.d/cron enable
# WiFi 5G OFF 00:00
echo "00 00 * * * uci set wireless.default_radio0.disabled=1; uci commit; wifi" >> /etc/crontabs/root
# WiFi 5G ON 08:00
echo "00 08 * * * uci set wireless.default_radio0.disabled=0; uci commit; wifi" >> /etc/crontabs/root
/etc/init.d/cron restart

あとがき

• AdGuard
  自動化スクリプトに暗号化パスワードも入れ込めるんだけど、いかんせんアパッチ入れないとならない
  とり諦め・・・ << 解決
  容量自動判定はインストールサイズを根拠にしているが、インストール出来るから運用できるのとは違うかと思われ
  まあログは取らなきゃいいだけだけど

参考資料（感謝）

280ブロッカー

豆腐フィルタ

OpenWrt で豆腐フィルタを使って広告をブロックする

OpenWrt 22.03のadblockに豆腐フィルタを適用する