Korak 1: Odluka o implementaciji AdGuard Home-a

AdGuard Home možete implementirati na različite načine. Možete ga pokrenuti na raznim platformama poput Windows-a, Linux-a, Docker-a, ili ga ugraditi u mrežne uređaje poput firewall-ova i rutera. Ako već koristite OPNsense, možete ugraditi AdGuard Home direktno u firewall, čime ćete izbjeći dodatne tačke kvara u vašoj mreži.

Ako preferirate pokretanje AdGuard Home-a na zasebnom uređaju, to je takođe moguće. U tom slučaju, morat ćete konfigurirati DHCP opcije na vašim klijentima da koriste interne DNS servere.

Napomena: AdGuard Home filtrira DNS zahtjeve na osnovu imena domena, ali ne može spriječiti uređaje da se direktno povezuju na javne IP adrese.

Korak 2: Topologija AdGuard Home + OPNsense

U klasičnom scenariju, vaš računar koristi eksterne DNS servere koje dobija putem DHCP-a i šalje zahtjeve preko firewall-a na javne DNS servere. Nakon što implementirate AdGuard Home, on će služiti kao posrednik između vaših klijenata i javnih DNS servera, filtrirajući neželjene zahtjeve i povećavajući sigurnost.

Ovako se obrađuje klasični DNS zahtjev:

Korak 3: Dodavanje Community Repository-ja na OPNsense

AdGuard Home nije uključen u standardnu listu dostupnih plugina na OPNsense-u. Da biste proširili listu dostupnih plugina, potrebno je dodati Community Repository koji sadrži dodatne pakete.

Prije nego što instalirate AdGuard Home plugin, morate omogućiti SSH pristup vašem OPNsense uređaju:

1. Idite na System > Settings > Administration.
2. Skrolajte do sekcije Secure Shell.
3. Omogućite Enable Secure Shell i Permit Password Login. Ako koristite root korisnika, omogućite i Permit root user login.
4. Sačuvajte postavke.

Nakon toga, spojite se na OPNsense koristeći SSH klijent (npr. PuTTY). Nakon što se spojite, koristite sljedeće dvije naredbe za dodavanje Community Repository-ja:

fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf

pkg update

Nakon što se repository uspješno doda, možete zatvoriti SSH pristup.

Korak 4: Instalacija AdGuard Home paketa

Sada možete instalirati AdGuard Home plugin preko OPNsense web interfejsa:

1. Idite na System > Firmware > Plugins.
2. Pronađite AdGuard Home u listi plugina.
3. Kliknite na ikonu plus za instalaciju.

Nakon što se plugin instalira, osvježite stranicu i idite na Services > Adguardhome > General. Omogućite plugin označavanjem Enable i sačuvajte postavke.

Korak 5: Početna konfiguracija AdGuard Home-a

AdGuard Home web interfejs podrazumijevano radi na portu 3000 i nije omogućen HTTPS. Ako je vaš OPNsense dostupan na https://192.168.1.1, spojite se na http://192.168.1.1:3000.

Nakon što se uspješno spojite, pojavit će vam se početni setup prozor. Kliknite na Get Started i slijedite upute za konfiguraciju:

1. Postavite Listen Interface na LAN mreže.
2. Postavite DNS port na 53 (prethodno na Unbound DNS servisu promijeniti port na 5353).
3. Kreirajte administratorsko korisničko ime i lozinku.

Nakon završetka setup-a, možete se prijaviti na AdGuard Home dashboard.

Korak 6: Dodatna konfiguracija AdGuard Home-a

Nakon prijave, prvo što ćete vidjeti je prazan dashboard. Kako još niste konfigurirali klijente, nema podataka za prikaz. Ako je dostupna ažurirana verzija, preporučujemo da je prvo preuzmete.

Konfiguracija AdGuard Home-a za korištenje Unbound DNS-a

1. Idite na Settings > DNS settings.
2. U sekciji Upstream DNS servers, unesite Unbound server koji ste prethodno konfigurisali u OPNsense-u, na primjer 192.168.1.1:5353.

Ako koristite domensko ime za razrješavanje lokalnih hostova, možda ćete morati prilagoditi i to u AdGuard Home-u.

Korak 7: Konfiguracija Unbound DNS-a za korištenje DNS-over-TLS

U OPNsense-u idite na Services > Unbound DNS > DNS over TLS. Ovdje možete dodati javne DNS servere koji podržavaju DNS-over-TLS, poput Cloudflare-a i Quad9.

Na primjer, za Cloudflare dodajte sljedeće:

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 1.1.1.1
• Server port: 853
• Verify CN: cloudflare-dns.com

Ponovite isti postupak za dodatne DNS servere, poput Quad9:

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 1.1.1.3
• Server port: 853
• Verify CN: cloudflare-dns.com

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 149.112.112.112
• Server port: 853
• Veify CN: dns.quad9.net

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 9.9.9.9
• Server port: 853
• Veify CN: dns.quad9.net

Korak 8: Postavljanje AdGuard Home-a kao podrazumijevanog DNS resolvera

U OPNsense-u idite na System > Settings > General i ostavite polje za DNS servere prazno. Tako će se koristiti samo AdGuard Home.

Takođe, provjerite da je opcija Allow DNS server list to be overridden by DHCP/PPP on WAN onemogućena.

Korak 9: Konfiguracija DHCP-a za korištenje AdGuard Home-a

Idite na Services > DHCPv4 > [LAN] i provjerite da je polje za DNS servere prazno. Nakon ovih promjena, svi DNS zahtjevi s vaših klijenata će ići preko AdGuard Home-a.

Korak 10: Testiranje klijenata

Nakon konfiguracije, vaši klijenti možda neće odmah prepoznati promjene zbog DHCP keširanja. Možete ponovo pokrenuti mrežne adaptere na klijentima kako bi primijenili nove postavke.

Na Windows uređajima, provjerite da je opcija Obtain DNS server address automatically omogućena.

Možete testirati DNS razrješavanje koristeći nslookup ili posjetom na neki od blokiranih domena, poput: 

• adblock-one-protection.com
• uvsvlisbartwq.com
• wooden-comfort.com

Korak 11: DNS leak test

Kako bismo provjerili da li naši DNS zahtjevi idu preko DNS-over-TLS-a, možemo posjetiti stranice poput DNSLeakTest. Ako ne vidite svoju javnu IP adresu ili Hostname u rezultatima, to znači da je enkripcija uspješno konfigurisana:

• https://www.dnsleaktest.com/

Korak 12: Konfiguracija blocklist-a u AdGuard Home-u

U AdGuard Home-u možete dodati dodatne blocklist-e za blokiranje reklama, trackera i drugih nepoželjnih sadržaja. Idite na Filters > DNS blocklists i dodajte željene liste. Također, možete konfigurisati custom filtere za dopuštanje ili blokiranje specifičnih domena.

UPDATE (2026): Napomene za stabilnost i održavanje sistema

Nakon godinu dana produkcionog rada ove kombinacije, evo nekoliko ključnih inženjerskih zapažanja za OPNsense sisteme:

1. Automatsko ažuriranje mimugmail repozitorijuma: OPNsense je u novijim verzijama promijenio način rukovanja eksternim paketima. Ako primijetite da AdGuard ne dobija ažuriranja kroz interfejs, provjerite status mimugmail ključa jer se URL-ovi repozitorijuma povremeno mijenjaju radi optimizacije performansi.
   
2. Quad9 TLS CN ispravka: U Koraku 7, prilikom unosa Quad9 servera sa IP adresom 149.112.112.112, u polje Verify CN obavezno unesite dns.quad9.net (u prvobitnom setupu je greškom ostao prepisan Cloudflare CN). Ako se CN (Common Name) ne poklapa sa sertifikatom, Unbound će blokirati TLS rukovanje iz bezbjednosnih razloga.
   
3. Rezervni DNS (Failover): Ako se AdGuard servis iz bilo kog razloga sruši (npr. uslijed korupcije baze upita kod naglog nestanka struje), čitava mreža gubi internet. Preporuka je da se na nivou OPNsense-a podesi virtuelni IP ili skripta koja u slučaju pada AdGuard-a privremeno preusmjerava port 53 direktno na Unbound (5353) kako mreža ne bi ostala u mraku.

The post Kako instalirati AdGuard Home sa Unbound DNS na OPNsense first appeared on .

IPsec se tradicionalno koristi za site-to-site veze između različitih lokacija firmi, dok je OpenVPN često izbor za korisnike koji se povezuju sa udaljenih lokacija (road warriors), poput terenskih radnika. Međutim, sa pojavom WireGuard VPN tehnologije, otvara se nova era u oblasti VPN-a. WireGuard donosi jednostavnost konfiguracije, visoku sigurnost i izuzetnu brzinu, čineći ga atraktivnim izborom kako za site-to-site, tako i za udaljene korisnike.

OPNsense platforma, kao vodeći firewall sistem, pruža korisnicima detaljnu tehničku specifikaciju i jednostavno uputstvo za implementaciju VPN-a, uključujući i WireGuard. Ipak, kao i kod mnogih tehnoloških izazova, postoje prepreke koje treba prevazići, uključujući problematične rutere koje isporučuju internet provajderi (ISP).

Važno je istaći da OPNsense platforma, iako besplatna, pruža napredne mogućnosti koje prevazilaze mnoge komercijalne firewall sisteme. Osim toga, u kontekstu bezbjednosti, komercijalni firewall-i nisu uvjek garancija zaštite, što se često pokazuje kroz otkrivene sigurnosne propuste. Osim što su finansijski zahtjevni, komercijalni firewall-i mogu imati i skrivene troškove, kao što su licence i održavanje, što ih čini manje atraktivnim izborom za mnoge organizacije.

U zaključku, implementacija VPN-a na OPNsense platformi predstavlja pouzdano i ekonomično rešenje za organizacije koje žele da obezbjede siguran pristup svojim resursima. Kroz kombinaciju visoke sigurnosti, fleksibilnosti i ekonomičnosti, OPNsense postaje neizostavni alat u arsenalu svakog sistem administratora koji teži efikasnom upravljanju mrežnom infrastrukturom.

The post Stručno Mišljenje o VPN-u i Firewall-u na OPNsense Platformi first appeared on .

Mrežna arhitektura i transparentni mod

Glavna prednost Artica platforme je mogućnost rada u transparentnom režimu. Za razliku od eksplicitnog proksija, transparentni mod ne zahtijeva nikakvu konfiguraciju na klijentskim radnim stanicama. Saobraćaj se presreće na nivou rutera ili firewall-a (koristeći metode poput Policy Routing-a ili WCCP protokola) i prosljeđuje Artica serveru na obradu.

Ključni stubovi platforme obuhvataju:

• Bezbjednost i inspekcija saobraćaja: Automatizovano filtriranje veba sa bazom od preko 30 miliona kategorisanih sajtova. Sistem integriše filtriranje DNS zahtjeva, automatsko ažuriranje antivirusnih/antispam definicija, kao i mehanizme za SSL/TLS inspekciju (pomoću uvoza internog CA sertifikata) kako bi se omogućila vidljivost unutar enkriptovanog saobraćaja.
• Mrežna optimizacija i keširanje: Napredni Squid engine omogućava keširanje statičkog sadržaja na brzim lokalnim skladištima (Community verzija ima limit do 2GB keša). Pored Forward Proxy uloge, Artica može raditi i kao Reverse Proxy za balansiranje opterećenja i zaštitu internih web servera.
• Analitika i inspekcija (Log Engine): Integrisani statistički engine pretvara sirove Squid logove u interaktivne izvještaje, prikazujući top destruktivne domene, mrežne trendove i anomalije u saobraćaju u realnom vremenu.
• Integracija sa Active Directory (AD): Artica podržava autentifikaciju korisnika kroz AD (dostupno 30 dana u Community verziji). Napomena: Pošto čisti transparentni mod ne podržava nativnu proksijsku autentifikaciju (jer pretraživač klijenta nije svjestan proksija), integracija sa AD u ovom režimu zahtijeva implementaciju Captive Portala ili prelazak na eksplicitan režim putem WPAD protokola.

Arhitektura i Dostupnost (Originalna verzija)

Artica V4 je inicijalno razvijena na stabilnoj Debian 10 (Buster) distribuciji, što joj osigurava visok nivo stabilnosti u produkcionim okruženjima. Platforma je visoko optimizovana za virtuelizaciju i isporučuje se kao spreman virtuelni uređaj (Appliance) kompatibilan sa:

• VMware ESXi / Workstation
• Microsoft Hyper-V
• Proxmox VE i Citrix XenServer

UPDATE: Tranzicija na Debian 12 (Bookworm) i tehnološki skok

Sa novijim verzijama, Artica prelazi na Debian 12 (Bookworm) bazu. Za sistemske administratore i security inženjere, ova migracija donosi ključne arhitektonske i bezbjednosne razlike u odnosu na staru Debian 10 verziju:

1. Moderni Linux Kernel i Hardverska kompatibilnost: Prelazak sa kernela 4.19 (Debian 10) na kernel 6.1 (Debian 12) donosi drastično bolji menadžment resursa, napredniji mrežni stack i stabilniji rad NVMe drajvova visoke klase koji se intenzivno koriste za keširanje.
2. Unaprijeđen TLS 1.3 i Kriptografija: Debian 12 donosi OpenSSL 3.0. Ovo omogućava bržu i bezbjedniju SSL/TLS inspekciju (MITM) sa nativnom podrškom za TLS 1.3 protokole, smanjujući CPU opterećenje servera prilikom dekripcije i ponovne enkripcije saobraćaja.
3. Squid 5.x/6.x stabilnost: Nova OS baza donosi novije verzije Squid proksija koje imaju znatno bolju reaktivnost mrežnih soketa i stabilnije rukovanje memorijom, eliminišući stare probleme sa “memory leak-ovima” pod velikim brojem konkurentnih sesija.
4. Bezbjednosne zakrpe (Security Baseline): Debian 10 je zvanično ušao u EOL (End of Life) fazu, dok Debian 12 donosi puni ciklus bezbjednosnih zakrpa za sve ugrađene sistemske biblioteke, što je imperativ za stabilan mrežni gateway.

The post Artica Transparent Proxy: Enterprise Arhitektura za Optimizaciju i Filtriranje Mrežnog Saobraćaja first appeared on .

Šta je AdGuard Home?

AdGuard Home je DNS filter koji radi na principu blokiranja nepoželjnog sadržaja na nivou DNS upita. Ova otvorena alternativa donosi sledeće prednosti:

• Filtriranje Reklama: Blokira dosadne reklame na svim uređajima povezanim na vašu mrežu.
• Zaštita Od Malvera: Pruža dodatni sloj zaštite od zlonamernog softvera i malvera.
• Roditeljske Kontrole: Omogućava roditeljima da kontrolišu pristup određenim sajtovima, čineći internet bezbednijim za decu.

Kako Postaviti AdGuard Home?

1. Instalacija: Detaljan vodič korak po korak o tome kako instalirati AdGuard Home na vašem lokalnom serveru.
2. Postavke i Konfiguracije: Pregled osnovnih postavki i konfiguracija koje možete prilagoditi prema svojim potrebama.
3. Upotreba i Prednosti: Kako AdGuard Home poboljšava vašu online bezbednost i šta možete očekivati nakon implementacije.

Razmena Iskustava

Pozivamo vas da podelite svoje iskustvo sa AdGuard Home-om u komentarima ispod. Jeste li primetili razliku u brzini surfovanja? Kako ste prilagodili postavke prema svojim potrebama?

Budite Sigurni na Internetu

AdGuard Home je jednostavan, ali efikasan način da unapredite sigurnost na internetu u svom domu. Iskoristite prednosti ovog moćnog alata i uživajte u bezbednijem internet iskustvu.

Hvala na čitanju, i ostanite uz nas jer sledi još tekstova o IT bezbednosti!

Srdačno, freedole

The post AdGuard Home – Zaštita Od Malvera first appeared on .