|

Mikrotik : bloquer les pubs avec AdGuard et RouterOS

Parblog

Avoir un routeur Mikrotik, c’est posséder une puissance de feu incroyable dans un petit boîtier. Mais saviez-vous qu’il peut remplacer avantageusement un bloqueur de pub installé sur chaque ordinateur ? En utilisant le protocole DoH (DNS over HTTPS) et les serveurs gratuits d’AdGuard, votre Mikrotik devient le filtre purificateur de tout votre WiFi.

Voici comment configurer le blocage en une ligne, tout en gardant la main sur une liste blanche pour vos appareils spécifiques.

1. Pourquoi utiliser le DoH avec AdGuard ?

Le DNS classique est lisible par n’importe qui sur le réseau. Le DNS over HTTPS (DoH) chiffre vos requêtes. En choisissant AdGuard comme résolveur, vous obtenez :

  • Blocage automatique : les serveurs DNS d’AdGuard refusent de résoudre les domaines de publicités et de trackers.
  • Confidentialité : votre fournisseur d’accès ne voit plus vos requêtes DNS.
  • Zéro logiciel : pas besoin d’installer d’extension sur vos navigateurs, le filtrage se fait à la source.

2. Configuration : la commande « One-Liner »

Avant de commencer, assurez-vous que deux conditions sont remplies :

  • Votre Mikrotik est à l’heure (système NTP configuré), car le chiffrement HTTPS échouera si la date est fausse.
  • Un certificat racine est importé sur le routeur. Téléchargez le bundle de certificats à https://curl.se/docs/caextract.html, puis importez-le via System → Certificates → Import dans Winbox. Sans ce certificat, la connexion DoH échouera même si l’URL est correcte.

Ouvrez un terminal et collez cette commande pour activer le filtrage sécurisé :

/ip dns set use-doh-server=https://dns.adguard.com/dns-query verify-doh-cert=yes allow-remote-requests=yes

Note importante : vous devez avoir un serveur DNS classique (comme 1.1.1.1) configuré dans /ip dns set servers=1.1.1.1 pour permettre au routeur de résoudre l’adresse d’AdGuard la première fois. Une fois le DoH actif, ce serveur de secours n’est plus utilisé pour les requêtes clientes.

3. Créer une liste blanche (White List)

Il arrive parfois que le filtrage d’AdGuard soit trop agressif pour certains usages : une console de jeu qui ne peut plus accéder à son store, ou une smart TV capricieuse. Pour ces appareils, nous allons créer une exception.

Étape A : Identifier l’appareil

Nous allons créer une « Address List » pour regrouper les appareils qui ne doivent pas être filtrés. Remplacez l’IP par celle de votre appareil (ex : votre console) :

/ip firewall address-list add address=192.168.88.50 list=WiFi_Sans_Filtre

Étape B : Rediriger le trafic (Le NAT forcé)

Par défaut, nous voulons que tout le monde utilise le DNS du Mikrotik (AdGuard), sauf les appareils de notre liste blanche. Voici les règles à ajouter, dans cet ordre exact. RouterOS les évalue de haut en bas, la première correspondance gagne :

# 1. On autorise la liste blanche à passer sans interception
/ip firewall nat add chain=dstnat action=accept protocol=udp src-address-list=WiFi_Sans_Filtre dst-port=53
/ip firewall nat add chain=dstnat action=accept protocol=tcp src-address-list=WiFi_Sans_Filtre dst-port=53

# 2. On force tous les autres vers le Mikrotik (donc AdGuard via DoH)
/ip firewall nat add chain=dstnat action=redirect to-ports=53 protocol=udp dst-port=53
/ip firewall nat add chain=dstnat action=redirect to-ports=53 protocol=tcp dst-port=53

Attention : ces quatre règles doivent être positionnées avant toute autre règle dstnat existante sur votre routeur. Si vous les ajoutez après coup, utilisez la commande /ip firewall nat move pour les déplacer vers le haut, ou vérifiez leur ordre dans l’onglet NAT de Winbox.

4. Pourquoi cette méthode est la meilleure ?

  • Étanchéité : même si un utilisateur tente de changer manuellement les DNS sur son téléphone pour bypasser votre protection, la règle « redirect » du firewall le ramènera de force vers le filtre du Mikrotik.
  • Flexibilité : vous pouvez agouter ou supprimer des appareils de la liste WiFi_Sans_Filtre en un clic dans l’interface Winbox, sans jamais couper la connexion des autres.
  • Visibilité : dans l’onglet Cache de /ip dns, vous pourrez voir en temps réel les requêtes résolues ou en cours.

Conclusion

Le couple Mikrotik et AdGuard est la solution de sécurité la plus légère et la plus robuste pour un réseau WiFi domestique ou de petite entreprise. Vous libérez de la bande passante, vous protégez votre vie privée et vous gardez un contrôle total grâce à la liste blanche.
C’est là toute la beauté de RouterOS : une réelle complexité qui, une fois domptée, offre une liberté sans égale.

Publications similaires

  • Le coup de foudre !

    Parric

    Non, pas question de vous parler d’amour, mais plutôt d’un risque inhérent à toute installation extérieure : la foudre ! Dans 90% des installations, la foudre arrivera par la voie électrique, plus rarement par la voie des airs, sauf à être vraiment implanté tout en haut d »un pylône en pleine campagne. C’est cette arrivée par la ligne électrique dont nous allons parler, avec une solution pour se protéger : le transformateur d’isolement. Qu’est-ce donc ? Un transformateur possède deux enroulements,…

  • |

    KA-SAT : la solution haut débit haut perchée ?

    Parblog

    KA-SAT serait-il la solution aux besoins en haut débit sur le territoire Européen ? Ce satellite, dont le lancement devrait intervenir entre Novembre 2010 et Janvier 2011, sera configurer pour délivrer 80 faisceaux, s’appuyant sur 8 stations au sol reliées à internet. Utilisé via le service haut débit Tooway™, KA-SAT vise les utilisateurs en Europe et sur le bassin méditerranéen, avec un débit de 70 Gbps. Il serait ainsi capable de desservir un million d’utilisateurs avec une bande passante et une tarification identiques…

  • Skype Access gratuit

    Parblog

    Skype Access facilite la connexion aux hotspots WiFi acceptant ce service, par le biais de crédit de communication prépayés (0,16 Eur TTC la minute). Le service était gratuit jusqu’à Vendredi soir, un bon coup de pub pour faire patienter tous les voyageurs en attente dans les aéroports de la planète 😉

  • Picostation 2 solaire : plantages ?!

    Parric

    Tout va bien dans le meilleur des mondes possible ? Non loin de là, et c’est justement le but d’une expérimentation ! Au tout début de l’expérience Picostation 2 solaire, chaque jour le module plantait !! Inquiet, j’avais vérifié la charge de la batterie et la consommation : RAS !! Tout était normal, nous avions largement assez pour alimenter plusieurs modules, alors pensez donc, avec un seul en ligne…

  • Ubiquity : nouveau firmware disponible

    Parric

    Un nouveau firmware a fait son apparition pour les modules Ubiquiti. A découvrir ici, sélectionnez la bonne version, correspondant au module à mettre à jour. Rappel utile toutefois : pour passer d’une version 2.2 à une version XS2 ou XS5, vous DEVEZ au préalable passer en version 3 avec un firmware estampillé NSx, PSx, etc. Vous ne pourrez pas installer un fichier BIN commençant par XSx si vous n’êtes pas en V3 !

  • CHATEAU 12 de Mikrotik et Freemobile

    Parblog

    Difficile de cacher le fait que Freemobile est sans aucun doute l’opérateur le plus novateur, mais aussi le plus bricolo du moment. Certes le réseau se développe vite et bien, mais tout n’est pas parfait. Les promesses de VoLTE sont restées de promesses, la VoWiFi est une technologie martienne et l’agrégation des différentes fréquences ne se fait pas toujours sans mal, comme c’est hélas notre cas ici sur un routeur 4G Chateau 12 de chez Mikrotik. Oui, le Chateau 12 permet…

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.