RRootGuard
Aktiv in Entwicklung · Noch kein Production-Release

Dein Netzwerk · Deine Regeln · Dein DNS

DNS-Schutz.
Unter deiner Kontrolle.

RootGuard verbindet AdGuard Home mit einem eigenen rekursiven Unbound-Resolver und macht das Gesamtsystem über eine zentrale Weboberfläche steuerbar – für weniger Werbung, weniger Tracking und mehr Souveränität im eigenen Netzwerk.

rootguard.local
R RootGuardOverviewDNS ServicesUnboundSecurity
NETZWERKSCHUTZAlles geschützt
● Healthy
DNS-ANFRAGEN48.219+12.4% today
BLOCKIERT8.43117.5% of traffic
01Clients192.168.1.0/24
02AdGuard HomeFilter & Regeln
03UnboundDNSSEC · Recursive
tracker.exampleBlockiert durch Tracking Protection

Ein System statt einzelner Bausteine

Filtern. Auflösen. Verwalten.

RootGuard schafft eine verständliche Bedienebene für einen leistungsfähigen, selbst betriebenen DNS-Stack.

Werbung & Tracker blockieren

AdGuard Home filtert DNS-Anfragen zentral für alle Geräte – ohne Erweiterung auf jedem einzelnen Client.

Selbst rekursiv auflösen

Unbound fragt die DNS-Hierarchie direkt ab. QNAME-Minimierung und DNSSEC bilden eine datensparsame, überprüfbare Basis.

Zentral steuern

Unbound-Änderungen werden vorab angezeigt, validiert und versioniert. Diagnose und Rollback bleiben in einer gemeinsamen Weboberfläche erreichbar.

Modular aufgebaut

Core, Webapp und Unbound bleiben eigenständige Komponenten. So lässt sich etwa das Unbound-Image auch unabhängig nutzen.

Nachvollziehbar deployen

Docker Compose verbindet die Komponenten reproduzierbar und hält privilegierte Steuerpfade aus dem öffentlichen Netz.

Open Source

Code, Architektur und Entwicklungsstand sind öffentlich. Entscheidungen und Fortschritt bleiben überprüfbar.

Klare Zuständigkeiten

Sicherheit beginnt in der Architektur.

Die Webapp erhält keinen Docker-Socket. Privilegierte Aktionen laufen über Core, das ausschließlich im internen Control-Netz erreichbar ist.

Getrennte NetzeControl- und DNS-Datenverkehr besitzen klar abgegrenzte Wege.
Minimale RechteUnbound läuft read-only, non-root und ohne zusätzliche Linux-Capabilities.
Geschützte SteuerungExterne Anmeldung und interne API-Authentifizierung sind getrennt.

Dokumentation

Vom ersten Checkout zum DNS-Stack.

Der aktuelle Entwicklungsstack ist für Tests und Mitarbeit gedacht. Er ist noch keine Empfehlung für den produktiven DNS-Betrieb eines gesamten Netzwerks.

quickstart.sh
# Repository und Komponenten laden
git clone --recurse-submodules \
  https://github.com/foxly-it/rootguard.git
cd rootguard

# Lokale Zugangsdaten vorbereiten
cp .env.example .env
openssl rand -hex 32

# .env bearbeiten, dann Stack starten
docker compose up --build -d

# WebApp öffnen und AdGuard Home initialisieren
open http://localhost:8080/adguard
Wichtig: Setze ein starkes Admin-Passwort und ein zufälliges API-Token. Vor öffentlichem Betrieb fehlen insbesondere HTTPS, automatisierte Wiederherstellungstests sowie Oberflächen für Filter und Clients.

Aktive Entwicklung

Der Weg zum stabilen Release.

RootGuard wächst schrittweise zu einem sicheren, wartbaren Gesamtsystem. Die Reihenfolge priorisiert verlässlichen Betrieb vor zusätzlichen Komfortfunktionen.

  1. 01
    Sicherer KomponentenpfadWebApp → Core → Docker, Authentifizierung und getrennte Netze
    MVP
  2. 02
    Sichere AdGuard-BasisAutomatische Ersteinrichtung, interne Zugangsdaten und geprüfter Unbound-Upstream
    MVP
  3. 03
    Filter & Client-RegelnRootGuard-Oberflächen für Filterlisten, Ausnahmen und Geräte
    Als Nächstes
  4. 04
    Observability & DNS-WerkzeugeAbfragestatistiken, lokale Zonen, Split DNS und Diagnose
    Geplant
  5. 05
    ProduktionsreifeHTTPS, Rollen, Backup, Wiederherstellung, Updates und Rollbacks
    Geplant

Open Source · GitHub

RootGuard entsteht öffentlich.

Verfolge die Entwicklung, melde Fehler oder bring deine Erfahrung mit DNS und Homelabs ein.

Projekt auf GitHub