Pi-hole DNS Werbeblocker Heimnetzwerk
|

Pi-hole einrichten: DNS-Werbeblocker für dein gesamtes Heimnetzwerk

VonContentKalle

Pi-hole einrichten ist eine der beliebtesten Maßnahmen im Homelab-Umfeld, und das aus gutem Grund: Mit Pi-hole blockierst du Werbung und Tracking für alle Geräte in deinem Heimnetzwerk – ohne Browser-Erweiterungen, ohne Konfiguration auf jedem einzelnen Gerät. In diesem Guide zeige ich dir, wie du Pi-hole in weniger als 30 Minuten auf einem Raspberry Pi oder einer Linux-VM installierst und konfigurierst.

Was ist Pi-hole und wie funktioniert es?

Pi-hole ist ein DNS-Sinkhole – ein DNS-Server, der bekannte Werbe- und Tracking-Domains aus seinen Antworten herausfiltert. Wenn ein Gerät in deinem Netzwerk eine Domain wie doubleclick.net auflösen möchte, antwortet Pi-hole einfach mit einer leeren Antwort (0.0.0.0). Das Ergebnis: Keine Verbindung zur Werbeseite, keine Werbung im Browser, keine Tracking-Anfragen im Hintergrund.

Pi-hole arbeitet auf DNS-Ebene, was bedeutet:

  • Funktioniert auf allen Geräten im Netzwerk (auch Smart-TVs, Smartphones, IoT-Geräte)
  • Kein VPN nötig, keine Browser-Extension
  • Blockiert auch In-App-Werbung in vielen Apps
  • Detaillierte Statistiken über DNS-Anfragen in deinem Netzwerk

Voraussetzungen

Für die Pi-hole-Installation benötigst du:

  • Einen Raspberry Pi (beliebiges Modell), einen Mini-PC oder eine Linux-VM/LXC-Container
  • Debian, Ubuntu, Raspbian oder eine andere unterstützte Linux-Distribution
  • Eine feste IP-Adresse für den Pi-hole-Server (zwingend erforderlich!)
  • Internetzugang für die Installation

Feste IP vergeben

Bevor du Pi-hole installierst, musst du dem Server eine statische IP-Adresse geben. Entweder direkt im Betriebssystem oder per DHCP-Reservierung in deinem Router. Notiere die IP – sie wird als DNS-Server im Router eingetragen.

Pi-hole installieren

Die Installation ist denkbar einfach. Verbinde dich per SSH mit deinem Server und führe folgendes Kommando aus:

curl -sSL https://install.pi-hole.net | bash

Der interaktive Installer führt dich durch alle Schritte:

  1. Upstream DNS-Server wählen: Der DNS-Server, an den Pi-hole Anfragen für nicht-blockierte Domains weiterleitet. Empfehlung: Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) für datenschutzfreundliche Optionen
  2. Blockliste: Standardmäßig wird die StevenBlack-Liste verwendet – eine gute Basis
  3. Webinterface: Aktiviere das Webinterface (empfohlen)
  4. Logging: DNS-Anfragen loggen für Statistiken
  5. Privacy: Wähle das gewünschte Datenschutz-Level für die Logs

Am Ende der Installation zeigt Pi-hole das Admin-Passwort an – notiere es!

Pi-hole im Router konfigurieren

Damit Pi-hole für alle Geräte im Netzwerk aktiv ist, muss es als DNS-Server im DHCP-Server deines Routers eingetragen werden. Die Einstellung ist bei jedem Router anders, aber du suchst nach „DNS-Server“ in den LAN- oder DHCP-Einstellungen.

Beispiel für eine FRITZ!Box:

  1. Öffne fritz.box im Browser
  2. Gehe zu Heimnetz → Netzwerk → DNS-Rebind-Schutz
  3. Alternativ unter Heimnetz → Heimnetzübersicht → Netzwerkeinstellungen
  4. Trage die IP-Adresse deines Pi-hole als primären DNS-Server ein

Geräte erhalten die neue DNS-Server-Adresse beim nächsten DHCP-Lease oder nach einem Neustart.

Das Pi-hole-Webinterface

Das Admin-Interface erreichst du unter:

http://<pi-hole-ip>/admin

Hier siehst du:

  • Dashboard: Statistiken – wie viele Anfragen blockiert wurden, Top-Domains, Clients
  • Query Log: Alle DNS-Anfragen in Echtzeit
  • Blocklists: Verwaltung der Blocklisten
  • Whitelist/Blacklist: Manuelles Hinzufügen von Domains
  • Group Management: Verschiedene Filterprofile für verschiedene Clients

Blocklisten erweitern: Welche Liste ist die richtige?

Die Standard-Blockliste (StevenBlack) ist ein guter Start, aber du kannst Pi-hole mit weiteren Listen deutlich effektiver machen. Die wichtigsten Blocklisten im Vergleich:

  • oisd.nl (Empfehlung für Einsteiger): Eine der besten und regelmäßig gewarteten Listen. Die Basic-Variante blockiert ~250.000 Domains, die Full-Variante über 1 Million – mit sehr geringer Falsch-Positiv-Rate. Ideal als Hauptliste.
  • hagezi/dns-blocklists (Empfehlung für Fortgeschrittene): Mehrstufiges System mit Light, Normal, Pro und Ultimate-Listen. Pro blockiert ~800.000 Domains inklusive Tracking, Malware und Fake-News-Domains. Hervorragende Alternative oder Ergänzung zu oisd.
  • StevenBlack/hosts (Standard): Klassiker und sehr zuverlässig. Verschiedene Varianten verfügbar: Basisversion (Werbung/Malware) oder Erweiterungen mit Gambling- und Social-Media-Blocking.

Empfohlene Kombination: oisd Basic + hagezi Normal. Diese Kombination deckt den Großteil an Werbung, Tracking und Malware-Domains ab, ohne wichtige legitime Seiten zu blockieren.

Neue Blocklisten fügst du unter Adlists im Webinterface hinzu. Danach Gravity aktualisieren:

pihole -g

Pi-hole mit Unbound: Maximale Privatsphäre ohne externe DNS-Server

Standardmäßig leitet Pi-hole DNS-Anfragen für nicht-blockierte Domains an externe Server wie Cloudflare (1.1.1.1) oder Google (8.8.8.8) weiter. Das bedeutet: Diese Anbieter sehen alle deine DNS-Anfragen. Mit Unbound als lokalem rekursivem DNS-Resolver umgehst du das komplett.

Unbound löst DNS-Anfragen direkt bei den Root-Nameservern auf – ohne Mittelsmann. So bleiben deine Anfragen vollständig privat.

Installation und Konfiguration:

sudo apt install unbound
# Konfigurationsdatei erstellen
sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf

Füge folgende Minimalkonfiguration ein:

server:
    port: 5335
    do-ip6: no
    do-udp: yes
    do-tcp: yes
    trust-anchor-signaling: yes
    root-hints: "/var/lib/unbound/root.hints"
    cache-min-ttl: 0
    prefetch: yes

Danach Unbound starten und in Pi-hole als Upstream-DNS 127.0.0.1#5335 eintragen. Damit verlässt keine einzige DNS-Anfrage mehr dein Heimnetzwerk – maximale Privatsphäre für $0 pro Monat.

Tipps und häufige Probleme

Website funktioniert nicht mehr?

Manchmal werden legitime Domains fälschlicherweise blockiert. Im Query Log findest du schnell heraus, was blockiert wird. Füge die Domain in die Whitelist ein:

pihole -w domain.de

Pi-hole als DHCP-Server

Optional kann Pi-hole selbst als DHCP-Server fungieren und so direkt alle Geräte mit dem richtigen DNS versorgen. Das ist praktisch, wenn du deinen Router nicht konfigurieren kannst oder willst. Aktiviere es unter Settings → DHCP.

Pi-hole aktuell halten

Update Pi-hole regelmäßig mit:

pihole -up

Pi-hole einrichten: Fehlerbehebung und erweiterte Konfiguration

Pi-hole funktioniert, aber manche Geräte zeigen noch Werbung

Einige Apps und Browser haben eingebaute DNS-over-HTTPS (DoH) Einstellungen, die Pi-hole umgehen. Firefox nutzt zum Beispiel standardmäßig Cloudflare als DoH-Provider. Deaktiviere DoH im Browser oder nutze Pi-hole mit DNS-over-HTTPS durch Pi-hole selbst:

So richtest du cloudflared als DoH-Proxy ein:

# cloudflared installieren (Debian/Ubuntu)
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared-linux-amd64.deb

# Als systemd-Service konfigurieren
sudo cloudflared service install --legacy
sudo systemctl start cloudflared
sudo systemctl enable cloudflared

Trage anschließend 127.0.0.1#5053 als Upstream-DNS in Pi-hole ein. Alle Pi-hole-Anfragen werden jetzt verschlüsselt via HTTPS übertragen – kein ISP kann den DNS-Traffic mitlesen.

Pi-hole blockiert zu viel – Whitelisting

Manchmal werden legitime Dienste geblockt. Häufige Kandidaten für die Whitelist:

  • clients3.google.com – Google-Updates
  • connectivitycheck.gstatic.com – Android-Netzwerkprüfung
  • captive.apple.com – Apple-Netzwerkprüfung

Füge sie über das Webinterface oder per Befehl hinzu: pihole -w domain.de

Pi-hole auf zwei Geräten für Redundanz

Was passiert, wenn dein Pi-hole-Server ausfällt? Das gesamte Netzwerk hat keine DNS-Auflösung mehr. Die Lösung: Richte einen zweiten Pi-hole als Backup-DNS ein. Im Router trägst du den primären Pi-hole als DNS1 und den sekundären als DNS2 ein. Für Synchronisierung zwischen beiden nutze gravity-sync:

curl -sSL https://raw.githubusercontent.com/vmstan/gravity-sync/master/gs | bash

Pi-hole einrichten: Statistiken und Dashboard verstehen

Das Pi-hole-Dashboard liefert faszinierende Einblicke in deinen Netzwerkverkehr. Was du dort siehst und wie du es interpretierst:

  • Blockier-Rate (typisch 15–30%): Eine Rate unter 10% deutet oft auf eine zu schwache Blockliste hin. Über 50% kann bedeuten, dass legitime Domains blockiert werden.
  • Top Blocked Domains: Häufig auftauchende Tracking-Domains wie metrics.icloud.com oder telemetry.microsoft.com sind völlig normal – das zeigt, dass Pi-hole arbeitet.
  • Top Clients: Welche Geräte stellen die meisten DNS-Anfragen? Hohe Zahlen bei Smart-TVs oder IoT-Geräten können auf Telemetrie-Aktivitäten hinweisen.
  • Auffällige Muster erkennen: Wenn ein Gerät plötzlich tausende DNS-Anfragen pro Stunde stellt, könnte das auf Malware, eine fehlkonfigurierte App oder ein kompromittiertes Gerät hinweisen.

Der Query Log (unter Query Log) zeigt alle DNS-Anfragen in Echtzeit – ein unverzichtbares Tool zur Diagnose von Netzwerkproblemen.

Fazit: Werbefrei im gesamten Heimnetzwerk

Pi-hole ist eines der nützlichsten Self-Hosting-Projekte, die du in deinem Heimnetzwerk betreiben kannst. Es schützt nicht nur vor Werbung, sondern auch vor Tracking, schädlichen Domains und unerwünschten Anfragen von IoT-Geräten. Die Installation dauert weniger als 30 Minuten und der laufende Betrieb ist praktisch wartungsfrei. Kombiniert mit Unbound als rekursivem Resolver und einer starken Blockliste wie oisd oder hagezi hast du einen datenschutzfreundlichen DNS-Stack, der auf Unternehmens-Niveau schützt – für null Euro Betriebskosten.

Auf Lapalutschi.de findest du weitere Guides zu Self-Hosting-Projekten wie Vaultwarden (selbst gehosteter Passwort-Manager) und Nextcloud – beides lässt sich hervorragend zusammen mit Pi-hole betreiben.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert