Pi-hole Ad-Blocker im Heimnetz

von

Sascha Rupp
in ,

Pi-hole im Heimnetz: Werbung und Tracker netzwerkweit blockieren

Werbeblocker im Browser kennt fast jeder. Das Problem: Sie funktionieren nur dort, nur auf dem Gerät, auf dem sie installiert sind. Das Smart-TV, die Spielekonsole, das Smartphone laufen ungeschützt. Pi-hole setzt eine Ebene tiefer an, direkt im Netzwerk, auf DNS-Ebene. Kein Gerät muss einzeln konfiguriert werden.

Was Pi-hole macht und was nicht

Pi-hole ist ein DNS-Filter. Wenn ein Gerät im Netzwerk eine Domain aufruft, läuft die Anfrage zuerst durch Pi-hole. Pi-hole prüft diese Domain gegen seine Blocklisten. Steht sie drauf, wird die Anfrage verworfen, der Werbedienst antwortet gar nicht erst. Steht sie nicht drauf, wird die Anfrage normal weitergeleitet.

Was Pi-hole nicht macht: Es löst DNS selbst nicht auf, verwaltet keine eigenen Zonen und ist kein rekursiver Resolver. Es ist ein Filter, der vorgeschaltet wird.

Grenzen hat das Prinzip dort, wo Werbung von derselben Domain kommt wie der eigentliche Inhalt. YouTube ist das bekannteste Beispiel: Die Werbung läuft über google.com, diese Domain lässt sich nicht blockieren, ohne YouTube gleich mit zu sperren. Pi-hole ist auch kein VPN und verschlüsselt keinen Traffic. Wer das erwartet, ist mit dem falschen Werkzeug unterwegs.

Wie die Integration ins Netzwerk funktioniert

Pi-hole wird als DNS-Server im Netzwerk eingetragen, am einfachsten über die DHCP-Einstellungen des Routers. Alle Geräte bekommen dann automatisch Pi-hole als DNS-Server zugewiesen, ohne dass man an jedem Gerät einzeln etwas einstellen muss.

Wer sicherstellen will, dass kein Gerät daran vorbeikommt, kann auf Router-Ebene Port 53 nach außen sperren. Dann ist es technisch nicht mehr möglich, einen anderen DNS-Server zu nutzen, egal ob das ein eingebetteter Resolver in einer App ist oder ein Gerät, das eine feste IP-Adresse eingetragen hat.

Das Dashboard

Pi-holes Oberfläche ist übersichtlich. Oben stehen die wichtigsten Zahlen: Anfragen gesamt, davon blockiert, Blockrate, Listengröße. Darunter ein Verlaufsgraph und die am häufigsten angefragten sowie geblockten Domains.

Pi-Hole Dashboard – LXC war zum Zeitpunkt des Blogposts erst wenige Minuten online

Die häufigsten geblockten Domains sind dabei aufschlussreich. Dort tauchen regelmäßig Telemetrie-Endpunkte von Geräteherstellern auf, Tracking-Dienste und Werbenetze, die im Hintergrund laufen, ohne dass jemand aktiv eine Seite aufgerufen hätte.

Blocklisten

Pi-hole lebt von seinen Blocklisten. Es gibt viele davon, mit unterschiedlichem Fokus. Empfehlenswerte Einstiegslisten sind:

  • StevenBlack als Basis: eine gepflegte, zusammengeführte Liste aus mehreren bekannten Quellen
  • oisd big: breit aufgestellt, deckt Werbung, Tracker und bekannte Malware-Domains ab
  • HaGeZi Pro: gut gepflegt, mit Fokus auf deutschen Nutzer und wenig False Positives

Pi-hole aktualisiert die Listen automatisch. Domains lassen sich jederzeit manuell freigeben, falls etwas fälschlicherweise geblockt wird. Das passiert gelegentlich, ist aber in der Praxis selten und schnell behoben.

Domains freigeben und sperren

Wenn eine Website plötzlich nicht mehr funktioniert, liegt es manchmal daran, dass Pi-hole eine benötigte Domain blockt. Im Query Log sieht man sofort, welche Anfragen verworfen wurden. Ein Klick auf die Domain, freigeben, fertig.

Genauso lassen sich einzelne Domains manuell zur Blockliste hinzufügen, wenn man selbst etwas sperren möchte, ohne eine ganze Liste einzubinden.

Installation

Pi-hole lässt sich auf fast jeder Linux-Umgebung installieren. Der einfachste Weg ist ein Raspberry Pi, der direkt ans Heimnetz angeschlossen wird. Es gibt aber auch fertige LXC-Templates für Proxmox, Docker-Images und Installationsskripte für bestehende Server.

Die offizielle Installationsanleitung und weitere Dokumentation finden sich auf pi-hole.net. Der Einstieg ist auch ohne tiefere Linux-Kenntnisse machbar.

Fazit

Pi-hole macht eine Sache und macht sie gut. Werbung und Tracker werden netzwerkweit geblockt, ohne dass an einzelnen Geräten etwas geändert werden muss. Einmal eingerichtet, läuft es einfach.

Wer die DNS-Auflösung selbst in die Hand nehmen will, also ohne Abhängigkeit von Quad9, Cloudflare oder dem Resolver des Internetanbieters, kann mit Technitium als rekursivem DNS-Resolver einen Schritt weiterdenken.