DNS-basierte Werbeblocker sind eine der effektivsten Maßnahmen für ein ruhigeres Netz: Sie blockieren Werbung und Tracker auf Netzwerkebene, bevor die Anfrage überhaupt den Browser erreicht. Pi-hole und AdGuard Home sind die zwei populärsten Lösungen im HomeLab-Bereich. Beide machen dasselbe Grundprinzip — aber mit unterschiedlichem Ansatz.
Wie DNS-Blocker funktionieren
Wenn ein Gerät im Netz ads.tracking.example.com auflöst, landet die Anfrage zuerst beim lokalen DNS-Resolver. Der prüft, ob die Domain auf einer Blockliste steht — und antwortet dann entweder mit der echten IP oder mit 0.0.0.0 (geblockt). Keine Browser-Extension nötig, kein Gerät muss konfiguriert werden — es reicht, den Router anzuweisen, den lokalen DNS-Server zu nutzen.
Pi-hole
Pi-hole gibt es seit 2014, läuft nativ auf Raspberry Pi und Debian-Systemen, und hat eine große Community. Der Name ist Programm: ursprünglich für den Raspberry Pi entwickelt.
Installation
curl -sSL https://install.pi-hole.net | bashOder per Docker:
services:
pihole:
image: pihole/pihole:latest
restart: unless-stopped
ports:
- "53:53/tcp"
- "53:53/udp"
- "80:80/tcp"
environment:
TZ: "Europe/Berlin"
WEBPASSWORD: "sicherespasswort"
volumes:
- ./pihole/etc-pihole:/etc/pihole
- ./pihole/etc-dnsmasq.d:/etc/dnsmasq.d
cap_add:
- NET_ADMINDas Web-Interface läuft auf Port 80 (http://IP/admin).
Stärken
dnsmasq-Basis: Pi-hole nutzt dnsmasq als DNS-Backend — battle-tested, flexibel, umfangreich konfigurierbar über Drop-in-Dateien in /etc/dnsmasq.d/.
Blocklisten-Ökosystem: Das Pi-hole-Ökosystem hat jahrelang Blocklisten kultiviert. Tools wie firebog.net aggregieren die besten Listen. Die Pi-hole-Community ist groß, Probleme sind gut dokumentiert.
Lokale DNS-Einträge: Pi-hole dient auch als lokaler DNS-Resolver. homeserver.local → 192.168.1.10 lässt sich einfach eintragen — nützlich für Dienste im Heimnetz.
DHCP-Server: Pi-hole kann DHCP übernehmen und so automatisch alle Geräte im Netz über seinen DNS routen. Kein Router-Eingriff nötig.
Schwächen
Das Web-Interface ist zweckmäßig, aber nicht modern. Statistiken sind da, aber die Darstellung ist weniger poliert. Updates kommen per pihole -up oder Docker Pull — kein automatischer Update-Mechanismus im Interface.
AdGuard Home
AdGuard Home ist jünger (2019), in Go geschrieben und hat ein deutlich moderneres Interface. Das Unternehmen AdGuard kennt man aus dem Browser-Extension-Bereich.
Installation
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -vOder per Docker:
services:
adguardhome:
image: adguard/adguardhome:latest
restart: unless-stopped
ports:
- "53:53/tcp"
- "53:53/udp"
- "3000:3000/tcp" # Setup-UI (erster Start)
- "80:80/tcp" # Admin-Interface (nach Setup)
volumes:
- ./adguard/work:/opt/adguardhome/work
- ./adguard/conf:/opt/adguardhome/confBeim ersten Start läuft ein Setup-Wizard auf Port 3000. Danach ist das Interface auf Port 80 (oder was du konfigurierst).
Stärken
Modernes Interface: Übersichtliches Dashboard mit Live-Queries, Client-Statistiken pro Gerät, Filtergruppen. Neue Nutzer kommen schneller rein.
DNS-over-HTTPS und DNS-over-TLS nativ: AdGuard Home kann eingehende Anfragen verschlüsselt entgegennehmen (DoH/DoT) und ausgehende Anfragen an Upstream-Resolver ebenfalls verschlüsseln. Das Setup dafür ist im Interface erledigt — bei Pi-hole brauchst du dafür zusätzliche Tools (unbound, dnscrypt-proxy).
Client-basierte Regeln: Einzelne Geräte (Clients) können eigene Filterprofile bekommen. Das Kind-Tablet bekommt strengere Regeln als der Heimserver. Bei Pi-hole ist das nur umständlich über Gruppen machbar.
Automatische Updates: Im Interface ein Klick — AdGuard Home aktualisiert sich selbst.
Rewrite-Regeln: Lokale DNS-Einträge über das Interface verwalten, ohne Konfigurationsdateien zu bearbeiten.
Schwächen
Go-Binary statt dnsmasq-Basis: Für sehr spezifische DNS-Konfigurationen kommt man schneller an Grenzen. Das Ökosystem ist jünger, Community-Ressourcen weniger umfangreich als bei Pi-hole.
Direkter Vergleich
| Feature | Pi-hole | AdGuard Home |
|---|---|---|
| Interface | Zweckmäßig | Modern, übersichtlich |
| DNS-Backend | dnsmasq | Eigene Implementierung (Go) |
| DoH/DoT (eingehend) | ✗ (extern) | ✓ nativ |
| DoH/DoT (ausgehend) | Über unbound/dnscrypt | ✓ nativ |
| Client-Regeln | Gruppen | Pro Client konfigurierbar |
| DHCP-Server | ✓ | ✓ |
| Blocklisten | Sehr umfangreich (Ökosystem) | Gut, wächst |
| Automatische Updates | Manuell | ✓ im Interface |
| Lokale DNS-Einträge | CLI + Webinterface | Webinterface |
| Raspberry Pi Support | ✓ (Ursprung) | ✓ |
| Docker | ✓ | ✓ |
Empfehlung nach Use-Case
HomeLab, technische Nutzer → Pi-hole
Wer dnsmasq kennt, eigene Blocklisten pflegt und volle Kontrolle über die Konfiguration will, ist mit Pi-hole besser bedient. Das Ökosystem ist ausgereift, die Community riesig.
Familie, einfaches Setup → AdGuard Home
Das modernere Interface, Client-basierte Regeln (Kinderschutz per Mausklick) und die nativen DoH/DoT-Features machen AdGuard Home für nicht-technische Haushalte attraktiver. Der Einrichtungsaufwand ist geringer.
Unternehmen / viele Geräte → AdGuard Home
Client-Statistiken pro Gerät und granulare Filterprofile sind im Unternehmenskontext wertvoller. AdGuard Home skaliert gut über Docker/Kubernetes.
Beide? → DNS-Redundanz
Ein gängiges Setup: zwei Resolver im Netz, jeder auf einem anderen Host. Router-DHCP gibt beide IPs aus. Fällt einer aus, übernimmt der andere automatisch. Die zwei können auch Pi-hole und AdGuard Home sein — solange dieselben Blocklisten genutzt werden, ist das Verhalten konsistent.
Blocklisten-Empfehlungen
Beide Tools sind nur so gut wie ihre Listen. Ein bewährter Startpunkt:
- hagezi/dns-blocklists — aktiv gepflegt, verschiedene Aggressivitätsstufen
- 1Hosts — konservative und aggressive Variante
- OISD (
https://dbl.oisd.nl) — breite Abdeckung, wenig False Positives
Faustregel: Lieber mit einer moderaten Liste starten und bei Problemen prüfen, welche Domain geblockt wird (pihole -t bzw. das Query-Log in AdGuard Home), bevor man gleich alles auf Maximum dreht.