Werbeblocker Vergleich, Pi-Hole
Pi-Hole soll die Werbung quasi in einem schwarzen Loch verschwinden lassen.
Bildquelle: saq.digital.com

Werbeblocker Vergleich – Teil 2: Pi-Hole Test und Installationsanleitung!

Werbeblocker Vergleich: Wir haben nach dem eBlocker jetzt Pi-Hole getestet. Wie alltagstauglich und zukunftssicher ist diese Software?!?

Werbeblocker im Vergleich – zweiter Teil. Pi-Hole ist eine beliebte Open-Source-Software für Netzwerk-Werbefilter. Sie bietet ebenfalls die Möglichkeit, Werbung und Tracker zentral für alle Geräte im eigenen Netzwerk zu blockieren. Wie sieht es aus: Einmal installiert und alles läuft automatisch? Wir haben einmal genauer nachgeschaut.

Werbeblocker Vergleich: Was ist Pi-Hole?

Wer oder was ist Pi-Hole? Dies ist eine Open-Source-Anwendung auf Linux-Basis, die Werbung und Internet-Tracking auf Netzwerkebene unterdrückt und als privater DNS fungiert. Die Software kann auf netzwerkfähigen Embedded-Geräten mit geringem Stromverbrauch wie dem Raspberry Pi* eingesetzt werden. Man kann sie aber auch auf fast jedem anderen Linux-PC installieren. Wir schauen uns nach dem eBlocker nun die Open Source-Alternative Pi-Hole genauer an.

Pi-Hole Test: erste Eindrücke

Die Installation kann entweder nativ oder rein theoretisch auch mit dem Entwickler-Tool Docker erfolgen. Wird die Installation damit oder mit dem Portainer durchgeführt, birgt dies extrem viel Fehlerpotential und ist daher nur etwas für echte Nerds. Wir werden uns deswegen ausschließlich mit der nativen Installation beschäftigen. Nativ bedeutet, dass ein Programm ausschließlich für eine bestimmte Hardware oder ein bestimmtes Betriebssystem entwickelt wurde.

Pi-hole
Der Werbeblocker Pi-hole: Open Source, Community-Projekt, nur Licht ohne Schatten?

Pi-Hole einrichten: erste Schritte

Richtet euch einen Raspberry Pi* (älter als 3+) ein, der über SSH erreichbar ist. Hier ist eine recht aktuelle Anleitung, falls ihr nicht wisst, wie das geht. Gebt dem Raspberry mit eurem Router (Link zu einer Beschreibung) eine feste IP-Adresse. Nach der Installation vom Raspberry Pi OS (ehemals Raspbian) ist es egal, ob ihr die 32 oder 64 Bit Version genommen habt. Ihr solltet euch mit dem Terminal Manager eurer Wahl mit der vorher gesetzten IP, sowie bei der Konfiguration über den RPI Imager mit dem zugewiesenen Benutzernamen und Passwort am Terminal des Raspberry anmelden können.

Das Update der bestehenden Raspbian-Installation funktioniert mit dem Befehl:

sudo apt update && sudo apt upgrade -y

Danach könnt ihr Pi-Hole mit dem Kommando

curl -sSL https://install.pi-hole.net | bash

installieren.

Die Installation erfolgt geführt. Das heißt, man kann im Prinzip nichts falsch machen. Doch leider kann man bei der Installation nur einen unverschlüsselten DNS auswählen, was sich leider auch nicht ändern lässt, da Pi-Hole weder DNS over HTTPS (DoH), DNS over TLS (DoT) noch DNS over QUIC (DoQ) unterstützt. Dies ist nur durch eine zusätzliche Installation von Unbound möglich. Wie das geht, erklären wir direkt nach der Einrichtung des Adminpanels und der Aktualisierung der Listen.

Man meldet sich einmal mit dem Passwort an, das man bei der Installation erhalten hat. Anschließend speichert man es entweder im Browser seiner Wahl oder mit dem Befehl

pihole -a -p

ab. Dann könnt ihr es in ein Passwort eurer Wahl ändern.

Pi-Hole Test – das Admin-Panel

Das Wichtigste dieses Werbeblockers sind die Adlists, die ihr leider alle manuell hinzufügen müsst. Ihr findet sie im Admin-Panel unter dem Reiter Adlist auf der linken Seite. Adlisten für jeden Wunsch und Bedarf findet man unter https://filterlists.com oder https://firebog.net.

Unter Tools kann man mit der Option Update Gravity seine Adblock-Datenbank-Sammlung automatisch aktualisieren, nachdem man neue Listen hinzugefügt hat. Im Gegensatz zu anderen Programmen überprüft Pi-Hole die Adblock-Listen nicht täglich. Dies geschieht nach dem Zufallsprinzip jeden Sonntag zwischen 3 und 5 Uhr. Dies kann jedoch manuell geändert werden.

Pi-Hole, DNS-Server
Auswahl der IPv4 oder IPv6 DNS-
Server im Backend von Pi-Hole.

Installiere den DNS-Server Unbound mit den Kommandos:

sudo apt update

sudo apt install unbound

Die Konfigurationsdatei für Unbound befindet sich hier:

/etc/unbound/unbound.conf.d/pi-hole.conf

Falls die Datei nicht existiert, musst du sie manuell erstellen. Gib dafür ein:

sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf

Anschließend fügst du in die pi-hole.conf Folgendes ein:

server:
verbosity: 1
interface: 127.0.0.1
port: 5335
do-ip4: yes
do-udp: yes
do-tcp: yes
do-ip6: no
prefer-ip6: no
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: no
edns-buffer-size: 1232
prefetch: yes
num-threads: 1
so-rcvbuf: 1m
cache-min-ttl: 3600
cache-max-ttl: 86400
rrset-cache-size: 100m
msg-cache-size: 50m
root-hints: „/var/lib/unbound/root.hints“
forward-zone:
name: „.“
forward-addr: 1.1.1.1@853 # Cloudflare DNS über TLS
forward-addr: 9.9.9.9@853 # Quad9 DNS über TLS
forward-ssl-upstream: yes

Speichere abschließend die Datei mit CTRL + X, dann drückst du Y und Enter. Die forward-adress könnt ihr nach Belieben zu einem DNS eurer Wahl ändern, solange er ihn unterstützt. Der DNS-Server muss natürlich nicht von Cloudflare oder Quad9 sein.

Root-Server-Hints aktualisieren (optional)

Lade eine aktuelle Root-Hints-Datei herunter. Das geht folgendermaßen.

Unbound testen und starten

Überprüfe die Konfiguration mit dem Befehl:

sudo unbound-checkconf

Dann startest du Unbound neu. Gib dafür ein:

sudo systemctl restart unbound

sudo systemctl enable unbound

Dann muss man testen, ob Unbound ordnungsgemäß funktioniert mit folgender Eingabe:

dig pi-hole.net @127.0.0.1 -p 5335

Den Werbeblocker Pi-hole auf Unbound umstellen

Öffne das Pi-hole Admin-Panel unter Settings > DNS und stelle den Upstream-DNS-Server unbedingt auf:

127.0.0.1#5335

Deaktiviere auf jeden Fall alle anderen externen DNS-Server. Anschließend startest du den Werbeblocker Pi-hole neu mit dem Befehl:

pihole restartdns

Testen, ob Pi-hole mit Unbound funktioniert

Führe diesen Befehl aus, um zu prüfen, ob DNS über Unbound funktioniert:

dig example.com

Pi-Hole auf dem Raspberry Pi: Ein paar finale Tipps

  • DNSSEC aktivieren: Die Domain Name System Security Extensions (DNSSEC) kannst du in den Pi-hole DNS-Einstellungen aktivieren.
  • IPv6 aktivieren: Falls du IPv6 nutzt, passe do-ip6: yes in der pi-hole.conf an.
  • Logging anpassen: Falls du viele Logs vermeiden möchtest, setze in der Konfiguration verbosity: 0 statt 1.

Wenn alles richtig konfiguriert ist, wird die Antwortzeit bei späteren Anfragen deutlich schneller sein. Am Anfang ist sie wegen des leeren Caches sehr langsam, aber das wird sich natürlich mit der Zeit ändern.

Eine IP-Verschleierung wie bei eBlocker über eine OpenVPN Config gibt es nicht. Aber durch die zusätzliche Installation über Unbound gibt es zumindest die Möglichkeit, DNS über TLS zu nutzen. Leider ist auch kein DoQ möglich, aber so können Internetprovider und Co. zumindest nicht deine DNS-Abfragen mitschneiden.

Pi-Hole Erfahrungsbericht

Das Interface von diesem Werbeblocker ist wirklich sehr altmodisch und extrem verschachtelt, was ich für eine Katastrophe halte. Warum macht man eine Oberfläche so unübersichtlich? Ich trage eine neue Adblock-Liste ein und muss erst zu Gravity gehen, drei Tabs weiter, um die Liste überhaupt eintragen zu können.

Tja, ich weiß nicht, was sich die Community dabei denkt, aber so geht das nicht. Ich füge eine Liste hinzu, will sehen, ob sie vom System akzeptiert und richtig verarbeitet wird. Aber das bedeutet: Liste dazu tun, aktualisieren und erst dann kann ich sehen, ob es funktioniert. Meine Güte, das ist alles unnötig kompliziert.

Pi-Hole Test
Pi-Hole im Test: Screenshot: Die Adlists in der Übersicht.

Minuspunkte, die uns bei diesem Werbeblocker aufgefallen sind

Ein klarer Minuspunkt ist auch, dass man keine Adblock-Linkliste eingeben kann. Das bietet leider niemand an, auch wenn es mit Koma getrennt so viel einfacher wäre. Aber von einem Community-Projekt sollte man erwarten können, dass mehr als eine Liste zur Auswahl steht und ich diese einfach erweitern kann, indem ich eigene Einträge hinzufüge.

Wo ist das Problem, das wie beim AdGuard* zu lösen? Dort kann man einfach das Tab auswählen, Liste hinzufügen, eigene Liste oder Einträge aus der Liste auswählen, fertig. So kann man beim AdGuard die Listen seinen persönlichen Bedürfnissen anpassen. Warum so kompliziert, wenn es doch so einfach geht? Meine Güte!

Pi-Hole im Test: das Fazit

Pi-Hole ist ohne Unbound eine gute Variante, um Werbung aller Art zu blockieren. Mit Unbound ist es nicht perfekt, aber immer noch besser, als seine Anfragen ungeschützt durchs Netz zu schicken oder über die mittlerweile üblichen DNS-Blockaden zu stolpern, die uns aufgezwungen werden.

Pi-Hole läuft sehr gut auf einem alten Raspberry 3+, ohne dass ich jemals Probleme gehabt hätte.
Ich finde es katastrophal, dass man nach dem endlosem Setup immer noch aktuelle Adblock-Listen im Web suchen und umständlich eingeben muss. Am Ende stellt man nicht selten fest, dass die Listen nicht richtig funktionieren, wenn man beispielsweise eine Liste, die beim AdGuard* funktioniert und auch das richtige Format hat, Pi-hole nur als kosmetischen Filter akzeptiert, obwohl sie URLs blockiert.

Fazit: Pi-hole ist nicht schlecht. Es gibt aber einige Stellen, an denen Verbesserungen notwendig sind, um die Nutzung zu erleichtern. Sollte dies gelingen, wäre Pi-hole endlich auch für Anfänger und nicht nur für Fortgeschrittene geeignet.

Weitere hilfreiche Artikel zum Thema Datenschutz:

Netzwerkweite Adblocker: Welcher ist dein Favorit?

Für heute ist erstmal Feierabend. Wir haben mit dem eBlocker angefangen, heute war das Pi-Hole Review dran, morgen schauen wir uns im Detail AdGuard* an. Wie sieht es aus: Hast du schon einen der vorgestellten Werbelocker ausprobiert? Welcher ist dein Favorit? Und mit welcher Begründung? Teile uns deine Meinung bitte als Kommentar mit, danke!

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.