Wäre es nicht fantastisch, nur ein Werkzeug zu installieren und zu konfigurieren, um Tracker, Werbung und Malware auszusperren? Software wie Pi-hole und AdGuard Home verspricht genau das. Ein Raspberry Pi, auch ein älteres Modell ab Version 2 genügt dafür schon. Nach dem Einrichten der Software arbeitet sie im lokalen Netz als Dienstleister für alle anderen Geräte.
Wer keinen Raspi nehmen will, kann die Software auch auf seinem Heimserver oder NAS laufen lassen. AdGuard Home und Pi-hole ist es egal, ob sie auf einer Linux-Distribution, per Docker-Container auf physischer Hardware oder in einer VM laufen. AdGuard Home lässt sich sogar auf macOS und Windows als Dienst einrichten.
Pi-hole und AdGuard Home funktionieren gleich: Sie arbeiten als DNS-Server beziehungsweise -Filter und beantworten Anfragen nach Namen, die auf ihren Blacklists geführt werden, bewusst “falsch”. Statt der IP-Adresse erhalten die Clients eine ungültige Adresse, sodass sie einen Teil der adressierten Inhalte gar nicht erst abrufen. Der Browser zeigt Websites schneller an, weil er keine Werbebanner herunterlädt. Das Smart-TV bleibt von Updates verschont. Der PC lässt Malware-Downloads links liegen. All das gelingt, ohne dass du auf den Geräten etwas konfigurieren musst.
Nadelöhre
Pi-hole und AdGuard Home können ihre Aufgabe nur erfüllen, wenn alle zu schützenden Geräte sie als DNS-Server verwenden. Das erfordert Eingriffe in die Netzwerkkonfiguration, die ich für dich im Detail anhand AGH beschreibe – je nach Router* und den eigenen Ansprüchen sind hier einige Kniffe zu beachten. Und, was jeder wissen muss, der sich darauf einlässt: Streikt der Filter, funktioniert im Netzwerk kaum mehr etwas, bis die ursprüngliche DNS-Konfiguration wiederhergestellt ist.
Praxisnutzen
Im praktischen Betrieb als DNS-Filter reduzieren alle beide signifikant den digitalen Beifang, scheitern aber an gängigen Wünschen: YouTube-Werbung fischen sie zum Beispiel nicht heraus, weil die von den YouTube-Servern selbst ausgeliefert wird – insofern bleibt die DNS-Filtertechnik hier wirkungslos. Es gibt einige weitere Dienste, für die das gilt, unter anderem Twitch und gesponserte Beiträge in Twitter.
Zum Filtern von YouTube-Werbung wäre es nötig, die Datenströme aufzubrechen. Das fällt auf Netzwerkebene schwer, weil heute der meiste Verkehr verschlüsselt ist. Kurzum: Wenn du YouTube werbefrei konsumieren willst, dann hilft nur zusätzliche Software auf den Clients im Browser oder als App auf dem Smartphone oder ein kostenpflichtiges Abo. Die Fummelei mit das Abstimmen von Ausnahmen fressen Zeit und Energie und frustrieren im Zweifel den Nutzer.
Quelloffen
Die Quelltexte beider Projekte sind auf GitHub zu haben und stehen unter GPL beziehungsweise kompatiblen Lizenzen. Pi-hole wird von einer Community entwickelt, die man mit Spenden unterstützen kann. AdGuard Home ist ein Spaltprodukt der Entwickler, die AdGuard vermarkten – AdGuard ist als kommerzieller Werbeblocker für Clients als Browser-Plug-in und App zu haben. Der Hersteller benutzt die Technik von AdGuard Home zum Betrieb seiner filternden DNS-Server im Backend seiner Produkte.
Im Hinblick auf die Konfigurationsmöglichkeiten hat AdGuard Home dem Mitbewerber Pi-hole einiges voraus: So erlaubt es AGH recht intuitiv, für einzelne Clients Ausnahmen zu definieren – praktisch etwa, wenn man empfindliche Mitbewohner hat oder Geräten der Kinder zusätzliche Filter verpassen möchte.
Wenn es dir wichtig ist, dass deine DNS-Anfragen nicht als Klartext durchs Internet huschen, verwende AdGuard Home: Es verschlüsselt auf Wunsch ausgehende DNS-Anfragen. Wenn du deinen DNS-Filter öffentlich zugänglich betreiben willst, nimmt AdGuard Home sogar eingehende Anfragen verschlüsselt entgegen (DNS over HTTPS, DNS over TLS, DNS over QUIC und DNSCrypt). Pi-hole überprüft auf Wunsch immerhin per DNSSEC die Authentizität von DNS-Antworten.
Die Ausstattungsunterschiede setzen sich bis in die standardmäßig aktiven Blacklists fort: Pi-hole begnügt sich mit genau einer, den Rest muss der Verwalter selbst hinzufügen. AdGuard Home bringt einen größeren Grundstock gleich mit. Pi-hole verwendet für seine Listen reguläre Ausdrücke, AGH setzt auf das vereinfachte, sehr gängige AdBlock-Format – so kannst du auf existierende Listen zurückgreifen.
Unterm Strich
Pi-hole ist das unkomplizierteste Produkt, verzichtet aber auf Extras wie Funktionen für den Kinderschutz. Client-spezifische Ausnahmen rüstest du nach, indem du Clients in Gruppen einteilst. Pro Blacklist kann man dann definieren, auf welche Gruppen sie wirkt oder nicht wirkt. Hier endet die zuvor gelobte Einfachheit. Und: Reguläre Ausdrücke kommen nur bei Domainlisten zum Einsatz, die Nutzer erstellt haben, nicht bei regulären Blacklists. AdGuard Home liefert all das zum Preis einer etwas komplexeren Verwaltung. Die Software lässt sich außerdem versuchsweise direkt auf einem Mac oder einem Windows-PC ausprobieren.
In jedem Fall gilt: Wer einen solchen Netzwerkfilter jemals betrieben hat, wird nicht mehr ohne sein wollen – vorausgesetzt, die Erstbegegnung war ein positives Erlebnis. Da beide Produkte tief in die Netzkonfiguration eingreifen, torpedieren sie schnell bislang anstandslos nutzbare Dinge, etwa eine Namensauflösung für lokale Geräte.
Noch Fragen?
Hast du noch Fragen zu diesen Beitrag? Dann ab damit in die Kommentare!