{"id":104,"date":"2026-06-13T16:28:30","date_gmt":"2026-06-13T16:28:30","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/13\/pi-hole-unbound-einrichten\/"},"modified":"2026-06-13T16:29:54","modified_gmt":"2026-06-13T16:29:54","slug":"pi-hole-unbound-einrichten","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/13\/pi-hole-unbound-einrichten\/","title":{"rendered":"Pi-hole + Unbound einrichten: 12 Schritte [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Jede Webseite, jede App und jedes Smart-Home-Ger\u00e4t in Ihrem Netzwerk stellt st\u00e4ndig DNS-Anfragen. Standardm\u00e4\u00dfig landen diese bei Ihrem Provider oder bei Google und Cloudflare, die damit ein l\u00fcckenloses Protokoll Ihres Surfverhaltens anlegen k\u00f6nnten. Mit Pi-hole und Unbound bauen Sie in rund 60 Minuten Ihren eigenen rekursiven DNS-Resolver, der Werbung und Tracker netzwerkweit blockiert und Ihre Anfragen ohne Umweg \u00fcber Dritte direkt bei den autoritativen Servern aufl\u00f6st.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Anleitung f\u00fchrt Sie in 12 Schritten durch die komplette Einrichtung auf einem Raspberry Pi: vom frischen Betriebssystem \u00fcber die Installation von Pi-hole v6 und Unbound bis zur Konfiguration der FritzBox. Am Ende l\u00e4uft ein vollst\u00e4ndiges, datenschutzfreundliches DNS-System f\u00fcr Ihr gesamtes Heimnetz. Sie brauchen keine Vorkenntnisse in Linux, jeder Befehl steht zum Kopieren bereit.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pi-hole-mit-unbound-einrichten-das-bauen-sie\">Pi-hole mit Unbound einrichten: Das bauen Sie<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pi-hole ist ein netzwerkweiter Werbe- und Trackerblocker, der als DNS-Sinkhole arbeitet. Statt Werbung erst im Browser auszublenden, f\u00e4ngt Pi-hole bereits die DNS-Anfrage zu bekannten Werbe- und Tracking-Domains ab und beantwortet sie ins Leere. Das wirkt auf jedem Ger\u00e4t im Netzwerk, vom Smart-TV \u00fcber das iPhone bis zur Spielekonsole, ganz ohne Software auf den Endger\u00e4ten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unbound erg\u00e4nzt Pi-hole um einen eigenen rekursiven DNS-Resolver. Ohne Unbound leitet Pi-hole Ihre erlaubten Anfragen an einen externen Upstream wie 8.8.8.8 (Google) oder 1.1.1.1 (Cloudflare) weiter. Dieser Anbieter sieht dann jede einzelne Domain, die Sie ansurfen. Mit Unbound fragt Ihr Pi die DNS-Hierarchie selbst ab: zuerst die Root-Server, dann die zust\u00e4ndigen TLD-Server (etwa f\u00fcr <code>.de<\/code>), dann die autoritativen Server der Zieldomain. Niemand au\u00dfer Ihnen sieht das vollst\u00e4ndige Bild Ihrer Anfragen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Ergebnis dieser Anleitung ist ein vollst\u00e4ndiges Projekt mit drei Kernkomponenten, die sauber zusammenspielen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pi-hole v6<\/strong> als zentraler DNS-Server und Werbeblocker auf Port 53.<\/li>\n<li><strong>Unbound<\/strong> als lokaler rekursiver Resolver auf 127.0.0.1 Port 5335, an den Pi-hole seine Anfragen \u00fcbergibt.<\/li>\n<li><strong>DNSSEC-Validierung<\/strong>, die jede DNS-Antwort kryptografisch auf Manipulation pr\u00fcft.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">In der Praxis blockiert ein durchschnittliches Heimnetz so zwischen 20 und 40 Prozent aller DNS-Anfragen, abh\u00e4ngig von Ger\u00e4ten und Blocklisten. Gleichzeitig reduzieren Sie Ihre Abh\u00e4ngigkeit von kommerziellen DNS-Anbietern auf null. Wer das Konzept der verschl\u00fcsselten Verbindung dahinter verstehen will, findet in unserem Beitrag <a href=\"\/de\/https-und-tls\/\">HTTPS und TLS erkl\u00e4rt<\/a> die passende Grundlage.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"so-funktioniert-dns-die-grundlagen-in-90-sekunden\">So funktioniert DNS: Die Grundlagen in 90 Sekunden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um zu verstehen, warum dieses Setup so wirkungsvoll ist, lohnt ein kurzer Blick auf das Domain Name System. DNS ist das Adressbuch des Internets. Wenn Sie <code>shattered.io<\/code> in den Browser tippen, wei\u00df Ihr Computer noch nicht, hinter welcher IP-Adresse diese Domain steckt. Er stellt deshalb eine DNS-Anfrage und bekommt eine numerische Adresse wie <code>93.184.x.x<\/code> zur\u00fcck. Erst dann baut der Browser die eigentliche Verbindung auf.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Vorgang l\u00e4uft pro Webseite oft dutzendfach ab, weil moderne Seiten Inhalte von vielen Domains nachladen: Schriftarten, Skripte, Bilder, Werbenetzwerke und Analyse-Tracker. Genau hier setzt Pi-hole an. Jede dieser Anfragen passiert zuerst Ihren DNS-Server. Steht die angefragte Domain auf einer Blockliste, antwortet Pi-hole nicht mit der echten IP, sondern verweigert die Aufl\u00f6sung. Das Werbe- oder Tracking-Element kann dann gar nicht erst geladen werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig ist die Unterscheidung zwischen rekursiver und iterativer Aufl\u00f6sung. Ein rekursiver Resolver wie Unbound \u00fcbernimmt die komplette Arbeit f\u00fcr Sie und durchl\u00e4uft die DNS-Hierarchie selbst, bis er die endg\u00fcltige Antwort hat. Bei der reinen Weiterleitung delegiert Ihr Server diese Arbeit an einen Dritten und vertraut blind dessen Antwort. Der Unterschied entscheidet dar\u00fcber, wer Ihr DNS-Verhalten mitlesen kann. Wie kryptografische Pr\u00fcfsummen solche Antworten absichern, zeigt unser Grundlagenartikel zu <a href=\"\/de\/digitale-signaturen\/\">digitalen Signaturen<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"voraussetzungen-hardware-software-und-versionen\">Voraussetzungen: Hardware, Software und Versionen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pi-hole und Unbound sind extrem gen\u00fcgsam. Sie laufen problemlos auf einem alten Raspberry Pi, den Sie vielleicht noch in der Schublade haben. Die folgende Tabelle listet die empfohlenen Komponenten mit den zum Zeitpunkt dieser Anleitung aktuellen Versionen. Pr\u00fcfen Sie die exakten Versionsnummern am Tag der Installation gegen, da sich besonders die Pi-hole-Core-Version schnell \u00e4ndert.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Komponente<\/th><th>Empfehlung \/ Version<\/th><th>Hinweis<\/th><\/tr><\/thead><tbody>\n<tr><td>Hardware<\/td><td>Raspberry Pi 4, Pi 5 oder Pi Zero 2 W<\/td><td>Auch Pi 3B+ ausreichend<\/td><\/tr>\n<tr><td>Arbeitsspeicher<\/td><td>mindestens 512 MB, 1 GB+ empfohlen<\/td><td>Unbound-Cache profitiert von RAM<\/td><\/tr>\n<tr><td>Speicherkarte<\/td><td>microSD ab 16 GB, Class 10 \/ A1<\/td><td>Markenware reduziert Ausf\u00e4lle<\/td><\/tr>\n<tr><td>Betriebssystem<\/td><td>Raspberry Pi OS Lite (Bookworm, 64-bit)<\/td><td>Lite reicht, keine Desktop-Oberfl\u00e4che n\u00f6tig<\/td><\/tr>\n<tr><td>Pi-hole<\/td><td>Core v6.x (aktuelle v6-Linie)<\/td><td>v6 ersetzt lighttpd durch eigenen Webserver<\/td><\/tr>\n<tr><td>Unbound<\/td><td>aktuelle Version aus dem Repository<\/td><td>Installation via apt<\/td><\/tr>\n<tr><td>Netzwerk<\/td><td>LAN-Kabel bevorzugt, statische IP<\/td><td>WLAN funktioniert, ist aber instabiler<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Zus\u00e4tzlich brauchen Sie einen Computer f\u00fcr den Erstzugriff per SSH, ein Tool wie den Raspberry Pi Imager zum Beschreiben der SD-Karte sowie Administratorzugriff auf Ihren Router. F\u00fcr DACH-Haushalte ist das in den allermeisten F\u00e4llen eine FritzBox, die wir in Schritt 10 ausf\u00fchrlich behandeln. Ein abgesicherter SSH-Zugang geh\u00f6rt zur Grundausstattung, wie Sie ihn in unserer Anleitung <a href=\"\/de\/ssh-key-erstellen-ed25519-2026\/\">SSH-Key erstellen mit Ed25519<\/a> aufsetzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pi-hole-v6-vs-v5-was-sich-grundlegend-geaendert-hat\">Pi-hole v6 vs. v5: Was sich grundlegend ge\u00e4ndert hat<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn Sie \u00e4ltere Tutorials lesen, beziehen sich diese fast immer auf Pi-hole v5. Die aktuelle v6-Linie hat die Architektur deutlich ver\u00e4ndert, und genau hier scheitern viele Umsteiger. Die wichtigste Neuerung: Pi-hole v6 bringt einen eigenen, in <code>pihole-FTL<\/code> eingebetteten Webserver inklusive REST-API mit. Der bisherige Unterbau aus <code>lighttpd<\/code> und PHP entf\u00e4llt komplett f\u00fcr die Standard-Oberfl\u00e4che.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Praktisch bedeutet das: weniger Abh\u00e4ngigkeiten, weniger Angriffsfl\u00e4che und ein schlankeres System. Die Konfiguration wandert in eine einzige Datei, <code>\/etc\/pihole\/pihole.toml<\/code>, die zahlreiche verstreute Einstellungsdateien aus v5 zusammenf\u00fchrt. Das Web-Interface wurde neu gestaltet und kennt nun einen <strong>Basic<\/strong>&#8211; und einen <strong>Expert<\/strong>-Modus, sodass Einsteiger nicht von Optionen erschlagen werden.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Pi-hole v5<\/th><th>Pi-hole v6<\/th><\/tr><\/thead><tbody>\n<tr><td>Webserver<\/td><td>lighttpd + PHP<\/td><td>eingebettet in pihole-FTL<\/td><\/tr>\n<tr><td>Konfiguration<\/td><td>mehrere Dateien (setupVars.conf u.a.)<\/td><td>zentral in pihole.toml<\/td><\/tr>\n<tr><td>API<\/td><td>eingeschr\u00e4nkte PHP-API<\/td><td>vollst\u00e4ndige REST-API<\/td><\/tr>\n<tr><td>Web-UI<\/td><td>einheitliche Ansicht<\/td><td>Basic- und Expert-Modus<\/td><\/tr>\n<tr><td>HTTP-Ports<\/td><td>Port 80<\/td><td>80, optional 443 (HTTPS), Fallback 8080<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr diese Anleitung hei\u00dft das: Halten Sie sich an die v6-Pfade und -Befehle. Wenn ein altes Tutorial Sie auffordert, <code>lighttpd<\/code> zu konfigurieren, ignorieren Sie das. Die offizielle <a href=\"https:\/\/docs.pi-hole.net\/\" target=\"_blank\" rel=\"noopener\">Pi-hole-Dokumentation<\/a> ist immer die ma\u00dfgebliche Quelle f\u00fcr die jeweils aktuelle Version.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"warum-unbound-rekursiv-statt-weiterleitung\">Warum Unbound? Rekursiv statt Weiterleitung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der entscheidende Datenschutzgewinn entsteht durch die Art, wie DNS-Anfragen aufgel\u00f6st werden. Bei der klassischen Weiterleitung schickt Pi-hole jede erlaubte Anfrage an einen gro\u00dfen Resolver wie Google oder Cloudflare. Dieser Anbieter sieht jede Domain, jeden Zeitpunkt und Ihre IP-Adresse. Selbst wenn der Anbieter eine No-Log-Politik verspricht, bleibt das Vertrauen ein blinder Fleck.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unbound dreht das um. Als rekursiver Resolver fragt Ihr Raspberry Pi die DNS-Hierarchie selbst ab. F\u00fcr die Aufl\u00f6sung von <code>www.example.de<\/code> kontaktiert Unbound zuerst einen Root-Server, erf\u00e4hrt dort den zust\u00e4ndigen <code>.de<\/code>-TLD-Server, fragt diesen nach dem autoritativen Server von <code>example.de<\/code> und holt sich schlie\u00dflich dort die Antwort. Kein einzelner Anbieter sieht das vollst\u00e4ndige Profil Ihres Verhaltens. Die Antworten landen im lokalen Cache, sodass wiederholte Anfragen blitzschnell beantwortet werden. Unbound stammt von <a href=\"https:\/\/nlnetlabs.nl\/projects\/unbound\/about\/\" target=\"_blank\" rel=\"noopener\">NLnet Labs<\/a> und gilt als einer der robustesten quelloffenen Resolver \u00fcberhaupt.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Kriterium<\/th><th>Weiterleitung (Google\/Cloudflare)<\/th><th>Unbound (rekursiv)<\/th><\/tr><\/thead><tbody>\n<tr><td>Datenschutz<\/td><td>Anbieter sieht alle Anfragen<\/td><td>kein zentraler Mitleser<\/td><\/tr>\n<tr><td>Einrichtung<\/td><td>sehr einfach<\/td><td>etwas aufwendiger<\/td><\/tr>\n<tr><td>DNSSEC<\/td><td>abh\u00e4ngig vom Anbieter<\/td><td>lokale Validierung<\/td><\/tr>\n<tr><td>Geschwindigkeit (kalt)<\/td><td>schnell<\/td><td>erste Anfrage langsamer<\/td><\/tr>\n<tr><td>Geschwindigkeit (Cache)<\/td><td>schnell<\/td><td>sehr schnell, lokal<\/td><\/tr>\n<tr><td>Zensur-\/Filterrisiko<\/td><td>Anbieter kann filtern<\/td><td>direkte Aufl\u00f6sung<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Ein h\u00e4ufiges Missverst\u00e4ndnis: Unbound macht Ihre Anfragen nicht automatisch verschl\u00fcsselt. Die Kommunikation mit Root- und autoritativen Servern l\u00e4uft weiterhin \u00fcber klassisches DNS. Der Gewinn liegt in der dezentralen Aufl\u00f6sung und der DNSSEC-Validierung, nicht in der Transportverschl\u00fcsselung. Wer maximale Anonymit\u00e4t sucht, kombiniert das Setup mit weiteren Werkzeugen, die wir im Vergleich <a href=\"\/de\/tor-vs-vpn\/\">Tor vs. VPN<\/a> einordnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-1-und-2-raspberry-pi-os-einrichten-und-statische-ip-vergeben\">Schritt 1 und 2: Raspberry Pi OS einrichten und statische IP vergeben<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 1: Betriebssystem aufspielen.<\/strong> Laden Sie den Raspberry Pi Imager herunter, w\u00e4hlen Sie <em>Raspberry Pi OS Lite (64-bit)<\/em> auf Basis von Bookworm und beschreiben Sie die SD-Karte. Klicken Sie vor dem Schreiben auf das Zahnrad und aktivieren Sie SSH, vergeben Sie einen Hostnamen wie <code>pihole<\/code> und hinterlegen Sie Ihren Benutzernamen samt Passwort. So startet der Pi headless, also ganz ohne Monitor und Tastatur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Stecken Sie die Karte in den Pi, verbinden Sie ihn per LAN-Kabel und schalten Sie ihn ein. Nach etwa einer Minute melden Sie sich per SSH an:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>ssh ihrbenutzer@pihole.local\n\n# System auf den aktuellen Stand bringen\nsudo apt update &amp;&amp; sudo apt full-upgrade -y\nsudo reboot<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 2: Statische IP-Adresse festlegen.<\/strong> Pi-hole muss unter einer festen Adresse erreichbar sein, sonst verlieren Ihre Ger\u00e4te den DNS-Server nach jedem Neustart. Unter Bookworm verwaltet der NetworkManager die Verbindungen. Die saubere Methode ist die textbasierte Oberfl\u00e4che <code>nmtui<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nmtui\n\n# Menue: \"Edit a connection\" -> kabelgebundene Verbindung waehlen\n# IPv4 CONFIGURATION von \"Automatic\" auf \"Manual\" stellen\n# Beispielwerte (an Ihr Netz anpassen):\n#   Addresses : 192.168.178.2\/24\n#   Gateway   : 192.168.178.1\n#   DNS server: 127.0.0.1\n# Speichern, dann Verbindung neu aktivieren oder neu starten<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">W\u00e4hlen Sie eine Adresse au\u00dferhalb des DHCP-Bereichs Ihres Routers, im Beispiel <code>192.168.178.2<\/code>. Pr\u00fcfen Sie nach dem Neustart mit <code>ip addr show<\/code>, ob die Adresse korrekt gesetzt ist. Notieren Sie sich diese IP, Sie brauchen sie in fast jedem folgenden Schritt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-3-systemd-resolved-und-port-53-freiraeumen\">Schritt 3: systemd-resolved und Port 53 freir\u00e4umen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dies ist die h\u00e4ufigste Stolperfalle der gesamten Anleitung. Pi-hole ben\u00f6tigt Port 53 f\u00fcr DNS, doch unter Raspberry Pi OS belegt der Dienst <code>systemd-resolved<\/code> diesen Port bereits teilweise. Wenn Sie das ignorieren, schl\u00e4gt die Pi-hole-Installation fehl oder der DNS-Dienst startet nicht. Pr\u00fcfen Sie zun\u00e4chst, ob Port 53 belegt ist:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo ss -tulpn | grep ':53'\n\n# Falls systemd-resolved auf 53 lauscht, Stub-Listener deaktivieren:\nsudo nano \/etc\/systemd\/resolved.conf\n\n# Im Abschnitt [Resolve] folgende Zeile setzen bzw. einkommentieren:\n#   DNSStubListener=no\n\n# Danach die symbolische Verknuepfung der resolv.conf korrigieren:\nsudo ln -sf \/run\/systemd\/resolve\/resolv.conf \/etc\/resolv.conf\nsudo systemctl restart systemd-resolved<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Alternativ deaktivieren manche Anleitungen <code>systemd-resolved<\/code> vollst\u00e4ndig. Das ist m\u00f6glich, aber riskanter, weil dann die Namensaufl\u00f6sung des Pi selbst sauber konfiguriert sein muss. F\u00fcr die meisten Setups reicht es, den Stub-Listener auszuschalten. Pr\u00fcfen Sie erneut mit <code>sudo ss -tulpn | grep ':53'<\/code>, dass kein anderer Prozess mehr auf Port 53 lauscht, bevor Sie weitermachen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-4-pi-hole-installieren\">Schritt 4: Pi-hole installieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt folgt der eigentliche Hauptakt. Der offizielle Installer richtet Pi-hole v6 vollautomatisch ein. F\u00fchren Sie den folgenden Befehl aus:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>curl -sSL https:\/\/install.pi-hole.net | bash<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsbewusste Nutzer laden das Skript zuerst herunter, lesen es und f\u00fchren es dann aus. Das ist die empfohlene Praxis bei jedem <code>curl | bash<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>wget -O install-pihole.sh https:\/\/install.pi-hole.net\nless install-pihole.sh   # pruefen\nsudo bash install-pihole.sh<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Der Installer f\u00fchrt Sie durch einen grafischen Assistenten im Terminal. Beantworten Sie die Abfragen wie folgt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Upstream DNS Provider:<\/strong> W\u00e4hlen Sie vorerst einen beliebigen Anbieter, etwa Cloudflare. Wir stellen das gleich auf Unbound um.<\/li>\n<li><strong>Blocklists:<\/strong> \u00dcbernehmen Sie die voreingestellte StevenBlack-Liste. Sie ist eine gro\u00dfe, zusammengef\u00fchrte Hosts-Liste aus mehreren Quellen.<\/li>\n<li><strong>Statische IP:<\/strong> Best\u00e4tigen Sie die in Schritt 2 vergebene Adresse.<\/li>\n<li><strong>Web-Interface und Webserver:<\/strong> Beide aktivieren, sie geh\u00f6ren zum Standardumfang.<\/li>\n<li><strong>Query Logging:<\/strong> Aktivieren, damit Sie sp\u00e4ter nachvollziehen k\u00f6nnen, was blockiert wurde.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Am Ende zeigt der Installer eine Zusammenfassung samt generiertem Admin-Passwort. <strong>Notieren Sie dieses Passwort sofort.<\/strong> Falls Sie es \u00fcbersehen, setzen Sie es jederzeit neu:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pihole setpassword\n\n# Erwartete Ausgabe:\n# [i] Password updated successfully.<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-5-web-interface-aufrufen-und-erstes-login\">Schritt 5: Web-Interface aufrufen und erstes Login<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u00d6ffnen Sie im Browser die Admin-Oberfl\u00e4che. Bei der Beispiel-IP lautet die Adresse:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>http:\/\/192.168.178.2\/admin\n# oder\nhttp:\/\/pi.hole\/admin<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Melden Sie sich mit dem Admin-Passwort an. Das Dashboard zeigt Ihnen die Gesamtzahl der Anfragen, den Anteil blockierter Anfragen, die Top-Domains und die aktivsten Clients. Direkt nach der Installation sind diese Werte noch leer. Sobald Sie in Schritt 10 die ersten Ger\u00e4te umstellen, f\u00fcllt sich das Dashboard in Echtzeit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wechseln Sie oben rechts zwischen <strong>Basic<\/strong> und <strong>Expert<\/strong> Mode. F\u00fcr die folgenden Schritte brauchen Sie den Expert-Modus, da nur dort die Upstream-DNS-Einstellungen vollst\u00e4ndig sichtbar sind. Ein kurzer Funktionstest \u00fcber die Kommandozeile best\u00e4tigt, dass der Dienst l\u00e4uft:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pihole status\n\n# Erwartete Ausgabe (gekuerzt):\n#   [OK] FTL is listening on port 53\n#   [OK] Pi-hole blocking is enabled<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-6-und-7-unbound-installieren-und-konfigurieren\">Schritt 6 und 7: Unbound installieren und konfigurieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 6: Unbound installieren.<\/strong> Unbound liegt in den Paketquellen von Raspberry Pi OS bereit. Die Installation ist ein Einzeiler:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo apt install unbound -y<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 7: Konfigurationsdatei anlegen.<\/strong> Erstellen Sie die zentrale Konfiguration f\u00fcr den Pi-hole-Betrieb. Diese Datei ist das Herzst\u00fcck des rekursiven Resolvers und entspricht der offiziell empfohlenen Konfiguration:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/unbound\/unbound.conf.d\/pi-hole.conf<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcgen Sie folgenden Inhalt ein:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>server:\n    # Auf lokaler Adresse lauschen, Port 5335 statt 53\n    verbosity: 0\n    interface: 127.0.0.1\n    port: 5335\n    do-ip4: yes\n    do-udp: yes\n    do-tcp: yes\n\n    # Nur IPv4-Upstreams (IPv6 bei Bedarf aktivieren)\n    do-ip6: no\n    prefer-ip6: no\n\n    # Trust Glue nur innerhalb der Server-Zone\n    harden-glue: yes\n    # DNSSEC-Daten verlangen, gestrippte Antworten ablehnen\n    harden-dnssec-stripped: yes\n    # Gross-\/Kleinschreibung zufaellig setzen (Spoofing-Schutz)\n    use-caps-for-id: no\n\n    # EDNS-Puffergroesse, vermeidet fragmentierte Pakete\n    edns-buffer-size: 1232\n\n    # Cache-Verhalten\n    prefetch: yes\n    num-threads: 1\n\n    # Privatsphaere: keine privaten Adressen aus dem Internet\n    private-address: 192.168.0.0\/16\n    private-address: 169.254.0.0\/16\n    private-address: 172.16.0.0\/12\n    private-address: 10.0.0.0\/8\n    private-address: fd00::\/8\n    private-address: fe80::\/10<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Optionen sind kein Zufall. <code>edns-buffer-size: 1232<\/code> vermeidet IP-Fragmentierung, die in manchen Netzen zu Timeouts f\u00fchrt. <code>harden-dnssec-stripped: yes<\/code> sorgt daf\u00fcr, dass Antworten ohne g\u00fcltige DNSSEC-Signatur verworfen werden, wenn die Zone signiert ist. Die <code>private-address<\/code>-Eintr\u00e4ge verhindern DNS-Rebinding-Angriffe, indem interne IP-Bereiche aus externen Antworten gefiltert werden. Details zu jeder Option liefert die offizielle <a href=\"https:\/\/docs.pi-hole.net\/guides\/dns\/unbound\/\" target=\"_blank\" rel=\"noopener\">Pi-hole-Anleitung zu Unbound<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Starten Sie Unbound neu und testen Sie die Aufl\u00f6sung direkt gegen Port 5335:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo systemctl restart unbound\n\n# Direkter Test gegen Unbound auf Port 5335\ndig pi-hole.net @127.0.0.1 -p 5335\n\n# Erwartet: ein ANSWER-Abschnitt mit Status NOERROR\n# Beim zweiten Aufruf sinkt die Query time deutlich (Cache)<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-8-pi-hole-mit-unbound-verbinden\">Schritt 8: Pi-hole mit Unbound verbinden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt verheiraten Sie beide Dienste. Pi-hole soll seine Upstream-Anfragen nicht mehr an Cloudflare schicken, sondern an Ihren lokalen Unbound. Das erledigen Sie im Web-Interface unter <em>Settings -&gt; DNS<\/em> im Expert-Modus.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Entfernen Sie alle Haken bei den vordefinierten Upstream-Anbietern (Google, Cloudflare und so weiter).<\/li>\n<li>Tragen Sie unter <em>Custom DNS servers<\/em> die Adresse <code>127.0.0.1#5335<\/code> ein.<\/li>\n<li>Speichern Sie die Einstellung \u00fcber <em>Save<\/em>.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Achten Sie auf die Schreibweise mit der Raute als Trenner f\u00fcr den Port: <code>127.0.0.1#5335<\/code>. Ein h\u00e4ufiger Fehler ist der Doppelpunkt, den Pi-hole an dieser Stelle nicht akzeptiert. Wer lieber auf der Kommandozeile arbeitet, setzt den Upstream direkt in der <code>pihole.toml<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo nano \/etc\/pihole\/pihole.toml\n\n# Im Abschnitt [dns] den Upstream eintragen:\n#   upstreams = [ \"127.0.0.1#5335\" ]\n\n# Danach FTL neu starten:\nsudo service pihole-FTL restart<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Ab diesem Moment flie\u00dfen alle erlaubten DNS-Anfragen Ihres Netzwerks durch Unbound und werden rekursiv aufgel\u00f6st. Kein externer Anbieter sieht mehr Ihre Anfragen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-9-dnssec-pruefen-und-funktion-testen\">Schritt 9: DNSSEC pr\u00fcfen und Funktion testen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unbound bringt seine eigene DNSSEC-Validierung mit, daher d\u00fcrfen Sie die DNSSEC-Option in Pi-hole selbst <strong>nicht<\/strong> zus\u00e4tzlich aktivieren. Eine doppelte Validierung f\u00fchrt zu Fehlern. Testen Sie die korrekte Funktion mit zwei gezielten Abfragen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Test 1: gueltige Signatur, muss NOERROR liefern\ndig sigok.verteiltesysteme.net @127.0.0.1 -p 5335\n\n# Test 2: bewusst kaputte Signatur, muss SERVFAIL liefern\ndig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Der erste Test muss den Status <code>NOERROR<\/code> mit g\u00fcltiger Antwort liefern. Der zweite Test muss <code>SERVFAIL<\/code> ergeben, weil die Signatur absichtlich manipuliert ist und Unbound die Antwort korrekt ablehnt. Sehen Sie bei Test 2 ein <code>NOERROR<\/code>, ist die DNSSEC-Validierung nicht aktiv. Pr\u00fcfen Sie zus\u00e4tzlich das gesetzte <code>ad<\/code>-Flag (Authenticated Data):<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>dig pi-hole.net @127.0.0.1 -p 5335 +dnssec | grep -i flags\n\n# Erwartet: flags: qr rd ra ad\n# Das \"ad\"-Flag bestaetigt erfolgreiche DNSSEC-Validierung<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die kryptografische Pr\u00fcfung von DNS-Antworten funktioniert nach denselben Prinzipien wie andere Signaturverfahren. Wer die Mechanik dahinter verstehen will, findet in unserem Beitrag <a href=\"\/de\/digitale-signaturen\/\">Digitale Signaturen erkl\u00e4rt<\/a> die Grundlagen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-10-fritzbox-als-dns-server-fuer-das-ganze-netz-konfigurieren\">Schritt 10: FritzBox als DNS-Server f\u00fcr das ganze Netz konfigurieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Damit alle Ger\u00e4te Pi-hole nutzen, muss Ihr Router sie auf den Pi verweisen. In DACH-Haushalten ist das meist eine FritzBox. Es gibt zwei Wege, und die Reihenfolge ist wichtig.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"variante-a-pi-hole-als-lokaler-dns-server-empfohlen\">Variante A: Pi-hole als lokaler DNS-Server (empfohlen)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Variante leitet alle Ger\u00e4te automatisch \u00fcber DHCP auf Pi-hole:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00d6ffnen Sie die FritzBox unter <code>http:\/\/fritz.box<\/code> und melden Sie sich an.<\/li>\n<li>Gehen Sie zu <em>Heimnetz -&gt; Netzwerk -&gt; Netzwerkeinstellungen<\/em>.<\/li>\n<li>Klappen Sie <em>weitere Einstellungen -&gt; IPv4-Adressen<\/em> auf.<\/li>\n<li>Tragen Sie unter <em>Lokaler DNS-Server<\/em> die IP des Pi ein, im Beispiel <code>192.168.178.2<\/code>.<\/li>\n<li>Speichern und alle Ger\u00e4te einmal neu verbinden lassen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"variante-b-dns-weiterleitung-im-internetzugang\">Variante B: DNS-Weiterleitung im Internetzugang<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Alternativ tragen Sie Pi-hole unter <em>Internet -&gt; Zugangsdaten -&gt; DNS-Server<\/em> als bevorzugten DNSv4-Server ein. Diese Variante hat einen Nachteil: In den Pi-hole-Statistiken erscheinen dann alle Anfragen unter der IP der FritzBox, sodass Sie nicht mehr nach einzelnen Ger\u00e4ten unterscheiden k\u00f6nnen. F\u00fcr detaillierte Statistiken ist Variante A die bessere Wahl.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig: Tragen Sie nur die Pi-hole-IP als DNS-Server ein, <strong>keinen<\/strong> zweiten externen Fallback wie 8.8.8.8. Sonst umgehen Ger\u00e4te bei Last den Pi-hole und Werbung kommt durch. Manche FritzBox-Firmware-Versionen schr\u00e4nken die freie DNS-Vergabe ein. Sto\u00dfen Sie hier an Grenzen, nutzen Sie den DHCP-Server von Pi-hole selbst (Schritt 12) oder tragen Sie den DNS-Server manuell auf den wichtigsten Ger\u00e4ten ein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schritt-11-und-12-blocklisten-erweitern-und-dhcp-optimieren\">Schritt 11 und 12: Blocklisten erweitern und DHCP optimieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 11: Blocklisten pflegen.<\/strong> Die Standardliste von StevenBlack ist eine solide Basis. Wer aggressiver blockieren will, erg\u00e4nzt weitere Listen unter <em>Adlists<\/em> im Web-Interface und aktualisiert anschlie\u00dfend die Gravity-Datenbank:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Blocklisten neu einlesen und zusammenfuehren\npihole -g\n\n# Erwartete Ausgabe (gekuerzt):\n#   [OK] DNS service is running\n#   [OK] Number of gravity domains: ...<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcbertreiben Sie es nicht. Zu viele oder schlecht gepflegte Listen f\u00fchren zu Fehlblockaden (False Positives), bei denen legitime Seiten nicht mehr laden. Die offizielle <a href=\"https:\/\/github.com\/StevenBlack\/hosts\" target=\"_blank\" rel=\"noopener\">StevenBlack-Hosts-Liste auf GitHub<\/a> ist bewusst kuratiert und f\u00fcr die meisten Haushalte ausreichend.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schritt 12: Optional den DHCP-Server von Pi-hole nutzen.<\/strong> Wenn Ihre FritzBox die DNS-Zuweisung sabotiert oder Sie pro Ger\u00e4t genaue Statistiken wollen, \u00fcbernimmt Pi-hole den DHCP-Dienst. Deaktivieren Sie zuerst den DHCP-Server der FritzBox, sonst gibt es Konflikte. Aktivieren Sie dann in Pi-hole unter <em>Settings -&gt; DHCP<\/em> den eigenen Dienst und legen Sie den Adressbereich fest. Damit erh\u00e4lt jedes Ger\u00e4t automatisch den Pi-hole als DNS-Server und erscheint mit eigenem Namen in den Statistiken.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufige-fehler-und-wie-sie-sie-vermeiden\">H\u00e4ufige Fehler und wie Sie sie vermeiden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgenden Stolperfallen kosten Einsteiger die meiste Zeit. Pr\u00fcfen Sie diese Liste, bevor Sie stundenlang suchen.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DNS-Schleife:<\/strong> Der Router zeigt auf Pi-hole, und Pi-hole zeigt als Upstream zur\u00fcck auf den Router. Das endet in einer Endlosschleife. Der Upstream muss <code>127.0.0.1#5335<\/code> sein, niemals die Router-IP.<\/li>\n<li><strong>Port-53-Konflikt:<\/strong> <code>systemd-resolved<\/code> belegt Port 53. Ohne den Schritt aus Abschnitt 3 startet der DNS-Dienst nicht. Immer zuerst den Stub-Listener deaktivieren.<\/li>\n<li><strong>Doppelte DNSSEC-Validierung:<\/strong> DNSSEC in Pi-hole UND in Unbound aktiviert. Unbound \u00fcbernimmt die Validierung allein, die Pi-hole-Option muss aus bleiben.<\/li>\n<li><strong>Falscher Port-Trenner:<\/strong> Im Upstream <code>127.0.0.1:5335<\/code> statt <code>127.0.0.1#5335<\/code>. Pi-hole erwartet die Raute.<\/li>\n<li><strong>Zweiter DNS-Server im Router:<\/strong> Ein externer Fallback neben Pi-hole f\u00fchrt dazu, dass Ger\u00e4te den Filter umgehen. Nur die Pi-hole-IP eintragen.<\/li>\n<li><strong>Dynamische IP des Pi:<\/strong> Ohne statische Adresse verliert das Netz nach einem Neustart den DNS-Server. Schritt 2 ist Pflicht, nicht optional.<\/li>\n<li><strong>SD-Karten-Verschlei\u00df:<\/strong> Billige Karten sterben durch die st\u00e4ndigen Schreibzugriffe der Logs. Markenware verwenden und Backups einplanen.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"troubleshooting-8-typische-probleme-loesen\">Troubleshooting: 8 typische Probleme l\u00f6sen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn etwas nicht funktioniert, arbeiten Sie diese Diagnosen der Reihe nach ab. Jeder Punkt nennt das Symptom und den konkreten L\u00f6sungsweg.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Symptom<\/th><th>Ursache<\/th><th>L\u00f6sung<\/th><\/tr><\/thead><tbody>\n<tr><td>Keine Webseiten laden mehr<\/td><td>Unbound antwortet nicht<\/td><td><code>sudo systemctl status unbound<\/code>, neu starten<\/td><\/tr>\n<tr><td>Pi-hole startet nicht<\/td><td>Port 53 belegt<\/td><td>systemd-resolved Stub-Listener deaktivieren<\/td><\/tr>\n<tr><td>dig auf 5335 schl\u00e4gt fehl<\/td><td>Unbound-Konfig fehlerhaft<\/td><td><code>unbound-checkconf<\/code> ausf\u00fchren<\/td><\/tr>\n<tr><td>SERVFAIL bei allen Domains<\/td><td>root.hints veraltet\/fehlt<\/td><td>Paket neu installieren, Unbound neu starten<\/td><\/tr>\n<tr><td>Werbung kommt trotzdem durch<\/td><td>Ger\u00e4t nutzt anderen DNS<\/td><td>Router-DNS pr\u00fcfen, zweiten DNS entfernen<\/td><\/tr>\n<tr><td>Statistik zeigt nur Router-IP<\/td><td>Variante B aktiv<\/td><td>auf Variante A oder Pi-hole-DHCP wechseln<\/td><\/tr>\n<tr><td>Web-Interface nicht erreichbar<\/td><td>Port 80 belegt, Fallback 8080<\/td><td>Adresse mit :8080 testen<\/td><\/tr>\n<tr><td>Erste Anfrage sehr langsam<\/td><td>Cache noch leer<\/td><td>normal, prefetch: yes hilft<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Das wichtigste Diagnosewerkzeug ist <code>unbound-checkconf<\/code>. Es pr\u00fcft Ihre Konfiguration auf Syntaxfehler, bevor Sie den Dienst neu starten:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>sudo unbound-checkconf\n\n# Erwartete Ausgabe bei korrekter Konfig:\n#   unbound-checkconf: no errors in \/etc\/unbound\/unbound.conf\n\n# Logs live mitlesen bei Problemen:\nsudo journalctl -u unbound -f\nsudo journalctl -u pihole-FTL -f<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">H\u00e4ngt das ganze System, hilft oft der vollst\u00e4ndige Neustart der beiden Dienste in der richtigen Reihenfolge: erst Unbound, dann Pi-hole-FTL. So stellt Pi-hole sicher, dass sein Upstream bereits erreichbar ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"profi-tipps-fuer-fortgeschrittene\">Profi-Tipps f\u00fcr Fortgeschrittene<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Steht das Grundsystem, holen diese Erweiterungen mehr aus dem Setup heraus.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cache vergr\u00f6\u00dfern:<\/strong> Bei einem Pi mit 2 GB RAM lohnt sich, <code>msg-cache-size<\/code> und <code>rrset-cache-size<\/code> in der Unbound-Konfig anzuheben. Mehr Cache bedeutet schnellere Antworten und weniger externe Anfragen.<\/li>\n<li><strong>Zwei Pi-hole-Instanzen:<\/strong> F\u00fcr Ausfallsicherheit betreiben Sie einen zweiten Pi und synchronisieren beide. F\u00e4llt einer aus, bleibt das Netz aufl\u00f6sbar.<\/li>\n<li><strong>Lokale DNS-Eintr\u00e4ge:<\/strong> Unter <em>Local DNS<\/em> vergeben Sie eigene Namen f\u00fcr Ger\u00e4te im Heimnetz, etwa <code>nas.heim<\/code> f\u00fcr Ihr NAS.<\/li>\n<li><strong>HTTPS f\u00fcr das Web-Interface:<\/strong> Pi-hole v6 kann das Admin-Panel \u00fcber Port 443 mit TLS ausliefern. Sinnvoll, wenn Sie von mehreren Ger\u00e4ten zugreifen.<\/li>\n<li><strong>Conditional Forwarding:<\/strong> Damit Pi-hole die Ger\u00e4tenamen aus der FritzBox aufl\u00f6st, aktivieren Sie unter <em>Settings -&gt; DNS<\/em> die bedingte Weiterleitung an die Router-IP.<\/li>\n<li><strong>Regelm\u00e4\u00dfige Backups:<\/strong> Exportieren Sie Ihre Konfiguration \u00fcber <em>Settings -&gt; Teleporter<\/em>, um nach einem SD-Karten-Defekt schnell wieder einsatzbereit zu sein.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Wer das Setup um eine echte Transportverschl\u00fcsselung der DNS-Anfragen erweitern will, kombiniert Unbound mit DNS-over-TLS. Das ist jedoch ein Kompromiss: Sie geben die rein rekursive Aufl\u00f6sung teilweise zugunsten eines verschl\u00fcsselten Upstreams auf. F\u00fcr die meisten Heimnetze ist die hier gezeigte rekursive Variante der bessere Datenschutzkompromiss. Wer sein gesamtes Netzwerk h\u00e4rten will, sollte zus\u00e4tzlich \u00fcber eine dedizierte Firewall nachdenken, wie wir sie im Vergleich <a href=\"\/de\/opnsense-vs-pfsense\/\">OPNsense vs. pfSense<\/a> behandeln.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sicherheit-und-datenschutz-des-setups-einordnen\">Sicherheit und Datenschutz des Setups einordnen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pi-hole mit Unbound ist ein starker Baustein f\u00fcr Datenschutz im Heimnetz, aber kein Allheilmittel. Es blockiert Werbung und Tracking auf DNS-Ebene und entzieht gro\u00dfen DNS-Anbietern den Einblick in Ihr Surfverhalten. Es sch\u00fctzt jedoch nicht vor Tracking innerhalb verschl\u00fcsselter Verbindungen, nicht vor Fingerprinting im Browser und nicht vor Apps, die DNS-Server fest einprogrammiert haben (DNS-Hardcoding), wie es manche Smart-TVs und Streaming-Dienste tun.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik empfiehlt f\u00fcr Heimnetze grunds\u00e4tzlich eine bewusste Konfiguration von Router und DNS, wie sie in den <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Verbraucherinnen-und-Verbraucher\/Informationen-und-Empfehlungen\/Cyber-Sicherheitsempfehlungen\/Router-WLAN-VPN\/router-wlan-vpn_node.html\" target=\"_blank\" rel=\"noopener\">BSI-Empfehlungen zu Router, WLAN und VPN<\/a> beschrieben ist. Pi-hole mit Unbound setzt genau diesen Gedanken um: Sie behalten die Kontrolle \u00fcber die Namensaufl\u00f6sung im eigenen Netz, statt sie an Dritte abzugeben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Behandeln Sie den Pi selbst als sicherheitskritisches Ger\u00e4t. Halten Sie das System mit <code>apt update<\/code> und <code>apt full-upgrade<\/code> aktuell, sichern Sie den SSH-Zugang mit Schl\u00fcsseln statt Passw\u00f6rtern ab und exponieren Sie das Web-Interface niemals direkt ins Internet. Ein kompromittierter DNS-Server w\u00fcrde sonst jede Anfrage Ihres Netzes manipulieren k\u00f6nnen. Mehr zu den Mechanismen hinter Datenlecks lesen Sie in unserem Beitrag <a href=\"\/de\/datenlecks\/\">Datenlecks: Wie sie entstehen<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pi-hole-im-vergleich-zu-browser-adblockern-und-adguard\">Pi-hole im Vergleich zu Browser-Adblockern und AdGuard<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Nutzer fragen sich, warum sie \u00fcberhaupt einen eigenen Server aufsetzen sollen, wenn ein Browser-Plugin doch auch Werbung blockt. Die Antwort liegt in der Reichweite. Ein Browser-Adblocker wirkt nur im Browser, auf nur einem Ger\u00e4t und nur f\u00fcr den einen Nutzer. Pi-hole arbeitet auf DNS-Ebene und sch\u00fctzt jedes Ger\u00e4t im Netz, auch solche ohne Plugin-Unterst\u00fctzung wie Smart-TVs, Konsolen oder IoT-Ger\u00e4te.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Browser-Adblocker<\/th><th>Pi-hole + Unbound<\/th><th>AdGuard Home<\/th><\/tr><\/thead><tbody>\n<tr><td>Wirkungsbereich<\/td><td>nur ein Browser<\/td><td>gesamtes Netzwerk<\/td><td>gesamtes Netzwerk<\/td><\/tr>\n<tr><td>Eigener Resolver<\/td><td>nein<\/td><td>ja, mit Unbound<\/td><td>integriert m\u00f6glich<\/td><\/tr>\n<tr><td>Element-Blocking (kosmetisch)<\/td><td>ja<\/td><td>nein (nur DNS)<\/td><td>teilweise<\/td><\/tr>\n<tr><td>Eigenes Ger\u00e4t n\u00f6tig<\/td><td>nein<\/td><td>ja (Raspberry Pi)<\/td><td>ja<\/td><\/tr>\n<tr><td>DNSSEC-Validierung<\/td><td>nein<\/td><td>ja (\u00fcber Unbound)<\/td><td>ja<\/td><\/tr>\n<tr><td>Kosten<\/td><td>kostenlos<\/td><td>kostenlos (plus Hardware)<\/td><td>kostenlos<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die ehrliche Einordnung: Pi-hole und ein Browser-Adblocker schlie\u00dfen sich nicht aus, sie erg\u00e4nzen sich. Pi-hole blockiert netzwerkweit auf DNS-Ebene, kann aber kein kosmetisches Element-Hiding wie das Ausblenden leerer Werbefl\u00e4chen. Ein guter Browser-Adblocker erledigt das zus\u00e4tzlich. Die Kombination aus beiden liefert das sauberste Ergebnis. AdGuard Home ist eine funktional sehr \u00e4hnliche Alternative zu Pi-hole und bringt einen DoH\/DoT-Server gleich mit, ist aber weniger modular als die Kombination aus Pi-hole und Unbound.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der gr\u00f6\u00dfte Vorteil von Pi-hole bleibt die zentrale Kontrolle. Sie pflegen Blocklisten an genau einer Stelle, sehen in einem Dashboard, welches Ger\u00e4t welche Domains anfragt, und k\u00f6nnen einzelne Ger\u00e4te gezielt von der Filterung ausnehmen. Diese Transparenz \u00fcber das eigene Netz ist mit reinen Browser-L\u00f6sungen nicht zu erreichen. Wer Wert auf Privatsph\u00e4re legt, findet im Vergleich der sicheren Messenger <a href=\"\/de\/signal-vs-whatsapp-vs-threema\/\">Signal vs. WhatsApp vs. Threema<\/a> einen weiteren Baustein f\u00fcr ein datensparsames Setup.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wartung-und-betrieb-im-alltag\">Wartung und Betrieb im Alltag<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein einmal eingerichtetes Pi-hole-System l\u00e4uft weitgehend wartungsfrei, doch ein paar Routinen verl\u00e4ngern die Lebensdauer und halten den Filter aktuell. Aktualisieren Sie das Betriebssystem und Pi-hole selbst regelm\u00e4\u00dfig. Pi-hole bringt daf\u00fcr einen eigenen Update-Befehl mit, der Core, FTL und Web-Interface gemeinsam auf den neuesten Stand bringt:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Pi-hole-Komponenten aktualisieren\npihole -up\n\n# Versionsstand pruefen\npihole -v\n\n# Unbound und das Basissystem getrennt aktualisieren\nsudo apt update &amp;&amp; sudo apt full-upgrade -y<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Behalten Sie die Auslastung im Blick. Das Pi-hole-Dashboard zeigt unter <em>System<\/em> die CPU- und Speichernutzung. In einem normalen Heimnetz liegt die CPU-Last im einstelligen Prozentbereich, der Speicherbedarf von Pi-hole und Unbound zusammen bleibt klar im Rahmen eines Pi 4 oder Pi 5. Wird die SD-Karte langsam, ist sie oft am Ende ihrer Lebensdauer. Ein Wechsel auf eine SSD per USB-Adapter erh\u00f6ht die Zuverl\u00e4ssigkeit im Dauerbetrieb deutlich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Planen Sie regelm\u00e4\u00dfige Backups ein. \u00dcber die Teleporter-Funktion exportieren Sie Ihre komplette Konfiguration inklusive Blocklisten, Whitelist und lokaler DNS-Eintr\u00e4ge in eine einzige Datei. Nach einem Defekt spielen Sie diese in wenigen Minuten auf ein frisches System zur\u00fcck. Wer mehrere Pi-holes betreibt, automatisiert die Synchronisation, sodass beide Instanzen stets denselben Filterstand haben.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufige-fragen-faq\">H\u00e4ufige Fragen (FAQ)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"brauche-ich-zwingend-unbound-oder-reicht-pi-hole-allein\">Brauche ich zwingend Unbound, oder reicht Pi-hole allein?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Pi-hole allein blockiert bereits Werbung und Tracker. Ohne Unbound leiten Sie aber alle erlaubten Anfragen an einen externen Anbieter weiter, der Ihr vollst\u00e4ndiges DNS-Profil sieht. Unbound schlie\u00dft genau diese L\u00fccke und macht das Setup erst wirklich datenschutzfreundlich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-viel-strom-verbraucht-ein-raspberry-pi-im-dauerbetrieb\">Wie viel Strom verbraucht ein Raspberry Pi im Dauerbetrieb?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Pi 4 oder Pi 5 zieht im DNS-Betrieb nur wenige Watt. \u00dcber das Jahr gerechnet sind die Stromkosten vernachl\u00e4ssigbar, besonders verglichen mit dem Nutzen eines netzwerkweiten Werbeblockers. Der Pi Zero 2 W ist noch sparsamer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"funktioniert-das-auch-ohne-fritzbox\">Funktioniert das auch ohne FritzBox?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Jeder Router, der die manuelle Eingabe eines DNS-Servers erlaubt, funktioniert. Bei Routern, die das blockieren, \u00fcbernehmen Sie einfach den DHCP-Server direkt mit Pi-hole, wie in Schritt 12 beschrieben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"verlangsamt-pi-hole-mit-unbound-mein-internet\">Verlangsamt Pi-hole mit Unbound mein Internet?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Im Gegenteil. Die erste Anfrage zu einer neuen Domain dauert minimal l\u00e4nger, weil Unbound rekursiv aufl\u00f6st. Danach landet die Antwort im lokalen Cache und wird blitzschnell beantwortet. Durch das Blockieren von Werbung laden viele Seiten sogar sp\u00fcrbar schneller.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-passiert-wenn-der-raspberry-pi-ausfaellt\">Was passiert, wenn der Raspberry Pi ausf\u00e4llt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00e4llt der einzige DNS-Server aus, kann das Netz keine Namen mehr aufl\u00f6sen, das Internet wirkt dann tot. F\u00fcr kritische Haushalte empfiehlt sich daher eine zweite Pi-hole-Instanz als Fallback. Alternativ tragen Sie im Notfall kurzfristig wieder einen externen DNS-Server im Router ein.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ist-pi-hole-in-deutschland-legal\">Ist Pi-hole in Deutschland legal?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Sie betreiben einen DNS-Server in Ihrem eigenen Netzwerk und entscheiden selbst, welche Domains aufgel\u00f6st werden. Das ist vollkommen legal. Beachten Sie lediglich, dass das netzwerkweite Blockieren in geteilten Netzen (etwa WG oder Familie) abgesprochen sein sollte.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"kann-ich-einzelne-domains-von-der-blockade-ausnehmen\">Kann ich einzelne Domains von der Blockade ausnehmen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. \u00dcber die Whitelist im Web-Interface erlauben Sie gezielt einzelne Domains. Das ist n\u00f6tig, wenn eine legitime Seite f\u00e4lschlich blockiert wird (False Positive). Den blockierten Treffer finden Sie im Query Log mit einem Klick auf Whitelist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"lohnt-sich-ein-umstieg-von-pi-hole-v5-auf-v6\">Lohnt sich ein Umstieg von Pi-hole v5 auf v6?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Version 6 ist schlanker, sicherer und bringt eine vollst\u00e4ndige REST-API mit. Der eingebettete Webserver ersetzt lighttpd und PHP, was die Angriffsfl\u00e4che reduziert. Bei einer Neuinstallation nehmen Sie ohnehin direkt v6.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"related-coverage\">Related Coverage<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/tor-vs-vpn\/\">Tor vs. VPN: 100x langsamer, beide legal<\/a><\/li>\n<li><a href=\"\/de\/opnsense-vs-pfsense\/\">OPNsense vs. pfSense: EU vs. USA, 0 \u20ac Basis<\/a><\/li>\n<li><a href=\"\/de\/ssh-key-erstellen-ed25519-2026\/\">SSH-Key erstellen: Ed25519 in 8 Schritten<\/a><\/li>\n<li><a href=\"\/de\/https-und-tls\/\">HTTPS und TLS: Wie das Schloss im Browser Sie sch\u00fctzt<\/a><\/li>\n<li><a href=\"\/de\/gpg-verschluesselung-gnupg\/\">GPG Verschl\u00fcsselung: 12 Schritte mit GnuPG<\/a><\/li>\n<li><a href=\"\/de\/digitale-signaturen\/\">Digitale Signaturen erkl\u00e4rt<\/a><\/li>\n<li><a href=\"\/de\/datenlecks\/\">Datenlecks: Wie sie entstehen und wie Sie sich sch\u00fctzen<\/a><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Stand: 13. Juni 2026. Pr\u00fcfen Sie Versionsnummern von Pi-hole und Unbound am Tag der Installation, da sich besonders die Pi-hole-Core-Version h\u00e4ufig \u00e4ndert.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Jede Webseite, jede App und jedes Smart-Home-Ger\u00e4t in Ihrem Netzwerk stellt st\u00e4ndig DNS-Anfragen. Standardm\u00e4\u00dfig landen diese bei Ihrem Provider oder bei Google und Cloudflare, die damit ein l\u00fcckenloses Protokoll Ihres\u2026<\/p>\n","protected":false},"author":8,"featured_media":105,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-104","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=104"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/104\/revisions"}],"predecessor-version":[{"id":106,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/104\/revisions\/106"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/105"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}