284 lines
15 KiB
Markdown
284 lines
15 KiB
Markdown
# Kapitel 2 – Premium: Pi-hole + Unbound
|
||
|
||
Im Free-Teil haben wir Pi-hole und Unbound gemeinsam in einem Container eingerichtet und damit bereits ein starkes Fundament geschaffen: Werbung und Tracking werden blockiert, DNS-Anfragen laufen sicher über einen eigenen Resolver.
|
||
|
||
Doch wer als Content Creator oder Technikinteressierter noch mehr aus seinem Setup herausholen möchte, der profitiert von den erweiterten Möglichkeiten im Premium-Teil.
|
||
|
||
Hier gehen wir tiefer ins Detail und kümmern uns um Themen, die im Free-Teil bewusst nur angerissen wurden.
|
||
Dazu gehören unter anderem:
|
||
|
||
- **Conditional Forwarding**: Geräte im Dashboard nicht nur als IP sehen, sondern mit ihren echten Namen.
|
||
- **Erweiterte Blocklisten**: Wie man aus den vielen verfügbaren Listen ein stabiles, aber nicht übertrieben striktes Setup baut.
|
||
- **Regex & Whitelisting**: Feinjustierung, damit wichtige Dienste (WhatsApp, Facebook, Streaming) trotz strenger Filter zuverlässig funktionieren.
|
||
- **Performance & Sicherheit**: Optimierungen in Unbound, DNSSEC, Logging und Monitoring für eine professionelle Umgebung.
|
||
|
||
> [!NOTE]
|
||
> Der Premium-Teil baut immer direkt auf dem Free-Teil auf.
|
||
> Alles, was wir hier zeigen, erweitert das bestehende Setup – es muss nichts von Grund auf neu installiert werden.
|
||
|
||
## Conditional Forwarding
|
||
|
||
Standardmäßig zeigt Pi-hole im Dashboard nur die IP-Adressen der Geräte an, die Anfragen stellen.
|
||
Das funktioniert zwar, aber gerade in größeren Netzwerken wird es schnell unübersichtlich.
|
||
|
||
Mit **Conditional Forwarding** können die IP-Adressen aufgelöst und die echten Gerätenamen angezeigt werden.
|
||
Statt `192.168.50.25` siehst du dann z. B. `WohnzimmerTV` oder `iPhone-Anna`.
|
||
|
||
### Warum ist das praktisch?
|
||
- Du erkennst sofort, **welches Gerät** welche Anfragen stellt.
|
||
- Für Content Creator und Streamer bedeutet das: schnelle Übersicht, wenn Studio-PC, Streaming-Laptop oder Smart-TV Werbung blocken.
|
||
- Auch im Familiennetzwerk behältst du leichter den Überblick.
|
||
|
||
### Einrichtung
|
||
1. Öffne die Pi-hole Weboberfläche.
|
||
2. Gehe zu **Settings → DNS**.
|
||
3. Scrolle nach unten bis zum Abschnitt **Conditional Forwarding**.
|
||
4. Aktiviere die Option und trage deine lokalen Netzwerkeinstellungen ein.
|
||
|
||
Beispiel für eine FRITZ!Box-Konfiguration:
|
||
```
|
||
true,192.168.50.0/24,192.168.50.1,fritz.box
|
||
```
|
||
|
||
- `192.168.50.0/24` → dein Heimnetz (hier z. B. von `192.168.50.1` bis `192.168.50.254`)
|
||
- `/24` bedeutet: nur die letzten 8 Bit (0–255) gehören zu diesem Subnetz.
|
||
- `192.168.50.1` → IP-Adresse des Routers (FRITZ!Box)
|
||
- `fritz.box` → Domain-Suffix für lokale Namensauflösung
|
||
|
||
👉 *Screenshot geeignet: Pi-hole DNS-Einstellungen mit aktivierter Conditional Forwarding Option.*
|
||
|
||
### Ergebnis
|
||
Nach dem Speichern zeigt das Pi-hole Dashboard die Anfragen nicht mehr nur mit IP-Adressen, sondern mit den **echten Hostnamen** deiner Geräte.
|
||
|
||
> [!NOTE]
|
||
> Für Heimnetze ist in der Regel `/24` die richtige Einstellung.
|
||
> Erweiterte Netze (z. B. `/16` oder größer) behandeln wir später im Premium-Teil zum Nginx Proxy Manager, wenn es um komplexere Netzwerkkonfigurationen geht.
|
||
|
||
> [!TIP]
|
||
> Mit Conditional Forwarding wird die Analyse im Dashboard wesentlich komfortabler, weil du auf einen Blick siehst, welche Geräte im Netzwerk wie viele Anfragen stellen.
|
||
|
||
## Erweiterte Blocklisten & Filter-Strategien
|
||
|
||
Im Free-Teil haben wir bereits eine solide Basis mit einigen empfohlenen Blocklisten eingerichtet.
|
||
Im Premium-Bereich gehen wir einen Schritt weiter und beschäftigen uns mit Strategien, wie man die vielen verfügbaren Listen sinnvoll kombiniert, ohne sich das Netzwerk selbst zu blockieren.
|
||
|
||
### Warum erweiterte Blocklisten?
|
||
- **Höhere Abdeckung**: Je mehr Quellen, desto mehr Werbung, Tracking und Malware-Domains werden erkannt.
|
||
- **Angepasste Filterung**: Unterschiedliche Listen haben unterschiedliche Schwerpunkte (z. B. Smart-TV, Mobile-Tracking, Malware).
|
||
- **Flexibilität**: Du kannst dein Setup genau auf deine Geräte und deinen Use Case zuschneiden.
|
||
|
||
### Empfehlenswerte Listen
|
||
Diese Listen haben sich in der Praxis bewährt und sind bereits im Einsatz erprobt:
|
||
|
||
```
|
||
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.txt
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/tif.txt
|
||
https://big.oisd.nl
|
||
https://v.firebog.net/hosts/lists.php?type=tick
|
||
https://v.firebog.net/hosts/lists.php?type=malware
|
||
https://o0.pages.dev/Pro/adblock.txt
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.plus.mini.txt
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.mini.txt
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.txt
|
||
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/multi.txt
|
||
https://adaway.org/hosts.txt
|
||
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
|
||
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
|
||
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
|
||
https://v.firebog.net/hosts/Prigent-Ads.txt
|
||
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
|
||
```
|
||
|
||
👉 *Screenshot geeignet: Pi-hole Adlists-Seite mit erweiterten Blocklisten.*
|
||
|
||
### Strategien für den Einsatz
|
||
- **Basis + Zusätze**:
|
||
- Starte mit einer großen, bekannten Liste (z. B. StevenBlack oder oisd).
|
||
- Ergänze gezielt kleinere Listen (z. B. SmartTV oder Android-Tracking).
|
||
|
||
- **Nicht übertreiben**:
|
||
- Zu viele Listen können zu **Doppelungen** und **False Positives** führen.
|
||
- Mehr ist nicht automatisch besser – die Qualität der Listen zählt.
|
||
|
||
- **Testweise aktivieren**:
|
||
- Neue Listen zunächst in einer separaten Gruppe aktivieren.
|
||
- Geräte testweise dieser Gruppe zuweisen.
|
||
- Wenn alles funktioniert → Liste in „Default“ übernehmen.
|
||
|
||
👉 *Screenshot geeignet: Group Management mit verschiedenen Gruppen für Test-Blocklisten.*
|
||
|
||
> [!TIP]
|
||
> Besonders im Creator-Umfeld lohnt es sich, Blocklisten schrittweise zu erweitern.
|
||
> So bleibt das Streaming-Setup stabil, während du trotzdem mehr Schutz im Hintergrund bekommst.
|
||
|
||
## Regex & Whitelisting auf Profi-Niveau
|
||
|
||
Blocklisten sind mächtig, aber manchmal auch zu streng.
|
||
Dann landen wichtige Dienste wie WhatsApp, Facebook oder bestimmte Streaming-Anbieter auf der Blockliste – und plötzlich funktioniert etwas nicht mehr.
|
||
Mit Regex-Whitelisting können wir solche Probleme gezielt lösen, ohne gleich eine komplette Liste zu deaktivieren.
|
||
|
||
### Warum Regex?
|
||
- **Flexibel**: Mit regulären Ausdrücken (Regex) kannst du Domains gezielt freigeben oder blockieren.
|
||
- **Granular**: Statt `facebook.com` komplett zu sperren oder freizugeben, kannst du nur bestimmte Subdomains erfassen.
|
||
- **Profi-Tool**: Für alle, die die volle Kontrolle wollen, ist Regex die präziseste Methode.
|
||
|
||
### Beispiele für Whitelist (Regex)
|
||
Einige Dienste blockieren bei strengen Listen nicht mehr richtig.
|
||
Diese Regex-Ausdrücke stellen sicher, dass sie weiterhin funktionieren:
|
||
|
||
```
|
||
(^|\.)whatsapp\.com$
|
||
(^|\.)facebook\.com$
|
||
(^|\.)fbcdn\.net$
|
||
(^|\.)spotify\.com$
|
||
```
|
||
|
||
👉 *Screenshot geeignet: Pi-hole Domain Management mit Regex-Whitelist.*
|
||
|
||
### Beispiele für Blacklist (Regex)
|
||
Manchmal willst du Domains blockieren, die nicht in Standardlisten auftauchen.
|
||
Auch dafür eignet sich Regex:
|
||
|
||
```
|
||
(^|\.)doubleclick\.net$
|
||
(^|\.)adsystem\.com$
|
||
(^|\.)track\.example\.com$
|
||
```
|
||
|
||
### Best Practices
|
||
- **Testen statt blind übernehmen**: Regex-Einträge erst auf einzelnen Geräten ausprobieren.
|
||
- **Logs nutzen**: Im Pi-hole Query Log siehst du sofort, ob eine Domain blockiert wurde.
|
||
- **Dokumentieren**: Eigene Regex-Einträge notieren, damit du sie später nachvollziehen kannst.
|
||
|
||
> [!TIP]
|
||
> Mit Regex kannst du Pi-hole zu einem extrem präzisen Filter ausbauen.
|
||
> Aber Vorsicht: Falsch gesetzte Regeln können ganze Dienste unbrauchbar machen.
|
||
> Lieber schrittweise erweitern und testen.
|
||
|
||
## Performance & Sicherheit
|
||
|
||
Ein stabiles und schnelles Pi-hole/Unbound-Setup ist für Content Creator genauso wichtig wie ein sicherer Betrieb.
|
||
In diesem Abschnitt zeigen wir, wie du das Beste aus deinem Setup herausholst und gleichzeitig für langfristige Stabilität sorgst.
|
||
|
||
### Performance optimieren
|
||
- **Cache nutzen**
|
||
Unbound speichert einmal aufgelöste Domains im Cache.
|
||
Jeder weitere Aufruf ist dadurch sofort verfügbar.
|
||
In unserer Konfiguration ist das bereits aktiv, du musst nichts weiter tun.
|
||
|
||
- **Prefetch aktivieren**
|
||
Mit `prefetch: yes` werden häufig genutzte Domains schon aktualisiert, bevor der Cache-Eintrag abläuft.
|
||
Ergebnis: schnelleres Laden bei Diensten, die du ständig nutzt (z. B. Twitch, YouTube, Discord).
|
||
|
||
- **Threads anpassen**
|
||
In der Konfiguration kannst du mit `num-threads` die Anzahl paralleler DNS-Anfragen einstellen.
|
||
Standard ist 2 – auf schwacher Hardware reicht das, bei stärkeren Systemen kannst du mehr einstellen.
|
||
|
||
👉 *Screenshot geeignet: Pi-hole Dashboard mit niedriger Latenzzeit.*
|
||
|
||
### Sicherheit erhöhen
|
||
- **DNSSEC aktivieren**
|
||
Damit wird sichergestellt, dass DNS-Antworten nicht manipuliert wurden.
|
||
In unserer Unbound-Konfiguration ist `harden-dnssec-stripped: yes` bereits enthalten.
|
||
|
||
- **Logging prüfen**
|
||
Standardmäßig schreibt Unbound Logs ins Systemjournal.
|
||
Für Performance kann man die Verbosität reduzieren (`verbosity: 0`).
|
||
Mehr Details bei Problemen: `verbosity: 2`.
|
||
|
||
- **Updates automatisieren**
|
||
Halte dein System aktuell:
|
||
```bash
|
||
apt update && apt upgrade -y
|
||
```
|
||
Optional lässt sich ein Cronjob einrichten, damit Updates regelmäßig im Hintergrund laufen.
|
||
|
||
- **SSH absichern**
|
||
- Wenn du Root-SSH freigeschaltet hast: unbedingt starke Passwörter oder SSH-Keys verwenden.
|
||
- Besser: Root per SSH deaktiviert lassen und nur mit deinem `adminuser` + `sudo` arbeiten.
|
||
- Zugriffe auf Port 22 im Router blockieren, falls SSH nicht von außen benötigt wird.
|
||
|
||
> [!TIP]
|
||
> Performance und Sicherheit sind keine Gegensätze: Ein schlankes, gut gepflegtes Setup läuft nicht nur schneller, sondern ist auch weniger anfällig für Angriffe oder Störungen.
|
||
|
||
## Monitoring & Auswertung
|
||
|
||
Pi-hole ist nicht nur ein Werbeblocker – es ist auch ein mächtiges Analyse-Tool für dein Netzwerk.
|
||
Gerade für Content Creator und Power-User ist es spannend zu sehen, wie sich Anfragen verteilen, welche Geräte am aktivsten sind und wo eventuell Optimierungsbedarf besteht.
|
||
|
||
### Dashboard verstehen
|
||
- **Total Queries** → Gesamtanzahl aller DNS-Anfragen im Netzwerk.
|
||
- **Queries Blocked** → Anzahl der blockierten Anfragen (Werbung, Tracker).
|
||
- **Percent Blocked** → prozentualer Anteil geblockter Anfragen.
|
||
- **Domains on Blocklist** → wie viele Einträge aktuell von deinen Listen verarbeitet werden.
|
||
|
||
👉 *Screenshot geeignet: Pi-hole Dashboard mit Beispielstatistiken.*
|
||
|
||
### Query Log
|
||
Im **Query Log** siehst du jede Anfrage im Detail:
|
||
- Zeitstempel
|
||
- Client (Gerätename dank Conditional Forwarding)
|
||
- Domain
|
||
- Status (blocked / forwarded)
|
||
|
||
So erkennst du schnell, welche Geräte welche Anfragen stellen.
|
||
|
||
### Long-Term Data
|
||
Unter **Long-term data → Query Types** oder **Top Lists** kannst du dir Trends über Tage und Wochen ansehen:
|
||
- Welche Geräte stellen die meisten Anfragen?
|
||
- Welche Domains werden am häufigsten blockiert?
|
||
- Gibt es Spitzenlasten zu bestimmten Uhrzeiten (z. B. während eines Streams)?
|
||
|
||
👉 *Screenshot geeignet: Long-Term-Statistiken mit Top Clients / Top Domains.*
|
||
|
||
### Alerts & Zusatztools
|
||
- Über **Grafana + InfluxDB** lässt sich Pi-hole in ein umfangreiches Monitoring einbinden.
|
||
- Alerts können dich informieren, wenn ungewöhnlich viele Anfragen blockiert werden (z. B. Hinweis auf Malware).
|
||
|
||
> [!TIP]
|
||
> Auch ohne Zusatztools liefert Pi-hole schon sehr aussagekräftige Statistiken.
|
||
> Für Creator kann es spannend sein, während eines Streams im Dashboard zu sehen, wie viel Tracking im Hintergrund geblockt wird.
|
||
|
||
## Ergebnis
|
||
|
||
Mit dem Premium-Teil von Kapitel 2 haben wir Pi-hole und Unbound nicht neu erfunden, aber deutlich **komfortabler und professioneller** gemacht.
|
||
Während der Free-Teil vor allem die Grundfunktion – Werbeblockierung und privater DNS-Resolver – abgedeckt hat, stand hier die **Feinabstimmung** im Vordergrund.
|
||
|
||
### Was wir erreicht haben
|
||
- **Conditional Forwarding**
|
||
Statt nur nackter IP-Adressen sehen wir nun die echten Gerätenamen im Dashboard.
|
||
Das macht die Auswertung wesentlich übersichtlicher, besonders wenn mehrere PCs, Smartphones, Konsolen oder Streaming-Geräte im Netzwerk laufen.
|
||
|
||
- **Erweiterte Blocklisten**
|
||
Wir haben gezeigt, wie man nicht einfach wahllos „alles aktiviert“, sondern mit Strategie arbeitet: eine solide Basisliste, ergänzt durch gezielte Speziallisten (z. B. Smart-TV oder Mobile-Tracking).
|
||
Damit filterst du mehr Werbung und Tracking, ohne dass wichtige Dienste unbrauchbar werden.
|
||
|
||
- **Regex & Whitelisting**
|
||
Ein Profi-Werkzeug, um gezielt einzelne Domains oder Subdomains freizugeben oder zu blockieren.
|
||
Das verhindert, dass ganze Dienste wie WhatsApp oder Facebook „auseinanderfallen“, nur weil eine Blockliste zu streng ist.
|
||
|
||
- **Performance & Sicherheit**
|
||
Mit Prefetch und Cache-Einstellungen läuft Unbound flotter.
|
||
DNSSEC sorgt dafür, dass Antworten nicht manipuliert wurden.
|
||
Updates und SSH-Absicherung runden das System ab und machen es fit für den dauerhaften Einsatz.
|
||
|
||
- **Monitoring & Auswertung**
|
||
Im Dashboard und über Long-Term-Statistiken kannst du detailliert nachvollziehen, wie dein Netzwerk arbeitet:
|
||
Welche Geräte sind besonders aktiv? Welche Domains werden am meisten blockiert?
|
||
Für Creator ist das besonders spannend, weil man live sehen kann, wie viel Tracking im Hintergrund geblockt wird.
|
||
|
||
### Schwerpunkt Komfort
|
||
Dieser Premium-Block war bewusst eher auf **Komfort und Übersichtlichkeit** ausgelegt.
|
||
Wir haben keine komplett neuen Funktionen hinzugefügt, sondern die bestehende Lösung besser nutzbar gemacht.
|
||
Das ist vor allem dann wertvoll, wenn mehrere Personen das Netzwerk nutzen oder wenn du als Creator schnell einen Überblick brauchst, ohne jedes Mal ins Detail zu gehen.
|
||
|
||
### Ausblick
|
||
In Zukunft wird der Premium-Teil jedoch weiter ausgebaut.
|
||
Dann geht es nicht mehr nur um Komfort, sondern um **echte Zusatzfunktionen** und Integrationen, die weit über das hinausgehen, was wir hier gezeigt haben.
|
||
Ein Beispiel: erweiterte Netzwerkeinstellungen, die sich nahtlos mit dem Nginx Proxy Manager verbinden lassen – damit DNS und Reverse Proxy optimal zusammenarbeiten.
|
||
|
||
> [!NOTE]
|
||
> Premium heißt hier: **mehr Komfort, bessere Übersicht, gezieltere Steuerung**.
|
||
> Doch das ist nur der Anfang – weitere Premium-Inhalte werden sich stärker auf zusätzliche **Funktionalität** konzentrieren.
|