Homelab--Bratonein-Kontrollzentrum--Tutorial/Kapitel 02/Premium Rohtext.md

Kapitel 2 – Premium: Pi-hole + Unbound

Im Free-Teil haben wir Pi-hole und Unbound gemeinsam in einem Container eingerichtet und damit bereits ein starkes Fundament geschaffen: Werbung und Tracking werden blockiert, DNS-Anfragen laufen sicher über einen eigenen Resolver.

Doch wer als Content Creator oder Technikinteressierter noch mehr aus seinem Setup herausholen möchte, der profitiert von den erweiterten Möglichkeiten im Premium-Teil.

Hier gehen wir tiefer ins Detail und kümmern uns um Themen, die im Free-Teil bewusst nur angerissen wurden.
Dazu gehören unter anderem:

• Conditional Forwarding: Geräte im Dashboard nicht nur als IP sehen, sondern mit ihren echten Namen.
• Erweiterte Blocklisten: Wie man aus den vielen verfügbaren Listen ein stabiles, aber nicht übertrieben striktes Setup baut.
• Regex & Whitelisting: Feinjustierung, damit wichtige Dienste (WhatsApp, Facebook, Streaming) trotz strenger Filter zuverlässig funktionieren.
• Performance & Sicherheit: Optimierungen in Unbound, DNSSEC, Logging und Monitoring für eine professionelle Umgebung.

Note

Der Premium-Teil baut immer direkt auf dem Free-Teil auf.
Alles, was wir hier zeigen, erweitert das bestehende Setup – es muss nichts von Grund auf neu installiert werden.

Conditional Forwarding

Standardmäßig zeigt Pi-hole im Dashboard nur die IP-Adressen der Geräte an, die Anfragen stellen.
Das funktioniert zwar, aber gerade in größeren Netzwerken wird es schnell unübersichtlich.

Mit Conditional Forwarding können die IP-Adressen aufgelöst und die echten Gerätenamen angezeigt werden.
Statt 192.168.50.25 siehst du dann z. B. WohnzimmerTV oder iPhone-Anna.

Warum ist das praktisch?

• Du erkennst sofort, welches Gerät welche Anfragen stellt.
• Für Content Creator und Streamer bedeutet das: schnelle Übersicht, wenn Studio-PC, Streaming-Laptop oder Smart-TV Werbung blocken.
• Auch im Familiennetzwerk behältst du leichter den Überblick.

Einrichtung

1. Öffne die Pi-hole Weboberfläche.
2. Gehe zu Settings → DNS.
3. Scrolle nach unten bis zum Abschnitt Conditional Forwarding.
4. Aktiviere die Option und trage deine lokalen Netzwerkeinstellungen ein.

Beispiel für eine FRITZ!Box-Konfiguration:

true,192.168.50.0/24,192.168.50.1,fritz.box

• 192.168.50.0/24 → dein Heimnetz (hier z. B. von 192.168.50.1 bis 192.168.50.254)
• /24 bedeutet: nur die letzten 8 Bit (0–255) gehören zu diesem Subnetz.
• 192.168.50.1 → IP-Adresse des Routers (FRITZ!Box)
• fritz.box → Domain-Suffix für lokale Namensauflösung

👉 Screenshot geeignet: Pi-hole DNS-Einstellungen mit aktivierter Conditional Forwarding Option.

Ergebnis

Nach dem Speichern zeigt das Pi-hole Dashboard die Anfragen nicht mehr nur mit IP-Adressen, sondern mit den echten Hostnamen deiner Geräte.

Note

Für Heimnetze ist in der Regel /24 die richtige Einstellung.
Erweiterte Netze (z. B. /16 oder größer) behandeln wir später im Premium-Teil zum Nginx Proxy Manager, wenn es um komplexere Netzwerkkonfigurationen geht.

Tip

Mit Conditional Forwarding wird die Analyse im Dashboard wesentlich komfortabler, weil du auf einen Blick siehst, welche Geräte im Netzwerk wie viele Anfragen stellen.

Erweiterte Blocklisten & Filter-Strategien

Im Free-Teil haben wir bereits eine solide Basis mit einigen empfohlenen Blocklisten eingerichtet.
Im Premium-Bereich gehen wir einen Schritt weiter und beschäftigen uns mit Strategien, wie man die vielen verfügbaren Listen sinnvoll kombiniert, ohne sich das Netzwerk selbst zu blockieren.

Warum erweiterte Blocklisten?

• Höhere Abdeckung: Je mehr Quellen, desto mehr Werbung, Tracking und Malware-Domains werden erkannt.
• Angepasste Filterung: Unterschiedliche Listen haben unterschiedliche Schwerpunkte (z. B. Smart-TV, Mobile-Tracking, Malware).
• Flexibilität: Du kannst dein Setup genau auf deine Geräte und deinen Use Case zuschneiden.

Empfehlenswerte Listen

Diese Listen haben sich in der Praxis bewährt und sind bereits im Einsatz erprobt:

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/tif.txt
https://big.oisd.nl
https://v.firebog.net/hosts/lists.php?type=tick
https://v.firebog.net/hosts/lists.php?type=malware
https://o0.pages.dev/Pro/adblock.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.plus.mini.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.mini.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/multi.txt
https://adaway.org/hosts.txt
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
https://v.firebog.net/hosts/Prigent-Ads.txt
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt

👉 Screenshot geeignet: Pi-hole Adlists-Seite mit erweiterten Blocklisten.

Strategien für den Einsatz

• Basis + Zusätze:

  • Starte mit einer großen, bekannten Liste (z. B. StevenBlack oder oisd).
  • Ergänze gezielt kleinere Listen (z. B. SmartTV oder Android-Tracking).

• Nicht übertreiben:

  • Zu viele Listen können zu Doppelungen und False Positives führen.
  • Mehr ist nicht automatisch besser – die Qualität der Listen zählt.

• Testweise aktivieren:

  • Neue Listen zunächst in einer separaten Gruppe aktivieren.
  • Geräte testweise dieser Gruppe zuweisen.
  • Wenn alles funktioniert → Liste in „Default“ übernehmen.

👉 Screenshot geeignet: Group Management mit verschiedenen Gruppen für Test-Blocklisten.

Tip

Besonders im Creator-Umfeld lohnt es sich, Blocklisten schrittweise zu erweitern.
So bleibt das Streaming-Setup stabil, während du trotzdem mehr Schutz im Hintergrund bekommst.

Regex & Whitelisting auf Profi-Niveau

Blocklisten sind mächtig, aber manchmal auch zu streng.
Dann landen wichtige Dienste wie WhatsApp, Facebook oder bestimmte Streaming-Anbieter auf der Blockliste – und plötzlich funktioniert etwas nicht mehr.
Mit Regex-Whitelisting können wir solche Probleme gezielt lösen, ohne gleich eine komplette Liste zu deaktivieren.

Warum Regex?

• Flexibel: Mit regulären Ausdrücken (Regex) kannst du Domains gezielt freigeben oder blockieren.
• Granular: Statt facebook.com komplett zu sperren oder freizugeben, kannst du nur bestimmte Subdomains erfassen.
• Profi-Tool: Für alle, die die volle Kontrolle wollen, ist Regex die präziseste Methode.

Beispiele für Whitelist (Regex)

Einige Dienste blockieren bei strengen Listen nicht mehr richtig.
Diese Regex-Ausdrücke stellen sicher, dass sie weiterhin funktionieren:

(^|\.)whatsapp\.com$
(^|\.)facebook\.com$
(^|\.)fbcdn\.net$
(^|\.)spotify\.com$

👉 Screenshot geeignet: Pi-hole Domain Management mit Regex-Whitelist.

Beispiele für Blacklist (Regex)

Manchmal willst du Domains blockieren, die nicht in Standardlisten auftauchen.
Auch dafür eignet sich Regex:

(^|\.)doubleclick\.net$
(^|\.)adsystem\.com$
(^|\.)track\.example\.com$

Best Practices

• Testen statt blind übernehmen: Regex-Einträge erst auf einzelnen Geräten ausprobieren.
• Logs nutzen: Im Pi-hole Query Log siehst du sofort, ob eine Domain blockiert wurde.
• Dokumentieren: Eigene Regex-Einträge notieren, damit du sie später nachvollziehen kannst.

Tip

Mit Regex kannst du Pi-hole zu einem extrem präzisen Filter ausbauen.
Aber Vorsicht: Falsch gesetzte Regeln können ganze Dienste unbrauchbar machen.
Lieber schrittweise erweitern und testen.

Performance & Sicherheit

Ein stabiles und schnelles Pi-hole/Unbound-Setup ist für Content Creator genauso wichtig wie ein sicherer Betrieb.
In diesem Abschnitt zeigen wir, wie du das Beste aus deinem Setup herausholst und gleichzeitig für langfristige Stabilität sorgst.

Performance optimieren

• Cache nutzen
  Unbound speichert einmal aufgelöste Domains im Cache.
  Jeder weitere Aufruf ist dadurch sofort verfügbar.
  In unserer Konfiguration ist das bereits aktiv, du musst nichts weiter tun.

• Prefetch aktivieren
  Mit prefetch: yes werden häufig genutzte Domains schon aktualisiert, bevor der Cache-Eintrag abläuft.
  Ergebnis: schnelleres Laden bei Diensten, die du ständig nutzt (z. B. Twitch, YouTube, Discord).

• Threads anpassen
  In der Konfiguration kannst du mit num-threads die Anzahl paralleler DNS-Anfragen einstellen.
  Standard ist 2 – auf schwacher Hardware reicht das, bei stärkeren Systemen kannst du mehr einstellen.

👉 Screenshot geeignet: Pi-hole Dashboard mit niedriger Latenzzeit.

Sicherheit erhöhen

• DNSSEC aktivieren
  Damit wird sichergestellt, dass DNS-Antworten nicht manipuliert wurden.
  In unserer Unbound-Konfiguration ist harden-dnssec-stripped: yes bereits enthalten.

• Logging prüfen
  Standardmäßig schreibt Unbound Logs ins Systemjournal.
  Für Performance kann man die Verbosität reduzieren (verbosity: 0).
  Mehr Details bei Problemen: verbosity: 2.

• Updates automatisieren
  Halte dein System aktuell:

  apt update && apt upgrade -y
  

  Optional lässt sich ein Cronjob einrichten, damit Updates regelmäßig im Hintergrund laufen.

• SSH absichern

  • Wenn du Root-SSH freigeschaltet hast: unbedingt starke Passwörter oder SSH-Keys verwenden.
  • Besser: Root per SSH deaktiviert lassen und nur mit deinem adminuser + sudo arbeiten.
  • Zugriffe auf Port 22 im Router blockieren, falls SSH nicht von außen benötigt wird.

Tip

Performance und Sicherheit sind keine Gegensätze: Ein schlankes, gut gepflegtes Setup läuft nicht nur schneller, sondern ist auch weniger anfällig für Angriffe oder Störungen.

Monitoring & Auswertung

Pi-hole ist nicht nur ein Werbeblocker – es ist auch ein mächtiges Analyse-Tool für dein Netzwerk.
Gerade für Content Creator und Power-User ist es spannend zu sehen, wie sich Anfragen verteilen, welche Geräte am aktivsten sind und wo eventuell Optimierungsbedarf besteht.

Dashboard verstehen

• Total Queries → Gesamtanzahl aller DNS-Anfragen im Netzwerk.
• Queries Blocked → Anzahl der blockierten Anfragen (Werbung, Tracker).
• Percent Blocked → prozentualer Anteil geblockter Anfragen.
• Domains on Blocklist → wie viele Einträge aktuell von deinen Listen verarbeitet werden.

👉 Screenshot geeignet: Pi-hole Dashboard mit Beispielstatistiken.

Query Log

Im Query Log siehst du jede Anfrage im Detail:

• Zeitstempel
• Client (Gerätename dank Conditional Forwarding)
• Domain
• Status (blocked / forwarded)

So erkennst du schnell, welche Geräte welche Anfragen stellen.

Long-Term Data

Unter Long-term data → Query Types oder Top Lists kannst du dir Trends über Tage und Wochen ansehen:

• Welche Geräte stellen die meisten Anfragen?
• Welche Domains werden am häufigsten blockiert?
• Gibt es Spitzenlasten zu bestimmten Uhrzeiten (z. B. während eines Streams)?

👉 Screenshot geeignet: Long-Term-Statistiken mit Top Clients / Top Domains.

Alerts & Zusatztools

• Über Grafana + InfluxDB lässt sich Pi-hole in ein umfangreiches Monitoring einbinden.
• Alerts können dich informieren, wenn ungewöhnlich viele Anfragen blockiert werden (z. B. Hinweis auf Malware).

Tip

Auch ohne Zusatztools liefert Pi-hole schon sehr aussagekräftige Statistiken.
Für Creator kann es spannend sein, während eines Streams im Dashboard zu sehen, wie viel Tracking im Hintergrund geblockt wird.

Ergebnis

Mit dem Premium-Teil von Kapitel 2 haben wir Pi-hole und Unbound nicht neu erfunden, aber deutlich komfortabler und professioneller gemacht.
Während der Free-Teil vor allem die Grundfunktion – Werbeblockierung und privater DNS-Resolver – abgedeckt hat, stand hier die Feinabstimmung im Vordergrund.

Was wir erreicht haben

• Conditional Forwarding
  Statt nur nackter IP-Adressen sehen wir nun die echten Gerätenamen im Dashboard.
  Das macht die Auswertung wesentlich übersichtlicher, besonders wenn mehrere PCs, Smartphones, Konsolen oder Streaming-Geräte im Netzwerk laufen.

• Erweiterte Blocklisten
  Wir haben gezeigt, wie man nicht einfach wahllos „alles aktiviert“, sondern mit Strategie arbeitet: eine solide Basisliste, ergänzt durch gezielte Speziallisten (z. B. Smart-TV oder Mobile-Tracking).
  Damit filterst du mehr Werbung und Tracking, ohne dass wichtige Dienste unbrauchbar werden.

• Regex & Whitelisting
  Ein Profi-Werkzeug, um gezielt einzelne Domains oder Subdomains freizugeben oder zu blockieren.
  Das verhindert, dass ganze Dienste wie WhatsApp oder Facebook „auseinanderfallen“, nur weil eine Blockliste zu streng ist.

• Performance & Sicherheit
  Mit Prefetch und Cache-Einstellungen läuft Unbound flotter.
  DNSSEC sorgt dafür, dass Antworten nicht manipuliert wurden.
  Updates und SSH-Absicherung runden das System ab und machen es fit für den dauerhaften Einsatz.

• Monitoring & Auswertung
  Im Dashboard und über Long-Term-Statistiken kannst du detailliert nachvollziehen, wie dein Netzwerk arbeitet:
  Welche Geräte sind besonders aktiv? Welche Domains werden am meisten blockiert?
  Für Creator ist das besonders spannend, weil man live sehen kann, wie viel Tracking im Hintergrund geblockt wird.

Schwerpunkt Komfort

Dieser Premium-Block war bewusst eher auf Komfort und Übersichtlichkeit ausgelegt.
Wir haben keine komplett neuen Funktionen hinzugefügt, sondern die bestehende Lösung besser nutzbar gemacht.
Das ist vor allem dann wertvoll, wenn mehrere Personen das Netzwerk nutzen oder wenn du als Creator schnell einen Überblick brauchst, ohne jedes Mal ins Detail zu gehen.

Ausblick

In Zukunft wird der Premium-Teil jedoch weiter ausgebaut.
Dann geht es nicht mehr nur um Komfort, sondern um echte Zusatzfunktionen und Integrationen, die weit über das hinausgehen, was wir hier gezeigt haben.
Ein Beispiel: erweiterte Netzwerkeinstellungen, die sich nahtlos mit dem Nginx Proxy Manager verbinden lassen – damit DNS und Reverse Proxy optimal zusammenarbeiten.

Note

Premium heißt hier: mehr Komfort, bessere Übersicht, gezieltere Steuerung.
Doch das ist nur der Anfang – weitere Premium-Inhalte werden sich stärker auf zusätzliche Funktionalität konzentrieren.