Pi Hole vs Adguard

[Autokiller677]

Wusste nicht, dass es eine kostenlose Adguard Version gibt...

Es ist ja nicht einfach eine kostenlose Version von dem, was es bisher gab (Smartphone App zum Blocken), sondern ein völlig anderes Produkt für andere Geräte und mit anderen Funktionen.

Welche Vorteile hätte ich bei einem Wechsel von Pihole zu AdGuard?

Steht doch hier im Thread - vor allem DoH / DoT ohne Basteln.

gibt es denn sonst noch alternativen?

Ich kenne keine fertigen. Eine DNS-Blocklist kann man sich auch mit überschauberem Aufwand selber basteln wenn man etwas Ahnung von Linux hat, dann hat man aber keine schickes Interface zur Verwaltung usw.

 

[bla_oO]

Wusste nicht, dass es eine kostenlose Adguard Version gibt...

AdGuard Home ist ja keine App auf einem Smartphone, sondern ein AdBlocker auf DNS Ebene, den man auf einem RaspberryPI, Server oder dergleichen im heimischen Netzwerk installiert. Jegliches Gerät, welches sich dann im Netzwerk befindet und als DNS Server die IP Adresse des Pi's oder Servers konfiguriert hat, braucht keine extra Apps mehr für das blocken von Werbung. Im Router kann aber ebenfalls die IP-Adresse hinterlegt werden, dann fällt die Konfiguration von einzelnen Clients weg.

Hatte letztes Jahr mal AdGuard Home getestet. Die Einrichtung, geblockte Domains Whitelisten und noch ein paar andere Sachen gefielen mir sehr gut. Auch, dass DoH out of the box liefen ohne großartige Konfiguration.
Jedoch war mir die Performance mit meinen Listen dann doch etwas zu schlecht. Hat sich dann öfter aufgehangen und ich musste den Pi dann neustarten neustarten. Ich habe in etwa 2,5Mio Domains auf meiner Blocklist.
Bin dann wieder auf den Pi-Hole zurück.

Und seit den neueren Updates funktioniert jetzt auch das Whitelisten mit Pi-Hole sehr kontinuierlich und mega schnell.
Ich habe über Unbound ein paar DoT Server konfiguriert - leider muss man da am Ball bleiben und alle Nase lang mal einen DNS Leaktest laufen lassen. Zwei, drei Server wurden in der Zeit bereits abgeschaltet und diese musste ich dann erstmal wieder neu konfigurieren. Wenn man das dann mal länger nicht mehr gemacht hat, muss man erst mal wieder im Internet recherchieren wie man in die Konf kommt usw.

 

[JoeDante]

Ja, Adguard blockt seit kurzem auch Werbung in der YT-App.
Habe ich aber noch nie benutzt, da ich eh YT Vanced benutze.

Oops, Sorry, da habe ich die beiden Adguard Verionen verwechselt. Mein Fehler.

 

[Der Kabelbinder]

@bla_oO
Danke für dein Feedback!
2,5 Mio ist natürlich eine Hausnummer. Könnte das System vielleicht schon an seine Grenzen bringen. Für meinen Teil nutze ich gerade mal 600k, damit die Nutzer im Netzwerk noch einigermaßen unbeschwert surfen können.

Was die Wartung betrifft, denke ich, ist Adguard insgesamt etwas zeitschonender. Die Server immer mal wieder auf Antwort zu prüfen, bleibt aber auch dort nicht aus, oder? Wäre ja praktisch, wenn das System bei Unerreichbarkeit einfach eine Mail an den Admin schicken könnte.

Werde Adguard bei nächster Gelegenheit einfach mal in einer Nacht-und-Nebel-Aktion auf meinen RPi 4 spielen und selbst ein wenig rumprobieren.

 

[bla_oO]

Klar, gerne @Der Kabelbinder .
Ich bin bei mir im Netzwerk u.a. mit der 'Mahakala' oder auch der 'Energized Unified' Liste unterwegs und gehe lieber den Ansatz "erstmal alles blocken" und dann nach und nach freigeben.

Puh gute Frage, die kann ich dir auch nicht beantworten.
Bei einem DNS-Server würde man es ja sofort merken, aber wenn mehrere konfiguriert sind, dann muss man denke ich aber auch immer mal wieder auf Antwort prüfen.

Hm, evtl. hat sich seit meinem Test ja auch etwas getan und ich schau mir AdGuard Home mal wieder an. Ein Backup vom Pi ist gleich gemacht bzw. einfach ne andere SD genommen und darauf dann die Services und Dienste installiert.
Bei mir laufen halt leider noch ein paar weitere Sachen wie DHCP über Pi-hole, WireGuard und der UniFi Controller auf dem Pi, aber selbst die wären durch Backups gleich wiederhergestellt.
Evtl. auch mal auf den Pi 4 upgraden, ich habe noch einen Pi 3 Model B+ im Einsatz.

 

[Autokiller677]

Die Server immer mal wieder auf Antwort zu prüfen, bleibt aber auch dort nicht aus, oder? Wäre ja praktisch, wenn das System bei Unerreichbarkeit einfach eine Mail an den Admin schicken könnte.

Wenn es dir nur um den Server insgesamt geht, kannst du den einfach per Cron-Job regelmäßig https://healthchecks.io/ pingen lassen und bekommst eine Benachrichtigung, wenn der Ping ausbleibt.

Du könntest auch ein kleines Script schreiben, dass die DNS Auflösung regelmäßig testet und am Ende einen Ping an healthchecks sendet - mit success oder fail. Dann bekommst du auch mit, ob Adguard Probleme macht, selbst wenn der Server noch läuft.

Bin ein großer Fan von dem Dienst. Bei mir pingt jedes automatisierte Script am Ende da hin, Backup, Cron-Job für die Nextcloud usw., so dass ich schnell mitbekomme, wenn irgendwas nicht läuft.

 

[Spiczek]

@KCX , @DeusoftheWired gibt es eine Vergleichsliste wie von @KCX verlinkt auch noch mit eblocker?

So ein direkter Vergleich wäre sehr hilfreich. Bin mit meinem Projekt auch noch nicht so ganz im Reinen. 😅

Grüße

 

[DeusoftheWired]

gibt es eine Vergleichsliste wie von @KCX verlinkt auch noch mit eblocker?

Da muß ich passen. Sagt mir leider gar nix. Noch nie vorher gelesen. :|

Im Netz findet man jetzt nicht sonderlich viel darüber. Hier mal ein kleiner Thread bei heise.

Du kannst es aber testweise installieren und die 13 Punkte aus der Tabelle für eblocker durchgehen.

 

[Der Kabelbinder]

Hallo zusammen,

habe letzte Nacht Adguard Home auf meinen Pi 4 aufgespielt. Die Installation per apt install war super einfach. Einrichtung per Webinterface ebenfalls sehr übersichtlich und weitestgehend selbsterklärend.

Ein paar Dinge, die mir direkt positiv auffallen:

• Anstatt hierarchischer primärer/sekundärer DNS kann man bei Adguard eine ganze Liste eintragen, die randomisiert aber nach Geschwindigkeit gewichtet abgefragt wird. Dadurch hat man eine Lastverteilung und geringere Ausfallwahrscheinlichkeit.
• Kommt direkt mir DoT / DoH.
• Bisher gute Performance, trotz rund 800.000 Einträgen in der Blocklist.

Viel mehr gibt es für den Moment eigentlich auch gar nicht zu sagen. Läuft einfach.

Ich hoffe, dass der positive Eindruck im Langzeittest bestehen bleibt.

 

[Siri]

Ich verfolge deinen Langzeittest gespannt mit

 

[h00bi]

Danke für das Feedback, ich werde ich dann wohl demnächst auch nochmal dran setzen.
Ich hoffe mein Zero Pi packt das, ich habe aber glaube ich auch noch einen Pi3B+ oder so rumliegen.

 

[andy_m4]

Also ich verwende weder AdGuard noch PiHole.
Ich hab für den DNS-Blocking-Kram einen unbound-DNS-Server am laufen. Der macht dann auch gleich noch DNSSec und DNS-over-TLS mit. Als Blockliste nehm' ich die "ultimate"-List von https://block.energized.pro/

Ich hoffe mein Zero Pi packt das

Das hängt im wesentlichen von der Größe der Blockliste ab. Der Raspberry Pi Zero hat ja nur 512MB RAM.
Wenn ich auf den Speicherbedarf meines unbound gucke, dann liegt der schon bei ca. 330MB RAM (bei ca. 1 Mio Einträge in der Blocklist). Dazu kommt ja noch das System.

Dann macht ja AdGuard noch ein wenig mehr. Da ist noch DHCP und ein Web-Interface mit bei. Der Ressourcen-Bedarf dürfte also ein wenig höher sein.
Die (eher schwache) CPU dürfte auch gut zu tun haben, aber sollte noch knapp gehen.

Mit nem 3er Pi und 1GB RAM (den Du ja zu haben scheinst) sehe ich dann aber keine Probleme mehr.

 

[KCX]

Also ich verwende weder AdGuard noch PiHole.
Ich hab für den DNS-Blocking-Kram einen unbound-DNS-Server

🤔🤔?
Kenne wohl PiHole + Unbound.. Kann man nur mit einem Unbound eigene Black- und White-List etc. führen? btw. finde ich persönlich ist Unbound nahe am Aluhut dran - lasse mich aber gern von was anderem überzeugen. So tief bin ich da auch wieder nicht drin.

 

[andy_m4]

Kann man nur mit einem Unbound eigene Black- und White-List etc. führen?

Ja klar. Das ist ja ein (normaler) DNS-Server.
PiHole verwendet als DNSServer einen dnsmasq. Das ist ein DHCP und DNS-Server in einem. dnsmasq kann man natürlich auch filtern. Meist kombiniert man PiHole mit unbound, weil man Sachen haben möchte, die dnsmasq nicht kann (wie z.B. DNS-over-TLS). Wenn man den dnsmasq- bzw. DHCP-Teil nicht braucht, kann kann man natürlich rein auf unbound setzen.

finde ich persönlich ist Unbound nahe am Aluhut dran

Das hat nicht unbedingt was mit Aluhut zu tun, sondern eher mit: Ich lasse nur das laufen, was ich auch brauche.
Außerdem ist unbound jetzt auch kein spezielles Tool oder so. Ist halt ein normaler DNS-Server. Bei manchen Systemen ist es sogar der Default-DNS-Server (z.B: bei FreeBSD).

Was Pi-Hole jetzt attraktiv macht ist aber auch gar nicht unbedingt die eingesetzte Software, sondern das es eine fertige Appliance ist und ein schönes WebGUI hat mit dem sich alles "einfach" konfigurieren lässt. Benötigt man solchen Schnickschnack nicht, spricht aber nix dagegen die verwenden Tools als Solche einzusetzen.

lasse mich aber gern von was anderem überzeugen.

Das ist halt auch ne Frage von dem, was man möchte. Ich fahre bei Software eher so den Ansatz "So wenig wie möglich, so viel wie nötig". Und dann ist Pi-Hole eher bloatet.

So tief bin ich da auch wieder nicht drin.

Meine unbound-Konfig finde ich jetzt recht überschaubar. Aber ja. Wenn man das macht, dann muss man sich zumindest auf die Ebene von Konfigurationsdateien herablassen.
Wobei sich das meiste auf Anpassungen der mitgelieferten Beispielkonfiguration beschränkt.

 

[SavageSkull]

Was Pi-Hole jetzt attraktiv macht ist aber auch gar nicht unbedingt die eingesetzte Software, sondern das es eine fertige Appliance ist und ein schönes WebGUI hat mit dem sich alles "einfach" konfigurieren lässt.

Für mich ist Pi Hole deswegen ganz gut, weil ich hier

Ja klar. Das ist ja ein (normaler) DNS-Server.
PiHole verwendet als DNSServer einen dnsmasq. Das ist ein DHCP und DNS-Server in einem. dnsmasq kann man natürlich auch filtern. Meist kombiniert man PiHole mit unbound, weil man Sachen haben möchte, die dnsmasq nicht kann (wie z.B. DNS-over-TLS). Wenn man den dnsmasq- bzw. DHCP-Teil nicht braucht, kann kann man natürlich rein auf unbound setzen.

Nur Bahnhof verstehe.

 

[andy_m4]

Für mich ist Pi Hole deswegen ganz gut

Das ist auch völlig in Ordnung. Ich wollte das auch gar nicht als Gegenrede verstanden wissen.
Man muss halt gucken was man möchte/braucht und es ist mit Sicherheit so, das Lösungen wie Pi-Hole DNS-Blocking einem Nutzerkreis zugänglich macht, der das sonst nicht so ohne Weiteres könnte.
Es gibt also sehr wohl Gründe Pi-Hole einzusetzen.
Nichtsdestotrotz gehört aber zu einer differenzierten Betrachtung halt auch andere Aspekte. Was mir halt bei solchen und ähnlichen Lösungen (nicht nur im Bereich DNS) auffällt ist eben, das die oftmals vermeintlich einfach sind, weil sie mit einer gewissen (zusätzlichen) Komplexität daher kommen.
Das funktionieren wunderbar wenn man sie so einsetzt wie gedacht und es keine Probleme gibt. Die Schwierigkeiten fangen erst dann an, wenn das eben nicht so ist. Gerade die Fehlersuche kann sehr aufwendig sein. Dann ist eine minimalere Installation mit aufgeräumten Konfigurationsdateien usw. einfach leichter handzuhaben.

Aber wie gesagt. Das ist weniger eine Frage von besser oder schlechter, sondern von dem was im jeweiligen Szenario sinnvoll ist. Ich fand es nur wichtig auch solche Aspekte zur Sprache zu bringen um zu zeigen, das es auch andere Lösungen gibt als die üblichen Verdächtigen und die dann evtl. auch in Frage kommen könnten.

Ich stand nämlich auch mal vor dem Problem das ich DNS-basiertes Blocking haben wollte. Und klar. Pi-Hole als quasi Platzhirsch in dem Bereich (man liest halt überall darüber) ist da die naheliegenste Lösung.
Die hab ich mir angeguckt aber auch geguckt, was kann man denn sonst noch so machen und hab mich dann halt dagegen entscheiden. Aber das ist halt meine Entscheidung. Das bedeutet nicht, das es die einzig richtige Entscheidung ist und das es nicht andere Möglichkeiten gibt die genauso gut (oder gar besser) funktionieren.

 

[Raijin]

Sagen wir es mal so: pihole ist weitestgehend nur ein Web-Frontend, eine grafische Bedienoberfläche für die Verwaltung von Blocklisten und Statistiken zu DNS-Queries, das zB als Docker-Container oder komplettes Linux-Image, aber auch zur manuellen Installation daherkommt. Letztendlich erfindet pihole das Rad nicht neu, sondern verpackt es nur in eine für Otto Normal bedienbare Form.

Gerade in der Linux-Welt gibt es aber nun mal nicht nur "den einen Weg", weil Linux an allen Ecken und Enden angepasst werden kann - eben auch beim benutzten DNS-Server bzw. -Forwarder.

 

[Der Kabelbinder]

Hallo zusammen,

ich habe mein AdGuard Home nun ja schon eine ganze Weile in Betrieb und muss sagen, dass ich den Umstieg hinsichtlich Bedienung und Performance bisher nicht bereue. Ich habe den Dienst nun in der DHCP-Konfiguration des Routers hinterlegt, sodass alle Geräte im Haushalt über AdGuard laufen und im Webinterface auch die Hostnames entsprechend differenziert werden können. Das ist im Grunde nichts Neues, wenn man vom Pi Hole kommt. Praktisch finde ich allerdings, dass man gleich ein paar Dienste wie eBay, Amazon, Reddit, TikTok etc. zur Vorauswahl hat. Ansonsten läuft das Blocking wie gehabt über Filterlisten, bei denen ich aktuell auf AdGuard, AdAway, Dan Pollock, Steven Black, WaLLy3K und Blocklistproject zurückgreife. In Summe sind das grob 800.000 Einträge, die mein RPi 4 bisher offenbar gut handeln konnte. Als angesprochene DNS nutze ich derzeit ausschließlich freie Server mit DoT, zwischenen denen AdGuard die automatische Lastverteilung randomisiert. Das funktioniert soweit gut und ist mit mehr als zwei Referenzen (lediglich primäre und sekundäre bei Pi Hole) auch deutlich flexibler. Die Performance beim Aufbau von Seiten ist meinem Eindruck nach (ohne jetzt konkrete Zahlen nennen zu können) ebenfalls im grünen Bereich. Nicht schlechter als bei Pi Hole. Wenn, dann eher besser.

Insgesamt finde ich, bietet Adguard Home schon ein nettes Rundumpaket, dass sehr übersichtlich gestaltet und einfach zu bedienen ist. Ich werde (Stand heute) dabei bleiben und nicht auf mein altes Pi Hole Image zurückgreifen.

Am Rande gefragt:
Weiß zufällig jemand, ob AdGuard vor der Anwendung der Filter auch Dopplungen ausmacht und diese streicht, um unnötige Prozesse einzusparen?

VG und schönen Abend
Kabelbinder

 

[ZuseZ3]

Klingt nett, vielleicht wechsel ich dann auch mal die Tage.
Hatte schon öfter überlegt unbound für die dns extras zu installieren, aber bin wegen dem Installations & Wartungsaufwand bisher zurückgeschreckt. Das ganze von Haus aus dabei zu haben ist natürlich nett.

 

[andy_m4]

freie Server mit DoT

Welche nimmst Du denn da?
Ich hab z.B. die von digitalcourage.de oder digitale-gesellschaft.ch.

Die Performance beim Aufbau von Seiten ist meinem Eindruck nach (ohne jetzt konkrete Zahlen nennen zu können) ebenfalls im grünen Bereich.

Naja. Ein Raspberry Pi 4 sollte da nicht mal ansatzweise in Probleme laufen.
Was Performance kostet sind meist so Sachen wie DNS-over-TLS, weil er dann halt eine verschlüsselte Verbindung initiieren muss (der Verbindungsaufbau kostet halt ein bisschen). Aber merken tut man vor allem, wenn man dann noch DNSSEC macht. Spricht die Antworten noch validiert. Wobei das auch nur beim ersten Lookup relevant ist. Danach liegen die Antworten ja im Cache.

Weiß zufällig jemand, ob AdGuard vor der Anwendung der Filter auch Dopplungen ausmacht und diese streicht, um unnötige Prozesse einzusparen?

Gute Frage. Ich mache das via Skript. Wobei es bei der Konsolidierung ja nicht nur um Dubletten geht, sondern auch um Sub-Domains von Domains die man bereits in der Sperrliste hat.
Außerdem will man spezielle Namen wie localhost auch nicht drin haben.
Was man eigentlich auch machen möchte ist eine Validierung ob in der Liste überhaupt korrekte Domainnamen drin sind. Man will etwaige Kommentare rauswerfen.
Man will eine "Whitelist" definieren können mit Domains die garantiert nicht in der endgültigen Blockdefinition landen selbst wenn sie in den externen Listen auftauchen.