Pi Hole vs Adguard

[Der Kabelbinder]

Welche nimmst Du denn da?

Die beiden genannten zuzüglich DNS Forge, Dismail und Freifunk München.

Was Performance kostet sind meist so Sachen wie DNS-over-TLS, weil er dann halt eine verschlüsselte Verbindung initiieren muss

Richtig. Das hat sich bei mir bisher allerdings nicht wirklich bemerkbar gemacht. Das System ist im Vergleich zu Pi Hole jedenfalls nicht langsamer geworden.

Gute Frage. Ich mache das via Skript.

Habe dazu bisher auch nichts Konkretes finden können. Werde es mal als Feature anfragen.

 

[ZuseZ3]

Mal im Nebel stochernd, wie siehts eigentlich aus, wenn man Wireguard noch nebenbei laufen lässt?

Ich hatte damals erst das PiHole installiert und dann per PiVPN noch WG.
PiVPN unterstützt PiHole und hat das ganze gleich passend konfiguriert, iirc damit ich auch von unterwegs den Werbeblocker habe. (Latenz ist nicht sonderlich wichtig, bin eh fast nur mit gedrosseltem Netz am surfen).

Muss man was beachten, wenn man nun wg+adguard home gleichzeitig laufen lässt?

 

[bla_oO]

@bla_oO

Werde Adguard bei nächster Gelegenheit einfach mal in einer Nacht-und-Nebel-Aktion auf meinen RPi 4 spielen und selbst ein wenig rumprobieren.

Am gestrigen Feiertag war mir etwas langweilig (außerdem war die Freundin nicht da) und ich habe mal spaßeshalber auf einer zweiten SD-Karte Adguard Home installiert.
Die Einrichtung ist wirklich sehr sehr schnell und einfach, auch wenn das Hinzufügen der Blocklisten und statischen IP Adressen etwas Zeit dauert, aber die DNS Server Konfiguration mittels DoH Servern ist schnell gemacht.
Aber ich weiß jetzt wieder warum ich den Schritt zurück zu Pi-hole gemacht habe - das Whitelisten von bestimmten Domains, die geblockt werden und die Zeit, bis das auf einem Client greift dauert bei mir einige Minuten. Manchmal muss es einfach schneller gehen, vor allem, wenn bei der Freundin was geblockt wird.
Und da ist bei mir Pi-hole einfach so viel schneller, das greift quasi instant nachdem man etwas auf die Whitelist gepackt und am Client die Seite neu geladen hat.
Ist das bei euch auch so mit dem Whitelisten von Domains mit Adguard Home?

Bzgl. meinen Blocklisten (rund 2,5 Mio Domains) konnte ich jetzt keine Performanceschwächen feststellen, evtl. hat hier Adguard nochmal nachgebessert - letztes Jahr hatte ich einige Performanceprobleme und da waren es noch weniger Domains wie jetzt.

Die beiden genannten zuzüglich DNS Forge, Dismail und Freifunk München.

Ich nutze die DNS Server von Freifunk München, Digitale Gesellschaft und Digitalcourage.
DNS Forge und Dismail war bei mir auch mal vertreten, aber da wurde dann immer mal was geblockt, was ich nicht geblockt haben wollte und darauf hat man dann leider keinen Einfluss bei den beiden, deshalb sind die bei mir wieder aus meiner Konfig verschwunden.

 

[DeusoftheWired]

Aber ich weiß jetzt wieder warum ich den Schritt zurück zu Pi-hole gemacht habe - das Whitelisten von bestimmten Domains, die geblockt werden und die Zeit, bis das auf einem Client greift dauert bei mir einige Minuten.

Hab AdGuard zwar (noch?) nicht selbst im Einsatz, kenne nur den c’t-Artikel dazu, aber: Hast du’s nach dem Hinzufügen zur Whitelist mal mit Stoppen und Neustarten des AdGuard-Dienstes probiert? Soweit ich weiß werden Listen etc. beim Start eingelesen.

 

[bla_oO]

Nein, das habe ich in der Tat nicht gemacht.
Danke für den Tipp @DeusoftheWired , das werde ich mal testen. Das sollte so ja dann doch um einiges schneller gehen dann eigentlich?

Wie ist das bei dir @Der Kabelbinder mit dem Whitelisten von Domains?

 

[Der Kabelbinder]

Werde ich bei Gelegenheit mal genauer unter die Lupe nehmen. Beim Tizen TV hat es zum Teil sehr lange gedauert, was das Debuggen der Blacklist wirklich zur Tortur gemacht hat. Kann in dem Fall allerdings nicht genau sagen, ob das am Cache des TV oder an AdGuard lag.

Ergänzung:
Ich habe mal probeweise ein paar Domains für meinen PC geblockt. Adresse eintragen, anwenden, Flush DNS in der IP Config, dann seite aufgerufen. Der Filter wird definitiv in unter 10 Sekunden angewendet. Verzögerung verursacht da wohl eher der Cache des Endgerätes. Für den Fall einfach warten oder die Verbindung neu aufbauen.

 

[elknipso]

Ich schaue mir aktuell ebenfalls mal Adguard Home an, hatte vorher Pi-Hole im Einsatz.

Zwei Verständnisfragen hätte ich, und zwar verwendet Adguard Home per Default zum DNS auflösen https://dns10.quad9.net/dns-query.

1. Welchen DNS Dienst hat denn Pi Hole per default verwendet, kann mich nicht erinnern eine entsprechende Option dort in den Einstellungen gesehen zu haben und ging davon aus, dass die standardmäßig von meinem ISP (Telekom) übermittelten DSN Server im Router verwendet werden. Ist diese Annahme korrekt?

2. Ist der standardmäßig in Adguard eingetragene DNS Dienst sinnvoll/vertrauenswürdig oder sollte man hier auf eine Alternative gehen?

 

[Raijin]

Welchen DNS Dienst hat denn Pi Hole per default verwendet

Bei der Installation kann man den Upstream-DNS aus einer Liste wählen oder einen benutzerdefinierten DNS eingeben. Die Liste umfasst google, OpenDNS, quad9, cloudflare und noch ein paar andere. Ich glaube google ist vorgewählt.

ging davon aus, dass die standardmäßig von meinem ISP (Telekom) übermittelten DSN Server im Router verwendet werden. Ist diese Annahme korrekt?

Nein, ist sie nicht. Wie sollte pihole denn wissen welchen DNS der Provider vorgibt? Das ist eine Information, die vom Provider ganz ähnlich wie im Heimnetzwerk mit der WAN-IP als Einstellung zum Router kommt, quasi providerinternes DHCP für die Kundenrouter. Endgeräte - und pihole ist im Heimnetzwerk ja nichts anderes - haben keinen blassen Schimmer welcher DNS dem Router vom Provider zugewiesen wurde.

Möchte man tatsächlich in pihole einen DNS vom Provider verwenden, was ja durchaus legitim ist, muss man diesen zwingend von Hand als Upstream-DNS eintragen.

 

[elknipso]

Nein, ist sie nicht. Wie sollte pihole denn wissen welchen DNS der Provider vorgibt?

Stimmt, valides Argument, das kann ja weder Pi-Hole noch Adguard an der Stelle mitbekommen.

Habe jetzt mal als DNS Server Cloudflare und als Fallback den Google Public DNS eingetragen, denke das ist eine runde Wahl. Bin für Anregungen aber natürlich offen:



Was mir etwas seltsam vorkommt, ist der Durchschnittswert für die DNS Anfragen den Adguard Home hier ausgibt:



Der Wert kommt mir mit 50 ms doch extrem hoch vor, zumal einfache DNS Auflösungen die ich testweise über ping www.webseite.de ausgeführt habe immer Werte unter 10 ms ausgaben.

 

[andy_m4]

Ich glaube google ist vorgewählt.

Finde ich ja irgendwie witzig.
Der Werbefilter nimmt den Werbekonzern Nr.1 als Upstream-DNS. :-)

Habe jetzt mal als DNS Server Cloudflare und als Fallback den Google Public DNS eingetragen, denke das ist eine runde Wahl.

Sind halt beides eine eher suboptimale Wahl wenn es um Privatsphäre geht. Dann kannste auch den vom Provider nehmen. Der weiß eh zu einem Großteil, zu welchen Seiten Du gehst.

Bin für Anregungen aber natürlich offen

Wenn etwas mehr Privatsphäre eine Anforderung ist, dann wäre digitalcourage.de oder digitale-gesellschaft.ch einen Blick wert.
Da weiß man im Zweifel zwar auch nicht ob da was weg kommt,

aber das ist zumindest schon mal keine Datensammelei mit Ansage so wie bei Google und Co.

Der Wert kommt mir mit 50 ms doch extrem hoch vor

Lässt sich pauschal nicht beantworten. Wenn Du z.B. noch DNSSEC machst (oder so) kostet das entsprechend Zeit.

 

[elknipso]

Mir gehts in erster Linie um eine im Idealfall 100% werbefreie Internetnutzung und das möglichst an allen Clients, auch an Geräten bei denen der Einsatz eines lokalen Werbefilters nicht so einfach möglich ist. Den Werbeterror mache ich nicht mehr mit.

Eine erhöhte Sicherheit und verbesserte Privatsphäre nehme ich in dem Zusammenhang gerne mit, sind aber nicht primäre Intention für den Einsatz einer Software wie Adguard Home oder zuvor Pi-Hole.

Verschlüsselte DNS Anfragen müssen jetzt nicht unbedingt sein, erst recht nicht wenn diese den Verbindungsaufbau spürbar verlangsamen.

 

[andy_m4]

Verschlüsselte DNS Anfragen müssen jetzt nicht unbedingt sein, erst recht nicht wenn diese den Verbindungsaufbau spürbar verlangsamen.

DNSSEC hat nicht primär etwas mit Verschlüsselung zu tun. Es stellt nur sicher, das Du unverfälschte Antworten vom Upstream-DNS-Server bekommst.

 

[Der Kabelbinder]

@elknipso
Cloudflare + Google wären eigentlich klassische Beispiele, die ich bei der Konfiguration tunlichst vermeide.

Wenn du die Krake umgehen möchtest, dann nimm besser Digitalcource oder Digitale Gesellschaft. Ich nehme dazu wie gesagt auch noch Dismail, DNS Forge und Freifunk München. Meines Wissens alles non-Profit Dienste, die (außer im technisch nötigen Umfang) auch nicht loggen sollen.
Wie üblich gilt bei solchen Diensten immer das Vertrauensprinzip.

 

[Raijin]

Mir gehts in erster Linie um eine im Idealfall 100% werbefreie

Das können weder pihole, adguard noch irgendein anderer DNS-basierter Werbeblocker leisten, nicht mal ansatzweise. Die Betreiber von Internetseiten sind ja auch nicht blöd und liefern mittlerweile die Werbung über dieselbe Domain aus wie den eigentlichen Content. Das heißt, dass pihole und Co nur entweder beides oder keins davon blocken können. Ein Beispiel wäre spiegel.de. Blockt man dort via DNS eie Werbung, blockt man auch die Inhalte.

DNS-Blocker sind daher kein Allheilmittel, sondern nur ein Pfeil im Köcher im Kampf gegen Werbung. Mit einem Pfeil kommt man aber nicht weit. Deswegen gehen DNS-Blocker stets Hand in Hand mit Browserplugins, die eben auch auf Basis der URL blocken können, also sogesehen nur Teile von derselben Domain.

 

[elknipso]

DNSSEC hat nicht primär etwas mit Verschlüsselung zu tun. Es stellt nur sicher, das Du unverfälschte Antworten vom Upstream-DNS-Server bekommst.

Hat man durch den Einsatz von DNSSEC eine spürbare Verzögerung beim Verbindungsaufbau und der "normalen" Internetnutzung, oder ist dieser Effekt in der Praxis zu vernachlässigen?
Mich macht immer noch der sehr hohe Wert von 50 ms bei "Durchschnittliche Bearbeitungsdauer" in Adguard Home stutzig, auch wenn ich subjektiv keine Verschlechterung beim surfen feststellen kann.

@elknipso
Cloudflare + Google wären eigentlich klassische Beispiele, die ich bei der Konfiguration tunlichst vermeide.

Wenn du die Krake umgehen möchtest, dann nimm besser Digitalcource oder Digitale Gesellschaft. Ich nehme dazu wie gesagt auch noch Dismail, DNS Forge und Freifunk München. Meines Wissens alles non-Profit Dienste, die (außer im technisch nötigen Umfang) auch nicht loggen sollen.
Wie üblich gilt bei solchen Diensten immer das Vertrauensprinzip.

Cloudflare kam ich drauf weil dies die Empfehlung eines Freundes war der normalerweise recht paranoid bei solchen Themen ist. Und die Google DNS Server als Backup kamen nach dem Motto zustande ich nutze eh den Chrome Browser, da bekommt google genügend mit . Aber ich lese mich zu dem Thema auch noch gerade weiter ein, die DNS Dienste von Quad9 klingen ebenfalls interessant. Ist aber auch da halt wieder eine Vertrauensfrage.

Das können weder pihole, adguard noch irgendein anderer DNS-basierter Werbeblocker leisten, nicht mal ansatzweise. Die Betreiber von Internetseiten sind ja auch nicht blöd und liefern mittlerweile die Werbung über dieselbe Domain aus wie den eigentlichen Content. Das heißt, dass pihole und Co nur entweder beides oder keins davon blocken können. Ein Beispiel wäre spiegel.de. Blockt man dort via DNS eie Werbung, blockt man auch die Inhalte.

DNS-Blocker sind daher kein Allheilmittel, sondern nur ein Pfeil im Köcher im Kampf gegen Werbung. Mit einem Pfeil kommt man aber nicht weit. Deswegen gehen DNS-Blocker stets Hand in Hand mit Browserplugins, die eben auch auf Basis der URL blocken können, also sogesehen nur Teile von derselben Domain.

Absolut korrekt. Pi-Hole vorher, bzw. nun Adguard Home dienen auch primär nur als eine Verteidigungslinie gegen Werbung. Am PC, Notebook, Android Smartphone sind noch lokal auf dem Client laufende Werbeblocker aktiv. Am iPad gibt es diese Möglichkeit leider nicht bei Nutzung des Chrome Browser, da und am Fernseher ist dann tatsächlich die DNS basierte Filterung von Werbung die einzige Maßnahme gegen Werbung.

 

[andy_m4]

Hat man durch den Einsatz von DNSSEC eine spürbare Verzögerung beim Verbindungsaufbau und der "normalen" Internetnutzung, oder ist dieser Effekt in der Praxis zu vernachlässigen?

Das merkt man durchaus.

Mich macht immer noch der sehr hohe Wert von 50 ms bei "Durchschnittliche Bearbeitungsdauer" in Adguard Home stutzig, auch wenn ich subjektiv keine Verschlechterung beim surfen feststellen kann.

Na wenn Du nix merkst dann gibts auch kein Problem. :-)

Cloudflare kam ich drauf weil dies die Empfehlung eines Freundes war der normalerweise recht paranoid bei solchen Themen ist.

Offenbar nicht paranoid genug :-)

Und die Google DNS Server als Backup kamen nach dem Motto zustande ich nutze eh den Chrome Browser, da bekommt google genügend mit

Wer bitteschön nutzt denn Google-Chrome? :-)
Wenn ich deren Engine haben will kann ich auch Chromium nehmen oder einer der auf Chromium basierenden Browsern.
Ansonsten hast Du natürlich vollkommen Recht. In der Konstellation macht es wenig Sinn da bei DNS mit Daten zu geizen. :-)

Aber ich lese mich zu dem Thema auch noch gerade weiter ein

Ja. Das ist auch mitunter nicht einfach. Einfach ein Schritt nach dem Anderen.

 

[Der Kabelbinder]

Mich macht immer noch der sehr hohe Wert von 50 ms bei "Durchschnittliche Bearbeitungsdauer" in Adguard Home stutzig, auch wenn ich subjektiv keine Verschlechterung beim surfen feststellen kann.

Ich hatte mit den oben genannten DoT Servern auch eine ganze Weile 50-60 ms. Größere Einschränkungen beim Surfen habe ich allerdings nicht bemerkt. Ich bin mir auch nicht sicher, wie genau die Latenz im Interface berechnet wird. Gegebenenfalls fließen dort auch vorübergehenden Verbindungsschwierigkeiten ein, die den Mittelwert nach oben treiben.
Wenn man die dynamische Priorisierung der eingetragenen Upstream-Server eine Weile laufen lässt, dann sollten die Werte eigentlich auch wieder sinken. Bei mir sind es aktuell 27 ms.

Cloudflare kam ich drauf weil dies die Empfehlung eines Freundes war der normalerweise recht paranoid bei solchen Themen ist.

Auszug aus dem Privacy-Handbuch:

Cloudflare ist nicht daran interessiert, welche Webseiten Lieschen Müller oder Pitschie Hufnagel aufrufen. Sie interessieren sich für eine globale Sicht, welche neuen Ideen gewinnen an Popularität, was ist der neue "heiße Shit" und was ist anderseits auf dem absteigenden Ast. Diese Informationen frühzeitig zu haben ist wertvoll, wie es Google mit seiner Suchmaschine demonstriert. Für Cloudfare besteht die einmalige Chance, als Default DNS-over-HTTPS Server für alle Firefox Nutzer millionenfach diese Daten zu sammeln, wenn sie die Bedenken der Privacy Community ausräumen können.

In einem Beitrag im Kuketz-Forum hieß es einmal "Cloudflare zentralisiert das Vertrauen". Das trifft es eigentlich ganz gut.

Imo ist der Anbieter viel zu mächtig und der Ruf zu umstritten, um ihn als vertrauenswürdigen DNS-Provider durchzugehen zu lassen.

Und die Google DNS Server als Backup kamen nach dem Motto zustande ich nutze eh den Chrome Browser, da bekommt google genügend mit

-> Ungoogled Chromium

 

[Spiczek]

Ich würde mich hier gern einmal anhängen. Ich probiere AdGuard Home derzeit auch mal aus. Filterlisten sind ja recht kompatibel. Was ich allerdings nicht gefunden habe und das nervt mich grad etwas, Adguard hat irgendwie keine Gruppenrichtlinien. Oder bin ich nur wieder zu blind?
Ich wollte für die Geräte, mit denen das Kind auch mal alleine sein darf, eine extra Richtlinie erstellen. Aber so schön wie im PiHole, wo man jedem Gerät Listen freigeben oder blocken kann, finde ich irgendwie nicht.

Kann mir jemand helfen?

Grüße

 

[elknipso]

Mal noch eine Frage zum verwendeten Upstream-DNS Server:

Spricht eigentlich aus technischer und Performancesicht irgendwas dagegen in Adguard Home einfach die IP-Adresse des lokalen Routers einzutragen und damit die DNS-Server des Providers zu nutzen?

 

[andy_m4]

Nö