Was Pi-hole eigentlich macht
Pi-hole ist ein sogenanntes DNS-Sinkhole. Statt Werbung erst im Browser auszublenden, setzt es eine Stufe früher an: bei der Namensauflösung. Jedes Gerät fragt einen DNS-Server, welche IP-Adresse zu einem Domainnamen gehört — etwa zu einer Werbe- oder Tracking-Domain. Pi-hole vergleicht diese Anfragen mit Blocklisten und gibt für bekannte Werbe- und Trackerdomains schlicht keine gültige Adresse zurück. Die Verbindung kommt also gar nicht erst zustande.
Der große Vorteil gegenüber einem Browser-Plugin: Pi-hole wirkt netzwerkweit. Smart-TV, Handy, Konsole, Smart-Home-Geräte — alles, was deinen DNS-Server nutzt, profitiert mit, ohne dass du auf jedem Gerät etwas installierst. Dazu liefert das Dashboard eine schöne Statistik darüber, wie viele Anfragen geblockt wurden und welche Domains am häufigsten auffallen.
Ein DNS-Filter ist allerdings kein Allheilmittel. Werbung, die über dieselbe Domain wie der eigentliche Inhalt ausgeliefert wird (etwa bei manchen großen Videoplattformen), lässt sich so nicht zuverlässig entfernen. Für den Großteil klassischer Banner, Tracker und Telemetrie reicht es aber dicke.
Warum ein vServer als Standort sinnvoll ist
Klassisch läuft Pi-hole auf einem Raspberry Pi im Heimnetz. Das funktioniert, hat aber Grenzen: Der Filter wirkt nur zu Hause, der Pi muss laufen und stromversorgt sein, und von unterwegs hast du nichts davon. Ein vServer als Standort löst das eleganter. Pi-hole läuft dann rund um die Uhr in einem Rechenzentrum, ist von überall erreichbar und du kannst es per VPN auch unterwegs als DNS nutzen.
Wichtig dabei: Ein offen aus dem Internet erreichbarer DNS-Resolver ist ein beliebtes Ziel für Missbrauch (DNS-Amplification-Angriffe). Betreibe Pi-hole deshalb nie ungeschützt offen, sondern erreiche es über ein VPN wie WireGuard oder schränke den Zugriff per Firewall auf deine eigenen IP-Adressen ein. So bleibt der Resolver privat und du vermeidest, dass Fremde ihn mitbenutzen.
Installation per Docker
Der bequemste Weg ist Docker. Auf einem Nytrix-vServer ist die nötige Container-Funktion bereits vorbereitet (Nesting und keyctl sind aktiviert), du kannst also direkt loslegen. Installiere zunächst Docker und Docker Compose, lege dann ein Verzeichnis an und erstelle eine docker-compose.yml:
- Image:
pihole/pihole:latest - Ports:
53:53/tcp,53:53/udpfür DNS und80:80/tcpfür das Web-Interface - Umgebungsvariablen:
TZfür die Zeitzone (z. B.Europe/Berlin) undFTLCONF_webserver_api_passwordfür das Admin-Passwort - Volumes für
/etc/piholeund/etc/dnsmasq.d, damit Konfiguration und Listen einen Neustart überleben
Anschließend startest du den Container mit docker compose up -d. Das Dashboard ist danach unter http://SERVER-IP/admin erreichbar. Ein häufiger Stolperstein: Auf vielen Systemen belegt der Dienst systemd-resolved bereits Port 53. Prüfe das mit sudo ss -tulpn | grep :53 und deaktiviere die lokale Belegung, falls nötig, sonst kann Pi-hole den Port nicht binden.
Installation nativ
Wenn du keinen Docker-Overhead willst, geht es auch direkt auf dem System. Pi-hole bringt einen offiziellen Installer mit, den du mit curl -sSL https://install.pi-hole.net | bash startest. Der Assistent fragt dich durch die wichtigsten Einstellungen: Upstream-DNS-Anbieter, eine erste Blockliste und ob das Web-Interface mitinstalliert werden soll.
Als Basis eignet sich ein frisches Debian 12 oder Ubuntu 24.04 — beides lässt sich bei Nytrix per Neuinstallation direkt aufsetzen. Nach der Installation zeigt dir der Installer das generierte Admin-Passwort an; ändern kannst du es jederzeit per pihole setpassword. Updates spielst du später mit pihole -up ein.
Pi-hole als DNS-Server eintragen
Damit der Filter greift, müssen deine Geräte Pi-hole als DNS-Server benutzen. Dafür gibt es zwei Wege:
- Zentral im Router: Trag die IP deines Pi-hole als DNS-Server in den DHCP-Einstellungen des Routers ein. Dann bekommen alle Geräte im Netz automatisch Pi-hole zugewiesen — der sauberste Weg. Lass Pi-hole hier als einzigen DNS eintragen, kein zweiter Eintrag mit einem öffentlichen Resolver, sonst umgehen Geräte den Filter still.
- Pro Gerät: Trag Pi-hole manuell in den Netzwerkeinstellungen einzelner Geräte ein. Praktisch zum Testen oder wenn du den Router nicht anfassen willst.
Nutzt du den vServer als Standort, kommt in der Regel ein VPN ins Spiel: Du verbindest deine Geräte per WireGuard mit dem Server und trägst dort die interne VPN-Adresse von Pi-hole als DNS ein. Ob alles greift, prüfst du im Dashboard unter Query Log — dort sollten live Anfragen deiner Geräte auftauchen.
Blocklisten richtig einsetzen
Out of the box bringt Pi-hole eine solide Standardliste mit. Mehr Listen bedeuten mehr geblockte Domains — aber auch ein höheres Risiko, dass legitime Seiten fälschlich blockiert werden (False Positives). Weniger ist hier oft mehr.
- Listen verwaltest du im Dashboard unter Lists. Eine neue Liste fügst du per URL hinzu und aktualisierst sie danach mit Update Gravity (oder per
pihole -g). - Blockt eine Liste zu viel, hilft die Whitelist: Trag dort einzelne Domains ein, die trotzdem erlaubt sein sollen.
- Umgekehrt kannst du über die Blacklist gezielt einzelne Domains sperren, die in keiner Liste stehen.
Mein Rat: Starte mit der Standardliste und ein, zwei seriösen Zusatzlisten. Beobachte ein paar Tage, ob etwas fälschlich blockiert wird, und erweitere erst dann. So bleibt der Wartungsaufwand klein und du jagst keinen mysteriösen Ladefehlern hinterher.
Mit Nytrix umsetzen
Für einen dauerhaft laufenden Pi-hole brauchst du Root-Zugriff und einen Server, der nicht schlafen geht — genau das bietet ein vServer bei Nytrix. Alle Tarife bringen vollen Root-Zugriff per SSH, SSD/NVMe-Speicher, 5 TB Traffic im Monat und den Voxility-DDoS-Schutz inklusive mit. Docker ist vorbereitet (Nesting und keyctl aktiviert), und per Neuinstallation setzt du Debian 12 oder Ubuntu 24.04 mit wenigen Klicks auf.
Für den dauerhaften Betrieb mit eigener IPv4 ist der BASIC-4 für 9,99 EUR ein guter Einstieg; nach oben gibt es BASIC-6 (17,00 EUR) und BASIC-8 (25,50 EUR). Wer nur testen will, kann mit dem No-IP-Tarif für 1,99 EUR starten — dann allerdings über die geteilte Subdomain statt einer eigenen IPv4, was den DNS-Betrieb einschränkt; für Pi-hole im Alltag ist ein Tarif mit eigener IP klar die bessere Wahl. CPU und RAM lassen sich per Hot-Plug nachrüsten, falls dein Setup wächst.
Das Ganze läuft Prepaid, ohne Mindestlaufzeit und ohne Vertragsbindung: Guthaben aufladen, vServer buchen, loslegen. Brauchst du später ein Backup-Ziel für deine Pi-hole-Konfiguration, lässt sich das per eigenem Script auf einen FTP Storage sichern. Weitere Anleitungen rund ums Selbsthosten findest du im Blog.