Werbung und Tracker auf jedem Gerät im Heimnetz blockieren, ohne in jedem Browser einen Adblocker zu pflegen – das ist die Idee hinter Pi-hole und AdGuard Home. Beide arbeiten als lokaler DNS-Server, filtern Werbung, Tracker und Phishing-Domains schon auf Netzwerkebene und laufen problemlos auf einem Raspberry Pi oder Mini-PC. Auf dem Papier machen sie das Gleiche – in der Praxis trennen sie sich aber deutlich bei Bedienung, Filterstärke und Verschlüsselung. Dieser Vergleich zeigt, welches Tool 2026 für welchen Anwendungsfall besser passt.
DNS-Filter: Wie der Block überhaupt funktioniert
Jedes Gerät, das eine Webseite öffnet, fragt zuerst beim DNS-Server nach der IP-Adresse. Ein DNS-Filter klemmt sich genau an diese Stelle: Bekannte Werbenetzwerke wie doubleclick.net oder Tracker wie google-analytics.com bekommen statt einer echten IP eine leere Antwort zurück – das Element lädt nie, die Werbeanzeige bleibt schwarz, der Tracker schickt keine Daten. Da das im Router-Netz passiert, profitieren Fernseher, Konsole, Smart-Bulb und Gast-Smartphone gleichzeitig.
Voraussetzung: Der Router muss alle Clients auf den DNS-Filter zeigen, entweder über DHCP oder eine Override-Regel. FritzBox, OpenWrt und die meisten OEM-Router können das. Geräte, die hartcodiert auf Googles 8.8.8.8 zeigen (Chromecast, Echo, viele Smart-TVs), müssen per Firewall-Regel umgebogen werden – sowohl Pi-hole als auch AdGuard Home liefern dafür ein NAT-Redirect-Rezept.
Pi-hole: Der etablierte Klassiker
Pi-hole läuft seit 2014 und ist die bekanntere Lösung. Im Kern bündelt es einen DNS-Resolver (dnsmasq, bei Bedarf mit Unbound als rekursivem Backend), eine PHP-Weboberfläche und ein Skript-Setup, das man mit einem einzigen Befehl auf jedem Debian/Ubuntu/Pi installiert.
Das frische Pi-hole v6 (2025 erschienen) bringt eine komplett neu geschriebene Admin-Oberfläche, eingebauten Webserver statt lighttpd und HTTPS direkt out-of-the-box. Vorher musste man dafür einen Reverse-Proxy davorhängen. Die wichtigsten Stärken:
- Riesige Community – fast jedes Problem ist im Subreddit oder Discourse-Forum schon einmal beantwortet.
- Adlists werden im Wochenrhythmus aktualisiert, beliebte Quellen wie StevenBlack oder OISD lassen sich mit einem Klick hinzufügen.
- Sehr granulares Gruppen-Management – das Kinder-Tablet bekommt eine strengere Liste als der Familien-PC.
- Eingebautes DHCP, falls die FritzBox lange Lease-Times oder lokale DNS-Namen nicht zuverlässig liefert.
Schwächen liegen vor allem im Bereich verschlüsselter DNS-Verbindungen: Für DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) braucht Pi-hole zusätzlich cloudflared oder stubby als Vorschalt-Proxy. Das geht, ist aber nichts, was Anfänger an einem Sonntagnachmittag im Vorbeigehen einrichten.
AdGuard Home: Der moderne Herausforderer
AdGuard Home stammt aus dem Haus von AdGuard und ist seit 2018 verfügbar. Geschrieben in Go, läuft als einzelne Binary – keine PHP-Abhängigkeiten, kein klassischer Webserver. Die Konfiguration steckt in einer einzigen YAML-Datei, was Backups und Migrationen sehr angenehm macht.
Was AdGuard Home aus dem Stand besser kann als Pi-hole:
- Verschlüsselte DNS-Quellen direkt eingebaut: DoH-, DoT- und sogar DoQ-Upstreams lassen sich im Webinterface anklicken, ohne zweite Software.
- Eigener verschlüsselter Server: AdGuard Home kann selbst als DoH/DoT-Server fungieren – praktisch für Smartphones unterwegs, die sich per Profil mit dem heimischen Filter verbinden.
- Aktive Safe-Search-Erzwingung für Google, YouTube, Bing und DuckDuckGo – ohne Tricksen am Browser.
- Parental Control mit fertigen Kategorien (Adult, Gambling, Social Media) als eigene Filter-Sets.
Der Querschüss: Die Adlist-Auswahl ist kleiner, und für sehr spezifische Filter-Regeln (CNAME-Inline-Tracking-Blockaden etwa) ist Pi-hole im Detail flexibler. Außerdem ist die Firma kommerziell – das deutsche AdGuard-Mutterhaus sitzt in Zypern, der Quellcode ist aber komplett auf GitHub und unter GPLv3.
Direktvergleich – Funktion für Funktion
| Kriterium | Pi-hole | AdGuard Home |
|---|---|---|
| Installation | curl -sSL install.pi-hole.net | bash | 1-Binary (Linux/macOS/Windows/Docker) |
| HTTPS-Web-UI | v6 eingebaut | eingebaut |
| DoH/DoT als Upstream | Extra-Proxy nötig | nativ |
| DoH/DoT als Server | nicht vorgesehen | nativ |
| DHCP-Server | ja | ja |
| Adlist-Auswahl | sehr groß, Community-getrieben | kuratiert, kleiner |
| Safe-Search erzwingen | nur per Hack | per Schalter |
| Parental Control | per Gruppen + Listen selbst bauen | fertige Kategorien |
| API/Automatisierung | REST + neue v6-API | vollständige REST-API |
| Lizenz | EUPL | GPLv3 |
| Trägerschaft | Pi-hole LLC + Community | AdGuard Software Ltd. |
Performance: Wer bremst weniger?
Auf einem Raspberry Pi 4 mit gigabit-LAN beantworten beide DNS-Anfragen in unter 5 ms aus dem Cache – das ist schneller als jeder externe Resolver bei DSL-Latenz. Unterschiede merkt man erst bei vielen parallelen Clients (50+): AdGuard Home skaliert in der Go-Runtime etwas effizienter, Pi-hole holt mit v6 durch den neuen FTL-Engine wieder auf. Für ein typisches Haushalts-Setup ist das egal.
Wichtiger ist der Speicherverbrauch: AdGuard Home kommt im Leerlauf mit 60–80 MB RAM aus, Pi-hole mit v6 liegt bei 100–150 MB. Auf einem Pi Zero W (mit nur 512 MB) ist das der Unterschied zwischen „läuft“ und „swappt sich tot“.
DNS-Filter und VPN sind keine Konkurrenten
Ein DNS-Blocker schützt dich, solange du im Heimnetz bist. Sobald du das Haus verlässt, sind Smartphone und Notebook wieder im öffentlichen WLAN unterwegs – ohne Pi-hole, ohne AdGuard Home, ohne lokalen Schutz vor neugierigen Hotspot-Betreibern. Genau dort ergänzt ein VPN den DNS-Filter sinnvoll: Es verschlüsselt deinen ganzen Datenverkehr und routet ihn über den Provider, statt durch das Café-Router-Setup. Wer den Privacy-Stack komplett haben will, kombiniert AdGuard Home oder Pi-hole zu Hause mit NordVPN* unterwegs – inklusive integriertem Threat-Protection-Modul, das DNS-basierte Werbe- und Trackerblockaden auch außer Haus übernimmt.
*Affiliate-Link: Schließt du über diesen Link ein Abo ab, erhalten wir eine kleine Provision – für dich bleibt der Preis gleich.
Welches Tool passt zu dir?
Nimm Pi-hole, wenn …
- du gerne in Communities und Foren stöberst und Filter selbst zusammenstellst,
- du sehr feinkörnige Gruppen-Regeln pro Gerät willst,
- du sowieso eine FritzBox/OpenWrt-Konfig hast und kein zusätzliches DoH brauchst,
- oder du den Filter zusammen mit
Unboundals komplett rekursiven, unabhängigen Resolver fahren möchtest.
Nimm AdGuard Home, wenn …
- du verschlüsselte DNS-Upstreams (DoH/DoT) ohne Bastelei willst,
- du auch unterwegs gefiltertes DNS auf dem Smartphone möchtest – per AdGuard-Home-Server mit DoT-Profil,
- du Safe-Search und Parental-Filter ohne Skripte aktivieren willst,
- oder du auf einem schwachen Pi Zero / Mini-Router mit wenig RAM unterwegs bist.
Fazit
Beide Tools sind 2026 ausgereift, kostenlos und Open Source. Pi-hole punktet mit Community, Granularität und der Bibliothek an Adlists, AdGuard Home mit moderner Architektur, integriertem DoH/DoT und Parental-Control-Komfort. Wer schon ein Pi-hole am Laufen hat, sollte nicht aus Prinzip wechseln – v6 ist ein großes Update und schließt die meisten Lücken. Wer neu einsteigt und kein Lust auf Reverse-Proxy-Fummelei hat, fährt mit AdGuard Home schneller ans Ziel. Und falls du dir nicht sicher bist: Beide laufen problemlos in Docker, du kannst sie an einem Sonntagnachmittag parallel ausprobieren.
