Werbung nervt. Tracker verfolgen jeden Klick. Die Lösung: Ein zentraler Werbeblocker für das gesamte Netzwerk. AdGuard Home macht genau das – und läuft perfekt auf einem Raspberry Pi.
Was ist AdGuard Home?
AdGuard Home arbeitet als DNS-Server im Heimnetzwerk. Jede Anfrage an eine Werbe- oder Tracking-Domain wird direkt blockiert, bevor sie das Gerät erreicht. Das funktioniert für alle Geräte im Netzwerk gleichzeitig – ohne dass auf Smartphones, Tablets oder Smart-TVs zusätzliche Software installiert werden muss.
Besonders praktisch für Familien: Über Filter lassen sich auch komplette Dienste oder unerwünschte Websites sperren.
Voraussetzungen
- Raspberry Pi (ab Modell 3 empfohlen) mit Raspberry Pi OS
- Feste IP-Adresse für den Pi (wichtig für den DNS-Betrieb)
- Zugang zum Router für die DNS-Konfiguration
Inhaltsverzeichnis
AdGuard installieren
Dazu laden wir uns das Installationsskript vom Hersteller herunter. Dies installiert AdGuard dann automatisch.
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -vWenn alles geklappt hat, solltet ihr folgendes sehen:
2025/12/24 04:21:44 [info] service: action install has been done successfully on linux-systemd
AdGuard Home is now installed and running
you can control the service status with the following commands:
sudo /opt/AdGuardHome/AdGuardHome -s start|stop|restart|status|install|uninstallNun lassen wir uns den Status anzeigen um zu überprüfen, dass alles korrekt läuft:
sudo /opt/AdGuardHome/AdGuardHome -s status
2025/12/24 04:22:20 [info] service: AdGuard Home, version v0.107.71
2025/12/24 04:22:20 [info] service: control action=status
2025/12/24 04:22:20 [info] service: running
2025/12/24 04:22:20 [info] service: action has been done successfully action=status system=linux-systemd
Erstkonfiguration
Im Browser öffnen wir http://<IP-des-Pi>:3000 und durchlaufen den Einrichtungsassistenten:
- Netzwerk-Interfaces – Standardeinstellungen übernehmen, damit AdGuard auf allen Schnittstellen lauscht
- Admin-Benutzer anlegen – Benutzername und sicheres Passwort vergeben
- DNS-Hinweis – Notieren, dass der Router später angepasst werden muss
Nach Abschluss erreichen wir das Dashboard unter http://<IP-des-Pi>.
DNS-Einstellungen
DNS-Einstellungen optimieren
Die Wahl der richtigen Upstream-DNS-Server ist entscheidend für Geschwindigkeit, Datenschutz und Sicherheit. AdGuard Home unterstützt verschiedene verschlüsselte DNS-Protokolle, die verhindern, dass Dritte (wie der Internetanbieter) mitlesen können, welche Websites aufgerufen werden.
Empfohlene Upstream-Server
Für die beste Kombination aus Datenschutz, Geschwindigkeit und Zuverlässigkeit empfehle ich folgende Konfiguration:
# Quad9 - Malware-Schutz, keine Protokollierung, Schweizer Datenschutz
https://dns.quad9.net/dns-query
tls://dns.quad9.net
# Cloudflare - Sehr schnell, gute Datenschutzrichtlinien
https://cloudflare-dns.com/dns-query
tls://1dot1dot1dot1.cloudflare-dns.com
# AdGuard DNS - Zusätzliche Werbefilterung auf DNS-Ebene
https://dns.adguard-dns.com/dns-query
tls://dns.adguard-dns.com
# Google DNS
https://dns.google/dns-query
tls://dns.googleDie https://-Variante nutzt DNS-over-HTTPS (DoH), die tls://-Variante DNS-over-TLS (DoT). Beide verschlüsseln die Anfragen – welche Variante besser funktioniert, hängt vom Netzwerk ab.
Fallback-Server konfigurieren
Falls die primären Server nicht erreichbar sind, springen die Fallback-Server ein. Hier eignen sich die klassischen IP-Adressen:
9.9.9.9
149.112.112.112
1.1.1.1
8.8.8.8Bootstrap-Server
Für die Auflösung der Hostnamen der verschlüsselten DNS-Server (wie dns.quad9.net) werden Bootstrap-Server benötigt. Quad9 bietet hier eine gute Wahl:
9.9.9.10
149.112.112.112
2620:fe::10
2620:fe::fe:10Weitere sinnvolle Einstellungen
| Einstellung | Empfohlener Wert | Erklärung |
|---|---|---|
| Upstream-Timeout | 10 Sekunden | Ausreichend Zeit für verschlüsselte Anfragen |
| Ratenbegrenzung | 20 Anfragen/Sekunde | Schutz vor Missbrauch im lokalen Netz |
| Cache-Größe | 4 MB (4194304 Bytes) | Standardwert, bei vielen Geräten erhöhen |
| Sperrmodus | Null-IP | Blockierte Domains erhalten 0.0.0.0 |
DNS-Anbieter im Überblick
| Anbieter | Besonderheit | Datenschutz |
|---|---|---|
| Quad9 | Malware-Schutz, keine Protokollierung | Schweizer Recht, Non-Profit |
| Cloudflare | Sehr niedrige Latenz | Logs werden nach 24h gelöscht |
| AdGuard DNS | Integrierte Werbeblockierung | Keine IP-Speicherung |
| Google DNS | Hohe Verfügbarkeit | Google-Datenschutzrichtlinien |
Meine Empfehlung: Quad9 als primärer Server bietet die beste Balance aus Sicherheit und Datenschutz. Cloudflare als Fallback sorgt für schnelle Antwortzeiten. Google DNS nur als letzte Reserve, wenn es auf maximale Verfügbarkeit ankommt.
Konfiguration testen
Nach dem Speichern der Einstellungen unter Einstellungen → DNS-Einstellungen auf Upstreams testen klicken. Alle konfigurierten Server sollten als erreichbar gemeldet werden.
Sperrlisten erweitern
Die Standardliste mit etwa 57.000 Einträgen ist ein guter Anfang. Für besseren Schutz fügen wir weitere Listen hinzu:
Filter → DNS Sperrliste → Sperrliste hinzufügen → Aus Liste auswählen
AdGuard bietet hier eine kuratierte Auswahl verschiedener Filterlisten für Werbung, Tracking und Malware.
Empfohlene Blocklisten
| Liste | Beschreibung |
|---|---|
| AdGuard DNS filter | Bereits integriert, gute Basis |
| OISD (small) | Ausgewogene Liste, wenig Fehlalarme |
| Steven Black Hosts | Bewährte Liste für Werbung & Malware |
| 1Hosts Lite | Leichtgewichtig, zuverlässig |
Diese Listen unter Filter → DNS-Sperrlisten → Sperrliste hinzufügen → Benutzerdefinierte Liste hinzufügen eintragen:
https://small.oisd.nl/
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://o0.pages.dev/Lite/adblock.txt
# Gute Malware Liste
https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-agh.txtListen, die Probleme verursachen können
Folgende Listen sind für Haushalte mit Microsoft 365 oder anderen Cloud-Diensten nicht empfohlen:
- OISD full/big – kann Microsoft-Dienste beeinträchtigen
- Energized Ultimate – zu aggressiv, viele Fehlalarme
- hBlock – bekannt für Probleme mit M365
Microsoft 365 absichern
Falls nach dem Aktivieren neuer Listen Outlook, Teams oder OneDrive nicht mehr funktionieren, hilft die Erlaubnisliste. Diese Regeln unter Filter → Benutzerdefinierte Filterregeln eintragen:
@@||outlook.office.com^
@@||outlook.office365.com^
@@||login.microsoftonline.com^
@@||login.live.com^
@@||graph.microsoft.com^
@@||*.sharepoint.com^
@@||teams.microsoft.com^
@@||*.teams.microsoft.com^
@@||outlook.live.com^
@@||office.com^
@@||office365.com^
@@||microsoft365.com^Das @@ am Anfang markiert die Regel als Ausnahme – diese Domains werden nie blockiert, egal welche Sperrlisten aktiv sind.
Meine persönliche Whitelist
https://raw.githubusercontent.com/roberteinsle/AdGuardHome-Lists/refs/heads/main/whitelist.txtAdGuad Blocklisten
In AdGuard selber kannst Du aus einer Fülle von Listen auswählen. Klicke einfach auf das 🛈 Symbol und Du erfährst mehr über die jeweilige Liste.
Blockierte Domains finden
Sollte nach dem Hinzufügen neuer Listen etwas nicht mehr funktionieren:
- Anfrageprotokoll öffnen
- Den betroffenen Dienst aufrufen (z.B. Teams starten)
- Im Protokoll nach rot markierten (blockierten) Einträgen suchen
- Die Domain per Klick zur Erlaubnisliste hinzufügen
So lässt sich jede Blocklist an die eigenen Bedürfnisse anpassen, ohne auf Sicherheit verzichten zu müssen.
Dienste komplett blockieren
Unter Filter → Gesperrte Dienste lassen sich komplette Plattformen mit einem Klick sperren – praktisch für Kindersicherung oder fokussiertes Arbeiten. Zur Auswahl stehen unter anderem soziale Netzwerke, Gaming-Plattformen und Streaming-Dienste.
Wichtig: Diese Sperre lässt sich umgehen, wenn Nutzer manuell einen anderen DNS-Server eintragen.
DNSSEC aktivieren
DNSSEC schützt vor DNS-Spoofing-Angriffen, bei denen Angreifer gefälschte DNS-Antworten einschleusen. Die Aktivierung erfolgt in zwei Schritten:
Schritt 1: DNSSEC einschalten
Einstellungen → DNS-Einstellungen – ganz unten die DNSSEC-Validierung aktivieren.
Schritt 2: DNSSEC-fähige Upstream-Server konfigurieren
Auf dnscrypt.info/public-servers finden sich öffentliche DNS-Server mit DNSSEC-Unterstützung. Nach Klick auf einen Servernamen den „Stamp“ kopieren und in AdGuard unter den Upstream-DNS-Servern eintragen.
Mehrere Server eintragen sorgt für Redundanz bei Ausfällen.
DNSSEC testen
sudo apt install dnsutils -y
dig dnssec.works
dig fail01.dnssec.worksIm Anfrageprotokoll von AdGuard sollte bei dnssec.works ein grünes Schloss erscheinen.
DNS im Netzwerk verteilen
Damit alle Geräte den neuen DNS-Server nutzen, tragen wir die IP-Adresse des Raspberry Pi im Router als DNS-Server ein. Die meisten Router verteilen diese Information dann automatisch per DHCP an alle Clients.
Alternative: Den DNS-Server auf jedem Gerät manuell konfigurieren.
Automatische Updates
AdGuard aktuell halten via Cronjob:
sudo crontab -edann einfügen:
0 4 * * 0 /opt/AdGuardHome/AdGuardHome --update && systemctl restart AdGuardHome(Jeden Sonntag um 4 Uhr Update prüfen)
Performance auf Raspberry Pi
In <strong>/opt/AdGuardHome/AdGuardHome.yaml</strong> kannst du bei Bedarf anpassen:
sudo nano /opt/AdGuardHome/AdGuardHome.yamldann suchen und ändern:
dns:
cache_size: 10000000danach AdGuard neustarten
sudo /opt/AdGuardHome/AdGuardHome -s restartFazit
AdGuard Home auf dem Raspberry Pi ist eine effektive und kostengünstige Lösung für netzwerkweites Werbeblocking. Die Einrichtung dauert keine 30 Minuten, und das Ergebnis ist spürbar: schnellere Ladezeiten, weniger Ablenkung und mehr Privatsphäre für alle Geräte im Heimnetz.
