Pi-hole- und WireGuard-Setup, das sinnvoll ist
Veröffentlicht am 5. Mai 2026
Die meisten Menschen beginnen sich für Pi-hole und WireGuard zu interessieren, nachdem sich dasselbe lästige Muster ein paar Mal wiederholt hat: Werbung und Tracker tauchen immer wieder auf Geräten auf, die man eigentlich unter Kontrolle glaubte, und Remote-Zugriff fühlt sich weiterhin wie ein Kompromiss zwischen Komfort und Sicherheit an. Die gute Nachricht ist, dass diese beiden Tools unterschiedliche Teile desselben Problems lösen. Pi-hole bietet dir netzwerkweite DNS-Filterung. WireGuard bietet dir schnellen, modernen VPN-Zugriff. Wenn du sie richtig kombinierst, erhältst du saubereres Surfen, sicherere Remote-Verbindungen und eine deutlich bessere Kontrolle darüber, was dein Netzwerk verlässt.
Dies ist eines dieser Setups, die komplizierter klingen, als sie sind. Die eigentliche Arbeit besteht nicht darin, die Software zu installieren. Sie besteht darin, im Voraus ein paar kluge Entscheidungen zu treffen, damit das System stabil bleibt, wenn der Neuheitseffekt verflogen ist.
Was Pi-hole und WireGuard tatsächlich tun
Pi-hole arbeitet als DNS-Sinkhole. Einfach gesagt beantwortet es DNS-Anfragen für deine Geräte und blockiert Anfragen an bekannte Werbe-, Tracking- und schädliche Domains, bevor die Verbindung überhaupt hergestellt wird. Es entfernt nicht auf magische Weise jede Werbung aus dem Internet, und es bereinigt auch keine Apps, die ihren eigenen DNS fest einkodiert haben oder Werbung von derselben Domain wie die Inhalte ausliefern. Aber für viele Haushalte, kleine Büros, Dev-Labs und Agenturumgebungen reduziert es mit sehr wenig Overhead überraschend viel Lärm.
WireGuard löst ein anderes Problem. Es erstellt einen verschlüsselten Tunnel zwischen deinem Gerät und deinem Netzwerk mit einem schlanken Protokoll und einem deutlich saubereren Konfigurationsmodell als ältere VPN-Optionen. Das ist wichtig, wenn du deine lokalen Dienste auf Reisen sicher nutzen, interne Dashboards erreichen willst, ohne sie öffentlich zugänglich zu machen, oder deine DNS-Anfragen zurück über einen vertrauenswürdigen Resolver leiten möchtest statt über das, was das Hotel-WLAN dir gerade servieren will.
Zusammen ergeben sie Sinn, weil WireGuard den Datenverkehr deines Geräts zurück in dein Netzwerk senden kann, während Pi-hole den DNS für diesen Datenverkehr filtern kann. Das Ergebnis ist einfach: Dein Laptop oder Telefon verhält sich eher so, als wäre es noch in deinem vertrauenswürdigen Netzwerk, selbst wenn das nicht der Fall ist.
Warum diese Kombination so gut funktioniert
Der praktische Wert liegt in der Kontrolle. Pi-hole gibt dir Einblick in DNS-Anfragen und die Möglichkeit, zu blockieren, was du nicht willst. WireGuard gibt dir einen sicheren Weg nach Hause. Wenn du oft reist, Client-Umgebungen verwaltest oder Infrastruktur von verschiedenen Orten aus administrierst, ist diese Kombination sofort nützlich.
Es gibt auch einen betrieblichen Vorteil. Keines der beiden Tools ist besonders schwergewichtig. Ein kleiner VPS, ein stromsparender Mini-PC oder ein Raspberry Pi kann die Aufgabe oft für eine überschaubare Anzahl von Nutzern übernehmen. Für kleine Unternehmen und technisch versierte Teams bedeutet das, dass du keine riesige Sicherheits-Appliance bauen musst, nur um saubereren DNS und privaten Zugriff zu bekommen.
Allerdings ist das keine Einheitslösung. Wenn du Dutzende Remote-Benutzer, strenge Compliance-Anforderungen oder zentralisierte Identitätskontrollen hast, kannst du aus der einfachsten Version dieses Designs herauswachsen. Aber für ein kompaktes, gut verwaltbares Setup ist es schwer zu übertreffen.
Wo du es hosten solltest
Du hast drei gängige Optionen. Du kannst beide auf einem Raspberry Pi oder kleinen lokalen Server betreiben, was für den Einsatz zu Hause und im Büro beliebt ist. Du kannst sie auf einem VPS betreiben, was nützlich ist, wenn du eine konsistente öffentliche Erreichbarkeit möchtest und dich nicht auf einen privaten Internetanschluss verlassen willst. Oder du kannst die Rollen aufteilen, mit WireGuard auf einem öffentlichen VPS und Pi-hole in deinem privaten Netzwerk.
Jeder Ansatz hat Kompromisse. Lokales Hosting gibt dir direkte Kontrolle und hält DNS nah an deinen Geräten, aber dein Internetanschluss zu Hause oder im Büro wird damit Teil der Zuverlässigkeitsgeschichte. Ein VPS bietet dir bessere Verfügbarkeit und einfacheren öffentlichen Zugriff, aber wenn das Ziel darin besteht, Datenverkehr für Geräte an deinem physischen Standort zu filtern, musst du sorgfältig über Routing und Latenz nachdenken.
Für viele kleine Teams ist ein VPS-basiertes Deployment attraktiv, weil es die üblichen Verrenkungen im Heimnetz vermeidet. Das gilt besonders, wenn du dich bereits mit dem Management von Cloud-Infrastruktur wohlfühlst oder die zusätzliche Sicherheit eines überwachten Hostings möchtest. Ein stabiler VPS mit ordentlichen Backups ist in der Regel weniger launisch als ein Router, den du um 11:40 p.m. konfiguriert hast. und seitdem nicht mehr angefasst hast.
Das sauberste Setup für die meisten Benutzer
Das einfachste zuverlässige Design besteht darin, Pi-hole und WireGuard auf demselben Host zu installieren und dann WireGuard-Clients so zu konfigurieren, dass sie Pi-hole als ihren DNS-Server verwenden. Dadurch bleiben die beweglichen Teile auf ein Minimum reduziert. Dein Telefon, Laptop oder Tablet verbindet sich mit dem WireGuard-Tunnel und sendet dann DNS-Anfragen über Pi-hole.
In der Praxis sieht der Ablauf so aus: Dein Gerät stellt eine WireGuard-Verbindung her, erhält eine VPN-Adresse und verwendet die Pi-hole-Instanz unter dieser internen Adresse für DNS. Pi-hole leitet erlaubte Anfragen dann an einen Upstream-Resolver deiner Wahl weiter.
Das funktioniert gut, weil es leicht nachvollziehbar und leicht zu beheben ist. Wenn DNS kaputt ist, prüfst du Pi-hole. Wenn die Konnektivität kaputt ist, prüfst du WireGuard. Weniger Ebenen bedeuten normalerweise weniger nächtliche Überraschungen.
Wichtige Entscheidungen beim Pi-hole- und WireGuard-Setup
Die erste Entscheidung ist, ob nur DNS-Datenverkehr durch WireGuard gesendet werden soll oder der gesamte Datenverkehr. Wenn dein Hauptziel Werbeblockierung und sichererer DNS in öffentlichen Netzwerken ist, reicht es möglicherweise aus, nur DNS zu senden. Wenn du auch Zugriff auf interne Dienste möchtest oder den gesamten Browserverkehr vor nicht vertrauenswürdigem WLAN schützen willst, leite alles durch den Tunnel.
Keine der beiden Optionen ist grundsätzlich besser. Full-Tunnel-Routing bietet stärkere Privatsphäre und konsistentere Filterung, kann aber die Latenz erhöhen und die Last auf deinem VPN-Host steigern. Split-Tunnel-Routing ist leichter und oft bequemer, lässt aber mehr Datenverkehr außerhalb deines geschützten Pfads.
Die zweite Entscheidung ist dein Upstream-DNS-Anbieter für Pi-hole. Öffentliche Resolver sind einfach, aber einige Benutzer bevorzugen einen internen rekursiven Resolver für mehr Kontrolle. Das kann die Privatsphäre verbessern und die Abhängigkeit von Drittanbietern verringern, erhöht aber auch die Komplexität. Wenn dein Ziel wartungsarme Zuverlässigkeit ist, halte die Upstream-Wahl einfach.
Die dritte Entscheidung ist Disziplin bei den Blocklisten. Mehr Listen bedeuten nicht immer bessere Filterung. Aggressive Listen können Login-Abläufe, eingebettete Medien, Zahlungs-Widgets oder Analytics-Tools stören, die dein Unternehmen tatsächlich braucht. Beginne konservativ, beobachte die Query-Logs und füge Ausnahmen bewusst hinzu. Das ist Infrastruktur, kein Wettbewerbssport.
Häufige Fehler, die du vermeiden solltest
Der größte Fehler ist, die Admin-Oberfläche von Pi-hole öffentlich zugänglich zu machen. Tu das nicht. Wenn du Remote-Zugriff auf das Dashboard brauchst, nutze WireGuard, um es privat zu erreichen. Öffentliche Admin-Seiten ziehen sehr schnell die falsche Art von Aufmerksamkeit auf sich.
Ein weiteres häufiges Problem ist, Firewall-Regeln zu vergessen. WireGuard benötigt seinen offenen Port, Pi-hole muss per DNS aus dem VPN-Netzwerk erreichbar sein, und IP-Forwarding muss korrekt konfiguriert sein, wenn Datenverkehr über den Host hinaus geroutet wird. Wenn eines dieser Elemente fehlt, kann die Installation gesund aussehen, während die tatsächliche Benutzererfahrung weiterhin kaputt bleibt.
DNS-Schleifen sind ein weiteres klassisches Problem. Wenn Pi-hole an einen Resolver weiterleitet, der auf die falsche Weise durch denselben Tunnel zurückzeigt, können Anfragen fehlschlagen oder sich inkonsistent verhalten. Halte den DNS-Pfad einfach und dokumentiert.
Achte schließlich auf überlappende Subnetze. Wenn dein Heim-LAN, Büro-LAN und WireGuard-Netzwerk alle denselben privaten IP-Bereich wiederverwenden, wird das Routing schnell unübersichtlich. Saubere Adressierungspläne sparen Zeit.
Erwartungen an Sicherheit und Wartung
Dieses Setup ist relativ leichtgewichtig, braucht aber trotzdem Pflege. Halte das Betriebssystem aktuell. Aktualisiere Pi-hole und WireGuard in einem sinnvollen Rhythmus. Sichere deine Konfiguration, insbesondere WireGuard-Schlüssel, Peer-Konfigurationen und benutzerdefinierte Pi-hole-Regeln.
Monitoring ist ebenfalls wichtig. Du brauchst keine riesige Observability-Plattform, nur um DNS-Filterung und ein VPN zu betreiben, aber du musst wissen, wann der Dienst ausgefallen ist. Selbst einfache Prüfungen der Port-Verfügbarkeit, DNS-Antwort, CPU-Last und Festplattennutzung bringen viel. Leise Systeme sind hervorragend, bis sie lautlos ausfallen.
Wenn du das für ein Unternehmen betreibst, dokumentiere, wem es gehört, wo Konfigurationen liegen, wie die Wiederherstellung funktioniert und was passiert, wenn der Host ausfällt. Das Setup selbst ist nicht schwierig. Die Probleme beginnen normalerweise dann, wenn die eine Person, die es gebaut hat, außer Haus ist und alle anderen auf ein Terminal starren, als wäre es ihnen eine Erklärung schuldig.
Wann dieses Setup gut passt
Pi-hole und WireGuard passen hervorragend zu kleinen Büros, Agenturen, Entwicklern, Homelabs mit echter Arbeit im Hintergrund und Geschäftsinhabern, die sichereren Remote-Zugriff wollen, ohne einen Enterprise-Stack bereitzustellen. Es ist besonders nützlich, wenn du einen einzigen kontrollierten DNS-Pfad für mobile Geräte möchtest.
Weniger ideal ist es, wenn du tiefgehende Web-Filterung, erweiterte identitätsbewusste Zugriffskontrollen oder Benutzerverwaltung im großen Maßstab benötigst. Du kannst darum herum bauen, aber irgendwann verlangst du von kompakten Tools, die Arbeit einer größeren Plattform zu übernehmen.
Für Teams, die bereits VPS-Infrastruktur nutzen, ist diese Kombination oft ein effizienter nächster Schritt. Ein verwalteter oder gut überwachter Server bietet den Diensten ein stabiles Zuhause, und die betriebliche Belastung bleibt vertretbar. Dieses Gleichgewicht ist ein großer Teil dessen, warum Setups wie dieses beliebt bleiben. Sie lösen ein echtes Problem, ohne einen Vollzeit-Babysitter zu verlangen.
Der eigentliche Vorteil ist weniger Reibung
Der beste Teil dieses Designs ist nicht, dass es clever ist. Sondern dass es Reibung im Tagesgeschäft beseitigt. Geräte bekommen saubereren DNS. Remote-Zugriff wird sicherer. Interne Tools können privat bleiben. Fehlersuche wird vorhersehbarer, weil das System aus wenigen verständlichen Teilen aufgebaut ist.
Das ist normalerweise der richtige Test für Infrastrukturentscheidungen. Nicht, ob sie in einem Diagramm beeindruckend aussehen, sondern ob sie still und leise Risiken verringern und die Art unterstützen, wie du tatsächlich arbeitest. Wenn du Pi-hole und WireGuard mit diesem Ziel vor Augen aufbaust, erhältst du ein Setup, das seinen Platz verdient, anstatt ein weiteres fragiles Projekt auf deiner To-do-Liste zu werden.
Andres Saar Customer Care Engineer