Pi-hole vs AdGuard — Was genau sind sie?
Pi-hole ist ein DNS-Sinkhole, das seit 2014 existiert. Es läuft auf einem Gerät das du besitzt — meistens ein Raspberry Pi — und fungiert als DNS-Server deines Netzwerks. Wenn irgendein Gerät im Netzwerk fragt "wo ist analytics.example.com", prüft Pi-hole die Domain gegen eine Blockliste. Ist es eine bekannte Werbe- oder Tracking-Domain, gibt Pi-hole eine leere Antwort zurück und die Verbindung kommt nie zustande. Die Software ist Open Source, community-getrieben und hat eine riesige Bibliothek community-gepflegter Blocklisten. AdGuard ist verwirrenderweise zwei Produkte. AdGuard Home ist der selbst gehostete DNS-Blocker — der direkte Konkurrent zu Pi-hole. Es ist ebenfalls kostenlos und Open Source, entwickelt von der Firma hinter der AdGuard Browser-Erweiterung. Die Installation erfolgt als einzelne Binary unter Linux, macOS, Windows, FreeBSD oder als Docker-Container. Wenn Leute "Pi-hole vs AdGuard" sagen, meinen sie fast immer Pi-hole vs AdGuard Home. AdGuard verkauft zusätzlich einen kommerziellen AdGuard DNS Cloud-Service (ohne eigene Hardware) und AdGuard Desktop-/Mobile-Apps — das sind aber separate Produkte. Beide — Pi-hole und AdGuard Home — machen dasselbe: Domains auf DNS-Ebene blockieren, bevor Geräte überhaupt Verbindungen aufbauen können. Die Unterschiede liegen in Features, Politur und Philosophie.
Kernunterschiede: Features, Interface, verschlüsseltes DNS
Der größte einzelne Unterschied ist verschlüsseltes DNS. AdGuard Home unterstützt DNS-over-HTTPS, DNS-over-TLS und DNS-over-QUIC von Haus aus. Ein Schalter im Web-UI, und deine Geräte können über verschlüsseltes DNS mit AdGuard Home sprechen. Pi-hole unterstützt nativ keines davon. Für verschlüsseltes DNS mit Pi-hole installierst du cloudflared oder Unbound daneben und konfigurierst sie so, dass sie verkettet sind. Funktioniert, ist aber ein zusätzliches Wartungsteil und ein zusätzlicher Ausfallpunkt. Das Admin-Interface ist der Bereich, wo AdGuard Home optisch davonzieht. Pi-holes Dashboard hat sich seit zehn Jahren kaum verändert — funktional, aber altmodisch. AdGuard Homes UI ist modern, strukturiert, und der Setup-Wizard führt dich beim ersten Start durch alles inklusive Blocklisten, Upstream-DNS und Verschlüsselung. Pi-holes Setup läuft komplett über die Kommandozeile. Filterfeatures sind in AdGuard Home flexibler. Es unterstützt AdGuard-Syntax (näher an uBlock-Regeln), Regex, CNAME-Cloaking-Erkennung, und Kindersicherung sowie Safe-Search-Durchsetzung sind eingebaut. Pi-hole unterstützt hosts-Format-Blocklisten und einfache Regex. Beide können dieselben Domains blockieren — AdGuard Home kann nur komplexere Regeln ohne zusätzliche Tools ausdrücken. Performance auf moderner Hardware ist Gleichstand. Beide verarbeiten Zehntausende Abfragen pro Sekunde. Beide haben vernachlässigbare CPU- und Speicherbelastung auf einem Raspberry Pi 4 oder einem alten Mini-PC.
Setup-Komplexität: Welcher ist einfacher?
Wenn du nie mit Linux gearbeitet hast: AdGuard Home gewinnt mit weitem Abstand. Eine einzelne Binary, ein eingebauter Web-Setup-Wizard, und keine weitere Konfiguration nötig, um verschlüsseltes DNS zu bekommen. Die meisten Nutzer sind in 10 Minuten startklar, inklusive SD-Karten-Flashen für einen Pi. Wenn du mit dem Terminal zurechtkommst: beide sind ungefähr gleich. Pi-holes `curl | bash`-Installer ist berüchtigt einfach. AdGuard Home hat einen vergleichbaren Installationsbefehl. Beide erfordern danach, dass du die DNS-Einstellungen deines Routers auf den neuen Server zeigen lässt — dieser Schritt stolpert die meisten Leute unabhängig vom gewählten Tool. Laufende Wartung ist der Bereich, wo Pi-hole anstrengender wirkt. Verschlüsseltes DNS benötigt Unbound oder cloudflared nebenher. Blocklisten-Updates sind manuell ohne Cron-Job. Wiederherstellung nach defekter SD-Karte oder schlechtem Update heißt: Installer erneut ausführen und Config-Backup zurückspielen. AdGuard Home handhabt Updates über die UI, plant Blocklisten-Aktualisierungen automatisch und hat einen saubereren Backup-Workflow. Keines der Tools ist wirklich "einrichten und vergessen". Du betreibst einen DNS-Server. Wenn er kaputtgeht, verliert dein gesamtes Netzwerk das Internet, bis du ihn reparierst oder DNS wechselst. Plane entsprechend — entweder ein Fallback-Resolver auf dem Router, oder sei bereit für schnelles Zurückrollen.
Kosten, Datenschutz & was viele übersehen
Pi-hole und AdGuard Home sind beide kostenlos und Open Source. Kein Abo, keine Feature-Beschränkung, keine "Pro"-Version. Die echten Kosten sind Hardware und Zeit. Ein Raspberry Pi 5 mit SD-Karte kostet etwa 75 Euro. Wenn du bereits einen Heimserver, NAS oder Mini-PC hast, sind die Kosten null — du fügst einen Container hinzu. Die versteckten Kosten sind Zeit. Zwei bis vier Stunden initialer Aufwand, wenn alles reibungslos läuft, plus gelegentliche Wartung, wenn sich Blocklisten ändern, ein Software-Update etwas bricht oder eine neue Tracking-Technik eine neue Blockliste erfordert. Für Hobbyisten macht das Spaß, für die meisten Mainstream-Nutzer ist es eine Last, die sie nach einem Monat aufgeben. Zum Datenschutz: Beide Tools halten alle DNS-Queries lokal. Nichts verlässt dein Netzwerk, es sei denn, du konfigurierst Upstream-DNS-Resolver, denen du nicht traust. Das ist ihr größter Vorteil gegenüber Cloud-Services wie NextDNS oder Cloudflare — kein Dritter sieht standardmäßig deine Query-Historie. Das gilt allerdings nur, wenn du alles korrekt konfigurierst. Beide Tools nutzen out-of-the-box Google oder Cloudflare als Upstream-Resolver, was bedeutet, dass diese Unternehmen deine Queries sehen, solange du es nicht änderst. Wenn Datenschutz dein Hauptziel ist: Nutze Quad9, den DNS deines Providers oder einen DoT/DoH-Resolver, dem du vertraust, als Upstream in jedem Tool.
Warum Pi-hole & AdGuard am Mac versagen — und was du ergänzen musst
Hier ist der Teil, den niemand mit Pi-hole oder AdGuard Home zugeben will: Keines der Tools kann dir sagen, welche App auf deinem Mac eine Verbindung herstellt. Beide arbeiten auf der DNS-Ebene, die nur sieht "irgendein Gerät im Netzwerk fragte nach analytics.example.com." War es dein Browser? Ein Background-Updater? Zoom das nach Hause funkt? Spotifys Telemetrie? Auf DNS-Ebene kannst du es nicht unterscheiden. Das ist auf macOS wichtiger, als die meisten glauben. Ein typischer Mac hat 40+ Hintergrundprozesse, die jeweils Verbindungen aufbauen — iCloud, Spotlight-Vorschläge, Maps, Fotos, News, jedes Adobe- und Microsoft-Produkt, jede Electron-App, jeder Crash-Reporter. DNS-Blocking fängt jene, die bekannte Tracker-Domains nutzen. Es fängt keine, die zu ihren eigenen First-Party-Servern nach Hause funken. Und wenn eine App fest codierte IP-Adressen statt Domain-Namen nutzt — was manche absichtlich tun, um DNS-Filterung zu umgehen — sieht dein DNS-Blocker gar nichts. Die Lösung ist DNS-Blocking mit Application-Level-Kontrolle zu kombinieren. NetMute läuft auf deinem Mac und zeigt dir exakt, welche App welche Verbindung zu welcher Domain aufgebaut hat, wie oft. Es blockiert 624+ bekannte Tracker automatisch — aber wichtiger: Es lässt dich sehen, wenn eine bestimmte App im Hintergrund Daten irgendwohin sendet, und diese spezifische App blockieren, nicht die ganze Domain im ganzen Netzwerk. Das ideale Setup 2026: Pi-hole oder AdGuard Home am Netzwerkrand, um Werbung und Tracker auf jedem Gerät zu blockieren (Smart-TVs, Handys, IoT), plus NetMute auf jedem Mac für Per-App-Sichtbarkeit und Kontrolle. DNS-Blocking ist breite Abdeckung. Per-App-Firewall ist gezielte Tiefe. Du brauchst beides. NetMute kostet einmalig 9,99 € — kein Abo, kein Account. Kombiniert mit dem DNS-Blocker deiner Wahl hast du ein mehrschichtiges Privacy-Setup, das fängt, was DNS allein verpasst.