Pi-hole läuft auch auf einem Raspberry Pi B gut – ja, dem ersten!

9 Kommentare Autor: Jürgen (jdo)

Mein Sammlung an Raspberry Pi wird immer üppiger und vom Raspberry Pi B hatte ich sogar 2. Einen davon, meinen Wüsten-Pi werde ich aber nie hergeben. Erstens war das mein erster Pi, zweitens handelt es sich um ein Geburtstagsgeschenk und drittens ist es womöglich der einzige Pi, der jemals beim schlafenden Dinosaurier übernachtet hat. Den zweiten ersten Pi konnte ich aber entbehren und für ein Experiment mit Pi-hole nutzen.

Vor kurzem habe ich einen längeren Beitrag zu Pi-hole geschrieben. Dabei handelt es sich um einen Adblocker, der das gesamte Netzwerk vor Werbung und vor allen Dingen Trackern schützt. Ich habe das Konzept einen Freund gezeigt, der ein kleines CoWorking-Café hat. Seine Internet-Verbindung ist für Ägypten ganz OK, aber es sind halt auch nur 16 MBit Downstream und 1 Mbit Upstream. Vor allen Dingen der Upstream kann zum Problem werden.

Pi-hole verbessert die Sache

In seinem Café halten sich maximal 10 Leute auf. Allerdings werden die Anforderungen an die Internet-Verbindungen immer höher und es gibt nicht selten Leute, die 2 Geräte haben. Ein Notebook und ein Smartphone eben.

Nun ist es natürlich so: Surfen viele Leute gleichzeitig im Internet und kommunizieren viele Smartphones auch noch mit, dann ballert das einiges an Anfragen raus. Du siehst das auch im Browser, wenn Du eine Website öffnest. Oft werden viele verschiedene Domains abgefragt und viele davon sind eben Tracker und so weiter.

Also haben wir zum Test Pi-hole auf einem Raspberry Pi B installiert und bei ihm aufgestellt. Weil der erste Pi nur eine CPU hat und auch sonst kein Super-Computer ist, wurde das Logging deaktiviert. Der Pi blockiert also wirklich nur die über 120.000 Domains und legt andere in den Cache.

Pi-hole schlägt damit mehrere Fliegen mit einer Klappe. Häufig benutzte Domains werden gleich aus dem Cache ausgeliefert und viele Anfragen nach draußen werden blockiert, womit die Leitung weniger verstopft wird. Das Ergebnis ist beeindruckend und die Websites öffnen sich rasend schnell.

Pi-Hole blockiert derzeit fast 123.000 Domains

Pi-hole blockiert derzeit fast 123.000 Domains

Im Vergleich zu vorher ist es auf jeden Fall eine spürbare Verbesserung. Wir haben Websites mit und ohne Pi-hole geöffnet, natürlich vorher Cache geleert und so weiter.

Der SEO-Spezialist war verwundert 🙂

Bei meinem Kumpel ist zur Zeit auch ein SEO-Spezialist und der hat sich am nächsten Tag gewundert, warum sein Google Analytics und ein paar andere Sachen nicht mehr funktionieren. Damit hatte ich natürlich nicht gerechnet.

Er hat ein VPN angeworfen und damit natürlich andere DNS-Server zugewiesen bekommen. Damit haben seine Tools alle wieder funktioniert. Die Geschichte wurde mir am nächsten Tag erzählt, weil ich nach dem Rechten gesehen habe. Im Gespräch mit dem SEO-Spezialisten haben wir dann geklärt, er könne einfach seinen DNS-Server manuell zum Beispiel auf Quad9 (9.9.9.9) umstellen und damit würde er Pi-hole ebenfalls umgehen.

Ich persönlich nutze in öffentlichen WLANs grundsätzlich ein VPN, viele tun das aber nicht. PureVPN gibt es übrigens derzeit für unter 2 US-Dollar im Monat. Zumindest kann man seine Gäste mit Pi-hole ein bisschen oder temporär vor Trackern sowie aggressiver Werbung schützen und verbessert gleichzeitig die Performance der eigenen Internet-Verbindung -> Win-Win nennt man so etwas.

Noch ein Vorteil: DHCP-Server nicht mehr auf dem Router – DNS Poisoning nicht so einfach

Pi-hole übernimmt außerdem die Funktion des DHCP-Servers. In den vergangenen Jahren ging hier ebenfalls ein Angriff auf Router um, die mit sogenanntem DNS Poisoning manipuliert wurde. Wer auch immer das WLANoder Netzwerk benutzte, wurde eben auf Websites mit Werbung, Schadcode und so weiter umgeleitet, weil DNS sozusagen vergiftet wurde. So ein Angriff ist natürlich unabhängig vom Land, sondern hängt vom Router und dessen Security-Lücken ab.

Es steht zwar ein relativ neuer Router im Café, aber wer weiß, wie lange es dafür neue Firmware gibt und so weiter. Sollte einer den Router angreifen, dann müsste er den DHCP-Server dort erst wieder aktivieren. Wird lediglich DNS vergiftet, macht das meinem Setup nichts aus. Alle DNS-Anfragen laufen über den Raspberry Pi mit Pi-hole und da kann mir jemand den Router vergiften, bis er schwarz wird.

Das ist natürlich kein Allheilmittel, aber eine zusätzliche Hürde. Bei der IT Security ist es ja oft so, dass man den Angreifern so viele kleine Hürden wie möglich in den Weg stellt, sodass er es nicht nur so schwer wie möglich hat, sondern sich vielleicht auch ein einfacheres Ziel sucht.

Passwort von Raspbian wurde natürlich geändert – pi / raspberry wäre etwas albern, sprechen wir von Security.

Zum Schutz vor Trackern und aggressiver Werbung kommt nun auch noch zu einem gewissen Grad Schutz vor Malware hinzu. Das ist dann der Fall, wenn der Router einem böswilligen Hacker zum Opfer fällt.

Was haben wir aus der Sache gelernt?

Die beste Einsicht war natürlich, dass ein alter Raspberry Pi B reicht. Bis zu wie vielen Leuten das performant funktionieren würde, kann ich nicht sagen. Wie bereits erwähnt, habe ich vorsichtshalber das Logging deaktiviert, da dies wohl die meisten Ressourcen verbrauchen würde. Nun muss der Raspberry Pi nicht viel machen.

  • Er bekommt eine DNS-Anfrage
  • Pi-hole auf dem Raspberry Pi sieht nach, ob die Domain in der Blockliste oder im Cache ist
  • Ist die Domain auf der Blockliste, wird die Anfrage einfach nicht weitergeleitet (Stichwort 127.0.0.1)
  • Befindet sich die Domain bereits im Cache, muss ebenfalls keine Anfrage nach draußen gestellt werden
  • Sollte die Domain weder im Cache noch auf der Blockliste sein, dann wird der externe DNS Server um Informationen gebeten

Das System ist seit ein paar Tagen im Einsatz und der olle Pi scheint das gut zu packen. Hast Du noch so eine Kiste im Schrank, der nur Staub fängt? Dann krame die Kiste mal raus …

Auf meinem Pine64 müsste das eigentlich auch recht gut laufen, sogar inklusive Logging. Daraus habe ich aber eine Kodi-Box gemacht … 🙂

Pi-hole schützt Dich aber nur im eigenen LAN. Bist Du unterwegs und nutzt Hotspots oder fremde WLANs, rate ich Dir zu einem VPN wie PIA (Private Internet Access). Das kostet nur wenige Euro pro Monat und ist sein Geld wert.

PIA MACE - toller Adblocker

PIA MACE – toller Adblocker, schützt auch vor Trackern und Malware

Du musst beim Client vorher nur einstellen, dass Du PIA MACE nutzen willst. Bei PIA darfst Du übrigens 10 Geräte gleichzeitig nutzen und das für zirka 3 Euro pro Monat.

PIA MACE – Schutz vor Malware und Trackern

Nette Pi-Konstellation

Suchst Du ein VPN für den Raspberry Pi? NordVPN* bietet einen Client, der mit Raspberry Pi OS (32-Bit / 64-Bit) und Ubuntu für Raspberry Pi (64-Bit) funktioniert.




 Alle Kommentare als Feed abonnieren

9 Kommentare zu “Pi-hole läuft auch auf einem Raspberry Pi B gut – ja, dem ersten!”

  1. Markus says:

    Halt dich fest.
    Auf meinem Pi 1B laufen owncloud, syncthing und ejabberd. Gleichzeitig. Familienintern kein Problem.

    • jdo says:

      Haha, cool! ownCloud hatte ich auch schon mal auf dem 1B, aber das war mir echt nicht performant genug. Ich hantiere aber oft mit vielen kleinen Dateien. Für Kalender, Kontakte und ab und zu ein paar Bildchen, Dokumenten und so weiter - glaube ich Dir aber gerne, dass Dein Setup ausreicht. Die Dinger haben echt die Welt verändert ...

      • Markus says:

        Ja, performance der weboberfläche ist wirklich unterirdisch. Aber wie du schon sagst, für unsere Ansprüche reicht es. Hauptsächlich background sync.
        Aber pi hole auch noch wird wohl langsam zuviel sein.

        • jdo says:

          Musst Du vor allen Dingen aufpassen, dass sich Webserver nicht in die Quere kommen!

          • Markus says:

            Hm. Ok, ich bin jetzt kein wirklicher Experte, eher Hobbybereich. Aber wenn jeder auf einem anderen Port lauscht sollte das genügen oder?

          • jdo says:

            Man kann es immer hinbiegen, dass es läuft. Ich wollte nur darauf hinweisen, dass es sich mit anderen Komponenten zwicken könnte 🙂

  2. Markus says:

    Natürlich.

  3. Markus says:

    Bei mir war bzw. ist es der 1b+ welcher seit etwa 3 Jahren mit raspbmc (ich weiß, völlig veraltet) und Seafile auf einer externen Festplatte mit NTFS (ganz schlechte Idee) seinen Dienst tut. Besonders die Schreiberformangebot ist dank des Dateisystems unterirdischen, aber es reicht aus.

  4. Lukas says:

    Sehr interessanter Artikel!
    Besonders die Verbesserung der Geschwindigkeit ist eine tolle Sache.
    Zwar haben wir meist mindestens 16MBit/s, doch schneller ist immer besser und angenehmer.
    Und wenn man dann noch weniger blinkende Werbung oder nervige Banner hat, was gibt es besseres?