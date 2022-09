Wäre es nicht fesch, nur ein Werkzeug zu installieren und zu konfigurieren, um Tracker, Werbung und Malware auszusperren? Software wie Pi-hole, AdGuard Home und eBlocker verspricht genau das. Ein Raspberry Pi, auch ein älteres Modell ab Version 2 genügt dafür schon. Nach dem Einrichten der Software arbeitet sie im lokalen Netz als Dienstleister für alle anderen Geräte.

Wer keinen Raspi nehmen will, kann die Software auch auf seinem Heimserver oder NAS laufen lassen. AdGuard Home und Pi-hole ist es egal, ob sie auf einer Linux-Distribution, per Docker-Container auf physischer Hardware oder in einer VM laufen. Wählerischer ist eBlocker, es ist nur für Raspi, Banana Pi oder als fertige x86-VM zu haben. AdGuard Home lässt sich sogar auf macOS und Windows als Dienst einrichten.

Pi-hole und AdGuard Home funktionieren gleich: Sie arbeiten als DNS-Server beziehungsweise -Filter und beantworten Anfragen nach Namen, die auf ihren Blacklists geführt werden, bewusst "falsch". Statt der IP-Adresse erhalten die Clients eine ungültige Adresse, sodass sie einen Teil der adressierten Inhalte gar nicht erst abrufen. Der Browser zeigt Websites schneller an, weil er keine Werbebanner herunterlädt. Das Smart-TV bleibt von Updates verschont. Der PC lässt Malware-Downloads links liegen. All das gelingt, ohne dass Sie auf den Geräten etwas konfigurieren müssen.

Der eBlocker arbeitet grundsätzlich ähnlich wie AdGuard Home und Pi-hole, leitet aber den gesamten Netzwerkverkehr auf sich um. Er nutzt eine andere Strategie, weil er nicht nur Namensanfragen filtern, sondern über diese Funktionen hinausgehen will – gleich mehr dazu. Damit wird der Filter allerdings zum Nadelöhr für den Internetzugriff. Deswegen ist für den eBlocker ein Raspi 4 unbedingt empfehlenswert.

Nadelöhre

Pi-hole und AdGuard Home können ihre Aufgabe nur erfüllen, wenn alle zu schützenden Geräte sie als DNS-Server verwenden. Das erfordert Eingriffe in die Netzwerkkonfiguration, die wir für Sie im Detail beschreiben – je nach Router und den eigenen Ansprüchen sind hier einige Kniffe zu beachten. Und, was jeder wissen muss, der sich darauf einlässt: Streikt der Filter, funktioniert im Netzwerk kaum mehr etwas, bis die ursprüngliche DNS-Konfiguration wiederhergestellt ist.

Die eBlocker-Macher greifen deshalb zu einem Trick: Im "Automatic Network Mode" greift der eBlocker in die Grundkommunikation des Netzwerks ein und schummelt sich zwischen Router und Clients. Über eine Technik namens ARP-Spoofing überflutet er das Netz mit Paketen, die die Adressauflösung beeinflussen, und leitet so allen Netzwerkverkehr auf sich um, der über das lokale Netz hinausgeht. Änderungen an der Netzwerkkonfiguration sind nicht notwendig. Trotzdem raten die eBlocker-Entwickler inzwischen eher von der Automatik ab und empfehlen, eBlocker als DNS-Server und Gateway auf den Clients einzurichten.

AdGuard Home: Die üppige Weboberfläche hilft schon bei der Grundkonfiguration und glänzt mit einer Vielzahl nützlicher Funktionen.

Das ist kein Wunder, denn ARP-Spoofing hat Grenzen: Es klötert ein Netz unnötig zu. Es gibt keine Erfolgsgarantie, dass das Umleiten von Netzwerkverkehr immer gelingt. Mit vielen Fritzbox-Modellen bei aktivem WLAN erlahmt das Netz – die Kompatibilitätsliste zum eBlocker behauptet, das sei ein Fehler in den Fritzboxen, gibt aber keinen konkreten Hinweis. Obendrein wird das eBlocker-System zum Nadelöhr für sämtlichen Netzverkehr, auch solchen, der gar nicht gefiltert werden soll.

eBlocker: Von seiner verzweigten Weboberfläche dürften eher wenige Nutzer profitieren, weil die Entwickler manche Funktion nur erfahrenen Netzwerkern empfehlen.

Kurzum: Bei aller Bequemlichkeit scheint die Automatik nicht zu taugen. Obendrein wirkt ARP-Spoofing nicht bei IPv6 – wohl ein Grund, warum eBlocker bislang empfehlen muss, IPv6 im Netz komplett abzuschalten, damit keine Daten am Filter vorbeifließen. Immerhin stellen die Entwickler in Aussicht, noch im laufenden Jahr in einer Betaversion IPv6-Unterstützung zu liefern. Pi-hole und AdGuard Home haben keinen Kummer mit IPv6.

Pi-hole: Die übersichtliche Weboberfläche ist erst nach dem Einrichten erreichbar. Ausgefallene Optionen lassen sich nur in Konfigurationsdateien beeinflussen.

Praxisnutzen

Im praktischen Betrieb als DNS-Filter reduzieren alle drei signifikant den digitalen Beifang, scheitern aber an gängigen Wünschen: YouTube-Werbung fischen sie zum Beispiel nicht heraus, weil die von den YouTube-Servern selbst ausgeliefert wird – insofern bleibt die DNS-Filtertechnik hier wirkungslos. Es gibt einige weitere Dienste, für die das gilt, unter anderem Twitch und gesponserte Beiträge in Twitter.

Zum Filtern von YouTube-Werbung wäre es nötig, die Datenströme aufzubrechen. Das fällt auf Netzwerkebene schwer, weil heute der meiste Verkehr verschlüsselt ist: Die eBlocker-Entwickler versuchen das trotzdem, indem sie den Nutzer auffordern, auf den Clients Zertifikate zu installieren, damit sie so auch den verschlüsselten Verkehr einsehen und manipulieren können. Doch das Verfahren hat viele Grenzen, etwa Apps, die per Pinning prüfen, ob sie auch wirklich mit der intendierten Gegenstelle sprechen.

Übersicht Netzwerkfilter

In der aktuellen Dokumentation raten die eBlocker-Entwickler nur erfahrenen Nutzern dazu, diese Funktionen zu aktivieren. Sie liefern allerlei Hilfestellungen, um Probleme zu erkennen und mit Ausnahmen Lösungen zu etablieren. Übrigens experimentieren auch die Entwickler von AdGuard Home mit Funktionen, um in den TLS-Verkehr hineinzusehen – aus einem Teststadium sind die Funktionen bisher aber nicht herausgekommen.

Kurzum: Wenn Sie YouTube werbefrei konsumieren wollen, dann hilft nur zusätzliche Software auf den Clients im Browser oder als App auf dem Smartphone oder ein kostenpflichtiges Abo. Die Fummelei mit Zertifikaten und das Abstimmen von Ausnahmen fressen Zeit und Energie und frustrieren im Zweifel nur Nutzer, denen Sie mit einem Werbefilter eigentlich etwas Gutes tun wollen.

Der Funktionsumfang des eBlocker geht über einen reinen DNS-Filter nicht nur mit dem optionalen Aufbrechen der TLS-Verbindungen deutlich hinaus: Der eBlocker schickt auf Wunsch des Nutzers den Verkehr von Clients durch das Tor-Netzwerk oder ein konfigurierbares VPN (zurzeit nur Zugänge, die OpenVPN verwenden). Vor Werbung schützt das beides nicht wirklich.

Quelloffen

Die Quelltexte aller drei Projekte sind auf GitHub zu haben und stehen unter GPL beziehungsweise kompatiblen Lizenzen. Pi-hole wird von einer Community entwickelt, die man mit Spenden unterstützen kann. AdGuard Home ist ein Spaltprodukt der Entwickler, die AdGuard vermarkten – AdGuard ist als kommerzieller Werbeblocker für Clients als Browser-Plug-in und App zu haben. Der Hersteller benutzt die Technik von AdGuard Home zum Betrieb seiner filternden DNS-Server im Backend seiner Produkte. eBlocker war einst als kommerzielles Produkt gestartet, wird jetzt aber ehrenamtlich, spendenfinanziert gepflegt.

Im Hinblick auf die Konfigurationsmöglichkeiten haben AdGuard Home und eBlocker dem Mitbewerber Pi-hole einiges voraus: So erlauben Sie es, für einzelne Clients Ausnahmen zu definieren – praktisch etwa, wenn man empfindliche Mitbewohner hat oder Geräten der Kinder zusätzliche Filter verpassen möchte. Gerade für letzteres bietet eBlocker am meisten Extras; es kennt zum Beispiel auch Regeln, um zeitbasiert das Internet vollständig zu blockieren.

Wenn es Ihnen wichtig ist, dass Ihre DNS-Anfragen nicht als Klartext durchs Internet huschen, verwenden Sie AdGuard Home: Es verschlüsselt auf Wunsch ausgehende DNS-Anfragen. Wenn Sie Ihren DNS-Filter öffentlich zugänglich betreiben wollen, nimmt AdGuard Home sogar eingehende Anfragen verschlüsselt entgegen (DNS over HTTPS, DNS over TLS, DNS over QUIC und DNSCrypt). Pi-hole überprüft auf Wunsch immerhin per DNSSEC die Authentizität von DNS-Antworten. eBlocker muss hier passen.

AdGuard Home eBlocker Pi-hole Linux per Skript-Installer ✓ / ✓ Raspi ✓ ✓ ✓ Fertige VM / ✓ / Docker ✓ / ✓ IPv6 ✓ / ✓ Client-Regeln ✓ ✓ ✓ DNS verschlüsselt ✓ / / Extras + ++ 0 Einfachheit + 0 ++ ++ sehr gut + gut 0 zufriedenstellend - schlecht -- sehr schlecht ✓ vorhanden / nicht vorhanden

Die Ausstattungsunterschiede setzen sich bis in die standardmäßig aktiven Blacklists fort: Pi-hole begnügt sich mit genau einer, den Rest muss der Verwalter selbst hinzufügen. AdGuard Home und eBlocker bringen einen größeren Grundstock gleich mit. Pi-hole verwendet für seine Listen reguläre Ausdrücke, die anderen beiden setzen auf das vereinfachte, sehr gängige AdBlock-Format – so können sie auf existierende Listen zurückgreifen.

Unterm Strich

Pi-hole ist das unkomplizierteste Produkt, verzichtet aber auf Extras wie Funktionen für den Kinderschutz. Client-spezifische Ausnahmen rüsten Sie über Gruppenrichtlinien nach. AdGuard Home liefert all das zum Preis einer etwas komplexeren Verwaltung. Und: Diese Software lässt sich versuchsweise direkt auf einem Mac oder einem Windows-PC ausprobieren.

eBlocker scheint ein Opfer der eigenen Ambitionen zu werden: Das Aufbrechen von TLS-Verbindungen als Man in the middle, um in die Inhalte einzugreifen, dürfte nur wenige Nutzer dauerhaft glücklich machen. Die Automatiken begrenzen seine Wirksamkeit auf ein IPv4-Netzwerk – für ein Gastnetz braucht es einen zweiten eBlocker. Der Verzicht auf IPv6 ist aus der Zeit gefallen.

In jedem Fall gilt: Wer einen solchen Netzwerkfilter jemals betrieben hat, wird nicht mehr ohne sein wollen – vorausgesetzt, die Erstbegegnung war ein positives Erlebnis. Da die Produkte tief in die Netzkonfiguration eingreifen, torpedieren sie schnell bislang anstandslos nutzbare Dinge, etwa eine Namensauflösung für lokale Geräte. Die folgenden Artikel helfen dabei, dass Ihnen und Ihren Mitnutzern Frust bei der ersten Inbetriebnahme erspart bleibt, und liefern für erfahrene Filternutzer Optimierungstipps.

(ps)