DNS-Filterung ist eine der wirkungsvollsten und gleichzeitig billigsten Sicherheitsmaßnahmen, die ein KMU einsetzen kann. Mehrere unabhängige Studien zeigen, dass ein Großteil der ersten Verbindung bei Malware-Infektionen über DNS-Auflösung läuft — und genau dort, am Resolver, lässt sich der Schaden frühzeitig unterbinden. In SOHO-Setups ist Pi-hole das populäre Werkzeug. Im KMU-Umfeld setzt sich zunehmend AdGuard Home durch: mit moderner Web-UI, eingebauter HTTPS-Verschlüsselung, DNSSEC und einer aktiv gepflegten Filterlisten-Infrastruktur. In diesem Artikel: Wann lohnt sich AdGuard Home? Wie integriert es sich mit OPNsense? Und wann reicht der eingebaute Unbound-Resolver der Firewall?
Was AdGuard Home leistet
AdGuard Home ist ein Open-Source-DNS-Resolver, der zwischen Endgeräten und dem Upstream-DNS sitzt. Hauptfunktionen:
| Funktion | Bedeutung |
|---|---|
| Blocklist-Engine | Tausende Domains aus Hosts-File-/AdGuard-Listen werden geblockt |
| DNSSEC-Validierung | Manipulationsschutz auf DNS-Ebene |
| DoT/DoH/QUIC | Upstream verschlüsselt zu Quad9, Cloudflare, NextDNS etc. |
| Per-Client-Regeln | Andere Filter für Kinderzimmer, Gäste-WLAN, Server-VLAN |
| Query-Log | Welcher Client hat wann was abgefragt? |
| Statistik & Dashboard | Top-Domains, Top-Clients, geblockte Anfragen |
| Custom DNS Records | Lokale Hostnamen ohne Active Directory |
Wer eine Demo sehen will: AdGuard Home zeigt die geblockten Anfragen im Log direkt mit Quelle der Blocklist — das ist im Audit-Fall Gold wert.
Welche Blocklists?
Die wichtigste Entscheidung ist nicht “AdGuard Home oder Pi-hole” — sondern: welche Filterlisten. Wir empfehlen für den KMU-Einsatz eine konservative Auswahl:
| Liste | Zweck | Risiko von Fehl-Treffern |
|---|---|---|
| AdGuard Base Filter | Werbung allgemein | Sehr niedrig |
| AdGuard Tracker Protection | Web-Tracker, Telemetrie | Niedrig |
| Quad9 Threat Intelligence (über Upstream-DoT) | Malware-, C2-, Phishing-Domains | Sehr niedrig |
| OISD Blocklist Small | Aggregierte Blocklist, qualitätskontrolliert | Niedrig |
| HaGeZi Light | Aggregierte Light-Variante | Niedrig |
Was wir nicht empfehlen in der Firmenumgebung:
- “Ultra”-Listen mit hohem Aggressivitäts-Level → bricht regelmäßig SaaS- und ERP-Integrationen
- Social-Media-Block-Listen → meist eher HR- als Security-Thema
- “Adult Content”-Listen → gehört in eine getrennte Content-Filter-Schicht (z.B. OPNsense ZenArmor)
Die gleiche Liste wie Quad9 als Threat-Intelligence-Quelle zu nutzen ist möglich — entweder über DoT zu Quad9 als Upstream oder über direkten Bezug der Quad9-Liste, falls man die volle Kontrolle behalten will.
Architektur in OPNsense-Umgebungen
Wir betreiben AdGuard Home typischerweise nicht auf OPNsense selbst, sondern daneben — als eigene VM oder LXC auf Proxmox. Gründe:
- Trennung der Aufgaben: Firewall macht Routing/Filter, DNS-Resolver macht DNS-Resolver
- Updates entkoppelt: OPNsense-Update bricht AdGuard nicht
- Ressourcen kalkulierbar: AdGuard nutzt CPU/RAM unabhängig vom Firewall-Pfad
Das Setup im Überblick:
Endgeräte → DHCP gibt OPNsense als DNS aus
↓
OPNsense Unbound (Forward-Mode)
↓
AdGuard Home (Filter + Resolver)
↓
Upstream: Quad9 DoT (oder Cloudflare DoH)OPNsense bleibt der per-DHCP ausgelieferte DNS-Server — so funktionieren auch interne Hostnamen, Reverse-DNS und die Firewall-Aliases mit FQDN. Unbound auf OPNsense ist im Forward-Mode zu AdGuard konfiguriert; AdGuard übernimmt die Filterung und Upstream-Verschlüsselung.
Alternativ: Endgeräte zeigen direkt auf AdGuard und AdGuard kennt lokale Override-Einträge. Funktioniert ebenfalls, aber dann übernimmt AdGuard auch die Auflösung lokaler Hostnamen — was die Web-UI mit Statistiken über lokale Service-Discovery verschmutzt.
Installation als LXC auf Proxmox
Schlankester Weg: AdGuard Home in einem Debian-LXC mit 1 vCPU und 512 MB RAM. Das reicht für hundert Endgeräte locker.
# In der LXC nach Standard-Debian-Setup
wget https://static.adguard.com/adguardhome/release/AdGuardHome_linux_amd64.tar.gz
tar xzf AdGuardHome_linux_amd64.tar.gz
cd AdGuardHome
./AdGuardHome -s installErste Web-UI ist auf Port 3000 erreichbar, danach umkonfigurierbar auf Port 80/443. TLS-Zertifikat aus dem internen Let’s-Encrypt-Setup oder von OPNsense ACME beziehen — wer keine HTTPS-UI möchte, sollte den Zugriff per VLAN-Filter auf die IT-Subnetz-Range einschränken.
Für Hochverfügbarkeit: Zwei AdGuard-Instanzen auf zwei Proxmox-Nodes, OPNsense Unbound forwarded an beide. AdGuard selbst hat keine eingebauten Cluster-Mechanismen, aber zwei unabhängige Instanzen mit identischer Konfiguration reichen für die Praxis — Sync-Tool wie AGH-Sync kann optional die Listen abgleichen.
Vergleich: AdGuard Home, Pi-hole, OPNsense Unbound
| Aspekt | AdGuard Home | Pi-hole | OPNsense Unbound (Blocklists) |
|---|---|---|---|
| Web-UI | Modern, JSON-API, dark mode | Klassisch, gewohnt | In OPNsense GUI integriert |
| Per-Client-Regeln | Ja, granular | Ja, ab v6 | Eingeschränkt |
| DoT/DoH Upstream | Eingebaut | Plug-in/Manuell | Über cloudflared/stubby |
| Statistik | Sehr gut | Sehr gut | Minimal |
| Update-Komfort | Single Binary | apt/Container | OPNsense-Update |
| Eigene Hardware nötig | LXC/VM, klein | Raspberry Pi reicht | Keine zusätzliche |
| Multi-Tenant | Per-Client | Per-Client (v6) | Nein |
| Mehrsprachig | Ja, gut gepflegt | Ja | Deutsch teilweise |
Pi-hole ist gerade im SOHO- und Home-Lab-Bereich das vertraute Werkzeug. Im KMU-Kontext gewinnt AdGuard Home oft an drei Punkten: native DoT/DoH-Unterstützung ohne Beiwerk, ein klares UI für IT-Verantwortliche, die nicht täglich damit arbeiten, und eine REST-API, über die sich Listen automatisiert pflegen lassen.
OPNsense Unbound mit Blocklist-Plug-in reicht für kleinste Umgebungen völlig aus — ein 10-Personen-Büro mit einer einfachen Blocklist-Konfiguration braucht keine separate AdGuard-Instanz. Die Trennung lohnt sich, sobald per-Client-Regeln, detaillierte Statistik oder ein zentrales Reporting gewünscht sind.
Datenschutz und Logging
Pragmatischer Hinweis: AdGuard Home loggt per Default jede DNS-Anfrage mit Quell-IP. Das ist betrieblich nützlich (Troubleshooting, Audit nach Vorfall), aber DSGVO-relevant, sobald die Quell-IP einer Person zuordenbar ist.
Empfehlung:
- Query-Log-Aufbewahrung auf 24h oder 7 Tage begrenzen
- Anonymisierung über AdGuard-Einstellung “anonymize client IPs” aktivieren, sobald nicht für aktive Diagnose gebraucht
- Betriebsvereinbarung mit Betriebsrat klären, was geloggt wird
- Audit-Modus für Sicherheitsvorfälle: kurzfristig volles Logging einschalten, danach wieder reduzieren
Eine zentral installierte DNS-Filterung ist DSGVO-konform betreibbar — sie braucht aber dokumentierte Logging-Praxis.
Wann lohnt sich AdGuard Home konkret?
- 5–50 Mitarbeiter, OPNsense im Einsatz: AdGuard Home als LXC neben OPNsense — Standard-Empfehlung
- 50–250 Mitarbeiter: AdGuard Home in zwei Instanzen für Redundanz, OPNsense forwarded
- Größer als 250 Mitarbeiter, Active Directory dominant: AdGuard Home parallel zum AD-DNS, AD-DNS forwarded an AdGuard
- Reines Home-Office / SOHO: Pi-hole oder direkt OPNsense Unbound mit Blocklist reicht
Verwandte Artikel:
- OPNsense WireGuard VPN einrichten
- OPNsense vs. pfSense im Vergleich
- Netzwerk-Segmentierung mit VLANs in OPNsense
- Linux-Server-Hardening
Fazit
AdGuard Home ist 2026 das mit Abstand pragmatischste Werkzeug, um in einer mittelständischen IT-Umgebung eine zentrale DNS-Filterung aufzustellen — leichtgewichtig, übersichtlich, ohne Hersteller-Lock-in. Wer OPNsense bereits einsetzt, hat das Werkzeug-Set fast vollständig vor sich: eine LXC, eine Forward-Konfiguration, eine konservativ kuratierte Blocklist-Auswahl. Wir installieren das bei vielen Kunden in einem halben Tag und es läuft danach jahrelang unauffällig — was die beste Eigenschaft ist, die eine Sicherheitskomponente haben kann.
Quellen
Mehr zu diesen Themen:
Weitere Artikel
Home-Office-IT: Mitarbeiter sicher anbinden
Sicheres Home-Office im KMU: VPN mit OPNsense, MDM, RDP-Gateway, Vaultwarden, MFA mit Yubikey. Konfigurations-Blueprint vom Notebook über VPN bis zur Terminal-Session.
NetBird vs. Tailscale: Mesh-VPN für verteilte Teams
NetBird und Tailscale im direkten Vergleich: Beide nutzen WireGuard. Unterschiede bei Self-Hosting, Lizenz, Control Plane und Use Cases — plus Setup-Beispiel mit NetBird und OPNsense.
Authentik: Single Sign-On für Self-Hosted-Dienste
Authentik als selbstgehosteter SSO- und Identity-Provider: OIDC, SAML2, LDAP, MFA. Beispiel-Setup mit Nextcloud, GitLab und Vaultwarden — plus Vergleich zu Authelia.