Pi-hole installeren is de meest effectieve manier om advertenties, trackers en malware op je hele thuisnetwerk te blokkeren. Deze DNS-sinkhole draait lokaal op een apparaat zoals een Raspberry Pi of in een Docker-container. Het systeem filtert ongewenste verbindingen voordat ze je smartphone, smart-tv of laptop bereiken. In 2026 is de installatie dankzij Pi-hole v6 en het nieuwe Raspberry Pi OS Trixie sneller en stabieler dan ooit. Met een DNS-reactietijd van minder dan 5 milliseconden merk je geen enkele vertraging tijdens het browsen.
Wil je weten hoe je [INTERNAL:wat-is-een-dns-server]Pi-hole vanaf nul opbouwt[/INTERNAL], koppelt aan Unbound voor maximale privacy, en de nieuwste OISD-blocklists toevoegt? Volg dan dit complete stappenplan. We behandelen zowel de standaard installatie via de command line als de moderne uitrol via Docker Compose.
Wat is Pi-hole en waarom heb je het in 2026 nodig?
Pi-hole fungeert als een netwerkbrede adblocker. Waar je normaal gesproken een adblock-extensie in je browser installeert, werkt Pi-hole op het niveau van je netwerk. Je stelt het IP-adres van je Pi-hole in als de primaire DNS-server op je router. Vanaf dat moment loopt elk DNS-verzoek (bijvoorbeeld de vraag: “Wat is het IP-adres van adserver.com?”) via de Pi-hole.
Staat het opgevraagde domein op een interne zwarte lijst (blocklist)? Dan stuurt Pi-hole een leeg antwoord terug (sinkholing). De advertentie of tracker kan niet inladen, wat resulteert in een schoner, sneller en veiliger internet. Dit werkt niet alleen op pc’s, maar ook op apparaten waar je geen adblocker op kunt installeren, zoals smart-tv’s, IoT-apparaten en gameconsoles.
Nieuw in Pi-hole v6 (2026 updates)
Per april 2026 is Pi-hole FTL v6.6.1 en Web v6.5 de standaard. Als je Pi-hole nu installeert, profiteer je van diverse moderne verbeteringen ten opzichte van oudere versies:
- Asynchroon opstarten: Voorheen blokkeerde Pi-hole DNS-verzoeken totdat de volledige query-geschiedenis in het geheugen was geladen. In 2026 accepteert Pi-hole direct DNS-verzoeken, terwijl de database op de achtergrond wordt ingeladen.
- SQLite optimalisaties voor oude hardware: Heb je een oudere Raspberry Pi met weinig werkgeheugen? Met de nieuwe
database.forceDiskinstelling draait de database direct vanaf de opslag in plaats van in het RAM-geheugen, wat crashes voorkomt. - Snellere gravity-updates: Het updaten van miljoenen regels aan blocklists (het
pihole -gproces) gaat aanzienlijk sneller dankzij efficiëntere domeinvalidatie in de broncode. - Ingebouwde Dark Mode: De webinterface heeft een native, verbeterde donkere modus en versterkte Content Security Policy (CSP) headers voor extra veiligheid.
Hardware en voorbereiding voor je netwerk
Voordat je begint met Pi-hole installeren, heb je de juiste hardware en software nodig. Omdat Pi-hole zeer efficiënt is, hoef je geen dure server aan te schaffen.
Raspberry Pi 5 of Zero 2 W?
De populairste hardware voor Pi-hole is een Raspberry Pi. In 2026 zijn er twee uitstekende keuzes:
- Raspberry Pi Zero 2 W: Ruimschoots krachtig genoeg voor Pi-hole op een standaard thuisnetwerk. Het verbruikt nauwelijks stroom (minder dan 1 watt) en is goedkoop.
- Raspberry Pi 5 (of 4): Als je naast Pi-hole ook andere diensten wilt draaien (zoals een VPN, Home Assistant of een NAS), is de Raspberry Pi 5 de beste keuze dankzij de gigabit ethernetpoort en snellere processor.
Naast de Pi heb je een betrouwbare microSD-kaart nodig (bij voorkeur een ‘High Endurance’ model van minimaal 16 GB, omdat Pi-hole veel logbestanden wegschrijft) en een officiële voeding.
Raspberry Pi OS Trixie installeren
In 2026 is Debian 13, codenaam ‘Trixie’, de basis voor het officiële Raspberry Pi OS. Dit besturingssysteem maakt gebruik van een 64-bit architectuur en de Linux 6.12 kernel. Volg deze stappen om het OS voor te bereiden:
- Download en open de Raspberry Pi Imager op je Windows, Mac of Linux computer.
- Klik op Kies Apparaat en selecteer jouw model Raspberry Pi.
- Klik op Kies OS. Ga naar ‘Raspberry Pi OS (Other)’ en selecteer Raspberry Pi OS Lite (64-bit). De Lite-versie heeft geen grafische interface, wat perfect is voor een server; het bespaart geheugen en stroom.
- Klik op Kies Opslag en selecteer je microSD-kaart.
- Klik op Volgende. Er verschijnt een pop-up met de vraag of je de OS-instellingen wilt aanpassen. Klik op Instellingen bewerken.
- Stel een hostnaam in (bijvoorbeeld
pihole). - Schakel SSH in en kies voor wachtwoordauthenticatie.
- Maak een gebruikersnaam en wachtwoord aan (bijvoorbeeld gebruiker
pi-adminmet een sterk wachtwoord). - Vul je wifi-gegevens in als je geen netwerkkabel gebruikt (ethernet is sterk aanbevolen voor een DNS-server).
- Sla de instellingen op en klik op Schrijf. Wacht tot het proces is voltooid, stop de SD-kaart in de Pi en voorzie deze van stroom.
Stap-voor-stap Pi-hole installeren via de terminal
Nu het besturingssysteem draait, kunnen we de daadwerkelijke Pi-hole software installeren. Omdat we de Lite-versie gebruiken, doen we dit volledig via de command line (headless).
Stap 1: SSH-verbinding maken
Zoek eerst het IP-adres van je Raspberry Pi op. Dit kun je vinden door in te loggen op de webinterface van je router en de lijst met verbonden apparaten (DHCP-clients) te bekijken. Laten we aannemen dat het IP-adres 192.168.1.50 is.
Open een terminal (Mac/Linux) of Command Prompt/PowerShell (Windows) en typ:
ssh pi-admin@192.168.1.50
Typ yes om de vingerafdruk te accepteren en voer je wachtwoord in. Je bent nu ingelogd op de Raspberry Pi.
Stap 2: Het systeem updaten en het script uitvoeren
Zorg dat je nieuwe Trixie-installatie volledig up-to-date is met de volgende commando’s:
sudo apt update && sudo apt upgrade -y
Start vervolgens het officiële Pi-hole installatiescript. Dit script downloadt alle benodigde pakketten en start een visuele wizard in je terminal:
curl -sSL https://install.pi-hole.net | bash
Stap 3: De installatiewizard doorlopen
De wizard stelt je een aantal vragen. Gebruik de pijltjestoetsen om te navigeren en de spatiebalk om selecties te maken.
- Statisch IP-adres: De wizard waarschuwt dat Pi-hole een statisch IP-adres nodig heeft. Bevestig dat je het huidige IP-adres (bijv. 192.168.1.50) als statisch wilt instellen.
- Upstream DNS Provider: Je moet tijdelijk een upstream DNS-server kiezen, zoals Google (8.8.8.8) of Cloudflare (1.1.1.1). Later in deze gids vervangen we dit door onze eigen Unbound-server.
- Blocklists: Accepteer de standaard StevenBlack-lijst. We voegen later meer lijsten toe.
- Web Interface: Kies ‘Yes’ om de admin webinterface te installeren (vereist de lighttpd webserver).
- Logging: Zet logging op ‘On’ en kies voor ‘Show Everything’ (Privacy level 0) zodat je in het dashboard precies kunt zien welke apparaten welke domeinen opvragen.
Aan het einde van de installatie toont het scherm je admin-wachtwoord. Schrijf dit op, of wijzig het direct in de volgende stap.
Stap 4: Het admin-wachtwoord wijzigen
Ben je het willekeurig gegenereerde wachtwoord vergeten of wil je een eigen wachtwoord instellen? Typ dan het volgende commando in de terminal:
pihole -a -p
Voer je nieuwe wachtwoord in. Je kunt nu inloggen op het dashboard via je browser door te navigeren naar http://192.168.1.50/admin.
Pi-hole installeren via Docker (Compose & Synology)
Heb je al een thuisserver draaien, zoals een Synology NAS, een Unraid-systeem of een Linux-server met Docker? Dan is Pi-hole installeren via Docker vaak de schoonste methode. Het houdt je basissysteem vrij van extra software en maakt updaten een kwestie van de container herstarten.
Het docker-compose.yml bestand voor 2026
Maak een nieuwe map aan op je server, bijvoorbeeld pihole, en maak daarin een bestand genaamd docker-compose.yml. Gebruik de stabiele 2026-tags om onverwachte breuken te voorkomen:
services:
pihole:
container_name: pihole
image: pihole/pihole:2026.04.0
ports:
- "53:53/tcp"
- "53:53/udp"
- "80:80/tcp"
environment:
TZ: 'Europe/Amsterdam'
WEBPASSWORD: 'JouwSterkeWachtwoord'
volumes:
- './etc-pihole:/etc/pihole'
- './etc-dnsmasq.d:/etc/dnsmasq.d'
restart: unless-stopped
Start de container via de terminal met het commando docker compose up -d. De volumes zorgen ervoor dat je configuratie en query-geschiedenis bewaard blijven, zelfs als je de container verwijdert of updatet.
Conflicten met poort 53 oplossen (Synology en Ubuntu)
Een veelvoorkomend probleem bij het [INTERNAL:dns-server-reageert-niet]opzetten van een DNS-server[/INTERNAL] via Docker is dat poort 53 al in gebruik is door het host-systeem. Op Ubuntu maakt systemd-resolved vaak gebruik van deze poort. Op een Synology NAS kan de ingebouwde DNS Server-app de oorzaak zijn.
Om dit op Ubuntu op te lossen, moet je de lokale DNS-stub uitschakelen:
- Open het configuratiebestand:
sudo nano /etc/systemd/resolved.conf - Verander de regel
#DNSStubListener=yesnaarDNSStubListener=no. - Sla op en herstart de service:
sudo systemctl restart systemd-resolved.
Nu is poort 53 vrij en zal je Pi-hole container zonder foutmeldingen opstarten.
Pi-hole + Unbound: je eigen recursieve DNS-server
Standaard stuurt Pi-hole de DNS-verzoeken die niet geblokkeerd worden door naar een commerciële partij zoals Google of Cloudflare. Dit betekent dat die bedrijven alsnog precies kunnen zien welke websites jij bezoekt. De oplossing? Je eigen recursieve DNS-server draaien met Unbound.
Wat is Unbound en hoe werkt het?
Een recursieve DNS-server gaat zelf op zoek naar het IP-adres van een domein door de hiërarchie van het internet af te lopen. Wil je naar pi-hole.net? Dan vraagt Unbound eerst aan de root-servers (.) wie de .net servers beheert. Vervolgens vraagt het de .net servers wie pi-hole.net beheert. Zo haal je het antwoord direct bij de bron, zonder tussenpersoon. Je internetprovider (ISP) of Google kan je DNS-verkeer niet meer profileren.
Unbound installeren en configureren
Log via SSH in op je Raspberry Pi en installeer Unbound:
sudo apt install -y unbound
Unbound heeft een lijst met root-servers nodig om te weten waar het zijn zoektocht moet beginnen. Download de meest actuele lijst (root hints) met dit commando:
sudo curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.root
Maak nu het specifieke configuratiebestand voor Pi-hole aan:
sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf
Plak de volgende geoptimaliseerde configuratie exact in het bestand. Deze configuratie zorgt ervoor dat Unbound alleen luistert naar de lokale Pi-hole (op poort 5335) en DNSSEC-handtekeningen verifieert om [INTERNAL:wat-is-dns-spoofing]DNS-spoofing[/INTERNAL] te voorkomen:
server:
verbosity: 0
interface: 127.0.0.1
port: 5335
do-ip4: yes
do-udp: yes
do-tcp: yes
do-ip6: no
prefer-ip6: no
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: no
edns-buffer-size: 1232
prefetch: yes
num-threads: 1
so-rcvbuf: 1m
Sla het bestand op (Ctrl+O, Enter, Ctrl+X) en herstart de Unbound service:
sudo systemctl restart unbound
sudo systemctl enable unbound
Pi-hole koppelen aan Unbound
Nu Unbound draait op poort 5335, moeten we Pi-hole vertellen om deze te gebruiken.
- Ga naar de Pi-hole webinterface (
http://192.168.1.50/admin) en log in. - Klik in het linkermenu op Settings en ga naar het tabblad DNS.
- Vink aan de linkerkant alle commerciële Upstream DNS Servers (zoals Google of Quad9) uit.
- Vink aan de rechterkant Custom 1 (IPv4) aan en vul in:
127.0.0.1#5335. - Scroll naar beneden en klik op Save.
Gefeliciteerd, je hebt nu een volledig onafhankelijke, privacy-vriendelijke DNS-setup.
De beste blocklists van 2026 toevoegen (OISD & HaGezi)
Een verse Pi-hole installatie bevat standaard de StevenBlack Unified Hosts-lijst. Deze blokkeert ongeveer 150.000 tot 200.000 bekende advertentie- en malwaredomeinen. Om het maximale uit je adblocker te halen, kun je extra lijsten toevoegen. Let op: in 2026 is kwaliteit belangrijker dan kwantiteit. Miljoenen domeinen blokkeren zorgt vaak voor kapotte websites (false positives).
OISD: de ultieme ‘girlfriend-test’ lijst
De OISD blocklist is in 2026 de populairste keuze voor thuisnetwerken. De maker van deze lijst hanteert een strikt beleid: functionaliteit gaat boven alles. Als een blokkade ervoor zorgt dat een legitieme app, smart-tv of website breekt, wordt het domein van de lijst gehaald. Dit wordt ook wel de ‘girlfriend-test’ genoemd: je huisgenoten zullen niet klagen dat het internet stuk is.
Belangrijk voor 2026: OISD is gestopt met het aanbieden van de verouderde HOSTS-syntax. Gebruik de standaard ABP/Wildcard links. Voor Pi-hole gebruik je de ‘Big’ lijst:
- OISD Big:
https://big.oisd.nl(Blokkeert ads, telemetrie, phishing en malware). - OISD NSFW:
https://nsfw.oisd.nl(Optioneel, blokkeert expliciete 18+ content en shock-sites).
HaGezi Pro: voor de geavanceerde blokkeerder
Wil je agressiever blokkeren en vind je het niet erg om af en toe zelf een domein te whitelisten? Dan is de HaGezi Pro blocklist een uitstekend alternatief. Deze lijst blokkeert aanzienlijk meer trackers van smart-tv’s en Windows-telemetrie.
Hoe voeg je een blocklist toe?
- Ga in de Pi-hole webinterface naar Adlists (in het linkermenu).
- Plak de URL (bijvoorbeeld
https://big.oisd.nl) in het veld Address. - Klik op Add.
- Ga naar Tools > Update Gravity en klik op de grote blauwe knop Update. Pi-hole downloadt nu de nieuwe lijsten en voegt ze samen in de SQLite database. Dit proces duurt enkele minuten.
Pi-hole instellen voor je hele netwerk (Router configuratie)
Om ervoor te zorgen dat alle apparaten in huis via Pi-hole lopen, moet je de DNS-instellingen van je router aanpassen. Dit is de meest kritieke stap.
- Log in op de webinterface van je router (vaak
192.168.1.1of192.168.178.1). - Zoek naar de DHCP-instellingen of LAN-instellingen.
- Zoek de velden voor Primaire DNS en Secundaire DNS.
- Vul bij de Primaire DNS het IP-adres van je Pi-hole in (bijv.
192.168.1.50). - Cruciaal: Laat de Secundaire DNS leeg (of vul hetzelfde Pi-hole IP in). Als je hier een server zoals
8.8.8.8invult als ‘back-up’, zullen apparaten zoals iPhones en Android-telefoons deze server willekeurig gebruiken, waardoor advertenties alsnog doorkomen. - Sla de instellingen op. Verbreek de wifi-verbinding op je apparaten en maak opnieuw verbinding om de nieuwe DNS-gegevens op te halen.
Wat als [INTERNAL:kpn-dns-instellen]je router (zoals KPN of Ziggo) geen DNS-wijziging toestaat?[/INTERNAL]
Sommige providers sluiten hun routers af, waardoor je de DNS niet kunt wijzigen. De oplossing hiervoor is de DHCP-functie van je router uitschakelen en Pi-hole als DHCP-server gebruiken.
- Zoek in je router naar de DHCP-server en zet de schakelaar op Uit of Disable. Sla dit op.
- Ga naar de Pi-hole webinterface, klik op Settings en vervolgens op het tabblad DHCP.
- Vink DHCP server enabled aan.
- Controleer of de Range of IP addresses correct is (bijv.
192.168.1.100tot192.168.1.250) en of het IP van je router bij Router (gateway) staat. - Klik op Save. Pi-hole deelt nu IP-adressen én zichzelf als DNS-server uit aan je netwerk.
AdGuard Home vs NextDNS vs Pi-hole (2026 vergelijking)
Is Pi-hole in 2026 nog steeds de beste keuze? Laten we het vergelijken met de twee grootste concurrenten: [INTERNAL:adguard-home-installeren]AdGuard Home[/INTERNAL] en NextDNS.
| Functie | Pi-hole | AdGuard Home | NextDNS |
|---|---|---|---|
| Hosting | Lokaal (Self-hosted) | Lokaal (Self-hosted) | Cloud (SaaS) |
| Kosten | Gratis | Gratis | Gratis tot 300k queries, daarna €1,99/mnd |
| Installatie | Script of Docker | Enkele binary of Docker | Account aanmaken |
| Ingebouwde DoH/DoT | Nee (vereist cloudflared/unbound) | Ja, native ondersteuning | Ja, native ondersteuning |
| Mobiel buiten de deur | Vereist VPN (Tailscale/WireGuard) | Vereist VPN | Native apps (werkt overal) |
| Interface & Dashboard | Uitgebreid, technisch (v6 Dark Mode) | Modern, gebruiksvriendelijk | Minimalistisch, cloud-dashboard |
Welke moet je kiezen?
Kies Pi-hole als je de maximale controle wilt, graag met Linux werkt en de krachtige combinatie met Unbound wilt gebruiken. Kies AdGuard Home als je DNS-over-HTTPS (DoH) out-of-the-box wilt zonder extra configuratie. Kies NextDNS als je geen eigen hardware (Raspberry Pi) wilt onderhouden en je smartphones ook via 4G/5G reclamevrij wilt houden zonder een VPN op te zetten.
Back-ups maken en veelvoorkomende problemen oplossen
Een DNS-server is een kritiek onderdeel van je netwerk. Als de Pi-hole uitvalt, heeft niemand in huis internet. Goed beheer is daarom essentieel.
Back-ups maken met Teleporter
Heb je uren besteed aan het toevoegen van specifieke whitelist-domeinen en DHCP-reserveringen? Maak dan een back-up. Pi-hole heeft hiervoor de Teleporter functie.
Ga in de webinterface naar Settings > Teleporter en klik op Backup. Je downloadt nu een .tar.gz archief met al je instellingen. In Pi-hole v6 werkt deze export feilloos, zelfs als je migreert van een bare-metal Raspberry Pi installatie naar een Docker-container.
Probleem: DNS-server reageert niet
Krijg je op je apparaten de melding dat de DNS-server niet reageert? Controleer het volgende:
- Log via SSH in op de Pi en controleer de status met
pihole status. - Als de DNS-service offline is, herstart deze dan met het commando:
pihole restartdns. - Controleer of de Raspberry Pi een ander IP-adres heeft gekregen van de router (als je vergeten bent deze statisch te maken).
- Gebruik je Unbound? Controleer of de service draait met
sudo systemctl status unbound. Als deze is gecrasht, controleer dan het logboek viasudo journalctl -u unbound -n 50.
Veelgestelde vragen
Is Pi-hole veilig om te gebruiken?
Ja, Pi-hole is extreem veilig. Omdat de software lokaal op je eigen netwerk draait, verlaten je DNS-gegevens je huis niet (zeker niet in combinatie met Unbound). De software is open-source, wat betekent dat duizenden ontwikkelaars de code controleren op kwetsbaarheden.
Blokkeert Pi-hole ook YouTube- en Twitch-advertenties?
Nee. Pi-hole blokkeert op domeinniveau. YouTube en Twitch serveren hun video-advertenties vanaf exact dezelfde domeinen als de daadwerkelijke video’s (bijv. googlevideo.com). Als Pi-hole dat domein blokkeert, stopt de video ook met spelen. Voor YouTube-ads heb je nog steeds een browser-extensie zoals uBlock Origin nodig.
Wat gebeurt er als de Raspberry Pi stroom verliest?
Als de Pi-hole uitvalt, kunnen de apparaten in je netwerk geen domeinnamen meer omzetten naar IP-adressen. Het internet lijkt dan ‘plat’ te liggen, hoewel directe IP-verbindingen nog werken. Je kunt dit oplossen door de Pi opnieuw op te starten, of tijdelijk de DNS in je router terug te zetten naar automatisch (ISP default).
Kan ik Pi-hole buiten de deur gebruiken op 4G/5G?
Standaard werkt Pi-hole alleen op je thuis-wifi. Je kunt dit echter veilig uitbreiden door een VPN-server op dezelfde Raspberry Pi te installeren. In 2026 is Tailscale de makkelijkste methode. Door de Tailscale-app op je telefoon te zetten en de Pi-hole in te stellen als Tailnet DNS, surf je overal ter wereld advertentievrij via je eigen Pi-hole.
Hoe update ik Pi-hole naar de nieuwste versie?
Als je Pi-hole via de terminal hebt geïnstalleerd, log je in via SSH en voer je het commando pihole -up uit. Het systeem controleert op updates voor de Core, Web en FTL componenten en installeert deze automatisch. Gebruik je Docker? Dan pas je de image-tag aan in je docker-compose.yml (bijv. naar een nieuwere release) en voer je docker compose up -d opnieuw uit.