Saltar al contenido
Volver

Pi-hole en un home lab: DNS limpio, menos anuncios y más control

Hay una parte de Internet que normalmente nadie mira: las consultas DNS. Antes de abrir una web, una app, un televisor inteligente o una consola, casi siempre ocurre una pregunta silenciosa:

¿Dónde está este dominio?

Tu equipo pregunta por un nombre como example.com, recibe una IP y entonces conecta. Eso pasa miles de veces al día en una casa normal. Celulares, laptops, televisores, cámaras, consolas, bocinas, tablets, dispositivos IoT… todos viven preguntando cosas por DNS.

Pi-hole aprovecha justamente ese punto. En vez de instalar bloqueadores en cada dispositivo, pones un DNS local dentro de tu red y dejas que filtre dominios conocidos de anuncios, trackers, telemetría y basura repetitiva antes de que tus equipos siquiera intenten conectarse.

No es magia, no reemplaza un firewall y no hace tu red invencible. Pero para un home lab, una casa o una oficina pequeña, es una de esas herramientas simples que dan demasiado valor para lo poco que cuesta montarla.

Qué es Pi-hole

Pi-hole es un servidor DNS local con bloqueo por listas. Funciona como intermediario entre tus dispositivos y los DNS públicos de Internet.

El flujo normal sería algo así:

Laptop → DNS del proveedor / Google / Cloudflare → respuesta

Con Pi-hole:

Laptop → Pi-hole → DNS upstream → respuesta

Si el dominio está permitido, Pi-hole responde o consulta hacia afuera. Si el dominio está en una lista de bloqueo, Pi-hole corta la consulta y el dispositivo no llega a conectar con ese destino.

Ejemplo conceptual:

ads.tracker-example.com → bloqueado
blog.devops.com.do      → permitido

La ventaja de hacerlo a nivel DNS es que no depende de instalar extensiones en cada navegador. Funciona para muchos dispositivos de la red: celulares, tablets, televisores, laptops, servidores, contenedores y hasta equipos que no permiten instalar bloqueadores.

Por qué usarlo en un home lab

Pi-hole suele entrar por el tema de bloquear anuncios, pero en un home lab termina sirviendo para mucho más.

1. Menos anuncios y trackers en toda la red

La primera mejora visible es reducir anuncios, popups, dominios de tracking y telemetría innecesaria. No elimina todo —especialmente anuncios servidos desde el mismo dominio del contenido— pero sí limpia bastante tráfico repetitivo.

Donde más se nota:

No esperes que YouTube quede sin anuncios por arte de DNS. Eso sería bonito, pero Internet no nos quiere tanto. Pi-hole bloquea dominios, no modifica contenido dentro de una plataforma.

2. Más visibilidad de lo que pasa en tu red

Una de las mejores partes de Pi-hole es su dashboard. Puedes ver qué dispositivos preguntan más, cuáles dominios se consultan, qué se bloquea y qué se permite.

Eso ayuda a responder preguntas como:

Para un home lab, esa visibilidad vale oro. Muchas veces descubres cosas que no sabías que estaban pasando. No necesariamente son ataques; a veces solo es una nevera inteligente con complejo de influencer.

3. DNS local para servicios internos

Pi-hole también puede ayudarte a resolver nombres dentro de tu red.

En vez de memorizar IPs como:

http://10.0.0.18:3000
http://192.168.1.50:8080

puedes crear nombres locales:

dashboard.home
nas.home
proxmox.home
printer.home
pihole.home

Eso hace el home lab más cómodo y menos frágil. Si cambias una IP, actualizas el registro local y listo.

También puedes combinarlo con un dominio real o un subdominio interno, por ejemplo:

nas.lan.example.com
homeassistant.lan.example.com
monitoring.lan.example.com

La idea es simple: que tus servicios tengan nombres humanos, no coordenadas de mapa pirata.

4. Control centralizado

Sin Pi-hole, cada equipo puede usar un DNS distinto. Uno usa el del proveedor, otro Google, otro Cloudflare, otro el DNS que le dio una VPN, y así tienes una ensalada difícil de auditar.

Con Pi-hole, puedes centralizar:

Eso no solo mejora privacidad. También reduce dolores de cabeza cuando algo falla.

5. Es barato y fácil de mantener

Pi-hole puede correr en casi cualquier equipo encendido 24/7:

No necesita una máquina poderosa. DNS es liviano. Lo importante es que sea estable, tenga IP fija y no lo apagues cada vez que limpias el escritorio.

Opciones para implementarlo

Hay varias formas de montar Pi-hole. La mejor depende de lo que ya tengas.

Opción 1: Pi-hole en Raspberry Pi

Esta es la instalación clásica. Una Raspberry Pi consume poco, puede vivir conectada al router y es suficiente para una red doméstica.

Cuándo conviene

Usa Raspberry Pi si quieres:

Requisitos básicos

Ethernet es preferible porque DNS debe responder rápido y siempre. Wi-Fi funciona, pero si el Wi-Fi falla, tu DNS también. Y cuando DNS falla, todo parece caído aunque el Internet siga vivo.

Instalación básica

En una Raspberry Pi con Linux:

curl -sSL https://install.pi-hole.net | bash

El instalador te guía por:

Después puedes entrar al panel:

http://IP-DE-TU-PI/admin

Y cambiar la contraseña con:

pihole setpassword

Sí, es un curl | bash. En producción uno debe tener cuidado con ese patrón. En este caso es el instalador oficial de Pi-hole, pero igual conviene revisar la documentación oficial antes de correr comandos en tu red. Copiar y pegar comandos de Internet como si fueran horóscopo nunca es buena religión.

Opción 2: Pi-hole en Docker Compose

Para un home lab con Docker, esta suele ser la opción más cómoda. Puedes versionar la configuración, reiniciar fácil y mover el servicio a otro host si hace falta.

Cuándo conviene

Usa Docker si ya tienes:

Ejemplo de docker-compose.yml

services:
  pihole:
    image: pihole/pihole:latest
    container_name: pihole
    hostname: pihole
    restart: unless-stopped
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
    environment:
      TZ: "America/Santo_Domingo"
      FTLCONF_webserver_api_password: "cambia-esta-clave"
      FTLCONF_dns_listeningMode: "all"
    volumes:
      - ./etc-pihole:/etc/pihole
      - ./etc-dnsmasq.d:/etc/dnsmasq.d

Levantas el servicio:

docker compose up -d

Y revisas logs:

docker logs -f pihole

Luego abres:

http://IP-DEL-SERVIDOR/admin

Nota importante sobre el puerto 53

DNS usa el puerto 53. Si el host ya tiene un servicio usando ese puerto, Docker no podrá levantar Pi-hole correctamente.

En Linux moderno, a veces systemd-resolved usa el puerto 53 local. Puedes verificar con:

sudo ss -tulpn | grep ':53'

Si hay conflicto, tienes varias opciones:

Para principiantes, una VM pequeña o Raspberry Pi puede ser más simple que pelearse con redes avanzadas de Docker.

Opción 3: Pi-hole en una VM o mini servidor

Si tienes Proxmox, VMware, Hyper-V, VirtualBox o un mini PC con Linux, una VM pequeña funciona perfecto.

Recursos típicos:

CPU: 1 vCPU
RAM: 512 MB - 1 GB
Disco: 8 - 16 GB
Sistema: Debian o Ubuntu Server

La ventaja de una VM es el aislamiento. Pi-hole no compite con otros servicios del host, puedes hacer snapshots antes de cambios y moverlo más fácil.

Esta opción es muy buena si tu home lab ya vive en Proxmox o en un mini servidor encendido todo el día.

Opción 4: Pi-hole en un NAS

Algunos NAS permiten correr contenedores o paquetes comunitarios. Si tu NAS siempre está encendido, puede ser buen lugar para Pi-hole.

Solo hay que cuidar dos cosas:

  1. que el NAS tenga IP fija;
  2. que el servicio arranque automáticamente después de reinicios.

Si el NAS tarda mucho en arrancar después de un apagón, tu red puede quedarse sin DNS por unos minutos. No es grave si tienes DNS secundario, pero conviene saberlo.

Cómo hacer que la red use Pi-hole

Instalar Pi-hole es la mitad del trabajo. La otra mitad es hacer que tus equipos realmente lo usen.

Hay tres formas comunes.

Método 1: configurar Pi-hole como DNS en el router

La forma más limpia es entrar al router y decirle que entregue la IP de Pi-hole como DNS por DHCP.

Ejemplo:

DNS principal: IP-DE-PIHOLE
DNS secundario: vacío o segundo Pi-hole

Después, cuando tus dispositivos renuevan DHCP, empiezan a usar Pi-hole automáticamente.

Esta opción es ideal porque no tienes que configurar equipo por equipo.

Cuidado con el DNS secundario

Mucha gente pone esto:

DNS principal: Pi-hole
DNS secundario: 1.1.1.1

Suena lógico, pero puede romper el bloqueo. Los clientes no siempre usan el DNS secundario solo cuando el primero falla. Algunos alternan entre ambos. Resultado: parte del tráfico se salta Pi-hole.

Mejor:

DNS principal: Pi-hole
DNS secundario: otro Pi-hole

Si solo tienes uno, puedes dejar secundario vacío si el router lo permite. Si no lo permite, tendrás que decidir entre resiliencia y bloqueo estricto.

Método 2: usar Pi-hole como servidor DHCP

Si tu router no deja cambiar DNS, puedes desactivar DHCP en el router y activar DHCP en Pi-hole.

Así Pi-hole entrega IPs y también se entrega a sí mismo como DNS.

Ventajas:

Desventaja:

Dos servidores DHCP en la misma red es una receta para problemas raros. Uno solo debe mandar.

Método 3: configurar DNS manual por dispositivo

También puedes configurar Pi-hole manualmente en cada equipo.

Sirve para probar antes de cambiar toda la red:

DNS del equipo: IP-DE-PIHOLE

Es útil para:

Para empezar, esta es buena estrategia: prueba con uno o dos dispositivos, revisa el dashboard, ajusta listas, y luego lo pones a nivel de router.

Configuración inicial recomendada

Después de instalar, hay varias cosas que conviene revisar.

1. IP fija o reserva DHCP

Pi-hole debe tener una IP estable. Si cambia, toda la red puede quedarse preguntando a una dirección que ya no existe.

Lo ideal es crear una reserva DHCP en el router:

pihole → 192.168.1.10

También puedes configurar IP estática en Linux, pero para redes caseras suele ser más cómodo reservarla en el router.

2. Upstream DNS

Pi-hole necesita consultar a alguien cuando un dominio no está bloqueado.

Opciones comunes:

Cloudflare: 1.1.1.1 / 1.0.0.1
Google:     8.8.8.8 / 8.8.4.4
Quad9:      9.9.9.9 / 149.112.112.112
OpenDNS:    208.67.222.222 / 208.67.220.220

También puedes usar un resolver local como Unbound para que tu Pi-hole resuelva de forma más independiente.

Para empezar, Cloudflare o Quad9 suelen ser opciones simples. Si quieres más privacidad y control, Pi-hole + Unbound es una combinación popular.

3. Listas de bloqueo

Pi-hole trae listas por defecto. Puedes agregar más, pero no conviene volverse loco desde el primer día.

Más listas no siempre significa mejor. Puede significar:

Empieza con listas conservadoras y agrega según necesidad.

Una estrategia sana:

  1. usa las listas por defecto;
  2. revisa qué se bloquea;
  3. agrega una o dos listas conocidas;
  4. prueba varios días;
  5. permite dominios si algo legítimo se rompe.

4. Grupos y clientes

Pi-hole permite crear grupos. Esto es útil porque no todos los equipos necesitan las mismas reglas.

Ejemplos:

Grupo adultos       → bloqueo normal
Grupo niños         → bloqueo más estricto
Grupo IoT           → bloqueo fuerte de telemetría
Grupo trabajo       → pocas restricciones para evitar romper herramientas
Grupo pruebas       → listas experimentales

También puedes excluir un equipo si una app se rompe y necesitas diagnosticar sin afectar toda la red.

5. Nombres locales

Configura registros DNS locales para servicios internos:

pihole.home        → 192.168.1.10
nas.home           → 192.168.1.20
proxmox.home       → 192.168.1.30
homeassistant.home → 192.168.1.40

Eso convierte tu home lab en algo mucho más agradable de usar.

Buenas prácticas

Usa Ethernet cuando puedas

Si Pi-hole es el DNS principal de toda tu red, debe ser estable. Ethernet reduce latencia, cortes y comportamientos raros.

Wi-Fi sirve para probar. Para dejarlo fijo, cable mejor.

Ten un plan si Pi-hole se cae

Si Pi-hole se apaga, la red puede perder resolución DNS. Internet “parece caído”, aunque técnicamente no lo esté.

Opciones:

Un segundo Pi-hole puede correr en otra Raspberry, otra VM o un contenedor en otro host. No tiene que ser caro.

Haz backups

La configuración importante vive en:

/etc/pihole
/etc/dnsmasq.d

En Docker, esos directorios suelen ser volúmenes o carpetas montadas.

También puedes usar la función de Teleporter en la interfaz web de Pi-hole para exportar configuración.

Backup mínimo:

tar -czf pihole-backup.tgz ./etc-pihole ./etc-dnsmasq.d

O desde la UI:

Settings → Teleporter → Backup

No expongas Pi-hole a Internet

Pi-hole debe vivir dentro de tu red local. No abras el puerto 53 al mundo. Un DNS abierto en Internet puede convertirse en abuso, amplificación y dolor de cabeza.

Regla simple:

Pi-hole local: sí
Pi-hole público: no

Si quieres usarlo fuera de casa, mejor entra por VPN.

Usa VPN para consultar desde fuera

Si quieres que tu celular use Pi-hole cuando estás fuera, puedes combinarlo con:

La idea:

Celular fuera de casa → VPN → Pi-hole → Internet

Así no expones DNS públicamente y mantienes control.

Pi-hole con Unbound

Por defecto, Pi-hole consulta a un DNS upstream como Cloudflare, Google o Quad9. Eso funciona bien.

Pero si quieres más control, puedes instalar Unbound como resolver recursivo local.

Flujo con upstream público:

Cliente → Pi-hole → Cloudflare → respuesta

Flujo con Unbound:

Cliente → Pi-hole → Unbound → servidores raíz/TLD/autoritativos → respuesta

Ventajas:

Desventajas:

Mi recomendación: primero monta Pi-hole normal. Cuando todo esté estable, prueba Unbound.

Problemas comunes y cómo diagnosticarlos

“Instalé Pi-hole pero no bloquea nada”

Posibles causas:

Para verificar desde una laptop:

nslookup doubleclick.net IP-DE-PIHOLE

O:

dig @IP-DE-PIHOLE doubleclick.net

También mira el Query Log en Pi-hole. Si no aparece la consulta, ese equipo no está preguntando a Pi-hole.

“Algunas páginas se rompieron”

Eso pasa. A veces una lista bloquea un dominio que una app necesita.

Pasos:

  1. abre Query Log;
  2. filtra por el cliente afectado;
  3. reproduce el problema;
  4. mira qué dominio fue bloqueado;
  5. permite temporalmente;
  6. confirma si se arregló.

No agregues medio Internet al allowlist por desesperación. Permite lo mínimo necesario.

“El Internet se cayó cuando apagué la Raspberry”

Probablemente Pi-hole era el único DNS. Si el DNS cae, los equipos no resuelven nombres.

Soluciones:

“Veo muchos dominios raros de un dispositivo”

Bienvenido al club de descubrir que algunos dispositivos hablan demasiado.

No todo dominio raro es malicioso, pero sí vale investigar:

Pi-hole te da visibilidad. La segmentación de red y firewall hacen el trabajo más serio de seguridad.

Qué Pi-hole no hace

Pi-hole es útil, pero tiene límites.

No reemplaza:

Tampoco ve todo si los clientes usan DNS over HTTPS hacia otro proveedor. Algunos navegadores o apps pueden saltarse el DNS del sistema. En esos casos hay que ajustar la app, bloquear DoH conocido en el router/firewall o aceptar que no todo se controla por DNS.

Arquitectura recomendada para empezar

Para una casa o home lab pequeño:

Router DHCP
   ↓ entrega DNS
Pi-hole principal
   ↓ consulta
Cloudflare / Quad9

Si quieres algo más robusto:

Router DHCP
   ↓ entrega DNS
Pi-hole 1 + Pi-hole 2
   ↓ consulta
Unbound local o DNS upstream confiable

Y si tienes servicios internos:

nas.home           → NAS
proxmox.home       → Proxmox
ha.home            → Home Assistant
monitoring.home    → Grafana / Uptime Kuma
pihole.home        → Pi-hole

Ese setup ya te da bloqueo, visibilidad, nombres locales y una base decente para crecer.

Ruta simple de implementación

Si quieres hacerlo sin complicarte, este orden funciona bien:

  1. elige dónde correr Pi-hole: Raspberry, VM o Docker;
  2. dale IP fija o reserva DHCP;
  3. instala Pi-hole;
  4. entra al panel web;
  5. prueba desde un solo dispositivo;
  6. revisa el Query Log;
  7. ajusta listas básicas;
  8. configura el router para entregar Pi-hole como DNS;
  9. renueva DHCP en tus equipos;
  10. crea registros DNS locales útiles;
  11. exporta backup con Teleporter;
  12. monitorea unos días antes de tocar demasiado.

La clave es no cambiar todo a lo loco en una noche. DNS es pequeño, pero cuando falla parece que se rompió el universo.

Cuándo vale la pena montar un segundo Pi-hole

Si varias personas dependen de esa red, un segundo Pi-hole es buena idea.

No necesitas algo complejo. Puede ser:

El router puede entregar ambos DNS:

DNS 1: Pi-hole principal
DNS 2: Pi-hole secundario

Lo importante es que ambos tengan listas y configuración similar. Puedes sincronizar manualmente con backups o usar herramientas comunitarias de sincronización.

Idea final

Pi-hole es una de las mejores primeras piezas para un home lab porque enseña algo fundamental: la red habla mucho más de lo que parece.

Con una instalación relativamente simple puedes reducir anuncios, bloquear dominios molestos, ver qué hacen tus dispositivos, crear nombres locales y tener más control sobre tu casa u oficina pequeña.

No necesitas hardware caro. Una Raspberry Pi, una VM pequeña o un contenedor Docker bastan. Lo importante es hacerlo con calma: IP fija, router bien configurado, backups y una forma clara de volver atrás si algo se rompe.

En resumen:

Pi-hole no hace magia.
Pero para DNS casero, privacidad básica y visibilidad de red, trabaja durísimo.

Y en un home lab, eso es exactamente lo que uno quiere: herramientas simples, útiles y que no pidan un riñón para funcionar.


Comparte este post:

Post siguiente
Caché: qué es y cuándo usarlo