Hay una parte de Internet que normalmente nadie mira: las consultas DNS. Antes de abrir una web, una app, un televisor inteligente o una consola, casi siempre ocurre una pregunta silenciosa:
¿Dónde está este dominio?
Tu equipo pregunta por un nombre como example.com, recibe una IP y entonces conecta. Eso pasa miles de veces al día en una casa normal. Celulares, laptops, televisores, cámaras, consolas, bocinas, tablets, dispositivos IoT… todos viven preguntando cosas por DNS.
Pi-hole aprovecha justamente ese punto. En vez de instalar bloqueadores en cada dispositivo, pones un DNS local dentro de tu red y dejas que filtre dominios conocidos de anuncios, trackers, telemetría y basura repetitiva antes de que tus equipos siquiera intenten conectarse.
No es magia, no reemplaza un firewall y no hace tu red invencible. Pero para un home lab, una casa o una oficina pequeña, es una de esas herramientas simples que dan demasiado valor para lo poco que cuesta montarla.
Qué es Pi-hole
Pi-hole es un servidor DNS local con bloqueo por listas. Funciona como intermediario entre tus dispositivos y los DNS públicos de Internet.
El flujo normal sería algo así:
Laptop → DNS del proveedor / Google / Cloudflare → respuesta
Con Pi-hole:
Laptop → Pi-hole → DNS upstream → respuesta
Si el dominio está permitido, Pi-hole responde o consulta hacia afuera. Si el dominio está en una lista de bloqueo, Pi-hole corta la consulta y el dispositivo no llega a conectar con ese destino.
Ejemplo conceptual:
ads.tracker-example.com → bloqueado
blog.devops.com.do → permitido
La ventaja de hacerlo a nivel DNS es que no depende de instalar extensiones en cada navegador. Funciona para muchos dispositivos de la red: celulares, tablets, televisores, laptops, servidores, contenedores y hasta equipos que no permiten instalar bloqueadores.
Por qué usarlo en un home lab
Pi-hole suele entrar por el tema de bloquear anuncios, pero en un home lab termina sirviendo para mucho más.
1. Menos anuncios y trackers en toda la red
La primera mejora visible es reducir anuncios, popups, dominios de tracking y telemetría innecesaria. No elimina todo —especialmente anuncios servidos desde el mismo dominio del contenido— pero sí limpia bastante tráfico repetitivo.
Donde más se nota:
- apps móviles con demasiada telemetría;
- televisores inteligentes;
- dispositivos IoT habladores;
- páginas llenas de redes publicitarias;
- juegos o apps con dominios conocidos de ads;
- tablets y equipos donde no quieres instalar extensiones.
No esperes que YouTube quede sin anuncios por arte de DNS. Eso sería bonito, pero Internet no nos quiere tanto. Pi-hole bloquea dominios, no modifica contenido dentro de una plataforma.
2. Más visibilidad de lo que pasa en tu red
Una de las mejores partes de Pi-hole es su dashboard. Puedes ver qué dispositivos preguntan más, cuáles dominios se consultan, qué se bloquea y qué se permite.
Eso ayuda a responder preguntas como:
- ¿qué dispositivo está generando más tráfico DNS?;
- ¿qué televisor está hablando con veinte dominios raros?;
- ¿qué app consulta trackers cada pocos segundos?;
- ¿qué dominio se está bloqueando y rompió una app?;
- ¿qué servicios usa realmente mi red durante el día?
Para un home lab, esa visibilidad vale oro. Muchas veces descubres cosas que no sabías que estaban pasando. No necesariamente son ataques; a veces solo es una nevera inteligente con complejo de influencer.
3. DNS local para servicios internos
Pi-hole también puede ayudarte a resolver nombres dentro de tu red.
En vez de memorizar IPs como:
http://10.0.0.18:3000
http://192.168.1.50:8080
puedes crear nombres locales:
dashboard.home
nas.home
proxmox.home
printer.home
pihole.home
Eso hace el home lab más cómodo y menos frágil. Si cambias una IP, actualizas el registro local y listo.
También puedes combinarlo con un dominio real o un subdominio interno, por ejemplo:
nas.lan.example.com
homeassistant.lan.example.com
monitoring.lan.example.com
La idea es simple: que tus servicios tengan nombres humanos, no coordenadas de mapa pirata.
4. Control centralizado
Sin Pi-hole, cada equipo puede usar un DNS distinto. Uno usa el del proveedor, otro Google, otro Cloudflare, otro el DNS que le dio una VPN, y así tienes una ensalada difícil de auditar.
Con Pi-hole, puedes centralizar:
- qué DNS usa la red;
- qué dominios se bloquean;
- qué equipos tienen excepciones;
- qué listas están activas;
- qué dominios locales existen;
- qué upstream DNS se consulta.
Eso no solo mejora privacidad. También reduce dolores de cabeza cuando algo falla.
5. Es barato y fácil de mantener
Pi-hole puede correr en casi cualquier equipo encendido 24/7:
- Raspberry Pi;
- mini PC;
- VM en Proxmox;
- contenedor Docker;
- NAS compatible;
- servidor Linux pequeño;
- laptop vieja reciclada.
No necesita una máquina poderosa. DNS es liviano. Lo importante es que sea estable, tenga IP fija y no lo apagues cada vez que limpias el escritorio.
Opciones para implementarlo
Hay varias formas de montar Pi-hole. La mejor depende de lo que ya tengas.
Opción 1: Pi-hole en Raspberry Pi
Esta es la instalación clásica. Una Raspberry Pi consume poco, puede vivir conectada al router y es suficiente para una red doméstica.
Cuándo conviene
Usa Raspberry Pi si quieres:
- bajo consumo eléctrico;
- equipo dedicado solo para DNS;
- instalación sencilla;
- poco mantenimiento;
- algo separado de tus servidores o contenedores.
Requisitos básicos
- Raspberry Pi con Raspberry Pi OS o Debian;
- conexión por Ethernet preferiblemente;
- IP fija o reserva DHCP en el router;
- acceso por SSH;
- fuente de poder decente.
Ethernet es preferible porque DNS debe responder rápido y siempre. Wi-Fi funciona, pero si el Wi-Fi falla, tu DNS también. Y cuando DNS falla, todo parece caído aunque el Internet siga vivo.
Instalación básica
En una Raspberry Pi con Linux:
curl -sSL https://install.pi-hole.net | bash
El instalador te guía por:
- interfaz de red;
- DNS upstream;
- listas de bloqueo;
- instalación del panel web;
- contraseña de administración.
Después puedes entrar al panel:
http://IP-DE-TU-PI/admin
Y cambiar la contraseña con:
pihole setpassword
Sí, es un curl | bash. En producción uno debe tener cuidado con ese patrón. En este caso es el instalador oficial de Pi-hole, pero igual conviene revisar la documentación oficial antes de correr comandos en tu red. Copiar y pegar comandos de Internet como si fueran horóscopo nunca es buena religión.
Opción 2: Pi-hole en Docker Compose
Para un home lab con Docker, esta suele ser la opción más cómoda. Puedes versionar la configuración, reiniciar fácil y mover el servicio a otro host si hace falta.
Cuándo conviene
Usa Docker si ya tienes:
- mini servidor;
- NAS con Docker;
- VM Linux;
- Proxmox con contenedores/VMs;
- otros servicios en Compose;
- backups de stacks y volúmenes.
Ejemplo de docker-compose.yml
services:
pihole:
image: pihole/pihole:latest
container_name: pihole
hostname: pihole
restart: unless-stopped
ports:
- "53:53/tcp"
- "53:53/udp"
- "80:80/tcp"
environment:
TZ: "America/Santo_Domingo"
FTLCONF_webserver_api_password: "cambia-esta-clave"
FTLCONF_dns_listeningMode: "all"
volumes:
- ./etc-pihole:/etc/pihole
- ./etc-dnsmasq.d:/etc/dnsmasq.d
Levantas el servicio:
docker compose up -d
Y revisas logs:
docker logs -f pihole
Luego abres:
http://IP-DEL-SERVIDOR/admin
Nota importante sobre el puerto 53
DNS usa el puerto 53. Si el host ya tiene un servicio usando ese puerto, Docker no podrá levantar Pi-hole correctamente.
En Linux moderno, a veces systemd-resolved usa el puerto 53 local. Puedes verificar con:
sudo ss -tulpn | grep ':53'
Si hay conflicto, tienes varias opciones:
- mover o desactivar el resolver local;
- correr Pi-hole en una VM separada;
- usar una IP dedicada para el contenedor;
- usar
macvlanen Docker; - instalar Pi-hole directamente en el host.
Para principiantes, una VM pequeña o Raspberry Pi puede ser más simple que pelearse con redes avanzadas de Docker.
Opción 3: Pi-hole en una VM o mini servidor
Si tienes Proxmox, VMware, Hyper-V, VirtualBox o un mini PC con Linux, una VM pequeña funciona perfecto.
Recursos típicos:
CPU: 1 vCPU
RAM: 512 MB - 1 GB
Disco: 8 - 16 GB
Sistema: Debian o Ubuntu Server
La ventaja de una VM es el aislamiento. Pi-hole no compite con otros servicios del host, puedes hacer snapshots antes de cambios y moverlo más fácil.
Esta opción es muy buena si tu home lab ya vive en Proxmox o en un mini servidor encendido todo el día.
Opción 4: Pi-hole en un NAS
Algunos NAS permiten correr contenedores o paquetes comunitarios. Si tu NAS siempre está encendido, puede ser buen lugar para Pi-hole.
Solo hay que cuidar dos cosas:
- que el NAS tenga IP fija;
- que el servicio arranque automáticamente después de reinicios.
Si el NAS tarda mucho en arrancar después de un apagón, tu red puede quedarse sin DNS por unos minutos. No es grave si tienes DNS secundario, pero conviene saberlo.
Cómo hacer que la red use Pi-hole
Instalar Pi-hole es la mitad del trabajo. La otra mitad es hacer que tus equipos realmente lo usen.
Hay tres formas comunes.
Método 1: configurar Pi-hole como DNS en el router
La forma más limpia es entrar al router y decirle que entregue la IP de Pi-hole como DNS por DHCP.
Ejemplo:
DNS principal: IP-DE-PIHOLE
DNS secundario: vacío o segundo Pi-hole
Después, cuando tus dispositivos renuevan DHCP, empiezan a usar Pi-hole automáticamente.
Esta opción es ideal porque no tienes que configurar equipo por equipo.
Cuidado con el DNS secundario
Mucha gente pone esto:
DNS principal: Pi-hole
DNS secundario: 1.1.1.1
Suena lógico, pero puede romper el bloqueo. Los clientes no siempre usan el DNS secundario solo cuando el primero falla. Algunos alternan entre ambos. Resultado: parte del tráfico se salta Pi-hole.
Mejor:
DNS principal: Pi-hole
DNS secundario: otro Pi-hole
Si solo tienes uno, puedes dejar secundario vacío si el router lo permite. Si no lo permite, tendrás que decidir entre resiliencia y bloqueo estricto.
Método 2: usar Pi-hole como servidor DHCP
Si tu router no deja cambiar DNS, puedes desactivar DHCP en el router y activar DHCP en Pi-hole.
Así Pi-hole entrega IPs y también se entrega a sí mismo como DNS.
Ventajas:
- más control;
- nombres de clientes más claros;
- configuración centralizada;
- útil con routers limitados de proveedor.
Desventaja:
- si Pi-hole se cae, también pierdes DHCP nuevo;
- requiere más cuidado;
- no debes tener dos DHCP activos peleando en la misma red.
Dos servidores DHCP en la misma red es una receta para problemas raros. Uno solo debe mandar.
Método 3: configurar DNS manual por dispositivo
También puedes configurar Pi-hole manualmente en cada equipo.
Sirve para probar antes de cambiar toda la red:
DNS del equipo: IP-DE-PIHOLE
Es útil para:
- probar con tu laptop;
- validar listas;
- medir bloqueos;
- evitar afectar a toda la familia de golpe.
Para empezar, esta es buena estrategia: prueba con uno o dos dispositivos, revisa el dashboard, ajusta listas, y luego lo pones a nivel de router.
Configuración inicial recomendada
Después de instalar, hay varias cosas que conviene revisar.
1. IP fija o reserva DHCP
Pi-hole debe tener una IP estable. Si cambia, toda la red puede quedarse preguntando a una dirección que ya no existe.
Lo ideal es crear una reserva DHCP en el router:
pihole → 192.168.1.10
También puedes configurar IP estática en Linux, pero para redes caseras suele ser más cómodo reservarla en el router.
2. Upstream DNS
Pi-hole necesita consultar a alguien cuando un dominio no está bloqueado.
Opciones comunes:
Cloudflare: 1.1.1.1 / 1.0.0.1
Google: 8.8.8.8 / 8.8.4.4
Quad9: 9.9.9.9 / 149.112.112.112
OpenDNS: 208.67.222.222 / 208.67.220.220
También puedes usar un resolver local como Unbound para que tu Pi-hole resuelva de forma más independiente.
Para empezar, Cloudflare o Quad9 suelen ser opciones simples. Si quieres más privacidad y control, Pi-hole + Unbound es una combinación popular.
3. Listas de bloqueo
Pi-hole trae listas por defecto. Puedes agregar más, pero no conviene volverse loco desde el primer día.
Más listas no siempre significa mejor. Puede significar:
- más falsos positivos;
- apps rotas;
- sitios que no cargan bien;
- debugging más molesto;
- familiares preguntando por qué la TV ahora “está rara”.
Empieza con listas conservadoras y agrega según necesidad.
Una estrategia sana:
- usa las listas por defecto;
- revisa qué se bloquea;
- agrega una o dos listas conocidas;
- prueba varios días;
- permite dominios si algo legítimo se rompe.
4. Grupos y clientes
Pi-hole permite crear grupos. Esto es útil porque no todos los equipos necesitan las mismas reglas.
Ejemplos:
Grupo adultos → bloqueo normal
Grupo niños → bloqueo más estricto
Grupo IoT → bloqueo fuerte de telemetría
Grupo trabajo → pocas restricciones para evitar romper herramientas
Grupo pruebas → listas experimentales
También puedes excluir un equipo si una app se rompe y necesitas diagnosticar sin afectar toda la red.
5. Nombres locales
Configura registros DNS locales para servicios internos:
pihole.home → 192.168.1.10
nas.home → 192.168.1.20
proxmox.home → 192.168.1.30
homeassistant.home → 192.168.1.40
Eso convierte tu home lab en algo mucho más agradable de usar.
Buenas prácticas
Usa Ethernet cuando puedas
Si Pi-hole es el DNS principal de toda tu red, debe ser estable. Ethernet reduce latencia, cortes y comportamientos raros.
Wi-Fi sirve para probar. Para dejarlo fijo, cable mejor.
Ten un plan si Pi-hole se cae
Si Pi-hole se apaga, la red puede perder resolución DNS. Internet “parece caído”, aunque técnicamente no lo esté.
Opciones:
- tener un segundo Pi-hole;
- documentar cómo cambiar DNS en el router;
- mantener acceso local al router;
- usar una reserva DHCP clara;
- tener monitorización simple;
- hacer backups de la configuración.
Un segundo Pi-hole puede correr en otra Raspberry, otra VM o un contenedor en otro host. No tiene que ser caro.
Haz backups
La configuración importante vive en:
/etc/pihole
/etc/dnsmasq.d
En Docker, esos directorios suelen ser volúmenes o carpetas montadas.
También puedes usar la función de Teleporter en la interfaz web de Pi-hole para exportar configuración.
Backup mínimo:
tar -czf pihole-backup.tgz ./etc-pihole ./etc-dnsmasq.d
O desde la UI:
Settings → Teleporter → Backup
No expongas Pi-hole a Internet
Pi-hole debe vivir dentro de tu red local. No abras el puerto 53 al mundo. Un DNS abierto en Internet puede convertirse en abuso, amplificación y dolor de cabeza.
Regla simple:
Pi-hole local: sí
Pi-hole público: no
Si quieres usarlo fuera de casa, mejor entra por VPN.
Usa VPN para consultar desde fuera
Si quieres que tu celular use Pi-hole cuando estás fuera, puedes combinarlo con:
- WireGuard;
- Tailscale;
- ZeroTier;
- OpenVPN.
La idea:
Celular fuera de casa → VPN → Pi-hole → Internet
Así no expones DNS públicamente y mantienes control.
Pi-hole con Unbound
Por defecto, Pi-hole consulta a un DNS upstream como Cloudflare, Google o Quad9. Eso funciona bien.
Pero si quieres más control, puedes instalar Unbound como resolver recursivo local.
Flujo con upstream público:
Cliente → Pi-hole → Cloudflare → respuesta
Flujo con Unbound:
Cliente → Pi-hole → Unbound → servidores raíz/TLD/autoritativos → respuesta
Ventajas:
- reduces dependencia de un DNS público específico;
- tienes más control local;
- buena combinación para aprendizaje;
- cache DNS local más completo.
Desventajas:
- más piezas que mantener;
- primera consulta puede ser más lenta;
- configuración extra;
- no siempre necesario para principiantes.
Mi recomendación: primero monta Pi-hole normal. Cuando todo esté estable, prueba Unbound.
Problemas comunes y cómo diagnosticarlos
“Instalé Pi-hole pero no bloquea nada”
Posibles causas:
- tus dispositivos no están usando Pi-hole;
- el router sigue entregando otro DNS;
- el cliente tiene DNS manual;
- el navegador usa DNS over HTTPS;
- tienes un DNS secundario externo;
- estás probando dominios que no están en listas.
Para verificar desde una laptop:
nslookup doubleclick.net IP-DE-PIHOLE
O:
dig @IP-DE-PIHOLE doubleclick.net
También mira el Query Log en Pi-hole. Si no aparece la consulta, ese equipo no está preguntando a Pi-hole.
“Algunas páginas se rompieron”
Eso pasa. A veces una lista bloquea un dominio que una app necesita.
Pasos:
- abre Query Log;
- filtra por el cliente afectado;
- reproduce el problema;
- mira qué dominio fue bloqueado;
- permite temporalmente;
- confirma si se arregló.
No agregues medio Internet al allowlist por desesperación. Permite lo mínimo necesario.
“El Internet se cayó cuando apagué la Raspberry”
Probablemente Pi-hole era el único DNS. Si el DNS cae, los equipos no resuelven nombres.
Soluciones:
- no apagar el equipo DNS;
- usar UPS si aplica;
- montar un segundo Pi-hole;
- documentar DNS alternativo;
- usar alertas simples para saber si Pi-hole dejó de responder.
“Veo muchos dominios raros de un dispositivo”
Bienvenido al club de descubrir que algunos dispositivos hablan demasiado.
No todo dominio raro es malicioso, pero sí vale investigar:
- busca el dominio;
- revisa a qué dispositivo pertenece;
- agrégalo a bloqueo si no rompe nada;
- mueve IoT a una red separada si puedes;
- limita acceso lateral desde dispositivos poco confiables.
Pi-hole te da visibilidad. La segmentación de red y firewall hacen el trabajo más serio de seguridad.
Qué Pi-hole no hace
Pi-hole es útil, pero tiene límites.
No reemplaza:
- antivirus;
- firewall;
- segmentación de red;
- actualizaciones de seguridad;
- buenas contraseñas;
- MFA;
- bloqueo de contenido dentro de plataformas;
- inspección HTTPS;
- control parental completo.
Tampoco ve todo si los clientes usan DNS over HTTPS hacia otro proveedor. Algunos navegadores o apps pueden saltarse el DNS del sistema. En esos casos hay que ajustar la app, bloquear DoH conocido en el router/firewall o aceptar que no todo se controla por DNS.
Arquitectura recomendada para empezar
Para una casa o home lab pequeño:
Router DHCP
↓ entrega DNS
Pi-hole principal
↓ consulta
Cloudflare / Quad9
Si quieres algo más robusto:
Router DHCP
↓ entrega DNS
Pi-hole 1 + Pi-hole 2
↓ consulta
Unbound local o DNS upstream confiable
Y si tienes servicios internos:
nas.home → NAS
proxmox.home → Proxmox
ha.home → Home Assistant
monitoring.home → Grafana / Uptime Kuma
pihole.home → Pi-hole
Ese setup ya te da bloqueo, visibilidad, nombres locales y una base decente para crecer.
Ruta simple de implementación
Si quieres hacerlo sin complicarte, este orden funciona bien:
- elige dónde correr Pi-hole: Raspberry, VM o Docker;
- dale IP fija o reserva DHCP;
- instala Pi-hole;
- entra al panel web;
- prueba desde un solo dispositivo;
- revisa el Query Log;
- ajusta listas básicas;
- configura el router para entregar Pi-hole como DNS;
- renueva DHCP en tus equipos;
- crea registros DNS locales útiles;
- exporta backup con Teleporter;
- monitorea unos días antes de tocar demasiado.
La clave es no cambiar todo a lo loco en una noche. DNS es pequeño, pero cuando falla parece que se rompió el universo.
Cuándo vale la pena montar un segundo Pi-hole
Si varias personas dependen de esa red, un segundo Pi-hole es buena idea.
No necesitas algo complejo. Puede ser:
- una segunda Raspberry Pi;
- una VM pequeña;
- un contenedor en otro host;
- un NAS si ya está encendido.
El router puede entregar ambos DNS:
DNS 1: Pi-hole principal
DNS 2: Pi-hole secundario
Lo importante es que ambos tengan listas y configuración similar. Puedes sincronizar manualmente con backups o usar herramientas comunitarias de sincronización.
Idea final
Pi-hole es una de las mejores primeras piezas para un home lab porque enseña algo fundamental: la red habla mucho más de lo que parece.
Con una instalación relativamente simple puedes reducir anuncios, bloquear dominios molestos, ver qué hacen tus dispositivos, crear nombres locales y tener más control sobre tu casa u oficina pequeña.
No necesitas hardware caro. Una Raspberry Pi, una VM pequeña o un contenedor Docker bastan. Lo importante es hacerlo con calma: IP fija, router bien configurado, backups y una forma clara de volver atrás si algo se rompe.
En resumen:
Pi-hole no hace magia.
Pero para DNS casero, privacidad básica y visibilidad de red, trabaja durísimo.
Y en un home lab, eso es exactamente lo que uno quiere: herramientas simples, útiles y que no pidan un riñón para funcionar.