Und ich dachte, ich wäre schon gut aufgestellt. Irgendwann lasse ich es ganz bleiben und lebe dann sorgenfreier.
Ist ja echt verrückt wie schwer es ist, seine Daten zu schützen ohne gleich aufs Internet zu verzichten.
Mich nervt die Tatsache, dass Geräte mehr Verbindung aufbauen als sie für den eig. Betrieb benötigen.
Noch schlimmer könnte es werden, wenn Apps/Porgramme ihren “eigenen” DNS-Resolver (oder z.B. den von Google) fix im Code drin stehen haben und dann direkt an Pi-hole und Co vorbei ziehen 
Das läßt sich noch verhindern, in dem Anfragen an Port 53 die nicht an Pihole/Adguard gehen sollen, blockiert werden.
Also bei mir ist Port 53 nur auf 127.0.0.1 erlaubt. Alles andere wird geblockt. Und Adguard fragt dann unbound und unbound fragt direkt die Root Server.
Denkbar wäre allerdings, das andere Ports missbraucht werden 
Mit der Fritzbox kommt man irgendwann nicht mehr weiter. Nur um den IP Traffic zu kontrollieren, habe ich mit OPNsense angefangen. Ist ne steile Lernkurve, lohnt sich aber.
Um das einrichten zu können benötigt man aber zwingend eine er4gänzende Firewall sowie in deinem Fall z.B. die OPNsense. Sehe ich das richtig?
Oder gibt es hierfür auch eine Möglichkeit lediglich mit Fritzbox und Pihole-Unbound?
Fritzbox mit Pihole geht natürlich. Wie gesagt, ich hab die Fritzbox ausgemustert, ein Draytek Vigor 160 Modem und dazu einen MiniPC mit 6x2.5GB Ports und darauf läuft dann OPNsense. Unbound (das auch filtern kann, nach DNS Sperrlisten) ist gleich dabei und Adguard habe ich dazu installiert.
Ein wichtiger Grund war auch um den IP Traffic zu überwachen und generell einen kleineren digitalen Fußabdruck zu hinterlassen. Spätestens da bist du mit der Fritzbox/ Adguard/ Unbound raus. Der läßt sich damit nicht sinnvoll regulieren.
Geht schon los bei den gewaltigen z.B. Firehole IP Blocklisten, mit der die Fritzbox niemals umgehen könnte. Und damit allein werden über den Tag einige 1000 Verbindungsversuche vereitelt (in und out).
Edit: OPNsense ist openscource, das war natürlich Bedingung. Erst wollte ich mit OpenWRT anfangen, das ist aber lange nicht so mächtig.
Bin gerade aufgrund des neuesten Newsletters auf diesen Thread gekommen und ehrlich gesagt ziemlich frustriert. Ich habe das meiste nicht verstanden und möchte auch nicht an meiner Fritzbox rumfummeln. Das einzige was ich gemacht habe ist, DNSforge zu hinterlegen. Sowas wie Pi-hole habe ich nicht. Und jetzt erfahre ich, dass also mein Smart TV wahrscheinlich daran vorbeigeht. Mist… Warum kann es nicht einfach mal eine Checkbox geben und wenn ich dort den Haken setze geht mein Router nur den von mir gewählten weg… 
Ich dachte ehrlich gesagt, das wäre schon so mit diesem Eintrag. In den Threads zum Thema DNSforge etc. wurde eigentlich nie erwähnt, dass Geräte ihre eigene Direktverbindung aufbauen dürfen. Doofe Frage: Gibts ne Abkürzung für die Dummies? Danke 
Leitest du dann nur die DNS Anfragen durch den VPN Tunnel ?
Dass manche Geräte den per DHCP zugewiesenen DHCP-Server ignorieren, ist leider völlig normal. Ich sehe z.B. meinen Fernseher und meine IP-Kamera im Sekundentakt 8.8.8.8 kontaktieren.
Da das bei mir via DNAT aber auf dem AdGuard landet, kommt auch nix dran vorbei. DoT und DoQ blockiert die Firewall. DoH ist schwierig, hier kann man sich nur mit Blocklisten öffentlich bekannter DoH Server behelfen. Ich nutze diese beiden:
https://dbl.ipfire.org/lists/doh/domains.txt
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/domains/doh.txt
Mit einer Fritzbox lässt sich so ein Setup aber leider nicht umsetzen, dafür braucht es schon eine richtige Firewall.
DNAT und IPv6 habe ich irgendwann aufgegeben, da ich das nie zum Laufen bekommen habe. Deshalb blockiere ich IPv6-DNS nach draußen einfach komplett.
Gibt’s einen Trick, die Listen nach Rethink DNS zu bekommen?
Keine Ahnung, nutze ich nicht. Wenn es keinen Menüpunkt gibt, um eigene Blocklisten hinzuzufügen, vermutlich nicht.