Hallo,
ich hatte mich ja schon an anderer Stelle hier im Forum als absoluten Anfänger betreffs GrapheneOS, der bis jetzt noch nicht im Besitz bzw. Nutzung eines diesbezüglichen Smartphones ist, geoutet.
Aber vielleicht kann ich doch einmal meinen hilfreichen „Senf“ dazugeben!?
Wir in meiner Familie benutzen auf allen Geräten außer auf einem Linux grundsätzlich die Adguard-App. Sie ist sowohl für iOS als auch für Android verfügbar. Einstellungen sind bei Android exportierbar und natürlich auch importierbar, was die Einrichtung auf mehreren betreuten Geräten doch um etwas erleichtert. Bei Benutzung von Adguard entfällt dann auch die Betrachtung, ob man nun gerade im heimischen WLan oder außerhalb mit mobilen Daten unterwegs ist.
Meine Überlegungen gingen vor geraumer Zeit auch hin zu einer PiHole. Aber ich habe als Laie bis heute noch keine Möglichkeit gefunden, den PiHole mit einem PYUR-Router zu kombinieren, leider. Deshalb unsere Entscheidung für Adguard. Natürlich kostet die Lizenz etwas, aber zu bestimmten Zeitpunkten gibt es Rabatte und dann sieht so eine lebenslange Variante schon günstiger aus.
Was genau?
Wenn du damit „Provider“ meinst (Telekom, Vodafone, …), dann kann das durchaus sein, dass die das nicht toll finden. Aber können sie es einem verbieten? 
Ich nutze meinen Pi-hole auch nur per VPN, d.h. da ist zuhause oder auf meinem Cloudserver kein DNS-Port exponiert und für jeden zugänglich.
Ich meinte Hetzner und co.
Wenn Hetzner etwas gegen offene Ports hätte könnten sie den Laden dicht machen. Wie sollen denn sonst Server öffentlich erreicht werden können?
Wenn man es selber oder du @jm1982 es nicht magst, dann hilft ein VPN.
Siehe Brauchst du wirklich ein VPN?
Ein vertrauenswürdiges VPN kann in folgenden Fällen nützlich sein:
- Verbesserung der Sicherheit in unsicheren/nicht vertrauenswürdigen öffentlichen Netzwerken (Cafés, Züge etc.) durch Prävention von Man-in-the-Middle-Angriffen
- Umgehung von Zensur oder geografischen Sperren (Geoblocking) von Websites und Inhalten
- Verschlüsselung der Kommunikation, damit der Internet- oder Mobilfunkanbieter die Online-Aktivitäten nicht überwachen oder aufzeichnen kann
- Verschlüsselung der DNS-Anfragen, damit der Internet- oder Mobilfunkbetreiber die besuchten Domains nicht protokollieren kann
- Verstecken/Maskieren der IP-Adresse vor den besuchten Websites und Servern
- Getunnelte Verbindung nach Hause und/oder zum Arbeitgeber, um auf Dienste zuzugreifen, die nicht direkt über das Internet erreichbar sind
Ansonsten hat @Chief1945 völlig Recht - warum sollte ein „Public Cloud“ Anbieter was dagegen haben, wenn man dort seine Dienste öffentlich zugänglich macht? Öffentlich kann ja auch bedeuten „von überall“, aber mit Zugriffsschutz / Authentifizierung (für z.B. seine private Bilder-Gallery, Nextcloud, …) 
Ich habe mir vor zwei Jahren bei Strato für 12€/Jahr so einen kleine Linux-VM gemietet und darauf Pihole installiert. Läuft ganz gut, ist aber mit Aufwand verbunden. Mit fail2ban habe ich z.B. die erlaubten IPs eingehegt, um das ganze Geschmeis ins Nirwana zu schicken. Könnte man auch mit Adguard Home machen…
Ende diesen Monats läuft das jetzt aus, da mit NextDNS kein Bedarf mehr besteht, warf aber eine interessante Erfahrung…
Zu dem Thema Ports öffnen: man sollte keinen DNS Server Public betreiben, wenn man diese nicht ausreichend schützen kann. Damit riskiert man einen DNS Amplification Attack.
Mehr Info gibts hier https://snapshot.internetx.com/en/the-most-common-dns-attack-methods/
Ich habe mittlerweile persönlich so ziemlich jedes Tool ausprobiert (pihole, adguard, nextdnd, etc)
Ich bin tatsächlich bei controld hängen geblieben. Entwicklung läuft weiterhin voran und ich hab kein Problem, wenn daheim mal das Internet Tod ist.
Und die hat bei dir „funktioniert“? Ich hatte das auch mal getestet, aber noch am selben Tag den Versuch abgebrochen, weil ich mehr als unzufrieden damit war.
Due machst mir Mut das auf meinem 1€-Ionos-VPS auszuprobieren. Wie viel Memory hat Dein kleiner?
Siehste im Screenshot oben links 512MB,kein Swap. Die 10GB sind SSD, aber man darf bei dem Preis (kein) Virtual Memory auf SSD anlegen.
Der neue VC 1-1 V-Server auf KVM hat jetzt aber 1GB Ram
https://www.strato.de/server/linux-vserver/
Zertifikate habe ich nicht von Strato, sondern mit automat. Verlängerung kostenlos über letsencrypt
Da bekommt man bei Oracle mehr. Und zwar dauerhaft kostenlos. Mit 512MB und ohne Swap funktionieren auf manchen Betriebssystemen nicht mal Updates.
Hast du dich bewusst für NextDNS entschieden ? Gibt ja noch AdguardDNS und ControlD. Bieten zumindest aktuellere Blocklisten und ControlD noch ein paar Funktionen mehr.
War eine bewusste Entscheidung. Aktuelle Blocklisten u.a. von Adguard und HaGezi etc. sind ja vorhanden und werden auch aktualisiert. Auch sehr ausfallsicher, hatte bisher zu Hause noch kein Fallback auf Pihole.
OK nutzte ich früher auch, bin jetzt aber bei AdguardDNS da sie die Blocklisten aktuell halten. Bei NextDNS hat man ja leider immer noch viele sehr alte listen die schon Jahre lanh nicht mehr gepflegt werden.