haplo@dormishian:~$ haplodit

Pi-hole + PiVPN : bloquer les pubs sur tout votre réseau, même en déplacement

Si vous en avez marre de voir des publicités partout, même quand vous payez déjà pour vos services, ou que vous aimez bien avoir le contrôle sur votre réseau domestique, vous êtes au bon endroit.

Aujourd’hui, on va transformer un petit Raspberry Pi Zero 2W en gardien de votre vie privée. Au programme : bloquer les publicités au niveau DNS avec Pi-hole, ET pouvoir en profiter même quand vous n’êtes pas chez vous grâce à PiVPN. Le tout pour moins de 50 € !

Pourquoi Pi-hole + PiVPN ?

Avant de mettre les mains dans le cambouis, parlons un peu de ce qu’on va faire. Pi-hole, c’est un serveur DNS qui va filtrer les requêtes avant qu’elles n’atteignent vos appareils. Concrètement, quand votre téléphone veut afficher une pub, Pi-hole lui dit « non, tu n’auras rien », et hop, page qui se charge plus vite et sans encombrement visuel.

PiVPN, lui, va créer un tunnel sécurisé entre votre téléphone (où que vous soyez) et votre réseau domestique. Résultat : même au café du coin ou à l’hôtel, vous bénéficiez du filtrage Pi-hole.

Ce dont vous aurez besoin

Matériel

  • Raspberry Pi Zero 2W — suffisant pour notre usage
  • Carte microSD 32GB classe 10 minimum
  • Un câble Ethernet catégorie 7
  • Câble micro USB pour l’alimentation
  • Boîtier pour Pi Zero optionnel mais recommandé
  • Un adaptateur USB-C / Ethernet pour la connexion internet, ça sera mieux

    Pour les 3 derniers articles, je recommande ce kit

Côté logiciel

  • Raspberry Pi OS Lite (on n’a pas besoin d’interface graphique)
  • Une connexion SSH pour la configuration
  • Un câble Ethernet pour connecter le Pi au routeur
  • Un routeur qui permet de faire du port forwarding (la plupart le font)

Budget total : difficile de se prononcer. La crise des microcontrôleurs de ces derniers temps et l’inflation ont compliqué les choses. Vous devriez vous en sortir pour environ 50 €.

Étape 1 : Préparer le Raspberry Pi

Installation de l’OS

Rien de bien sorcier ici. Téléchargez Raspberry Pi Imager, flashez votre carte SD avec Raspberry Pi OS Lite.

Astuce pratique : dans les options avancées d’Imager, activez SSH et configurez un utilisateur/mot de passe. Ça vous évitera de brancher clavier/écran.

Une fois votre Pi démarré et connecté en Ethernet au routeur, trouvez son adresse IP (via l’interface de votre routeur) et connectez-vous en SSH :

ssh utilisateur@adresse_ip_du_pi

Mise à jour du système

Première chose à faire sur tout système fraîchement installé :

sudo apt update && sudo apt upgrade -y

Profitez-en pour prendre un café, ça va prendre quelques minutes.

Configuration d’une IP statique

Pour que votre Pi soit toujours joignable à la même adresse, on va lui attribuer une IP fixe. Sur Raspberry Pi OS récent (Bookworm et plus), la configuration réseau passe par NetworkManager — on utilise donc nmcli, et non plus l’ancien /etc/dhcpcd.conf.

Repérez d’abord le nom de votre connexion filaire :

nmcli connection show

Elle s’appelle généralement « Wired connection 1 ». Appliquez-lui une IP fixe (adaptez les valeurs à votre réseau) :

sudo nmcli connection modify "Wired connection 1" \
  ipv4.method manual \
  ipv4.addresses 192.168.1.100/24 \
  ipv4.gateway 192.168.1.1 \
  ipv4.dns "1.1.1.1 8.8.8.8"

Rechargez la connexion pour que ça prenne effet :

sudo nmcli connection up "Wired connection 1"

Un sudo reboot fait aussi très bien l’affaire.

Étape 2 : Installation de Pi-hole

L’installation automatique

Pi-hole a la bonne idée de proposer un script d’installation qui fait tout le boulot :

curl -sSL https://install.pi-hole.net | bash

L’installateur va vous poser quelques questions :

  • Interface réseau : choisissez eth0
  • Serveur DNS en amont : Cloudflare (1.1.1.1) ou Google (8.8.8.8), au choix
  • Listes de blocage : gardez celles par défaut pour commencer
  • Interface web : dites oui, c’est pratique
  • Serveur web : oui aussi
  • Log des requêtes : à vous de voir, moi je dis oui pour les statistiques

À la fin, notez bien le mot de passe affiché. Vous en aurez besoin pour l’interface web.

Configuration du réseau

Maintenant, il faut dire à vos appareils d’utiliser votre Pi comme serveur DNS. Deux options :

Option paresseuse : changez le DNS dans les paramètres de votre routeur. Tous vos appareils en profiteront automatiquement.

Option minutieuse : configurez chaque appareil individuellement pour utiliser l’IP de votre Pi (192.168.1.100 dans notre exemple) comme serveur DNS.

Premier test

Ouvrez votre navigateur et allez sur http://192.168.1.100/admin ou plus simplement http://pi.hole/admin. Vous devriez voir l’interface Pi-hole avec vos premières statistiques.

Testez avec un site plein de pubs… Magie ! Vous devriez voir le compteur de requêtes bloquées augmenter.

Étape 3 : Installation de PiVPN

Pourquoi OpenVPN ?

OpenVPN est le standard de facto pour les VPN. Certes, il est un peu plus lourd que les solutions modernes comme WireGuard, mais il a l’avantage d’être compatible avec absolument tout et d’être ultra-stable. Pour notre usage domestique, c’est parfait.

Installation

Encore un script qui fait tout :

curl -L https://install.pivpn.io | bash

L’installateur va vous demander :

  • Utilisateur : gardez celui que vous avez créé
  • Protocole VPN : OpenVPN
  • Port : choisissez un port personnalisé, par exemple 1194 devient 11940 (plus discret)
  • DNS : utilisez l’IP de votre Pi (192.168.1.100)
  • Serveur DNS public : non, on veut utiliser Pi-hole !
  • Certificats : laissez les paramètres par défaut

Configuration du routeur

Étape cruciale : il faut ouvrir le port que vous avez choisi (11940 dans notre exemple) sur votre routeur et le rediriger vers votre Pi. Ça s’appelle du « port forwarding ».

Dans l’interface de votre routeur (souvent accessible via 192.168.1.1), cherchez une section « Port forwarding » ou « Redirection de port » et ajoutez :

  • Port externe : 11940
  • Port interne : 11940
  • IP destination : 192.168.1.100
  • Protocole : UDP

Conseil sécurité : évitez les ports par défaut (1194 pour OpenVPN). Un port personnalisé réduit les tentatives d’intrusion automatisées.

Création d’un profil client

Pour créer un profil pour votre téléphone :

pivpn add

Donnez un nom à votre profil (ex. « mon-telephone »). PiVPN va générer un fichier .ovpn que vous pourrez transférer sur votre appareil.

Étape 4 : Configuration des clients

Sur Android / iPhone

  1. Installez l’app OpenVPN Connect officielle.
  2. Transférez le fichier .ovpn sur votre téléphone (email, cloud, etc.).
  3. Importez le profil dans l’app.
  4. Connectez-vous.

Astuce mobile : une fois configuré, vous pouvez laisser le VPN connecté en permanence sur votre téléphone. La consommation de batterie est négligeable et vous bénéficiez toujours du filtrage Pi-hole, où que vous soyez.

Test

Une fois connecté au VPN depuis un réseau externe (4G, WiFi public), vérifiez :

  1. Que vous avez accès à internet.
  2. Que votre IP publique correspond maintenant à celle de votre domicile (testez avec whatismyipaddress.com).
  3. Que les pubs sont toujours bloquées en allant sur http://pi.hole/admin.

Note : si vous testez depuis votre réseau domestique, votre IP publique ne changera pas — c’est normal ! Le test est plus parlant depuis un réseau mobile.

Étape 5 : Optimisations et listes de blocage

Listes de blocage supplémentaires

Pi-hole avec ses listes par défaut, c’est bien. Avec des listes spécialisées, c’est mieux ! Quelques suggestions à ajouter dans Pi-hole > Group Management > Adlists :

  • StevenBlack : https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
  • someonewhocares (pubs + malware) : https://someonewhocares.org/hosts/zero/hosts
  • OISD (pubs + tracking + malware) : https://big.oisd.nl

Whitelist intelligente

Certains sites peuvent mal fonctionner. Si c’est le cas, jetez un œil aux requêtes bloquées dans Pi-hole et ajoutez les domaines légitimes à la whitelist.

Surveillance avec Grafana (pour les curieux)

Si vous voulez pousser le vice, vous pouvez installer Grafana pour avoir de beaux graphiques de votre réseau. Ça fera l’objet d’un prochain article, mais l’idée c’est :

  • Prometheus pour collecter les métriques Pi-hole
  • Grafana pour les afficher
  • Node Exporter pour monitorer le Pi lui-même

Perspectives d’évolution

Ce qu’on a fait aujourd’hui, c’est poser les bases. Mais on peut aller beaucoup plus loin :

Affichage en temps réel

Imaginez un écran AWTRIX qui affiche en temps réel le pourcentage de pubs bloquées sur votre réseau. Classe non ?

Intégration Home Assistant

Pour les amateurs de domotique, Pi-hole s’intègre parfaitement dans Home Assistant. Vous pourrez avoir des automatisations basées sur l’activité réseau.

Sécurité avancée

Dans un prochain article, on verra comment :

  • Mettre en place un VPN double-hop (votre Pi + un VPN commercial)
  • Configurer un proxy transparent pour plus de contrôle
  • Utiliser Unbound comme résolveur DNS récursif pour encore plus de confidentialité

Monitoring avancé

  • Fail2ban pour bloquer les tentatives d’intrusion
  • UFW pour un firewall propre
  • Zabbix ou Prometheus pour un monitoring complet

Troubleshooting rapide

Le VPN ne se connecte pas ?

  • Vérifiez que le port que vous avez choisi (11940 dans notre exemple) est bien ouvert et redirigé sur votre routeur
  • Assurez-vous que votre IP publique n’a pas changé (IP dynamique ?)

Certains sites ne marchent plus ?

  • Regardez les requêtes bloquées dans Pi-hole
  • Ajoutez les domaines légitimes à la whitelist

Le Pi rame ?

  • Le Zero 2W devrait suffire, mais si vous avez beaucoup d’appareils, envisagez un Pi 4

Conclusion

Voilà ! Vous avez maintenant un réseau domestique débarrassé des pubs, et vous pouvez en profiter même en déplacement. Pour environ 50 € et quelques heures de configuration, c’est un excellent investissement.

Le Pi Zero 2W consomme très peu (moins de 3W), vous pouvez donc le laisser tourner H24 sans culpabiliser. Et le petit bonus : vos pages web se chargent plus vite sans toutes ces pubs !

Dans les prochains articles, on poussera le concept encore plus loin avec du monitoring avancé, des intégrations domotique, et des configurations de sécurité qui feraient pâlir certaines entreprises.

En attendant, surveillez bien vos statistiques Pi-hole. Vous allez être surpris du nombre de requêtes publicitaires que vous receviez sans le savoir !

Cet article contient des liens affiliés Amazon. Si vous achetez via ces liens, vous soutenez le blog sans frais supplémentaires pour vous. Merci !