Vlastní DNS: Jak blokovat reklamy na úrovni sítě

Pokud už máte Tailscale síť na Headscale, máte vyřešené soukromé šifrované připojení mezi zařízeními. Ale často se zapomene na další věc: blokování reklam a sledování přímo v DNS. Výhoda? Funguje to na všech vašich zařízeních – mobilu, notebooku, tabletu i PC – bez dalšího nastavování.

Starý způsob? Směrujete vše na Cloudflare nebo Quad9. Je to jednoduché, ale promeškáte spoustu výhod.

Proč zvolit vnitřní DNS

Když Headscale řídí DNS pro celou vaši tailnet, stane se kouzlo: každé zařízení dostane filtrované výsledky bez jakéhokoli nastavení na straně klienta. Žádné appky, žádné seznamy bloků na jednotlivých zařízeních, žádná správa více nástrojů.

V praxi to znamená:

• Reklamy mizí všude v síti. Žádná podezřelá síť vás nesleduje, protože požadavek nedojde ani k zařízení.
• Vnitřní názvy fungují okamžitě. Váš domácí server na homeserver.tailnet.local se resolvuje všude.
• Jednotná bezpečnost. Vy rozhodujete, co se resolvuje. Žádné výjimky.

Proč je Blocky ideální pro self-hostery

Pi-hole nebo AdGuard Home znáte – jsou spolehlivé. Mají webové rozhraní, databáze a hromadu nastavení. Někdy je to zbytečně složité.

Blocky je jiný. DNS proxy pro ty, kdo chtějí filtrování bez zbytečností. Stačí jeden YAML soubor. Běží kdekoliv. Dělá jednu věc – blokuje špatné DNS požadavky – a dělá ji skvěle.

Nevýhoda? Žádné okázalé UI. Ale pro vývojáře a adminy, co žijí v terminálu, je to plus.

Co ho odlišuje:

• Jednoduché nastavení. Žádná databáze, žádné webové rozhraní na údržbu.
• Podpora blocklistů. Přidejte komunitní zdroje nebo vlastní seznamy.
• Lehký. Běží na Raspberry Pi, malém VPS nebo kde máte Headscale.
• Šifrovaný upstream. Podporuje DNS-over-TLS (DoT) k veřejným resolverům.

Past Android Private DNS

Běžný problém: Používáte Android Private DNS na veřejný DoT resolver (např. AdGuard) a jede to super. Pak přidáte Tailscale – a DNS padne.

Co se stane: Tailscale pošle přes Headscale vlastní DNS nastavení. Android to respektuje a směruje na interní resolver (100.100.100.100). Ten ale DoT neumí, je to jen jednoduchý relé. Android probe selže, nic se neresolvuje.

Řešení? Nechte Tailscale řídit celý DNS. Vypněte Android Private DNS. Spusťte Blocky v tailnetu, nastavte Headscale na něj a Tailscale zpracuje vše. Blocky zařídí šifrovaný upstream – Android Private DNS nepotřebujete.

Co chcete dosáhnout

Před spuštěním Blocky si ujasněte cíle:

Cíl 1: Blokování reklam všude. Všechna zařízení v tailnetu dostanou filtrované DNS automaticky. Žádné nastavování pro uživatele.

Cíl 2: Šifrovaný upstream. Mezi Blocky a veřejným resolverem jděte DoT. WireGuard chrání zbytek, ale poslední hop šifrujte.

Cíl 3: Resolvování vnitřních jmen. Služby jako homeserver.ts.internal fungují napříč sítí.

Cíl 4: Žádné nastavování na zařízeních. Headscale to pošle a hotovo. Klienti si to vyzvednou sami.

Jak to funguje

Tok je jednoduchý:

1. Zařízení se připojí k Tailscale (přes Headscale).
2. Headscale pošle DNS nastavení na IP Blocky v tailnetu.
3. Zařízení pošle DNS dotaz na Blocky.
4. Blocky zkontroluje blocklisty. Blokované vrátí NXDOMAIN, ostatní pošle dál.
5. Upstream jde přes DoT na Cloudflare, Quad9 nebo co chcete.
6. Výsledky se cachují v Blocky a vrátí se zařízení.
7. Vše je šifrované WireGuardem. Vy máte infrastrukturu pod kontrolou.

Proč to dělat teď

V roce 2024 je soukromí a blokování reklam základ. Většina řešení je pro jednotlivá zařízení. Síťový přístup škáluje. Přidáte nový mobil? Blokování je hned tam. U kamaráda? Stále chráněni.

Pro devy a infra lidi to snižuje rizika. Vy kontrolujete DNS, audituje blocklisty, volíte důvěryhodné resivery. To je self-hosting v praxi.

Co dál

Máte Headscale? Přidejte Blocky – je to logický krok. Můžete použít Unbound, Bind nebo Coredns, ale Blocky je nejjednodušší.

Nejlepší? Nejste uvězněni. Potřebujete změnu? Vyměňte resolver. Headscale a Tailscale to zvládnou.

DNS je příliš důležité na slepé důvěřování. Převezměte kontrolu. Blokujte hluk. Data zůstanou u vás. Self-hosted sen je na dosah.