Byg din egen private DNS med Tailscale: Slip reklamerne, behold dine data
Selvhjælps-DNS: Blokér annoncer på netværksniveau
Har du allerede Headscale til din egen Tailscale-netværk? Så har du fikset den sikre forbindelse mellem dine enheder. Men mange overser det her: du kan også håndtere blokering af annoncer og tracking via DNS, og det virker automatisk på alle dine prylar – mobil, laptop, tablet, pc.
Den gamle vane? Send alt DNS til Cloudflare eller Quad9. Det fungerer. Men du går glip af masser af fordele.
Fordelene ved egen DNS
Med Headscale, der styrer DNS for hele dit tailnet, sker der noget genialt: alle enheder får filtrerede svar uden noget rod på klienterne. Ingen apps at installere. Ingen lister per enhed. Ingen kaos med flere værktøjer.
Se bare på gevinstene:
- Annoncer forsvinder overalt. Den luskede tracker når aldrig frem til din skærm.
- Interne navne løser perfekt. Din homeserver på
homeserver.tailnet.localvirker med det samme, alle steder. - Ensartet sikkerhed. Du bestemmer, hvad der løser – ingen smutveje.
Hvorfor Blocky er perfekt til os selvhostere
Pi-hole og AdGuard Home er gode. De er testet i kamp. Men de slæber med dashboards, databaser og endeløse indstillinger.
Blocky er anderledes. En ren DNS-proxy til folk, der vil have filtrering uden pjat. Én YAML-fil. Kører overalt. Gør én ting – bloker skidt DNS – og gør det skarpt.
Ulempen? Intet fancy UI. Men for os, der lever i terminalen, er det en styrke.
Blockys styrker:
- Super enkel opsætning. Ingen database. Ingen webgrænseflade at pleje.
- Bygget ind blocklister. Brug fællesskabets kilder eller lav dine egne.
- Letvægt. Kører på Raspberry Pi, lille VPS eller hvor Headscale sidder.
- Kryptering upstream. DoT til din offentlige resolver.
Androids Private DNS-fælde
Forestil dig: Du bruger Androids indbyggede Private DNS til en offentlig DoT-server som AdGuard. Alt kører fint. Så tilføjer du Tailscale – og DNS knækker.
Hvad sker? Tailscale pusher sine DNS-indstillinger via Headscale. Android følger med og sender til 100.100.100.100. Men den resolver understøtter ikke DoT. Androids check fejler. Intet løser.
Løsningen? Lad Tailscale eje hele DNS. Drop Androids Private DNS. Kør Blocky inde i tailnet, peg Headscale på den, og lad Tailscale håndtere alt. Blocky fikser kryptering til upstream – ingen Private DNS nødvendigt.
Dine mål med opsætningen
Før du fyrer Blocky op, vær klar over, hvad du vil:
Mål 1: Blokering på alle enheder. Alt i tailnet får filtreret DNS automatisk. Brugere skal ikke røre noget.
Mål 2: Krypteret forbindelse ud. Blocky til offentlig resolver går via DoT. WireGuard dækker resten.
Mål 3: Interne navne virker. Private services som homeserver.ts.internal løser overalt.
Mål 4: Null setup per enhed. Headscale pusher indstillingerne. Færdig.
Opsætningen trin for trin
Sådan flyder det:
- Enheder forbinder til Tailscale via Headscale.
- Headscale sender DNS til Blockys IP i tailnet.
- Enhed spørger DNS – rammer Blocky.
- Blocky tjekker mod lister. Blokeret? NXDOMAIN. Okay? Send upstream.
- Upstream via DoT til Cloudflare, Quad9 eller hvad du vil.
- Svar caches i Blocky og går tilbage til enheden.
- Alt krypteret med WireGuard. Du ejer det hele.
Hvorfor det er relevant nu
I 2024 er privatliv og annoncering basis. Men de fleste løsninger er per-enhed-patch. Netværksmetoden skalerer. Ny telefon i tailnet? Blokering på plads med det samme. Hos venner? Stadig beskyttet.
For udviklere og infra-folk handler det om mindre angrebsflade. Du styrer DNS. Du checker listerne. Du vælger resolvere. Selvhosting tænkt på DNS.
Næste skridt
Har du Headscale? Så tilføj Blocky nu. Vil du Unbound, Bind eller Coredns? Fine. Men Blockys enkelhed vinder for de fleste.
Det fede? Du er ikke låst. Skift resolver senere. Headscale og Tailscale tilpasser sig.
Din DNS er for vigtig til at overlade til fremmede. Tag kontrollen. Blokér støjen. Hold data indenfor. Det er selvhosting-drømmen – og den er tæt på.