24/7-Support
FAQ
 Dashboard
Kontoguthaben:    
Dein privater DNS mit Tailscale: Werbung weg, Daten sicher

Dein privater DNS mit Tailscale: Werbung weg, Daten sicher

Mai 11, 2026 tailscale dns headscale self-hosted blocky ad-blocking network security wireguard privacy

Eigene DNS-Lösung: Werbung netzwerkweit blocken

Hast du schon ein selbst gehostetes Tailscale-Netzwerk mit Headscale? Dann hast du sichere Verbindungen zwischen deinen Geräten im Sack. Viele übersehen aber: Werbung und Tracker lassen sich auf DNS-Ebene stoppen. Und das wirkt automatisch auf jedem Gerät – Handy, Laptop, Tablet, PC.

Früher? Alles auf Cloudflare oder Quad9 umleiten. Funktioniert. Aber du lässt Potenzial liegen.

Vorteile einer internen DNS

Headscale übernimmt die DNS-Auflösung für dein ganzes Tailnet. Ergebnis: Jedes Gerät bekommt gefilterte DNS-Antworten. Ohne Extra-Apps oder Einstellungen pro Gerät.

Das bringt Praxisvorteile:

  • Werbung weg – überall. Dubiose Tracker erreichen dein Gerät nie.
  • Interne Namen klappen sofort. Dein Homeserver unter homeserver.tailnet.local ist überall erreichbar.
  • Einheitliche Sicherheit. Du bestimmst, was aufgelöst wird. Keine Lücken.

Warum Blocky für Self-Hoster top ist

Pi-hole oder AdGuard Home? Starke Tools. Aber Web-Dashboards, Datenbanken, tonnenweise Optionen – oft zu viel Aufwand.

Blocky ist schlanker. Ein DNS-Proxy für Filter-Fans ohne Ballast. Eine YAML-Datei. Läuft überall. Macht nur eines: Schlechte Anfragen blocken.

Kein UI-Glanz. Perfekt für CLI-Helden.

Was Blocky auszeichnet:

  • Einfache Einrichtung. Keine DB, kein Web-Interface, keine Updates für Dashboards.
  • Blocklisten integriert. Community-Listen oder eigene – einfach rein.
  • Leichtgewichtig. Raspberry Pi, kleiner VPS, Headscale-Server – passt überall.
  • Verschlüsselte Upstreams. DNS-over-TLS (DoT) zu deinem Resolver.

Der Android Private DNS-Fehler

Typisches Problem: Androids "Private DNS" auf AdGuard DoT läuft super. Tailscale kommt dazu – DNS crasht.

Warum? Tailscale schiebt eigene DNS-Einstellungen via Headscale. Android nutzt den internen Resolver (100.100.100.100). Der ist unverschlüsselt. Androids DoT-Check scheitert. Keine Auflösung.

Lösung: Tailscale DNS voll übernehmen. Android Private DNS aus. Blocky im Tailnet laufen lassen. Headscale darauf zeigen. Blocky verschlüsselt zum Upstream. Fertig.

Deine Ziele beim Setup

Bevor Blocky startet, klar machen:

Ziel 1: Werbung tailnetweit stoppen. Alle Geräte filtern automatisch. Kein User-Aufwand.

Ziel 2: Upstream verschlüsseln. Blocky zu public Resolver per DoT. WireGuard schützt den Rest.

Ziel 3: Interne Namen auflösen. homeserver.ts.internal funktioniert networkweit.

Ziel 4: Null Einstellungen pro Gerät. Headscale pusht alles. Clients greifen zu.

So läuft die Architektur

Ablauf:

  1. Geräte joinen Tailscale (über Headscale).
  2. Headscale verteilt Blocky-IP als DNS.
  3. Gerät fragt DNS – Blocky fängt ab.
  4. Blocky prüft Listen. Blockiert? NXDOMAIN. Sonst upstream.
  5. Upstream per DoT zu Cloudflare, Quad9 oder so.
  6. Antwort gecacht, zurück ans Gerät.
  7. Alles WireGuard-verschlüsselt. Du steuerst Filter.

Warum das jetzt zählt

2024 sind Privacy und Ad-Blocking Standard. Meist per App auf Geräten. Netzwerkweise skaliert besser. Neues Handy? Sofort geschützt. Bei Freunden? Bleibt wirksam.

Für Devs und Infra-Leute: Weniger Angriffsfläche. Du prüfst Listen. Du wählst Resolver. Self-Hosting-Philosophie pur.

Nächste Schritte

Headscale läuft? Blocky draufpacken. Alternativen wie Unbound oder Coredns gehen auch. Blocky punktet mit Einfachheit.

Flexibel: Brauchst was anderes? Wechseln. Headscale/Tailscale egal.

DNS nicht blind auslagern. Selbst machen. Werbung killen. Daten behalten. Self-Hosting-Leben – greifbar.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN