Tee-itse DNS: Miksi estää mainokset koko verkossa

Jos pyörität jo Headscale-pohjaista Tailscale-verkkoa, olet hoitanut yksityisen ja salatun yhteyden laitteidesi välillä. Monet unohtavat kuitenkin tämän: mainosten ja seurannan voi blokata DNS-tasolla, jolloin suoja leviää automaattisesti puhelimeen, läppäriin, tablettiin ja pöytäkoneeseen.

Perinteinen tapa on ohjata kaikki julkisiin palveluihin kuten Cloudflareen tai Quad9:een. Se toimiii, mutta menetät paljon.

Miksi oma DNS ratkaisee

Kun Headscale hoitaa DNS-resoluution koko tailnetissä, laitteet saavat suodatetut tulokset ilman säätöä. Ei sovelluksia asennettavaksi. Ei laitekohtaista listaa. Ei sekavaa hallintaa.

Käytännön hyödyt:

• Mainokset katoavat verkosta. Se epäilyttävä mainosverkko ei pääse läpi laitteellesi.
• Sisäiset nimet toimivat heti. Kotipalvelimesi homeserver.tailnet.local löytyy kaikkialta.
• Yhtenäinen suoja. Sinä päätät, mitä resolvaa ja mitä ei.

Miksi Blocky sopii itsepyörittäjille

Pi-hole ja AdGuard Home ovat hyviä, testattuja vaihtoehtoja. Niissä on kuitenkin web-käyttöliittymä, tietokannat ja loputtomat asetukset.

Blocky eroaa joukosta. Se on kevyt DNS-proxy, joka keskittyy suoraan asiaan. Yksi YAML-tiedosto riittää. Pyörii missä vaan. Blokkaa huonot pyynnöt ilman turhia krumeluureja.

Miinus? Ei kiiltävää käyttöliittymää. Kehittäjille ja infra-tyypeille, jotka elävät komennoissa, se on plussa.

Blockyn vahvuudet:

• Helppo konffa. Ei tietokantaa, ei web-palvelinta, ei päivityksiä.
• Valmiit blokkilistat. Ota käyttöön yhteisön listat tai tee omat.
• Kevyt rauta. Sopii Raspberry Pi:lle, pieneen VPS:ään tai Headscalen kaveriksi.
• Salattu upstream. Tukee DNS-over-TLS:ää valitsemaasi julkiseen resolveriin.

Androidin Private DNS -ansapaikka

Olet ehkä käyttänyt Androidin Private DNS:ää julkiseen DoT-resolveriin, kuten AdGuardiin. Toimii mainiosti. Sitten lisäät Tailscalen, ja DNS hajoaa.

Mitä tapahtuu: Tailscale lähettää Headscalen kautta omat DNS-asetuksensa Androidille. Laite ohjaa kyselyt Tailscalen sisäiseen resolveriin (100.100.100.100). Se ei tue DoT:ta, joten Androidin testi epäonnistuu. Mitään ei resolvaa.

Ratkaisu? Anna Tailscalen hoitaa koko DNS. Unohda Androidin Private DNS. Pyöritä Blockya tailnetissä, ohjaa Headscale siihen. Blocky hoitaa salatun yhteyden julkisiin resolvereihin. Androidin ominaisuus ei enää tarvita.

Tavoitteet ennen asennusta

Mieti ensin, mitä haet:

Tavoite 1: Mainosblokkaus kaikkialla. Jokainen tailnet-laitteesi saa suodatetut DNS-tulokset automaattisesti. Ei käyttäjien säätöä.

Tavoite 2: Salattu upstream. Blockyn ja julkisen resolverin välinen liikenne DoT:lla. WireGuard suojaa jo laitteen ja Blockyn välillä.

Tavoite 3: Sisäiset nimet kuntoon. Palvelimiesi nimet kuten homeserver.ts.internal toimivat koko verkossa.

Tavoite 4: Ei laitesäätöä. Headscale jakaa asetukset, asiakkaat poimivat ne itse.

Arkkitehtuuri lyhyesti

Näin homma kulkee:

1. Laitteet yhdistyvät Tailscaleen (Headscalen kautta).
2. Headscale jakaa Blockyn IP-osoitteen DNS:ksi.
3. Laitteen DNS-kysely osuu Blockyyn.
4. Blocky tarkistaa blokkilistoja. Estetyt saavat NXDOMAIN. Muut menevät eteenpäin.
5. Upstream-kyselyt DoT:lla julkiseen resolveriin (Cloudflare, Quad9 tms.).
6. Tulokset Blockyyn, välimuistiin ja laitteelle.
7. Kaikki WireGuard-suojaamana. Sinä hallitset suodattimia.

Miksi tämä on ajankohtaista

Vuonna 2024 yksityisyys ja mainosblokkaus ovat perusvaatimuksia. Useimmat ratkaisut vaativat säätöä per laite. Verkkotason lähestymistapa skaalautuu. Uusi puhelin tailnetiin? Blokki valmiina. Vierailu kaverilla? Suoja mukana.

Infran näkökulmasta tämä pienentää hyökkäysalaa. Sinä kontrolloit DNS:ää, listoja ja upstream-resolvereita. Täydellinen itsepyörittämisen henki.

Seuraavat askeleet

Jos Headscale pyörii, Blocky on luonnollinen lisä. Voit vaihtaa vaikka Unboundiin tai Corednsiin, mutta Blockyn yksinkertaisuus voittaa useimmiten.

Parasta: et lukitu. Tarvitseeko vaihtaa? Tee se. Headscale ja Tailscale eivät välitä. Ota DNS haltuun. Blokkaa roskat. Pidä data omassa verkossasi. Se on itsepyörittämisen unelma, ja täysin toteutettavissa.