Support 24h/24 et 7j/7
FAQ
 Tableau de Bord
Solde du compte :    
Créez votre DNS privé avec Tailscale : adieu pubs, bonjour confidentialité !

Créez votre DNS privé avec Tailscale : adieu pubs, bonjour confidentialité !

Mai 11, 2026 tailscale dns headscale self-hosted blocky ad-blocking network security wireguard privacy

DNS maison : Bloquez les pubs au niveau du réseau

Vous gérez déjà un réseau Tailscale auto-hébergé avec Headscale ? Parfait, la connexion privée et chiffrée entre vos appareils est réglée. Mais un point clé passe souvent inaperçu : le blocage des pubs et trackers se fait au niveau DNS. Résultat ? Protection automatique sur tous vos devices – smartphone, ordi, tablette – sans effort supplémentaire.

L'ancienne méthode ? Rediriger tout vers Cloudflare ou Quad9. Ça marche. Mais vous passez à côté d'un vrai gain.

Pourquoi un DNS interne change la donne

Avec Headscale qui pilote la résolution DNS sur tout votre tailnet, la magie opère : chaque appareil reçoit des réponses DNS filtrées, sans config côté client. Fini les apps à installer. Fini les listes de blocage par device. Une seule solution gère tout.

Les avantages concrets :

  • Pubs éradiquées partout. Les réseaux publicitaires invasifs ? Bloqués avant d'atteindre vos écrans.
  • Noms internes fluides. Votre serveur maison homeserver.tailnet.local se résout sans accroc, sur n'importe quel appareil.
  • Sécurité uniforme. Vous décidez ce qui passe ou non. Point final.

Blocky, le choix malin pour les auto-hébergeurs

Pi-hole ou AdGuard Home ? Des outils fiables, testés au feu. Mais avec leurs interfaces web, bases de données et options à foison, c'est parfois too much.

Blocky sort du lot. Un proxy DNS pur, sans fioritures. Un fichier YAML suffit. Il tourne partout. Il bloque les requêtes malveillantes, et basta.

Le compromis ? Pas d'UI clinquante. Pour les devs et sysadmins du CLI, c'est un plus.

Ce qui rend Blocky unique :

  • Config ultra-simple. Pas de DB, pas d'interface à updater.
  • Listes de blocage natives. Intégrez les sources communautaires ou vos customs.
  • Léger comme une plume. Raspberry Pi, VPS mini, où vous voulez – même là où Headscale squatte.
  • Chiffrement upstream inclus. DNS-over-TLS (DoT) vers le resolver public de votre choix.

Le piège du Private DNS sur Android

Cas classique : vous utilisez le "Private DNS" d'Android vers un resolver DoT public (genre AdGuard). Nickel. Puis Tailscale arrive, et tout plante.

Explication : Tailscale impose ses settings DNS via Headscale. Android suit et pointe vers 100.100.100.100, le relay interne Tailscale. Sauf que ce relay ignore le DoT. Le probe Android foire, rien ne résout. Blackout total.

Solution : Laissez Tailscale dominer le DNS. Oubliez le Private DNS Android. Installez Blocky dans le tailnet, orientez Headscale dessus. Blocky gère le DoT upstream. Plus besoin du truc Android.

Vos objectifs avant de déployer

Définissez bien ce que vous visez avec Blocky :

Objectif 1 : Zéro pub ni tracker sur tout le réseau. Filtrage auto pour chaque device du tailnet. Sans prise de tête pour les users.

Objectif 2 : Upstream chiffré. DoT entre Blocky et le resolver public. WireGuard protège déjà le reste, mais autant sécuriser la fin du trajet.

Objectif 3 : Résolution des services privés. homeserver.ts.internal marche partout, sans bidouiller.

Objectif 4 : Zéro config par appareil. Headscale pousse les settings. Les clients s'alignent seuls.

Le schéma en action

Le flux est clair :

  1. Vos devices se connectent via Tailscale (Headscale).
  2. Headscale assigne l'IP de Blocky comme DNS du tailnet.
  3. Une requête DNS atterrit sur Blocky.
  4. Blocky scrute les blocklists. Bloqué ? NXDOMAIN. OK ? Forward upstream.
  5. Upstream en DoT vers Cloudflare, Quad9, ou autre.
  6. Réponses cachées par Blocky, renvoyées au device.
  7. WireGuard chiffre tout. Vous contrôlez filtres et infra.

Pourquoi ça compte aujourd'hui

En 2024, privacy et anti-pubs sont basiques. Mais la plupart des outils les greffent par device. L'approche réseau ? Elle scale. Nouveau smartphone dans le tailnet ? Protégé direct. Chez un pote ? Pareil.

Pour les devs et infra engineers, c'est aussi moins de surface d'attaque. Vous pilotez le DNS. Vous auditez les listes. Vous choisissez vos resolvers publics (ou pas). L'esprit self-hosted pur.

Et après ?

Headscale en place ? Blocky est la suite logique. Vous préférez Unbound, Bind ou Coredns ? Allez-y. Mais la simplicité de Blocky séduit la majorité.

Le top ? Pas de lock-in. Besoins évoluent ? Switch de resolver. Headscale et Tailscale s'adaptent.

Votre DNS mérite mieux que l'externalisation aveugle. Prenez les rênes. Coupez le bruit. Gardez vos données en interne. Le self-hosting DNS, c'est à portée de main.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT ES DE DA ZH-HANS EN