Egen DNS-løsning: Blokker annonser på nettverksnivå

Kjører du allerede Headscale for en selvhostet Tailscale-nettverk? Da har du fikset kryptert tilkobling mellom enhetene dine. Men mange overser et stort pluss: du kan blokkere annonser og sporing rett i DNS-laget. Da får du beskyttelse på mobil, laptop, nettbrett og PC – automatisk, uansett hvor du kobler til.

Gammeldags måte? Bruk Cloudflare eller Quad9 som offentlig DNS. Det funker. Men du gir fra deg mye kontroll.

Fordelene med intern DNS

Med Headscale som styrer DNS for hele tailnet, skjer det noe kult: alle enheter får filtrert DNS uten ekstra oppsett på klientene. Ingen apper å installere. Ingen lister per enhet. Alt løses sentralt.

Her er de praktiske gevinstene:

• Annonser forsvinner overalt. Den shady annonsenettverket som sporer deg? Den når aldri fram.
• Interne navn funker sømløst. Hjemmeserveren på homeserver.tailnet.local løses opp overalt.
• Enhetlig sikkerhet. Du bestemmer hva som løses opp. Punktum.

Hvorfor Blocky passer self-hosting perfekt

Pi-hole og AdGuard Home er bra verktøy. De har dashboards, databaser og masse innstillinger. Noen ganger er det for mye stas.

Blocky er annerledes. En ren DNS-proxy for de som vil ha filtrering uten dilldall. Én YAML-fil. Kjør det hvor som helst. Blokker bare dårlige forespørsler – og gjør det bra.

Ulempen? Ingen fancy grensesnitt. Men for oss som lever i terminalen, er det en fordel.

Dette skiller Blocky ut:

• Superenkelt oppsett. Ingen database. Ingen webserver å vedlikeholde.
• Støtte for blocklister. Bruk felleslister eller lag dine egne.
• Lettvekts. Flyter på Raspberry Pi, liten VPS eller der Headscale bor.
• Kryptering upstream. DNS-over-TLS (DoT) til valgt offentlig resolver.

Androids Private DNS-felle

Et vanlig problem: Du bruker Androids innebygde Private DNS mot en offentlig DoT-tjeneste, som AdGuard. Alt er tipp-topp. Så legger du til Tailscale – og DNS krasjer.

Hva skjer: Tailscale skyver egne DNS-innstillinger via Headscale. Android prioriterer dette og sender til Tailscales interne resolver (100.100.100.100). Men den støtter ikke DoT. Androids sjekk feiler. Ingenting løses opp.

Løsningen? La Tailscale ta hele DNS-ansvaret. Dropp Androids Private DNS. Kjør Blocky i tailnet, pek Headscale dit, og la Tailscale håndtere alt. Blocky fikser kryptering upstream – du trenger ikke Android-greia lenger.

Mål før du setter det opp

Vær klar på hva du vil oppnå med Blocky:

Mål 1: Blokking overalt. Alle enheter i tailnet får filtrert DNS auto-magisk. Null jobb for brukerne.

Mål 2: Kryptert upstream. Blocky til offentlig resolver går over DoT. WireGuard dekker resten.

Mål 3: Interne navn. Private tjenester som homeserver.ts.internal funker network-wide.

Mål 4: Null klientoppsett. Headscale pusher innstillinger. Enheter henter dem selv.

Hvordan det henger sammen

Flyten er enkel:

1. Enhetene kobler til Tailscale via Headscale.
2. Headscale sender DNS-peker mot Blockys IP i tailnet.
3. Enhet spør DNS – treffer Blocky.
4. Blocky sjekker blocklister. Blokkerte gir NXDOMAIN. Rene går videre.
5. Upstream bruker DoT til Cloudflare, Quad9 eller lignende.
6. Svar caches i Blocky og sendes tilbake.
7. Alt er WireGuard-kryptert. Du eier alt. Du styrer filtrene.

Hvorfor det er relevant nå

I 2024 er personvern og ad-blocking basics. Men de fleste løsninger krever oppsett per enhet. Nettverksmetoden skalerer. Ny mobil i tailnet? Beskyttelse med en gang. På hytta hos kompis? Fortsatt dekket.

For dev'er og infra-folk handler det om mindre angrepsflate. Du kontrollerer DNS. Du gransker listene. Du velger resolvere – eller dropper dem.

Neste steg

Har du Headscale? Legg til Blocky nå. Vil du ha Unbound, Bind eller Coredns? Gjør det. Blocky vinner på enkelhet for de fleste.

Beste del? Ikke låst. Bytt resolver når du vil. Headscale og Tailscale bryr seg ikke.

DNS er for viktig til å outsource blindt. Ta grep. Blokker støyen. Hold dataene dine inne. Det er self-hosting-drømmen – og den er innen rekkevidde.