Je eigen privé-DNS met Tailscale: geen ads, data bij jou
Zelf DNS regelen: Advertenties blokkeren op netwerkniveau
Heb je al een eigen Tailscale-netwerk draaien met Headscale? Dan heb je veilige, versleutelde verbindingen tussen je apparaten. Maar veel mensen vergeten iets belangrijks: je kunt adblockers en trackers aanpakken op DNS-niveau. Dat werkt overal – op je telefoon, laptop, tablet of pc – zonder extra gedoe.
De standaardmanier? Alles doorsturen naar Cloudflare of Quad9. Handig, maar je mist kansen.
Waarom eigen DNS een slimme zet is
Met Headscale als baas over DNS in je tailnet, gebeurt er iets moois: alle apparaten krijgen gefilterde DNS-antwoorden, zonder apps of per-device setup. Geen blocklists beheren. Geen rompslomp.
Voordelen in de praktijk:
- Ads verdwijnen overal. Die vervelende trackers komen je toestel niet eens binnen.
- Interne namen werken direct. Je homeserver op
homeserver.tailnet.localis meteen bereikbaar. - Veiligheid overal gelijk. Jij beslist wat wel en niet resolveert.
Blocky: perfect voor zelfhosters
Pi-hole en AdGuard Home zijn top. Ze hebben dashboards, databases en eindeloze opties. Soms te veel van het goede.
Blocky houdt het simpel. Een DNS-proxy voor wie filtering wil zonder poespas. Eén YAML-config. Draait overal. Blokkeert alleen rotzooi.
Minder UI, maar dat is voor CLI-fans een pluspunt. Wat Blocky uniek maakt:
- Supersimpele setup. Geen database, geen webpanel, geen updates voor een interface.
- Klaar voor blocklists. Gebruik community-lijsten of maak eigen.
- Lichtgewicht. Past op een Raspberry Pi of kleine VPS, naast Headscale.
- Versleutelde upstream. DNS-over-TLS (DoT) naar je favoriete resolver.
De Android Private DNS-valkuil
Stel: je gebruikt Androids 'Private DNS' met een publieke DoT-resolver zoals AdGuard. Werkt prima. Dan voeg je Tailscale toe, en DNS hapert.
Wat gaat er mis? Tailscale stuurt via Headscale DNS-instellingen naar je Android (naar 100.100.100.100). Android verwacht DoT, maar krijgt plain DNS. Niets resolveert meer.
Oplossing: laat Tailscale alles regelen. Zet Blocky in je tailnet, wijs Headscale erop. Blocky handelt DoT af naar buiten. Android Private DNS mag uit.
Wat je wilt bereiken
Voor je Blocky opzet, weet wat je fixt:
Doel 1: Ads en trackers weg, overal. Alle tailnet-apparaten krijgen filters automatisch. Geen user-config nodig.
Doel 2: Versleutelde upstream. Blocky naar publieke resolver via DoT. WireGuard beschermt de rest al.
Doel 3: Interne DNS. Private services zoals homeserver.ts.internal werken network-wide.
Doel 4: Geen per-apparaat werk. Headscale pusht settings. Klaar.
Hoe het werkt
De datastroom:
- Apparaten joinen Tailscale via Headscale.
- Headscale wijst DNS naar Blocky's IP in het tailnet.
- Query's landen bij Blocky.
- Blocky checkt blocklists: blokkeer met NXDOMAIN, of forward upstream.
- Upstream via DoT naar Cloudflare, Quad9 ofzo.
- Antwoorden gecachet en terug naar je device.
- Alles over WireGuard, jij beheert de filters.
Waarom dit nu telt
In 2024 is privacy basis. Maar de meeste tools zijn per device. Dit schaalt beter. Nieuw toestel in tailnet? Direct beschermd. Bij een vriend op bezoek? Nog steeds safe.
Voor devs en infra-mensen: minder aanvalsvlak. Jij controleert DNS, blocklists en trusted resolvers. Pure selfhosting.
Volgende stappen
Headscale al live? Voeg Blocky toe. Liever Unbound of Coredns? Kan ook. Blocky wint door eenvoud.
Niet vastzitten: wissel later om. Headscale en Tailscale blijven flexibel.
Neem DNS in eigen hand. Blokkeer de troep. Houd data binnenboord. Dat is selfhosted leven op z'n best.