DNS propriu: Blochează reclamele direct la nivel de rețea

Ai deja o rețea Tailscale self-hosted cu Headscale? Atunci ai rezolvat conectivitatea privată și criptată între device-uri. Dar mulți trec peste un detaliu esențial: poți bloca reclamele și tracking-ul la nivelul DNS, iar efectul se simte pe toate gadgeturile tale – telefon, laptop, tabletă, desktop – fără efort suplimentar.

Metoda veche? Direcționezi totul spre Cloudflare sau Quad9. Funcționează, dar ratezi controlul total.

De ce să ai DNS intern

Cu Headscale la cârma rezolvării DNS în tailnet, se întâmplă magie: toate device-urile primesc rezultate filtrate automat, fără configurări pe fiecare. Fără app-uri de instalat. Fără liste de blocare per gadget. Fără haos.

Beneficii concrete:

• Reclamele dispar peste tot. Rețelele dubioase de tracking nu ajung nici măcar la tine.
• Hostname-urile interne merg flawless. Serverul de acasă la homeserver.tailnet.local se rezolvă instant, oriunde.
• Securitate uniformă. Tu decizi ce se rezolvă, fără găuri.

De ce Blocky e alegerea self-hosterilor

Pi-hole sau AdGuard Home sunt bune, testate în luptă. Dar au dashboard-uri web, baze de date și opțiuni care te copleșesc. Uneori, prea mult.

Blocky simplifică totul. E un proxy DNS pentru filtrare pură, fără balast. Un fișier YAML. Rulează oriunde. Blochează cererile nasoale și atât.

Minus? Fără interfață fancy. Dar pentru noi, cei din CLI, asta e un plus.

Ce îl face unic:

• Config super-simplex. Fără DB, fără web UI de întreținut.
• Suport nativ blocklist-uri. Adaugi liste comunitare sau custom.
• Ușor ca penele. Merg pe Raspberry Pi, VPS mic, lângă Headscale.
• Criptare upstream inclusă. DNS-over-TLS spre resolver-ul preferat.

Capcana cu Private DNS pe Android

Ai folosit Private DNS pe Android cu un resolver public DoT, gen AdGuard? Merge perfect. Adaugi Tailscale și bum – DNS se blochează.

Ce se întâmplă: Tailscale impune setări DNS via Headscale. Android le respectă și trimite query-uri la 100.100.100.100 din tailnet. Dar ăla nu știe DoT, doar relay simplu. Probe-ul Android eșuează, nimic nu se rezolvă.

Soluția? Lasă Tailscale să controleze tot stack-ul DNS. Renunță la Private DNS Android. Pune Blocky în tailnet, direcționează Headscale spre el. Blocky face criptarea upstream – nu mai ai nevoie de feature-ul Android.

Obiective clare la deploy

Înainte să pornești Blocky, definește țintele:

Țintă 1: Blocare ads/trackers universală. Toate device-urile din tailnet primesc DNS curat, fără setup pe fiecare.

Țintă 2: Upstream criptat. Traficul Blocky spre resolver public via DoT. WireGuard criptează restul, dar nu risca ultimul hop.

Țintă 3: Rezolvire hostname intern. Serviciile private au nume DNS care merg peste tot, gen homeserver.ts.internal.

Țintă 4: Zero configurări per device. Headscale push-uiește setările, clienții le iau automat.

Cum arată arhitectura

Fluxul e clar:

1. Device-urile se conectează la Tailscale (prin Headscale).
2. Headscale trimite setări DNS spre IP-ul Blocky din tailnet.
3. Query DNS lovește Blocky.
4. Blocky verifică blocklist-urile. Cereri blocate: NXDOMAIN. Cele bune merg upstream.
5. Upstream via DoT la Cloudflare, Quad9 etc.
6. Rezultatele se cache-uiesc în Blocky și ajung la device.
7. Totul criptat WireGuard. Tu controlezi filtrul.

De ce contează azi

În 2024, privacy și ad-blocking sunt obligatorii. Dar soluțiile clasice le tratează ca add-on-uri per device. Abordarea de rețea scalează real. Adaugi un telefon nou? Ads blocate instant. La un prieten? Protecție activă.

Pentru dev și infra guys, reduci suprafața de atac. Tu auditezi blocklist-urile. Tu alegi resolver-ele publice. Self-hosting aplicat la DNS.

Pași următori

Ai Headscale? Adaugă Blocky acum. Sau Unbound, Bind, Coredns – ce vrei. Dar Blocky câștigă la simplitate.

Plusul mare? Nu te blochezi. Schimbi resolver-ul oricând. Headscale/Tailscale rămân flexibili.

DNS-ul tău merită control total. Blochează zgomotul. Păstrează datele în rețea. Self-hosted dream, la îndemână.