xel-serv logo
Xeltor's Ad-blocking DNS

Jump to

Step-by-step: Phone setup

Android (Android 9 or newer)

  1. Go to Settings ▸ Network & Internet ▸ Private DNS.
  2. Tap Private DNS provider hostname.
  3. Type dot.xel-serv.com and press Save.

Need to revert? Return to Private DNS, choose Off (or Automatic) and save.

Using Android 8.1 or older? Install a DNS app (Nebulo, AdGuard, etc.) and point it to dot.xel-serv.com instead.

iPhone & iPad (iOS / iPadOS 14+)

Apple needs a small configuration profile. Download ours, then install it from Settings.

Download DNS profile
  1. Tap the download button in Safari. When it says “Profile Downloaded”, open Settings.
  2. Go to Profile Downloaded (or General ▸ VPN & Device Management).
  3. Select Xeltor's Ad-blocking DNSInstall → confirm with your passcode.
  4. Tap Install again to trust it. Your DNS now uses the ad-blocking resolver automatically.
Want to remove it later? Head back to Settings ▸ General ▸ VPN & Device Management and delete the profile.

Other devices (advanced)

Laptops, desktops, routers, and servers all support encrypted DNS in different ways. The resources below cover the common paths:

  • Windows 11+: full walkthrough with screenshots for turning on encrypted DNS and pointing to dot.xel-serv.com.
  • macOS / iOS (manual): detailed steps for creating a resolver profile or using Terminal tools with our hostname.
  • Linux: guides for systemd-resolved, NetworkManager, and popular DNS forwarders.
  • Routers & firewalls: configuration notes for Unbound, dnsmasq, OPNSense/pfSense, and AdGuard Home.

Looking for another platform? Send me the details and I’ll add a dedicated guide.

FAQ

Why won’t this block YouTube ads?

YouTube serves videos and ads from the same hostnames (for example youtube.com and googlevideo.com) over HTTPS and QUIC. DNS-level blocking can only allow or deny entire hostnames, so it cannot separate an ad stream from the video you actually want to watch.

  • The traffic is encrypted end-to-end, which prevents the resolver from inspecting or stripping individual ad segments.
  • Blocking those shared hostnames would break legitimate playback and stop the YouTube app from loading videos.
  • YouTube rotates domains often and embeds ads inside the video manifest, bypassing hostname filters altogether.

To curb YouTube ads, use an app or browser extension with in-stream blocking (NewPipe, Brave, uBlock Origin) or a network filter that can rewrite manifests. DNS filtering still removes most other ad and tracking domains that live on separate infrastructure.

Can I use DNS over QUIC (DoQ) instead of DoT?

Yes, if your platform has a DoQ-capable app. Install something like Nebulo or AdGuard DNS, choose DoQ, and point it at doq.xel-serv.com on port 853.

The app will create a local VPN tunnel to secure your DNS traffic. iOS does not expose system-wide DoQ yet, so Apple devices should stick with the DNS profile above until that changes.

Does this replace a VPN or block every in-app ad?

No. DNS filtering only decides which hostnames your device can reach. It improves privacy by cutting off known ad and tracker domains, but it does not encrypt all traffic or spoof your location the way a VPN does.

  • Apps that hard-code ad servers, ship ads inside the app, or use the same domain as core content will still show advertising.
  • Connections outside DNS (for example hard-coded IPs or DoH inside an app) bypass this resolver and keep working.
  • If you need full-tunnel encryption or geo-unblocking, pair this DNS service with a reputable VPN instead of treating it as a replacement.

Think of this resolver as a baseline network-wide filter. It pairs well with browser extensions or device-level blockers for stubborn apps.

Want the technical bits?

Resolver layout

Two Technitium v8 resolvers operate in the Netherlands without forwarders. Both hostnames dot.xel-serv.com and doq.xel-serv.com resolve to both nodes:

  • Node A — self-hosted hardware in NL (DoT/DoQ on port 853, TLS 1.3 with ALPN dot).
  • Node B — SSDNodes VPS in NL (DoT/DoQ on port 853, HTTP/3 enabled).

The nodes share one view, so whichever IP you hit delivers identical filtering and answers.

Filtering & security controls
  • DNSSEC validation is enforced; bogus chains are dropped.
  • Blocklists: big.oisd.nl for ads/trackers and the URLhaus host file for active malware domains.
  • TLS certificates are issued automatically by Let’s Encrypt via Traefik.
  • Recursion is closed to standard DoT/DoQ clients—no open UDP/TCP port 53 exposure.
Logging & retention
  • No per-query or per-client logs are persisted.
  • Error and audit logs (without client IPs or domains) are kept for at most 12 months for abuse detection, then purged.
  • Anonymised aggregate statistics live in memory only; nothing is exported to third parties.
CLI verification & integration

Run quick checks or wire the resolver into homelab tooling.

kdig @dot.xel-serv.com example.com +tls +tls-host=dot.xel-serv.com
openssl s_client -connect dot.xel-serv.com:853 -alpn dot
kdig @doq.xel-serv.com example.com +quic

Stubby / dnscrypt-proxy: set the upstream to dot.xel-serv.com:853, require TLS authentication on that hostname, and enable IPv4/IPv6 as needed.

Troubleshooting tips
  • If Android says “Cannot connect”, toggle airplane mode once to force a fresh certificate check.
  • Allow DoQ apps to create VPN tunnels and exempt them from battery optimisations/background limits.
  • Verify the resolver via 1.1.1.1/help or run an extended check on dnsleaktest.com.

Privacy statement · EU / Netherlands

The dot/doq.xel-serv.com resolvers run in the Netherlands and are made available free of charge. They do not perform commercial tracking and are operated with GDPR compliance in mind.

  • Data controller. Xeltor (Netherlands). Contact xeltor@gmail.com for any privacy question or request.
  • Infrastructure. Two Technitium resolver instances answer queries: one is privately hosted in the Netherlands, the other runs on a VPS at SSDNodes’ Dutch location.
  • Query handling. DNS questions are resolved locally without forwarders, validated with DNSSEC, and no per-device or per-query logs are written to disk.
  • Logging & retention. Error, audit, and aggregated statistics logs are kept for a maximum of 30 days. Query logs are never written, and stored records exclude client IPs and domain lookups.
  • Third parties. Aside from SSDNodes providing infrastructure for one resolver and Let’s Encrypt issuing TLS certificates, no data is shared or sold to other parties.
  • Your rights. You retain full GDPR rights (access, rectification, erasure, restriction, objection). Email your request and you will receive a response within 30 days.

You can remove the Private DNS configuration at any time if you no longer wish to use this resolver.

Need another guide?

Spring naar

Stap-voor-stap: Telefoon instellen

Android (Android 9 of nieuwer)

  1. Ga naar Instellingen ▸ Netwerk en internet ▸ Privé DNS.
  2. Kies Hostname van privé DNS-provider.
  3. Typ dot.xel-serv.com en druk op Opslaan.

Uitschakelen? Ga terug naar Privé DNS, kies Uit (of Automatisch) en sla op.

Gebruik je Android 8.1 of ouder? Installeer een DNS-app (Nebulo, AdGuard, enz.) en wijs die naar dot.xel-serv.com.

iPhone & iPad (iOS / iPadOS 14+)

Apple vraagt om een klein configuratieprofiel. Download het hier en installeer het daarna via Instellingen.

Download DNS-profiel
  1. Tik op de downloadknop in Safari. Zie je “Profiel gedownload”, open dan Instellingen.
  2. Ga naar Profiel gedownload (of Algemeen ▸ VPN en apparaatbeheer).
  3. Kies Xeltor's Ad-blocking DNSInstalleer → bevestig met je toegangscode.
  4. Tik opnieuw op Installeer om het profiel te vertrouwen. Je toestel gebruikt nu automatisch de advertentieblokkerende DNS.
Verwijderen kan altijd: ga terug naar Instellingen ▸ Algemeen ▸ VPN en apparaatbeheer en verwijder het profiel.

Andere apparaten (geavanceerd)

Laptops, desktops, routers en servers ondersteunen versleutelde DNS op verschillende manieren. De onderstaande tips helpen je op weg:

  • Windows 11+: uitgebreide uitleg met schermafbeeldingen om versleutelde DNS op dot.xel-serv.com te zetten.
  • macOS / iOS (handmatig): stappenplan voor een resolver-profiel of Terminal-config met onze hostnaam.
  • Linux: voorbeelden voor systemd-resolved, NetworkManager en populaire forwarders.
  • Routers & firewalls: configuratie voor Unbound, dnsmasq, OPNSense/pfSense en AdGuard Home.

Mis je een platform? Laat het me weten met je scenario en ik voeg een aparte handleiding toe.

Veelgestelde vragen

Waarom blokkeert dit geen YouTube-advertenties?

YouTube levert video’s en advertenties via dezelfde hostnamen (zoals youtube.com en googlevideo.com) over HTTPS en QUIC. DNS-filtering kan alleen bepalen welke hostnamen resolven en kan daardoor geen advertentiestromen scheiden van de video die je wilt bekijken.

  • Het verkeer is end-to-end versleuteld, waardoor de resolver geen afzonderlijke advertentiefragmenten kan inspecteren of verwijderen.
  • Als je die gedeelde hostnamen blokkeert, breek je het afspelen van gewone video’s en stopt de YouTube-app volledig.
  • YouTube wisselt regelmatig van domeinen en verstopt advertenties in het videomanifest, waardoor hostname-filters worden omzeild.

Wil je minder YouTube-advertenties zien, gebruik dan een app of browserextensie met ingebouwde blokkering (NewPipe, Brave, uBlock Origin) of een netwerkfilter dat manifesten kan herschrijven. DNS-filtering blijft wel effectief voor de meeste andere advertentie- en trackerdomeinen die apart gehost worden.

Kan ik DNS over QUIC (DoQ) gebruiken in plaats van DoT?

Ja, als je platform een DoQ-app aanbiedt. Installeer bijvoorbeeld Nebulo of AdGuard DNS, kies DoQ en wijs de app naar doq.xel-serv.com op poort 853.

De app start een lokaal VPN om je DNS-verkeer te versleutelen. iOS biedt nog geen systeem-brede DoQ, dus Apple-toestellen blijven het best bij het DNS-profiel hierboven totdat dat verandert.

Vervangt dit een VPN of blokkeert het alle in-app advertenties?

Nee. DNS-filtering bepaalt alleen welke hostnamen je toestel kan bereiken. Het verbetert privacy door bekende advertentie- en trackerdomeinen af te snijden, maar versleutelt niet al het verkeer en verandert je locatie niet zoals een VPN dat doet.

  • Apps die advertentiersen in de app zelf inbouwen of dezelfde domeinnaam gebruiken als de hoofdinhoud blijven advertenties tonen.
  • Verkeer buiten DNS om (bijvoorbeeld hard-gecodeerde IP-adressen of DoH binnen een app) omzeilt deze resolver en blijft functioneren.
  • Heb je volledige tunnelversleuteling of geo-unblocking nodig, combineer deze DNS-dienst dan met een betrouwbare VPN in plaats van het als vervanging te zien.

Zie deze resolver als een basisfilter op netwerkniveau. Het werkt goed samen met browserextensies of blokkering op apparaatniveau voor hardnekkige apps.

Meer technische details?

Resolveropstelling

Twee Technitium v8-resolvers draaien in Nederland zonder forwarders. Beide hostnames dot.xel-serv.com en doq.xel-serv.com wijzen naar beide nodes:

  • Node A — privé node in NL (DoT/DoQ op poort 853, TLS 1.3 met ALPN dot).
  • Node B — VPS bij SSDNodes in NL (DoT/DoQ op poort 853, HTTP/3 ingeschakeld).

De nodes delen één configuratie, dus ongeacht welke IP je bereikt blijft filtergedrag gelijk.

Filtering & beveiliging
  • DNSSEC-validatie staat aan; ketens met fouten worden geweigerd.
  • Blokkeerlijsten: big.oisd.nl voor advertenties/trackers en het URLhaus-hostbestand voor actieve malware.
  • TLS-certificaten worden automatisch vernieuwd via Let’s Encrypt en Traefik.
  • Recursie is beperkt tot standaard DoT/DoQ-clients; poort 53 UDP/TCP staat niet open voor derden.
Logging & bewaartermijn
  • Er worden geen logs per query of per client opgeslagen.
  • Fout- en auditlogs (zonder client-IP’s of domeinnamen) blijven maximaal 12 maanden beschikbaar voor misbruikdetectie en worden daarna verwijderd.
  • Geanonimiseerde aggregatiestatistieken blijven alleen in het geheugen en worden niet met derden gedeeld.
CLI-controles & integratie

Gebruik onderstaande commando’s voor snelle checks of koppel de resolver aan je homelab (DoH wordt niet aangeboden).

kdig @dot.xel-serv.com voorbeeld.com +tls +tls-host=dot.xel-serv.com
openssl s_client -connect dot.xel-serv.com:853 -alpn dot
kdig @doq.xel-serv.com voorbeeld.com +quic

Stubby / dnscrypt-proxy: stel de upstream in op dot.xel-serv.com:853, verplicht TLS-authenticatie op die hostnaam en schakel IPv4/IPv6 in naar wens.

Tips bij problemen
  • Zegt Android “Kan geen verbinding maken”? Zet vliegtuigstand even uit en aan zodat de certificaatcontrole opnieuw start.
  • Sta DoQ-apps toe om VPN-verbindingen te maken en sluit ze uit van batterijoptimalisaties of achtergrondrestricties.
  • Controleer de werking via 1.1.1.1/help of voer een uitgebreide test uit op dnsleaktest.com.

Privacyverklaring · EU / Nederland

De dot/doq.xel-serv.com-resolvers draaien in Nederland, zijn gratis beschikbaar en bevatten geen commerciële tracking. De verwerking is ingericht om aan de AVG te voldoen.

  • Verwerkingsverantwoordelijke. Xeltor (Nederland). Richt privacyvragen of -verzoeken aan xeltor@gmail.com.
  • Infrastructuur. Twee Technitium-resolvers beantwoorden de queries: één wordt privé in Nederland gehost, de andere draait op een VPS bij SSDNodes in Nederland.
  • Verwerking van queries. DNS-vragen worden lokaal opgelost zonder forwarders, met DNSSEC gevalideerd en er worden geen logs per apparaat of per query opgeslagen.
  • Logging & bewaartermijn. Fout-, audit- en statistische logs worden maximaal 30 dagen bewaard. Querylogs worden nooit opgeslagen en de vastgelegde gegevens bevatten geen client-IP’s of domeinnamen.
  • Derden. Buiten SSDNodes (hosting) en Let’s Encrypt (TLS-certificaten) worden er geen gegevens gedeeld of verkocht.
  • Rechten van betrokkenen. Je behoudt alle AVG-rechten (inzage, rectificatie, verwijdering, beperking, bezwaar). Dien je verzoek in per e-mail en je ontvangt binnen 30 dagen een reactie.

Wil je niet langer van deze resolver gebruikmaken? Verwijder de Private DNS-configuratie dan via de beschreven stappen.

Nog een handleiding?