Kako sam od malog računara napravio DNS server, VPN i blokator reklama – i zašto nikada više neću koristiti ruter od internet provajdera

Problem sa ruterima koje nam daju provajderi

Ako ste ikada pogledali u mali plastični kutijak koji vam je internet provajder ostavio na vratima i zapitali se da li se može bolje – odgovor je: apsolutno da. Ruter koji vam ISP (internet service provider) daje uz ugovor jeste, u većini slučajeva, najslabija karika u vašoj kućnoj mreži. Ne radi se samo o performansama – radi se o bezbednosti, privatnosti i kontroli nad sopstvenim podacima.

Upravo o tome govori nedavni tekst na XDA Developers portalu, koji je objavio Ayush Pande 28. aprila 2026. godine. Autor opisuje kako je godinu dana uspešno koristio sopstveni DIY (“uradi sam”) ruter zasnovan na OPNsense softveru, koji je istovremeno služio kao DNS server, VPN klijent i blokator reklama – sve u jednom. Ovaj tekst donosi detaljnu analizu tog pristupa, objašnjava svaku tehnologiju koja je primenjena i razmatra šta to zapravo znači za prosečnog korisnika koji brine o svojoj digitalnoj bezbednosti.

Zašto je ISP ruter loš izbor?

Pre nego što uđemo u tehničke detalje, važno je razumeti zašto autori poput Pandea – a sve više i obični korisnici – napuštaju rutere koje dobijaju od provajdera.

ISP ruteri imaju nekoliko strukturnih problema. Prvo, njihov firmver (softver koji ruter koristi za rad) retko se ažurira. Provajderi nemaju ekonomski interes da troše resurse na ažuriranje opreme koja je već plaćena i instalirana. Posledica je da takvi ruteri često rade na starim, ranjivim verzijama softvera godinama. Drugo, mnogi ISP ruteri imaju tzv. backdoor pristup – tihi, daljinski pristup koji provajder može koristiti za dijagnostiku, ali koji u pogrešnim rukama predstavlja ozbiljan bezbednosni rizik. Treće, funkcionalne mogućnosti su ograničene: nema naprednih pravila za firewall, nema VLAN segmentacije mreže, nema ozbiljnih opcija za praćenje saobraćaja.

Alternativa koju opisuje Pande nije skupa komercijalna oprema – radi se o filozofski drugačijem pristupu: uzeti mali, jeftini x86 računar i na njega instalirati specijalizovani softver za rutiranje.

OPNsense – srce celog sistema

Centralni element Pandeovog postrojenja je OPNsense – open-source operativni sistem za rutere i firewall, baziran na FreeBSD jezgru. Ovo je tačna i proverena informacija: OPNsense zaista radi isključivo na x86 arhitekturi (za razliku od, recimo, OpenWRT-a koji podržava i ARM procesore) i aktivan je projekat koji dobija redovna bezbednosna ažuriranja.

Autor je instalirao OPNsense na ZimaBoard 2 – mali jednopločni računar koji ima x86 procesor i dva 2.5-gigabitna mrežna porta (RTL8125B čipset). Ovaj hardver je realan i dostupan na tržištu; ZimaBoard 2 je dizajniran upravo za ovakve primene – kućne servere, NAS uređaje i softverske rutere.

Ono što OPNsense izdvaja od konkurencije poput pfSense-a je, prema autoru, pristupačnost korisničkog interfejsa. Firewall pravila, VLAN konfiguracija i upravljanje interfejsima organizovani su u logičke kategorije, a web interfejs je moderan i pregledan. Pored toga, OPNsense dolazi sa ugrađenim sistemom za detekciju i prevenciju upada (IDS/IPS) zasnovanim na Suricata engineu – alatu koji analizira mrežni saobraćaj u realnom vremenu i blokira sumnjive obrasce.

Ovde je vredna provere jedna tačka: autor navodi da se OPNsense “tehnički dostupan samo na x86 mašinama” – to je tačno za zvanične OPNsense build-ove, mada postoje neformalni ARM portovi. Za produkcijsku upotrebu, x86 ostaje jedina podržana platforma.

AdGuard Home i Unbound – DNS kao odbrana od reklama i nadzora

Jedan od najzanimljivijih delova Pandeovog podešavanja je kombinacija dva DNS alata: AdGuard Home i Unbound.

DNS (Domain Name System) je sistem koji prevodi ljudski čitljive adrese (poput google.com) u IP adrese koje računari koriste. Svaki put kada vaš uređaj otvori web stranicu, najpre pošalje DNS upit – i upravo taj upit može biti presretnut, zabeleežen ili manipulisan.

AdGuard Home funkcioniše kao DNS sinkhole – kada vaš telefon ili laptop pokuša da pristupi poznatoj adresi za serviranje reklama ili tracking piksela, AdGuard Home vraća lažan odgovor koji kaže “ta adresa ne postoji”, i reklama nikada nije ni učitana. Autor napominje da preferira AdGuard Home nad alternativom (Pi-hole) zbog preglednog grafičkog interfejsa i mogućnosti postavljanja zasebnih lista blokiranja po uređaju.

Unbound je rekurzivni DNS resolver koji radi kao pozadinska podrška AdGuardu. Umesto da šalje DNS upite Googleovim serverima (8.8.8.8) ili Cloudflare-ovim (1.1.1.1) – gde vaš ISP ili treća strana može pratiti šta pretražujete – Unbound sam prolazi kroz hijerarhiju DNS sistema: najpre pita root servere (kojih ima 13 skupova širom sveta), zatim TLD servere (npr. za .com domene), pa tek onda autoritativne servere konkretnog sajta. Na taj način, nijedan pojedinačni DNS provajder ne vidi kompletan upit.

Autor je korektan u napomeni da ovo “otežava, ali ne i onemogućuje” praćenje od strane ISP-a – mrežni saobraćaj i dalje prolazi kroz ISP infrastrukturu, a uz tehnike poput analize metapodataka i DPI (duboka inspekcija paketa), ISP i dalje može zaključiti šta korisnik radi. Rekurzivni DNS je jedan sloj zaštite, ne srebrni metak.

Podešavanje koje opisuje autor – gde AdGuard Home prima upite od klijentskih uređaja, a zatim ih prosleđuje Unbound-u koji vrši rekurzivno razrešavanje – zahtevalo je promenu podrazumevanih portova, jer oba servisa po defaultu žele da slušaju na portu 53. Ovo je tehnički korektan opis problema koji su mnogi home lab entuzijasti sreli.

Tailscale i CGNAT problem – VPN koji zaista funkcioniše

Ovde dolazimo do možda najzanimljivijeg tehničkog izazova koji Pande opisuje: CGNAT (Carrier-Grade Network Address Translation).

Mnogi ISP-ovi u 2026. godini ne dodeljuju korisnicima pravu javnu IP adresu. Umesto toga, više korisnika deli istu javnu IP adresu kroz CGNAT, a svaki dobija privatnu adresu u opsegu 100.64.0.0/10. Ovo ima direktnu posledicu: nemoguće je “otvoriti port” prema internetu, jer vi zapravo nemate direktno dostupnu adresu. Tradicionalni VPN serveri (WireGuard, OpenVPN, IPsec) koji su ugrađeni u OPNsense zahtevaju upravo to – da budete dostupni sa interneta.

Rešenje koje autor koristi je Tailscale – usluga koja gradi mesh VPN mrežu između vaših uređaja koristeći WireGuard protokol u pozadini, ali uz Tailscaleove relay servere koji premošćuju NAT ograničenja. Tehničko objašnjenje je tačno: Tailscale koristi DERP (Designated Encrypted Relay for Packets) servere kao fallback kada direktna peer-to-peer veza nije moguća zbog CGNAT-a.

Autor je konfigurisao OPNsense Tailscale čvor kao:

Exit node – sav saobraćaj sa udaljenih uređaja prolazi kroz kućni ruter, što je korisno kada ste na javnoj Wi-Fi mreži ili u inostranstvu i trebate pristup lokalnim servisima

Subnet router – umesto instalacije Tailscale klijenta na svaki uređaj u kućnoj mreži posebno, OPNsense oglašava celu lokalnu podmrežu svim ostalim Tailscale čvorovima

Ova arhitektura je tehnički ispravna i elegantna: umesto desetina Tailscale klijenata, imate jedan tačka ulaska. Korisna napomena za srpske čitaoce: CGNAT je veoma rasprostranjen kod domaćih ISP-ova, posebno kod mobilnih operatora koji nude kućni internet – dakle, ovaj problem je veoma relevantan i u našem kontekstu.

Šire mrežno okruženje – enterprise alati za kućnu upotrebu

Pande ne staje na ruteru. Opisuje čitav ekosistem alata koji čine njegovu kućnu mrežu:

NetBox – originalno razvijen za data centre, ovaj alat služi za IPAM (IP Address Management) i DCIM (Data Center Infrastructure Management). Jednostavno rečeno: beleži svaki uređaj u mreži, kojom IP adresom, na kom portu, sa kakvim kablom. Za kućni home lab sa desetak mašina ovo zvuči overkill, ali za one koji ozbiljno upravljaju infrastrukturom, dokumentacija je neprocenjiva.

NetAlertX – integriše se sa Home Assistant sistemom za pametnu kuću i obaveštava korisnika kada se novi uređaj poveže na mrežu ili kada poznati uređaj nestane sa mreže.

Authentik – SSO (Single Sign-On) server koji centraluzuje autentifikaciju za sve kućne servise. Umesto da svaki servis ima zasebne kredencijale, Authentik funkcioniše kao privatni identitetski provajder.

Pulse – alat za praćenje uptime-a svakog uređaja.

Pande pored svega ovoga pominje i periodično pokretanje Kali Linux alata za penetraciono testiranje sopstvene mreže – proverava ranjivosti pre nego što to neko drugi uradi.

Šta ovaj članak ne pokriva – i zašto je to važno

Osvrt ne bi bio potpun bez napomene o onome što Pandeov članak preskače ili ne razrađuje u dovoljnoj meri.

Wi-Fi – jedan od komentatora odmah je primetio: autor uopšte ne pominje bežičnu mrežu. OPNsense na ZimaBoard-u nema Wi-Fi karticu; logično je pretpostaviti da Pande koristi zasebne access point uređaje koji su bridge-ovani na OPNsense, ali ovo nije eksplicitno objašnjeno. Za većinu korisnika, Wi-Fi je kritičan deo mreže i samo “žičano” rešenje nije kompletno.

Složenost postavljanja – autor kaže da OPNsense ima “najblaži learning curve” među router distribucijama, ali odmah dodaje da ga ne bi nazvao lakim. Ovo je važno naglasiti: početno podešavanje kombinacije OPNsense + AdGuard Home + Unbound + Tailscale sa ispravnim portovima i pravilima firewall-a nije trivijalan zadatak. Bez solid osnove u umrežavanju, DNS-u i Linux/BSD administraciji, ovo može biti frustrirajuće iskustvo.

Redundantnost i dostupnost – ako OPNsense instanca padne, čitava mreža prestaje da funkcioniše. Za kritičnu infrastrukturu, postavlja se pitanje backup rešenja. Autor to ne adresira.

Pravni i praktični aspekti Tailscale-a – Tailscale je SaaS usluga, što znači da vaši uređaji komuniciraju sa Tailscaleovim serverima za koordinaciju, čak i kada saobraćaj ide peer-to-peer. Za korisnike kojima je apsolutna privatnost prioritet, Headscale (open-source, samohosted alternativa Tailscale control plane-u) je vredna razmotriti opcija.

Da li je ovo pravo rešenje za vas?

Pandeov setup je impresivan i tehnički korektan. Za korisnike koji:

imaju osnovno znanje o umrežavanju

žele potpunu kontrolu nad svojom mrežom

brinu o praćenju od strane ISP-a i reklamnim trackingom

povremeno pristupaju kućnoj mreži sa daljine

…ovo je odlično rešenje koje se može prilagoditi različitim budžetima. ZimaBoard 2 košta oko 200 dolara, ali postoje jeftinija alternativa poput starih thin client računara (HP t620, Fujitsu Futro) koji se mogu nabaviti za 20-50 evra i podjednako dobro rade OPNsense.

Za prosečnog korisnika koji samo želi da zaštiti svoju privatnost bez dubljih tehničkih znanja, možda je lakše početi sa manjim korakom – na primer, instalacijom Pi-hole-a ili AdGuard Home-a na Raspberry Pi, bez celokupne zamene rutera.

Zaključak

Članak Ayusha Pandea na XDA Developers-u nije marketing materijal niti površan pregled – to je iskreno iskustvo korisnika koji je godinu dana živeo sa sopstvenim mrežnim rešenjem i zadovoljan je rezultatima. Tehničke informacije su u najvećoj meri tačne i proverljive: OPNsense, AdGuard Home, Unbound i Tailscale su etablirani alati sa velikom zajednicom korisnika i dobrom dokumentacijom.

Poruka teksta je jasna i vredna pažnje: vaša kućna mreža može biti mnogo bezbednija, privatnija i moćnija nego što vam ISP nudi. Potrebno je samo malo znanja, malo vremena i hrabrost da izvučete “besplatni” ruter iz utičnice i bacite ga u korpu.

U svetu gde podaci jesu valuta, kontrola nad sopstvenom mrežom nije luksuz entuzijasta – to je sve važnija odluka svakog svesnog korisnika interneta.