A jeste tedy k dnssec - nestaci ho mit na domene aktivni, jeste ho musi pouzivat/validovat vas resolver - googli 8.8.8.8 to od nejake doby zacal delat defaultne, ale jste si jist, ze tak cini i resolvery po ceste/kterych se ptate, nebo mate v telefonu vlastni, ktery vite jak funguje (ja tedy ano - respektive na serveru).
Abych tedy jen neplkal - Pouzivam android (vlastni sestaveni) ktere mam plne (tedy to co jsem schopen videt/detekovat) pod kontrolou - veskere pripojeni pres wireguard na vlastni server (4g, nebo wifi, vsechno se hned tuneluje pres wireguard), kde uz mam sve veci. Netusim, jestli to mam 100% secure, ale ceste svych packetu (a samotne instalaci reseni) rozumim a mam je pod kontrolou do te doby nez vylitnou z meho prostredi, proste vidim co mi moje zarizeni/aplikace delaji s kym si povidaji. Ve finale s tim neni ani zadne frani, jakmile android detekuje datove pripojeni hned ho zabali do wireguardu a jako bonus (to uz tedy bez vlastnich buildu) to ma nastavene na svych zarizeni i zbytek rodiny bez toho, aby to nejak vubec museli na sve strane resit. Vyhody mam prakticky dve - jednak me nezajima kde se pripojim a co tam maji povolene/zakazane porty (staci mi 443 nebo i 80) a druha, ze na jednom bode vidim co kam chodi a muzu explicitne povolit/zakazat/priskrtit. Drbani pouze v pripade captive portalu na strane wifi, ale to je ciste jen o tom, ze musim parkrat smatlat v nastaveni nez se protuneluju...