Lunes por la manana: doble mininfarto (XMonad + VPN)

☄ Teleport al Blog

Pascualhybrid

✨ mcp/sse

13 de abril de 2026

Lunes. 8:47 AM. Cafe en mano. Dos infartos antes de las 9.

Infarto 1: XMonad no arranca

SDDM muestra el login. Pongo el password. Enter. La pantalla se queda negra con una X de raton. XMonad no arranca. No hay escritorio. Nada.

Que paso

El fin de semana fue productivo. Demasiado. Entre rebuilds, deploys, headscale, tailscale, retropix, y un flake update, algo se perdio: el binario compilado de XMonad.

XMonad busca su binario en ~/.cache/xmonad/xmonad-x86_64-linux. Si no lo encuentra, la sesion muere silenciosamente. SDDM te devuelve al login como si el password estuviera mal. Sin error, sin log, sin pista.

Teniamos un hook en home-manager que recompila en cada rebuild. Pero tenia un bug: comprobaba $DISPLAY antes de compilar. Si el rebuild se ejecuta desde SSH (sin X11), la compilacion no se ejecuta. Exactamente lo que paso este fin de semana.

El fix (2 minutos)

$ xmonad --recompile
XMonad recompilation process exited with success!
$ sudo systemctl restart display-manager

Hook corregido: ya no comprueba $DISPLAY. xmonad --recompile solo necesita GHC, no un display.

De mininfarto a "arreglado" en 2 minutos. Sin foros, sin probar cosas a ciegas. Diagnostico, fix, commit, nunca mas.

Infarto 2: la VPN de Vocento no resuelve DNS

9:15 AM. Abro el PR urgente de Bitbucket. bitbucket.vocento.com: Name or service not known. La VPN de Vocento (Ivanti) esta conectada pero no resuelve dominios internos. Sin esto, no puedo currar.

Que paso

El sabado montamos Headscale (servidor Tailscale self-hosted) para la mesh VPN del multiverse. Tailscale tiene una feature llamada MagicDNS que secuestra /etc/resolv.conf y redirige TODO el DNS a su propio resolver (100.100.100.100).

ANTES (funciona):
  /etc/resolv.conf → 192.168.53.12 (VM Ivanti, resuelve *.vocento.com)

DESPUES DE TAILSCALE (roto):
  /etc/resolv.conf → 100.100.100.100 (Tailscale, NO resuelve *.vocento.com)

La VM de Ivanti estaba perfecta. La VPN conectada. Pero Tailscale le habia robado el DNS sin avisar.

El fix

Dos cambios:

--accept-dns=false en todos los nodos (modulo tailscale.nix). Tailscale NUNCA toca resolv.conf.
magic_dns = false en el servidor Headscale. El servidor tampoco intenta gestionar DNS.

# modules/services/tailscale.nix
services.tailscale.extraUpFlags = [ "--accept-dns=false" ];

# hosts/cohete/default.nix (Headscale server)
services.headscale.settings.dns.magic_dns = false;

Commit con titulo CRITICAL. La VPN de Vocento es sagrada. Nada la toca.

Leccion aprendida

Tailscale es un gran software. Pero como todo software que "sabe lo que te conviene", a veces te jode. MagicDNS es una feature pensada para redes simples. Si tienes una VPN corporativa con DNS internos, MagicDNS te destruye el dia.

La regla: si un servicio toca /etc/resolv.conf sin que se lo pidas, desactivalo inmediatamente.

Lo que se actualiza hoy

Ademas de los fixes, el flake se actualiza con 6 dias de cambios:

Input	Antes	Despues	Que trae
nixpkgs	01 abril	09 abril	8 dias de paquetes + security fixes
nixpkgs-master	06 abril	13 abril	Ollama 0.20.2, claude-code, bleeding
nixos-hardware	-	06 abril	Perfiles hardware actualizados
nixos-raspberrypi	16 marzo	10 abril	Device tree overlays para Pi 3

Final feliz

Rebuild OK. XMonad compila. VPN funciona. DNS blindado. Tailscale sin tocar DNS. Todo commiteado y pusheado. Cafe aun caliente (el segundo).

Dos infartos, dos fixes, todo antes de las 9. A currar.

Es tu post

Titulo Contenido (HTML)

<p>Lunes. 8:47 AM. Cafe en mano. Dos infartos antes de las 9.</p>
<h1 id="infarto-1-xmonad-no-arranca">Infarto 1: XMonad no arranca</h1>
<p>SDDM muestra el login. Pongo el password. Enter. La pantalla se queda
negra con una X de raton. XMonad no arranca. No hay escritorio.
Nada.</p>
<h2 id="que-paso">Que paso</h2>
<p>El fin de semana fue productivo. Demasiado. Entre rebuilds, deploys,
headscale, tailscale, retropix, y un flake update, algo se perdio: el
binario compilado de XMonad.</p>
<p>XMonad busca su binario en <code
class="verbatim">~/.cache/xmonad/xmonad-x86_64-linux</code>. Si no lo
encuentra, la sesion muere silenciosamente. SDDM te devuelve al login
como si el password estuviera mal. Sin error, sin log, sin pista.</p>
<p>Teniamos un hook en home-manager que recompila en cada rebuild. Pero
tenia un bug: comprobaba <code class="verbatim">$DISPLAY</code> antes de
compilar. Si el rebuild se ejecuta desde SSH (sin X11), la compilacion
no se ejecuta. Exactamente lo que paso este fin de semana.</p>
<h2 id="el-fix-2-minutos">El fix (2 minutos)</h2>
<div class="sourceCode" id="cb1"><pre
class="sourceCode bash"><code class="sourceCode bash"><span id="cb1-1"><a href="#cb1-1" aria-hidden="true" tabindex="-1"></a><span class="ex">$</span> xmonad <span class="at">--recompile</span></span>
<span id="cb1-2"><a href="#cb1-2" aria-hidden="true" tabindex="-1"></a><span class="ex">XMonad</span> recompilation process exited with success!</span>
<span id="cb1-3"><a href="#cb1-3" aria-hidden="true" tabindex="-1"></a><span class="ex">$</span> sudo systemctl restart display-manager</span></code></pre></div>
<p>Hook corregido: ya no comprueba <code
class="verbatim">$DISPLAY</code>. <code
class="verbatim">xmonad --recompile</code> solo necesita GHC, no un
display.</p>
<p>De mininfarto a "arreglado" en 2 minutos. Sin foros, sin probar cosas
a ciegas. Diagnostico, fix, commit, nunca mas.</p>
<h1 id="infarto-2-la-vpn-de-vocento-no-resuelve-dns">Infarto 2: la VPN
de Vocento no resuelve DNS</h1>
<p>9:15 AM. Abro el PR urgente de Bitbucket. <code
class="verbatim">bitbucket.vocento.com: Name or service not known</code>.
La VPN de Vocento (Ivanti) esta conectada pero no resuelve dominios
internos. Sin esto, no puedo currar.</p>
<h2 id="que-paso-1">Que paso</h2>
<p>El sabado montamos Headscale (servidor Tailscale self-hosted) para la
mesh VPN del multiverse. Tailscale tiene una feature llamada MagicDNS
que secuestra <code class="verbatim">/etc/resolv.conf</code> y redirige
TODO el DNS a su propio resolver (<code
class="verbatim">100.100.100.100</code>).</p>
<pre class="example"><code>ANTES (funciona):
  /etc/resolv.conf → 192.168.53.12 (VM Ivanti, resuelve *.vocento.com)

DESPUES DE TAILSCALE (roto):
  /etc/resolv.conf → 100.100.100.100 (Tailscale, NO resuelve *.vocento.com)
</code></pre>
<p>La VM de Ivanti estaba perfecta. La VPN conectada. Pero Tailscale le
habia robado el DNS sin avisar.</p>
<h2 id="el-fix">El fix</h2>
<p>Dos cambios:</p>
<ol>
<li><strong><code class="verbatim">--accept-dns=false</code></strong> en
todos los nodos (modulo tailscale.nix). Tailscale NUNCA toca
resolv.conf.</li>
<li><strong><code class="verbatim">magic_dns = false</code></strong> en
el servidor Headscale. El servidor tampoco intenta gestionar DNS.</li>
</ol>
<div class="sourceCode" id="cb3"><pre
class="sourceCode nix"><code class="sourceCode nix"><span id="cb3-1"><a href="#cb3-1" aria-hidden="true" tabindex="-1"></a><span class="co"># modules/services/tailscale.nix</span></span>
<span id="cb3-2"><a href="#cb3-2" aria-hidden="true" tabindex="-1"></a>services<span class="op">.</span>tailscale<span class="op">.</span>extraUpFlags = <span class="op">[</span> <span class="st">&quot;--accept-dns=false&quot;</span> <span class="op">]</span>;</span>
<span id="cb3-3"><a href="#cb3-3" aria-hidden="true" tabindex="-1"></a></span>
<span id="cb3-4"><a href="#cb3-4" aria-hidden="true" tabindex="-1"></a><span class="co"># hosts/cohete/default.nix (Headscale server)</span></span>
<span id="cb3-5"><a href="#cb3-5" aria-hidden="true" tabindex="-1"></a>services<span class="op">.</span>headscale<span class="op">.</span>settings<span class="op">.</span>dns<span class="op">.</span>magic_dns = <span class="cn">false</span>;</span></code></pre></div>
<p>Commit con titulo <code class="verbatim">CRITICAL</code>. La VPN de
Vocento es sagrada. Nada la toca.</p>
<h2 id="leccion-aprendida">Leccion aprendida</h2>
<p>Tailscale es un gran software. Pero como todo software que "sabe lo
que te conviene", a veces te jode. MagicDNS es una feature pensada para
redes simples. Si tienes una VPN corporativa con DNS internos, MagicDNS
te destruye el dia.</p>
<p>La regla: <strong>si un servicio toca <code
class="verbatim">/etc/resolv.conf</code> sin que se lo pidas,
desactivalo inmediatamente</strong>.</p>
<h1 id="lo-que-se-actualiza-hoy">Lo que se actualiza hoy</h1>
<p>Ademas de los fixes, el flake se actualiza con 6 dias de cambios:</p>
<table>
<thead>
<tr>
<th>Input</th>
<th>Antes</th>
<th>Despues</th>
<th>Que trae</th>
</tr>
</thead>
<tbody>
<tr>
<td>nixpkgs</td>
<td>01 abril</td>
<td>09 abril</td>
<td>8 dias de paquetes + security fixes</td>
</tr>
<tr>
<td>nixpkgs-master</td>
<td>06 abril</td>
<td>13 abril</td>
<td>Ollama 0.20.2, claude-code, bleeding</td>
</tr>
<tr>
<td>nixos-hardware</td>
<td>-</td>
<td>06 abril</td>
<td>Perfiles hardware actualizados</td>
</tr>
<tr>
<td>nixos-raspberrypi</td>
<td>16 marzo</td>
<td>10 abril</td>
<td>Device tree overlays para Pi 3</td>
</tr>
</tbody>
</table>
<h1 id="final-feliz">Final feliz</h1>
<p>Rebuild OK. XMonad compila. VPN funciona. DNS blindado. Tailscale sin
tocar DNS. Todo commiteado y pusheado. Cafe aun caliente (el
segundo).</p>
<p>Dos infartos, dos fixes, todo antes de las 9. A currar.</p>

Estas seguro? Esto no se puede deshacer.

Comentarios (0)

Sin comentarios todavia. Se el primero!

Infarto 1: XMonad no arranca

Que paso

El fix (2 minutos)

Infarto 2: la VPN de Vocento no resuelve DNS

Que paso

El fix

Leccion aprendida

Lo que se actualiza hoy

Final feliz

Es tu post

Comentarios (0)

Deja un comentario