下面是我的 dns 配置:
dns:
enable: true
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- 'geosite:connectivity-check'
- 'geosite:private'
default-nameserver:
- 223.5.5.5
proxy-server-nameserver:
- 223.5.5.5
direct-nameserver:
- https://doh.pub/dns-query
- https://223.5.5.5/dns-query
- https://doh.360.cn/dns-query
nameserver:
- 'https://8.8.8.8/dns-query#PROXY&ecs=REPLACEME/22&ecs-override=true'
但是再国内用 https://8.8.8.8 根本不通,所以当一个域名需要进行 dns 解析时候会超时,如果换成一个国内的 DoH ,也会限速(阿里腾讯等)。
所以自建 DoH 是一个出路?但是想了一下,根据自己的规则,不管是自建获取一个正确的 dns 还是用阿里腾讯 DNS 获取一个被污染的 ip (大概率是国外 ip ),最后经过 GEOIP,cn,DIRECT 规则判断它不在内,所以会走兜底,我的兜底是 PROXY 。
所以这个 nameserver 只要它能快速返回一个境外 ip 即可,无所谓它是否被污染。
当然大部分的域名规则都在上面的 geosite/ruleset 命中并走相应的规则,只有少数漏网之鱼才会去走 dns 解析。
 |
1
busier 2 天前 via iPhone  1
没建,自建很容易被封
双持专机专用 大陆内网用不上 DoH 外网挂梯子的话 避开大陆的污染攻击 依旧用不上 DoH |
 |
2
sanxue 2 天前 3
你如果是李彦宏说的那种人,对隐私毫不关心,那你就直接内网纯递归解析到根,而不是用所谓国内外公告 DNS ,反正用他们的 DNS 你也一样被人收集隐私形同裸奔。那还不如纯递归,把隐私送给营运商。
但隐私有那么一丁点要求的,那就是另一套玩法了。 |
 |
3
dn1095239 2 天前
自建,用活菩萨 Cloudflare Workers 转发 Google 的 DoH ,不怕被封,优选下 IP 还能提速,不过前提是要域名
|
 |
6
catazshadow 1 天前 via Android
海外的 VPS 搭 Nginx 直接转发到 Google 的 doh 上,本地的 doh 指向这个 Nginx
|
 |
7
artiga033 1 天前 via Android
还以为你是有自定义记录之类的需求,8.8.8.8 不通你用 1.1.1.1 不就好了
|
 |
8
docx 1 天前 via iPhone
用运营商的就行了,解析个节点 ip 而已,别顾虑太多隐私
|
 |
9
jqknono 1 天前
自建的免费方案:
1. cloudflare 转发: https://github.com/jqknono/cloudflare-doh 依赖 cloudflare, 需自备域名, 每天 10w 次免费请求. 2. 阿里巴巴(阿里云国际版)ESA 转发 one.one.one.one, 每月 100GB 免费流量 需自备域名, 转发到国内需域名备案, 否则不能用全球版, 不包含大陆的话, 速度会很慢. 3. 自建镜像可以用 https://github.com/NullPrivate/NullPrivate 需自备云主机,自备域名, 灵活. 用 DoH 或 DoT 的话只要不分享就不会被封, 没有明显特征. 自建只要不分享就没问题, 分享就会被关注. 付费方案: 1. 阿里云 ESA 转发 one.one.one.one, 需自备域名和备案 2. 宁屏 https://nullprivate.com, 不需要自备域名, 自带广告拦截,DDNS,分流和上游跨境能力. |
 |
11
Akasoent 1 天前
看吧,这帖子炸出了几个李彦宏说的那种人。
|
 |
12
needhourger 1 天前
没有自建 doh,倒是自建了本地 dns,因为反正只是给本地的服务使用,所以没有开启 DOH.对于境外域名的 dns 解析走隧道出去上游走真正的 8.8.8.8 DOH
|
 |
13
lightionight 1 天前
可以试试 Nova DNS, 我现在用的, 带去污染和广告屏蔽, 自定义域名规则路由, 域名重解析, https://dash.xns.one/invite/996e4f40-08cc-4c3b-a464-c2c44bdfb45d
|
 |
14
y1y1 1 天前
不通就 ECS 走代理呗
|
 |
15
since2021 1 天前
vps 上搭的 adguardhome 用了很久了,dot 安卓上也能用
|
 |
16
bjzhou1990 1 天前
mosdns 自建的,自定义端口+自定义路径,只开 DoH, 其他一律不开,不会封,缺点是没有 H3
|
 |
17
lynn1su 1 天前
腾讯云上搭的 adguardhome 用了很久了,可惜不能 https3
|
 |
18
Aaron325 1 天前 1
https://8.8.8.8/dns-query#♻️ 自动选择
就行 |
 |
19
scegg 1 天前
方案 1:不用 fake-ip ,直接用 mihomo 的 dns (设置为默认 dns ),让 dns 走默认或者指定的出口。
方案 2:再配置个其他 dns (比如 mosdns ),并设置为默认 dns ,有需要解析的时候自然会找到他。 |
 |
20
badgv 1 天前 via Android
上网是基于科学软件的 dns 分流策略,分流国内的,走运营商 dns 都行,分流国外的,那是走隧道直接走 1111 8888 的 udp53 就行,所以我这里无论如何都用不上 doh
|
 |
21
zhcode 1 天前
VPS 上一个 mosdns 用 DOH ,家庭内网一个 mosdns 用普通 UDP ,内网的 mosdns 做分流,外面域名都分到 VPS 上解析,国内域名走国内的公共 DNS
|
 |
22
rev1si0n 1 天前
为啥需要建,dnscryptx2+chinadns+clash premium 根据 ipset 代理,完美解决一切问题包括 ipv6 ,dnscrypt 随机选国内的 doh 或者国外的 doh 反正哪家都拿不全我的解析记录,在路由器抓包压根抓不到 53 的任何通信除了路由器自个更新的解析。
|
 |
23
yulgang 1 天前
我本地用了 coredns ,默认使用国内 dns ,特定域名使用 DoT ,然后本机 DNS 就配 127.0.0.1 。
coredns 配置起来挺简单的。 |
 |
24
SenLief 1 天前
阿里云 hk 部署 adg 即可。
|
 |
25
lnbiuc 1 天前
用 fakeip 就没必要配置任何国外 DNS 了
``` dns: enable: true cache-algorithm: arc respect-rules: true prefer-h3: false use-system-hosts: true ipv6: false listen: "[::]:1053" enhanced-mode: fake-ip fake-ip-range: 198.18.0.1/16 fake-ip-filter: - geosite:connectivity-check - geosite:private - geosite:cn use-hosts: true rebind: false default-nameserver: - system proxy-server-nameserver: - system nameserver: - system sniffer: enable: false force-dns-mapping: false parse-pure-ip: false override-destination: false ``` |
 |
26
yyysuo 1 天前
没有必要。
|
 |
27
strobber16 1 天前
不仅自建,而且自研
|
 |
28
MacsedProtoss 1 天前 via iPhone
完全没有必要,fakeip+分流就够了
你国内部分的访问还在乎 dns 泄漏?国外部分也不需要 doh 啊,都是远端解析的 |
 |
29
Brainos 1 天前
#18 是正解,设置 proxy-server-nameserver 后出战代理的域名就能正常解析了,直接让 dns 也走代理就好,详见 https://wiki.metacubex.one/config/dns/#respect-rules 和 https://wiki.metacubex.one/config/dns/#dns_1
大部分常规用例里 mihomo 的内置 dns 只是拿来给自己的 ip 分流规则用的,实际上的解析都是转发给了 proxy server ,所以只要保证 mihomo 的国外 dns 能解析出一个国外的 ip 就能应付大多数情况。 非要直连国外 dns 的话不要用常规 doh 。用 dot ,http3 doh ,有 ipv6 的话设置成 ipv6 的 dns 最好 |
 |
30
234ygg 1 天前
代理软件很多年前开始不就基本都是 remote dns ??
|
 |
31
shuangbiaog 1 天前
自建用阿里做上游,只用来解析国内域名。非直连域不在本地做 DNS 解析,基本杜绝污染
|
 |
32
bwnjnOEI 1 天前 via iPhone
我的自建节点稳定运行好几个月了问什么最近上谷歌时而被强时而正常,节点是看不良林教程搭的 hysteria2 和 reality 有人遇到过或者有经验的吗?还是说防火墙净化了?
|
 |
35
taikobo 1 天前
如果你的 IP 域名仅用于 DoH, 绝不可能被封, 因为根本不知道你背后是什么
也有一些海外的小众 DoH 特别是 IPv6 的没有被封的 自建 DoH 很多种用处 就和 NAS 一样 你觉得用不上, 那就没用 等到你需要的时候自然就知道有什么用了 |
 |
36
piku 1 天前 via Android
我自建 dot ,非标端口,自签证书,用了十来年了
|
 |
37
xiaofami 1 天前
在 immortalwrt 中用 homeproxy + dnscrypt-proxy2 + caddy 搭建过。homeproxy 配置规则作为 dnscrypt-proxy2 上游,dnscrypt-proxy2 进行 DoH 监听,caddy 反代解决证书问题,如果访问 path 不是/dns-query 还能返回一个介绍本 DoH 服务器的页面
|
 |
38
yuezk 1 天前
用了 fake ip ,域名解析都是发生在代理服务器上的,没必要自建 DoH 了。如果用 sing-box 的话,还可以给配置 DNS 解析配置路由规则,只给特定的域名(比如 google.com )做远端解析,连 fake ip 都不用了。
|
 |
39
totoro625 1 天前
自建 doh 根本目的不是为了国外部分能正确解析,而是为了国内部分
|
 |
40
inoridream 1 天前
在家里搭建,局域网使用没什么事情。但是你拿着云服务器搭建,分分钟给橄榄
|
 |
41
jackOff 23 小时 58 分钟前
doh 会被截断,现在是定时器 sync 备份拉取缓存绕过 doh
|
 |
43
bsder 23 小时 44 分钟前
自建 DoH 的好处就是解析结果可控啊,保护隐私啊,拦截广告啊,映射解析。
|
 |
45
rebelliouswhiz 17 小时 14 分钟前
参考 #18 #28 ,我用 nameserver-policy 指定了国内域名(一个基于已有项目的修改列表,时不时自己手动拉取更新一下)用阿里、DNSPOD 的 dot 解析,其他都用 https://dns.google/dns-query.
respoect-rules 要开启,然后在你的规则里指定阿里和 DNSPOD 的走 DIRECT ( IP 和域名),dns.google 走你的代理(也是 IP 和域名)。 如果你设置正确,国内域名都会走直连加密 DNS ,其他所有都用 dns.google 进行解析。 这里还有个问题:其实在规则里走代理的所有域名都是发送到服务器解析的,本地只解析直连、UDP 连接。如果你在这套配置下 DNS 解析了境外域名,那要反复排查。 我写了一套复杂的规则,因为要和客户视频会议,常常有 UDP 解析的需要,得确保解析出来的地址离代理服务器近而不是离我近,又要避免无意义的本地多次解析,调得我头都大,不过还好可以 DNS 一点都不泄漏,生产环境稳得要死。 代价是路由器读取规则内存会飘到 180M ,常驻内存 60M+,小一点内存的路由器读规则都会卡死无法启动... |
|
46
Aaron325 9 小时 23 分钟前
@MacsedProtoss doh 还有点必要,因为如果可以直连,速度可以,比如我的 doh 直连延迟 100 左右,等代理查询,起码 200,代理查询实属无奈
|
Select Language