这是一个创建于 2968 天前的主题,其中的信息可能已经有所发展或是发生改变。
由于 15.05.1 取消了 pdnsd ,不再对此讨论,试过 14.07 的包拿来直接用,有未知问题,延迟高,没有 unbound 流畅。
unbound 支持 TCP 支持非 53 端口支持向根域名服务器解析,又轻巧,真是没理由不用它。
我直接用的官方固件, opkg install unbound 和 wget 后由于 dnsmasq 占用 53 端口 unbound 安装会有提示无法启动,进 dhcp/dns ,把 local domain 里的 lan 删掉,再到高级选项,把 dns server port 设为 0 ,在接口 lan 的高级选项 dhcp-option 添加 6,192.168.1.1 。然后到启动项 startup 里运行 start unbound 或 /etc/init.d/unbound start 。然后打开 /etc/unbound/unbound.conf 修改如下:
tcp-upstream 去掉注释改为 yes ,直接用 UDP 向根域名服务器解析会遭到运营商的投毒和 GFW 的投毒。
2 个 access-control 后面的 allow 改为 allow_snoop ,为了能 dig +trace
注释掉 auto-trust-anchor-file ,运营商 DNS 不支持 DNSSEC 。 DNSSEC 只有域名和权威 NS 、递归 DNS 同时支持才有效果,而大部分域名和权威 NS 并没有。所以没什么用,我试过开启并关掉 TCP 向根域名服务器请求,还是被运营商污染投毒了。 GFW 更不用说。
由于直接向根域名服务器请求 TCP 会因为有些 NS 不支持 TCP 导致无法返回结果,同时也会由于 GFW RST 阻断无法解析被投毒的域名,根据 CNMAN 提供的代码精简后,获取国内域名走 TCP 53 运营商 DNS ,被 GFW 投毒污染的域名走 TCP 53 或者非标端口 5353 、 443 之类的。
在 unbound.conf 末尾添加
include: "/etc/unbound/unbound.forward-zone.China.conf"
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.8.8
forward-addr: 208.67.222.222@5353
forward-addr: 208.67.220.220@5353
forward-first: no
forward-first 设为 no 是无法向根域名服务器 TCP 解析的才会用这些来解析,设为 yes 就不向根域名服务器请求,直接用这些列表里的。
include 跟 forward 的顺序不能错。类似白名单的效果。
pppoe 联网启动脚本里 /etc/ppp/ip-up.d(此目录需要权限 755)目录下新建一个脚本,例如 ip-up(此文件需要权限 755):
#!/bin/sh
wget -N -P /etc/unbound ftp://ftp.internic.net/domain/named.cache
wget -N -P /etc/unbound --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf
cat /etc/unbound/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: 211.140.13.188\n\tforward-addr: 211.140.188.188\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
/etc/init.d/unbound restart
搞定以后, sh /etc/ppp/ip-up.d/ip-up ,然后 dig 一下,是不是发现国内 CDN 和运营商的解析结果一致,国外的也正常了?哈哈!每次联网都会更新一遍根服务器和国内白名单。
第一条是更新根域名服务器地址,第二条是下载 dnsmasq-chinalist ,第三条是转换成 unbound 规则, 211.140.13.188 和 211.140.188.188 是我 pppoe 拨号自动获取的运营商 DNS ,支持 TCP 解析, UDP 解析有污染有投毒有劫持,你可以换成自己的运营商 DNS ,或者支持 TCP 的公共 DNS (只有运营商不支持 TCP 才使用,因为公共的 TCP 解析 CDN 有时会乱跑)。所以这个方案是全程 TCP 解析,外加非 53 端口解析。支持非 53 端口的 DNS 很多,好像 dnscrypt 那里有提供列表。
白天上班,每天晚上回家弄测试到半夜,真是给搞得欲仙欲死。
要是哪天所有非 53 端口的 DNS 也被封了,估计又要折腾。
unbound 支持 TCP 支持非 53 端口支持向根域名服务器解析,又轻巧,真是没理由不用它。
我直接用的官方固件, opkg install unbound 和 wget 后由于 dnsmasq 占用 53 端口 unbound 安装会有提示无法启动,进 dhcp/dns ,把 local domain 里的 lan 删掉,再到高级选项,把 dns server port 设为 0 ,在接口 lan 的高级选项 dhcp-option 添加 6,192.168.1.1 。然后到启动项 startup 里运行 start unbound 或 /etc/init.d/unbound start 。然后打开 /etc/unbound/unbound.conf 修改如下:
tcp-upstream 去掉注释改为 yes ,直接用 UDP 向根域名服务器解析会遭到运营商的投毒和 GFW 的投毒。
2 个 access-control 后面的 allow 改为 allow_snoop ,为了能 dig +trace
注释掉 auto-trust-anchor-file ,运营商 DNS 不支持 DNSSEC 。 DNSSEC 只有域名和权威 NS 、递归 DNS 同时支持才有效果,而大部分域名和权威 NS 并没有。所以没什么用,我试过开启并关掉 TCP 向根域名服务器请求,还是被运营商污染投毒了。 GFW 更不用说。
由于直接向根域名服务器请求 TCP 会因为有些 NS 不支持 TCP 导致无法返回结果,同时也会由于 GFW RST 阻断无法解析被投毒的域名,根据 CNMAN 提供的代码精简后,获取国内域名走 TCP 53 运营商 DNS ,被 GFW 投毒污染的域名走 TCP 53 或者非标端口 5353 、 443 之类的。
在 unbound.conf 末尾添加
include: "/etc/unbound/unbound.forward-zone.China.conf"
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.8.8
forward-addr: 208.67.222.222@5353
forward-addr: 208.67.220.220@5353
forward-first: no
forward-first 设为 no 是无法向根域名服务器 TCP 解析的才会用这些来解析,设为 yes 就不向根域名服务器请求,直接用这些列表里的。
include 跟 forward 的顺序不能错。类似白名单的效果。
pppoe 联网启动脚本里 /etc/ppp/ip-up.d(此目录需要权限 755)目录下新建一个脚本,例如 ip-up(此文件需要权限 755):
#!/bin/sh
wget -N -P /etc/unbound ftp://ftp.internic.net/domain/named.cache
wget -N -P /etc/unbound --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf
cat /etc/unbound/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: 211.140.13.188\n\tforward-addr: 211.140.188.188\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
/etc/init.d/unbound restart
搞定以后, sh /etc/ppp/ip-up.d/ip-up ,然后 dig 一下,是不是发现国内 CDN 和运营商的解析结果一致,国外的也正常了?哈哈!每次联网都会更新一遍根服务器和国内白名单。
第一条是更新根域名服务器地址,第二条是下载 dnsmasq-chinalist ,第三条是转换成 unbound 规则, 211.140.13.188 和 211.140.188.188 是我 pppoe 拨号自动获取的运营商 DNS ,支持 TCP 解析, UDP 解析有污染有投毒有劫持,你可以换成自己的运营商 DNS ,或者支持 TCP 的公共 DNS (只有运营商不支持 TCP 才使用,因为公共的 TCP 解析 CDN 有时会乱跑)。所以这个方案是全程 TCP 解析,外加非 53 端口解析。支持非 53 端口的 DNS 很多,好像 dnscrypt 那里有提供列表。
白天上班,每天晚上回家弄测试到半夜,真是给搞得欲仙欲死。
要是哪天所有非 53 端口的 DNS 也被封了,估计又要折腾。
第 1 条附言 · 2016-09-25 19:17:36 +08:00
为了不占内存,把 dnsmasq 列表放到 tmp 去了
wget -N -P /tmp --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: 211.140.13.188\n\tforward-addr: 211.140.188.188\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
wget -N -P /tmp --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: 211.140.13.188\n\tforward-addr: 211.140.188.188\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
第 2 条附言 · 2016-10-24 16:21:37 +08:00
修正以下,手快打错了
include: "/etc/unbound/unbound.forward-zone.China.conf"
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
forward-addr: 208.67.222.222@5353
forward-addr: 208.67.220.220@5353
forward-first: no
include: "/etc/unbound/unbound.forward-zone.China.conf"
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
forward-addr: 208.67.222.222@5353
forward-addr: 208.67.220.220@5353
forward-first: no
第 3 条附言 · 2016-10-24 20:42:26 +08:00
自动转换成 pppoe 获取的 DNS1,DNS2
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: '$(awk 'NR==1{print$2}' /etc/ppp/resolv.conf)'\n\tforward-addr: '$(awk 'NR==2{print$2}' /etc/ppp/resolv.conf)'\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: '$(awk 'NR==1{print$2}' /etc/ppp/resolv.conf)'\n\tforward-addr: '$(awk 'NR==2{print$2}' /etc/ppp/resolv.conf)'\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf
第 4 条附言 · 2016-12-14 21:42:31 +08:00
需要梯子可以 Email 我: [email protected] ,或者直接前往 https://www.xpdaili.ml 。 YouTube 8K 不是梦!!!
第 5 条附言 · 2016-12-24 12:17:34 +08:00
梯子新地址: http://t.cn/RIOM6wA
第 6 条附言 · 2017-03-25 15:45:45 +08:00
wget -N -P /etc/unbound ftp://ftp.internic.net/domain/named.cache && wget -N -P /tmp --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf && cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: "/g'|sed 's/\/114.114.114.114/"\n\tforward-addr: '$(awk 'NR==1{print$2}' /etc/ppp/resolv.conf)'\n\tforward-addr: '$(awk 'NR==2{print$2}' /etc/ppp/resolv.conf)'\n\tforward-first: no/g'>/etc/unbound/unbound.forward-zone.China.conf && service unbound restart
 |
1
a86913179 OP 如果需要 host 加速和去广告屏蔽,可以去 CNMAN 的 github 上看。
|
|
2
a86913179 OP 好像这里都是大神,应该有更好的方案了
|
|
3
a86913179 OP 而且 unbound 不止在 openwrt 上有, windows 也有,默认监听端口 0.0.0.0 ,局域网设备也可以使用,直接把 PC 的 IP 地址设为 DNS 。
|
|
4
a86913179 OP 用 google 的 namebench 测过,路由器架设的比运营商的 DNS 还快。无劫持无污染。
|
|
5
a86913179 OP 秒杀一切 DNS
|
|
6
a86913179 OP 吓老子一跳,迅雷下载都快了。绝壁不是心理作用,以前不通的 tracker 现在正常了
|
|
7
a86913179 OP 而且我不打算用路由器去广告, chrome+unblock origin+广告净化器(视频去广告)很好使,腾讯视频需要打开 ublock 的请求日志,找到 livemsg?这条,复制到自定义规则加前面加 @@ 。 ublock 去不了的,广告净化器可以去。
|
 |
8
tangzho 2016-09-24 08:08:21 +08:00 via Android
高手,我计划简单点, unbound 只是负责 tcp 。其他工作都给 dnsmasq 。
|
|
9
a86913179 OP @tangzho UDP 53 不管换什么 dns 无法解决运营商针对某些域名单独劫持到缓存服务器,现在不搞端口全局劫持,只搞部分域名。投诉多了都学聪明了,平时常用网站你发现用公共 dns 好像正常了,但是有些你不知道的域名可能已经被劫持,浙江人事考试网就被劫持了,我手机直接 AppStore 里下个 dig 就看到了。
|
|
10
tangzho 2016-09-25 09:46:11 +08:00 via Android
装了个 unbound ,占了 1.13 兆空间,根本不轻量。那些 tp 之流卖的 1 兆 8 兆的配置,这个路由器安装 unbound 显得太奢了。
|
 |
11
2001225354 2016-09-25 09:54:25 +08:00
可否提供配置文件
|
|
12
tangzho 2016-09-25 11:22:57 +08:00 via Android
我没有折腾成功。 error: outgoing tcp: connect: Permission denied for 2001:500:2f::f
|
|
15
a86913179 OP @2001225354 直接复制粘贴了,还要配置文件?不用这么懒吧
|
 |
16
fwkimi 2016-09-25 17:06:24 +08:00
小白用 aa65535 的 openwrt-dns-forwarder + chinadns +ss ,全部 luci 配置
|
 |
18
20150517 2016-09-25 21:05:53 +08:00 via Android
谢楼主, 我之前也是在折腾 unbound 但后来别人指点了,直接访问 5353 端口 opendns 就行了 确实没有污染 而且 tcp 现在也不解决问题 你 tcp 8.8.8.8 直接被 reset
|
|
19
a86913179 OP @20150517 不不不,国内 DNS 用 TCP 防运营商污染,运营商不会对你的 TCP RESET ,国外 DNS 用非 53 端口防 GFW 。你直接用 opendns 国内网站 CDN 就乱跳了
|
|
20
a86913179 OP @20150517 不是所有网站用 8.8.8.8 tcp 会被 reset 只有关键字被锁定了才会 reset , 8.8.8.8 的 CDN 定位比 opendns 的要好一点,所以我是能 tcp 8.8.8.8 尽量用这个,不行了才去用 opendns 。我的这个方案是国内域名用运营商 DNS+TCP ,不再列表内的国外域名 8.8.8.8 优先,被 reset 的被墙域名用 opendns 。 dig 测试过国外的网站用 google dns 结果会比 opendns 好点
|
|
21
tangzho 2016-09-27 22:45:53 +08:00 via Android
折腾了两个同型号的路由,一个装 unbound ,一个装 pdnsd 。都和 dnsmasq 配合使用。
|
|
22
a86913179 OP @tangzho 这 2 个本身就不需要配合 dnsmasq , github 都有对应的 dnsmasq chinalist 转换列表, dnsmasq 没什么卵用
|
 |
23
HalloCQ 2016-10-21 10:25:59 +08:00
pandora 固件好像不支持 unbound
|
|
24
HalloCQ 2016-11-03 13:51:53 +08:00
cat: can't open '/tmp/accelerated-domains.china.conf': No such file or directory
|
|
25
HalloCQ 2016-11-03 15:23:58 +08:00
改了一下:
wget -O- http://www.internic.net/domain/named.cache > /etc/unbound/named.cache wget -O- --no-check-certificate https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf > /tmp/accelerated-domains.china.conf 但是还有未知问题,不能解析任何网址。 |
Select Language