V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zzzain46
V2EX  ›  DNS

关于加密 DNS

  •  
  •   zzzain46 · 2023-12-11 20:37:06 +08:00 · 5455 次点击
    这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近刷到帖子 https://www.v2ex.com/t/999145 ,尝试在我的 iPhone 上下载安装了阿里的 DoH 描述文件,发现一个奇怪的现象:当我连接我的 WiFi 的时候无法正常访问 google 和 youtube ,但是某 P 站却可以正常访问。

    我的 WiFi 上游配置:光猫→R4s ( Openclash:Meta 内核,fake-ip 模式,使用 Dnsmasq 转发)→路由器( AP 模式)

    这个问题该如何排查?

    ======================== 另外,quanx 如何实现某些条件下自动关闭或者开启? 本来想尝试快捷指令的自动化,但是似乎无法直接配置。

    15 条回复    2023-12-12 21:27:48 +08:00
    chanChristin
        1
    chanChristin  
       2023-12-11 21:01:00 +08:00 via iPhone
    「尝试在我的 iPhone 上下载安装了阿里的 DoH 描述文件」 这是个什么操作?
    直接在 Wi-Fi 的 DNS 里写一个 tls 就行了
    anyfc
        2
    anyfc  
       2023-12-11 21:19:13 +08:00   ❤️ 2
    可能是加密的 DNS 无法被路由上的 clash 劫持,clash 得到的是加密的 DNS 解析后的被污染的 IP
    baobao1270
        3
    baobao1270  
       2023-12-11 21:21:38 +08:00   ❤️ 1
    这个和 DNS 无关,就是因为你用境内 DNS 去访问境外网站
    阿里又不是没有污染,只要你用境内的 DNS ,不管你有没有加密,都访问不了 Google
    想要解决这个问题,去做 DNS 分流。

    @chanChristin 写 TLS 是 DoT ,而且老系统似乎不支持。比较传统且通用的办法一直是安装描述文件,想要 DoH 也只能用描述文件。
    dear2baymax
        4
    dear2baymax  
       2023-12-11 21:47:09 +08:00 via iPhone
    用了加密 dns 以后不走路由器规则了吧
    Decillion
        5
    Decillion  
       2023-12-11 22:17:57 +08:00 via iPhone
    你手机用了加密 dns clash 建议用 ip 匹配模式了
    ranaanna
        6
    ranaanna  
       2023-12-11 22:33:05 +08:00 via Android
    访问 google 和 youtube 怎么可能用阿里的 doh
    EyebrowsWhite
        7
    EyebrowsWhite  
       2023-12-11 22:41:27 +08:00 via iPhone
    DOH 和 DOT 加密的是查询的过程,不能保证记录没有被污染。要保证记录不被污染可以了解一下 DNSSEC
    mohumohu
        8
    mohumohu  
       2023-12-11 23:22:52 +08:00
    @EyebrowsWhite DNSSEC 不能保证记录不被污染,只能验证记录是否被污染。
    deorth
        9
    deorth  
       2023-12-12 08:55:03 +08:00 via Android
    散了吧,楼主被抓了
    EyebrowsWhite
        10
    EyebrowsWhite  
       2023-12-12 09:01:34 +08:00 via iPhone
    @mohumohu 确实,前面说法有问题,感谢指正

    DNSSEC 只检测伪造响应,不能保证记录一定是真实的
    LoliconInside
        11
    LoliconInside  
       2023-12-12 09:27:45 +08:00
    你都用 fake-ip 模式了,还用 DoT 不是给自己找不痛快吗
    qingcheng
        12
    qingcheng  
       2023-12-12 10:54:34 +08:00
    dnsmasq 没能记录这次解析,就没办法根据 IP 配置分流规则,毕竟你 tcp dial 的时候是不带域名的
    yyysuo
        13
    yyysuo  
       2023-12-12 14:49:53 +08:00
    不搞科学那些东西,买个好点的路由,一般微信是不会这么长时间转圈的。
    GilesWong
        14
    GilesWong  
       2023-12-12 17:00:16 +08:00   ❤️ 1
    1. 你猜 dnsmasq 是干什么的? openclash 的 fake-ip 模式需要完成 DNS 劫持过程才能正确代理局域网内设备, 所以连上 Wi-Fi 的时候请关闭 DOH/DOT/DOQ, 将 DNS 服务器和网关指定为 openclash 所在的 ip
    2. 有 qx 及相似软件的情况下不用装 doh 描述文件,这些软件配置里面基本上都支持指定 doh, 比费劲装配置文件更灵活.
    3. qx 可以实现指定 WiFi 下切换模式/DNS ,可以参考 qx 的样本配置文件,qx app 里面就有最新的实例文件,GitHub 上也有, 不过比较老了: https://github.com/crossutility/Quantumult-X/blob/master/sample.conf
    zzzain46
        15
    zzzain46  
    OP
       2023-12-12 21:27:48 +08:00 via iPhone
    @GilesWong 非常感谢您的回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5856 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 02:03 · PVG 10:03 · LAX 18:03 · JFK 21:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.