最近刷到帖子 https://www.v2ex.com/t/999145 ,尝试在我的 iPhone 上下载安装了阿里的 DoH 描述文件,发现一个奇怪的现象:当我连接我的 WiFi 的时候无法正常访问 google 和 youtube ,但是某 P 站却可以正常访问。
我的 WiFi 上游配置:光猫→R4s ( Openclash:Meta 内核,fake-ip 模式,使用 Dnsmasq 转发)→路由器( AP 模式)
这个问题该如何排查?
======================== 另外,quanx 如何实现某些条件下自动关闭或者开启? 本来想尝试快捷指令的自动化,但是似乎无法直接配置。
1
chanChristin 2023-12-11 21:01:00 +08:00 via iPhone
「尝试在我的 iPhone 上下载安装了阿里的 DoH 描述文件」 这是个什么操作?
直接在 Wi-Fi 的 DNS 里写一个 tls 就行了 |
2
anyfc 2023-12-11 21:19:13 +08:00 2
可能是加密的 DNS 无法被路由上的 clash 劫持,clash 得到的是加密的 DNS 解析后的被污染的 IP
|
3
baobao1270 2023-12-11 21:21:38 +08:00 1
这个和 DNS 无关,就是因为你用境内 DNS 去访问境外网站
阿里又不是没有污染,只要你用境内的 DNS ,不管你有没有加密,都访问不了 Google 想要解决这个问题,去做 DNS 分流。 @chanChristin 写 TLS 是 DoT ,而且老系统似乎不支持。比较传统且通用的办法一直是安装描述文件,想要 DoH 也只能用描述文件。 |
4
dear2baymax 2023-12-11 21:47:09 +08:00 via iPhone
用了加密 dns 以后不走路由器规则了吧
|
5
Decillion 2023-12-11 22:17:57 +08:00 via iPhone
你手机用了加密 dns clash 建议用 ip 匹配模式了
|
6
ranaanna 2023-12-11 22:33:05 +08:00 via Android
访问 google 和 youtube 怎么可能用阿里的 doh
|
7
EyebrowsWhite 2023-12-11 22:41:27 +08:00 via iPhone
DOH 和 DOT 加密的是查询的过程,不能保证记录没有被污染。要保证记录不被污染可以了解一下 DNSSEC
|
8
mohumohu 2023-12-11 23:22:52 +08:00
@EyebrowsWhite DNSSEC 不能保证记录不被污染,只能验证记录是否被污染。
|
9
deorth 2023-12-12 08:55:03 +08:00 via Android
散了吧,楼主被抓了
|
10
EyebrowsWhite 2023-12-12 09:01:34 +08:00 via iPhone
|
11
LoliconInside 2023-12-12 09:27:45 +08:00
你都用 fake-ip 模式了,还用 DoT 不是给自己找不痛快吗
|
12
qingcheng 2023-12-12 10:54:34 +08:00
dnsmasq 没能记录这次解析,就没办法根据 IP 配置分流规则,毕竟你 tcp dial 的时候是不带域名的
|
13
yyysuo 2023-12-12 14:49:53 +08:00
不搞科学那些东西,买个好点的路由,一般微信是不会这么长时间转圈的。
|
14
GilesWong 2023-12-12 17:00:16 +08:00 1
1. 你猜 dnsmasq 是干什么的? openclash 的 fake-ip 模式需要完成 DNS 劫持过程才能正确代理局域网内设备, 所以连上 Wi-Fi 的时候请关闭 DOH/DOT/DOQ, 将 DNS 服务器和网关指定为 openclash 所在的 ip
2. 有 qx 及相似软件的情况下不用装 doh 描述文件,这些软件配置里面基本上都支持指定 doh, 比费劲装配置文件更灵活. 3. qx 可以实现指定 WiFi 下切换模式/DNS ,可以参考 qx 的样本配置文件,qx app 里面就有最新的实例文件,GitHub 上也有, 不过比较老了: https://github.com/crossutility/Quantumult-X/blob/master/sample.conf |