Comments (30)
你都在说些什么东西。。胡子眉毛一把抓是吧。
表达“dns行为不及预期”时,都是报出具体配置,并指出具体哪个网站的解析超出预期,才能正经分析的。如果涉及到geosite,也要言明版本的。
要是只会说dns泄漏,那就是没有明确需求,鉴定为不良林看多了。那也简单,他怎么说你就怎么做咯。
clash verge是单客户端,openclash是透明代理,后者能漏dns的地方本来就更多,光内核配对了说明不了什么。
而且所谓的泄漏怎么石锤?内核日志?总不会是ipleak吧?这都要说的。
from openclash.
有详细的设置截图吗,我按照你的设置了直接无法访问外网了
Default-NameServer组的dns要打开“节点域名解析”
from openclash.
+1 redir-host和fake-ip均有这个问题,正确设置了namepolicy和fallback-filter后,应该直接fallback的域名仍会通过nameserver解析,并且有可能会采用nameserver中dns返回的结果
贴上我的dns字段:
dns:
enable: true
prefer-h3: true
listen: 0.0.0.0:53
ipv6: true
use-hosts: true
default-nameserver:
- 223.5.5.5
- 119.29.29.29
- tls://223.5.5.5
- https://223.5.5.5/dns-query
nameserver-policy:
"geosite:cn":
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
"rule-set:direct,private,apple,icloud":
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
enhanced-mode: redir-host
fake-ip-range: 198.18.0.0/15
fake-ip-filter:
- '*'
- '+.lan'
- '+.local'
- '+.leigod.com'
- '+.vivox.com'
- '*.msftncsi.com'
- '*.msftconnecttest.com'
- '+.stun.+'
- '.n.n.srv.nintendo.net'
- '+.stun.playstation.net'
- 'xbox.*.*.microsoft.com'
- '*.*.xboxlive.com'
- 'lens.l.google.com'
- '*.mcdn.bilivideo.cn'
- WORKGROUP
proxy-server-nameserver:
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
nameserver:
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://1.1.1.1/dns-query#PROXY
- https://1.0.0.1/dns-query#PROXY
fallback:
- tcp://1.1.1.1#PROXY
- https://1.1.1.1/dns-query#PROXY&h3=true
- https://1.0.0.1/dns-query#PROXY
- tls://1dot1dot1dot1.cloudflare-dns.com#PROXY
fallback-filter:
geoip: true
geoip-code: CN
geosite:
- gfw
ipcidr:
- 240.0.0.0/4
domain:
- '+.google.com'
- '+.facebook.com'
- '+.youtube.com'
- '+.googleapis.+'
如果不在1111dns后添加#PROXY,无论是nameserver还是fallback中的dns均会直连
目前的解决方案是正确设置nameserver-policy后,将nameserver和fallback全部改成走代理的dns:
dns:
enable: true
prefer-h3: true
listen: 0.0.0.0:53
ipv6: true
use-hosts: true
default-nameserver:
- 223.5.5.5
- 119.29.29.29
- tls://223.5.5.5
- https://223.5.5.5/dns-query
nameserver-policy:
"geosite:cn":
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
"rule-set:direct,private,apple,icloud":
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
enhanced-mode: redir-host
fake-ip-range: 198.18.0.0/15
fake-ip-filter:
- '*'
- '+.lan'
- '+.local'
- '+.leigod.com'
- '+.vivox.com'
- '*.msftncsi.com'
- '*.msftconnecttest.com'
- '+.stun.+'
- '.n.n.srv.nintendo.net'
- '+.stun.playstation.net'
- 'xbox.*.*.microsoft.com'
- '*.*.xboxlive.com'
- 'lens.l.google.com'
- '*.mcdn.bilivideo.cn'
- WORKGROUP
proxy-server-nameserver:
- https://223.5.5.5/dns-query
- https://doh.pub/dns-query
- https://doh.360.cn/dns-query
- tls://223.5.5.5
- tls://dot.pub
nameserver:
- https://1.1.1.1/dns-query#PROXY
- https://1.0.0.1/dns-query#PROXY
fallback:
- tcp://1.1.1.1#PROXY
- https://1.1.1.1/dns-query#PROXY&h3=true
- https://1.0.0.1/dns-query#PROXY
- tls://1dot1dot1dot1.cloudflare-dns.com#PROXY
fallback-filter:
geoip: true
geoip-code: CN
geosite:
- gfw
ipcidr:
- 240.0.0.0/4
domain:
- '+.google.com'
- '+.facebook.com'
- '+.youtube.com'
- '+.googleapis.+'
from openclash.
+1 redir-host和fake-ip均有这个问题,正确设置了namepolicy和fallback-filter后,应该直接fallback的域名仍会通过nameserver解析,并且有可能会采用nameserver中dns返回的结果
贴上我的dns字段:
dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
如果不在1111dns后添加#PROXY,无论是nameserver还是fallback中的dns均会直连 目前的解决方案是正确设置nameserver-policy后,将nameserver和fallback全部改成走代理的dns:
dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
fakeip要什么fallback?直接加 no-resolve解决,记得规则配置好,还有,1.0.0.1可以直连doh和dot都可以但我建议加节点防止他抽风
from openclash.
+1 redir-host和fake-ip均有这个问题,正确设置了namepolicy和fallback-filter后,应该直接fallback的域名仍会通过nameserver解析,并且有可能会采用nameserver中dns返回的结果
贴上我的dns字段:dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
如果不在1111dns后添加#PROXY,无论是nameserver还是fallback中的dns均会直连 目前的解决方案是正确设置nameserver-policy后,将nameserver和fallback全部改成走代理的dns:
dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
fakeip要什么fallback?直接加 no-resolve解决,记得规则配置好,还有,1.0.0.1可以直连doh和dot都可以但我建议加节点防止他抽风
fake-ip现在问题仍然很多,以及同样存在泄露
另外1111和1001我这都能直连,问题不在于这个,直连解析出来的ip不一定是适合走代理,比如cloudfront走直连解析出来大概是北美或者欧洲的ip,如果使用亚太代理就会绕
from openclash.
+1 redir-host和fake-ip均有这个问题,正确设置了namepolicy和fallback-filter后,应该直接fallback的域名仍会通过nameserver解析,并且有可能会采用nameserver中dns返回的结果
贴上我的dns字段:
dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
如果不在1111dns后添加#PROXY,无论是nameserver还是fallback中的dns均会直连 目前的解决方案是正确设置nameserver-policy后,将nameserver和fallback全部改成走代理的dns:
dns: enable: true prefer-h3: true listen: 0.0.0.0:53 ipv6: true use-hosts: true default-nameserver: - 223.5.5.5 - 119.29.29.29 - tls://223.5.5.5 - https://223.5.5.5/dns-query nameserver-policy: "geosite:cn": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub "rule-set:direct,private,apple,icloud": - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub enhanced-mode: redir-host fake-ip-range: 198.18.0.0/15 fake-ip-filter: - '*' - '+.lan' - '+.local' - '+.leigod.com' - '+.vivox.com' - '*.msftncsi.com' - '*.msftconnecttest.com' - '+.stun.+' - '.n.n.srv.nintendo.net' - '+.stun.playstation.net' - 'xbox.*.*.microsoft.com' - '*.*.xboxlive.com' - 'lens.l.google.com' - '*.mcdn.bilivideo.cn' - WORKGROUP proxy-server-nameserver: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://doh.360.cn/dns-query - tls://223.5.5.5 - tls://dot.pub nameserver: - https://1.1.1.1/dns-query#PROXY - https://1.0.0.1/dns-query#PROXY fallback: - tcp://1.1.1.1#PROXY - https://1.1.1.1/dns-query#PROXY&h3=true - https://1.0.0.1/dns-query#PROXY - tls://1dot1dot1dot1.cloudflare-dns.com#PROXY fallback-filter: geoip: true geoip-code: CN geosite: - gfw ipcidr: - 240.0.0.0/4 domain: - '+.google.com' - '+.facebook.com' - '+.youtube.com' - '+.googleapis.+'
说明你就没理解fallback是干什么用的
https://wiki.metacubex.one/config/dns/diagram/
fallback和nameserver字段之间是并发关系,fallback-filter只是用来控制最终取哪边的结果,但两边一定都会做解析。
说到底都用meta内核了,本来就应该放弃fallback字段,哪怕meta官方也是建议只用policy字段解决
from openclash.
说明你就没理解fallback是干什么用的 https://wiki.metacubex.one/config/dns/diagram/ fallback和nameserver字段之间是并发关系,fallback-filter只是用来控制最终取哪边的结果,但两边一定都会做解析。 说到底都用meta内核了,本来就应该放弃fallback字段,哪怕meta官方也是建议只用policy字段解决
太有理解了👍
https://wiki.metacubex.one/config/dns/#fallback-filter
https://wiki.metacubex.one/config/dns/?h=fallback#geosite
有没有看过这两个字段的具体解释,
首先fallback-filter字段在废弃之前是有效的,geosite规则只会使用fallback解析,我一开始设定的是geolocation-!cn ,即便如此泄露问题依然存在
另外我也尝试用nameserver-policy去准确地控制geolocation-!cn使用走代理的境外dns,结果是依然会泄露,OpenClash永远在用nameserver中设定的服务器查询
以上两种情况在Clash Verge客户端v1.182 Meta内核中不存在泄露问题
这已经说明了存在的问题
from openclash.
你都在说些什么东西。。胡子眉毛一把抓是吧。 表达“dns行为不及预期”时,都是报出具体配置文件,讲清楚tun/redirect/tproxy/mixed,并指出具体哪个网站的解析超出预期,才能正经分析的。 如果涉及到geosite,也要言明版本的。 要是只会说dns泄漏,那就是没有明确需求,鉴定为不良林看多了。那也简单,他怎么说你就怎么做咯。
回复是一句不看的,文档是完全不读的,测试是一点没有的,上来给我扣一个不良林看多了的帽子,你多少有点搞笑在里面
需求不必多说,大家差不多都是不想把某一部分域名交给nameserver进行一次多余的解析,不管是出于安全还是性能考虑。同样的透明代理passwall是不漏的,另外ipleak怎么你了,ipleak不能说明问题是吧,就说就说
别在回复我了谢谢,扣的帽子还你,
正常的issue反馈问题让你来杠出优越感了😅
edited: issue里面提到客观存在的问题您一点不提,我发的文档也一个字不看,就搁这来硬杠,歪这么多回复没一点用,不是来解决问题的话我劝您去微博玩玩,起码看的人多(
from openclash.
你都在说些什么东西。。胡子眉毛一把抓是吧。 表达“dns行为不及预期”时,都是报出具体配置,并指出具体哪个网站的解析超出预期,才能正经分析的。如果涉及到geosite,也要言明版本的。 要是只会说dns泄漏,那就是没有明确需求,鉴定为不良林看多了。那也简单,他怎么说你就怎么做咯。 clash verge是单客户端,openclash是透明代理,后者能漏dns的地方本来就更多,光内核配对了说明不了什么。 而且所谓的泄漏怎么石锤?内核日志?总不会是ipleak吧?这都要说的。
find-process-mode: strict
unified-delay: true
tcp-concurrent: true
global-client-fingerprint: chrome
geodata-mode: true
geodata-loader: standard
sniffer:
enable: true
force-dns-mapping: true
parse-pure-ip: true
override-destination: true
sniff:
HTTP:
ports: [80, 8080-8880]
override-destination: true
TLS:
ports: [443, 8443]
QUIC:
ports: [443, 8443]
force-domain:
- +.v2ex.com
skip-domain:
- Mijia Cloud
dns:
enable: true
prefer-h3: true
ipv6: true
default-nameserver:
- 8.8.8.8
enhanced-mode: redir-host
nameserver:
- https://dns.alidns.com/dns-query
fallback:
- https://1.0.0.1/dns-query
fallback-filter:
geoip: true
geoip-code: CN
geosite:
- gfw
ipcidr:
- 240.0.0.0/4
domain:
- '+.google.com'
- '+.facebook.com'
- '+.youtube.com'
瞅去吧,我贴了日志,谷歌泄露,规则有no-resolve,fakeip也是透明代理,不会存在泄露问题,clash设置,我压根没怎么动,开了tun模式,其他默认,之前开了v6和v6代理,现在关了v6的dhcp和代理,一样的效果
from openclash.
你都在说些什么东西。。胡子眉毛一把抓是吧。 表达“dns行为不及预期”时,都是报出具体配置文件,讲清楚tun/redirect/tproxy/mixed,并指出具体哪个网站的解析超出预期,才能正经分析的。 如果涉及到geosite,也要言明版本的。 要是只会说dns泄漏,那就是没有明确需求,鉴定为不良林看多了。那也简单,他怎么说你就怎么做咯。
回复是一句不看的,文档是完全不读的,测试是一点没有的,上来给我扣一个不良林看多了的帽子,你多少有点搞笑在里面 需求不必多说,大家差不多都是不想把某一部分域名交给nameserver进行一次多余的解析,不管是出于安全还是性能考虑。同样的透明代理passwall是不漏的,另外ipleak怎么你了,ipleak不能说明问题是吧,就说就说 别在回复我了谢谢,扣的帽子还你, 正常的issue反馈问题让你来杠出优越感了😅 edited: issue里面提到客观存在的问题您一点不提,我发的文档也一个字不看,就搁这来硬杠,歪这么多回复没一点用,不是来解决问题的话我劝您去微博玩玩,起码看的人多(
fakeip我不漏,漏了就是你规则没配置好
from openclash.
你都在说些什么东西。。胡子眉毛一把抓是吧。 表达“dns行为不及预期”时,都是报出具体配置文件,讲清楚tun/redirect/tproxy/mixed,并指出具体哪个网站的解析超出预期,才能正经分析的。 如果涉及到geosite,也要言明版本的。 要是只会说dns泄漏,那就是没有明确需求,鉴定为不良林看多了。那也简单,他怎么说你就怎么做咯。
回复是一句不看的,文档是完全不读的,测试是一点没有的,上来给我扣一个不良林看多了的帽子,你多少有点搞笑在里面 需求不必多说,大家差不多都是不想把某一部分域名交给nameserver进行一次多余的解析,不管是出于安全还是性能考虑。同样的透明代理passwall是不漏的,另外ipleak怎么你了,ipleak不能说明问题是吧,就说就说 别在回复我了谢谢,扣的帽子还你, 正常的issue反馈问题让你来杠出优越感了😅 edited: issue里面提到客观存在的问题您一点不提,我发的文档也一个字不看,就搁这来硬杠,歪这么多回复没一点用,不是来解决问题的话我劝您去微博玩玩,起码看的人多(
我回来试一下 nameserver-policy有没有用吧,之前没试过
from openclash.
有一点要注意的是,OpenClash的“覆写设置”--“dns设置”哪里的参数,是会写入到配置文件yaml里,也就是说会修改或添加到原配置文件里的dns设置,这个要注意一下。
我自己是把配置文件yaml里的dns相关的参数全部删除,然后只在OpenClash的“覆写设置”--“dns设置”做相关dns的设置。
或许是这个原因,导致同一份配置文件为什么OpenClash会出现泄漏,因为OpenClash的“覆写设置”--“dns设置”的参数会影响最终的dns设置。。
from openclash.
关于dns泄漏,我也是使用redir-host模式,我之前在v2ex回复过Op,但是op貌似不是很在意。
我是建议使用Meta内核的话,舍弃fallback-filter,直接使用nameserver-policy和nameserver来做dns分流,然后然国外的dns走代理,做好这 2 点,包通过所有 dns 泄漏测试。
以下是我在OpenClash上的dns设置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组自己配置好。
我自己的rules规则是国内直连,其余代理。以下是那些所谓的泄漏测试网站的结果。。。。
我现在越来越对这些所谓的测试不感冒了,打算dns只用nameserver(运营商dns),其他的不弄了
from openclash.
关于dns泄漏,我也是使用redir-host模式,我之前在v2ex回复过Op,但是op貌似不是很在意。 我是建议使用Meta内核的话,舍弃fallback-filter,直接使用nameserver-policy和nameserver来做dns分流,然后然国外的dns走代理,做好这 2 点,包通过所有 dns 泄漏测试。
以下是我在OpenClash上的dns设置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组自己配置好。
我自己的rules规则是国内直连,其余代理。以下是那些所谓的泄漏测试网站的结果。。。。
我现在越来越对这些所谓的测试不感冒了,打算dns只用nameserver(运营商dns),其他的不弄了
学到了
from openclash.
有一点要注意的是,OpenClash的“覆写设置”--“dns设置”哪里的参数,是会写入到配置文件yaml里,也就是说会修改或添加到原配置文件里的dns设置,这个要注意一下。 我自己是把配置文件yaml里的dns相关的参数全部删除,然后只在OpenClash的“覆写设置”--“dns设置”做相关dns的设置。
或许是这个原因,导致同一份配置文件为什么OpenClash会出现泄漏,因为OpenClash的“覆写设置”--“dns设置”的参数会影响最终的dns设置。。
这个我是关的
from openclash.
我不太明白,泄漏是指udp的dns请求被运营商等中间拦截分析的话,为什么不全部选择dot tls的请求方式不就好了吗
from openclash.
我不太明白,泄漏是指udp的dns请求被运营商等中间拦截分析的话,为什么不全部选择dot tls的请求方式不就好了吗
用doh一样会被上游看到,打个比方,我用阿里doh,但是阿里的doh依然会像运营商发起dns请求,可能为了cdn会像你运营商的dns服务器发起请求,虽然我不知道运营商那边显示的是阿里发起的请求还是我。如果用谷歌的doh,那就没有意义了
from openclash.
我不太明白,泄漏是指udp的dns请求被运营商等中间拦截分析的话,为什么不全部选择dot tls的请求方式不就好了吗
用doh一样会被上游看到,打个比方,我用阿里doh,但是阿里的doh依然会像运营商发起dns请求,可能为了cdn会像你运营商的dns服务器发起请求,虽然我不知道运营商那边显示的是阿里发起的请求还是我。如果用谷歌的doh,那就没有意义了
我觉得这有点过度焦虑了
- 如果是tls://223.5.5.5 只要运营商无法劫持查看修改我认为差不多就可以了,之前我就想到这个问题了,因为公司网络和运营商可能会拦截统计个人的dns解析请求来分析访问的网站,所以我全部都换为tls了,
- 即使223.5.5.5的cdn节点也会向上游dns拉取数据,我觉得也没多大所谓了,我觉得问题不大,应该更多的时候是命中缓存,而且阿里dns要解析的数据多了去了,而且偶尔解析几个国外域名也很正常,有些软件内部甚至写死了dns地址(虽然情况比较少)
- 阿里dns的cdn节点应该是阿里在管理,不是运营商就行,阿里我感觉应该没那么无聊
- 我觉得下面这些问题更是我想知道的,有没大佬支支招
- 我不知道openclash如何完美兼容ipv6网络,最好是国内域名支持解析成ipv6直连,而国外代理仅ipv4,有没有教程或者大佬
- 有些国产app软件会获取手机软件安装列表,这样相对于dns泄露更容易定位到个人,我觉得是更严重的问题
- fake-ip模式下有些网络问题,现在有一个Fake-IP-Filter选项,里面的域名会返回真实IP,但这表有人定期维护更新吗,能不能做成像白名单一样可以定期订阅更新,有时候有些游戏语音有点问题
from openclash.
我不太明白,泄漏是指udp的dns请求被运营商等中间拦截分析的话,为什么不全部选择dot tls的请求方式不就好了吗
用doh一样会被上游看到,打个比方,我用阿里doh,但是阿里的doh依然会像运营商发起dns请求,可能为了cdn会像你运营商的dns服务器发起请求,虽然我不知道运营商那边显示的是阿里发起的请求还是我。如果用谷歌的doh,那就没有意义了
我觉得这有点过度焦虑了
- 如果是tls://223.5.5.5 只要运营商无法劫持查看修改我认为差不多就可以了,之前我就想到这个问题了,因为公司网络和运营商可能会拦截统计个人的dns解析请求来分析访问的网站,所以我全部都换为tls了,
- 即使223.5.5.5的cdn节点也会向上游dns拉取数据,我觉得也没多大所谓了,我觉得问题不大,应该更多的时候是命中缓存,而且阿里dns要解析的数据多了去了,而且偶尔解析几个国外域名也很正常,有些软件内部甚至写死了dns地址(虽然情况比较少)
- 阿里dns的cdn节点应该是阿里在管理,不是运营商就行,阿里我感觉应该没那么无聊
- 我觉得下面这些问题更是我想知道的,有没大佬支支招
- 我不知道openclash如何完美兼容ipv6网络,最好是国内域名支持解析成ipv6直连,而国外代理仅ipv4,有没有教程或者大佬
- 有些国产app软件会获取手机软件安装列表,这样相对于dns泄露更容易定位到个人,我觉得是更严重的问题
- fake-ip模式下有些网络问题,现在有一个Fake-IP-Filter选项,里面的域名会返回真实IP,但这表有人定期维护更新吗,能不能做成像白名单一样可以定期订阅更新,有时候有些游戏语音有点问题
这里的泄露是:原本只应该发送给境外DNS进行解析的域名,被错误地转发给了境内DNS,这个请求是多余的,跟使用的DNS为明文udp还是DoH/DoT无关
另外运营商给的DNS结果有时候会比阿里/DNSPod ecs返回的结果要好一点(虽然在国内区别不太大),还是可以优化一部分体验的,而且根据https://wiki.metacubex.one/config/dns/?h=fallback#geosite 的描述,设定fallback-filter geosite字段时,表现并不符合预期,这是需要解决的问题
后面三个问题:
- 添加额外的DNS流程,比如我现在附加了SmartDNS作为OpenClash的上游,不再使用fallback和fallback-filter,仅使用nameserver-policy + smartdns分组使用,为了避免泄露就把nameserver当作以前的fallback添加smartdns的海外组,需要禁用AAAA记录就在smartdns里面设置
- 没办法,这偏离这个issues主题了,也许两个手机/应用沙盒之类的可以缓解这个问题
- 参考: MetaCubeX/mihomo#515 MetaCubeX/mihomo#913 似乎暂时没有人维护这样的列表,未来似乎也不会实现rule-set或者geosite的fake-ip-filter(大规模的fake-ip-filter不如直接去用redir-host),所以有问题最好是自己看日志加...很多游戏用的Vivox出问题所以可以尝试先加入 '+.vivox.com' 试试
from openclash.
我不太明白,泄漏是指udp的dns请求被运营商等中间拦截分析的话,为什么不全部选择dot tls的请求方式不就好了吗
用doh一样会被上游看到,打个比方,我用阿里doh,但是阿里的doh依然会像运营商发起dns请求,可能为了cdn会像你运营商的dns服务器发起请求,虽然我不知道运营商那边显示的是阿里发起的请求还是我。如果用谷歌的doh,那就没有意义了
我觉得这有点过度焦虑了
- 如果是tls://223.5.5.5 只要运营商无法劫持查看修改我认为差不多就可以了,之前我就想到这个问题了,因为公司网络和运营商可能会拦截统计个人的dns解析请求来分析访问的网站,所以我全部都换为tls了,
- 即使223.5.5.5的cdn节点也会向上游dns拉取数据,我觉得也没多大所谓了,我觉得问题不大,应该更多的时候是命中缓存,而且阿里dns要解析的数据多了去了,而且偶尔解析几个国外域名也很正常,有些软件内部甚至写死了dns地址(虽然情况比较少)
- 阿里dns的cdn节点应该是阿里在管理,不是运营商就行,阿里我感觉应该没那么无聊
- 我觉得下面这些问题更是我想知道的,有没大佬支支招
- 我不知道openclash如何完美兼容ipv6网络,最好是国内域名支持解析成ipv6直连,而国外代理仅ipv4,有没有教程或者大佬
- 有些国产app软件会获取手机软件安装列表,这样相对于dns泄露更容易定位到个人,我觉得是更严重的问题
- fake-ip模式下有些网络问题,现在有一个Fake-IP-Filter选项,里面的域名会返回真实IP,但这表有人定期维护更新吗,能不能做成像白名单一样可以定期订阅更新,有时候有些游戏语音有点问题
这里的泄露是:原本只应该发送给境外DNS进行解析的域名,被错误地转发给了境内DNS,这个请求是多余的,跟使用的DNS为明文udp还是DoH/DoT无关 另外运营商给的DNS结果有时候会比阿里/DNSPod ecs返回的结果要好一点(虽然在国内区别不太大),还是可以优化一部分体验的,而且根据https://wiki.metacubex.one/config/dns/?h=fallback#geosite 的描述,设定fallback-filter geosite字段时,表现并不符合预期,这是需要解决的问题
后面三个问题:
- 添加额外的DNS流程,比如我现在附加了SmartDNS作为OpenClash的上游,不再使用fallback和fallback-filter,仅使用nameserver-policy + smartdns分组使用,为了避免泄露就把nameserver当作以前的fallback添加smartdns的海外组,需要禁用AAAA记录就在smartdns里面设置
- 没办法,这偏离这个issues主题了,也许两个手机/应用沙盒之类的可以缓解这个问题
- 参考: 关于fakeip-filter引入域名列表 MetaCubeX/mihomo#515 feat(fakeip-rules): add fakeip-rules as fakip-filter MetaCubeX/mihomo#913 似乎暂时没有人维护这样的列表,未来似乎也不会实现rule-set或者geosite的fake-ip-filter(大规模的fake-ip-filter不如直接去用redir-host),所以有问题最好是自己看日志加...很多游戏用的Vivox出问题所以可以尝试先加入 '+.vivox.com' 试试
- 好像确实有问题,打开youtuber.com时,理论上应该不走解析了吧,但是clash dns的上游AdgHome dns还是收到了account.youtuber.com解析请求,理论上里面应该有后缀匹配youtuber.com,不知道你们说的是不是这个
- 使用上面老哥的nameserver和nameserver-policy进行分流,nameserver-policy添加"geosite:cn,apple,private": [127.0.0.1:5553],意思是国内域名走Adghome,而nameServer和Defalut-nameserver配置为国外tls dns,确实不泄露了,我不知道我有没有理解错
- 后三个问题
- 感谢,之前有了解过但是没尝试,不过根据上诉的nameserver和nameserver-policy进行的分流,openclash的dns能否设置成nameserver-policy允许返回ipv6地址,而其他默认过滤ipv6,这样是不是也能实现相同的效果兼容ipv6呢,但不了解clash不知道如何配置
- 这个确实没啥办法而且我感觉是个很大的问题,小米有个什么框架倒是可以阻止,但不知道是不是掩耳盗铃
- 主要是自己懒年纪大了,不太想折腾,比较fake-ip大多情况下都没问题,只是很小一部分域名而已,有人维护更新是最好了
from openclash.
回复楼上的:
其实根本不用担心IPv6的问题,IPv6全开就是了,配置文件里做好IPv6的rules规则。遇到IPv6流量是该直连?还是该代理?全由OpenClash来处理,不管你的机场支不支持IPv6,一点都不影响你访问国内和国外。
折腾什么国内返回IPv6地址,国外又禁止返回IPv6地址,都是瞎折腾,我从不搞这些东西。
我自己就是那么用的,OpenClash里的设置IPv6全开,我自己的大部分机场也不支持iIPv6,IPv6流量全由OpenClash处理,IPv6的分流一点问题也没有。
from openclash.
回复楼上的:
其实根本不用担心IPv6的问题,IPv6全开就是了,配置文件里做好IPv6的rules规则。遇到IPv6流量是该直连?还是该代理?全由OpenClash来处理,不管你的机场支不支持IPv6,一点都不影响你访问国内和国外。 折腾什么国内返回IPv6地址,国外又禁止返回IPv6地址,都是瞎折腾,我从不搞这些东西。
我自己就是那么用的,OpenClash里的设置IPv6全开,我自己的大部分机场也不支持iIPv6,IPv6流量全由OpenClash处理,IPv6的分流一点问题也没有。
我建议ipv6关了,安卓端透明代理的时候存在webrtc的v6泄露,我的iPad没有这个情况,苹果手机具体不知道
from openclash.
虽然我自己之前也折腾过并也掌握了解决dns泄漏这东西,但我现在对泄漏这东西越来越没感觉,日常使用没感觉到有什么异常和不妥,已经无所谓了。
v6泄漏带来的后果和失去v6的加成,我选择v6的加成。我不会为了泄漏而放弃ipv6的使用,v6给我好几个方面的加成,不舍得放弃,嘿嘿
from openclash.
回归主题,这个版本好像是真的有dns泄漏,似乎还是会使用nameserver组发起dns请求
from openclash.
OpenClash + SmartDNS 完美解决DNS泄露。之前看到一个评论,说Clash做DNS解析不是为了提供DNS服务,专业的事交给专业的程序去做~
from openclash.
好像并没有问题,符合预期,只是少部分少见国外域名会漏我觉得可以接受
from openclash.
关于dns泄漏,我也是使用redir-host模式,我之前在v2ex回复过Op,但是op貌似不是很在意。 我是建议使用Meta内核的话,舍弃fallback-filter,直接使用nameserver-policy和nameserver来做dns分流,然后然国外的dns走代理,做好这 2 点,包通过所有 dns 泄漏测试。
以下是我在OpenClash上的dns设置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组自己配置好。
我自己的rules规则是国内直连,其余代理。以下是那些所谓的泄漏测试网站的结果。。。。
我现在越来越对这些所谓的测试不感冒了,打算dns只用nameserver(运营商dns),其他的不弄了
有详细的设置截图吗,我按照你的设置了直接无法访问外网了
from openclash.
回归主题,这个版本好像是真的有dns泄漏,似乎还是会使用nameserver组发起dns请求
我这边是用nameserver必定发起请求,不过国外国内的域名
from openclash.
回归主题,这个版本好像是真的有dns泄漏,似乎还是会使用nameserver组发起dns请求
我这边是用nameserver必定发起请求,不过国外国内的域名
好像会漏,好像又不会,不知道是不是我设置的问题
from openclash.
有详细的设置截图吗,我按照你的设置了直接无法访问外网了
Default-NameServer组的dns要打开“节点域名解析”
请问你有使用adguard home 吗,我的adg 上有dns是openclash 127.0.0.1:7874
from openclash.
Related Issues (20)
- [Bug] 开启「自定义上游 DNS 服务器」翻墙失效 HOT 9
- 希望增加对hysteria2协议的支持 HOT 8
- 请问一下 YACD面板中“代理”页面所指定的openclash分流规则保存在哪个配置文件中,我想调整好之后备份一下【已解决】 HOT 4
- [Bug] 安装插件直接导致设备失联,因为是远程异地操作,现在不知道怎么处理 HOT 4
- [Bug] 以旁路有模式启用了openclash,同样的环境下优酷的视频chrome无法播放,edge却可以 HOT 4
- [Feature] 关于 url-test 的巨额流量消耗 HOT 8
- [Bug] 开启绕过**大陆IP功能后一直不能还原防火墙DNS劫持规则 HOT 3
- [Bug] HOT 2
- [Bug] 使用fakeip模式后无法使用ping HOT 1
- [错误] 更新不了订阅 一直报错 HOT 5
- [Bug] fake-ip 模式下无法收到手机的部分请求,redir-host下就没问题 HOT 10
- [Bug] Mata内核导致启动失败
- [Bug] HOT 1
- [Bug] HOT 3
- [Bug] Fake-IP模式下,DDNS映射的地址无法访问 HOT 8
- URL自定义
- [Bug] v0.46.011-beta Pre-release 版本中, meta 内核一直更新失败,确认网络是正常的。 HOT 4
- [Feature] 切换节点后断开相关Chains连接
- [Feature] ChatGPT 语音请求 UDP 3478 TCP 7881 HOT 2
- [Bug] HOT 3
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from openclash.