关于 openclash,探讨几个问题

258 天前
 ysept666

先说明一下我的配置 内核:meta:模式:redir-host 模式-TUN 版本是 0.46.003 , 因为很早之前在 fakeip 上吃过亏所以我不喜欢用 fakeip 模式。但 reair-host 存在 dns 泄露,目前没办法解决,希望大佬指点一二,在研究 openclash 的时候发现几个问题 1.clash 是先分发起 dns 在分流,还是先分流在发起 dns 2.redir-host 全局为什么也会 dns 泄露加了 no-resolve ,是因为 redir-host 一定会发起 dns 请求吗?但是在手机和电脑端上的 clashv 规则模式也不会漏,同样的配置丢 openclash 里就会漏 3.怎么才能在 redir-host 模式下不使用其他插件做到无泄漏

3035 次点击
所在节点    宽带症候群
19 条回复
MeteorVIP
258 天前
fakeip 上吃过什么亏?
Ealrang
258 天前
油管不良林的视频也许有启发
MYDB
258 天前
先看不良林,看完以后还是没配置好,那就少看点不良林。另外我不建议 meta 内核,举个典型例子,即使绕过来源的核心端口,也无法用 ddns 访问局域网的 udp 服务,比如主机串流/游戏连接等。
freechuzhuo
257 天前
dns:
enable: true
ipv6: false
use-hosts: true
prefer-h3: true
listen: 0.0.0.0:7874
enhanced-mode: redir-host
nameserver-policy:
"geosite:cn, private":
- "https://223.6.6.6/dns-query"
- "https://223.5.5.5/dns-query#h3=true"
nameserver:
- "https://1.0.0.1/dns-query"
- "https://cloudflare-dns.com/dns-query#h3=true"
proxy-server-nameserver:
- "https://223.6.6.6/dns-query"
default-nameserver:
- 119.29.29.29
- 223.5.5.5

sniffer:
enable: true
sniff:
TLS:
ports: [443, 8443]
HTTP:
ports: [80, 8080-8880]
override-destination: true
vcn8yjOogEL
257 天前
没记错 Clash 是先全部 DNS 并发查询再按规则选择结果的, 只要给它提供了不安全的 DNS 就无法消除泄露
解决方法只有换和套娃这两种, OP 可以用自带的 DNSmasq 套娃
Ipsum
257 天前
fakeip 我觉得是最适合家庭无痛上网的方式没有之一,配置静态路由指定 198.18.0.0/16 到扶墙网关,都不需要自己维护 ipset 。也不知道吃了啥亏?但是一定的记得打开 fakeip 的持久 cache 。
PrinceofInj
257 天前
@Ipsum 你要觉得 fakeip 好的话,想必一定装了 360 安全中心吧?这两个本质上是一类东西。
ysept666
257 天前
@MYDB 我去看过了,他说 clash 一定会想上游所有 dns 发起请求,但是我在 clashv 上用同样的配置就没问题,安卓端也是
ysept666
257 天前
没用的,我和你的配置没什么区别,而且我丢 clashv 里也不会泄露,就 openclash 会泄露
ysept666
257 天前
@MeteorVIP fakeip 惯病,设备访问,还有以前 fakeip 模式银行 app 不能用 ,现在应该好了,但我尽量避免 fakeip
Penguium
257 天前
1 clash 是先匹配规则如果是没加 no-resolve 的 ip 规则或者是直连就会发起 dns 解析
2 全局会泄露是因为客户端在发起连接之前先进行了 dns 解析,客户端的 dns 解析泄露了,手机端我不清楚 可能是使用 vpn 劫持流量的时候顺边把 dns 劫持了吧,电脑端不泄露可能是用了系统代理?也可能是 tun 劫持了 dns ,openclash 会漏也许是 dns 没弄好
3 参考 4 楼的 nameserver-policy nameserver 部分配置就可以防止在 clash 泄露
Ipsum
257 天前
@PrinceofInj 我 dns 直接就按科学分流了,正常网站都是真实 ip 。只有科学网站才是 fakeip 。就算梯子挂了。也不影响我正常网站的访问。不太清楚哪来的 bug 会让你觉得不好用。而且分流后,内网是直连扶墙网关,回流根本不过主路由。而且 360 这东西,我直接 dns 就 ban 掉了,根本不会去装。
xpn282
257 天前
OpenClash Meta 可以实现楼主的需求啊,完全不需要借助其他工具,只是很多人不知道而已。
1 ,dns 分流,参考 4 楼
2 ,让国外的 dns 进行代理后在解析,把国外的 dns 指向一个策略组即可,具体自己研究。

做好这 2 点,包过所有 dns 泄漏测试
xpn282
257 天前
接上楼:
以下是我的 dns 配置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组你好自己配置好。


dns:
enable: true
ipv6: true
enhanced-mode: redir-host
listen: 0.0.0.0:7874
proxy-server-nameserver:
- 运营商 dns
nameserver-policy:
geosite:cn,apple,private:
- 运营商 dns
nameserver:
- tls://8.8.4.4#DNS
- tls://208.67.222.222#DNS
ysept666
257 天前
@Penguium 不知道 openclash 哪里没设置好,我的配置没问题,照抄别人的配置一样也漏,配置文件我还是能看得懂的,我怀疑是 open clash 的逻辑问题,首先我加了 no-resolve ,同样的配置在电脑端和手机端我也会漏我的电脑端也是 tun 模式,然而在 open clash 还是发起了 dns 请求同样两个设备都是 meta 内核,不知道问题出在哪
KYM
256 天前
在这顺便咨询大佬们一个问题,openclash 留学正常,监控正常,国内 app 网页 基本打不开,是哪里的问题,求助大佬。
lostcanvasdeuter
253 天前
clash verge 没问题、openclash 就有问题,这没道理的,它就没有可比性,提供不了任何置信度。
clash verge 只提供 http/socks/tun 入口,但 openclash 还有 redirect/tproxy ,这几种 inbound 下 dns 并不是同一个漏法,要咋比。
想要具体了解,那好歹先把不良林看了,起码不良林这部分还是讲对了的。
更何况 openclash 还有很多自作聪明的配置覆写行为,可能你觉得提交给 openclash 和 verge 是同一个配置文件,事实上远非如此。
ysept666
253 天前
@lostcanvasdeuter 我是 tun ,clash.meta 给的 dns 解析流程的图是用 dns 分流,但是 openclash 好像会向上游所有 dns 发起请求,我最后用 policy 解决了,有点不完美
Cunkie
251 天前
可能是智障 windows 的关系,有个功能叫跨网络优化名称解析,默认开启的所以怎么测都漏,注册表开启禁用智能多宿主名称解析

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031128

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX