关于 openclash，探讨几个问题

fakeip 上吃过什么亏?

油管不良林的视频也许有启发

先看不良林，看完以后还是没配置好，那就少看点不良林。另外我不建议 meta 内核，举个典型例子，即使绕过来源的核心端口，也无法用 ddns 访问局域网的 udp 服务，比如主机串流/游戏连接等。

dns:
enable: true
ipv6: false
use-hosts: true
prefer-h3: true
listen: 0.0.0.0:7874
enhanced-mode: redir-host
nameserver-policy:
"geosite:cn, private":
- "https://223.6.6.6/dns-query"
- "https://223.5.5.5/dns-query#h3=true"
nameserver:
- "https://1.0.0.1/dns-query"
- "https://cloudflare-dns.com/dns-query#h3=true"
proxy-server-nameserver:
- "https://223.6.6.6/dns-query"
default-nameserver:
- 119.29.29.29
- 223.5.5.5

sniffer:
enable: true
sniff:
TLS:
ports: [443, 8443]
HTTP:
ports: [80, 8080-8880]
override-destination: true

没记错 Clash 是先全部 DNS 并发查询再按规则选择结果的, 只要给它提供了不安全的 DNS 就无法消除泄露
解决方法只有换和套娃这两种, OP 可以用自带的 DNSmasq 套娃

fakeip 我觉得是最适合家庭无痛上网的方式没有之一，配置静态路由指定 198.18.0.0/16 到扶墙网关，都不需要自己维护 ipset 。也不知道吃了啥亏？但是一定的记得打开 fakeip 的持久 cache 。

@Ipsum 你要觉得 fakeip 好的话，想必一定装了 360 安全中心吧？这两个本质上是一类东西。

@MYDB 我去看过了，他说 clash 一定会想上游所有 dns 发起请求，但是我在 clashv 上用同样的配置就没问题，安卓端也是

没用的，我和你的配置没什么区别，而且我丢 clashv 里也不会泄露，就 openclash 会泄露

@MeteorVIP fakeip 惯病，设备访问，还有以前 fakeip 模式银行 app 不能用 ，现在应该好了，但我尽量避免 fakeip

1 clash 是先匹配规则如果是没加 no-resolve 的 ip 规则或者是直连就会发起 dns 解析
2 全局会泄露是因为客户端在发起连接之前先进行了 dns 解析，客户端的 dns 解析泄露了，手机端我不清楚 可能是使用 vpn 劫持流量的时候顺边把 dns 劫持了吧，电脑端不泄露可能是用了系统代理？也可能是 tun 劫持了 dns ，openclash 会漏也许是 dns 没弄好
3 参考 4 楼的 nameserver-policy nameserver 部分配置就可以防止在 clash 泄露

@PrinceofInj 我 dns 直接就按科学分流了，正常网站都是真实 ip 。只有科学网站才是 fakeip 。就算梯子挂了。也不影响我正常网站的访问。不太清楚哪来的 bug 会让你觉得不好用。而且分流后，内网是直连扶墙网关，回流根本不过主路由。而且 360 这东西，我直接 dns 就 ban 掉了，根本不会去装。

OpenClash Meta 可以实现楼主的需求啊，完全不需要借助其他工具，只是很多人不知道而已。
1 ，dns 分流，参考 4 楼
2 ，让国外的 dns 进行代理后在解析，把国外的 dns 指向一个策略组即可，具体自己研究。

做好这 2 点，包过所有 dns 泄漏测试

接上楼：
以下是我的 dns 配置，其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析，这个策略组你好自己配置好。


dns:
enable: true
ipv6: true
enhanced-mode: redir-host
listen: 0.0.0.0:7874
proxy-server-nameserver:
- 运营商 dns
nameserver-policy:
geosite:cn,apple,private:
- 运营商 dns
nameserver:
- tls://8.8.4.4#DNS
- tls://208.67.222.222#DNS

@Penguium 不知道 openclash 哪里没设置好，我的配置没问题，照抄别人的配置一样也漏，配置文件我还是能看得懂的，我怀疑是 open clash 的逻辑问题，首先我加了 no-resolve ，同样的配置在电脑端和手机端我也会漏我的电脑端也是 tun 模式，然而在 open clash 还是发起了 dns 请求同样两个设备都是 meta 内核，不知道问题出在哪

在这顺便咨询大佬们一个问题，openclash 留学正常，监控正常，国内 app 网页 基本打不开，是哪里的问题，求助大佬。

clash verge 没问题、openclash 就有问题，这没道理的，它就没有可比性，提供不了任何置信度。
clash verge 只提供 http/socks/tun 入口，但 openclash 还有 redirect/tproxy ，这几种 inbound 下 dns 并不是同一个漏法，要咋比。
想要具体了解，那好歹先把不良林看了，起码不良林这部分还是讲对了的。
更何况 openclash 还有很多自作聪明的配置覆写行为，可能你觉得提交给 openclash 和 verge 是同一个配置文件，事实上远非如此。

@lostcanvasdeuter 我是 tun ，clash.meta 给的 dns 解析流程的图是用 dns 分流，但是 openclash 好像会向上游所有 dns 发起请求，我最后用 policy 解决了，有点不完美

可能是智障 windows 的关系，有个功能叫跨网络优化名称解析，默认开启的所以怎么测都漏，注册表开启禁用智能多宿主名称解析