红鱼 DNS 正式发布, DoT & DoH only

2018-09-20 09:26:56 +08:00
 qyb
介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。

这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
79774 次点击
所在节点    DNS
191 条回复
qyb
2019-03-09 07:30:05 +08:00
@Love4Taylor 最近运维的事情由其它人在接手
testcaoy7
2019-03-12 17:26:06 +08:00
@qyb 现在服务器失效了,不管是 UW 还是 EA 的 stamp 都失效了,是 stamp 改变了吗?如果改变了,能否更新一下?
qyb
2019-03-12 19:24:38 +08:00
@testcaoy7 被攻击了,临时换了 IP,正在处理.
tifang
2019-03-16 20:32:05 +08:00
请教,openwrt,dnsmasq 配合 https_dns_proxy,在解析某些小众网站时。当使用 rubyfish doh,Windows 上显示 DNS 解析失败(不同网络环境不同 PC 下,均自动获取 IP 与 DNS,Chrome&IE ),2 台安卓手机解析正常( Chrome,未开启私人 DNS )。当使用 google doh,所有设备均解析成功。
经查看 dnsmasq 记录,发现 rubyfish 其实正确解析了 IP,与 google reply 的结果一致。
想不通 rubyfish 的解析结果在 Windows 上无效在 Android 上却没问题。百思不得其解,求赐教。
tifang
2019-03-16 22:27:51 +08:00
抓了下包
rubyfish 解析错误
tifang
2019-03-16 22:29:06 +08:00
抓了下包

rubyfish 解析错误
Domain Name System (response)
Transaction ID: 0x89eb
Flags: 0x8180 Standard query response, No error
Questions: 1
Answer RRs: 2
Authority RRs: 0
Additional RRs: 0
Queries
Answers
[Malformed Packet: DNS]
[Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
[Malformed Packet (Exception occurred)]
[Severity level: Error]
[Group: Malformed]

google
Domain Name System (response)
Transaction ID: 0x7656
Flags: 0x8180 Standard query response, No error
Questions: 1
Answer RRs: 1
Authority RRs: 0
Additional RRs: 0
Queries
Answers
[Request In: 425]
[Time: 0.323234000 seconds]
Love4Taylor
2019-03-17 00:28:14 +08:00
unbound 似乎在 DNSSEC 的转发上有有些问题.
在 systemd-resolved 设置为 DNSSEC=allow-downgrade 之后一些域名例如 www.bilibili.com 无法解析, unbound 上会输出 Verified that unsigned response is INSECURE 的 log.
同设置 8.8.8.8 没问题.
qyb
2019-03-18 00:09:38 +08:00
@Love4Taylor 你说的这个是红鱼的问题还是 unbound 的问题?
Love4Taylor
2019-03-18 00:13:45 +08:00
@qyb 应该是 unbound, 但没搜到相关资料. 我自己的 DoT 服务以及你们的服务测试都有这个问题.
qyb
2019-03-18 00:20:58 +08:00
@tifang 从描述不太确认问题出在哪里。测试协议问题,https_dns_proxy 可能有点小众了;建议使用流传更广泛的 client 进行测试,比如 dnscrypt-proxy 或者 libcurl ( https://github.com/curl/doh)
qyb
2019-03-18 00:22:55 +08:00
@Love4Taylor 在 unbound.conf 里加入 domain-insecure: bilibili.com 能避开这个错误吗?
Love4Taylor
2019-03-18 01:12:24 +08:00
@qyb #131 不行. 并且如果 unbound 设置了缓存, 那么只要有一个用户如此用 systemd 解析会导致空解析被缓存而牵连其他用户.

unbound[134004]: [134004:2] info: resolving www.bilibili.com. A IN
unbound[134004]: [134004:2] info: response for www.bilibili.com. A IN
unbound[134004]: [134004:2] info: reply from <.> 192.168.2.113#5300
unbound[134004]: [134004:2] info: query response was CNAME
unbound[134004]: [134004:2] info: resolving www.bilibili.com. A IN
unbound[134004]: [134004:2] info: response for www.bilibili.com. A IN
unbound[134004]: [134004:2] info: reply from <.> 192.168.2.113#5300
unbound[134004]: [134004:2] info: query response was ANSWER
unbound[134004]: [134004:2] info: resolving biliapi.com. DS IN
unbound[134004]: [134004:2] info: response for biliapi.com. DS IN
unbound[134004]: [134004:2] info: reply from <.> 192.168.2.113#5300
unbound[134004]: [134004:2] info: query response was nodata ANSWER
unbound[134004]: [134004:2] info: NSEC3s for the referral proved no DS.
unbound[134004]: [134004:2] info: Verified that unsigned response is INSECURE
unbound[134004]: [134004:2] info: resolving bilibili.com. SOA IN
unbound[134004]: [134004:2] info: response for bilibili.com. SOA IN
unbound[134004]: [134004:2] info: reply from <.> 192.168.2.113#5300
unbound[134004]: [134004:2] info: query response was ANSWER
unbound[134004]: [134004:2] info: resolving bilibili.com. DS IN
unbound[134004]: [134004:2] info: response for bilibili.com. DS IN
unbound[134004]: [134004:2] info: reply from <.> 192.168.2.113#5300
unbound[134004]: [134004:2] info: query response was nodata ANSWER
unbound[134004]: [134004:2] info: validate(nodata): sec_status_insecure
him007
2019-03-30 04:40:48 +08:00
一些域名 Google 使用的是国内服务器,利如 fonts.gstatic.comdl.google.com ,具体的可以查 https://github.com/felixonmars/dnsmasq-china-list/blob/master/google.china.conf,希望可以优化一下
him007
2019-03-30 04:50:40 +08:00
补上链接,上面的无法直接访问
https://github.com/felixonmars/dnsmasq-china-list/blob/master/google.china.conf
hhhsuan
2019-03-30 11:43:57 +08:00
@him007 #133 这个不能优化,如果是根据域名来决定是否走代理的话,这里返回一个国内地址,就变成用代理来访问一个国内地址了,速度会非常感人。
him007
2019-03-30 17:03:34 +08:00
@hhhsuan 好吧,我平常都是直接根据国内外 ip 分流的。
“如果是根据域名来决定是否走代理的话”,这个一般都是 gfwlist 里面的域名通过代理远程 dns 解析的,不会通过 rubyfish 解析。
不使用代理时,有些网站可以直连,但是 fonts gstatic com 返回国外地址的话会出现问题。
Love4Taylor
2019-03-31 01:44:37 +08:00
只剩一个 IP 了?
qyb
2019-04-07 14:31:44 +08:00
@Love4Taylor 莫名的来了大量的流量...带宽有点扛不起
qyb
2019-04-07 14:35:05 +08:00
@him007 感谢您为我提供了一个思路,我可能提供另外一个 DNS 服务目标是专门提供国内可访问的 IP
hikara
2019-05-07 22:17:45 +08:00
今天在 github 上看到有介绍这个项目,特来感谢!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/491049

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX