在华硕路由器使用 DNSPod DNS over TLS (DoT) 的一个问题

我发现在华硕路由器使用 DNSPod DNS over TLS (DoT) 后，DNS 请求有些异常：

dig "@router.asus.com" o-o.myaddr.google.com TXT

; <<>> DiG 9.16.34 <<>> @router.asus.com o-o.myaddr.google.com TXT
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31621
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;o-o.myaddr.google.com.         IN      TXT

;; ANSWER SECTION:
o-o.myaddr.google.com.  180     IN      TXT     "edns0-client-subnet 120.204.17.12/0"
o-o.myaddr.google.com.  180     IN      TXT     "120.204.17.12"

;; Query time: 525 msec
;; SERVER: 192.168.50.1#53(192.168.50.1)
;; WHEN: Mon Dec 05 22:13:08 ;; MSG SIZE  rcvd: 124

通过 Google 提供的方式查询出口 DNS 和 ECS 信息可以发现，ECS 信息是出口 DNS ，且网段为 /0 。这意味着实际上 ECS 被错误配置为 0.0.0.0/0了。

kdig @dot.pub +tls-ca o-o.myaddr.google.com TXT
;; TLS session (TLS1.2)-(ECDHE-SECP256R1)-(ECDSA-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 49816
;; Flags: qr rd ra; QUERY: 1; ANSWER: 2; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1232 B; ext-rcode: NOERROR
;; PADDING: 341 B

;; QUESTION SECTION:
;; o-o.myaddr.google.com.               IN      TXT

;; ANSWER SECTION:
o-o.myaddr.google.com.  180     IN      TXT     "edns0-client-subnet 116.*.*.0/24"
o-o.myaddr.google.com.  180     IN      TXT     "113.96.17.193"

;; Received 468 B
;; Time 2022-12-05 22:20:13 CST
;; From 120.53.53.53@853(TCP) in 1199.2 ms

而直接向 dot.pub 请求数据，却又是正常的。

通常而言，这个问题是路由器的问题，但是我注意到 Google Public DNS 的结果又不太一样。在路由器上使用 dns.google DoT ，不会显示 ECS 信息，既不支持 ECS 。而直接向 dns.google DoT 请求数据，会正常显示 ECS 信息。

360 安全 DNS和阿里云公共 DNS的 DoT 不支持 ECS ，所以没法进一步测试究竟是什么问题。

有没有大佬能够解惑一下？ @naizhao 大佬救一下

这个主要导致对网站分流有影响，比如 vip1.loli.io

dig '@router.asus.com' vip1.loli.io

; <<>> DiG 9.16.34 <<>> @router.asus.com vip1.loli.io
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15800
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;vip1.loli.io.                  IN      A

;; ANSWER SECTION:
vip1.loli.io.           582     IN      CNAME   vip1.loli.io.cdn.cloudflare.net.
vip1.loli.io.cdn.cloudflare.net. 282 IN A       172.67.214.101
vip1.loli.io.cdn.cloudflare.net. 282 IN A       104.21.86.31

;; Query time: 9 msec
;; SERVER: 192.168.50.1#53(192.168.50.1)
;; WHEN: Mon Dec 05 22:30:02 ;; MSG SIZE  rcvd: 118

它在中国内地应当是 CNAME 至 vip1-cdn-jp1.loli.io

dig '@dns.alidns.com' vip1.loli.io

; <<>> DiG 9.16.34 <<>> @dns.alidns.com vip1.loli.io
; (4 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56002
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1408
;; QUESTION SECTION:
;vip1.loli.io.                  IN      A

;; ANSWER SECTION:
vip1.loli.io.           1       IN      CNAME   vip1-cdn-jp1.loli.io.
vip1-cdn-jp1.loli.io.   1       IN      A       103.121.211.234

;; Query time: 19 msec
;; SERVER: 2400:3200:baba::1#53(2400:3200:baba::1)
;; WHEN: Mon Dec 05 22:29:59 ;; MSG SIZE  rcvd: 84

johnjiang85

2022-12-06 11:51:10 +08:00

@872517414
@wanacry
> 通常而言，这个问题是路由器的问题，但是我注意到 Google Public DNS 的结果又不太一样。在路由器上使用 dns.google DoT ，不会显示 ECS 信息，既不支持 ECS 。而直接向 dns.google DoT 请求数据，会正常显示 ECS 信息。

这取决与公共 DNS 是否会将客户端请求携带的 ecs 0.0.0.0/0 携带到权威进行查询，根据 RFC 7871 ，可以不携带，也可以携带自己的 ecs 信息；
dns.google 没有携带 0.0.0.0/0 到权威，所以不显示；
DNSPod 的公共 DNS 会原样携带 0.0.0.0/0 到权威 DNS ，所以可以显示。

权威对 0.0.0.0/0 的一般处理方式是按照递归 DNS 的出口 IP 进行解析，这与不携带 0.0.0.0/0 完全一致；
部分权威也有可能解析到默认线路，这也是一种正常的处理方式；
两种方式都不会太准确，如果就是不想暴露自己客户端的外网 IP ，而不想要更准确的解析结果，可以传递 0.0.0.0/0 ，如果需要更准确的解析结果，则不能传递 0.0.0.0/0 ，对应的公共 DNS 可能将客户端 IP 作为 ECS 发送到权威 DNS 进行查询。