OpenClash 是如何知道请求的域名是什么的?

使用 openclash 代理路由器中的请求，此时 openclash 是如何知道请求的域名是什么的？我一台电脑请求某个网站，浏览器直接先请求 DNS 解析完域名，得到了 IP ，再丢给路由器，此时路由器层面不是只能拿到 ip 吗,那匹配域名的规则又是如何生效的呢？请大佬们帮忙解惑一下

lxtyr

2023-08-10 13:15:07 +08:00

dnsmasq 了解一下

tony1016

2023-08-10 13:30:35 +08:00

如果你是浏览器代理，则浏览器会发送域名到代理；如果你是 TUN ，则强奸着你的 DNS 访问

scegg

2023-08-10 13:32:15 +08:00

clash 与 meta 的方式不同。openclash 只是个壳。你得明确一下是哪种先。

clash 用的是 fakeip ，meta 用的是 SNI 嗅探。

long1and

2023-08-10 13:37:00 +08:00

如果 OP 是像我一样，自建了另一个 DNS 解析服务器，不使用 openclash 的 dns 解析服务，那 openclash 的域名规则是不生效的。clash 的 dns 解析和代理是分开的。

misaka19000

2023-08-10 13:38:11 +08:00

因为你解析 dns 的请求被它拦截了

yunyuyuan

2023-08-10 13:39:57 +08:00

如果按照你说的，那 openclash 并不知道请求的域名是什么，看看日志就知道了。正确设置是电脑的 dns 设置为路由器，路由器 dnsmasq 再转到 clash 的 dns

MeteorVIP

2023-08-10 13:41:05 +08:00

因为是浏览器告诉他的

AoEiuV020JP

2023-08-10 14:08:45 +08:00

所以用 fakeip ，更准，简单说就是拦截所有 dns 请求，都返回一个个假的 ip ，下次收到 ip 请求就知道域名了，
反过来终端这边开 doh/dot 之类的话 openclash 日志就只能看到一堆 ip 了，

donnieYeh

2023-08-10 14:43:36 +08:00

@lxtyr 多谢指点，我看了下 dnsmasq 算是路由器系统层面的 dns 代理，经过梳理，代理流程可以理解为：

1 。解析 DNS：浏览器 -> 路由器 -> dnsmasq -> openclash -> 上游 DNS 服务器
2 。请求网页：浏览器（这次只会提供 IP ） -> 路由器 -> openclash

除非说 openclash 会缓存 ip 和域名的关系，不然在第 2 步也没法获取到域名，从而执行域名匹配规则。这块还是比较模糊

donnieYeh

2023-08-10 14:51:48 +08:00

@tony1016
抱歉我没说清楚，就是我用的软路由进行代理，openclash 是装在路由器，而不是装在电脑本机

@scegg
我看了一下，我的配置里没有勾选“使用 Meta 内核”，按你的意思，我说的这种场景用 redir-host 模式不就没法正常匹配域名了吗

tutou

2023-08-10 14:57:42 +08:00

建议油管上看几个视频就明白了，有几个 up 主讲的和上课一样

lsdsjy

2023-08-10 15:10:29 +08:00

https://blog.skk.moe/post/what-happend-to-dns-in-proxy/ 可以参考这篇文章

如果我理解得没错，设置了代理之后浏览器不一定会把解析 DNS 和请求网页拆成两个独立的步骤，而是全部交给本地的代理服务器

jujusama

2023-08-10 15:13:38 +08:00

重定向 53 到监听的 dns 端口，不拦截的话只能 SNI 嗅探

scegg

2023-08-10 17:03:46 +08:00

@donnieYeh
clash 不支持 redir-host 。

donnieYeh

2023-08-10 17:15:16 +08:00

@scegg
我也发现了，感谢指点，已经搞清楚了

xiaooloong

2023-08-10 17:52:26 +08:00

客户端挂了正向代理的情况，会直接把域名和端口交给代理服务器去连接
透明代理有两种情况。
第一种情况，clash 维护一个 dns-ip 映射表，客户端请求 dns 时 clash 记录了这个表的关系，等到目标 ip 的流量进来再反查这个表就可以知道域名了
第二种情况就比较简单了，tls 协议 client hello 里面一般都会有 sni 表示连接的域名，方便 server hello 的时候发对应域名的证书给客户端。

yaott2020

2023-08-10 18:03:24 +08:00

如果你选择 tproxy/tun ，你不是和远程服务器建立连接，而是先和 clash 建立连接，并且 clash 会嗅探第一个包，看看是什么协议，tls/http/quic 还是其他的，如果匹配到了，就可以根据域名分流，否则只能 ip 分流。

yaott2020

2023-08-10 18:04:22 +08:00

如果你使用 fake-ip ，那么 clash 会在你查询 dns 的时候就建立好了 ip--域名的映射关系，流量一过，直接就可以知道

yaott2020

2023-08-10 18:05:05 +08:00

如果你使用 socks5/http 代理，代理协议会直接把域名发送到远程，无需嗅探就可以知道

liofoil

2023-08-11 10:26:05 +08:00

@donnieYeh 标准的 clash 内核无论 fakeip 和 redir-host 会缓存 dns 和域名的映射的，并不是会执行嗅探。
clash 自己作为一个 dns 服务器，设置为 dnsmasq 的上游，有 dns 请求过来，dnsmasq 给到 clash ，clash 向自己配置文件里设置的 dns 查询域名对应 ip ，并建立映射表。
1 ） redirhost 直接把查到的 ip 给设备，设备按照这个 ip 发起连接，clash 反推域名分流，向代理服务器发起请求的时候不带域名，因此代理服务器看到的是 ip ，这是为了防止多个域名解析到同一个 ip 导致 clash 反推失败，但正因为请求的是 clash 自己本地查到的 ip ，所以会有几率出现 dns 污染或者 cdn 不匹配的情况。
2 ） fakeip 则是返回一个假的 ttl 很短的 ip 给设备，设备按照这个 ip 发起连接，clash 反推域名，并且直接请求这个域名，代理服务器拿到的是域名，这样可以避免 dns 污染，但是一些基于 udp 的服务会变得不正常，尤其是部署在路由器级别的设备上时，fakeip 的兼容性不是很理想。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/964066

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.