关于加密 DNS

「尝试在我的 iPhone 上下载安装了阿里的 DoH 描述文件」 这是个什么操作？
直接在 Wi-Fi 的 DNS 里写一个 tls 就行了

可能是加密的 DNS 无法被路由上的 clash 劫持，clash 得到的是加密的 DNS 解析后的被污染的 IP

这个和 DNS 无关，就是因为你用境内 DNS 去访问境外网站
阿里又不是没有污染，只要你用境内的 DNS ，不管你有没有加密，都访问不了 Google
想要解决这个问题，去做 DNS 分流。

@chanChristin 写 TLS 是 DoT ，而且老系统似乎不支持。比较传统且通用的办法一直是安装描述文件，想要 DoH 也只能用描述文件。

用了加密 dns 以后不走路由器规则了吧

你手机用了加密 dns clash 建议用 ip 匹配模式了

访问 google 和 youtube 怎么可能用阿里的 doh

DOH 和 DOT 加密的是查询的过程，不能保证记录没有被污染。要保证记录不被污染可以了解一下 DNSSEC

@EyebrowsWhite DNSSEC 不能保证记录不被污染，只能验证记录是否被污染。

散了吧，楼主被抓了

@mohumohu 确实，前面说法有问题，感谢指正

DNSSEC 只检测伪造响应，不能保证记录一定是真实的

你都用 fake-ip 模式了，还用 DoT 不是给自己找不痛快吗

dnsmasq 没能记录这次解析，就没办法根据 IP 配置分流规则，毕竟你 tcp dial 的时候是不带域名的

不搞科学那些东西，买个好点的路由，一般微信是不会这么长时间转圈的。

1. 你猜 dnsmasq 是干什么的？ openclash 的 fake-ip 模式需要完成 DNS 劫持过程才能正确代理局域网内设备, 所以连上 Wi-Fi 的时候请关闭 DOH/DOT/DOQ, 将 DNS 服务器和网关指定为 openclash 所在的 ip
2. 有 qx 及相似软件的情况下不用装 doh 描述文件，这些软件配置里面基本上都支持指定 doh, 比费劲装配置文件更灵活.
3. qx 可以实现指定 WiFi 下切换模式/DNS ，可以参考 qx 的样本配置文件，qx app 里面就有最新的实例文件，GitHub 上也有, 不过比较老了: https://github.com/crossutility/Quantumult-X/blob/master/sample.conf

@GilesWong 非常感谢您的回复