原先我一直是在各个设备上装客户端,macbook:clash,iphoen:quanx 。都是长期开启状态。
但是最近入了个红米 ax6000 折腾了一下 openwrt ,然后在上面开了 openclash ( meta 内核),dnsmasq 转发到 openclash ,以前的路由器拿去当 ap 了。
我在 openclash 设置中看 redir tun 模式是有黑白名单设置的,可以根据局域网禁掉固定 ip 或 mac ,这样就可以让我需要带出来的设备还是走原有的客户端。
但是 fake-ip 模式没法这样设置黑白名单。
如果想用 fake-ip 模式的话应该怎么操作?我希望达到的效果是需要带出去的设备还是走客户端,这样自己不需要去做开关操作。家里的设备走 openclash 。
另外想问下为什么我 mac 上用 clash-verge-rev ,启动或者切换订阅和节点会重置 dns 到 223.5.5.5,实际也不知道配置文件里的 dns 设置到底生效没。dig 的 server 一直都是 223.5.5.5.
;; Query time: 1 msec
;; SERVER: 223.5.5.5#53(223.5.5.5)
贴一下配置
dns:
enable: true
prefer-h3: true
listen: 127.0.0.1:53
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query
nameserver-policy:
'geosite:cn':
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
fallback 和 default-nameserver 注释掉了。
但是最近入了个红米 ax6000 折腾了一下 openwrt ,然后在上面开了 openclash ( meta 内核),dnsmasq 转发到 openclash ,以前的路由器拿去当 ap 了。
我在 openclash 设置中看 redir tun 模式是有黑白名单设置的,可以根据局域网禁掉固定 ip 或 mac ,这样就可以让我需要带出来的设备还是走原有的客户端。
但是 fake-ip 模式没法这样设置黑白名单。
如果想用 fake-ip 模式的话应该怎么操作?我希望达到的效果是需要带出去的设备还是走客户端,这样自己不需要去做开关操作。家里的设备走 openclash 。
另外想问下为什么我 mac 上用 clash-verge-rev ,启动或者切换订阅和节点会重置 dns 到 223.5.5.5,实际也不知道配置文件里的 dns 设置到底生效没。dig 的 server 一直都是 223.5.5.5.
;; Query time: 1 msec
;; SERVER: 223.5.5.5#53(223.5.5.5)
贴一下配置
dns:
enable: true
prefer-h3: true
listen: 127.0.0.1:53
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query
nameserver-policy:
'geosite:cn':
- https://223.5.5.5/dns-query
- https://223.6.6.6/dns-query
fallback 和 default-nameserver 注释掉了。
第 1 条附言 · 10 天前
openclash-插件设置-DNS 设置-本地 DNS 劫持改成防火墙转发,就可以配置黑白名单了。IP 和 Mac 都配上。
DHCP/DNS 取消勾选 DNS 重定向,转发地址配到 openclash 的 DNS 端口。
由于需要挂 PT ,虽然自定义的规则上没问题,但是有些站套了 cf,而且看日志国内 DNS 解析不到,出现标盒的情况。所以还是给 cn 规则的 dns 配了 1.1.1.1 。
nameserver-policy:
geosite:cn:
- https://223.5.5.5/dns-query
- https://1.1.1.1/dns-query
另外如果规则不是- MATCH,DIRECT 的话,最好还是别让 pt 走科学,避免出现一些莫名其妙的问题。昨天搜到个帖子的方法是给 nas docker 的 qb 、tr 单独设置 macvlan 。我的配置是只有匹配到的规则才会走流量,其他都是直连,所以就没去折腾。自己用的站的规则基本都写上了,然后订阅了 blackmatrix7 的 PrivateTracker 规则。
目前试下来好像是没什么问题了。不过我也不确定这样配对不对。
DHCP/DNS 取消勾选 DNS 重定向,转发地址配到 openclash 的 DNS 端口。
由于需要挂 PT ,虽然自定义的规则上没问题,但是有些站套了 cf,而且看日志国内 DNS 解析不到,出现标盒的情况。所以还是给 cn 规则的 dns 配了 1.1.1.1 。
nameserver-policy:
geosite:cn:
- https://223.5.5.5/dns-query
- https://1.1.1.1/dns-query
另外如果规则不是- MATCH,DIRECT 的话,最好还是别让 pt 走科学,避免出现一些莫名其妙的问题。昨天搜到个帖子的方法是给 nas docker 的 qb 、tr 单独设置 macvlan 。我的配置是只有匹配到的规则才会走流量,其他都是直连,所以就没去折腾。自己用的站的规则基本都写上了,然后订阅了 blackmatrix7 的 PrivateTracker 规则。
目前试下来好像是没什么问题了。不过我也不确定这样配对不对。
第 2 条附言 · 9 天前
内存占用很高,而且 PT 好像还是有问题,还是会出现标盒。放弃了。返回以前用的模式了。
原先用的 clash-premium 镜像,但是最新的远程规则加了 IP-ASN ,所以现在切到 meta 内核去了,直接还是跟客户端用一套配置。不移动的设备要走科学就直接转到 nas 的端口去。
原先用的 clash-premium 镜像,但是最新的远程规则加了 IP-ASN ,所以现在切到 meta 内核去了,直接还是跟客户端用一套配置。不移动的设备要走科学就直接转到 nas 的端口去。
第 3 条附言 · 9 天前
以前的模式是直接在 nas 上 docker 跑个 clash,要科学的其他容器比如 mp ,或者其他设备直接走这个 clash 的端口。
9 条回复 • 2024-06-16 13:19:09 +08:00
 |
1
mianlaodie 11 天前 via Android
其他设备根据 IP 绕过
|
 |
2
imzhoukunqiang 11 天前 via Android
我想问问 op 这个 dns 配置会 dns 泄露吗?
而且 1111 和 8888 的 doh 好像被强了 |
 |
3
Goalonez OP @imzhoukunqiang 我也不知道会不会泄露
 。。。1111 和 8888 好像是墙了。之前装过一个 openwrt 的固件上搞了 mosdns 一直解析不到,不知道是固件问题还是被墙了。现在这个固件没去注意。 |
|
4
imzhoukunqiang 11 天前 via Android
@Goalonez http://ipleak.net/ 测下这个呢,有没有中国的 dns
|
 |
5
Ne 11 天前 via Android
; 内网 IP ,匹配上走直连,不发起 DNS 请求
ruleset=⭕️ 直连,[]GEOIP,private,no-resolve ; 内网地址,匹配上的走直连 ruleset=⭕️ 直连,[]GEOSITE,private ; 国内域名,匹配上的走直连 ruleset=⭕️ 直连,[]GEOSITE,cn ; 国内基于 IP 的地址,匹配上走直连,不发起 DNS 请求 ruleset=⭕️ 直连,[]GEOIP,cn,no-resolve ; 兜底,都没匹配上就走代理 ruleset=⚡️ 国际代理,[]MATCH 红米 ax6000 暂时完美的设置 |
|
6
Goalonez OP @imzhoukunqiang #4 我没代理这个地址,显示 ip 是国内的,DNS 是全是美国的
|
|
7
Goalonez OP @imzhoukunqiang #4 试了下连路由上的设备,dns 有国内的。不过路由上因为不知道怎么搞黑白名单,目前是用 fallback ,没有开 fake-ip
|
|
8
imzhoukunqiang 10 天前 via Android
@Goalonez 谢谢,我参考也整一下
|
 |
9
wcnmm 4 天前 via Android
路由尽量走 redir-host ,查询一次 dns 基本不会太久(除非是走直连+线路烂) fake-ip 对我来说没有感觉多快。或者是 ap 直连,openwrt 改为旁路由,通过 openwrt 的 dhcp 指定 mac 和 ip 走 ap 网关直连,走代理的设备设定 openwrt 为网关(此法较繁琐)。
|
Select Language