V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qyb
V2EX  ›  DNS

红鱼 DNS 正式发布, DoT & DoH only

  •  6
     
  •   qyb · 2018-09-20 09:26:56 +08:00 · 80670 次点击
    这是一个创建于 2285 天前的主题,其中的信息可能已经有所发展或是发生改变。
    介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。

    这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
    第 1 条附言  ·  2018-09-21 23:05:44 +08:00
    计划中秋节期间某天深夜会把两台服务节点重启一下服务,希望每台重启在 30 秒内完成。变更包括给上海节点增加 TLS 1.3、EDNS Keepalive 两个特性,以及一些域名配置变化
    第 2 条附言  ·  2019-03-13 08:13:39 +08:00
    紧急通知:东亚区服务的 IP 115.159.154.226 下线,如果依赖该 IP 直连红鱼 DNS 的,请更改为 118.89.110.78
    第 3 条附言  ·  2019-03-15 20:15:04 +08:00
    红鱼计划一个月后进入 beta,详情看新帖
    191 条回复    2023-08-05 22:13:30 +08:00
    1  2  
    dot2017
        1
    dot2017  
       2018-09-20 09:46:54 +08:00
    大家来猜猜这个 dns 多久以后会被盯上?😊
    artandlol
        2
    artandlol  
       2018-09-20 09:49:25 +08:00   ❤️ 4
    鱼雷:检测到一个 dns 服务
    加农:昨天已经污染
    defunct9
        3
    defunct9  
       2018-09-20 09:51:24 +08:00   ❤️ 1
    坐而言不如起而行,点赞。
    Love4Taylor
        4
    Love4Taylor  
       2018-09-20 11:30:38 +08:00 via Android
    卧槽 国内终于有人提供 DoT 了...
    Daming
        5
    Daming  
       2018-09-20 11:35:34 +08:00 via Android
    要被查水表
    LanFomalhaut
        6
    LanFomalhaut  
       2018-09-20 11:36:03 +08:00
    注意安全
    leconio
        7
    leconio  
       2018-09-20 11:55:17 +08:00 via Android   ❤️ 2
    @defunct9 想到了白裤档🤣🤣🤣
    alwayshere
        8
    alwayshere  
       2018-09-20 12:10:50 +08:00
    谁能解释一下“ DoT & DoH ”是什么意思吗
    AstroProfundis
        9
    AstroProfundis  
       2018-09-20 12:21:15 +08:00
    @alwayshere DNS over TLS / DNS over HTTPS
    antileech
        10
    antileech  
       2018-09-20 12:22:49 +08:00 via iPhone
    @alwayshere DNS over TLS/HTTPS
    ecoart
        11
    ecoart  
       2018-09-20 12:39:52 +08:00 via Android
    速度似乎有点问题
    gclove
        12
    gclove  
       2018-09-20 12:48:33 +08:00
    赞 !
    fiht
        13
    fiht  
       2018-09-20 12:48:56 +08:00
    打听一下,这样的 DNS 一般用什么做的,有开源的解决方案吗?
    artandlol
        15
    artandlol  
       2018-09-20 13:12:01 +08:00
    速度还不错
    [root@master ~]# curl -s 'https://dns.rubyfish.cn/dns-query?ct=application/dns-json&name=google.com&type=A'|python -m json.tool
    {
    "AD": false,
    "Answer": [
    {
    "Expires": "Thu, 20 Sep 2018 05:11:53 UTC",
    "TTL": 25,
    "data": "172.217.5.110",
    "name": "google.com.",
    "type": 1
    }
    ],
    "CD": false,
    "Question": [
    {
    "name": "google.com.",
    "type": 1
    }
    ],
    "RA": true,
    "RD": true,
    "Status": 0,
    "TC": false
    }
    zuoshoufantexi
        16
    zuoshoufantexi  
       2018-09-20 13:22:47 +08:00
    这个是用来干嘛的?能给 VPS 加速吗?
    q9OxQg
        17
    q9OxQg  
       2018-09-20 13:24:38 +08:00   ❤️ 1
    Android P,添加 Private DNS 后,Private DNS 状态为 Couldn't connect
    iwtbauh
        18
    iwtbauh  
       2018-09-20 13:40:32 +08:00   ❤️ 2
    这样真的可行吗?

    openssl s_client -connect dns.rubyfish.cn:853 -tls1_2 返回的证书解码后包含“ X509v3 扩展密钥用法”

    X509v3 extensions:
    X509v3 Key Usage: critical
    Digital Signature, Key Encipherment
    X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication
    X509v3 Basic Constraints: critical
    CA:FALSE

    可以看出此证书仅被允许用于
    TLS Web Server Authentication, ( TLS Web 服务器认证)
    TLS Web Client Authentication ( TLS Web 客户端认证)

    但是 DNS over TLS 并不是 Web 服务,所以可能会有与某些客户端未知的兼容问题。lz 应该在创建证书请求时带着相应的扩展密钥用法
    fany
        19
    fany  
       2018-09-20 13:41:35 +08:00 via Android
    好像不能爬 q,没什么用
    NFC
        20
    NFC  
       2018-09-20 13:54:35 +08:00   ❤️ 1

    试了几个被污染的域名 不准嘛
    我这用 1.0.0.1 服务是可以解析出正确的 IP.
    imfannet
        21
    imfannet  
       2018-09-20 13:57:16 +08:00
    dalao 还专门开了个公司。。。厉害了。。。
    yejinmo
        22
    yejinmo  
       2018-09-20 14:05:01 +08:00
    所以。。Windows + Chrome 怎么用
    lycc
        23
    lycc  
       2018-09-20 14:05:35 +08:00 via Android
    好奇提供这样的服务,服务器流量会有多大呢?
    meteor957
        24
    meteor957  
       2018-09-20 14:14:08 +08:00
    fq 的吗,好像没啥用啊,没 ss 好使
    dalieba
        25
    dalieba  
       2018-09-20 14:16:48 +08:00 via Android
    @yejinmo @fiht @Love4Taylor
    试试 Firefox
    dalieba
        26
    dalieba  
       2018-09-20 14:20:26 +08:00 via Android
    @meteor957 只是把 DNS 查询给🔒了
    Loyalsoldier
        27
    Loyalsoldier  
       2018-09-20 15:43:28 +08:00   ❤️ 1
    qyb
        28
    qyb  
    OP
       2018-09-20 16:37:21 +08:00
    @iwtbauh 谢谢,我研究一下这个问题
    Maskeney
        29
    Maskeney  
       2018-09-20 16:39:07 +08:00
    希望活得久一点吧
    qyb
        30
    qyb  
    OP
       2018-09-20 16:40:35 +08:00
    @NFC 确实,现在并不是所有的海外域名都走 upstream 解析,依赖于别的 list ;被墙的域名需要不断手工添加维护。。。正在想这部分能不能自动解决。感谢这个反馈,稍晚会加入列表
    Maskeney
        31
    Maskeney  
       2018-09-20 16:45:52 +08:00
    有个疑问,既然 Android 9 可以直接使用你们的 DNS,那么标题说的 DoT/H 从何谈起?
    qyb
        32
    qyb  
    OP
       2018-09-20 16:46:38 +08:00
    @q9OxQg 不好意思,手头 Android P 的机器借出去测试了。。。我得稍晚才能确认一下这个事情
    qyb
        33
    qyb  
    OP
       2018-09-20 16:48:14 +08:00
    @Maskeney 安卓 9 的 private dns 就是 DoT,但它首次连接到这个服务器的解析还是依赖于运营商的 DNS
    rootit
        34
    rootit  
       2018-09-20 16:49:03 +08:00
    可以看下 gfwlist 然后做一遍过滤? --来自小白的新奇想法
    Maskeney
        35
    Maskeney  
       2018-09-20 16:52:12 +08:00
    > Windows & macOS & Linux
    > 当前桌面系统上并没有简便的让*所有*互联网应用都使用红鱼 DNS 的方法,我们推荐您使用 Firefox 进行安全的互联网冲浪。
    我记得又 dnscrypt 可以做到,要是红鱼 DNS 可以兼容的话直接上这个列表 https://dnscrypt.info/public-servers/ 使用 dnscrypt-proxy 应该也是可以做到“让*所有*互联网应用都使用红鱼 DNS ”的吧?
    Maskeney
        36
    Maskeney  
       2018-09-20 16:53:04 +08:00
    @qyb 原来是这样 我还没用过这个 Android 9 新特性,默认 DoT 自然是极好的
    kslr
        37
    kslr  
       2018-09-20 17:13:58 +08:00 via Android
    反向加国内白名单
    azh7138m
        38
    azh7138m  
       2018-09-20 17:22:48 +08:00 via Android
    楼上说的白名单是可以的,只维护常见的大陆域名,其他的尝试下 edns 是不是支持的,日常完全可以
    Love4Taylor
        39
    Love4Taylor  
       2018-09-20 17:30:32 +08:00 via Android   ❤️ 1
    @q9OxQg 开了 vpn? 关掉就好了
    iwtbauh
        40
    iwtbauh  
       2018-09-20 17:39:57 +08:00 via Android   ❤️ 1
    @qyb 非常抱歉,刚才看了一下,这个可能是我说错了

    x509 规范中提到,如果证书包含扩展密钥用法,则证书必须仅用于指示的目的之一。但是问题是没有有关于 dot 服务的扩展密钥用法,x509 只是简单的说明关键用法必须根据 IANA 或者 x660 建议进行分配。并且给出了几个预定义的用法:web 服务器认证,web 客户端认证,电子邮件保护,hash 与时间绑定,代码签名和 ocsp 签名。

    如果其他某个协议需要用到 x509 证书,则那个协议可能为其分配扩展密钥用法。如 sip 协议试图分配一个扩展用法。

    这个字段似乎没有得到广泛采用,我检查了 1.1.1.1 和 9.9.9.9 的证书,发现也是只有这两个

    非常抱歉给你带来麻烦
    Maskeney
        41
    Maskeney  
       2018-09-20 17:55:22 +08:00
    https://www.rubyfish.cn/config-dnscrypt-proxy 看起来有支持 dnscrypt,这个方案可以放到 Windows 用户上啊,就是部署上可能对小白不太友好
    q9OxQg
        42
    q9OxQg  
       2018-09-20 18:10:38 +08:00
    @Love4Taylor 谢谢你。当时是断了绳子后设置的 Private DNS。看见你的建议,刚刚试了一下,挂了美元,再次设置成为 Private DNS = dns.rubyfish.cn ,保存后,还是显示 Couldn't connect。Pixel 2,联通。
    bclerdx
        43
    bclerdx  
       2018-09-21 00:13:24 +08:00
    看着很不错,收藏了。
    lzvezr
        44
    lzvezr  
       2018-09-21 08:07:56 +08:00 via iPhone   ❤️ 1
    对于分流,可不可以这样
    统一使用 TCP 查询,被污染的域名会被阻断导致查询失败,此类域名再由外部转发一下
    昨天试了一下,大部分情况下还可以,只是有一些 ns 服务器只支持 UDP,会有误判的情况,应该还可以优化
    qyb
        45
    qyb  
    OP
       2018-09-21 11:04:55 +08:00
    @q9OxQg @Love4Taylor 确认这个问题了,和系统判断当时的网络状态有关,就是那个月经话题网络信号图标上的 x。我重试确认了,把这个 x 干掉就能连。adb shell "settings put global captive_portal_mode 0",参考 https://www.v2ex.com/t/387818 https://www.v2ex.com/t/303889
    Love4Taylor
        46
    Love4Taylor  
       2018-09-21 11:08:47 +08:00   ❤️ 1
    @qyb #45 话说好奇开了 VPN 后 DoT 会怎么走
    lilydjwg
        47
    lilydjwg  
       2018-09-21 12:39:20 +08:00   ❤️ 1
    @qyb #30 用了这个 DNS 我访问不了 niu.moe 了 (╯‵□′)╯︵┻━┻

    要不你把返回单个 Facebook IP 的域名自动判定为被污染?
    另外失败率有些高啊,141 个请求,74 个失败,11 个超时。
    qyb
        48
    qyb  
    OP
       2018-09-21 13:49:01 +08:00
    @lilydjwg 是啊,原本计划是每周做一次污染的判断,现在看起来也许这个频率需要调整。另外实践中发现有些域名的污染是到了非 facebook 的地址段,比如 twitter 的,很苦恼。。关于你说的失败率高的问题,请问是在什么日志里输出的呢??
    lilydjwg
        49
    lilydjwg  
       2018-09-21 16:59:47 +08:00
    @qyb #48 我的本地 DNS 代理给出的统计数据。
    qyb
        50
    qyb  
    OP
       2018-09-21 22:02:05 +08:00   ❤️ 1
    @Love4Taylor 你提了一个特别好的问题。我第一时间反应是 VPN 是一个新的网络设备,肯定走 VPN 服务器配置的 DNS,实际测试推翻了这个直觉。自建了一个 IPSec Xauth PSK 类型的 VPN,发现尽管连接成功之后在私人 DNS 那里展示的是"无法连接",但是依然解析是走 TLS 的
    Love4Taylor
        51
    Love4Taylor  
       2018-09-21 22:30:59 +08:00   ❤️ 1
    @qyb #50 绕过 VPN 配置全部走 DoT 的话 那么这就有一个问题了 服务器得保证永远零污染, 并且这样一来 CDN 就不友好了, DoT 对用户的解析要么全是国外友好要么全是国内友好, 是个坑... 所以我在开 VPN 的时候还得先关掉 DoT....
    qyb
        52
    qyb  
    OP
       2018-09-21 22:56:37 +08:00   ❤️ 1
    @Love4Taylor 补充一下,DNS Server 这样看到的客户端 IP 仍然是原来运营商的 IP,而不是 VPN 的新 IP。如果 IPSecVPN 创建的时候类似 SS 那样有一个分流路由表,这个事看起来仍然是可行的。我自己觉得模式应该是 DoT 给路由器用,DoH 提供 SDK 给 Client App 用比如 SS ;毕竟 DNS 只是资源调度的一环,上网还需要网络层配合。零污染这个话题,我还得想想资源投入在哪个环节... 全都是坑
    smarthing
        53
    smarthing  
       2018-09-29 21:32:35 +08:00 via Android
    挺喜欢这个东西的,我在洛杉矶的机器上 kdig 了一下,明显比 1.1.1.1 慢,不清楚是不是因为 server 在国内的原因。

    另外一点就是公司一大把域名,部分子域名或主域名只能用公司内网的 DNS server 解析,用这个不好办。
    qyb
        54
    qyb  
    OP
       2018-09-30 10:59:32 +08:00
    @smarthing 太平洋就 130 毫秒了。。。如果是为了办公应用就需要自己特别明白,或者看 IT 是否有意愿部署这个。话说也给这个话题下的网友更新一下状态吧:
    qyb
        55
    qyb  
    OP
       2018-09-30 11:04:16 +08:00
    1. 多了两个域名,ea-dns.rubyfish.cnuw-dns.rubyfish.cn ,分别代表所使用的 upstream 区域,East-Asia/US-West ;方便 DoH 的用户
    2. Chromium Gerrit 上发现有个叫 Katharine Daly 的开发人员(邮箱为 @google.com )整个 9 月都在为 DoH 而努力,也许今年能在 Chrome 金丝雀上看到 DoH 吧...
    jamiroquai
        56
    jamiroquai  
       2018-09-30 14:00:40 +08:00
    这个能支撑多大的访问量啊?
    qyb
        57
    qyb  
    OP
       2018-09-30 15:23:01 +08:00
    @jamiroquai 当前情况支撑几千人不是问题吧
    citydog
        58
    citydog  
       2018-10-06 22:51:28 +08:00   ❤️ 1
    网站挂了
    qyb
        59
    qyb  
    OP
       2018-10-09 12:54:54 +08:00
    @citydog 汗。。。前两天跑一个 getdns-python-binding 的脚本,启动后自己就出门了。。结果这个模块有挺严重的内存泄露,好在没有影响主服务,只是 www 挂了。我自己试着把 binding module 部分修了修,objgraph 已经不再报 python 的 object 增长了,但还是在泄露内存,再琢磨难道问题出在 libunbound?? 还没有确切答案,但已经不敢那么随便跑 python 脚本了...
    lilydjwg
        60
    lilydjwg  
       2018-10-09 15:48:35 +08:00   ❤️ 1
    @qyb #59 这又不是 Python 的问题。非要说是 Python 的问题,也是它太容易写出看上去能够工作的程序了,换作 C 估计一堆段错误根本跑不起来了。实际上各种语言写的程序都可能泄漏内存啊,比如我见过两个版本的 tmux 都泄漏过。

    ulimit 设置一下内存限制吧。不过占用内存太多应该会被内核干掉,不会太影响别的服务呀。
    testcaoy7
        61
    testcaoy7  
       2018-10-09 20:01:49 +08:00   ❤️ 1
    求大佬给个 DNSCrypt 的 sdns stamp 链接
    qyb
        62
    qyb  
    OP
       2018-10-11 00:05:45 +08:00
    @testcaoy7 [static.'ea-dns.rubyfish.cn']
    stamp = 'sdns://AgQAAAAAAAAADzExNS4xNTkuMTU0LjIyNgAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk'
    [static.'uw-dns.rubyfish.cn']
    stamp = 'sdns://AgQAAAAAAAAADDQ3Ljk5LjE2NS4zMQAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk'
    qyb
        63
    qyb  
    OP
       2018-10-11 00:29:40 +08:00
    @lilydjwg 实在忍不住澄清一下,我没有想表达这是 Python 的问题。。。我现在大概还能算是一个很严肃的程序员,所以这两天空闲时间忍不住去找 https://github.com/getdnsapi/getdns-python-bindings 的 bug,就我使用的功能部分,现在还差最后一个内存泄露没想好怎么修——但满足眼下的脚本需求是没问题了。。。而且我能断言这个代码的作者即不懂 C 也不懂 Python 甚至不了解 libgetdns 的实现。。。话说 getdnsapi 不是 verisign 和 nllabs 搞出来的东西么,但它家的 python binding 也就是一个实习生的水平
    lilydjwg
        64
    lilydjwg  
       2018-10-11 00:47:53 +08:00   ❤️ 1
    @qyb #63 其实我并不是很关心你是不是觉得 Python 有问题,我更关心的是你这么表达,会让不了解的读者误以为 Python 本身有问题。圈子里很多娱乐自黑的梗,最终会传到外边给人造成负面印象,甚至进而造成伤害的。

    有些公司,至少它们的某些软件是很实习生的,比如深信服那个 VPN 的 Ubuntu 版,权限乱来,日志文件乱写,我在限制权限之后没能把它跑起来,听说有跑起来了的用户报告运行之后他的网络出问题了。
    testcaoy7
        65
    testcaoy7  
       2018-10-11 10:20:37 +08:00   ❤️ 1
    @qyb 谢谢!另外,由于支持 DoT,所以用 stuby 做客户端到 853 端口查询应该也是可以的吧
    qyb
        66
    qyb  
    OP
       2018-10-11 14:19:12 +08:00
    对,可以的。我前两天在 OpenWrt 上配了一个 stubby.yml ,测试没问题。回头再补个文档
    testcaoy7
        67
    testcaoy7  
       2018-10-13 07:54:24 +08:00   ❤️ 1
    @qyb 我用 Stubby 搞成了,非常感谢这么棒的 DNS 服务!
    etnperlong
        68
    etnperlong  
       2018-10-15 00:59:04 +08:00   ❤️ 1
    非常感谢!即将部署到家里路由去!
    weilaixx
        69
    weilaixx  
       2018-10-18 09:30:28 +08:00 via Android   ❤️ 1
    @qyb 这个 dns 会泄露隐私吗
    qyb
        70
    qyb  
    OP
       2018-10-18 10:14:21 +08:00
    CalZ
        71
    CalZ  
       2018-10-18 13:13:02 +08:00   ❤️ 2
    出来的结果都是污染的。感觉没啥用。
    qyb
        72
    qyb  
    OP
       2018-10-18 13:42:08 +08:00
    @CalZ 努力每天让它变好一点点... anyway, 多谢评论
    weilaixx
        73
    weilaixx  
       2018-10-18 16:16:14 +08:00 via Android
    @qyb 你就直说,你会不会在服务器端存储用户的信息?
    benedict00
        74
    benedict00  
       2018-11-09 11:39:54 +08:00 via Android   ❤️ 1
    @qyb Windows 上也可以用 stubby 使用 rubydns,改改配置文件就行了,讨厌的是没有 gui,必须一直开着 stubby.bat 。
    qyb
        75
    qyb  
    OP
       2018-11-09 13:39:19 +08:00
    @benedict00 多谢提醒,我还一直以为 stubby 没有 windows 版本;我回头把 windows 下如何配置 stubby or dnscrypt 都加入到网站文档上去吧
    benedict00
        76
    benedict00  
       2018-11-09 15:08:09 +08:00 via iPad
    @qyb 感谢,还有 macOS 和 Linux 的客户端,虽然我没用过
    testcaoy7
        77
    testcaoy7  
       2018-11-10 14:55:04 +08:00
    @qyb 请问大佬 DoH 的服务器软件是哪个?
    qyb
        78
    qyb  
    OP
       2018-11-10 17:14:08 +08:00
    @testcaoy7 https://github.com/m13253/dns-over-https https://github.com/curl/curl/wiki/DNS-over-HTTPS 这个页面上基本上各个 DoH 运营者都介绍了一下自己是怎么搭起来的
    testcaoy7
        79
    testcaoy7  
       2018-11-10 18:42:16 +08:00
    @qyb 谢谢
    JonyOang
        80
    JonyOang  
       2018-11-12 10:20:01 +08:00
    问下使用 DoT/H 可以避免 DNS 请求内容被记录吗? 公司网络环境下。
    qyb
        81
    qyb  
    OP
       2018-11-12 10:50:21 +08:00
    @JonyOang 您的 DNS 请求不会被你们公司的 IT 看到。当然红鱼的服务器会有记录,我们的隐私政策可参考 https://www.rubyfish.cn/privacy
    sxfscool
        82
    sxfscool  
       2018-11-13 19:26:56 +08:00   ❤️ 1
    开启了 private dns 后 bilibili 免流失效了,请问有办法解决么
    qyb
        83
    qyb  
    OP
       2018-11-14 00:03:05 +08:00
    @sxfscool 请问您是联通和 B 站合作的免流卡吗?我研究一下。您可以给我发一封邮件 [email protected] ,我有结论后单独回复
    sxfscool
        84
    sxfscool  
       2018-11-15 18:48:29 +08:00 via Android
    @qyb 好的
    benedict00
        85
    benedict00  
       2018-11-16 17:35:53 +08:00 via Android   ❤️ 1
    @qyb 求更新文档
    qyb
        86
    qyb  
    OP
       2018-11-17 02:30:26 +08:00
    @benedict00 我自己用了一下 stubby for win, 然后碰到一个 bug, 就是 reset DNS 回之前缺省 DHCP 传播的 DNS 之后,又莫名其妙的变成了 127.0.0.1... 我相信对于 V2EX 各君这都不是问题,但对普通用户来说,可能还是不够好。需要再等等
    hstv
        87
    hstv  
       2018-11-21 12:43:34 +08:00   ❤️ 1
    @qyb 关于污染判定我可以给个建议。被污染域名没办法查询的 NS 记录。如果能在国外查到 NS 记录基本可以判定域名被污染。
    benedict00
        88
    benedict00  
       2018-11-22 19:33:19 +08:00 via Android   ❤️ 1
    @qyb 我刚试了一下 Windows 可以用 Simple DNSCrypt 图形客户端用 Rubyfish 的 DoH,stubby 是 DoT。你可以试试
    qyb
        89
    qyb  
    OP
       2018-11-24 00:15:30 +08:00
    @hstv 这个方法好,我改进一下判断方法...
    benedict00
        90
    benedict00  
       2018-11-24 10:37:45 +08:00 via Android   ❤️ 1
    请求启用 DNSSEC
    qyb
        91
    qyb  
    OP
       2018-11-25 19:36:01 +08:00
    @benedict00 Simple DNSCrypt 的使用方式已经加上,DNSSEC 正在测试中... 大概就这两天进行部署吧
    benedict00
        92
    benedict00  
       2018-11-26 07:52:34 +08:00 via Android
    @qyb 这些工具必须监听 127.0.0.1,可能开了 stubby 自动就改成监听本地地址了。Stubby 暂时没有 cache 功能,需要配合 Unbound,两者可以比较好的配合。还有 macOS 有 Stubby 的 GUI 客户端,但暂时没有很好的选择 DNS 服务器的方式,需要手动 edit。需要 DoT 方式解析的可以考虑使用 Stubby+Unbound。
    benedict00
        93
    benedict00  
       2018-11-26 07:52:49 +08:00 via Android
    @qyb 期待
    qyb
        94
    qyb  
    OP
       2018-11-27 01:30:52 +08:00   ❤️ 1
    @benedict00 DNSSEC 已经部署,过几天确认稳定了再去更改 DNSCrypt stamp
    lucifer0114
        95
    lucifer0114  
       2018-12-02 09:29:21 +08:00 via Android   ❤️ 1
    反馈一下:在路由器上按教程设置紅鱼 DNS 后,凤凰新闻 iOS 客户端的导览界面有大片内容无法加载,微信中部分冷门公众号的图片内容亦无法加载
    qyb
        96
    qyb  
    OP
       2018-12-02 10:39:12 +08:00 via iPhone
    @lucifer0114 好的,我检查一下
    imliuruiqi
        97
    imliuruiqi  
       2018-12-02 22:48:00 +08:00 via Android   ❤️ 1
    Android 9,似乎开启后无法正常加载 Google play,关闭后可以正常加载。pixel2xl 原生系统,WiFi 网络,路由器已设置 ss 代理。
    qyb
        98
    qyb  
    OP
       2018-12-02 22:58:48 +08:00
    @imliuruiqi 您可以 ea-dns.rubyfish.cnuw-dns.rubyfish.cn 分别都试一下。我初步的怀疑是 Play 帐号的所在区域,和 ss 的出口区域,以及 dns 解析出来的地址区域不一致导致的毛病。能问一下您的 ss 出口是在哪个国家吗?
    benedict00
        99
    benedict00  
       2018-12-03 17:27:08 +08:00 via iPad
    @qyb DNSCloak 上看到已支持 DNSSEC 了!
    qyb
        100
    qyb  
    OP
       2018-12-03 20:04:41 +08:00 via iPhone
    @benedict00 嗯,昨晚提的 issue,很快就修改了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2960 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 13:11 · PVG 21:11 · LAX 05:11 · JFK 08:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.