首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
benjix
V2EX  ›  宽带症候群

求助: win 10 不能访问 cloudflare cdn

  •  
  •   benjix · 60 天前 · 1753 次点击
    这是一个创建于 60 天前的主题,其中的信息可能已经有所发展或是发生改变。

    周末给 openwrt 换上了 dns over https,然后 win10 就出现了奇怪的问题,不能访问 cloudflare.com ,而且所有使用 cloudflare cdn 的网站都不能访问,比如 v2ex,就会提示找不到 www.v2ex.com 的服务器 IP 地址。nslookup 可以正常解析 dns,ping 就提示找不到主机。 2 台 win10 都是这样,macos 上面则一切正常。 楼下贴图

    第 1 条附言  ·  59 天前
    确认是 DNSSEC 的问题,暂时改用 Google doh 服务,把 DNSSEC 禁用掉就正常了。自建的不支持禁用。
    17 回复  |  直到 2019-11-27 08:23:26 +08:00
    benjix
        2
    benjix   60 天前 via iPhone
    benjix
        5
    benjix   60 天前
    doh 服务端用的 https://github.com/m13253/dns-over-https
    openwrt 上用的 https://github.com/aarond10/https_dns_proxy
    win10 版本是 1909
    mxT52CRuqR6o5
        7
    mxT52CRuqR6o5   60 天前 via Android
    win10 支持 doh 吗?
    benjix
        8
    benjix   60 天前
    @mxT52CRuqR6o5 doh 做 openwrt 中 dnsmasq 的上游,没有装在 win10 上。
    benjix
        9
    benjix   60 天前
    @mxalbert1996 设置其他的 dns 正常,使用路由的 dns 不行。
    benjix
        10
    benjix   60 天前 via iPhone
    https://i.loli.net/2019/11/27/6ye45ntMljSaipD.jpg
    dig 有条 warning,Google 了一下似乎是 edns 问题,还没找到解决办法
    imn1
        11
    imn1   60 天前
    edns 的话,估计是本地 ip 没传过去,cloudflare 解释到国外的服务器,服务不到了
    benjix
        12
    benjix   60 天前 via iPhone
    @imn1 #11 https://community.cloudflare.com/t/possible-solution-for-the-edns-problem-in-1-1-1-1/119509/5
    找到这个,cloudflare 任播的问题。

    When sending queries upstream, the resolvers can not use an anycast address as the source to send from (say 1.1.1.1), because they wouldn’t even know if the answer from upstream would come back to the same place. The source address is of course a natural default when the EDNS option 2 is missing.
    imn1
        13
    imn1   60 天前
    edns 我还不太了解,只知道它是把发送方的本地信息带上,好让 dns 解析“优化”适合发送方
    我用 dot,没用 doh,firefox 上尝试过 doh,感觉不好用,dot 暂时还好,就是有点慢,所以要抽空研究一下 edns
    dnsmasq 好像是不支持 edns,没见到文档里面有提及,估计要换一个工具作为缓存

    另外,我把一些国内的域名(自己常去的),走 udp,这些不存在什么污染,没必要加密
    个人觉得,如果 24 小时跑流量,那些“观察者”却得不到你任何 dns 信息,会觉得你更可疑,还是要适当走走国内线路
    当然这是纯个人意见
    imn1
        14
    imn1   60 天前
    呃,查了一下,好像弄错了,dnsmasq 有一些 edns 参数……
    oovveeaarr
        15
    oovveeaarr   60 天前
    抓包看看
    benjix
        16
    benjix   60 天前 via iPhone
    @imn1 #14 某 list 中的地址走 doh,其他的还是走正常的 UDP 解析
    benjix
        17
    benjix   60 天前 via iPhone
    @oovveeaarr #15 没有抓过 DNS 的包,回头我试试
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2017 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 33ms · UTC 05:56 · PVG 13:56 · LAX 21:56 · JFK 00:56
    ♥ Do have faith in what you're doing.