假设 clash 不劫持 DNS 请求，那么 chrome 发起一个对 google.com 的请求（假设没有 DNS 缓存）

1. 发起一个 DNS 请求，因为国外的 DNS 服务器比较远，一般都是写国内的或者运营商分配的，速度最快，得到 google.com 的地址 1.1.1.1 （这样存在两个问题，①因为国内 DNS ，这个地址是假的（ DNS 污染）②DNS 运营商知道了你在访问 google.com （ DNS 泄露））
2. Chrome 发起 TCP 请求，目标 IP1.1.1.1, 端口 80 ，域名 google.com
3. clash 针对 google.com 执行基于域名的分流
4. 转发到代理服务器
5. 代理服务器并不会信任 1.1.1.1 的 ip 地址，它会再一次发起 DNS 请求查询 google.com 的地址，得到 2.2.2.2
6. 代理服务器对 2.2.2.2 发起 TCP 请求并将结果转发给你


单从这个例子上看，，第一步的 DNS 请求其实是没必要的，而且会导致 DNS 污染和泄露。fake-ip,就是在这一步直接给你个假的 ip 地址，然后 2 、3 、4 、5 、6 不变，结果上看没什么区别，但是少一次 DNS ，网页速度加载快了很多。

但是问题是基于域名的分流策略是有限的，不可能把所有域名都加里面，还有基于 IP 的分流做补充。现在访问一个不在域名分流列表的域名，是需要获取真实 IP 的，你得先有 IP ，才能基于 IP 做分流。所以还是会有：需要在本地做一次 DNS 查询的情况。

这种情况下，能用国内的 DNS 服务器肯定先用国内的（速度快），但是国内的又不可信，所以 fake-ip 就采用了多路并发，一路是你 nameserver 下的国内 DNS 查询，一路是 fallback 的国外 DNS 查询，如果 namesever 的查询到的结果 IP 是国内的，就认为它是可信的。如果它查询到的地址是国外的，就信任 fallback 的结果，无论如何会有一个 IP ，然后再根据这个 IP 做 IP 策略的分流，后面的过程就是 4 、5 、6 。

所以它的分流特性决定，基于 IP 的分流，必然存在真实的 DNS 查询情况



那么为什么 clash 要劫持 DNS ，是不是必须的？

答：不是必须的，是一种拖鞋的优点很多的方案

1. 域名分流的情况下，可以加快访问（不发起真实 DNS 查询）

2. 真实 DNS 查询的情况下，存在下面这两种问题（如果 clash 不劫持）

a. 如果写国内的 DNS 服务器地址，那么结果被污染，基于 IP 分流失去意义

b. 如果写国外的 DNS 服务器地址，那么查询太慢

3. clash 劫持 DNS 可以尽可能保证使用国内的 DNS 解析不会被污染，同时又规避了全部走国外 DNS 查询过慢的缺点

算是一种权衡吧，虽然优点很多，但是缺点也不少，我现在就被它的缺点搞得游戏打不了

棋思（ chess ）

OutOfMemory
OutOfBounds
StackOverflow

各种意义的 “无上限”

@zbatman #12

这方面了解的不是很多，我去查查看。感觉你的方案更合理一些。

@zbatman #9 主机游戏我没测试，看了下 switch 的网络类型是 F ，节点是支持 UDP 的，但是好像不是 fullcone ，对了我关闭了所有 IPV6 相关的功能，但是跟这个应该没关系吧。

@zbatman #9

fake-ip ， [关闭] [实验性：绕过中国大陆 IP]， [关闭] UU 加速器，游戏加载失败
fake-ip ， [关闭] [实验性：绕过中国大陆 IP]， [开启] UU 加速器，UU 加速器显示丢包率 100%，游戏加载成功
fake-ip ， [关闭] [实验性：绕过中国大陆 IP]，fakeip-filter 加入 QQ 相关域名（*.qq.com/tencent.com ），游戏加载失败
fake-ip ， [开启] [实验性：绕过中国大陆 IP]， [关闭] UU 加速器，游戏加载成功

redirhost ， [关闭] [实验性：绕过中国大陆 IP]，游戏加载失败

@zbatman #9

主要是国内的一些游戏，我目前测试的是穿越火线有问题，网上还有王者荣耀、吃鸡遇到问题的

问题表现形式都一样：登录、仓库、商店这些界面都没问题，游戏开始，加载不进去，我这边的具体情况是

开启插件看不到 ping 值，进游戏卡 45%（不是登录的那个进游戏，是要开始对战的进游戏）然后提示网络连接异常，断掉。回到主界面（仓库、商店之类的依然可以点击没有任何问题，大厅也可以正常浏览进入）

跟以前的比肯定差点意思，但是同期比的话不知道是不是因为我看片太少，个人感觉还行。

好莱坞现在这风气，说实话以前那些大 IP 的续作已经基本不抱有太大的期待了，能保持个中规中矩，演员不强行政治

正确，在我眼里就是成功了。

@murchef #3 其实初衷就是嫌多搞一个游戏加速器麻烦。想着直接上一个高质量机场，所有网络的活都全包了。fake-ip 的优点是，规则列表里面的域名少一次 DNS ，打开网页是真的丝滑。如果能在 fake-ip 的模式下把已有问题解决了，感觉就很舒服，我的需求也不多主要是。

@murchef #1 meta 内核是分出去的，如果想在原版内核 fake-ip 的基础上，解决我上面提出的问题，有没有什么比较好的方案？为什么绕过大陆 IP ，游戏就可以了？大陆 IP 咋判定的？不也是需要通过 DNS 解析获得的吗？这一点我没想通。

@yukinomiu #22 感谢老哥解答！！ 老哥说的几种方案名词之类的我是知道啥意思的，就是不知道具体该怎么实现。

这周末 J4125 也到货了，懒得折腾，最后还是采用了 esxi + openwrt 做主路由负责拨号，硬路由当 ap ，我的使用场景没那么复杂，就是全屋代理，openwrt 做旁路由的话，接入设备得手动填写网关地址，我嫌麻烦。

老哥的方案现在我大概可以理解了，两个 WIFI 的话，既可以规避手动填网关地址的麻烦，又可以实现科学/直连隔离。但是现在刚入手 J4125 ，我打算先按照我现在的配置用一段时间，目前感觉还比较稳，等遇到问题或者新的需求了再试试别的方案。

J4125 刚入的，目前感觉良好，没有啥问题

支持一下

@jacky45 #22 刚又看了下是 5 年的，1638, 凑 618 活动的时候买的，感觉还可以，经常有活动，可以去淘宝蹲一下，财新旗舰店，官方的，现在是 3200+，不要买，等活动买。

@yukinomiu #19

你们这个方案，查了很多资料还是有一些搞得不是很清楚的地方，不知道该怎么附言里面贴。

是不是类似于 Mac mini 挂 Surge 的方案？（只不过扩展到了 Win 或者 Linux ，软件也不再是 Surge ，有了更多的选择，能实现目的就好）

下面是我的理解，还请斧正！

就是硬件层面，路由之类的设备不做任何代理，有一台专门的主机/设备做代理。

1. 如果设备具有科学上网客户端，比如平板、电脑，就用对应的客户端，走 socks 协议，ip 地址写这台设备的内网地址
2. 如果设备没有科学上网客户端，比如 PS5 、Switch ，在连接网络的时候网关写这台设备的内网地址

具体这台设备用什么代理软件，上面并没有找到答案。（ Clash ？）

我大概就理解到这里

> 分流的话, 如果追求性能, 可以考虑 DNS 分流, fake ip 之类的方案(比较折腾); 如果不那么介意分流, 直接使用代理自带的分流(相对简单); 我的方案是, 不需要分流, 通过划分 VLAN 的方式, 主网直连, 非主网科学, 对于无线设备, 切换 WIFI 就可以切换是否科学了.

> 使用双 DNS, 一个国内, 一个无污染国外, 如果国内 DNS 返回国内 IP 那么使用这个国内 IP, 否则使用国外 DNS 返回的 IP, 这个方案比较完美, 但是这种要写程序了, 只靠路由器 PBR 或者脚本, 我觉得做不到.

这两条以我目前的学识，还不能完全理解和消化，等我搞明白了就贴在上面。要是你能不吝指教或者给个查阅的方向那就太好了。

算了算自己的订阅服务，感觉有必要精简一下

百度云/年费
115/开了 11 年的，不知道算不算
财新/3 年会员
爱奇艺/年费
域名/5 个，过期打算保留 2 个
vps/搬瓦工 1 个套餐一直续着
云/阿里云*1 ，腾讯云*2 （每个都是新用户 3 年的那种，过期了可能只会续 1 个吧）
QQ 音乐/年费
ChatGPT PLUS/这个公司报销
Github Copilot/年费
Pycharm/三年了，6 折还是多少来着？没那么高了
Netflix/有人报销
PSN/3 档年费
Switch 会员/年费，可能不续了，看情况

还有一些 88vip\KFC\京东乱七八糟的，一时半会不好捋，先不算了

Y2FuZW1hbkAxNjMuY29t

所以不是路由器的问题，是主机的 wifi 模块的问题对吧？正在考虑入手这款路由，UP 多少入的？有什么明显的短板或毛病吗？

gpt4 api 和 plugins 权限都拿到了，大概半个月时间吧。