V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linshiyouxiang
V2EX  ›  DNS

各位使用的 dot 和 doh 还能直连吗?

  •  
  •   linshiyouxiang · 2021-03-08 09:07:41 +08:00 · 16512 次点击
    这是一个创建于 1354 天前的主题,其中的信息可能已经有所发展或是发生改变。

    坐标北京移动,发现报警 dns 解析异常,排查

    • 常用的 8.8.4.4 dot 无法直连了,挂上梯正常.
    • 又尝试了几个 dot 和 doh 都没法直连了.
    • 只剩下 Cloudflare 勉强能连上,也是几乎不可用.

    有几个配置已经使用非常久的时间,这次有些突然. 各位那里的 dot doh 直连还正常吗?

    搜索咨询发现这个

    https://www.solidot.org/story?sid=67104

    38 条回复    2021-05-20 18:23:23 +08:00
    katana97
        1
    katana97  
       2021-03-08 09:24:54 +08:00
    云南电信 tls://dns.google 和 https://1.1.1.1 都还可以用
    Love4Taylor
        2
    Love4Taylor  
       2021-03-08 09:33:16 +08:00
    无锡电信
    doh.dns.sb ,RESET (这个 CDN 用的 Cloudflare )
    doh.opendns.com ,RESET

    你不是我都没注意,还好同时加了自建的备用。
    Love4Taylor
        3
    Love4Taylor  
       2021-03-08 09:35:31 +08:00
    @Love4Taylor dns.sb:853 也挂,openssl 拿不到证书
    linshiyouxiang
        4
    linshiyouxiang  
    OP
       2021-03-08 09:41:10 +08:00
    @Love4Taylor 之前各个 dot doh 屏蔽 地方差异很大,这次感觉像是很多地方都补上了.但是还是不统一.
    Tarkky
        5
    Tarkky  
       2021-03-08 09:56:41 +08:00
    特殊时期,力度很大
    tankren
        6
    tankren  
       2021-03-08 10:08:32 +08:00
    境外的 DOT DOH 不都配合代理用的嘛
    linshiyouxiang
        7
    linshiyouxiang  
    OP
       2021-03-08 10:10:10 +08:00
    @tankren 其实很长时间以来都是能直连的,避免代理挂了,dns 也挂.
    hs0000t
        8
    hs0000t  
       2021-03-08 10:10:36 +08:00 via Android
    simple-dnscrypt,开自动模式,能用,但是巨卡
    tankren
        9
    tankren  
       2021-03-08 10:18:34 +08:00
    @linshiyouxiang 我知道可以直连 但是直连境外 DoH 并不好啊 CDN 解析就有问题
    Kobayashi
        10
    Kobayashi  
       2021-03-08 10:24:21 +08:00 via Android
    不能了。Google DoH 原来 443 端口阻断。昨天发现 Google DoT 也不行了。拿 Quad9 测了一把:非标端口 9953 UDP 还活着,DoT 、DoH 无法建立连接,dnscrypt 可用。其他几个外网公共 DNS 情况类似。

    结论:墙升级了,开始搞 DoT 和 DoH 了。暂时 dnscrypt 和非标 UDP 顶着。
    love
        11
    love  
       2021-03-08 10:36:18 +08:00
    @tankren 都有代理了,再用 DOH 是起什么用的?
    czfy
        12
    czfy  
       2021-03-08 10:43:59 +08:00
    前几天有看到新闻,主流的 DoH 剩下 Cloudflare 还活着
    wsseo
        13
    wsseo  
       2021-03-08 10:56:28 +08:00
    问下,这种通过域名建立连接的 doh.dns.sb
    这个域名本身是谁解析的?还是以前的 UDP ?
    lsylsy2
        14
    lsylsy2  
       2021-03-08 11:02:11 +08:00
    我用黑名单模式,dnsmasq 做主 dns 走普通国内 dns 解析,黑名单再转发到 dnscrypt-proxy 。
    黑名单反正本来没梯子也连不上,解析就放心大胆的放弃直连了。
    HalloCQ
        15
    HalloCQ  
       2021-03-08 11:42:40 +08:00
    Cloudflare 的 1.0.0.1 的 doh 还活着,1.1.1.1 已死
    IvanLi127
        16
    IvanLi127  
       2021-03-08 12:25:44 +08:00 via Android
    @love #11 有些 dns 查询默认不走代理
    arrow629
        17
    arrow629  
       2021-03-08 12:44:06 +08:00 via Android
    @wsseo 如果 DoH 服务器地址是域名的话,确实要先用基于 UDP 的 DNS 服务器解析,像 Adguard Home 里的 Bootstrap DNS 就是用来设置解析 DoH 服务器的 UDP DNS
    fetich
        18
    fetich  
       2021-03-08 12:56:50 +08:00
    最近的解析状况的确不行……
    ZhiyuanLin
        19
    ZhiyuanLin  
       2021-03-08 13:27:47 +08:00
    建议用 Unbound 搞个 Forward Resolver,自己开放 DoH 和 DoT 出来,有 Let's Encrypt 没那么难设定。
    stephenxiaxy
        20
    stephenxiaxy  
       2021-03-08 14:53:08 +08:00
    南京移动 tls://1.1.1.1 和 tls://1.0.0.1 不行
    v2tudnew
        21
    v2tudnew  
       2021-03-08 20:48:30 +08:00
    shawn1m/overture 值得一试,AdGuard 如果能整合这些功能就好了。
    linshiyouxiang
        22
    linshiyouxiang  
    OP
       2021-03-08 22:02:05 +08:00
    @stephenxiaxy 重新测试了一下,除了 Cloudflare 其他 dot doh 全灭.又得重新部署 dns 方案了

    @v2tudnew 看了下 overture 各种分流确实不错,只是上游肯定依赖外网 dot/doh,现在这种情况都必须走代理,索性还是 dns 全局转发吧,平时就是用用 google / GitHub 全局影响不大.

    @ZhiyuanLin 自己搭建 可行,有些疑惑怎么防止扫描只自用,除了非标准端口等手段.
    Rilimu
        23
    Rilimu  
       2021-03-08 22:08:51 +08:00
    用这个 IrineSistiana/mosdns,比 overture 功能多,效率也高。

    还可以自定义服务器的 IP 地址。用脚本扫描最快 Cloudflare IP (脚本名字忘记了),填进去,比连 1.1.1.1 块多了。因为 Cloudflare 的 IP 之间没区别。
    Rilimu
        24
    Rilimu  
       2021-03-08 22:17:35 +08:00
    @linshiyouxiang 自建 DoH 的话,把默认的 url /dns-query 换掉,越长越好。url 不对服务器就会返回 404 。因为 url 就你一个人知道,也就你一个人能用,就像密码一样,能防扫描。
    ugvfpdcuwfnh
        25
    ugvfpdcuwfnh  
       2021-03-08 23:30:41 +08:00
    楼主不说我都不知道,国外的 DNS 解析肯定要挂代理啊,管它是不是 DOH,难道中国 zf 不知道那是 DOH 的 ip 吗?
    论好习惯的重要性!
    bclerdx
        26
    bclerdx  
       2021-03-09 13:20:25 +08:00 via Android
    @Love4Taylor 怎么测试挂没挂?
    gkl1368
        27
    gkl1368  
       2021-03-11 17:34:47 +08:00
    自建的 doh 已经挂了, 只能换 quic 了,可能是我用的 dns-query 后缀
    xarthur
        28
    xarthur  
       2021-03-14 09:09:52 +08:00
    CF 的 DoH 现在也被屏蔽了
    leiakun
        29
    leiakun  
       2021-03-17 03:55:44 +08:00
    我用 YogaDNS 的客户端测试已知的 DOH 、DOT,境外的都挂了,国内阿里的 DOH 还能用(我肯定不会用),我自己用的 nextdns 也挂了。
    然后我在香港搭建了一个 adguard home,上级 DNS 指向 nextdns,只给自己提供 DOH 、DOT 、DOQ 。
    除了刚建好时三级域名内有个 dns,第二天就被封了,猜测防火墙通过 sni 检测三级域名内有 dns 或者 doh 的都被封了。然后换了一个 IP,索性不用三级域名直接用二级域名,目前运行稳定,没有被封。
    HalloCQ
        30
    HalloCQ  
       2021-03-17 08:48:15 +08:00
    这帖子刚发出来的时候,我机智的把 dns.xx.com 换成了 d.xx.com
    gkl1368
        31
    gkl1368  
       2021-03-17 14:10:20 +08:00
    @leiakun 推薦用 quic
    leiakun
        32
    leiakun  
       2021-03-17 14:54:24 +08:00
    @gkl1368 adguardhome 支持 quic,我家网的局域网 DNS 连接的上级 adguardhome 用的就是 quic,延时还能接受。
    gkl1368
        33
    gkl1368  
       2021-03-17 15:06:46 +08:00
    @leiakun 我前幾天也是的,自建帶 dns 的 doh 全掛了
    linshiyouxiang
        34
    linshiyouxiang  
    OP
       2021-03-22 12:56:18 +08:00
    再次更新一下近况:
    google 的 dot doh 还是全断.
    cloudflare 勉强恢复到可用状态
    其他几个 dot doh 偶尔可用

    因此结论是有需求尽可能自建 doh 吧.
    网址务必不要带 dns, doh 的 /dns-query 务必要换掉.
    dot 标准端口是 853 识别更加容易,建议非标准端口搭建.
    Maskeney
        35
    Maskeney  
       2021-03-22 20:53:27 +08:00
    3 月 4 号开始的,阻断所有国际 853 端口
    raycheung
        36
    raycheung  
       2021-03-23 17:55:07 +08:00
    @Maskeney #35 墙真美,还能说啥呢
    wlh
        37
    wlh  
       2021-04-15 15:40:24 +08:00
    我这电信连 8.8.8.8 dot 还活的
    hekaihao2015
        38
    hekaihao2015  
       2021-05-20 18:23:23 +08:00
    建议自建 adguard home,桥接 udp dns 就行了,我现在就是这样做的,顺便去广告
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1155 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 23:04 · PVG 07:04 · LAX 15:04 · JFK 18:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.