V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ysept666
V2EX  ›  宽带症候群

关于 openclash,探讨几个问题

  •  
  •   ysept666 · 220 天前 · 2688 次点击
    这是一个创建于 220 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先说明一下我的配置 内核:meta:模式:redir-host 模式-TUN 版本是 0.46.003 , 因为很早之前在 fakeip 上吃过亏所以我不喜欢用 fakeip 模式。但 reair-host 存在 dns 泄露,目前没办法解决,希望大佬指点一二,在研究 openclash 的时候发现几个问题 1.clash 是先分发起 dns 在分流,还是先分流在发起 dns 2.redir-host 全局为什么也会 dns 泄露加了 no-resolve ,是因为 redir-host 一定会发起 dns 请求吗?但是在手机和电脑端上的 clashv 规则模式也不会漏,同样的配置丢 openclash 里就会漏 3.怎么才能在 redir-host 模式下不使用其他插件做到无泄漏

    19 条回复    2024-04-17 10:36:21 +08:00
    MeteorVIP
        1
    MeteorVIP  
       219 天前
    fakeip 上吃过什么亏?
    Ealrang
        2
    Ealrang  
       219 天前
    油管不良林的视频也许有启发
    MYDB
        3
    MYDB  
       219 天前 via iPhone
    先看不良林,看完以后还是没配置好,那就少看点不良林。另外我不建议 meta 内核,举个典型例子,即使绕过来源的核心端口,也无法用 ddns 访问局域网的 udp 服务,比如主机串流/游戏连接等。
    freechuzhuo
        4
    freechuzhuo  
       219 天前 via Android
    dns:
    enable: true
    ipv6: false
    use-hosts: true
    prefer-h3: true
    listen: 0.0.0.0:7874
    enhanced-mode: redir-host
    nameserver-policy:
    "geosite:cn, private":
    - "https://223.6.6.6/dns-query"
    - "https://223.5.5.5/dns-query#h3=true"
    nameserver:
    - "https://1.0.0.1/dns-query"
    - "https://cloudflare-dns.com/dns-query#h3=true"
    proxy-server-nameserver:
    - "https://223.6.6.6/dns-query"
    default-nameserver:
    - 119.29.29.29
    - 223.5.5.5

    sniffer:
    enable: true
    sniff:
    TLS:
    ports: [443, 8443]
    HTTP:
    ports: [80, 8080-8880]
    override-destination: true
    vcn8yjOogEL
        5
    vcn8yjOogEL  
       219 天前
    没记错 Clash 是先全部 DNS 并发查询再按规则选择结果的, 只要给它提供了不安全的 DNS 就无法消除泄露
    解决方法只有换和套娃这两种, OP 可以用自带的 DNSmasq 套娃
    Ipsum
        6
    Ipsum  
       219 天前
    fakeip 我觉得是最适合家庭无痛上网的方式没有之一,配置静态路由指定 198.18.0.0/16 到扶墙网关,都不需要自己维护 ipset 。也不知道吃了啥亏?但是一定的记得打开 fakeip 的持久 cache 。
    PrinceofInj
        7
    PrinceofInj  
       219 天前
    @Ipsum 你要觉得 fakeip 好的话,想必一定装了 360 安全中心吧?这两个本质上是一类东西。
    ysept666
        8
    ysept666  
    OP
       219 天前 via Android
    @MYDB 我去看过了,他说 clash 一定会想上游所有 dns 发起请求,但是我在 clashv 上用同样的配置就没问题,安卓端也是
    ysept666
        9
    ysept666  
    OP
       219 天前 via Android
    没用的,我和你的配置没什么区别,而且我丢 clashv 里也不会泄露,就 openclash 会泄露
    ysept666
        10
    ysept666  
    OP
       219 天前 via Android
    @MeteorVIP fakeip 惯病,设备访问,还有以前 fakeip 模式银行 app 不能用 ,现在应该好了,但我尽量避免 fakeip
    Penguium
        11
    Penguium  
       219 天前
    1 clash 是先匹配规则如果是没加 no-resolve 的 ip 规则或者是直连就会发起 dns 解析
    2 全局会泄露是因为客户端在发起连接之前先进行了 dns 解析,客户端的 dns 解析泄露了,手机端我不清楚 可能是使用 vpn 劫持流量的时候顺边把 dns 劫持了吧,电脑端不泄露可能是用了系统代理?也可能是 tun 劫持了 dns ,openclash 会漏也许是 dns 没弄好
    3 参考 4 楼的 nameserver-policy nameserver 部分配置就可以防止在 clash 泄露
    Ipsum
        12
    Ipsum  
       219 天前
    @PrinceofInj 我 dns 直接就按科学分流了,正常网站都是真实 ip 。只有科学网站才是 fakeip 。就算梯子挂了。也不影响我正常网站的访问。不太清楚哪来的 bug 会让你觉得不好用。而且分流后,内网是直连扶墙网关,回流根本不过主路由。而且 360 这东西,我直接 dns 就 ban 掉了,根本不会去装。
    xpn282
        13
    xpn282  
       219 天前
    OpenClash Meta 可以实现楼主的需求啊,完全不需要借助其他工具,只是很多人不知道而已。
    1 ,dns 分流,参考 4 楼
    2 ,让国外的 dns 进行代理后在解析,把国外的 dns 指向一个策略组即可,具体自己研究。

    做好这 2 点,包过所有 dns 泄漏测试
    xpn282
        14
    xpn282  
       219 天前
    接上楼:
    以下是我的 dns 配置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组你好自己配置好。


    dns:
    enable: true
    ipv6: true
    enhanced-mode: redir-host
    listen: 0.0.0.0:7874
    proxy-server-nameserver:
    - 运营商 dns
    nameserver-policy:
    geosite:cn,apple,private:
    - 运营商 dns
    nameserver:
    - tls://8.8.4.4#DNS
    - tls://208.67.222.222#DNS
    ysept666
        15
    ysept666  
    OP
       219 天前
    @Penguium 不知道 openclash 哪里没设置好,我的配置没问题,照抄别人的配置一样也漏,配置文件我还是能看得懂的,我怀疑是 open clash 的逻辑问题,首先我加了 no-resolve ,同样的配置在电脑端和手机端我也会漏我的电脑端也是 tun 模式,然而在 open clash 还是发起了 dns 请求同样两个设备都是 meta 内核,不知道问题出在哪
    KYM
        16
    KYM  
       218 天前 via Android
    在这顺便咨询大佬们一个问题,openclash 留学正常,监控正常,国内 app 网页 基本打不开,是哪里的问题,求助大佬。
    lostcanvasdeuter
        17
    lostcanvasdeuter  
       215 天前   ❤️ 1
    clash verge 没问题、openclash 就有问题,这没道理的,它就没有可比性,提供不了任何置信度。
    clash verge 只提供 http/socks/tun 入口,但 openclash 还有 redirect/tproxy ,这几种 inbound 下 dns 并不是同一个漏法,要咋比。
    想要具体了解,那好歹先把不良林看了,起码不良林这部分还是讲对了的。
    更何况 openclash 还有很多自作聪明的配置覆写行为,可能你觉得提交给 openclash 和 verge 是同一个配置文件,事实上远非如此。
    ysept666
        18
    ysept666  
    OP
       214 天前 via Android
    @lostcanvasdeuter 我是 tun ,clash.meta 给的 dns 解析流程的图是用 dns 分流,但是 openclash 好像会向上游所有 dns 发起请求,我最后用 policy 解决了,有点不完美
    Cunkie
        19
    Cunkie  
       212 天前
    可能是智障 windows 的关系,有个功能叫跨网络优化名称解析,默认开启的所以怎么测都漏,注册表开启禁用智能多宿主名称解析
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1136 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:34 · PVG 07:34 · LAX 15:34 · JFK 18:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.