V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
NeroKamin
V2EX  ›  问与答

为什么开启 doh 之后,有时候访问 V2EX 证书还是会变成 facebook 或者 steam 的?

  •  
  •   NeroKamin · 2021-08-04 19:01:23 +08:00 · 4636 次点击
    这是一个创建于 1235 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常有这种情况发生,访问 V2EX 或者 google(目前就这两个网站有这种情况发生过,不知道是否其他站也可能发生)时证书不对,会变成 facebook 或者 steam 的证书,导致访问不了。

    有开着 clash 上网,按照网上的教程配置了 doh,还是不管用,不知道是我的配置没对还是没找对原因?

    目前使用的配置贴上来请大佬帮忙看看

    mixin: # object
      dns:
       enable: true
       #listen: 0.0.0.0:53
       ipv6: false
       enhanced-mode: redir-host
       default-nameserver:
         - 119.29.29.29
         - 223.5.5.5
       nameserver:
         - https://doh.pub/dns-query
         - https://dns.alidns.com/dns-query
       fallback:
         - https://dns.google/dns-query
         - tls://dns.google
         - https://dns.adguard.com/dns-query
         - https://dns.cloudflare.com/dns-query
      tun:
        enable: true
        stack: gvisor
        dns-hijack:
          - 198.18.0.2:53
        macOS-auto-route: true
        macOS-auto-detect-interface: true
    
    
    第 1 条附言  ·  2021-08-04 22:11:49 +08:00

    贴下我现在更改后的配置,好像没有问题了

    mixin: # object
      dns:
       enable: true
       #listen: 0.0.0.0:53
       ipv6: false
       enhanced-mode: fake-ip
       default-nameserver:
         - 114.114.114.114
         - 8.8.8.8
       nameserver:
         - https://doh.pub/dns-query
         - https://dns.alidns.com/dns-query
       fallback:
         - https://dns.google/dns-query
         - tls://dns.google
         - https://dns.adguard.com/dns-query
         - https://dns.cloudflare.com/dns-query
       fallback-filter:
         geoip: true
         ipcidr:
           - 240.0.0.0/4
           - 0.0.0.0/32
           - 127.0.0.1/32
      tun:
        enable: true
        stack: gvisor
        dns-hijack:
          - 198.18.0.2:53
        macOS-auto-route: true
        macOS-auto-detect-interface: true
    

    还替换了GEOIP-CN

    16 条回复    2021-08-04 22:00:40 +08:00
    v2tudnew
        1
    v2tudnew  
       2021-08-04 19:43:07 +08:00
    直接把内置 DNS 关了,用 GEOIP-CN,把国外域名都交给远程服务器解析完事,也效果更好。
    AoEiuV020
        2
    AoEiuV020  
       2021-08-04 20:02:30 +08:00 via Android
    手机还是电脑?我只知道 cfa 默认是用内置 dns 无视配置的,
    Kobayashi
        3
    Kobayashi  
       2021-08-04 20:12:31 +08:00 via Android
    jim9606
        4
    jim9606  
       2021-08-04 20:14:29 +08:00
    DoH 并不能防止国内的 DNS 服务器被污染,DNSSEC 才能做到这点。
    何况你全配了国内的服务器。
    sky96111
        5
    sky96111  
       2021-08-04 20:26:52 +08:00 via Android
    国内的某些 DoH 自带污染…大概是 policy 要求
    learningman
        6
    learningman  
       2021-08-04 20:31:13 +08:00 via Android
    @v2tudnew geoip 没用的,比较典型的一个例子就是 Github Gist 会被污染到一个保留地址,然后分流就傻眼了。
    lcdtyph
        7
    lcdtyph  
       2021-08-04 20:34:01 +08:00 via iPhone
    clash 现在有 nameserver-policy
    直接把被污染的域名指向干净的 dns
    v2tudnew
        8
    v2tudnew  
       2021-08-04 20:38:13 +08:00
    @learningman #6 https://gist.github.com/ 这个吗?能打开。我看了很多被污染的域名,没有发现指向保留地址的,当然 V6 是这情况( 2001::/32 ),不过这更好解决了,因为默认就不是中国地址走的就是代理。
    NeroKamin
        9
    NeroKamin  
    OP
       2021-08-04 20:45:27 +08:00
    @AoEiuV020 不是手机 是 cfw
    Love4Taylor
        10
    Love4Taylor  
       2021-08-04 20:46:01 +08:00
    ```
    nameserver:
    - https://dns.alidns.com/dns-query
    - https://doh.pub/dns-query
    fallback:
    - https://*.*.workers.dev/dns-query
    - https://*.*.*.*:***/dns-query
    - https://*.*.*.*:***/dns-query
    - https://*.*.*.*:***/dns-query
    fallback-filter:
    geoip: false
    ipcidr:
    - 240.0.0.0/4
    - 0.0.0.0/32
    - 127.0.0.1/32
    ```
    无问题
    learningman
        11
    learningman  
       2021-08-04 20:47:18 +08:00 via Android
    @v2tudnew 这个污染各个地方都不一样,我只是说我这个地方经常碰到这个情况。
    NeroKamin
        12
    NeroKamin  
    OP
       2021-08-04 20:54:18 +08:00
    @jim9606 fallback 中的是国外的服务器吧
    NeroKamin
        13
    NeroKamin  
    OP
       2021-08-04 20:57:01 +08:00
    @Kobayashi 试一下,目前没问题了,不知道后面会不会再现
    v2tudnew
        14
    v2tudnew  
       2021-08-04 21:01:44 +08:00
    @learningman #11 问题是 clash 它好像不是识别污染地址,仅仅是把不属于中国的地址用其他 DNS 解析,也就是说,它还是在用 GEOIP 干活。https://lancellc.gitbook.io/clash/clash-config-file/dns#fallback

    >ipcidr
    IPs in these subnets will be considered polluted, when nameserver results matche these ip, clash will use fallback results.

    fallback-filter:
    geoip: true
    ipcidr:
    - 240.0.0.0/4
    v2tudnew
        15
    v2tudnew  
       2021-08-04 21:03:33 +08:00
    @learningman #11 这是重点
    geoip(Default: true)
    If geoip is true, when geoip is CN, clash will use nameserver results. Otherwise, Clash will only use fallback results.
    learningman
        16
    learningman  
       2021-08-04 22:00:40 +08:00
    @v2tudnew #15 对,但是被污染到保留地址直接就走 ip cidr 的保留地址规则了,我也很烦这个
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2762 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:11 · PVG 22:11 · LAX 06:11 · JFK 09:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.