这是一个创建于 1352 天前的主题,其中的信息可能已经有所发展或是发生改变。
坐标北京移动,发现报警 dns 解析异常,排查
- 常用的 8.8.4.4 dot 无法直连了,挂上梯正常.
- 又尝试了几个 dot 和 doh 都没法直连了.
- 只剩下 Cloudflare 勉强能连上,也是几乎不可用.
有几个配置已经使用非常久的时间,这次有些突然. 各位那里的 dot doh 直连还正常吗?
搜索咨询发现这个
 |
1
katana97 2021-03-08 09:24:54 +08:00
云南电信 tls://dns.google 和 https://1.1.1.1 都还可以用
|
 |
2
Love4Taylor 2021-03-08 09:33:16 +08:00
|
|
3
Love4Taylor 2021-03-08 09:35:31 +08:00
@Love4Taylor dns.sb:853 也挂,openssl 拿不到证书
|
 |
4
linshiyouxiang OP @Love4Taylor 之前各个 dot doh 屏蔽 地方差异很大,这次感觉像是很多地方都补上了.但是还是不统一.
|
 |
5
Tarkky 2021-03-08 09:56:41 +08:00
特殊时期,力度很大
|
 |
6
tankren 2021-03-08 10:08:32 +08:00
境外的 DOT DOH 不都配合代理用的嘛
|
|
7
linshiyouxiang OP @tankren 其实很长时间以来都是能直连的,避免代理挂了,dns 也挂.
|
 |
8
hs0000t 2021-03-08 10:10:36 +08:00 via Android
simple-dnscrypt,开自动模式,能用,但是巨卡
|
|
9
tankren 2021-03-08 10:18:34 +08:00
@linshiyouxiang 我知道可以直连 但是直连境外 DoH 并不好啊 CDN 解析就有问题
|
 |
10
Kobayashi 2021-03-08 10:24:21 +08:00 via Android
不能了。Google DoH 原来 443 端口阻断。昨天发现 Google DoT 也不行了。拿 Quad9 测了一把:非标端口 9953 UDP 还活着,DoT 、DoH 无法建立连接,dnscrypt 可用。其他几个外网公共 DNS 情况类似。
结论:墙升级了,开始搞 DoT 和 DoH 了。暂时 dnscrypt 和非标 UDP 顶着。 |
 |
12
czfy 2021-03-08 10:43:59 +08:00
前几天有看到新闻,主流的 DoH 剩下 Cloudflare 还活着
|
 |
13
wsseo 2021-03-08 10:56:28 +08:00
问下,这种通过域名建立连接的 doh.dns.sb
这个域名本身是谁解析的?还是以前的 UDP ? |
 |
14
lsylsy2 2021-03-08 11:02:11 +08:00
我用黑名单模式,dnsmasq 做主 dns 走普通国内 dns 解析,黑名单再转发到 dnscrypt-proxy 。
黑名单反正本来没梯子也连不上,解析就放心大胆的放弃直连了。 |
 |
15
HalloCQ 2021-03-08 11:42:40 +08:00
Cloudflare 的 1.0.0.1 的 doh 还活着,1.1.1.1 已死
|
 |
17
arrow629 2021-03-08 12:44:06 +08:00 via Android
@wsseo 如果 DoH 服务器地址是域名的话,确实要先用基于 UDP 的 DNS 服务器解析,像 Adguard Home 里的 Bootstrap DNS 就是用来设置解析 DoH 服务器的 UDP DNS
|
 |
18
fetich 2021-03-08 12:56:50 +08:00
最近的解析状况的确不行……
|
 |
19
ZhiyuanLin 2021-03-08 13:27:47 +08:00
建议用 Unbound 搞个 Forward Resolver,自己开放 DoH 和 DoT 出来,有 Let's Encrypt 没那么难设定。
|
 |
20
stephenxiaxy 2021-03-08 14:53:08 +08:00
南京移动 tls://1.1.1.1 和 tls://1.0.0.1 不行
|
 |
21
v2tudnew 2021-03-08 20:48:30 +08:00
shawn1m/overture 值得一试,AdGuard 如果能整合这些功能就好了。
|
|
22
linshiyouxiang OP @stephenxiaxy 重新测试了一下,除了 Cloudflare 其他 dot doh 全灭.又得重新部署 dns 方案了
@v2tudnew 看了下 overture 各种分流确实不错,只是上游肯定依赖外网 dot/doh,现在这种情况都必须走代理,索性还是 dns 全局转发吧,平时就是用用 google / GitHub 全局影响不大. @ZhiyuanLin 自己搭建 可行,有些疑惑怎么防止扫描只自用,除了非标准端口等手段. |
 |
23
Rilimu 2021-03-08 22:08:51 +08:00
用这个 IrineSistiana/mosdns,比 overture 功能多,效率也高。
还可以自定义服务器的 IP 地址。用脚本扫描最快 Cloudflare IP (脚本名字忘记了),填进去,比连 1.1.1.1 块多了。因为 Cloudflare 的 IP 之间没区别。 |
|
24
Rilimu 2021-03-08 22:17:35 +08:00
@linshiyouxiang 自建 DoH 的话,把默认的 url /dns-query 换掉,越长越好。url 不对服务器就会返回 404 。因为 url 就你一个人知道,也就你一个人能用,就像密码一样,能防扫描。
|
 |
25
ugvfpdcuwfnh 2021-03-08 23:30:41 +08:00
楼主不说我都不知道,国外的 DNS 解析肯定要挂代理啊,管它是不是 DOH,难道中国 zf 不知道那是 DOH 的 ip 吗?
论好习惯的重要性! |
 |
26
bclerdx 2021-03-09 13:20:25 +08:00 via Android
@Love4Taylor 怎么测试挂没挂?
|
 |
27
gkl1368 2021-03-11 17:34:47 +08:00
自建的 doh 已经挂了, 只能换 quic 了,可能是我用的 dns-query 后缀
|
 |
28
xarthur 2021-03-14 09:09:52 +08:00
CF 的 DoH 现在也被屏蔽了
|
 |
29
leiakun 2021-03-17 03:55:44 +08:00
我用 YogaDNS 的客户端测试已知的 DOH 、DOT,境外的都挂了,国内阿里的 DOH 还能用(我肯定不会用),我自己用的 nextdns 也挂了。
然后我在香港搭建了一个 adguard home,上级 DNS 指向 nextdns,只给自己提供 DOH 、DOT 、DOQ 。 除了刚建好时三级域名内有个 dns,第二天就被封了,猜测防火墙通过 sni 检测三级域名内有 dns 或者 doh 的都被封了。然后换了一个 IP,索性不用三级域名直接用二级域名,目前运行稳定,没有被封。 |
|
30
HalloCQ 2021-03-17 08:48:15 +08:00
这帖子刚发出来的时候,我机智的把 dns.xx.com 换成了 d.xx.com
|
|
32
leiakun 2021-03-17 14:54:24 +08:00
@gkl1368 adguardhome 支持 quic,我家网的局域网 DNS 连接的上级 adguardhome 用的就是 quic,延时还能接受。
|
|
34
linshiyouxiang OP 再次更新一下近况:
google 的 dot doh 还是全断. cloudflare 勉强恢复到可用状态 其他几个 dot doh 偶尔可用 因此结论是有需求尽可能自建 doh 吧. 网址务必不要带 dns, doh 的 /dns-query 务必要换掉. dot 标准端口是 853 识别更加容易,建议非标准端口搭建. |
 |
35
Maskeney 2021-03-22 20:53:27 +08:00
3 月 4 号开始的,阻断所有国际 853 端口
|
 |
37
wlh 2021-04-15 15:40:24 +08:00
我这电信连 8.8.8.8 dot 还活的
|
 |
38
hekaihao2015 2021-05-20 18:23:23 +08:00
建议自建 adguard home,桥接 udp dns 就行了,我现在就是这样做的,顺便去广告
|
Select Language