为什么开启 doh 之后，有时候访问 V2EX 证书还是会变成 facebook 或者 steam 的？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 1204 天前的主题，其中的信息可能已经有所发展或是发生改变。

经常有这种情况发生，访问 V2EX 或者 google(目前就这两个网站有这种情况发生过，不知道是否其他站也可能发生)时证书不对，会变成 facebook 或者 steam 的证书，导致访问不了。

有开着 clash 上网，按照网上的教程配置了 doh，还是不管用，不知道是我的配置没对还是没找对原因？

目前使用的配置贴上来请大佬帮忙看看

mixin: # object
  dns:
   enable: true
   #listen: 0.0.0.0:53
   ipv6: false
   enhanced-mode: redir-host
   default-nameserver:
     - 119.29.29.29
     - 223.5.5.5
   nameserver:
     - https://doh.pub/dns-query
     - https://dns.alidns.com/dns-query
   fallback:
     - https://dns.google/dns-query
     - tls://dns.google
     - https://dns.adguard.com/dns-query
     - https://dns.cloudflare.com/dns-query
  tun:
    enable: true
    stack: gvisor
    dns-hijack:
      - 198.18.0.2:53
    macOS-auto-route: true
    macOS-auto-detect-interface: true

第 1 条附言 · 2021-08-04 22:11:49 +08:00

贴下我现在更改后的配置，好像没有问题了

mixin: # object
  dns:
   enable: true
   #listen: 0.0.0.0:53
   ipv6: false
   enhanced-mode: fake-ip
   default-nameserver:
     - 114.114.114.114
     - 8.8.8.8
   nameserver:
     - https://doh.pub/dns-query
     - https://dns.alidns.com/dns-query
   fallback:
     - https://dns.google/dns-query
     - tls://dns.google
     - https://dns.adguard.com/dns-query
     - https://dns.cloudflare.com/dns-query
   fallback-filter:
     geoip: true
     ipcidr:
       - 240.0.0.0/4
       - 0.0.0.0/32
       - 127.0.0.1/32
  tun:
    enable: true
    stack: gvisor
    dns-hijack:
      - 198.18.0.2:53
    macOS-auto-route: true
    macOS-auto-detect-interface: true

还替换了GEOIP-CN

16 条回复 • 2021-08-04 22:00:40 +08:00

v2tudnew

2021-08-04 19:43:07 +08:00

直接把内置 DNS 关了，用 GEOIP-CN，把国外域名都交给远程服务器解析完事，也效果更好。

AoEiuV020

2021-08-04 20:02:30 +08:00 via Android

手机还是电脑？我只知道 cfa 默认是用内置 dns 无视配置的，

Kobayashi

2021-08-04 20:12:31 +08:00 via Android

https://github.com/Dreamacro/clash/wiki/configuration

fallback-filter:
geoip: true

jim9606

2021-08-04 20:14:29 +08:00

DoH 并不能防止国内的 DNS 服务器被污染，DNSSEC 才能做到这点。
何况你全配了国内的服务器。

sky96111

2021-08-04 20:26:52 +08:00 via Android

国内的某些 DoH 自带污染…大概是 policy 要求

learningman

2021-08-04 20:31:13 +08:00 via Android

@v2tudnew geoip 没用的，比较典型的一个例子就是 Github Gist 会被污染到一个保留地址，然后分流就傻眼了。

lcdtyph

2021-08-04 20:34:01 +08:00 via iPhone

clash 现在有 nameserver-policy
直接把被污染的域名指向干净的 dns

v2tudnew

2021-08-04 20:38:13 +08:00

@learningman #6 https://gist.github.com/ 这个吗？能打开。我看了很多被污染的域名，没有发现指向保留地址的，当然 V6 是这情况（ 2001::/32 ），不过这更好解决了，因为默认就不是中国地址走的就是代理。

NeroKamin

2021-08-04 20:45:27 +08:00

@AoEiuV020 不是手机是 cfw

Love4Taylor

2021-08-04 20:46:01 +08:00

```
nameserver:
- https://dns.alidns.com/dns-query
- https://doh.pub/dns-query
fallback:
- https://*.*.workers.dev/dns-query
- https://*.*.*.*:***/dns-query
- https://*.*.*.*:***/dns-query
- https://*.*.*.*:***/dns-query
fallback-filter:
geoip: false
ipcidr:
- 240.0.0.0/4
- 0.0.0.0/32
- 127.0.0.1/32
```
无问题

learningman

2021-08-04 20:47:18 +08:00 via Android

@v2tudnew 这个污染各个地方都不一样，我只是说我这个地方经常碰到这个情况。

NeroKamin

2021-08-04 20:54:18 +08:00

@jim9606 fallback 中的是国外的服务器吧

NeroKamin

2021-08-04 20:57:01 +08:00

@Kobayashi 试一下，目前没问题了，不知道后面会不会再现

v2tudnew

2021-08-04 21:01:44 +08:00

@learningman #11 问题是 clash 它好像不是识别污染地址，仅仅是把不属于中国的地址用其他 DNS 解析，也就是说，它还是在用 GEOIP 干活。https://lancellc.gitbook.io/clash/clash-config-file/dns#fallback

>ipcidr
IPs in these subnets will be considered polluted, when nameserver results matche these ip, clash will use fallback results.

fallback-filter:
geoip: true
ipcidr:
- 240.0.0.0/4

v2tudnew

2021-08-04 21:03:33 +08:00

@learningman #11 这是重点
geoip(Default: true)
If geoip is true, when geoip is CN, clash will use nameserver results. Otherwise, Clash will only use fallback results.

learningman

2021-08-04 22:00:40 +08:00

@v2tudnew #15 对，但是被污染到保留地址直接就走 ip cidr 的保留地址规则了，我也很烦这个