这是一个创建于 614 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在是用 opnsense 加了一条规则, 把!china_ip 给转到了 op 里的 ssr
pc -> opnsene if(!china_ip) -> op ssr -> proxy
目前的 dns 用的还是阿里腾讯的。 (不考虑 dns 污染)
想把 ssr 换掉,换成 clash 。 发现一个问题。 不把 dns 切到 clash 的 dns 的话, 就无法访问。 如果把 dns 切到 clash 上就会有问题。 如果要折腾 clash 那个机器的话马上就会导致任何网站都没法解析了。 所以想保留现有结构。
有什么可行方案吗? 或者说如何把部分 dns 也给转发过去,但是异常了马上可以中断的规则
( 有大佬展开讲讲,为什么 clash 必须要设置 dns 过去?
pc -> opnsene if(!china_ip) -> op ssr -> proxy
目前的 dns 用的还是阿里腾讯的。 (不考虑 dns 污染)
想把 ssr 换掉,换成 clash 。 发现一个问题。 不把 dns 切到 clash 的 dns 的话, 就无法访问。 如果把 dns 切到 clash 上就会有问题。 如果要折腾 clash 那个机器的话马上就会导致任何网站都没法解析了。 所以想保留现有结构。
有什么可行方案吗? 或者说如何把部分 dns 也给转发过去,但是异常了马上可以中断的规则
( 有大佬展开讲讲,为什么 clash 必须要设置 dns 过去?
 |
1
starryloki 2023-03-19 14:15:41 +08:00
clash 要获取你的 dns 请求再判断域名是否需要代理,再根据 dns 解析结果重定向这个地址到隧道,你的问题前面用 chinadns-ng 分流 dns 就可以了
|
 |
2
kophuai OP @starryloki 感谢
chinadns-ng 的用处其实和直接用 clash 的 dns 没区别了。要独立机器去跑这玩意。脱离主路由的机器了。难免自己折腾导致 dns 全停一会 clash 这块主要是不理解为什么一定需要他来做解析域名 我如果把 dns 解好了 直接给现成的包让他走隧道转发再还回来不行吗? |
|
3
starryloki 2023-03-19 16:14:24 +08:00 via iPhone
@kophuai clash 的代理是直接在路由表将要代理的地址重定向到隧道,只有把 dns 指向 clash 才能让后者知道这个 IP 的域名是否需要代理(在 gfwlist 或其他规则内),反过来如果直接把现成的包发过去,在防火墙和 clash 的角度来看包里只有目的 IP ,就无法应用域名规则。当然如果规范的协议可以解析 L7 的协议,但是直接从 dns 入手性能一定更好
|
|
4
kophuai OP @starryloki 直接用 ip 规则 (规则全删只留了 match ) 也不顶用。 更迷惑了。
|
 |
5
neroxps 2023-03-19 19:09:33 +08:00 via iPhone
我的做法是在主路由跑脚本,每 15 秒检查一次,如果 dns 解析失败直接切换到运营商的 dns
|
 |
7
anonex 2023-04-03 10:42:36 +08:00 via Android
experimental:
sniff-tls-sni: true |
Select Language