先说明一下我的配置 内核:meta:模式:redir-host 模式-TUN 版本是 0.46.003 , 因为很早之前在 fakeip 上吃过亏所以我不喜欢用 fakeip 模式。但 reair-host 存在 dns 泄露,目前没办法解决,希望大佬指点一二,在研究 openclash 的时候发现几个问题 1.clash 是先分发起 dns 在分流,还是先分流在发起 dns 2.redir-host 全局为什么也会 dns 泄露加了 no-resolve ,是因为 redir-host 一定会发起 dns 请求吗?但是在手机和电脑端上的 clashv 规则模式也不会漏,同样的配置丢 openclash 里就会漏 3.怎么才能在 redir-host 模式下不使用其他插件做到无泄漏
1
MeteorVIP 235 天前
fakeip 上吃过什么亏?
|
2
Ealrang 235 天前
油管不良林的视频也许有启发
|
3
MYDB 235 天前 via iPhone
先看不良林,看完以后还是没配置好,那就少看点不良林。另外我不建议 meta 内核,举个典型例子,即使绕过来源的核心端口,也无法用 ddns 访问局域网的 udp 服务,比如主机串流/游戏连接等。
|
4
freechuzhuo 234 天前 via Android
dns:
enable: true ipv6: false use-hosts: true prefer-h3: true listen: 0.0.0.0:7874 enhanced-mode: redir-host nameserver-policy: "geosite:cn, private": - "https://223.6.6.6/dns-query" - "https://223.5.5.5/dns-query#h3=true" nameserver: - "https://1.0.0.1/dns-query" - "https://cloudflare-dns.com/dns-query#h3=true" proxy-server-nameserver: - "https://223.6.6.6/dns-query" default-nameserver: - 119.29.29.29 - 223.5.5.5 sniffer: enable: true sniff: TLS: ports: [443, 8443] HTTP: ports: [80, 8080-8880] override-destination: true |
5
vcn8yjOogEL 234 天前
没记错 Clash 是先全部 DNS 并发查询再按规则选择结果的, 只要给它提供了不安全的 DNS 就无法消除泄露
解决方法只有换和套娃这两种, OP 可以用自带的 DNSmasq 套娃 |
6
Ipsum 234 天前
fakeip 我觉得是最适合家庭无痛上网的方式没有之一,配置静态路由指定 198.18.0.0/16 到扶墙网关,都不需要自己维护 ipset 。也不知道吃了啥亏?但是一定的记得打开 fakeip 的持久 cache 。
|
7
PrinceofInj 234 天前
@Ipsum 你要觉得 fakeip 好的话,想必一定装了 360 安全中心吧?这两个本质上是一类东西。
|
8
ysept666 OP @MYDB 我去看过了,他说 clash 一定会想上游所有 dns 发起请求,但是我在 clashv 上用同样的配置就没问题,安卓端也是
|
9
ysept666 OP 没用的,我和你的配置没什么区别,而且我丢 clashv 里也不会泄露,就 openclash 会泄露
|
10
ysept666 OP @MeteorVIP fakeip 惯病,设备访问,还有以前 fakeip 模式银行 app 不能用 ,现在应该好了,但我尽量避免 fakeip
|
11
Penguium 234 天前
1 clash 是先匹配规则如果是没加 no-resolve 的 ip 规则或者是直连就会发起 dns 解析
2 全局会泄露是因为客户端在发起连接之前先进行了 dns 解析,客户端的 dns 解析泄露了,手机端我不清楚 可能是使用 vpn 劫持流量的时候顺边把 dns 劫持了吧,电脑端不泄露可能是用了系统代理?也可能是 tun 劫持了 dns ,openclash 会漏也许是 dns 没弄好 3 参考 4 楼的 nameserver-policy nameserver 部分配置就可以防止在 clash 泄露 |
12
Ipsum 234 天前
@PrinceofInj 我 dns 直接就按科学分流了,正常网站都是真实 ip 。只有科学网站才是 fakeip 。就算梯子挂了。也不影响我正常网站的访问。不太清楚哪来的 bug 会让你觉得不好用。而且分流后,内网是直连扶墙网关,回流根本不过主路由。而且 360 这东西,我直接 dns 就 ban 掉了,根本不会去装。
|
13
xpn282 234 天前
OpenClash Meta 可以实现楼主的需求啊,完全不需要借助其他工具,只是很多人不知道而已。
1 ,dns 分流,参考 4 楼 2 ,让国外的 dns 进行代理后在解析,把国外的 dns 指向一个策略组即可,具体自己研究。 做好这 2 点,包过所有 dns 泄漏测试 |
14
xpn282 234 天前
接上楼:
以下是我的 dns 配置,其中“tls://8.8.4.4#DNS”的“#DNS”的意思是使用“DNS”这个策略组进行代理解析,这个策略组你好自己配置好。 dns: enable: true ipv6: true enhanced-mode: redir-host listen: 0.0.0.0:7874 proxy-server-nameserver: - 运营商 dns nameserver-policy: geosite:cn,apple,private: - 运营商 dns nameserver: - tls://8.8.4.4#DNS - tls://208.67.222.222#DNS |
15
ysept666 OP @Penguium 不知道 openclash 哪里没设置好,我的配置没问题,照抄别人的配置一样也漏,配置文件我还是能看得懂的,我怀疑是 open clash 的逻辑问题,首先我加了 no-resolve ,同样的配置在电脑端和手机端我也会漏我的电脑端也是 tun 模式,然而在 open clash 还是发起了 dns 请求同样两个设备都是 meta 内核,不知道问题出在哪
|
16
KYM 233 天前 via Android
在这顺便咨询大佬们一个问题,openclash 留学正常,监控正常,国内 app 网页 基本打不开,是哪里的问题,求助大佬。
|
17
lostcanvasdeuter 230 天前 1
clash verge 没问题、openclash 就有问题,这没道理的,它就没有可比性,提供不了任何置信度。
clash verge 只提供 http/socks/tun 入口,但 openclash 还有 redirect/tproxy ,这几种 inbound 下 dns 并不是同一个漏法,要咋比。 想要具体了解,那好歹先把不良林看了,起码不良林这部分还是讲对了的。 更何况 openclash 还有很多自作聪明的配置覆写行为,可能你觉得提交给 openclash 和 verge 是同一个配置文件,事实上远非如此。 |
18
ysept666 OP @lostcanvasdeuter 我是 tun ,clash.meta 给的 dns 解析流程的图是用 dns 分流,但是 openclash 好像会向上游所有 dns 发起请求,我最后用 policy 解决了,有点不完美
|
19
Cunkie 228 天前
可能是智障 windows 的关系,有个功能叫跨网络优化名称解析,默认开启的所以怎么测都漏,注册表开启禁用智能多宿主名称解析
|