第三方代理DNS存在问题

linnan2004

纳兰翔鹭 发表于 2023-9-19 19:55运营商确实劫持啊，我这河北联通很长一段时间劫持蓝奏云的域名，阿里和百度的公共DNS就没问题 ...

那个叫DNS污染，在递归查询的时候被污染了

weiecn

爱快技术支持01 发表于 2023-9-19 09:08楼主您好，除去开启了爱快的DNS代理模式之外不建议将DHCP中DNS填写网关地址，您描述的问题是否让DHCP分配正 ...

爱快这边不愿意处理这个问题吗？有些项目就没办法用爱快的设备了。

最东风

功能机制：强制内网客户端使用此处填写“第三方DNS服务器”（一般为内网自搭建DNS服务器）的DNS值进行解析，并防止第三方DNS服务器本身进行解析动作时，被跳转回自身进行解析逻辑（排除此处填写的DNS服务器解析时不被强制代理，实现此DNS服务器自身递归查询获取新的DNS结果）
本身开这个功能就是强制代理了，也就是这个页面所有设置的dns只有这个第三方代理dns服务器地址有效，其他主选次选都无效，强制局域网内(排除了设置的第三方代理服务器地址10.0.18.200端发出的递归查询)所有客户端的dns53查询都被拦截，这不就是功能说明么，114不可能回复的，因为都没请求到114，访问114:53到达路由器lan口的时候已经被拦截到设置的第三方代理dns服务器(即10.0.18.200)查询了

消息来自爱快e云

最东风

如果你的10.0.0.100dns设置的是114的话，你的第一个请求是向10.0.18.200发出请求并得到回复的，第2个是还是这个10.0.18.200发出请求并得到回复的，第3个是客户端先请求到10.0.0.1:53，这个不会被设置的第三方代理DNS服务器拦截，因为是本地DNS服务器，lan内网关，不受这里设置的dns服务器限制，然后10.0.0.1去请求首选次选223.5.5.5获取答案再回复的，第4个是通过114去请求百度的地址，但是到路由器的lan口收到访问114:53的请求时，这个请求是要从lan口发到wan口的,因为他知道是局域网内客户端10.0.0.100请求到114:53，就会被设置的第三方DNS服务器代理给拦截，转换成请求10.0.18.200:53通过wan口获取答案，因为都没有访问114，所以不可能从114获取地址，自然114dns查询失败同理223也是

消息来自爱快e云

最东风

你想通过公有DNS服务器去解析，就不能在路由器里设置这种带有拦截属性强制代理的DNS服务器代理，第三方DNS服务器就带有拦截属性强制代理。

消息来自爱快e云

最东风

还有就是如果你想把所有DNS解析设置为自己的自建DNS服务器，以达到你所谓的防劫持之类的功能，你可以把dhcp里面设置DNS服务器地址全部更换为你的自建DNS地址，这样局域网内dhcp客户端就会自动获取这个自建DNS服务器去解析IP，可以手动设置DNS服务器的直接手动设置DNS服务器，为你的自建DNS服务器不就行了，何必把自建DNS服务器设置为第三方代理DNS服务器，然后再把客户端的DNS服务器设置为网关的IP呢。。。多此一举

消息来自爱快e云

weiecn

最东风 发表于 2023-9-21 03:35你想通过公有DNS服务器去解析，就不能在路由器里设置这种带有拦截属性强制代理的DNS服务器代理，第三方DNS ...

你没看明白，我的意思是如果开启第三方代理，爱快不会强制代理，而是会拦截除了设置的第三方代理DNS以及网关的地址。

如果我需要保证内网的dns不被挟持，我必然要开启强制代理，但是目前爱快强制代理的情况下只可以开启代理外网的dns。

现在爱快有了第三方代理，如果我开启这个功能，将dhcp中下发也设置成这个第三方代理，自然是可以用的，但是，如果客户端不按dhcp下发的dns来解析域名就会出问题，因为爱快在开启这个功能下，只可以用这个本地的dns。其他第三方的dns全都是超时的。

weiecn

最东风 发表于 2023-9-21 03:43还有就是如果你想把所有DNS解析设置为自己的自建DNS服务器，以达到你所谓的防劫持之类的功能，你可以把dhc ...

然后再把客户端的DNS服务器设置为网关的IP呢

客户端千奇百怪，程序员有时候不会按套路出牌，不会用dhcp下发的dns，而是喜欢自己用一个固定的时候就会出问题。
目前已知出问题的有：小米物联网产品，根据我的抓包，他们喜欢先请求114.114.114.114来获取小米自己的doh，然后用doh来解析自己的mqtt的域名。

如果开启第三方代理，由于这个功能并没有强制用户使用代理dns（也就是没有挟持dns），客户端设备在使用114.114.114.114去解析时，就是超时，导致设备出现奇怪问题。


我认为爱快要在这里仍然要设置一个强制客户端DNS代理的选项功能，开启了，就转发请求的任意dns数据，没有开启就不要去拦截任意dns请求，以免设备出现dns无法解析的问题。

最东风

weiecn 发表于2023-09-23 21:58:52

客户端千奇百怪，程序员有时候不会按套路出牌，不会用dhcp下发的dns，而是喜欢自己用一个固定的时候就会出问题。
目前已知出问题的有：小米物联网产品，根据我的抓包，他们喜欢先请求114.114.114.114来获取小米自己的doh，然后用doh来解析自己的mqtt的域名。

如果开启第三方代理，由于这个功能并没有强制用户使用代理dns（也就是没有挟持dns），客户端设备在使用114.114.114.114去解析时，就是超时，导致设备出现奇怪问题。


我认为爱快要在这里仍然要设置一个强制客户端DNS代理的选项功能，开启了，就转发请求的任意dns数据，没有开启就不要去拦截任意dns请求，以免设备出现dns无法解析的问题。

可以开启代理模式UDP  开强制代理，然后把DNS设置的首选备选设置为内网自建DNS  然后内网自建的DNS服务器使用DOH的DNS服务器(如阿里云的)作为自建DNS服务器上游DNS，样内网设备发起查询会先拦截到爱快网关，然后爱快向内网自建DNS服务器查询，内网的自建DNS服务器通过DOH对公共DNS服务器查询就可以了，这样回环查询时就不会再次被爱快的代理模式(UDP拦截)，会直接到wan口向公网查询了

消息来自爱快e云

最东风

这个强制代理也只是针对UDP查询的，DOH就拦截不到，所以这个强制并没有想象中那么大的作用。有点我没搞懂的是，你说的这种在DHCP的情况下是没问题的，那你为什么会让内网的设备在你开启了第三方代理DNS服务器的情况下，都能手动设置DNS了，还要设置114为DNS服务器呢？或者说哪种网络设备这么沙雕，就只把DNS服务器设置为114了，写死了？即便不能更改，他也会通过dhcp去获取DNS吧。

消息来自爱快e云