你们都自建 DoH 吗？

请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created n 171 days ago, the information mentioned may be changed or developed.

下面是我的 dns 配置:

dns: enable: true ipv6: false enhanced-mode: fake-ip fake-ip-range: 198.18.0.1/16 fake-ip-filter: - 'geosite:connectivity-check' - 'geosite:private' default-nameserver: - 223.5.5.5 proxy-server-nameserver: - 223.5.5.5 direct-nameserver: - https://doh.pub/dns-query - https://223.5.5.5/dns-query - https://doh.360.cn/dns-query nameserver: - 'https://8.8.8.8/dns-query#PROXY&ecs=REPLACEME/22&ecs-override=true'

但是再国内用 https://8.8.8.8 根本不通，所以当一个域名需要进行 dns 解析时候会超时，如果换成一个国内的 DoH ，也会限速（阿里腾讯等）。

所以自建 DoH 是一个出路？但是想了一下，根据自己的规则，不管是自建获取一个正确的 dns 还是用阿里腾讯 DNS 获取一个被污染的 ip （大概率是国外 ip ），最后经过 GEOIP,cn,DIRECT 规则判断它不在内，所以会走兜底，我的兜底是 PROXY 。所以这个 nameserver 只要它能快速返回一个境外 ip 即可，无所谓它是否被污染。

当然大部分的域名规则都在上面的 geosite/ruleset 命中并走相应的规则，只有少数漏网之鱼才会去走 dns 解析。

doh

DNS

proxy

48 replies 2025-12-02 13:11:37 +08:00

busier

Nov 27, 2025 via iPhone

没建，自建很容易被封

双持专机专用

大陆内网用不上 DoH

外网挂梯子的话避开大陆的污染攻击依旧用不上 DoH

sanxue

Nov 27, 2025

你如果是李彦宏说的那种人，对隐私毫不关心，那你就直接内网纯递归解析到根，而不是用所谓国内外公告 DNS ，反正用他们的 DNS 你也一样被人收集隐私形同裸奔。那还不如纯递归，把隐私送给营运商。
但隐私有那么一丁点要求的，那就是另一套玩法了。

dn1095239

Nov 27, 2025

自建，用活菩萨 Cloudflare Workers 转发 Google 的 DoH ，不怕被封，优选下 IP 还能提速，不过前提是要域名

billytom

Nov 27, 2025

@dn1095239 你确定这种大陆电信能练？本来 dns 就是要最快的响应的

dn1095239

Nov 27, 2025

@billytom 这相当于用 Cloudflare 的 CDN ，只要它不挂就能连啊

catazshadow

Nov 27, 2025 via Android

海外的 VPS 搭 Nginx 直接转发到 Google 的 doh 上，本地的 doh 指向这个 Nginx

artiga033

Nov 27, 2025 via Android

还以为你是有自定义记录之类的需求，8.8.8.8 不通你用 1.1.1.1 不就好了

docx

Nov 27, 2025 via iPhone

用运营商的就行了，解析个节点 ip 而已，别顾虑太多隐私

jqknono

Nov 27, 2025

自建的免费方案:
1. cloudflare 转发:
https://github.com/jqknono/cloudflare-doh
依赖 cloudflare, 需自备域名, 每天 10w 次免费请求.

2. 阿里巴巴(阿里云国际版)ESA 转发 one.one.one.one, 每月 100GB 免费流量
需自备域名, 转发到国内需域名备案, 否则不能用全球版, 不包含大陆的话, 速度会很慢.

3. 自建镜像可以用 https://github.com/NullPrivate/NullPrivate
需自备云主机,自备域名, 灵活. 用 DoH 或 DoT 的话只要不分享就不会被封, 没有明显特征.

自建只要不分享就没问题, 分享就会被关注.

付费方案:
1. 阿里云 ESA 转发 one.one.one.one, 需自备域名和备案
2. 宁屏 https://nullprivate.com, 不需要自备域名, 自带广告拦截,DDNS,分流和上游跨境能力.

neroxps

Nov 27, 2025

@sanxue 是的，如果运营商要窥探隐私，也是将 dns 的解析给大数据公司，让他们分析区域的访问量仅此而已，难道还针对个人专项抓么？

Akasoent

Nov 27, 2025

看吧，这帖子炸出了几个李彦宏说的那种人。

needhourger

Nov 27, 2025

没有自建 doh,倒是自建了本地 dns,因为反正只是给本地的服务使用,所以没有开启 DOH.对于境外域名的 dns 解析走隧道出去上游走真正的 8.8.8.8 DOH

lightionight

Nov 27, 2025

可以试试 Nova DNS, 我现在用的, 带去污染和广告屏蔽, 自定义域名规则路由, 域名重解析, https://dash.xns.one/invite/996e4f40-08cc-4c3b-a464-c2c44bdfb45d

y1y1

Nov 27, 2025

不通就 ECS 走代理呗

since2021

Nov 27, 2025

vps 上搭的 adguardhome 用了很久了，dot 安卓上也能用

bjzhou1990

Nov 27, 2025

mosdns 自建的，自定义端口+自定义路径，只开 DoH, 其他一律不开，不会封，缺点是没有 H3

lynn1su

Nov 27, 2025

腾讯云上搭的 adguardhome 用了很久了，可惜不能 https3

Aaron325

Nov 27, 2025

https://8.8.8.8/dns-query# 自动选择
就行

scegg

Nov 27, 2025

方案 1：不用 fake-ip ，直接用 mihomo 的 dns （设置为默认 dns ），让 dns 走默认或者指定的出口。
方案 2：再配置个其他 dns （比如 mosdns ），并设置为默认 dns ，有需要解析的时候自然会找到他。

badgv

Nov 27, 2025 via Android

上网是基于科学软件的 dns 分流策略，分流国内的，走运营商 dns 都行，分流国外的，那是走隧道直接走 1111 8888 的 udp53 就行，所以我这里无论如何都用不上 doh

zhcode

Nov 27, 2025

VPS 上一个 mosdns 用 DOH ，家庭内网一个 mosdns 用普通 UDP ，内网的 mosdns 做分流，外面域名都分到 VPS 上解析，国内域名走国内的公共 DNS

rev1si0n

Nov 27, 2025

为啥需要建，dnscryptx2+chinadns+clash premium 根据 ipset 代理，完美解决一切问题包括 ipv6 ，dnscrypt 随机选国内的 doh 或者国外的 doh 反正哪家都拿不全我的解析记录，在路由器抓包压根抓不到 53 的任何通信除了路由器自个更新的解析。

yulgang

Nov 27, 2025

我本地用了 coredns ，默认使用国内 dns ，特定域名使用 DoT ，然后本机 DNS 就配 127.0.0.1 。

coredns 配置起来挺简单的。

SenLief

Nov 27, 2025

阿里云 hk 部署 adg 即可。

lnbiuc

Nov 27, 2025

用 fakeip 就没必要配置任何国外 DNS 了

```
dns:
enable: true
cache-algorithm: arc
respect-rules: true
prefer-h3: false
use-system-hosts: true
ipv6: false
listen: "[::]:1053"
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter:
- geosite:connectivity-check
- geosite:private
- geosite:cn
use-hosts: true
rebind: false
default-nameserver:
- system
proxy-server-nameserver:
- system
nameserver:
- system

sniffer:
enable: false
force-dns-mapping: false
parse-pure-ip: false
override-destination: false
```

yyysuo

Nov 27, 2025

没有必要。

strobber16

Nov 27, 2025

不仅自建，而且自研

MacsedProtoss

Nov 27, 2025 via iPhone

完全没有必要，fakeip+分流就够了
你国内部分的访问还在乎 dns 泄漏？国外部分也不需要 doh 啊，都是远端解析的

Brainos

Nov 27, 2025

#18 是正解，设置 proxy-server-nameserver 后出战代理的域名就能正常解析了，直接让 dns 也走代理就好，详见 https://wiki.metacubex.one/config/dns/#respect-rules 和 https://wiki.metacubex.one/config/dns/#dns_1

大部分常规用例里 mihomo 的内置 dns 只是拿来给自己的 ip 分流规则用的，实际上的解析都是转发给了 proxy server ，所以只要保证 mihomo 的国外 dns 能解析出一个国外的 ip 就能应付大多数情况。

非要直连国外 dns 的话不要用常规 doh 。用 dot ，http3 doh ，有 ipv6 的话设置成 ipv6 的 dns 最好

234ygg

Nov 27, 2025

代理软件很多年前开始不就基本都是 remote dns ？？

shuangbiaog

Nov 27, 2025

自建用阿里做上游，只用来解析国内域名。非直连域不在本地做 DNS 解析，基本杜绝污染

bwnjnOEI

Nov 28, 2025 via iPhone

我的自建节点稳定运行好几个月了问什么最近上谷歌时而被强时而正常，节点是看不良林教程搭的 hysteria2 和 reality 有人遇到过或者有经验的吗？还是说防火墙净化了？

bwnjnOEI

Nov 28, 2025 via iPhone

@bwnjnOEI 只在 mac 小火箭和 linux v2rayN singbox 下有问题，手机 ipad 小火箭正常

bwnjnOEI

Nov 28, 2025 via iPhone

@bwnjnOEI 两个节点一个 bandwagon 一个 racknerd

taikobo

Nov 28, 2025

如果你的 IP 域名仅用于 DoH, 绝不可能被封, 因为根本不知道你背后是什么
也有一些海外的小众 DoH 特别是 IPv6 的没有被封的

自建 DoH 很多种用处
就和 NAS 一样
你觉得用不上, 那就没用
等到你需要的时候自然就知道有什么用了

piku

Nov 28, 2025 via Android

我自建 dot ，非标端口，自签证书，用了十来年了

xiaofami

Nov 28, 2025

在 immortalwrt 中用 homeproxy + dnscrypt-proxy2 + caddy 搭建过。homeproxy 配置规则作为 dnscrypt-proxy2 上游，dnscrypt-proxy2 进行 DoH 监听，caddy 反代解决证书问题，如果访问 path 不是/dns-query 还能返回一个介绍本 DoH 服务器的页面

yuezk

Nov 28, 2025

用了 fake ip ，域名解析都是发生在代理服务器上的，没必要自建 DoH 了。如果用 sing-box 的话，还可以给配置 DNS 解析配置路由规则，只给特定的域名（比如 google.com ）做远端解析，连 fake ip 都不用了。

totoro625

Nov 28, 2025

自建 doh 根本目的不是为了国外部分能正确解析，而是为了国内部分

inoridream

Nov 28, 2025

在家里搭建，局域网使用没什么事情。但是你拿着云服务器搭建，分分钟给橄榄

jackOff

Nov 28, 2025

doh 会被截断，现在是定时器 sync 备份拉取缓存绕过 doh

bsder

Nov 28, 2025

@since2021 DoT 不会被阻断吗？毕竟 853 端口，特征明显。

bsder

Nov 28, 2025

自建 DoH 的好处就是解析结果可控啊，保护隐私啊，拦截广告啊，映射解析。

since2021

Nov 28, 2025

@bsder 运气好，一直没有被阻断，尤其是手机有 ipv6 的情况下非常顺畅
也有可能我用的 .cn 域名~

rebelliouswhiz

Nov 28, 2025

参考 #18 #28 ，我用 nameserver-policy 指定了国内域名（一个基于已有项目的修改列表，时不时自己手动拉取更新一下）用阿里、DNSPOD 的 dot 解析，其他都用 https://dns.google/dns-query.

respoect-rules 要开启，然后在你的规则里指定阿里和 DNSPOD 的走 DIRECT （ IP 和域名），dns.google 走你的代理（也是 IP 和域名）。

如果你设置正确，国内域名都会走直连加密 DNS ，其他所有都用 dns.google 进行解析。

这里还有个问题：其实在规则里走代理的所有域名都是发送到服务器解析的，本地只解析直连、UDP 连接。如果你在这套配置下 DNS 解析了境外域名，那要反复排查。

我写了一套复杂的规则，因为要和客户视频会议，常常有 UDP 解析的需要，得确保解析出来的地址离代理服务器近而不是离我近，又要避免无意义的本地多次解析，调得我头都大，不过还好可以 DNS 一点都不泄漏，生产环境稳得要死。

代价是路由器读取规则内存会飘到 180M ，常驻内存 60M+，小一点内存的路由器读规则都会卡死无法启动...

Aaron325

Nov 29, 2025

@MacsedProtoss doh 还有点必要,因为如果可以直连,速度可以,比如我的 doh 直连延迟 100 左右,等代理查询,起码 200,代理查询实属无奈

xdev

Dec 1, 2025

最好让客户端自动分流，当然自建也可以用 adguardhome ，或者随便反代一个 doh

obama

Dec 2, 2025

至少加一个去广告啥的，不然还是用国内上游有啥意义