增加代理DNS请求功能

mark

不在意dns延迟的情况下，希望能让DNS请求走代理。

类似于DNSCrypt-proxy

Client IP addresses can be hidden using Tor, SOCKS proxies or Anonymized DNS relays

tuancc

我之前测试shadowrocket的DoH时候发现它doh不走代理只走直连, 看来surge也是一样吗
但是国外的DoH很容易被墙哎.

SurgeTeam

tuancc 请参见配置表，有参数可以让 DoH 走规则系统。

mark

tuancc
SurgeTeam

感谢两位，找到了，问题部分解决了。

如果使用全局代理模式的话，用Chrome访问网站不会出现DNS泄漏之类的问题。
但是如果使用规则判定模式的话，还是会直连DoH服务器；即便已经在规则中指定了策略。
不知道是预期行为还是Bug。

全程并未开启增强模式，Surge for Mac 4.11.0和5.0.0都如此。
使用的配置片段：

[General]
encrypted-dns-follow-outbound-mode = true
read-etc-hosts = false
use-local-host-item-for-proxy = true
encrypted-dns-server = https://doh.pub/dns-query

[Rule]
IP-CIDR,120.53.53.53/32,TOPROXY
IP-CIDR,1.12.12.12/32,TOPROXY
DOMAIN,doh.pub,TOPROXY
PROTOCOL,DOH,TOPROXY
PROTOCOL,DOH3,TOPROXY
PROTOCOL,DOQ,TOPROXY

tuancc

SurgeTeam

我想起来了确实有个参数可以配置, 我当时还把这个参数弄进shadowrocket里面结果发现它没效果应该不支持.

tuancc

直连DoH也不会导致DNS泄漏啊, DoH都是https加密的.
问题是国外的DoH基本上都是被墙了的, 直连不上啊.

tuancc

还有一个问题, 如果所有DNS解析都走代理的话, 国内很多网站会解析到国外服务器去, 国内网站也会很卡很慢哦

dororo

这里其实我有个疑问，如果配置dns走代理，那么考虑到这几种情况：

配置了encrypted dns的情况下，所有的dns将会被接管，也就是说如果代理是域名连接的话，也需要该加密dns来解析ip
走代理的请求都是在服务端进行dns解析的

那么这样一来，就出现了套娃，最初的代理的域名解析是怎么出来的，如果说系统使用了非加密的传统dns解析了加密dns的ip的话，那么系统接着直接请求了该ip使用加密dns解析了代理的域名ip吗？

mieqq

dororo

所以加密 dns 走的代理必须是直接使用 IP 连接的代理

dororo

mieqq 极限操作🥲

ACSRWR

我这里也是这样，配置：encrypted-dns-follow-outbound-mode = true 无效，确实需要DOH能够走代理。
MacOS 13.5 m1
surge 5.3.0