DNSPod 的 DoT 和 DoH 对外测了

奶罩好人

奶罩不是离开 DNSPOD 了嘛？

DoH 用 https://dns.pub/dns-query 也一样

先用为敬

竟然是 hk 的 ip ？？？

有 macos 的部署教程么

mac 版 firefox 和 chrome 测试都无法成功

部署到路由器上不能正常用，暂时用回阿里的。

已添加到 AdGuard Home 豪华套餐

等到了，我常用的一些网站经常在 ali 解析不出来，还是 tx 的好。
win 10 + Firefox nightly 一切正常。

已添加到 AdGuard Home 豪华套餐 +1

@iNaru 更正：Friefox 下，network.trr.mode 改为 3 后，很大部分网站不成功。原先的值是 2 下测试的。
// DNS Trusted Recursive Resolver
// 0 - default off, 1 - reserved/off, 2 - TRR first, 3 - TRR only, 4 - reserved/off, 5 off by choice
pref("network.trr.mode", 0);

@iNaru 我手机用的 ali 的 dot，感觉还挺快的，没发现解析不了的情况。tx 这个 ip 好像只在香港。

有污染吗？

@OnlySeePost 可能能防国内的劫持，过墙的不要想太多，阿里的照样也是返回脸书的 ip

我爱腾讯!!!

@usermmm IP 是 anycast 的，ipip 没更新过来

dns.pub 可以用 , doh.pub 无法解析

忽略楼上 , 我的失误

Firefox 上和 proxyswitchy omega 结合使用可以吗？该如何配置呢？

AIA 的 IP 段

@ericFork 或者说后面如果有一些改动很大新功能正式上线前需要公测的话，基本都会使用腾讯云 AIA 的 IP 段

污染很严重

竟然没顺带宣传下 Discuz!Q

@naizhao #17

对境内服务干啥从广东广播？而不是从腾讯云也有接入的国内中部地区广播……

已添加到 AdGuard Home 豪华套餐

惨了，本以为伺服器在香港回来的结果是无污染的，结果还是有污染
还是换回 dns.google

@OnlySeePost
@banricho
@testcaoy7
防墙的污染就不用想了

可以的！

河北都 anycast 到广东去了，是因为目前刚刚开始公测吗？

安卓 10 已经用上 DoT
Firefox 已经用上 DoH

话说国内的这些厂商的 dns，不会自己主动污染吗？

能不能支持下 DKIM……只能 255 位记录还不支持分段……CNAME Flattening 也不支持……

连国外 vps 请求都是污染的，完全没法用

@shc 两个都支持。前一个目前放开了。后一个在 dnspod 解析的域名都支持

@haozi1986 新手请教这个是放到 [static] 字段下面的配置么

DNSPod 不能直接用 dig 解析，dig 要加 +nocookie 参数的问题一直没解决，所以我很久前就放弃 DNSPod 改用 Ali 了……
dig baidu.com @119.29.29.29 不响应
dig baidu.com @119.29.29.29 +nocookie 这样才行

DoT/DoH 不能解决污染的话，那么用处就只剩下防运营商劫持了……
如果运营商没有劫持的话，那么感觉就没啥用处了。

还是继续用 https://dns.google 吧……

本身就是污染源吧，用什么途径获取都没用

@jinliming2 就算+nocookie 也不影响使用吧，dig 只是一个查看工具而已

@HalloCQ 日常用 dig 挺多的，然后每次用的时候第一次总会忘加 +nocookie，然后等 3 秒才反应过来……体验很差……

再来个 dot.pub ？

@jinliming2 支持 cookie 版本已经在灰度中了

我寻思这两个域名会不会被 ISP 的 dns 劫持

@Rwing 以前离开去弄洋葱，现在应该是回归？

@jinliming2 没办法直连就不是很方便

感谢，ros 服务器设置 doh 正常使用，疑惑的就是为啥从广东走，那和阿里 doh 走成都没啥区别了

发现 www.gstatic.cn 和 maps.google.cn 解析出了香港和台湾的 IP，无法连接。

@WindowPain 挂代理了？

@rallos8zek 国内的 anycast 比较假，国内大约 87%流量会到广州，很快会切换到正式的 119.29.29.0 网段上

@johnjiang85 没有呀，不过现在已经正常了，咱再测试测试。

问题还是时隐时现。另外如#12，Firefox 将 network.trr.mode 改为 3 后，需要再把 network.trr.disable-ECS 设置为 false，否则几乎无法使用。

@WindowPain 外网 IP 给我下，我看下日志

我的电脑出口 ip:106.39.149.229 北京电信
使用 https://dns.alidns.com/dns-query 获取本地 dns 为:220.181.151.174 北京电信 正确
使用 https://doh.pub/dns-query 获取本地 dns 为:123.151.93.140 天津电信 错误

Google Chrome 84.0.4147.105 (正式版本) （ 64 位）
操作系统 Windows 10 OS Version 1909 (Build 18363.836)
获取本地 dns 网址: https://nstool.netease.com/

@johnjiang85 之前路由器重启、IP 变了，我再把 DNS 设置回去试试

@liangwei 这个无所谓，我们是支持 ecs 的，不会就用用户端本地的递归 DNS 覆盖

@Rwing naizhao 回来了。负责 DNSPod 和 Discuz ！。

有用 ros 路由系统的么，doh 是如何设置的？

tls://dns.pub 这个不知道为什么解析很慢，已被请出 AdGuard Home 豪华套餐

@wlh 可以发下使用的地区网路运营商信息，traceroute/mtr 信息，域名信息看下

请教几个问题：
1.DNSPod 的 TCP 解析还是没有 EDNS 吗？（我自己测试时候 TCP53 端口在江西解析 www 。baidu 。com 总是解析到电信 IP，但是 ）
223.5.5.5 正常
2.现在江西移动（其实几乎全国移动都一样）已经完全劫持了 UDP53 端口，而且 119.29.29.29 和 119.28.28.28 两个 IP 的 TCP53 端口基本不通，182.254.116.116 的 TCP53 端口时断时续，可以开放另外的非 53 端口的 DNS 解析吗？

@hamjin
1. 我看了下单独处理 TCP DNS 请求的递归服务器，确实是用的不支持 ECS 的递归（出口 IP：广东电信)，我找运维看下换成支持 ECS 的递归，但是仅会处理 119.29.29.29 和 119.28.28.28 的 tcp 递归服务器，182.254.x.x 不归我们管理，可以转达。
2. 是否支持非标端口，会转产品一起评估下。TCP 请求目前是单独处理的，并且限速阈值比较低，因为某些原因，短期内不会解除限速，预期明年可能解除限速。

@wlh 如果是解析出的 ip 比较慢的话，可以再测试下了，刚刚修复了一个某些场景会导致 ECS 失效的问题

@johnjiang85 现在应该不是限速问题，是中国移动的网络全面劫持了 53 端口，TCP 已经不能通了，UDP 直接抢答或者也不通（测试的是阿里的 DNS,IP223.5.5.5 ），这个措施很可能会推广到所有运营商。所以现在开放一个非 53 端口是有防劫持的必要的.
测试如图：劫持后的 Google 被解析到 127.0.0.1，正常是一个被污染的 IP
https://sm.ms/image/4yGNzDpEUZ7aWoO

@WindowPain 现在可以再看下了，参考#65，解决了一个 ecs 可能失效的问题

@hamjin 非标端口没有想像的那么好用，所以还需要再评估下，可以先用着 doh.pub 或者 dot.pub

@johnjiang85 dot.pub 没注册吧？

发现有趣的现象，我用 https://ping.huatuo.qq.com/检测到，使用 https://dns.pub/dns-query 会把我扔到移动的 dns，用 doh 就是电信的。

用阿里 DoH 的 LDNS 显示为我的本地市广州，DNSPod 是深圳。

@shikkoku 打错了，doh.pub 和 dns.pub. 这个不影响，我们是支持 ECS 的，并不会完全按照用户的地区运营商分配递归出口，只要主要域名的解析结果符合你本地运营商就 OK 了

@johnjiang85 主要是我用 https://dns.pub/dns-query LDNS 显示深圳移动，https://doh.pub/dns-query LDNS 是显示为深圳电信。

@shikkoku 随机加权选择递归的，都有可能选到，等 ttl 过期（最短 3 分钟）多测试几次

@ccbikai dot.pub 正在备案中

@shikkoku dot.pub 正在备案中

@johnjiang85 很严重了，有必要再开一个监听端口，抓包在这里：
https://1drv.ms/u/s!AmPz-w3xHS4ozzZLezG0rsTmhGWR?e=bWn6Ow

@johnjiang85 劫持导致 ECS 根本无效，按移动的说法会被“强制牵引到网内”

亲测被污染得很严重, 科学浓度不够.

@johnjiang85 感谢修复，再使用了一天，目前正常。

中科大不好用吗

@naizhao @johnjiang85 请问会有 IPv6 节点吗？



这几天很不稳

之前 chrome 设置了用 https://doh.pub/dns-query 前段时间系统升级到 big sur 了一直没怎么用，最近用的时候各种 DNS_PROBE_FINISHED_BAD_CONFIG 找不到服务器 IP，要刷新一次或者多次才能正常打开网页，我还以为新系统跟 chrome 不兼容呢，差点给系统降级，后来跟朋友说了情况，说可能跟安全 DNS 有关系，然后找到 chrome 设置把安全 DNS 关掉后一切都正常了，上海电信的网

@shikkoku 同样的现象，广东移动宽带，dnspod 的 doh，然后用网易那个检测 dns 的或者其他检测经常显示分配到的 dns 是经常是广东电信或者广东联通或者其他省份的 dns 信息。提示 dns 不正确。但是阿里的就很正常，基本保持在广东深圳移动或者广东广州移动，dns 正确。

@johnjiang85 请问下，所以这个比如广东移动宽带，分配到的 dns 经常飘到广东联通或者其他省份实际使用不影响吗？

@ace0120 不影响，是支持完整的 ECS 的，你可以实际看有移动线路的域名是否正确解析到移动线路

有的软件只能填 IP 形式的 DOH 地址, 我填入 https://119.29.29.29/dns-query 用不了,请问这里的 IP 地址应该填什么呢

请问手机安卓里，private dns 相关设置里，private dns provider hostname 应如何填写，我填 dot.pub 后无法上网

接上贴，填 doh.pub 同样无法上网，只有换用 dns.pub 才行，不知道 dot 生效没有？

@naizhao https://docs.dnspod.cn/public-dns/5fb5db1462110a2b153a77dd/
奶罩兄。你们官网这里并没有更新 DOT 服务器最新地址为 dot.pub ，难道你们 DOT 新地址 dot.pub 是内测？建议上面地址官网说明更新一下地址，还有官网都更新一下。

@csvw 证书配置问题，dot.pub 是后来部署的，当时还没部署，doh.pub 的证书在 dot 没配置，后面更新过一次，dot.pub,dns.pub,dns.pub 都是可用的，建议直接使用 dot.pub

@lastczj 都可以用

@naizhao 您好，有个问题想请教下，设置 doh.pub 的 DoH 之后，用这个[网易 DNS 检测工具]( https://nstool.netease.com)发现 DNS 地址信息会在几个城市来回跳，并且和 IP 地址的运营商不符。取消 DoH 用回 119.29.29.29 、或者用 Ali 的 DoH 的话，DNS 地址会保持在 IP 地址相同的城市和运营商不变。想问下这是什么原因呢？需要我提供更多信息吗？谢谢

在 adguard 里设置为上游.经常提示请求超时,同时设置的其他服务商提供的 DoH 就没问题,哪些原因会造成这种情况?