临时搭了一个 dns-over-https 测试

为啥要自己搭建？

搬回国内就没用了吧，服务器出口就直接 DNS 污染了

@taobibi 他应该走代理的

@wzw 打算包装一些方便普通人使用的服务, DNS 是基础

是有什么现成的工具可以安装吗？还是自己写的？

@leavic 工具是现成的，https://github.com/m13253/dns-over-https

dns-over-tls 现在也可用，用 Android P 和 https://getdnsapi.net/query/ 测试通过；修正一下主贴里 firefox 的配置 network.trr.mode 最好是配成 3 （以确保总是能得到正确的 IP，也请暂时原谅一下当前孱弱的性能体验）。计划下个月搬到国内

@qyb google chrome 怎么配置？

@bclerdx chrome 当前还不支持 dns-over-https or dns-over-tls

@qyb 悲剧了.........

@bclerdx 这是一个趋势。。。再等等说不定就有了

@qyb 真没准儿哪个版本就支持了呢。

用 unbound 弄了一个 DNS over TLS，Android P 上用着还行
用 Nginx 也可以，getdns 测试没问题，不过 Android P 用不了

@lzvezr 我是用的 haproxy + unbound 测试的；个人习惯把所有公网接口都做一层反向代理。不理解为啥你 Nginx 反向代理不支持 Android P

楼主，这个 EDNS 好像没用啊，来对比下看看。
https://dns.rubyfish.cn/dns-query?name=www.taobao.com&type=A
https://doh.nslookup.me/dns-query?name=www.taobao.com&type=A

用 unbound 搭建 DNS over TLS 使用过程中遇到了点问题，forward-zone 不支持通配符，也就意味着 dnsmasq-china-list 转换为 unbound 规则时，三级，四级域名不能被正确的分配到国内 DNS 进行解析，有什么好的解决方案吗？
我现在想的是后面放一个 overture，可是这样 edns-client-subnet 特性就没有了

emmm 其实 Cloudflare 的 DoH 延迟很低的，大概也就 100 左右。

@002jnm 是，上级 DNS 还不支持，我想想办法...

@lzvezr 我当前的想法是反 dnsmasq-china-list 其道而行之，真正 DNS 被投毒的域名是很少的... 我维护了一个自己日常使用中发现有问题的域名： https://bitbucket.org/qyb/offwall/src/master/poisoning.domain

@qyb 看了一眼 overture 源码，EDNSClientSubnet.Policy 设置为非 auto 就可以了，这样 DNS 数据就原样传给上游
我现在是 unbound 最外，开启 edns-client-subnet，后面紧跟 overture，境内 DNS 用 119.29.29.29 ，境外 DNS 因为 overture 不支持 DNS over TLS，所以通过 Nginx 反代 1.1.1.1:853 喂给 overture

现在新问题是，119.29.29.29 居然屏蔽了腾讯云，可以 ping，但是 dig 就超时，wqnmlgb