whoops

@fangdingjun
1、发现你的 network.trr.bootstrapAddress=1.0.0.1,应该是你服务器的 IP 地址

2、证书中没有包含服务器 IP，参考一 3 楼的链接中的内容，如果可以试着用自签名，重新签名一下
Normally I'd go with Letsencrypt but unfortunately they won't issue a certificate for a raw IP address.
上面说 Letsencrypt 不能签 raw IP 的。

3、我觉得你应该在你的客户端，也就是 firefox 所在的 pc 机上抓包分析以下看，配置后访问其他网站，看看 firefox 进行 doh 的请求到底请求到哪里。

4，源请求的 ip 地址不是我的公网 ip,而是一组美国 ip，这是 nginx 看到的吧 ，可能是爬虫吧。

换大点端口试一试吗。尽量不要选 1024 以下的端口。

如果是，重新生成一下证书，使用者可选名称把 IP 地址也加进去
1.1.1.1 的证书是这样的

DNS Name=*.cloudflare-dns.com
IP Address=1.1.1.1
IP Address=1.0.0.1
DNS Name=cloudflare-dns.com
IP Address=2606:4700:4700:0000:0000:0000:0000:1111
IP Address=2606:4700:4700:0000:0000:0000:0000:1001


参考一下这里
https://github.com/hardillb/dns-over-https/blob/master/README.md


First you need to SSL certificate for your server because the broker will only request DNS lookups from a secure server. Normally I'd go with Letsencrypt but unfortunately they won't issue a certificate for a raw IP address.

If you don't want to pay for a "real" certificate I've included a script to build a self signed for the IP address you are going to run this on.

./mkCert.sh 192.168.1.1

测试了一下
配置成 https://1.1.1.1/dns-query
然后用 wireshark 抓包，确实是通过 tls 1.2 访问的。
你的服务器上 https 证书放的是什么类型的，是自签名的吗？

@NSAtools
笑死我了，太坏了

尿尿去

@QAPTEAWH 注意条件啊，在 2017 年 6 月 4 日（含）— 2017 年 12 月 3 日（含）期间，未在 App Store 或 Apple Music 上发生过有效交易的银联卡（卡号以 62 开头），如果期间有消费记录换个卡

流量&语音大接力第二弹来了! 好礼不停,狂欢不止,最高得 1GB 全国流量或 200 分钟语音,立即参与>> http://m.client.10010.com//activity_relay/static/relay/relayindex?ynfb=0&usernumberofjsp=25d6716956f02304634367bea4edf621





发自我的 iPhone