分享下使用AdGuardHome 前置于ss-tproxy

[xtccc]

效果

AdGuardHome -> ss-tproxy
使用AdGuardHome 可以方便的查看dns 的日志, 可以block 不想要的域名, 可以使用其自带的广告过滤
还有挺多功能的, 我不需要就不在介绍了

安装步骤

安装AdGuardHome
配置其监听192.168.31.1:53, 然后设置它的上级路由为192.168.31.1:54

ss-tproxy.conf 端口改为54

dnsmasq_bind_port='54' 

脚本里把dns的 53 -> 54的 规则注释掉

--- a/ss-tproxy
+++ b/ss-tproxy
@@ -631,7 +631,7 @@ modify_resolvconf() {
         mount -o bind $temp_resolv_conf /etc/resolv.conf
         rm -f $temp_resolv_conf
     fi
-    is_true "$ipv4" && echo "nameserver 127.0.0.1" >>/etc/resolv.conf
+    is_true "$ipv4" && echo "nameserver 192.168.31.1" >>/etc/resolv.conf
     is_true "$ipv6" && echo "nameserver ::1" >>/etc/resolv.conf
 }

@@ -937,8 +937,9 @@ start_iptables_tproxy_mode() {
         $1 -t nat -A SSTP_POSTROUTING -m owner $(get_usrgrp_args) -p udp -d $direct_dns_ip --dport 53 -j MASQUERADE
     fi

-    if is_nonstd_dnsport "$dnsmasq_bind_port"; then
-        $1 -t nat -A SSTP_OUTPUT -p udp -d $loopback_addr --dport 53 -j REDIRECT --to-ports $dnsmasq_bind_port
+    if is_nonstd_dnsport "$dnsmasq_bind_port"; then
+        # $1 -t nat -A SSTP_OUTPUT -p udp -d $loopback_addr --dport 53 -j REDIRECT --to-ports $dnsmasq_bind_port
+       echo 'not redirect'
     fi

     $1 -t mangle -A SSTP_OUTPUT -m addrtype --src-type LOCAL ! --dst-type LOCAL -p tcp -j SSTP_RULE
@@ -949,7 +950,8 @@ start_iptables_tproxy_mode() {
     if is_false "$selfonly"; then
         if is_nonstd_dnsport "$dnsmasq_bind_port"; then
             is_enabled_udp && $1 -t mangle -A SSTP_PREROUTING -m addrtype ! --src-type LOCAL --dst-type LOCAL -p udp --dport 53 -j RETURN
-            $1 -t nat -A SSTP_PREROUTING -m addrtype ! --src-type LOCAL --dst-type LOCAL -p udp --dport 53 -j REDIRECT --to-ports $dnsmasq_bind_port
+            # $1 -t nat -A SSTP_PREROUTING -m addrtype ! --src-type LOCAL --dst-type LOCAL -p udp --dport 53 -j REDIRECT --to-ports $dnsmasq_bind_port
+           echo 'not redirect'
         fi

         $1 -t mangle -A SSTP_PREROUTING -m addrtype ! --src-type LOCAL ! --dst-type LOCAL -p tcp -j SSTP_RULE

[xtccc]

4.7版本，我发现一个不用折腾iptables 的方法，使用还很方便
mainport 53不变，ss-tproxy.conf里增加一个dnsmasqport配置，用于让dnsmasq 监听54端口(或者其他的)
AdgurardHome 监听53端口 ，并转发给54端口(dnsmasq)
pre_start 里启动AdguardHome, pre_stop 关闭AdguardHome
别忘了给 AdguardHome dns-group权限
set_dns_group /opt/AdGuardHome/AdGuardHome
配置如下

diff --git a/ss-tproxy b/ss-tproxy
index 41dc309..cec7bb5 100755
--- a/ss-tproxy
+++ b/ss-tproxy
@@ -520,7 +520,8 @@ start_dnsserver() {
 
         sstp_pid_dnsmasq=$(
             {
-                echo "port = $dns_mainport"
+                #echo "port = $dns_mainport"
+                echo "port = $dns_dnsmasqport"
                 echo "group = $dns_procgroup"
                 is_true "$dnsmasq_log_enable" && echo 'log-queries'
                 echo "log-facility = $dnsmasq_log_file"
diff --git a/ss-tproxy.conf b/ss-tproxy.conf
index 0e02daa..bd96b09 100644
--- a/ss-tproxy.conf
+++ b/ss-tproxy.conf
@@ -80,7 +80,8 @@ dns_custom='false'                    # true:使用自定义dns方案
-dns_mainport='54'                     
+dns_mainport='53'              
+dns_dnsmasqport='54'
                                       
@@ -170,8 +171,8 @@ pre_start() {
+    ## AdGuard listen 53
+    ## dnsmasq listen 54
+    ## Adguard 转发dns to 54
+    set_dns_group /opt/AdGuardHome/AdGuardHome
+    systemctl start AdGuardHome    
     return
 }

 
 # 此函数在"停止逻辑之前"执行
 pre_stop() {
     # do something
+    systemctl stop AdGuardHome    
     return
 }
 

[zfl9]

这行其实可以改为函数调用：

## sudo ss-tproxy  set-dns-group /opt/AdGuardHome/AdGuardHome
## 可以改为 set_dns_group /opt/AdGuardHome/AdGuardHome
## 因为当前在shell脚本内，可以直接访问ss-tproxy和ss-tproxy.conf里面的函数

[zfl9]

@xtccc

我加个新配置吧：dnsmasq_bind_port='监听端口'，留空时(不需要此特性的用户)，表示端口号与dns_mainport相同。

如果填了端口号且与mainport不同，表示用户想在dnsmasq之前插入其他dns进程（套娃），可以在pre_start/post_start里面启动相关进程，并监听mainport。

[xtccc]

牛的,晚上我试试
没有doh 感觉还是有点虚,上了doh就舒服多了

[cattyhouse]

adguardhome 就是用的他们自己开发的 dnsproxy 作为后端支持 doh/dot/doq/doh3 的 ... , 但是你得把这玩意放到 ss-tproxy 的 dns 的链条的最后面去, 而不是最前面, 才能用到.

[zfl9]

后续会在 wiki 分享一些dns方案，包括自定义dns、内置dns+前/后套娃。也欢迎大家分享各自的dns玩法。

想法就在 discussion 这里讨论分享，然后我有空就会给加入到 wiki 里面去哈。

[xtccc]

adguardhome 就是用的他们自己开发的 dnsproxy 作为后端支持 doh/dot/doq/doh3 的 ... , 但是你得把这玩意放到 ss-tproxy 的 dns 的链条的最后面去, 而不是最前面, 才能用到.

嗯,我知道这个,但是我用adguardhome的主要作用是方便的监控dns 访问信息, 与过滤广告

[zfl9]

@xtccc dnsmasq_bind_port 也给加上了，不需要改ss-tproxy脚本了。

[cattyhouse]

我分享一个 coredns 的方案吧

• 启动方法

coredns -conf /etc/coredns/corefile

• 一个进程监听5个端口

*:53
127.0.0.1:53111
127.0.0.1:53888
127.0.0.1:53223
127.0.0.1:53120

• 走向

coredns 监听 53 提供缓存以及其他(禁止 v6, 缓存预获取,hosts,等等 )功能
-> 全部转发给 chinadns-ng (实现分流)
-> chinadns-ng 的 -c -t 转发给 coredns 的 127.0.0.1 的监听 (提供 dns over tls)

• /etc/coredns/corefile

# 有效时间单位: "ns", "us" (or "µs"), "ms", "s", "m", "h".
# (xyz) { ... } 格式为代码块, 可以通过 import 导入
# import 也可以导入外置文件

(disable_aaaa) {
    template ANY AAAA {
        # 只回复 NOERROR, 然后结束（不回复 ANSWER）
        rcode NOERROR
    }
}

(enable_cache) {
    # 缓存在到达数量上限之后，才会被随机删除。
    # 默认缓存数量 256 * 39 = 9984
    cache {
        # 30 分钟之内查询过2次， 当 ttl 剩余 10% 就会自动预查询
        prefetch 2 30m 10%
        # 立刻发送过期缓存, 同时后台刷新缓存, 提高效率
        serve_stale 24h immediate
        # 不要缓存 SERVFAIL
        servfail 0
        # 不要缓存 NXDOMAIN
        disable denial
        # 不要缓存这些域名 比如你的 ddns 域名
        disable success ddns.example.com
    }
}

(enable_hosts) {
    hosts {
        # 默认会加载 /etc/hosts 以及下面自定义的 hosts
        # 自定义 hosts 格式为
        # ip 域名 别名 别名 别名 ....
        # 比如 : 
        1.2.3.4 example.com us1
        # 如果 hosts 没有匹配, 就继续查询
        fallthrough
    }
}

.:53 {
    import disable_aaaa
    import enable_cache
    import enable_hosts
    errors
    # 配置文件被修改自动重新加载，会清空缓存
    #reload 5s
    bufsize 1232
    forward . 127.0.0.1:65353 {
        # 因为 chinadns-ng 目前只支持 UDP
        prefer_udp
        max_fails 0
    }
}
# 导入 dns over tls 配置文件
import /etc/coredns/corefile_extra

• /etc/coredns/corefile_extra

(common_bind) {
    bind 127.0.0.1
    bufsize 1232
    errors
}

(forward_timer) {
    health_check 1s
    #expire 60s
    max_fails 0
}

.:53111 {
    import common_bind
    forward . tls://1.1.1.1 {
        import forward_timer
        tls_servername cloudflare-dns.com
    }
}

.:53888 {
    import common_bind
    forward . tls://8.8.8.8 {
        import forward_timer
        tls_servername dns.google
    }
}

.:53223 {
    import common_bind
    forward . tls://223.5.5.5 {
        import forward_timer
        tls_servername dns.alidns.com
    }
}

.:53120 {
    import common_bind
    forward . tls://120.53.53.53 {
        import forward_timer
        tls_servername dot.pub
    }
}

[zfl9]

corefile_extra 里面的 .:53111 {，是监听端口的意思吗

[cattyhouse]

corefile_extra 里面的 .:53111 {，是监听端口的意思吗

.:端口 的含义: . 代表这个端口接受任意域名请求. . 可以写为 example.com:53111 那么 只有 请求 example.com 才会走这个端口.

[xtccc]

后置coredns dot

diff --git a/gfwlist.ext b/gfwlist.ext
index fe65021..0014fdd 100644
--- a/gfwlist.ext
+++ b/gfwlist.ext
@@ -39,3 +39,7 @@
 
 #googlecn重写 @googleapis.cn
+
+
+-1.1.1.1
+
diff --git a/ignlist.ext b/ignlist.ext
index f8de3e6..1db6a67 100644
--- a/ignlist.ext
+++ b/ignlist.ext
@@ -155,3 +155,5 @@
 
 @microsoft.com
 
+
+-223.5.5.5
diff --git a/ss-tproxy.conf b/ss-tproxy.conf
index a049a63..7130dc5 100644
--- a/ss-tproxy.conf
+++ b/ss-tproxy.conf
@@ -84,17 +84,17 @@ dns_mainport='53'                     
 dns_dnsmasqport='54'             
                                       
                                       
-                                      #
-dns_direct='223.5.5.5#53'             
-dns_direct6='240C::6666#53'           
+                                     #
+dns_direct='127.0.0.1#65355'             
+dns_direct6='::1#65355'           
 dns_direct_white='true'               
 dns_direct6_white='true'              
                                       
                                       #
-dns_remote='8.8.8.8#53'               
-dns_remote6='2001:4860:4860::8888#53' 
-dns_remote_black='true'               
-dns_remote6_black='true'              
+dns_remote='127.0.0.1#65354'               
+dns_remote6='::1#65354' 
+dns_remote_black='false'               
+dns_remote6_black='false'              
                                       
 
 #
@@ -171,8 +171,15 @@ pre_start() {
     #
     #
     #
-    ##sudo chgrp proxy_dns  /opt/AdGuardHome/AdGuardHome
-    systemctl start AdGuardHome        
+    set_dns_group /opt/AdGuardHome/AdGuardHome
+    systemctl start AdGuardHome
+
+    
+    
+    
+    set_dns_group /usr/bin/coredns
+    systemctl start coredns     
+
     return
 }
 
@@ -197,6 +204,7 @@ pre_stop() {
 
 post_stop() {
     
+    systemctl stop coredns         
     return
 }

coredns 配置
不想要log 可以去除log这一行

└─[0] cat /etc/coredns/Corefile
.:65354 {
    log . "国外dns {common}"
    bind 127.0.0.1 ::1 #同时监听ipv4+ipv6
    bufsize 1232
    forward . tls://1.1.1.1 {
        health_check 5s
        expire 60s
        tls_servername cloudflare-dns.com
    }
}

.:65355 {
    log . "国内dns {common}"
    bind 127.0.0.1 ::1 #同时监听ipv4+ipv6
    bufsize 1232
    forward . tls://223.5.5.5 {
        health_check 5s
        expire 60s
        tls_servername dns.alidns.com
    }
}

这样看分流就太舒服了

May 23 20:52:24 j1900 coredns[388482]: [INFO] 国内dns [::1]:53151 - 17409 "A IN stun.douyucdn.cn. udp 45 true 1232" NOERROR qr,rd,ra 173 0.035826392s
May 23 20:52:24 j1900 coredns[388482]: [INFO] 国内dns 127.0.0.1:48538 - 17409 "A IN stun.douyucdn.cn. udp 45 true 1232" NOERROR qr,rd,ra 173 0.045893339s
May 23 20:53:07 j1900 coredns[388482]: [INFO] 国外dns [::1]:46192 - 17665 "A IN clientservices.googleapis.com. tcp 58 true 65535" NOERROR qr,rd,ra 497 0.487701517s
May 23 20:53:07 j1900 coredns[388482]: [INFO] 国外dns 127.0.0.1:42250 - 17665 "A IN clientservices.googleapis.com. tcp 58 true 65535" NOERROR qr,rd,ra 497 0.498335032s

[cattyhouse]

但纯拿 coredns 做转发 有点大材小用了... 不过好处是一个进程就满足. 不好的地方就是, 现在 coredns DoT 还不能 loadbalance, 因为不同的 提供商 的 tls_servername 不一样. 他们的语法需要修改下, 比如: tls://[email protected], 就能在 forward 这行写多个了, 也能少2个监听端口了. 我给他们提了 这个建议, 不知道会不会实现.

当然也不是完全不能, 你要是不在乎安全性, 可以直接 forward . tls://223.5.5.5 tls://120.53.53.53 (这样就不会验证 tls_servername 了 ), 不过我还是在乎安全性的.

所以我现在把loadbalance移到 chinadns-ng 的 -t -c 里面去了, 然后 coredns 监听4个 DoT转发.

[cattyhouse]

更新了下 coredns_extra 的设置, 增加一个 errors 显示 DoT 上游的错误信息, health_check 改为 1s 比较合理.

[cattyhouse]

又编辑了下... 我觉得 health_check 没有必要做了, max_fails 0 可以禁止这个功能.

另外 expire 60s 可能会导致一些问题, 比如上游关闭了连接,然后 coredns 这边就产生一些 CLOSE-WAIT, 可能会影响后续连接. 保持默认的 expire 10s 就好

[zfl9]

已整理至 wiki/DNS方案。