harold

回復 30# kingwilliam


    好多謝你的回覆。我會努力試。謝謝你。萬分感激

kingwilliam

回復 31# harold

為 科學上網 一同研究

harold

發現當未能連上v2ray時，dns resolve唔到，即係係v2ray Server address一定要入ip address.

kingwilliam

回復 33# harold

先問 server 是fixed Ip 還是 dynamic IP

harold

dynamic IP

kingwilliam

回復 35# harold

因不知你的network diagram, 暫估你的v2ray 系統是直接取真IP. 同時這系統又不是長開。如果真的如這推算。 只能建議這系統長開， 或在這系統前放一隻 沒甚要求的router. 另國內那邊可正常運作。

tomleehk

發現當未能連上v2ray時，dns resolve唔到，即係係v2ray Server address一定要入ip address. ...
harold 發表於 2019-11-6 15:45

喺唔喺講緊呢句 ?

1. iptables -t nat -A V2RAY -d $hostip2 -j RETURN

複製代碼

如果喺, 參考我嘅ss-client tcp 轉發 script, 試吓改用 v2ray server 嘅 port

harold

我之前試係IPTABLE FX 全部table加reload firewall的。但一重啟後只行完script就唔work.要等到再fx table,再行一次個script.就可以。

另一個問題是個設備用1.0.0.1dns的話就resolve唔到IP.但當人手改回openwrt粒ip就可以了。
在openwrt介面改用dns又唔得

harold

問題解決了很多，之前設定的DNS OVER HTTP令DNS resolve唔穩定。初步知道，全部設定是正確的。謝謝各位大大的無私教導。萬分感激

harold

回復  harold

因不知你的network diagram, 暫估你的v2ray 系統是直接取真IP. 同時這系統又不是長開。如果 ...
kingwilliam 發表於 2019-11-6 18:35

    對不起, 又是我!! 我想再深入明白!!

                {
                        "tag": "dns-in",
                        "port": 53,
                        "protocol": "dokodemo-door",
                        "settings": {
                                "address": "127.0.0.1",
                                "port": 5301,
                                "network": "udp,tcp"
                        }
                },
上面啲句是否即係把所有DNS 由port 53 轉到自己的5301

"dns": {
                "servers": [
                        "8.8.8.8","1.1.1.1",
                        {
                                "address": "223.5.5.5",
                                "port": 53,
                                "domains": ["geosite:cn"]
                        }
                ]
        },

{"type": "field","inboundTag": ["transparent"],"port": 123,"network": "udp","outboundTag": "direct"},

如果加咗啲句即是當連上v2ray, 所以DNS 都由"8.8.8.8","1.1.1.1" OR "223.5.5.5"走, port 5301 就唔會再forward, 我的想法正確嗎? 請指考!!

如果正確, 當我長期用v2ray,  "tag": "dns-in", 是否可以不用指去5301? 直指8.8.8.8 會有乜結果?
如果v2raydns唔用53port, 係唔係要用iptable轉 53 去v2ray DNS port?

對不起，問題比較多。謝謝你。

kingwilliam

回復 40# harold


前置:
1. 你的router已安裝有dns服務, 而port是用5301
2. 你的router dns服務會forward到你ISP提供給你的 DNS服務器(可能是114.114.114.114)
3. 假設你的router IP 是 192.168.0.254
4. 假設你network client
ip : 192.168.0.101
nm : 255.255.255.0
gw : 192.168.0.254
dns : 192.168.0.254

這樣設定的話, 你的router會有2個dns服務
192.168.0.254:53 (v2ray提供)
192.168.0.254:5301 -> 114.114.114.114 (系統設定)

1.         "dns": {
   
2.                 "servers": [
   
3.                         {
   
4.                                 "address": "223.5.5.5",
   
5.                                 "port": 53,
   
6.                                 "domains": ["geosite:cn"]
   
7.                         },
   
8.                         "8.8.8.8","1.1.1.1"
   
9.                 ]
   
10.         },
    
11. 
    
12.         "rounting: [
    
13.                 "rules: [
    
14.                         {
    
15.                                 "type": "field",
    
16.                                 "inboundTag": "dns-in",
    
17.                                 "outboundTag": "dns-out"
    
18.                         }
    
19.                 ]
    
20.         ],
    
21. 
    
22.         "inbounds": [
    
23.                {
    
24.                         "tag": "dns-in",
    
25.                         "port": 53,
    
26.                         "protocol": "dokodemo-door",
    
27.                         "settings": {
    
28.                                 "address": "127.0.0.1",
    
29.                                 "port": 5301,
    
30.                                 "network": "udp,tcp"
    
31.                         }
    
32.                 }
    
33.         ],
    
34. 
    
35.         "outbounds": [
    
36.                 {
    
37.                         "tag": "dns-out",
    
38.                         "protocol": "dns"
    
39.                 }
    
40.         ]

複製代碼

5. 上面的設定基本上是配合透明代理而設定, 在(4)的client設定都看到 dns都是指著v2ray. 但v2ray dns只能處理 A和AAAA 記錄, 但dns是一個非常大的系統 還有ns(name server), mx(mail exchange) 很多很多. 所以v2ray 內的dns 要先分流 A,AAAA 和其他的記錄處理.

6. 例A: client要看www.google.com,

• v2ray 流程是 [inbounds] -> [routing] -> [outbounds]
  
• client 會發出 dns 要求問 192.168.0.254:53 www.google.com的IP
  
• v2ray inbounds dns-in 53 會收到要求
  
• routing "inboundTag": "dns-in" -> "outboundTag": "dns-out"
  
• outbounds  "dns-out" 分流 如要求A,AAAA紀錄 就用 v2ray dns
  
• v2ray dns 會看要求的 FQDN是否在 "domains": ["geosite:cn"] 如果是就用 223.5.5.5 不是就用 "8.8.8.8","1.1.1.1"
  
• 所以www.google.com ip就是由 "8.8.8.8","1.1.1.1" 回答的
  
• 當然, 如果要求是 www.taobao.com 就會由 223.5.5.5 回答
  

7. 例B: client要發電郵到 jd.com

• v2ray 流程是 [inbounds] -> [routing] -> [outbounds]
  
• client 會發出 dns 要求問 192.168.0.254:53 jd.com 的mx紀錄
  
• v2ray inbounds tag dns-in 53 會收到要求
  
• routing "inboundTag": "dns-in" -> "outboundTag": "dns-out"
  
• outbounds "dns-out" 分流 如要求A,AAAA紀錄 就用 v2ray dns, 如果要求是其他dns紀錄就會用原生帶來的dns服務器.
  
• 因在 inbounds dns-in 是帶來 127.0.0.1:5301, 所以v2ray 就會問127.0.0.1:5301取jd.com的mx紀綠
  

Q1:如果加咗啲句即是當連上v2ray, 所以DNS 都由"8.8.8.8","1.1.1.1" OR "223.5.5.5"走, port 5301 就唔會再forward, 我的想法正確嗎? 請指考!!
A1:就算只用來上網 也不能, 上面已輕輕帶過 dns是一個很大的系統, 就算只上網 除了A,AAAA紀錄外, 還有 cname, ns限多限多, 所以在7.例B會看到dns dokodem-door帶來的127.0.0.1:5301如何參與運作.

Q2:如果正確, 當我長期用v2ray,  "tag": "dns-in", 是否可以不用指去5301? 直指8.8.8.8 會有乜結果?
A2:互聯網是一個全球系統.如果www.taobao.com只得1個伺服器在國內, 如在美國的客戶想采購, 就要越洋過來, 速度非常慢外, 也會另系統超負荷，所以就發展出geodns, 即你身在國內www.taobao.com會可能取到 4.5.6.7的國內ip, 如在美國去www.taobao.com 會取到美國16.17.18.19美國 ip. 簡單點講 就是 淘寶可在全球放上數個到數十個伺服器, 根據你在不用地方,就給你最近的伺服器. 如果你的vps在美國, 如沒了dns server geosite:cn分流, 全都用vps那邊的dns. 你就會發現, 就算你身在國內去淘寶都會非常慢, 看到的物品可能全是國外的物品, 愛奇藝會說你地區限制不能播放. 所以v2ray才有dns分流. 所以8.8.8.8,1.1.1.1,223.5.5.5和 127.0.0.1:5301最好全都保留.

最後 8.8.8.8 1.1.1.1只要留一個就可以.

harold

回復 41# kingwilliam


    多謝你的超詳細解釋!! 萬分感激!!

harold

回復 41# kingwilliam

    對不起，又是我有問題！！代理我已經設定好，電腦手機都肯定是走代理的！ 但我用 個盒子見都個流量是直出的，為什麼呢？
IPV4        TCP        mySUPER-Box.lan:35464        202.126.54.105:80        160.80 MB (197715 封包數.)
IPV4        TCP        mySUPER-Box.lan:34416        202.126.54.117:80        5.06 MB (6319 封包數.)
IPV4        TCP        mySUPER-Box.lan:35495        202.126.54.105:80        204.85 KB (305 封包數.)
IPV4        TCP        mySUPER-Box.lan:33313        95.211.254.163:443        147.00 KB (740 封包數.)
IPV4        TCP        mySUPER-Box.lan:53859        147.75.111.32:443        8.40 KB (27 封包數.)
IPV4        TCP        mySUPER-Box.lan:40133        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:33329        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:46414        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:44945        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:38395        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:53468        119.28.37.97:80        3.03 KB (7 封包數.)
IPV4        TCP        mySUPER-Box.lan:52483        157.255.77.99:5287        922 B (7 封包數.)
IPV4        UDP        mySUPER-Box.lan:33062        NewWifi2.lan:53        144 B (2 封包數.)

kingwilliam

回復 43# harold


    有沒有多點資料 如何得知其他是走代理？ 全都是走 透明代理嗎？ 可否提供 client config.json, iptables 和v2ray debug access error log


如檔案不小 可用付件型式放上來

harold

回復 44# kingwilliam


謝謝你的回覆    我用openwrt 的即時連線看到的， 但我用電腦手機看 https://whatismyipaddress.com/ 和 fast.com 都是得出是走透明代理的， 我只怕是否因為個盒子有特別嘢要再設定！