DoH通过加密DNS请求防止DNS污染和隐私泄露,是Clash用户必备的安全配置,本文详解DoH原理、Clash配置步骤及常见问题解决方案。
什么是DoH及其优势
DNS over HTTPS是一种将DNS查询封装在HTTPS协议中的技术,传统DNS请求以明文发送,容易被ISP或中间人篡改;DoH则通过加密传输,不仅防止DNS污染,还能隐藏真实的域名访问记录。
Clash支持DoH配置,可与代理规则配合使用,显著提升跨境访问的稳定性和隐私性。
Clash配置DoH的完整步骤
获取DoH服务器地址
推荐使用公共DoH服务:
- Google:https://dns.google/dns-query
- Cloudflare:https://cloudflare-dns.com/dns-query
- Quad9:https://dns.quad9.net/dns-query
修改Clash配置文件
在Clash配置文件的dns部分添加以下内容:
dns:
enable: true
listen: 0.0.0.0:53
ipv6: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
nameserver:
- 223.5.5.5
- 119.29.29.29
fallback:
- https://dns.google/dns-query
- https://cloudflare-dns.com/dns-query
fallback字段即为DoH服务器列表,当主DNS(nameserver)解析失败时,Clash会自动切换到DoH进行解析。
验证DoH是否生效
配置完成后,检查以下两点:
- 访问
https://dns.google/resolve?name=example.com,确认返回加密的DNS响应 - 在Clash日志中查看DNS解析是否走fallback通道
代理组类型与适用场景
Clash代理组决定流量如何分配:
| 类型 | 说明 | 适用场景 |
|---|---|---|
| select | 手动选择节点 | 需要指定出口地区 |
| url-test | 自动测速选择延迟最低节点 | 日常浏览、视频 |
| fallback | 优先使用第一个可用节点 | 追求稳定性 |
配置示例:
proxy-groups:
- name: auto-group
type: url-test
proxies:
- 节点A
- 节点B
- 节点C
url: http://www.gstatic.com/generate_204
interval: 300
TUN模式与系统代理的区别
- 系统代理:仅接管HTTP/HTTPS流量,配置简单,适合浏览器访问
- TUN模式:接管全部流量(包括UDP、游戏数据包),需要更高权限
游戏玩家和UDP应用用户建议开启TUN模式;普通浏览用户使用系统代理即可。
分流规则写法
Clash规则按顺序匹配,常用规则类型:
DOMAIN,example.com:精确匹配域名DOMAIN-SUFFIX,google.com:匹配所有子域名IP-CIDR,8.8.8.8/32:匹配特定IP段GEOIP,CN:匹配国家/地区代码
优先级:DOMAIN > DOMAIN-SUFFIX > IP-CIDR > GEOIP > FINAL
FAQ
现象:DNS解析正常但部分网站无法访问
原因:DNS污染未清除,fallback DoH被墙
解决方法:更换为未被屏蔽的DoH服务器,或使用国内DNS作为主DNS
现象:开启DoH后Clash启动变慢
原因:fallback列表过多,连接超时等待
解决方法:保留2-3个可靠的DoH服务器,去除响应慢的节点
现象:fake-ip模式下部分网站证书错误
原因:fake-ip与本地网络冲突
解决方法:在hosts文件中添加本地域名映射,或改用redir-host模式
DoH配置是Clash安全访问的关键一环,配合正确的代理组类型和分流规则,可实现稳定、高速、安全的跨境网络体验,建议定期更新订阅和DoH服务器,确保连接可靠性。
