CharlesWou

@dianxin623 你好，能否试下，使用旧版本的v2rayNG，服务器地址处填写服务器的IP，最底下http host/SNI处填写你的服务器域名（清空DNS hosts）能否连接你的服务器，谢谢！ 

[Info] app/dns: failed to lookup ip for domain 459yy.ipv4.surfsharkdns.com at server UDP:1.1.1.1:53 > features/dns: empty response [Info] app/dns: failed to lookup ip for domain l6s5fi.ipv4.surfsharkdns.com at server UDP:1.1.1.1:53 > features/dns:...

方案一中category-ads-all导入到本地空地址，这个已经在路由规则中有配置block了 

刚才忘记看了， "skipFallback": true就会跳过国内查询，这挺符合预期的，有效避免了国内DNS泄露。 但想请问下，如果一个域名，是国内的IP，但是不在geosite:cn中（国内小众网站），他是不是就用不了阿里DNS了？

还有就是，DNS地址其实只要是国外的，客户端就会默认proxy路由到VPS上。（不然当前客户端8.8.8.8的DNS解析早被污染了，打不开google了。） 个人感觉DOH像是保护国内到国际这端。但其实DNS已经proxy到了VPS，再通过VPS进行DOH查询，是不是有点浪费？

我也是试了很久，安全和速度终究没法两全。 如果把skipFallback设置为true，dns泄露的问题是解决了，但是国内小众域名先1.1.1.1解析，解析ip不匹配后，走8.8.8.8，不会走223.5.5.5了。 如果把skipFallback设置为false(相当于当前最新pre-release版的配置)，1.1.1.1如无法解析出外网域名，会走223.5.5.5，会发生dns泄露。 >```json > { > "hosts": { > "dns.google": "8.8.8.8", > "geosite:category-ads-all": "127.255.255.255" > }, > "servers": [ > { > "address": "1.1.1.1", > "expectIPs": [ > "geoip:!cn"...

关键问题是core没有把“查询失败”和“ip不匹配”分开做条件判断，如果能对“查询失败”做策略，对“ip不匹配”另外做策略，那就好办了：查询失败disableFallback，ip不匹配enableFallback 

@minusmulticoloredper 最终我发现，要最安全就直接切换成AsIs域名解析策略（不过内置dns服务器模块，直接发送域名到vps，让他来解析），要牺牲部分安全为了加快/兼容国内小网站，那就用最新pre-release就行。我不折腾了，直接切AsIs域名解析策略了。

> > 去掉一个DNS服务器，并禁用DNS回退查询机制。 匹配国内域名自动使用阿里云DNS，查询失败返回空解析不继续。 匹配国外域名自动使用CloudFlare DNS，查询失败返回空解析不继续。 如果两者都不匹配，自动使用CloudFlare DNS，查询失败返回空解析不继续。 广告域名则会被解析为无效IP。 > > ```json > > { > > "hosts": { > > "cloudflare-dns.com": [ > > "104.16.249.249", > > "104.16.248.249", >...