分享我在OpenWrt下使用SmartDNS的配置

Sometim***

最后编辑于 2024/03/01

注意：最新版配置文件只适用于Release 45，旧版本可以在 网盘->旧版配置文件归档 中找到。
如果要升级到新版配置，请重新阅读第一部分并替换网盘中的全部文件！
可以不替换/mnt/sda3/smartdns/cache/ 以保留过期缓存文件。

• 2024/03/01  配置文件更新至Release 45，旧版本可以在 网盘->旧版配置文件归档 中找到，更新更新chinalist到最新版
  
• 2024/02/17  OverSea组同时包含DoT、DoH服务器以进一步提升连通性，请注意从此版本起PSW需要配置不走代理的IP  更新chinalist到最新版
  
• 2024/01/28  优化测速逻辑，对低配置机器更友好  目前暂不在配置文件中启用SPKI Pin 校验，如果你的网络环境十分"复杂"可以考虑自行配置
  

• 2023/12/03  新增更多的 OverSea 组服务器(HK/TW/JP/KR/SG)，并为每个服务器增加 SPKI Pin 校验，微调过期缓存参数，更新 chinalist 到最新版
• ……
  

• 2023/08/19  首次编辑
  

写在前面
SmartDNS是一个争议很大的软件，不过此帖只是分享我的配置，我们不讨论它到底有没有用。
无论你是否需要Dnsmasq解析IPv6地址，都需要开启OpenWrt WAN口IPv6接入(默认就是开启的)，IPv6可以大幅提升OverSea组的连通性！

之前有人问过能不能把SmartDNS配置好放在固件里，我想了想还是单开一个帖子分享我的配置吧……
从2020年用到现在我从来没看过别人的教程，不排除与其他人的配置撞车，如果你有更好的配置建议欢迎跟帖讨论。
使用我这套配置可以放心开启Dnsmasq的IPv6地址解析，即使你的节点没有支持IPv6也不会影响PSW的正常使用。

注意：开启PSW后任何涉及重启Dnsmasq的操作都会导致PSW的分流规则失效！！！

解决方法是重启PSW。

---

本帖分为3部分：
第一部分我会教大家如何导入文件来配置(想抄作业的只看第一部分)
第二部分我会放出配置的完整截图，并解释为什么(想看我配置的直接跳到第二部分)
第三部分是WAN口重启导致分流失效的解决方案
本教程使用SmartDNS配合PSW，如果你需要配置其他的工具，请自行修改配置。
配置文件的网盘链接：https://drive.google.com/drive/folders/1y7PMRqyQcndJ5Vp8Qf4CSzqScc2fFsUr
请确保你的SmartDNS版本为Release 45
官方仓库发行版下载：Releases · pymumu/smartdns (github.com)
想要上传配置文件到软路由中，你需要使用WinSCP：WinSCP :: Official Site :: Download

---

第一部分 配置教程
我们需要使用安装OpenWrt系统硬盘的剩余空间来存放缓存文件、域名集文件和日志文件，以后在升级固件的时候只要升级前后分区大小没有变化这些文件就可以一直留存。
推荐重新写盘安装OpenWrt，并重新安装官方仓库发行版ipk安装包以确保以下操作与我一致。
刷写完固件启动后，在系统-->磁盘管理找到你的磁盘，点击更改

在"Free Space"处点击新建-->格式化-->文件系统选择ext4

静静等待格式化完成后，手动重启软路由
此时在系统-->磁盘管理中可以看到，刚刚新建的分区/dev/sda3被挂载到/mnt/sda3上。

以上操作完成后，使用WinSCP连接到OpenWrt，按步骤执行以下操作：
① 将网盘中配置文件smartdns上传到/etc/config/目录下，替换原来的文件

② 将网盘中文件夹smartdns上传到/mnt/sda3/目录下，这里面包含了缓存目录(/mnt/sda3/smartdns/cache/)、域名集目录(/mnt/sda3/smartdns/domain_set/)、日志目录(/mnt/sda3/smartdns/log/)

③ 将网盘中配置文件custom.conf上传到/etc/smartdns/目录下，替换原来的文件

④ PSW更改以下配置：
     基本设置-->DNS
                过滤模式改为 通过UDP请求DNS
                远程DNS改为 127.0.0.1:5335
                勾选China-DNS-NG
                China-DNS-NG域名默认标签  选择智能DNS
                保存&应用
     高级设置-->转发配置
                TCP转发端口改为仅网页 或者手动输入 80,443
                保存&应用
     规则列表-->直连列表-->不走代理的IP(下面的框)
                 
                粘贴以下文本，保存&应用

1. #OpenDNS
   
2. 208.67.222.222
   
3. 208.67.220.220
   
4. 2620:119:35::35
   
5. 2620:119:53::53
   
6. 
   
7. #Google
   
8. 8.8.8.8
   
9. 8.8.4.4
   
10. 2001:4860:4860::8888
    
11. 2001:4860:4860::8844
    
12. 
    
13. #TWNIC
    
14. 101.101.101.101
    
15. 101.102.103.104
    
16. 2001:de4::101
    
17. 2001:de4::102
    
18. 
    
19. #IIJ
    
20. 103.2.57.5
    
21. 103.2.57.6
    
22. 2001:300::5
    
23. 2001:300::6
    
24. 
    
25. #DNS.SB
    
26. #HK
    
27. 45.125.0.26
    
28. 2403:2c80::26
    
29. #JP
    
30. 103.121.210.210
    
31. 2403:fbc0:1000::babe
    
32. 202.5.221.130
    
33. 2403:ac80:1030::2
    
34. #KR
    
35. 3.34.32.82
    
36. 2406:da12:6cb:df00:7a77:c387:2bed:613c
    
37. #SG
    
38. 165.22.61.129
    
39. 2400:6180:0:d0::45a:b001
    
40. 
    
41. #NextDNS
    
42. #HK
    
43. 45.11.104.186
    
44. 2a00:11c0:17:429::3
    
45. #TW
    
46. 45.150.242.161
    
47. 2407:b9c0:b001:2e8:5054:ff:fe80:b1c3
    
48. #JP
    
49. 103.170.232.254
    
50. 2a0b:4341:b02:166:5054:ff:fe53:ab1
    
51. #KR
    
52. 141.164.63.208
    
53. 103.127.124.46
    
54. #SG
    
55. 194.156.163.172
    
56. 2401:c080:1400:7fa3:5400:4ff:fe73:5582

复制代码

     服务器端
                勾选启用，在用户管理中点击添加 按下图所示填写配置，保存&应用
                (你可以自定义用户名、密码和端口，记得要同步修改SmartDNS-->代理服务器设置 中的参数)
               
⑤ SmartDNS勾选启用，保存&应用；PSW选中节点后勾选启用，保存&应用
至此配置完成。

⑥ 详见网盘PDF “第三部分 目前已知瑕疵及解决方案”

终端输入以下命令可以查看审计日志

1. tail -f /mnt/sda3/smartdns/log/smartdns-audit.log

复制代码

终端输入以下命令可以查看错误日志

1. tail -f /mnt/sda3/smartdns/log/smartdns.log

复制代码

---

第二部分 配置详解
基本设置

高级设置

第二DNS服务器
如果节点支持IPv6且PSW已经开启了IPv6透明代理，此处可以取消勾选停用IPv6地址解析

DNS64服务器配置：保持默认

代理服务器配置(此处配置要与PSW-->服务器端中的配置相对应，可以自定义用户名、密码和端口)

1. socks5://smartdns:123456@127.0.0.1:11111

复制代码

自定义设置

1. log-level notice
   
2. log-file /mnt/sda3/smartdns/log/smartdns.log
   
3. log-size 1M
   
4. log-num 3
   
5. 
   
6. audit-enable yes
   
7. audit-file /mnt/sda3/smartdns/log/smartdns-audit.log
   
8. audit-size 1M
   
9. audit-num 3
   
10. 
    
11. cache-file /mnt/sda3/smartdns/cache/smartdns.cache
    
12. cache-checkpoint-time 120
    
13. 
    
14. serve-expired-ttl 31536000
    
15. serve-expired-reply-ttl 3
    
16. serve-expired-prefetch-time 86400
    
17. 
    
18. dualstack-ip-selection-threshold 10
    
19. dualstack-ip-allow-force-AAAA no
    
20. 
    
21. expand-ptr-from-address yes
    
22. dnsmasq-lease-file /tmp/dhcp.leases
    
23. 
    
24. domain-set -name chinalist -file /mnt/sda3/smartdns/domain_set/chinalist.conf
    
25. 
    
26. nameserver /domain-set:chinalist/China

复制代码

上游服务器
(注意：截图无法完整体现配置信息，此处只做展示，具体使用请直接替换网盘中的配置文件)
如果你的网络环境非常恶劣，可以考虑为每个服务器都配置 TLS 主机名校验和 SPKI Pin 校验

SPKI指纹获取方法(确保在网络环境可信的Linux主机上运行):

1. #IPv4地址(以Google DoT服务器为例)
   
2. echo | openssl s_client -connect 8.8.4.4:853 2>/dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
   
3. 
   
4. #IPv6地址(以Google DoT服务器为例)
   
5. echo | openssl s_client -connect [2001:4860:4860::8844]:853 2>/dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

复制代码

Q: 为什么TTL只给60秒？缓存结果岂不是迅速过期？
A: 客户端拿到的解析结果会迅速过期，但是SmartDNS有过期域名缓存功能，利用这个机制可以尽可能频繁地刷新缓存条目，而且可以在PSW切换不同地区节点的时候让客户端尽快收到正确的解析结果(最坏情况小于120秒，最好情况1秒)，虽然现在的代理工具已经非常智能，有sniffing功能保证即使你拿着错误的IP地址仍然可以打开对应的网站，但是正确的解析结果总是会让上网更顺畅。
Q: 为什么你添加了那么多的上游DNS？不会慢吗？
A: 在域名首次查询时会返回首先有ping值的结果，TTL为3秒，过期缓存机制会保证以后的查询都返回最快的几个IP。
Q: 360 DNS真的安全吗？我不敢用。
A: 自定义设置中有规则使得我们使用国内DNS(China服务器组)只会查询chinalist列表中的域名，海外DNS(OverSea服务器组)会查询不在chinalist中的域名。
Q: 如果访问不在chinalist中的域名按照规则会使用OverSea组解析，是否会解析出海外IP？
A: OverSea组中，OpenDNS(1~4)、Google(1~4)支持EDNS Client Subnet，可以根据IP段返回与此IP段最近的解析结果。
        我们再梳理一下解析的逻辑
        第一DNS(6053端口)：
                如果域名在chinalist中，仅使用China服务器组直连解析
                如果域名不在chinalist中，仅使用OverSea服务器组直连解析
        第二DNS(5335端口)：
                始终使用GFW服务器组，走代理解析
Q: GFW组为什么有几个服务器没勾选？
A: Google(Remote-1~4)和Quad9(Remote-1~4)只负责第二DNS，它们被排除在默认组之外，并使用代理去解析。
默认没有勾选的是IPv6服务器，即Google(Remote-3~4)和Quad9(Remote-3~4)，如果你的节点不支持IPv6，那么通过IPv6进行请求会根据PSW的分流规则使用本地IPv6网络去请求解析，这会污染第二DNS解析结果。
如果你的节点支持IPv6，且PSW开启了IPv6代理，那么可以勾选Google(Remote-3~4)和Quad9(Remote-3~4)。

第三部分 目前已知瑕疵及解决方案

OpenWrt路由器WAN口重新连接后(一般发生在运营商定时主动断开PPPoE以回收IP)，Dnsmasq会重启，PSW分流规则失效且会出现IP泄漏，这会导致某些靠检测IP判断用户地理位置的网站不可用(如Netflix)

此问题在手动重启PSW后恢复正常。

解决方案(以下脚本文件也可以在网盘中下载)：

由于平台有关键字替换，此处无法展示脚本文件细节

网盘pdf有详细的说明。

Sometim***

sdjason 发表于 2024-4-23 11:35
大佬，能不能利用smartDNS指定网内只有openwrt获取ipv6地址，其他设备只获取ipv4地址？现在运营商的ipv4只 ...

不需要
PSW在开启后会接管dnsmasq的解析
当域名按照PSW中的规则是需要走代理的，就会返回127.0.0.1:5335(第二DNS)的结果
如果按照规则需要直连，则返回127.0.0.1:6053(第一DNS)的结果
第二DNS已经设置好返回的结果屏蔽IPv6地址，所以可以直接使用
不需要曲线救国，我在设计的时候已经考虑到这一点了。
你可以自己验证，在终端分别输入

1. nslookup www.v2ex.com 127.0.0.1:6053
   
2. nslookup www.v2ex.com 127.0.0.1:5335
   
3. nslookup www.v2ex.com 127.0.0.1:53

复制代码

53端口返回的结果就是OpenWrt最终呈现给局域网内客户端的解析结果。
注意第一次执行命令可能会返回过期缓存中的结果，没有参考意义，你可能需要连续执行2次才能看出来。

同样的道理，你可以再试一试www.bilibili.com
看看返回什么结果。

sdj***

大佬，能不能利用smartDNS指定网内只有openwrt获取ipv6地址，其他设备只获取ipv4地址？现在运营商的ipv4只有内网地址，需要通过ipv6来做ddns，但是内网其他设备获取了ipv6会对“师夷长技以制夷”造成很大的干扰

这个链接提供了一些思路，看看大佬能不能帮助拓展一下功能？ https://v2ex.com/t/664819

“另外曲线救国的思路包括
smartdns建立一个IPv4 only的DNS服务器给NAS外的设备使用，NAS使用正常的DNS”

wwj***

wwj5244 发表于 2024-4-21 00:40
大佬，用你4.1的x86固件，按照你的步骤导入了配置后，都能正常使用smartdns+“师夷长技以制夷”，电脑访问 ...

后续把代理服务器去掉，GFW组改用8.8.8.8 853 tls， 8.8.4.4853 tls就全部正常了，其他朋友配置完上不了外网的可以尝试一下，
这个就能看出OverSea组起作用了，不开smartdns时，是美国ip，开了是日本ip
nslookup events-delivery.apple.com 127.0.0.1:53
就是ipv6我全局都关掉了，这个影响大吗？我这个做旁路由使用，主路由没开ipv6

wwj***

大佬，用你4.1的x86固件，按照你的步骤导入了配置后，都能正常使用smartdns+“师夷长技以制夷”，电脑访问国内外网站都是正常的，就是“师夷长技以制夷”订阅链接手动订阅一直失败为啥呢，关闭smartdns是能正常订阅的。
smartdns第二DNS服务器勾选上

跳过cache

好像就可以了

yon***

大佬你好，首先谢谢你的无私贡献，按照你的教程配置到这一步就不知道怎么操作了，如果这一步不继续操作下去，只会影响Netflix？如果继续操作下去，具体该怎样？

bj***

太好了,就想找这个!!!!!!!!!!!!!

casa***

似懂非懂，先学习一下

17775***

PSW是什么啊不明白，网盘要魔法啊

Sometim***

whq086 发表于 2024-4-3 14:28
大神好，旁路由+AdGuard Home 在smartdns里自定义加
bind:6053 -group china
bind:5335 -group OverSea 是 ...

不清楚为什么要加这两行
luci里面已经有主DNS 6053端口和第二DNS 5335端口的配置了：
6053如果域名在chinalist里选用China组直连解析，不在chinalist的域名选用OverSea组直连解析；
5335一律使用GFW组走代理解析。
所以如果你不知道自己改的配置是什么含义，我的回答是不可行。
https://pymumu.github.io/smartdns/configuration/

Sometim***

hxm188 发表于 2024-4-4 04:12
感谢楼主的分享，使用了几天，总体效果还是不错的，给作者点赞~~

有一个小问题咨询，就是 iPhone 上（小屏 ...

其实不做直连列表，如果iPad插SIM卡的话，也会跳到高德地图。
尝试把这些加到直连列表中

1. #Apple
   
2. aaplimg.com
   
3. apple-cloudkit.com
   
4. apple-dns.net
   
5. apple-livephotoskit.com
   
6. apple-mapkit.com
   
7. apple.cn
   
8. apple.com
   
9. apple.com.cn
   
10. appstore.com
    
11. cdn-apple.com
    
12. icloud-content.com
    
13. icloud.com
    
14. icloud.com.cn
    
15. itunes-apple.com
    
16. itunes.com
    
17. ls-apple.com
    
18. me.com
    
19. mzstatic.com
    
20. origin-apple.com
    
21. push-apple.com
    
22. safebrowsing.apple
    
23. p-events-delivery.akamaized.net
    
24. apple.com.edgekey.net
    
25. apple-support.akadns.net
    
26. apple.com.akadns.net
    
27. apple.com.edgekey.net.globalredir.akadns.net
    
28. cdn-apple.com.akadns.net
    
29. courier-push-apple.com.akadns.net
    
30. icloud.com.akadns.net
    
31. itunes-apple.com.akadns.net
    
32. ls-apple.com.akadns.net
    
33. origin-apple.com.akadns.net
    
34. push-apple.com.akadns.net
    

复制代码

hxm***

感谢楼主的分享，使用了几天，总体效果还是不错的，给作者点赞~~

有一个小问题咨询，就是 iPhone 上（小屏的 Apple 设备）使用 Apple 的地图 App 是正常的，但是 iPad、Mac（大屏 Apple 设备）上使用 Apple 地图 App（以及查找 App）却没法正常接入高德地图的数据，看大陆的地图使用的是国外的地图数据，信息是漂移的，地名是英文的，公共交通、路况等信息是没有的，所以几乎是没法用，我猜测和 DNS 的分流有关。

我使用教程中的 tail -f /mnt/sda3/smartdns/log/smartdns-audit.log 命令查看了审计日记，并分别在 iPhone 和 iPad 上打开地图 App，得到了以下信息：

① iPhone 上（正常）：
[2024-04-04 03:48:36,373] 127.0.0.1 query gsp-ssl.ls.apple.com, type 1, time 0ms, speed: 32.0ms, result 17.253.87.216, 17.253.87.213, 17.253.85.208
[2024-04-04 03:48:36,375] 127.0.0.1 query gspe1-ssl.ls.apple.com, type 1, time 0ms, speed: -0.1ms, result 96.16.55.68, 23.202.34.168, 23.33.184.237, 96.16.55.104
[2024-04-04 03:48:36,424] 127.0.0.1 query calendar.google.com, type 1, time 0ms, speed: -0.1ms, result 142.251.214.142, 172.217.27.14, 142.251.46.206, 142.251.220.110
[2024-04-04 03:48:37,162] 127.0.0.1 query imap.gmail.com, type 1, time 0ms, speed: -0.1ms, result 74.125.203.109, 142.250.157.108, 142.251.8.109, 142.250.157.109, 142.251.8.108, 74.125.203.108
[2024-04-04 03:48:37,244] 127.0.0.1 query configuration.ls.apple.com, type 1, time 0ms, speed: 39.4ms, result 203.235.98.51
[2024-04-04 03:48:38,172] 127.0.0.1 query gsp64-ssl.ls.apple.com, type 1, time 0ms, speed: 0.1ms, result 17.36.206.7, 17.167.200.72, 17.57.172.5, 17.57.12.11, 17.36.206.8
[2024-04-04 03:48:39,471] 127.0.0.1 query p210-caldav.icloud.com.cn, type 1, time 0ms, speed: 5.9ms, result 222.73.192.124, 222.73.192.112, 222.73.192.108, 222.73.192.120, 222.73.192.244, 222.73.192.240, 222.73.192.248, 222.73.192.116
[2024-04-04 03:48:43,410] 127.0.0.1 query app-measurement.com, type 1, time 0ms, speed: -0.1ms, result 142.251.220.78, 142.250.66.46, 216.58.203.78, 142.251.220.110
[2024-04-04 03:48:44,361] 127.0.0.1 query init.ess.apple.com, type 1, time 0ms, speed: 32.1ms, result 17.253.85.205, 17.253.85.201, 211.239.236.19
[2024-04-04 03:48:44,375] 127.0.0.1 query init-p01md.apple.com, type 1, time 0ms, speed: 38.4ms, result 42.202.220.27

② iPad 上（不正常）：
[2024-04-04 03:49:27,321] 127.0.0.1 query gspe1-ssl.ls.apple.com, type 1, time 0ms, speed: -0.1ms, result 23.49.104.42, 23.202.34.168, 23.33.184.237, 23.202.34.115, 23.49.104.58
[2024-04-04 03:49:27,370] 127.0.0.1 query gspe35-ssl.ls.apple.com, type 1, time 0ms, speed: 38.3ms, result 203.235.96.102
[2024-04-04 03:49:27,417] 127.0.0.1 query cdn.apple-mapkit.com, type 1, time 0ms, speed: 7.4ms, result 183.131.40.6
[2024-04-04 03:49:28,169] 127.0.0.1 query gspe19-ssl.ls.apple.com, type 1, time 0ms, speed: 40.0ms, result 203.235.98.51
[2024-04-04 03:49:28,771] 127.0.0.1 query api.bilibili.com, type 1, time 1ms, speed: 5.8ms, result 183.131.147.30, 183.131.147.29, 183.131.147.48, 183.131.147.28, 183.131.147.27
[2024-04-04 03:49:29,278] 127.0.0.1 query gspe19-2-ssl.ls.apple.com, type 1, time 0ms, speed: 32.0ms, result 211.239.236.24
[2024-04-04 03:49:30,493] 127.0.0.1 query broker.miwifi.com, type 1, time 0ms, speed: 10.3ms, result 222.186.18.238, 222.186.18.239, 222.186.18.240, 119.96.67.208, 222.186.18.243, 61.170.80.233, 222.186.18.244, 222.186.18.237
[2024-04-04 03:49:32,076] 127.0.0.1 query gateway.icloud.com.cn, type 1, time 0ms, speed: 6.7ms, result 222.73.192.244, 222.73.192.112, 222.73.192.108, 222.73.192.236, 222.73.192.120, 222.73.192.124, 222.73.192.248
[2024-04-04 03:49:33,774] 127.0.0.1 query api.vc.bilibili.com, type 1, time 0ms, speed: 5.8ms, result 183.131.147.29, 183.131.147.48, 183.131.147.28, 183.131.147.27, 183.131.147.30
[2024-04-04 03:49:34,764] 127.0.0.1 query mesu.apple.com, type 1, time 0ms, speed: 33.3ms, result 17.253.85.202, 17.253.85.201

结合日志以及 V2EX 论坛的某个贴子（https://www.v2ex.com/t/682766），*.ls.apple.com 应该是 Apple 地图负责处理地理信息的 API，理论上所有设备使用 Apple 地图都应该请求的是相同的 *.ls.apple.com 域名，然而 iPhone 上和 iPad 上指向的是不同的 *.ls.apple.com 域名，不知是什么原因。随后，经过反复实验，iPhone 上总是会指向日志中它对应的那几个 *.ls.apple.com 域名，iPad 上也总是指向它对应的那几个 *.ls.apple.com 域名，我想这是造成 iPad、Mac 上 Apple 地图不可用的原因。

我还看到了一篇名为《如何在透明代理网络环境下得到正常的苹果地图》（https://blog.stdin.in/blog/how-t ... -transparent-proxy/）的博文，也提到了我遇到的情况，博主通过内网搭建“SNI Proxy”的方式让 *.ls.apple.com 的请求都不走代理而直连来解决了这个问题。供您参考。

以上，就是我目前遇到的和您教程有关的问题，如果有幸看到我的评论，恳请楼主提供一下协助，看看可否有方法解决我遇到的这个问题。我虽大致了解了楼主教程的基本原理，却也不甚清楚每一个步骤的目的和意义，所以总的来说还是在照猫画虎的学做了相同的设置，也无从下手去尝试修改。我试过将 ls.apple.com 加入 psw 的直连列表，似乎没有作用，而且这也应该不是万全之策，毕竟没法穷举所有的 *.ls.apple.com 以及它们指向的 IP 地址。

再次感谢楼主的分享，如果看到我的评论还望指点一二，不胜感激！！

whq***

大神好，旁路由+AdGuard Home 在smartdns里自定义加
bind:6053 -group china
bind:5335 -group OverSea 是否可行

Sometim***

violente 发表于 2024-3-23 18:37
mark...
感觉服务器列表截图还不够详细

图片实在是没法详细展示，详细的配置可以看网盘文件
我都懒得在图片里标注了🤣

whq***

很好，mark up！！