Dolingou 的 RSS 预览

😀

前一篇文章尝试使用RouterOS Address List配合防火墙Mangle的Prerouting规则进行国内外流量的自动分流，效果还不错，秉承着不把家里网络搞塌就不算完的态度，我又尝试寻找更好~~（更复杂）~~的分流方法，原来在2020年就已经有人在使用Ospf进行路由表分流，那我也来尝试配置一下看看。在通过ospf分流后，我的旁路网关这时候才真的称得上是一个旁路由，因为真的在进行路由路径的分流。

📝 OSPF介绍

OSPF（开放最短路径优先）是一种常用的路由协议，一般用于大型企业和网络服务提供商的网络中，家庭网络使用有点杀鸡用牛刀。它的主要功能是通过路由器的路由功能，为网络内的客户端找到通往目标网络的最短路径，并自动更新这些路径信息。OSPF的工作原理是通过收集整个网络的路径信息，然后使用一种算法计算出到每个目的地的最优路径。当网络中的某条线路发生变化时，OSPF可以迅速做出调整，保证数据能够继续以最快的方式传输。

📝 配置背景

整体是All In One（All in Boom）,采用Proxmox VE（PVE）虚拟机方式，以下所有设备均在Proxmox VE（PVE）内。

主路由器：RouterOS(ROS)

光猫桥接模式，通过PPPoE Client建立pppoe-out1建立拨号，并通过指定AC Bras的方式，获取公网IPv4地址和公网IPv6地地址。
4个网口，分别为eth1 ~ eth4，其中eth4作为WAN口与光猫物理连接，pppoe-out1也是这个接口；其他三个接口建立桥接，为bridge1，变成类似交换机的模式。
版本为7.16(Stable)，目前已经更新至7.18(Stable)

旁路由（旁路网关）：Debian 12(Linux debian 6.1.0-30-amd64)

接口为ens18，网关为主路由bridge1地址
运行DAED作为科学上网服务

📝 配置指南

Debian配置

开启IPv4及IPv6转发

打开/etc/sysctl.conf 确认包括以下内容，并没有被注释：

如果进行了修改，需要通过sysctl -p 命令使其生效。

安装Bird2及配置

在网络中使用OSPF协议时，需要一个路由守护进程来实现其功能，Bird2作为轻量且高性能的解决方法，同时支持IPv4及IPv6路由表。Bird2是一款支持多种路由协议的软件，广泛使用于Unix类系统，例如Linux和FreeBSD，在大多数常见系统中均可找到安装及使用方法。

通过apt进行安装:

bird2安装完成后默认为运行状态，我们需要先将其关闭：

编辑Bird2配置文件:

Deiban系统在安装Bird2后，配置文件默认存放位置位于/etc/bird/bird.conf ，需要对其编辑。

配置说明如下：

1. log syslog all;

作用：将BIRD的所有日志输出到系统日志（syslog），可以通过journalctl -xeu bird 进行bird日志查看

2. router id 10.0.0.10;

作用：定义了BIRD路由器的标识（Router ID），Router ID是一个唯一的IPv4地址形式，需要自行更改配置为自己旁路由（旁路网关）的IPv4地址

3. protocol device { scan time 60; }

作用：device协议的配置，负责发现和监控网络接口的状态。scan time 60;表示BIRD每60秒扫描一次所有网络接口，以更新接口状态信息。

4. protocol kernel { ipv4 { import none; export none; }; } 和 protocol kernel { ipv6 { import none; export none; }; }

作用：kernel协议用于在BIRD的路由表和操作系统的内核路由表之间同步路由信息。

import none：不从内核路由表导入路由信息。
export none：不将BIRD中的路由信息导出到内核路由表。
禁止BIRD与操作系统的内核交换任何路由信息，完全独立管理IPv4和IPv6的路由表，避免将Bird的静态路由信息导入到内核路由表造成本地回环，同时减少内核路由表内路由规则数目，便于进行debug。

protocol static { ipv4; include "/etc/bird/routes4.conf"; } 和 protocol static { ipv6; include "/etc/bird/routes6.conf"; }

作用：static协议用于定义静态路由。静态路由不会根据网络拓扑的变化自动更新，需要手动配置。

ipv4：该协议块是针对IPv4的静态路由。
ipv6：该协议块是针对IPv6的静态路由。
include "/etc/bird/routes4.conf";：从指定的文件/etc/bird/routes4.conf中导入IPv4静态路由配置。
include "/etc/bird/routes6.conf";：从指定的文件/etc/bird/routes6.conf中导入IPv6静态路由配置。

6. protocol ospf v2 { ... }

作用：这部分配置定义了OSPFv2（用于IPv4）的路由协议。

ipv4 { export all; }：将BIRD中的所有路由信息导出到OSPFv2，供其他OSPF路由器学习。
area 0.0.0.0：配置OSPF的区域，这里是骨干区域0.0.0.0。在OSPF中，所有非骨干区域必须通过骨干区域连接。
interface "ens18" { type pointopoint; }：指定OSPFv2在接口ens18上运行，并且接口类型为点对点（point-to-point）。点对点类型通常用于没有中间广播域的直接链路。
需要根据自己实际情况修改为旁路由（旁路网关）接口名称。

7. protocol ospf v3 { ... }

作用：这部分配置定义了OSPFv3（用于IPv6）的路由协议。

ipv6 { export all; }：将BIRD中的所有路由信息导出到OSPFv3，供其他OSPF路由器学习。
area 0.0.0.0：配置OSPF的区域，和OSPFv2一样，这里也是骨干区域0.0.0.0。
interface "ens18" { type pointopoint; }：指定OSPFv3在接口ens18上运行，类型为点对点，和OSPFv2的配置类似。
需要根据自己实际情况修改为旁路由（旁路网关）接口名称。

生成静态路由规则

与上一篇文章RouterOS自动分流方案（支持IPv4 & IPv6）所使用的方式不同，这次我们需要生成所有非中国大陆地区的IPv4和IPv6地址信息，在Github上有dndx/nchnroutes: !chnroutes - chnroutes negated可以使用。

克隆仓库

编辑Produc.py

在第10行附近，修改—next后的default参数wg0为自己的旁路由（旁路网关）接口名称, 例如我的是ens18，就改成ens18。

2024年12月28日更新：

删除48行IPv4Network('172.16.0.0/12')的保留地址，或者替换为172.24.0.0/13，避免影响Cloudflare访问。原因在于Cloudflare IP Range中包括：172.64.0.0/13 这个地址范围，如果将IPv4Network('172.16.0.0/12') 配置为保留地址，那么Cloudflare所使用的172.64.0.0/13 也会被标记为直接从主网关出去，不需要经过旁路网关，所以会出现部分使用Cloudlfare CDN的网站无法访问的情况，例如Linux.do。

另外，更换china_ip_list上游地址，原来的17mon的国内ip地址表太久未更新，存在地址范围错误，无法应对墙中墙（各种ISP运营商反诈劫持）的情况。

编辑Makefile

取消5、6、7行的注释。因为使用的是Bird2，没有Birdc6命令，所以不做修改。

生成静态路由表

需要确保你已经安装make，如果没有安装可以通过apt install make进行安装，然后执行：

返回结果：

即表示Bird2生成OSPF动态路由表成功。

确认Bird2状态

执行systemctl status bird.service来查看bird2的运行状态：

如果Active处于inactive状态，需要手动执行systemctl start bird.service

确认Bird2路由表状态

执行命令birdc show route protocol static1查看IPv4路由表，返回结果太多，大概是如图：

执行命令birdc show route protocol static2查看IPv6路由表：

到这里Debian（旁路网关）的Bird2配置完成，下面可以开始进行RouterOS配置

RouterOS配置

在WinBox中点击左侧菜单Routing进行配置

Router ID配置

点击Routing → Router ID进行配置。 Name自己喜欢填什么就填什么，ID填写RouterOS的地址，Dynamic ID选择only vrf，Select From VRF选择main，点击OK提交。

OSPF配置

点击Routing → OSFP进行配置

Instances配置

点击New新建，填入Name（自己根据喜好填），也可以默认根据我的来。Version版本选择2，VRF使用main表，Router ID选择刚刚创建的main，或者直接输入RouterOS的IP地址。其他不动。

如果你使用IPv6，那么需要再新建一个Instances，Version选择为3，其他的一样。

Areas配置

点击Areas，点击New新增一个Area。 Name随便，Instance选择刚刚创建IPv4的Instance（Version版本为2），Area ID为0.0.0.0 ，Type为default ，其他不用填写。

同样，如果你需要使用IPv6，那么也需要新建一个Area，并在Instance中选择刚刚创建的Version版本为3的Instance。

Interface Templates配置

点击Interface Templates，点击New新增一个模板。Area选择刚刚创建的IPv4的区域，Network Type为ptp（点对点，因为我们只有两个点），Cost为10，Priority为32，其他的不用管。

同样，如果使用IPv6再新建一个Templates，Area选择IPv6的区域

查看结果

上述配置完成后，点击Neighbors进行节点匹配查看，如果正常的话，应该可以发现Debian（旁路网关）上配置Bird2的节点：

同时在IP → Routes中应该可以看到Debian（旁路网关）上Bird2发送过来的状态为DAo的路由表（D代表动态，A是活动状态，o为ospf）

避免路由环路配置

在以上配置完成后，在我们访问国外流量时会发生环路，即客户端 → RouterOS → Debian旁路网关 → RouterOS → Debian旁路网关… 不断的循环，所以需要对来源为Debian（旁路网关） 的流量进行特殊处理，这里又要用到我们的老朋友Mangle。

首先在Routing - Tables新建一个路由表，名为bypass，并勾选FIB：

在IP → Firewall → Managle新建规则，并将规则移动到最上方，处于高优先级：

General

Chain: prerouting
In.Interface: bridge1

Advanced

Src.MAC Address: Debian旁路由（旁路网关）的网卡MAC地址

Action

Action： Mark Routing
New Route Mark： 选择刚刚新建的Bypass

如果你需要使用IPv6的话，在IPv6 → Firewall → Mangle也新建一条一样的规则，同时将规则移动到最上方，处于高优先级。目前已知规则如果位于MSS钳制规则后，会导致mark routing标记无效。

配置Bypass路由表内路由规则

如果发现配置后从旁路由（旁路网关）Ping不通主路由RouterOS或者无法访问，提示Destination Host Unreachable或者Redirect Host(New nexthop: 10.0.0.1)，可以在Dst.Address添加一项局域网地址范围，例如我的10.0.0.0/24 ,并点击前面空白方块出现“！”，即目标地址不为局域网地址的流量。这样旁路由在使用Tailscale时候也可以正确的访问局域网内其他设备。

通过以上规则，在来源为Debian旁路由（旁路网关）的流量进入到RouterOS后，使用bypass路由表进行路由，默认这个表是空的，也就是无法对流量进行路由，所以会断网，我们需要添加一些默认的规则进去，基本照抄main表的默认规则就行：

新建IPv4局域网路由规则

Dst.Address: 局域网IP地址范围，如果你是主路由是192.168.1.1 ，那么这里写192.168.1.0/24
Gateway: 填写网桥地址，例如我的是bridge1 ，也是RouterOS建立网桥时默认名字
Distance: 1
Routing Table: bypass

新建IPv4广域网路由规则

Dst.Address: 0.0.0.0/0
Gateway: 填写PPPoE拨号接口名称，例如我的是pppoe-out1
Distance: 1
Routing Table: bypass

如果你没有公网IP，运营商分配给你的是一个大内网的IP地址（100.x.x.x）,可能需要手动添加一条指向大内网网关的路由规则。由于每次拨号后IP地址会变，运营商内网的网关也会变，所以需要使用RouterOS的脚本进行定时检查和修改：

新建IPv6局域网路由规则

Dst.Address: fe80::/64%bridge1
Gateway: 填写网桥接口名称，例如我的是bridge1
Distance: 1
Routing Table: bypass

然后依葫芦画瓢，把其他相关的fe:: f*:: 的内网路由规则添加进去

新建IPv6广域网路由规则

Dst.Address: ::/0
Gateway: 填写PPPoE接口名称，例如我的pppoe-out1
Distance: 1
Routing Table: bypass

但是这样配置完成后，我们的IPv6还是没有办法访问互联网，通过与main表比对发现，因为缺少一条上级网关的地址：

但是这个地址是动态的，所以我们需要通过一个RouterOS脚本来进行动态处理：

新建Routing Rule规则

由于RouterOS的IPv6路由表使用时，会同时对main表和bypass表进行查询，所以需要添加一条Routing规则，使已经标记routing mark的连接只使用bypass表进行查询，从而避免由于路由表多表查询所产生的环路问题：

选择Routing → Rules → New，如图填写：

需要注意的点就一个：一定在Action选择lookup only in table，即针对Routing Mark为bypss的连接只使用bypass表查询。

如果你找不到这个界面，那么也可以使用命令方式添加：

至此，RouterOS部分的全部配置完成，同时整体的基于OSPF动态路由的国内外分流也已经完成。但分流的基础还是基于IP地址，所以需要使用无污染的DNS公共服务器，同时尽量使用DOH、DOT等方式进行查询，避免运营商的DNS劫持。

🤗 总结归纳

相比上一篇使用的Address List方式，因为是直接查询路由表，不用对目标IP进行取反匹配，而且不用对所有流量进行mangle标记，仅需要对来源旁路由的流量进行标记处理，在系统性能占用上会少一些，同时也可以开启RouterOS的fast forward功能、fast track功能以及fast path，进一步降低CPU对流量处理所需资源，N4100在Fast.com300M跑满时CPU占用30%左右，内网2.5G跑满CPU占用不到10%。而且避免了旁路由（旁路网关）挂断之后国外网站完全无法访问的情况。

我认为即便是在使用Dae这种直连效率非常高的透明代理解决方案的情况下，直连流量尽可能的不经过旁路由（旁路网关）才是最佳的效率选择，所以相比使用Mihomo或者其他的软件，在分流规则的第一层通过路由表方式将国内流量直接发出去才能避免产生更多的问题（例如NAT等等等）并获得最佳的访问速度。

至于为什么要实用RouterOS来做，当然是因为RouterOS相对来说配置起来更为顺手，稳定性更好一些。当然，这些通过OpenWRT也可以实现。

OpenWRT版本已更新《🌐OpenWRT配置Bird使用OSPF国内外动态路由分流》

📎 参考文章

RouterOS + OSPF 实现高可用的 IP 分流

dndx/nchnroutes: !chnroutes - chnroutes negated

💡

有关旁路由（旁路网关）安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~

😀

之前介绍了不少关于MosDNS、AdGuard Home和OpenClash的内容，里面绕不开的一个部分就是：用来解析国外域名，获取无污染解析结果的DNS服务器应该选择哪家，或者说有哪些无污染的公共DNS服务器可以选择。今天这篇文章，就对我使用过的DNS服务器进行一个整理，并进行无污染DNS服务器的推荐。

📝 个人对DNS服务器选择的看法

DNS服务器的主要作用是将域名解析转换为IP地址，同时支持负载均衡、高可用性、反向解析、缓存加速等功能。DNS是互联网的基础设施之一，几乎所有的网络通信都依赖于DNS服务。所以选择一个稳定、高速且无污染的DNS的重要性不言而喻。在使用DNS分流的情况下，对国内域名与国外域名分别配置DNS可以有效提升解析速度与准确性，例如我在使用的MosDNS和AdGuard Home。

📝 国内DNS服务器

国内的公共DNS服务选择不多，我认为国内DNS只有三个选择，阿里云公共DNS（阿里巴巴）、DNSPod（腾讯）以及各省市运营商下发的DNS。阿里云公共DNS和DNSPod均支持ECS（edns-client-subnet）协议，在一定程度上可以缓解整体解析速度不如运营商DNS的情况。其他例如114、360、百度等等，均有前科，不太推荐选择。

同时在国内DNS的选择及使用上，我个人更推荐使用DOH、DOT方式，避免DNS泄露给运营商，从而产生DNS劫持。在部分省份，运营商DNS劫持会将目标网站的解析结果返回为反诈页面，例如被运营商DNS劫持到www.js96110.com.cn

名称	标准DNS地址	DOH地址	DOT地址	是否支持H3	ECS
DNSPod	`119.29.29.29` / `182.254.116.116`	`https://doh.pub/dns-query`	`dot.pub`	否	支持
AliDNS	`223.5.5.5` / `223.6.6.6`	`https://dns.alidns.com/dns-query`	`dns.alidns.com`	是	支持

📝 国外DNS服务器

我个人一般会用Google DNS、NextDNS、以及AdGuard DNS作为主要无污染DNS使用。NextDNS的免费额度足够家庭使用，当免费额度用完就切换到AdGuard DNS。在Google DNS存在国内访问问题的时候，会选择Quad9或者OpenDNS。Cloudflare DNS在我这里的稳定性和速度并不好，所以很少选择。大多数的国外公共DNS均可以返回无污染的DNS解析结果，这些公共DNS服务基本都支持DNSSEC。

在衡量与选择国外公共DNS服务时，延迟与丢包一般是我首先考虑的因素，其次就是DOH（DNS over HTTPS）和DOT（DNS over TLS）的支持，如果能够支持H3（http3）或者tls pipeline的话，那么一般就会是首选的DNS服务。其他次级考虑的因素还包括是否支持ECS，如果可以支持ECS，我会选择代理出口位置附近的IP。通过MosDNS的ECS功能，可以自定义ECS地址，使解析的CDN结果更靠近所配置的IP地址，从而提高解析结果的访问速度，例如我喜欢配置国外的ECS地址为代理的出口地址，这样通过代理访问时，可以获得最佳速度及可用性。

同时在使用DOT或DOH使，可使用dial_addr替代域名，可免去每次建立连接时需要Bootstrap DNS先解析DNS服务器域名。dial_addr一般为标准DNS的IPv4和IPv6地址。

由于一些公共DNS使用DNSCRYPT，需要使用DNS服务器公钥，存在局限性，所以暂时未列入表单内，也不作为DNS选择与衡量的指标。

同时大部分公共解析服务均为IPv4和IPv6双栈，即使用IPv4的DNS公共解析服务也可以解析IPv6地址，所以列表内不再进行IPv4和IPv6的区分。

在设备支持的情况下，非常建议选用支持DoH与DoT的DNS服务器。

仅作测试使用的DNS服务器

以下DNS服务器是仅作测试使用的DNS服务器，不建议作为日常主力使用DNS解析服务，推荐仅在测试时进行使用，或作为落地区域的DNS使用。这些DNS服务大多不提供DOH或DOT选项，且在直连情况下存在延迟较高、丢包较多等不稳定因素。

DNS服务名称	标准DNS地址	DoH地址	DoT地址	是否支持H3	ECS
HKBN DNS	`203.80.96.10` / `203.80.96.9`	不支持	不支持	否	不支持
NTT Communications DNS	`61.213.169.170` / `61.213.169.171`	不支持	不支持	否	不支持
NEC BIGLOBE DNS	`202.225.96.66` / `202.225.96.68`	不支持	不支持	否	不支持
Yahoo Japan DNS	`182.22.70.1` / `182.22.70.2`	不支持	不支持	否	不支持
DNS.SB	`45.11.45.11`	`https://doh.dns.sb/dns-query`	`dot.sb`	否	不支持
腾讯国际	`162.14.21.178`/ `162.14.21.56`	不支持，可通过腾讯云套娃DOH	不支持，可通过腾讯云套娃DOT	否	不支持
Microsoft DNS / Level 3 Communications	`4.2.2.2` / `4.2.2.1`	不支持	不支持	否	不支持
HiNet/中華電信	`168.95.1.1` / `168.95.192.1`	不支持	不支持	否	不支持
TWNIC Quad101 Public DNS	`101.101.101.101` / `101.102.103.104`	不支持	不支持	否	不支持

DNS延迟测试脚本

这个Python脚本需要ping3依赖，复制以上代码并保存为*.py文件，通过命令行运行。可替换IP地址为自己想要进行测速的DNS的IP地址，每个DNS的IP地址Ping次数默认为4 。脚本的注释算是清晰，可根据自己需要在脚本中修改。

非公共DNS服务（增强型DNS服务）

这里的非公共DNS是指提供具有用户唯一标识的DNS服务，允许用户自定义DNS过滤与隐私保护，提供访问控制，提供查询日志，提供部分路由优化等。相较于免费的公共DNS服务，这种DNS服务在部分情况下访问速度可能会更好一些。基础的DOH、DOT、DNSSEC、ECS基本都支持。

XNS.One提供非公共DNS使用，属于付费服务，需要邀请码，可以在他们的Telegram频道蹲一下。付费不支持支付宝与微信，只能信用卡付款。

NextDNS，我目前主要使用的DNS服务，免费版每个月提供30万次查询，基本够日常使用。可定制拦截列表。

AdGuard DNS，与NextDNS类似，免费版每个月提供30万次查询，允许配置5个接入点，2个服务器，支持配置100条自定义规则。

📝 其他关于DNS的参考信息

enable_pipeline: TCP/DoT使用RFC 7766新的query pipelining连接复用模式。

启用后可大幅提高连接利用率，减少建立连接/握手的次数，进而降低响应延时。

并非所有DNS服务器都支持。必须确定DNS服务器支持后再启用该选项。

Tips: 已知Google和Cloudflare的TCP/DoT是支持该模式的。知名的公共DNS服务商大多数都支持该模式。如果你使用MosDNS，可以使用 mosdns probe pipeline {tcp|tls}://server_ip[:port] 测试命令测试服务器是否支持。比如 mosdns probe pipeline tls://8.8.8.8 。

什么是ECS(EDNS Client Subnet)？

ECS(EDNS Client Subnet)是扩展DNS查询的一种机制，旨在提升内容分发网络（CDN）和地理位置相关的服务的效率。通常DNS服务器只看到客户端的IP地址，但通过ECS，DNS请求会包含客户端IP的一部分（子网信息）。这样，内容分发网络可以根据客户端的地理位置，返回更接近用户的服务器，减少延迟，提升性能。ECS主要用于优化网络和加速服务的访问，但也可能带来一定的隐私泄露风险。

测试了几家主流 DNS 的 ECS 功能 - V2EX

DNS - @baraja - 这几天折腾了一下自建 AdGuard Home 的上游 DNS ，发现某些号称支持 ECS 的 dns 比如 nextdns 、cloudflare-gateway 都不太适合作为 AGH 的上游。因

https://www.v2ex.com/t/1086059

什么是DOH（DNS over HTTPS）？

DoH（DNS over HTTPS）是一种技术，用来加密你的DNS查询。通常情况下（UDP及TCP协议情况下），DNS查询是明文的，容易被ISP运营商看到和监控。而DoH会通过HTTPS协议加密这些查询，确保你的请求内容是安全的，不会被ISP和运营商偷看。就像你在发送加密的信息一样，DoH保护了你上网时的隐私，并在一定程度上可以避免DNS劫持。

什么是ECH（Encrypted Client Hello）？

ECH（Encrypted Client Hello）是一种技术，用来加密你访问网站时的SNI（服务器名称指示）信息。通常情况下，当你想访问某个网站时，这个请求是明文的，运营商或其他第三方可以轻易看到你在访问什么网站，并可能进行拦截或阻断（例如SNI阻断）。这也是为什么有时你在国内访问GitHub和Linux.DO会遇到Time Out问题的原因之一。有了ECH，这些SNI信息就被加密了，外面的人就看不到你要访问哪个网站，从而提高了你的隐私和安全性。简单来说，ECH就像是在发送加密的信息，让你的浏览行为更加私密。

什么是DNSSEC(Domain Name System Security Extensions)？

DNSSEC(Domain Name System Security Extensions)是DNS系统的安全扩展协议，通过数字签名技术来确保DNS记录的真实性和完整性。它通过建立从根域名到下级域名的信任链，使用公私钥对对DNS记录进行签名和验证，能有效防止DNS欺骗和缓存污染。DNSSEC引入了几个关键记录类型：DNSKEY用于存储域名公钥，RRSIG包含数字签名信息，DS记录用于下级域委派签名，以及NSEC/NSEC3用于提供域名不存在的证明。虽然DNSSEC的配置较为复杂，可能增加DNS服务器负载并导致响应包变大，但它在防止DNS劫持和欺骗方面发挥着重要作用，目前已得到Google DNS (8.8.8.8)和Cloudflare (1.1.1.1)等主流公共DNS服务器的支持。

其他关于DNS选择的文章？

关于DNS选择，也可以参考：如何选择适合的公共DNS？ [2020] - Sukka's Blog

💡

有关DNS上的问题，欢迎您在底部评论区留言，一起交流~

DNS服务名称	标准DNS地址	DoH地址	DoT地址	是否支持H3	ECS
Google DNS	`8.8.8.8` / `8.8.4.4`	`https://dns.google/dns-query`	`dns.google`	是	支持
Cloudflare	`1.1.1.1` / `1.0.0.1`	`https://cloudflare-dns.com/dns-query`	`1dot1dot1dot1.cloudflare-dns.com`	是	支持
Quad9	`9.9.9.9` / `149.112.112.112`	`https://dns.quad9.net/dns-query`	`dns.quad9.net`	否	支持
AdGuard Public DNS	`94.140.14.14` / `94.140.15.15`	`https://dns.adguard.com/dns-query`	`dns.adguard.com`	否	支持
NextDNS	`45.90.28.0` / `45.90.30.0`	`https://dns.nextdns.io`	`45.90.28.0` / `45.90.30.0`	是	支持
OpenDNS	`208.67.222.222` / `208.67.220.220`	`https://doh.opendns.com/dns-query`	`208.67.222.222` / `208.67.220.220`	否	支持
Yandex DNS	`77.88.8.8` / `77.88.8.1`	`https://doh.yandex.net/dns-query`	`dns.yandex.net`	否	不支持
CleanBrowsing	`185.228.168.9` / `185.228.169.9`	`https://doh.cleanbrowsing.org/dns-query`	`security-filter-dns.cleanbrowsing.org`	否	不支持
jp.tiar.app	`172.104.93.80`	`https://jp.tiarap.org/dns-query`	`jp.tiar.app`	否	不支持
Comodo Secure DNS	`8.26.56.26`	`https://doh.comodo.com/dns-query`	`dns.comodo.com`	否	不支持
DNS.WATCH	`84.200.69.80`	`https://dns.watch/dns-query`	ㅤ	否	不支持
Blahdns（新加坡）	`46.250.226.242 2407:3640:2205:1668::1`	`https://doh-sg.blahdns.com/dns-query`	`dot-sg.blahdns.com`	是	不支持
CleanBrowsing	`185.228.168.9 185.228.169.9`	`https://doh.cleanbrowsing.org/doh/security-filter/`	`security-filter-dns.cleanbrowsing.org`	否	不支持
Block malware	`76.76.2.1`	`https://freedns.controld.com/p1`	`tls://p1.freedns.controld.com`	否	不支持
DeCloudUs	`78.47.212.211：9443`	`https://dns.decloudus.com/dns-query`	`tls://dns.decloudus.com`	否	不支持
Mullvad（新加坡）	-	`https://dns.mullvad.net/dns-query`	`tls://dns.mullvad.net`	否	不支持

Dolingou 修改