DNS-over-VLESS - направляем DNS-трафик через прокси xray

Июн 21

Безопасность в интернете с каждым днём становится всё более насущной необходимостью. Утечка личных данных может обойтись слишком дорого, поэтому о своей цифровой неприкосновенности лучше позаботиться заранее. И начать стоит, например, с защиты DNS-запросов. Обычно для этого используются такие протоколы, как DNS-over-TLS, DNS-over-HTTPS и другие. Я же предлагаю рассмотреть ещё один способ — направить DNS-трафик через прокси-сервер на базе Xray, назовём этот метод DNS-over-VLESS. В сети немало инструкций по настройке самого Xray, но вот проброс DNS-трафика через него раскрыт недостаточно подробно. Попробуем восполнить этот пробел.

dns-over-vless

Итак, первоначальное условие, у вас уже должен быть настроен и функционировать прокси xray VLESS с XTLS Reality по одной из многочисленных инструкций. Все действия по его "прокачке" выполняем локально на компьютере или роутере, сервер xray не трогаем*.

* Замечание от пользователя:

Во многих конфигурациях серверов xray, которые можно найти на просторах интернета, есть секция для предотвращения проблем с локальной маршрутизацией, в ней блокируется "geoip:private", куда попадает дефолтный адрес DNS-резолвера - 127.0.0.53. Для нашей задачи данное правило с "geoip:private" необходимо удалить, либо направить 127.0.0.53 выше этого правила в директ

Разобьём единый файл настроек xray config.json на файлы по разделам: inbounds.json, outbounds.json, dns.json, routing.json. Этих четырёх файлов достаточно для нашей задачи. После настройки и проверки работоспособности можете дополнительно добавить к ним log.json, politic.json. Впрочем, разбиение на разделы не обязательно, если вам удобней настраивать единый config.json, делайте так, как вам удобно.
Для реализации задуманного необходимо использовать входящее подключение (inbounds), поддерживающее UDP-протокол, например, TProxy.

inbounds.json

{
"inbounds": [
{
"port": 1181,
"protocol": "dokodemo-door",
"settings": {
"network": "tcp,udp",
"followRedirect": true
},
"sniffing": {
"enabled": true,
"routeOnly": true,
"destOverride": ["http","tls","quic"]
},
"streamSettings": {
"sockopt": {"tproxy": "tproxy"}
},
"tag": "tproxy"
}
]
}

{

"inbounds": [

{

"port": 1181,

"protocol": "dokodemo-door",

"settings": {

"network": "tcp,udp",

"followRedirect": true

"sniffing": {

"enabled": true,

"routeOnly": true,

"destOverride": ["http","tls","quic"]

"streamSettings": {

"sockopt": {"tproxy": "tproxy"}

"tag": "tproxy"

}

]

}

Как мы уже условились, прокси работает по протоколу VLESS с XTLS Reality и первое, что мы сделаем для пересылки через него DNS-трафика, это добавим в файл outbounds.json секцию DNS-протокола, а в исходящие подключения vless и freedom параметр domainStrategy, без этого параметра встроенный в xray DNS-сервер использоваться не будет.

outbounds.json

{
"outbounds": [
{
"protocol": "vless",
"settings": {
"address": "***.***.***.***",
"port": 443,
"id": "****************************",
"encryption": "none",
"flow": "xtls-rprx-vision"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"serverName": "*********",
"publicKey": "****************************",
"shortId": "********",
"spiderX": "/"
},
"sockopt": {
"domainStrategy": "ForceIP"
}
},
"tag": "proxy"
},
{
"protocol": "freedom",
"streamSettings": {
"sockopt": {
"domainStrategy": "ForceIP"
}
},
"tag": "direct"
},
{
"protocol": "dns",
"tag": "dns-out"
}
]
}

{

"outbounds": [

{

"protocol": "vless",

"settings": {

"address": "***.***.***.***",

"port": 443,

"id": "****************************",

"encryption": "none",

"flow": "xtls-rprx-vision"

"streamSettings": {

"network": "tcp",

"security": "reality",

"realitySettings": {

"serverName": "*********",

"publicKey": "****************************",

"shortId": "********",

"spiderX": "/"

"sockopt": {

"domainStrategy": "ForceIP"

}

"tag": "proxy"

{

"protocol": "freedom",

"streamSettings": {

"sockopt": {

"domainStrategy": "ForceIP"

}

"tag": "direct"

{

"protocol": "dns",

"tag": "dns-out"

}

]

}

Следующим шагом создадим файл dns.json и укажем в нём любой публичный DNS-сервер.

dns.json

{
"dns": {
"tag": "dns-in",
"servers": [
"8.8.8.8"
],
"queryStrategy": "UseIP"
}
}

{

"dns": {

"tag": "dns-in",

"servers": [

"8.8.8.8"

"queryStrategy": "UseIP"

}

Далее создадим в начале файла routing.json два правила, которые перехватят DNS запросы

routing.json

{
"routing": {
"rules": [
{
"inboundTag": ["dns-in"],
"outboundTag": "proxy"
},
{
"port": 53,
"outboundTag": "dns-out"
},
{
"domain": [
"browserleaks",
"ip.me"
],
"outboundTag": "proxy"
},
{
"network": "tcp,udp",
"outboundTag": "direct"
}
]
}
}

{

"routing": {

"rules": [

{

"inboundTag": ["dns-in"],

"outboundTag": "proxy"

{

"port": 53,

"outboundTag": "dns-out"

{

"domain": [

"browserleaks",

"ip.me"

"outboundTag": "proxy"

{

"network": "tcp,udp",

"outboundTag": "direct"

}

]

}

Настройка завершена, выполняем проверку.

Если ошибок не допущено, то проксируемый ресурс browserleaks.com покажет DNS страны нахождения вашего VPS. Не стоит бояться использования обычных DNS в рассмотренных конфигах, их трафик будет передан на VPS-сервер транспортом VLESS с TLS-шифрованием.

В итоге результат получен, DNS-over-VLESS настроен и работает. Никто не прослушает ваши DNS-запросы к проксируемым сайтам и не подменит ответы по своему усмотрению, а для дополнительной защиты в интернете, обратите внимание на возможность отключения WebRTC и QUIC в браузере.

AdGuardHome, DNS-over-HTTPS, DNS-over-TLS, DNS-over-VLESS, DNS-сервер, QUIC, WebRTC, Маршрутизация, Сетевая безопасность

Комментировать

Артём

31 марта, 2025 в 12:59 ПП

Ответить

Спасибо за ваш труд. Отличные статьи, уникальный материал. Списки zkeen очень выручают.
Denis

19 апреля, 2025 в 4:39 ПП

Ответить

Спасибо, очень интересно и познавательно :)
Не могли бы Вы дополнительно добавить более конкретный пример добавления и настройки "DNS-over-VLESS" в конфиги для утилиты XKeen на роутерах Keenetic?
Так как там такого функционала до сих пор не предусмотрено и "вшить" описанные Вами настройки в уже существующие конфиги XKeen, ничего при этом не сломав, никак не получается :(
Спасибо.

jameszero

20 апреля, 2025 в 6:58 ПП

Ответить

Статья, как раз готовилась с учётом использования XKeen, описанные настройки протестированы в режиме работы TProxy.

Raizel

22 апреля, 2025 в 8:54 ДП

Ответить

Приветствую! Это действия со стороны клиентского конфига? Или часть настроек и для сервера? Попытался повторить - что-то как-то нет...

jameszero

22 апреля, 2025 в 9:32 ДП

Ответить

Добрый день! Рассмотрены только клиентские настройки, сервер не трогаем, об этом сказано в статье. Не удалось направить DNS через прокси только при проксировании xray через CDN, в остальном это полностью рабочая, проверенная схема.

Raizel

22 апреля, 2025 в 10:45 ДП

Ответить

В таком случае понятно, что может быть не так - часть настроек я делал с клиентом, часть - с сервером!
А не в курсе, как со стороны сервера конфиг прикрутить, чтобы подхватывалось при импорте по ссылке? А то DNS таки подтекает, а на каждом клиенте это добавлять...

jameszero

22 апреля, 2025 в 10:54 ДП

Ответить

Со стороны сервера никак. По описанной схеме xray на сервере не используется для проксирования DNS, он всего лишь создаёт туннель к локалхосту сервера и DNS резолверу на нём.

AlexeyP

20 ноября, 2025 в 5:15 ПП

Ответить

Кхм, так в статье и указывайте что работа происходит с клиентом, а не сервером.
Если вы предлагаете такие настройки, прост укажите какой клиент вы использовали и как вы скормили такие настройки.
Я в клиентах Hiddify и V2RayTun не увидел формат данных настроек. Да и с учетом подписок (когда клиент получает настройки по ссылке), лучше бы объяснили какие произвести изменения конфига на сервере, ибо сервер делится клиентскими настройками.

ip_tara

23 апреля, 2025 в 10:14 ДП

Ответить

С прозрачным проксированием схема не работает, на сколько я понял. DNS трафик становится не завести в XRay.

jameszero

23 апреля, 2025 в 10:21 ДП

Ответить

Ну, отчего же не работает? TProxy, рассмотренный в статье, это один из вариантов реализации прозрачного прокси. Проверено. Работает.

ip_tara

23 апреля, 2025 в 12:09 ПП

Ответить

Тогда, интересно, как это реализовано, потому что DNS запрос от клиента проходит через локальный DNS сервер роутера, а это значит - через цепочки input и output, но не через forward, тогда как xray работает через forward.

AlexeyP

20 ноября, 2025 в 5:31 ПП

Ответить

Я предполагаю что тут dns запросы клиента происходят через клиент VPN, который в свою очередь определяет как DNS трафик маршрутизировать.
Согласитесь, если бы трафик DNS шел напрямую (через DNS роутера или DNS провайдера и тд ), то на уровне DNS трафик уже имел бы DPI ограничения. Например в случае работы DPI по "белым спискам", сигнатуры DNS белых доменов известны для DPI, а значит на уровне DNS вы уже увидите ограничения!
Да и сигнатуры DNS запросов из черных списков для DPI также известны.

ip_tara

23 апреля, 2025 в 12:45 ПП

Ответить

и как на счет этого https://forum.keenetic.ru/topic/16899-xkeen/page/97/#findComment-204683 ?

jameszero

23 апреля, 2025 в 12:59 ПП

Ответить

Вы немного не так понимаете предложенную реализацию DNS-over-VLESS. TProxy здесь используется не для проксирования DNS трафика, а как транспорт для создания туннеля к прокси-серверу и его DNS-резолверу, выше я уже писал об этом.

Евгений

23 апреля, 2025 в 10:23 ДП

Ответить

Добрый день. Не могли бы подсказать как должен выглядеть конфиг, если публичный DNS (DNS провайдера) мы используем только для сайтов в зоне .ru .рф, а для всех остальных используем DNS резолвера нашего VPS-сервера

jameszero

23 апреля, 2025 в 10:36 ДП

Ответить

Нужно в DNS шаблоне из статьи поменять местами гугловские восьмерки и локалхост, но устройства, которые не проксируются, да и сам роутер, останутся без интернета. Я не рекомендую использовать маршрутизацию по белым спискам, ру в директ, остальное в прокси. Статья писалась для маршрутизации по черным спискам.

Евгений

23 апреля, 2025 в 9:36 ПП

Ответить

Спасибо. Еще вопрос. Можно ли в качестве публичных DNS использовать не только 8.8.8.8, а например указать:
"https+local://dns.google/dns-query",
"https+local://cloudflare-dns.com/dns-query",
"8.8.8.8",
"1.1.1.1"

Или одного DNS 8.8.8.8 достаточно для того, чтобы все работало без проблем?

jameszero

24 апреля, 2025 в 7:49 ДП

Ответить

Можно, но лучше сопоставить доменные имена с IP такой секцией в файле dns.json

"hosts": { "dns.google": "8.8.8.8" },

Впрочем, использование шифрованных DNS в xray не всегда нужно. При подготовке статьи я проводил тесты на роутерах Keenetic и в них есть возможность отключить транзит DNS запросов. При этом роутер перехватывает все DNS-запросы на 53 порт и перенаправляет их через прописанные в нём DNS-серверы, вот там и можно указать DoH/DoT

Евгений

29 апреля, 2025 в 12:39 ДП

Ответить

Все настроил по инструкции. Все работает. Большое спасибо.

Остался еще один вопрос. Нужно ли в настройках роутера ставить галочки:
"Игнорировать DNS интернет-провайдера" (IPv4)
"Игнорировать DNS интернет-провайдера" (IPv6)

jameszero

30 апреля, 2025 в 8:16 ДП

Ответить

IPv6 рекомендую не то что игнорировать, а отключить или удалить совсем его поддержку на клиенте. В текущей его реализации, от IPv6 больше вреда, чем пользы. IPv4 игнорировать не обязательно. Если пользуетесь DoH или DoT желательно дополнительно прописать хотя бы один не шифрованный DNS, либо оставить DNS провайдера.

Ivan

26 января, 2026 в 9:19 ПП

Ответить

Подскажите, почему желательно прописать хотя бы один не шифрованный DNS, либо оставить DNS провайдера? Не будет ли тогда весь трафик идти по не шифрованному DNS?

Andrey8

29 апреля, 2025 в 11:32 ПП

Ответить

«Проксирование DNS через CDN, к сожалению, не поддерживается». Нельзя ли подробнее пояснить эту важную оговорку.

jameszero

30 апреля, 2025 в 8:24 ДП

Ответить

Дело в том, что в данной реализации DNS-over-VLESS мы обращаемся не к публичным DNS-серверам, а к локальному DNS резолверу на сервере. При проксировании через CDN мы не можем пробросить через него localhost нашего сервера, им будет являться промежуточный сервер CDN, а на запрос DNS он нам не ответит, разумеется.

Andrey8

30 апреля, 2025 в 1:25 ПП

Ответить

Если в hosts в dns секции прописать
сервер, то и через CDN должно проксироваться. На CF по крайней мере у меня работало. Фастли при случае проверю.

Andrey8

1 мая, 2025 в 12:10 ДП

Ответить

Дополню. Приведенная в статье конфигурация действительно не работает через CDN (проверено на Cloudflare и Fasrly). При добавлении в dns секцию параметров vps - "hosts": {
"mydomain.example": "ip vps"}, работает и через CDN (проверено также на Cloudflare и Fastly). Также обращу внимание, что в указанной конфигурации в прокси улетают все dns запросы и на 8.8.8.8, и на 127.0.0.53, они только разделяются по серверам согласно указанных в примере правил. Чтобы часть dns запросов в прокси не шла надо отправлять их на “localhos”.

jameszero

1 мая, 2025 в 12:03 ПП

Ответить

Всё зависит от условий тестирования. Если использовать socks5 подключение к xray, то будет так, как вы описали. Я же проверял проксирование на Кинетике с пакетом XKeen и подключением TProxy. Выше написал про перехват DNS запросов роутером в этом случае. Если указать localhost, как вы предлагаете, то не проксируемые устройства и сам роутер остаются без доступа в интернет, т.к. localhost в данном случает это удаленный сервер xray и устойства не подключенные к нему доступа у его резолверу не имеют. Но повторюсь, всё зависит от условий тестирования и схемы подключения. Если вы подобрали для себя рабочий вариант настроек - отлично. Xray это конструктор с огромными возможностями, вот только проксирование DNS документировано недостаточно подробно в части примеров использования.

Andrey8

2 мая, 2025 в 9:56 ПП

Ответить

В копилку знаний. Потестировал dns-over-vless в режимах миксед и тпрокси (чистый энтвар с последним форком xkeen) на KN-1011 (прошивка 4.2.5). На роутере отключены все днс, провайдерский в игноре. Со включенным “hosts”: {“domain:example.com”:”1.2.3.4”} трафик днс проксируется через CF и Fastly. Оутбаунд через CDN - xhttp-tls.

Drambynik

3 мая, 2025 в 10:56 ПП

Ответить

Добрый вечер. Спасибо за статью, работает. Но сегодня несколько раз заметил на устройствах которые "вне политики" xkeen в какой то момент перестаёт резолвится всё с ошибками "DNS_PROBE_STARTED", "DNS_PROBE_FINISHED_BAD_CONFIG". При этом на устройствах в политике всё ок. В журнале роутера ничего, error.log пустой (писал с "loglevel": "warning"). Может «отпустить» в рандомный момент, потом опять повторяется.
Xkeen -restart не помогает, остановка помогает.
Ultra (KN-1811), последняя версия форка.

jameszero

4 мая, 2025 в 8:52 ПП

Ответить

Добрый день! Для того чтобы устройства "вне политики" не теряли интернет нужно отключить в роутере транзит DNS запросов и убедится, что в параметре "servers" файла dns.json указан доступный не шифрованный DNS сервер. Ошибки по DNS смотрите в журнале Кинетика.

Drambynik

5 мая, 2025 в 1:20 ДП

Ответить

KeeneticOS 4.2.6.3
У меня в разделе сетевые правила - интернет-фильтры нет этой настройки «транзит запросов»
PGMVortex

25 января, 2026 в 2:51 ПП

Ответить

Оставлю для потомков: судя по всему эта проблема наблюдается для устройств, находящихся в политиках по умолчанию ("Политика по умолчанию", "Политика по умолчанию для сегмента"), при этом DNS-фильтр, установленный для клиента на роутере никак не влияет. Помогло создание новой политики и перенос туда всех клиентов (кроме тех, кому нужна политика XKeen)

Евгений

10 мая, 2025 в 12:04 ДП

Ответить

Добрый день. Не могли бы помочь с разделением DNS запросов на те, которые обрабатываются через прокси и на те, которые в прокси не уходят. Что именно для этого нужно изменить в файлах конфигурации?

Как я понял, в соответствии с текущими настройками все DNS запросы уходят через прокси:

{
"inboundTag": ["dns-in"],
"outboundTag": "proxy"
},

И у меня возникла проблема с просмотром wink.ru, kion.ru. Несмотря на то, что трафик отправляется в direct, сервисы выдают ошибку "Просмотр доступен только на территории РФ"

Все настройки делал в соответствии с инструкцией выше.
Евгений

11 мая, 2025 в 2:59 ПП

Ответить

Проблема с просмотром wink.ru, kion.ru решилась. Дело было не в DNS. Хотя вопрос с разделением DNS запросов на те, которые обрабатываются через прокси и на те, которые в прокси не уходят остается актуальным.

jameszero

12 мая, 2025 в 7:52 ДП

Ответить

Настройте требуемую маршрутизацию DNS-серверов. Например, так:
{ "ip": ["8.8.8.8"], "outboundTag": "direct" }, { "inboundTag": ["dns-in"], "outboundTag": "proxy" },
Либо используйте протокол loopback для разделения входящего тега dns-in
jameszero

14 мая, 2025 в 7:59 ДП

Ответить

Обновил статью с учётом разделения DNS-серверов с помощью loopback

ol_ad

29 мая, 2025 в 3:42 ПП

Ответить

есть сайты, типа https://dnsleaktest.org/dns-leak-test ктотрые для теста формируют ошибочные dns-запросы, которые не смогут отрезолвиться через 127.0.0.53, и тогда вылезет утечка dns потому, что не отключена функция fallback для dns и эти запросы автоматически будут пытаться резолвиться и через 77.88.8.8

jameszero

29 мая, 2025 в 4:00 ПП

Ответить

Согласен, включение disableFallback лишним не будет. В статье рассмотрена базовая настройка без углубления в детали, чтобы не усложнять материал)

Игорь

1 июля, 2025 в 11:37 ДП

Ответить

Я так понимаю, что в статье речь не про DNS запросы клиента, а про DNS запросы XRay. Верно?
Rerorl

2 июля, 2025 в 4:54 ПП

Ответить

Настроил проксирование CF, и при проверке dnsleaktest.com утечек нет.
Женя

3 июля, 2025 в 2:04 ДП

Ответить

здравствуйте!
с чем может быть связана проблема со стриминговыми сервисами? не работают никакие, даже не заблокированные в рф. всю голову сломала - обходит любые адреса, кроме стримов (политика только для ТВ)
iptara

14 августа, 2025 в 11:09 ДП

Ответить

Четвертое правило пожалуй лишнее. Оно ничего обрабатывать не будет. Во первых по причине того, что 53 порт обычно у XKeen закрыт, во вторых клиентские DNS запросы в Xray в обычных конфигурациях XKeen/XRay на кинетиках не заходят. Указанные инбаунды в этом смысле не сработают и UDP через них для целей DNS заводить не нужно, клиентские DNS запросы все равно пересылаться не будут. В остальном, описан процесс повторного разрешения трафика, пересылаемого в направлении proxy и direct, что в целом норм, но называть это DNS-over-VLESS - перебор.

elmys

28 января, 2026 в 2:29 ПП

Ответить

Согласен, ибо сам проверил всё по статье, вообще не понимаю как у людей работает из коробки

elmys

28 января, 2026 в 8:41 ПП

Ответить

ps: сделал сейчас копипастом (заменив только креды) и заработало. Не понимаю , видимо разница в деталях, в т.ч. номерах портов и пр.

iptara

19 августа, 2025 в 5:22 ПП

Ответить

Если inbound SOCKS, то запрос по домену, и запрос на проксируемый ресурс browserleaks.com будет отправлен VPS по домену, зачем его разрешать встроенным DNS не понятно, он и так будет разрешен на стророне сервера и покажет DNS вашего VPS; а не проксируемый dnsleaktest.com покажет публичный DNS, указанный в dns.json, но зачем делать это разрешение во встроенном DNS то же не понятно?
Если inbound tproxy, то запрос будет по ip со сниффингом, значит и по домену, поэтому маршрутизация будет происходить так же по домену, затем отличием, что VPS получит запрос не по домену, а по IP. В остальном все будет аналогично SOCKS.

iptara

19 августа, 2025 в 5:25 ПП

Ответить

SOCK, конечно.

AlexeyP

20 ноября, 2025 в 8:45 ПП

Ответить

Мда. Конечно нужно указывать в статье что вы настраиваете SOCKS клиент и уже от этого плясать. Я понимаю если SOCKS нужен если некоторые приложения завязаны через локальный прокси связывающий с XRAY сервером и тогда DNS трафик также через него рекомендуется направлять. Но по существу клиентские XRAY приложения и так умеют заниматься маршрутизацией трафика от приложений в том числе и DNS. Эти настройки только вводят в заблуждение!

Alex

26 декабря, 2025 в 4:46 ДП

Ответить

А https://dnscheck.tools/ Что показывает при таких настройках? У меня IP и провайдера и VPS...

K

3 января, 2026 в 11:41 ПП

Ответить

Вот в этом то и проблема - кинетик параллельно резолвит через системный ДНС, который нельзя сделать только DoH или DoT. Добавить DoH DoT вы можете, но без системного plain dns они не резолвятся, а кинетик резолвит все запросы через ВСЕ без исключения системные ДНС включая plain DNS.

В итоге, провайдер видит все домены, к которым вы обращаетесь, вне зависимости от конфигурации XKeen

K

3 января, 2026 в 11:45 ПП

Ответить

Хоть и получилось удалить системные plain dns, оставив DoT, но все равно - сам факт невозможности отключения системного dns для XKeen очень не нравится.

"useSystemHosts": false - не работает.

A

4 января, 2026 в 3:36 ПП

Ответить

А в чем проблема вместо условного dns.google/dns-query использовать 8.8.8.8/dns-query? вам этот адрес резольвить не надо
iptara

3 февраля, 2026 в 9:50 ДП

Ответить

Настройки "domainStrategy" в outbounds все таки лишние. DNS будет работать, потому что есть перехват и направление разрешения во встроенный модуль, но если делать "domainStrategy", то резрешений будет два, первое при перехвате, второе при подключении соединений.
Alex

16 февраля, 2026 в 1:41 ДП

Ответить

Извините, я не понял. У вас в секции inbound фигурирует порт 1181, а адреса вообще нет, то есть это локалхост или что? Кто должен стучаться в порт 1181? У меня роутер Keenetic, там компонент прокси, который понимает SOCKS. Он настроен на адрес 192.168.0.10Ж2080, а секция inbound выглядит так:
"inbounds": [
{
"listen": "192.168.0.10",
"port": 2080, // Listening port
"protocol": "socks", // Incoming protocol is SOCKS 5
"sniffing": {
"enabled": true,
"routeOnly": true,
"destOverride": ["http", "tls"]
},
"tag": "socks-in"
}
],
И что мне с этим делать?
Alexey

25 февраля, 2026 в 7:19 ПП

Ответить

Вопрос - откуда берется "inboundTag": "dns-raw" ?
Ведь этот inbound нигде не описан?

Samarodok

7 марта, 2026 в 3:39 ДП

Ответить

Он объявляется в секции outbounds в протоколе loopback. Читай мат. часть.
https://xtls.github.io/en/config/outbounds/loopback.html

Konstantin

24 марта, 2026 в 12:13 ДП

Ответить

В XKeen 1.3.9 появилась возможность управлять встроенным DNS. Если его включить, то он поднимается на том же порту, что и встроенный в дефолтную политику роутера DNS сервер. Происходит конфликт, запросы начинают проходить с трудом, копиться. Если отключить в роутере свой собственный dns сервер, то клиенты в политике XKeen успешно работают с dns xray, но у всех остальных клиентов вне политики XKeen исчезает dns. Это можно сделать через команду opkg dns-override.
Если бы можно было перенести xray dns на порт, отличный от 53, то проблема решилась бы. DNS сервер дефолтной политики и xray DNS не пересекались бы.
Но если заменить порт в S99xkeen в переменной port_dns, сконфигурировать jsonы на данный порт, как описано выше, то казалось бы должно работать. Но видимо есть какое-то ограничение, клиент поднимается, но порт dns не открывается.
DwellerArden

26 марта, 2026 в 2:38 ДП

Ответить

Можно ещё гибче настроить dns. Если направлять трафик через множество разных прокси, с разными географическими расположениями, важно направлять dns запросы туда же, куда и трафик. Соответственно, к dns трафику тоже нужно применять роутинг.

Нашёл рабочий вариант, как это сделать.
Ремарка - примеры конфигурации с проксированием по-умолчанию и direct по доменным спискам.

Во-первых, добавляем в 02_dns.json сервера и домены, к ним добавляем тэги.

Пример:
.....
"tag": "dns-in-raw",
"servers": [
{
"address": "https://1.1.1.1/dns-query",
"tag": "dns-in-direct",
"domains": [
"ext:geosite_v2fly.dat:category-ru",
*Прочие домены которые должны работать напрямую...*
......
},
{
"address": "https://mozilla.cloudflare-dns.com/dns-query",
"tag": "dns-in-tkt",
"domains": [
"ext:geosite_v2fly.dat:tiktok",
"ext:geosite_v2fly.dat:bytedance"
],
"skipFallback": true
},
{
"address": "https://mozilla.cloudflare-dns.com/dns-query",
"tag": "dns-in-ytb",
"domains": [
"ext:geosite_v2fly.dat:youtube",
"ext:geosite_zkeen.dat:youtube"
],
"skipFallback": true
},
"https://mozilla.cloudflare-dns.com/dns-query",
"https://freedns.controld.com/p0"
]
.....

Потом создаём inbounds с такими же тегами, по одному для каждого тэга, редиректящие запросы с сохранением разделения по тэгу, используя заведомо свободные порты

Пример:
.....
{
"tag": "dns-in-direct",
"port": 53531,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 53,
"network": "udp"
}
},
{
"tag": "dns-in-raw",
"port": 53532,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 53,
"network": "udp"
}
},
{
"tag": "dns-in-tkt",
"port": 53533,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 53,
"network": "udp"
}
},
{
"tag": "dns-in-ytb",
"port": 53535,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 53,
"network": "udp"
}
}
.....

Далее в роутинге раскидываем inbounds тэги разных dns серверов xray по нужным outbounds (в моем примере это балансировщики)

.....
"rules": [
{
"inboundTag": [
"dns-in-direct"
],
"outboundTag": "direct"
},
{
"inboundTag": [
"dns-in-tkt"
],
"balancerTag": "balancer-tkt"
},
{
"inboundTag": [
"dns-in-asia"
],
"balancerTag": "balancer-asia"
},
{
"inboundTag": [
"dns-in-ytb"
],
"balancerTag": "balancer-ytb"
},
{
"inboundTag": [
"dns-in-raw"
],
"balancerTag": "balancer-all"
},
{
"port": 53,
"outboundTag": "dns-out"
},
.......

В outbounds ничего добавлять не нужно, в loopback тут нужды нет.

Вуаля. И трафик, и днс запросы идут туда же, куда и трафик. Можно гибко выбирать, какие именно dns будут использоваться для тех или иных сервисов.

P.S. в примере ютуб использует mozilla cloudflare DoH, и это неспроста - через него ютуб резолвится так, что в нём нету рекламы, и определяется RU регион. Я не знаю, как именно эта магия работает, хотя и есть догадки. Но оно работает, что есть весьма хорошо.
Для локального интернета использую cloudflare DoH по айпишнику, ибо замечены проблемы с резолвом адресов самих DoH клауда в рф с начала января.

jameszero.net

DNS-over-VLESS - направляем DNS-трафик через прокси xray

Оставить отзыв

Новые записи