قابلیتهای اصلی
DNS و جلوگیری از نشت: سازوکار fake-ip
DNS پنهانترین حلقه ضعیف زنجیره پراکسی است: ترافیک از تونل رمزنگاریشده میرود ولی پرسشهای نام دامنه بهصورت متن ساده به اپراتور محلی میرسد. این «نشت DNS» است و هر سایتی را که باز میکنید لو میدهد. پیشفرضهای کلش ورج از این ماجرا محافظت میکنند — ببینیم چطور، و به کدام پیچها نباید دست زد.
fake-ip: پیشفرض و درست
وقتی برنامهای دامنهای میپرسد، هسته اصلاً resolve نمیکند — فوری یک آدرس بدلی از بازه رزروشده 198.18.0.0/16 برمیگرداند. برنامه به همان IP بدلی وصل میشود، هسته آن را به دامنه برمیگرداند و طبق قوانین تصمیم میگیرد. برای دامنههای پراکسیشونده، خود دامنه به سرور فرستاده و همانجا resolve میشود. تبدیل محلیِ دامنههای پراکسیشده اصلاً رخ نمیدهد؛ چیزی نیست که نشت کند.
جایزه: بدون انتظار برای resolve واقعی، اتصالها سریعتر شروع میشوند.
redir-host: گزینه سازگاری
هسته دامنهها را واقعاً resolve میکند و IP حقیقی برمیگرداند. سازگاری کمی بهتر است (نرمافزارهای نادری از آدرس بدلی خوششان نمیآید) ولی resolve محلی است و برای جلوگیری از نشت باید جداگانه DNS رمزنگاریشده تنظیم کنید. تا وقتی چیزی مشخصاً زیر fake-ip نشکسته، دلیلی برای تغییر نیست.
fake-ip-filter: دامنههایی که IP واقعی میخواهند
بعضی نامها باید صادقانه resolve شوند: دستگاههای شبکه محلی، همگامسازی زمان NTP، بعضی لانچرهای بازی. لیست سفید پیشفرض معقول است؛ در کانفیگ Merge تکمیلش کنید:
dns:
fake-ip-filter:
- "*.lan"
- "+.ntp.org"
- "+.stun.*.*"
- "+.mynas.example.com"
آزمایش نشت
با پراکسی روشن، Standard Test سایت dnsleaktest.com را اجرا کنید. اگر فقط سرورهای DNS منطقه سرور خودتان دیده شد، پاک است. اگر سرورهای اپراتور محلی هم لای نتایج بود، نشت دارید: بررسی کنید به redir-host نرفته باشید یا ربودن DNS در تنظیمات TUN خاموش نشده باشد.
شبکه را با نوشتن DNS عمومی (مثل 8.8.8.8) مستقیم روی کارت شبکه «بهینه» نکنید: پرسشها از کنار هسته رد میشوند و با دست خودتان همان نشتی را میسازید که از آن فرار میکردید. DNS کارِ هسته است.
نصبکننده ویندوز ۶۴ بیت · نسخه 2.5.1 · رایگان و متنباز