Основные функции
DNS и защита от утечек: как работает fake-ip
DNS — самое незаметное слабое звено прокси-цепочки: трафик едет по шифрованному туннелю, а запросы имён открытым текстом уходят местному провайдеру. Это утечка DNS, и она выдаёт каждый посещённый сайт. Настройки Clash Verge по умолчанию уже защищают — разберём, как это устроено и что не надо трогать.
fake-ip: по умолчанию — и правильно
Когда приложение спрашивает домен, ядро ничего не разрешает — мгновенно возвращает адрес-заглушку из зарезервированного диапазона 198.18.0.0/16. Приложение соединяется с фейковым IP, ядро сопоставляет его обратно с доменом и решает по правилам. Для проксируемых доменов узлу передаётся сам домен — разрешение происходит удалённо. Локального разрешения проксируемых имён просто нет, утекать нечему.
Бонус: без ожидания реального resolve соединения стартуют быстрее.
redir-host: запасной вариант
Ядро честно разрешает домены и возвращает реальные IP. Совместимость чуть лучше (редкий софт не любит фейковые адреса), но разрешение локальное — для защиты нужен ещё и шифрованный DNS. Пока под fake-ip ничего конкретно не ломается, менять незачем.
fake-ip-filter: кому нужны настоящие IP
Некоторым именам нужен честный resolve: устройства в LAN, синхронизация времени NTP, отдельные игровые лаунчеры. Дефолтный белый список разумен; дополняется в Merge-конфиге:
dns:
fake-ip-filter:
- "*.lan"
- "+.ntp.org"
- "+.stun.*.*"
- "+.mynas.example.com"
Проверка на утечки
С включённым прокси прогоните Standard Test на dnsleaktest.com. В результатах только серверы региона вашего узла — чисто. Затесались серверы вашего провайдера — течёт: проверьте, не переключились ли на redir-host и не выключен ли перехват DNS в настройках TUN.
Не «оптимизируйте» сеть, прописывая публичный DNS (8.8.8.8 и т.п.) прямо на адаптере: запросы пойдут мимо ядра, и вы своими руками создадите ту самую утечку. DNS — забота ядра.
Установщик Windows 64-бит · v2.5.1 · бесплатно и открыто