OpenWrt多拨后DNS故障？教你三步排查，别乱重装

DNS这般玩意儿呢，实际上讲起来就是个类似电话本的东西。你想要拨打“百度.com”，电脑这种设备首先就得去查找这个对应的号码处于哪里，之后才会按照查到的信息拨过去。一旦查找不到相应的位置，那就会显示“。

出现“DNS_PROBE_FINISHED_NXDOMAIN”这样奇怪的字样，它既不意味着网络连接中断，也不意味着系统遭受病毒侵害，而是查询号码的服务平台暂时失去联系罢了。有些人一旦遇到问题就干脆重新安装操作系统，实际上连缓存都未曾清理过。

我上礼拜就遭遇一回。浏览器整个呈现白屏状态，然而抖音APP却能照常刷。先是尝试了`ipconfig /flushdns`，没任何效果；接着又尝试了`nslookup taobao.com 8.8.8.8`，结果瞬间就返回了IP，这表明公共DNS是通畅的，问题存在于我自己的电脑之上。一番查看网络设置，发觉IPv6 DNS被我手动填写了一个现已关停的地址，系统在那儿卡住等待响应，超时之后才切换到IPv4，慢得如同卡带一样。

紧接着，拿着手机连接同一个WiFi来试一试，手机处于正常状态，那么问题必定是出在电脑上。卸载刚安装的某国产安全软件，该软件自带的DNS过滤开关无法关闭，在后台悄悄地将所有解析都劫持走了。关闭它的“网络防护增强模式”，随后立刻就恢复了正常。这种情况根本不会出现报错，也没有任何提示，完全依靠排除法来解决。

路由器，也特别容易被错怪承担不该有的责任，有一回，我家网络出现状况，整个小区居民都没办法打开知乎那个应用程序，然而，当直接连接手机热点的时候，却一点儿问题都没有，我爸，针对这种情况，连续十次重启路由器哎，结果，根本没有起到任何作用哎，之后，我通过telnet这种操作方式进入路由器查看日志细节，这才发现，原来固件版本太过陈旧，而且DNS转发模块存在一个UDP丢包的故障问题哎，等对其进行升级操作之后，网络立马就恢复正常，其实，并不是路由器从本质上坏掉了，只是它的“记性”变得差劲儿，在运转过程中转着转着居然就把查询包给弄丢。

更玄乎的是运营商DNS。上个月联通某省DNS服务器遭投毒，搜“12306.cn”返回的竟然是假购票页面IP。我们测试了`tracert 114.114.114.114`，路径全通，然而`nslookup 12306.cn`却返回错IP。换成阿里DNS（223.5.5.5）马上就正常了。这事并非你家问题，而是上游“电话本”被人悄悄改页了啊。

又出现一回公司网站无法打开的情况，我原本觉得又是DNS的问题，然而经过`whois yourdomain.com`查询，状态显示“ClientHold”。竟是客户没有继续完成实名认证，导致域名被管局直接锁定。不管如何更换DNS都毫无作用，因为根服务器根本不让查询。面对这种外部出现的问题，着急完全没有用处，只能等待对方进行处理。

现阶段，我的计算机装载了DNSCrypt – Proxy，全部的查询经由加密的HTTPS通道予以进行，借此绕开本地的劫持现象以及运营商的污染状况。路由器已刷入OpenWrt，运行dnsmasq来达成本地缓存的操作，并且还能够自动展开对多个上游DNS的轮询工作。这并非是在进行折腾，而是为了避免下次在半夜时分被老板通过电话呼叫起来，进而处理“无法打开网页”之类的问题。

别盲信那所谓的“自动获取DNS”，我学校WiFi推送的DNS，缓存里老是留存着过期广告跳转的地址，一旦搜索“淘宝”就会跳到P2P贷款页面，也无需等待杀毒软件进行扫描，像DNSChanger这类木马早就潜藏进驱动层了，用AdwCleaner扫描出来过两个隐藏服务。

不少人忽视了IPv6这事，在我所用的Win11里，默认开启了IPv6，然而填写的IPv6 DNS，如同2001:4860::8888这个，完全不能通过ping连接上，系统就那样呆呆地等待45秒超时之后才切换到IPv4，致使整个浏览器陷入卡死状态，后来索性就在网卡里将IPv6禁用，或者把IPv6 DNS与IPv4设置成同一组。

DNSSEC现在真该开了。命令行一句`

就行，能防止中间人对解析结果进行篡改，能拦住2010年百度被劫持那种事，现在开启这个，设置-DnsClientGlobalSetting -EnableEDNSProbes $true就可以做到。

对于防火墙而言，也需要留意对放行端口予以关注，仅仅放行UDP 53是不足够的，因为DoH所走的是443端口，DoT所走的是853端口，而区域传输则还必须要放行TCP 53端口。我在之前设置了一项较为严格的规则，然而最终导致内网DNS同步遭遇失败，并且同事也无法连接到公司的GitLab。

最后再来补充说明一句。千万别去相信网络上面那些所谓的，“一键修复DNS”的EXE程序。我曾经下载使用过其中一个。在安装完成之后，桌面上莫名其妙地多出了三个推广类型的快捷方式。而且在进程当中，竟然还运行着挖矿脚本。如果要采取行动进行处理，那就使用系统自身所带的命令。或者去使用GitHub上，开源且可信的工具。

这种事情不存在什么神秘莫测的情况，要一层一层地去尝试，起始于自家的电脑进行操作，并非所有的问题都必须去寻求专家的帮助，许多被视作“疑难杂症”的状况，其实只是因为少看了两行命令返回的数字罢了。

清理完缓存，更换好DNS，关掉纷繁杂乱的防护，倘若依然不行那就去查看路由器日志。完成这些操作之后，通常情况下便会恢复正常。

未经允许不得转载：openwrt技术分享 » OpenWrt多拨后DNS故障？教你三步排查，别乱重装