mohumohu

用 caddy 会简单很多。

这真的是用百度用的。

我还在思考大圣用户是哪个网红

@povsister 并不是我离题，而是我认为你对拓扑侵入性的理解有差异，并且你也一直在强调谁的影响更小。而且就算是家庭网络，不让某些设备代理也是很正常的需求，比如并不想让小孩能直接访问 pornhub/youtube ，又或者不想让 PT 下载设备的私有 tracker 或者 webseed 被代理等等。

甚至有些设备就是内嵌硬编码 DNS 的，或者某个设备就是设置了固定的 DNS （比如 AD 域），你又怎么加防火墙规则？所以我说你拓扑侵入性太大。

@povsister 当然不是范围外，如果你在管理一个企业级网络，你就会理解减少现有网络拓扑的侵入性有多么重要，无论是可自助的设置（代不代理自己可以选 DNS 决定），还是权限分配，故障路由排查，稳定性不可同日而语。
而且你根本没看明白，这讨论的并不是 DNS 问题而是路由层面的问题。比如你把 cf 官网代理了，我 FakeIP 之下，设备随便更换 DNS 就可以一击脱离这个影响，访问 cf 官网绝不走代理，你光换 DNS 有用吗？

@povsister 但我某个设备不想使用代理的话，以下任意两种方式我都可以实现：
1 、DHCP 给该设备分配一个不一样的 DNS 。
2 、手动设置该设备的 DNS 。
无论是那种方式，我都可以马上实现并完全脱离影响，方式一需要修改 dhcp 分配规则，dhcp 服务器都可以独立，方式二甚至不需要网络设备管理权限，而你在路由层面做出的改动是无法在设备本身就能脱离影响的，所以我认为你的拓扑侵入性更大。

@povsister 但就网络拓扑来说 OSPF 明显对网络拓扑的侵入性更大，FakeIP 一般只需要向主路由甚至是三层交换机添加一条静态路由。至于你列举的其他功能，比如故障降级直连，FakeIP 明显都可以做到甚至做得更好更简单更容易维护，故障点更少，速度和网络波动性兼容更好。

你无非就是强调切换网络 Fake 的 DNS 缓存还在，但我说过绝大多数系统，特别是移动设备，切换不同的网络 profile 之后是会干掉 DNS 缓存的，这来自于我的实际使用经验，你表示是推测说法，实际上你考虑到有 captive portal wifi 会劫持 DNS 的存在就应该知道会有相应的设计，至少移动设备的 VPN 和移动网络是不会受 wifi 的 dns 影响的，安卓在连接新网络的时候会测试 dns 服务器是否可用，不可用（比如直接不可达）甚至会主动断开网络。
安卓我简单搜了下，文档的确是说”Normally clears the DNS cache entirely when switching connections“: https://developer.android.com/develop/connectivity/cronet/reference/org/chromium/net/DnsOptions.StaleDnsOptions.Builder

ttl 缓存过期的确有部分 app 比如 chrome 系浏览器不遵守，但你可以打开 chrome 访问一个不能访问的网站然后切换网络会提示 ERR_NETWORK_CHANGED 然后会重置尝试访问。实际上影响没有你想的那么大。

顺便你说的”套了 CF 的同一个网站不同国家解析出的 CDN 地址应该是不同的“这个推测说法是错误的，作为 cf 的使用者，cf 一般会给开了 cdn 的域名随机分配 2 个泛播的 IP 地址，你也可以再其他使用了 cf 的网站测试。