[feature request] 增加 Fake IP / Fake DNS 功能

[EqCScO9nTa]

未解决的问题

在透明代理模式下，被代理的程序将会自行发送出 DNS 请求。目前，用户可以将 DNS 请求转发到代理进行处理（直接发出或经过代理服务器发出）。
对于受 DNS 污染影响的域名，用户必须将 DNS 请求发送至服务器来获取正确的 IP 地址，而这在访问网站之前需要消耗 1RTT。

什么是 Fake IP

当用户发送 DNS 请求时，代理并不发送请求到远程 DNS 服务器，而是为每个域名返回一个唯一假 IP。在指向这些假 IP 的流量发送到代理时，按查询得到的域名重置当前连接的目标。

目前的方案及它们的局限

Socks 5 或 HTTP 代理方式

程序会将域名直接发送至对于 Socks 5 或 HTTP 代理 ，在服务端进行解析。
手动为程序配置代理需要消耗大量的精力，并且对于不支持这些代理方式的程序 / 平台，这种方式是不友好的。

V2Ray 已有的 Sniffing 方案

参见已有的讨论。大概思路是用本地 DNS 服务器给所有需要代理的域名返回同一个不可访问的 IP，之后在流量再次发送到 V2Ray 时，按流量中包括的目标地址重置当前连接的目标，从而达到不需要访问远程 DNS 服务器的效果。而且，在 V2Ray 支持本地 DNS 处理之后，可以直接在 Hosts 规则里面拦截这些请求。
这个方案会污染本地 DNS 缓存。同时最大的问题在于，Sniffing 功能只能从 HTTP / TLS 类型的流量中提取出域名，而考虑到我们使用的是一个虚假的 IP，这将直接导致部分功能不可用（UDP 全崩）。

额外的 Fake IP 程序

参考 go-tun2socks，仅有少数的 GUI 程序支持该项目与 V2Ray 同时使用，目前发现两个：kitsunebi, mellow. 它们直接修改了 V2Ray 内核，与 go-tun2socks 均来自同一开发者。
手动部署 go-tun2socks 将（较大幅度）增加用户使用 V2Ray 的成本。

Fake IP 的代价

返回错误的 IP 会污染本地 DNS 缓存，使得代理断开之后一段时间内设备无法访问网络。

[EqCScO9nTa]

我会尝试着为 V2Ray 加入这项功能，请各位尝试目前的可用版本并提供意见。
我希望能实现仅为指定的域名实现 Fake IP，同时能指定 Fake IP 的范围。

[kslr]

我希望能实现仅为指定的域名实现 Fake IP，同时能指定 Fake IP 的范围。

这个是怎么考虑的，我的想法是如果能替换掉Sniffing的实现也挺好的

[Cwek]

我也觉得这个想法很好。
Fake IP的范围可以考虑指定用v4分类地址E组（240.0.0.0~247.255.255.255）或者v6唯一区域位域（fc00::/7）。Fake IP作为一个独立大模块，在inbound上配置启用（相当于挂在一个处理入口），然后inbound在检测到域名访问（包括socks5等的域名请求连接，或者Sniffing到dns的请求）时分配域名与地址的映射，然后inbound收到Fake IP的地址连接访问时，反向找回域名，转为域名连接访问。

[EqCScO9nTa]

我的想法是如果能替换掉Sniffing的实现也挺好的

在inbound上配置启用（相当于挂在一个处理入口），然后inbound在检测到域名访问（包括socks5等的域名请求连接，或者Sniffing到dns的请求）时分配域名与地址的映射

我目前的方案是为 V2Ray 的 DNS 配置中加入一个 useFake 数组与一个 fakeNet，里面包含一组域名以及一个 IP 带子网掩码，分别表示需要启用 Fake IP 的域名以及 Fake IP 的生成域。当符合条件的请求发送到 DNS 服务器时，为其返回一个生成域中的 Fake IP 并储存域名与 IP 的映射。之后在 Dispatcher 模块（Sniffing 处理的地方）加入对 IP 的判断，如果能在映射表里为这个 IP 找到对应的域名，就用这个域名替换掉流量的目标地址。

我认为将该功能作为本地 DNS 服务器的增强比作为 Inbound 的增强更为合理。如果要在 Inbound 处拦截 DNS 流量的话，需要额外添加检测步骤（检测发往 53 与 853 端口的流量？），这在增加了代码量的同时也降低了处理效率。

如果用fake ip, 某些浏览器会打不开某些网页，最典型的就是safari浏览器无法播放油管视频，有人知道为什么吗？

[EqCScO9nTa]

某些浏览器会打不开某些网页，最典型的就是safari浏览器无法播放油管视频

我刚刚测试了一下我的 Fake IP 实现对于 UDP 流量是正常工作的。

能具体描述一下你的使用场景 / 遇到的问题吗？

@EqCScO9nTa 使用场景是路由器透明代理。

在dnsmasq的配置文件里把gfwlist域名解析到1.2.3.4，

address=/google.com/1.2.3.4

然后redirect到v2ray的透明代理端口，v2ray打开sniffing。

iptables -t nat -A v2ray -d 1.2.3.4 -p tcp --dport 80 -j REDIRECT --to-ports 12345
iptables -t nat -A v2ray -d 1.2.3.4 -p tcp --dport 443 -j REDIRECT --to-ports 12345

直连路由器的情况下：

• ios和mac的safari不能播放油管视频，控制台显示无法加载googlevideo.com。其他网站没发现问题。

• ios的chrome和firefox问题同上。
• ios的油管app正常
• Android的firefox连谷歌主页都打不开（证实是国产手机的问题）
• windows和mac上的chrome和firefox正常
• 如果不使用fakeip，直接向公网查询，则没有以上问题，各种浏览器都可以正常工作。

[ix64]

@EqCScO9nTa 使用场景是路由器透明代理。在dnsmasq的配置文件里把gfwlist域名解析到1.2.3.4，然后把TCP的80和443端口redirect到v2ray的透明代理端口，v2ray打开sniffing。

直连路由器的情况下：

• ios和mac的safari不能播放油管视频，控制台显示无法加载googlevideo.com。其他网站没发现问题。

• ios的chrome和firefox问题同上。
• ios的油管app正常
• 安卓的Firefox则连谷歌主页都打不开
• windows和mac上的chrome和firefox正常
• 如果不对dnsmasq做任何处理，就让墙污染，则没有以上问题，各种浏览器都可以正常工作。

Console的错误提示，看起来只是CORS标头的问题，传输是没有出错的。

[EqCScO9nTa]

在dnsmasq的配置文件里把gfwlist域名解析到1.2.3.4

我尝试着用 V2Ray 的 DNS hosts 复现你的配置，将 YouTube 的 IP 解析为 1.2.3.4。Sniffing 功能在 TCP 流量上正确启用（在 UDP 流量上则是直接把数据发到了 1.2.3.4

• 安卓的Firefox则连谷歌主页都打不开

Android 端 Chrome 和 Google App 访问 Google 与 YouTube 正常。

• windows和mac上的chrome和firefox正常
• ios和mac的safari不能播放油管视频，控制台显示无法加载googlevideo.com。其他网站没发现问题

Linux 下 Chrome 工作正常，Google 和 YouTube 正常打开。

目前见到的（除 DNS 请求外的） UDP 流量都是发往 443 端口的，应该是建立 QUIC 连接的请求，所以就算发到了错误的 IP 也没有影响到使用 TCP 连接浏览网页。

• 安卓的Firefox则连谷歌主页都打不开

Android 端 Chrome 和 Google App 访问 Google 与 YouTube 正常。

这个应该是我的手机问题，我就不测了。我的一台小米手机无论如何都打不开。
safari的问题，我很早就知道了，不会搞错的。

[kingwilliam]

纯技术探讨, 在透明代理系统内加入 dns cache 是否也类似fake ip成效?

• 目的是减少dns流过 v2ray tunnel 引至延迟
• 在客户端dns cache回覆也可和提速
  
• 在第一次dns request, 用了36msec, 因真的要问远方dns取所需ip.
• 在第二次request同一host, 只用了1msec, 因在客户端dns cache已有所需ip,可以直接回覆.

[EqCScO9nTa]

在透明代理系统内加入 dns cache 是否也类似fake ip成效

1. DNS cache 确实可以提高二次访问同一域名时的查询速度。
2. 当前 V2Ray 中已实现 DNS cache 。
3. 在请求新的域名时 DNS cache 无能为力，同时因为 DNS 查询到的 IP 具有时效，一个域名的 DNS cache 必须在一段时间之后的下一次访问时更新，而 Fake IP 则无此限制。

@EqCScO9nTa 我编译了你的代码，请问配置文件怎么写？