@povsister 并不是我离题，而是我认为你对拓扑侵入性的理解有差异，并且你也一直在强调谁的影响更小。而且就算是家庭网络，不让某些设备代理也是很正常的需求，比如并不想让小孩能直接访问 pornhub/youtube ，又或者不想让 PT 下载设备的私有 tracker 或者 webseed 被代理等等。

甚至有些设备就是内嵌硬编码 DNS 的，或者某个设备就是设置了固定的 DNS （比如 AD 域），你又怎么加防火墙规则？所以我说你拓扑侵入性太大。

@povsister 当然不是范围外，如果你在管理一个企业级网络，你就会理解减少现有网络拓扑的侵入性有多么重要，无论是可自助的设置（代不代理自己可以选 DNS 决定），还是权限分配，故障路由排查，稳定性不可同日而语。
而且你根本没看明白，这讨论的并不是 DNS 问题而是路由层面的问题。比如你把 cf 官网代理了，我 FakeIP 之下，设备随便更换 DNS 就可以一击脱离这个影响，访问 cf 官网绝不走代理，你光换 DNS 有用吗？

@povsister 但我某个设备不想使用代理的话，以下任意两种方式我都可以实现：
1 、DHCP 给该设备分配一个不一样的 DNS 。
2 、手动设置该设备的 DNS 。
无论是那种方式，我都可以马上实现并完全脱离影响，方式一需要修改 dhcp 分配规则，dhcp 服务器都可以独立，方式二甚至不需要网络设备管理权限，而你在路由层面做出的改动是无法在设备本身就能脱离影响的，所以我认为你的拓扑侵入性更大。

@povsister 但就网络拓扑来说 OSPF 明显对网络拓扑的侵入性更大，FakeIP 一般只需要向主路由甚至是三层交换机添加一条静态路由。至于你列举的其他功能，比如故障降级直连，FakeIP 明显都可以做到甚至做得更好更简单更容易维护，故障点更少，速度和网络波动性兼容更好。

你无非就是强调切换网络 Fake 的 DNS 缓存还在，但我说过绝大多数系统，特别是移动设备，切换不同的网络 profile 之后是会干掉 DNS 缓存的，这来自于我的实际使用经验，你表示是推测说法，实际上你考虑到有 captive portal wifi 会劫持 DNS 的存在就应该知道会有相应的设计，至少移动设备的 VPN 和移动网络是不会受 wifi 的 dns 影响的，安卓在连接新网络的时候会测试 dns 服务器是否可用，不可用（比如直接不可达）甚至会主动断开网络。
安卓我简单搜了下，文档的确是说”Normally clears the DNS cache entirely when switching connections“: https://developer.android.com/develop/connectivity/cronet/reference/org/chromium/net/DnsOptions.StaleDnsOptions.Builder

ttl 缓存过期的确有部分 app 比如 chrome 系浏览器不遵守，但你可以打开 chrome 访问一个不能访问的网站然后切换网络会提示 ERR_NETWORK_CHANGED 然后会重置尝试访问。实际上影响没有你想的那么大。

顺便你说的”套了 CF 的同一个网站不同国家解析出的 CDN 地址应该是不同的“这个推测说法是错误的，作为 cf 的使用者，cf 一般会给开了 cdn 的域名随机分配 2 个泛播的 IP 地址，你也可以再其他使用了 cf 的网站测试。

@povsister 那样维护起来比 FakeIP 累太多了，FakeIP 只管敲几个域名完事

@povsister 不过你自己也说了嗅探具有局限性，像很多协议比都没法嗅探，放 FakeIP 里面也只是作为出现故障的时候的补充手段。

@povsister 都解析到同一个 CDN IP 下的网站，真的有必要按域名拆开代理规则吗

这个还蛮常见的，比如 cloudflare 虽然 IP 段都是一样，但网站管理员后台可以设定只允许某些国家线路访问。

@povsister 问题在于你的故障点是有先后的，如果你在查 DNS 的时候遇到故障，那么下一秒即使线路能用也不能访问网站；但我远端解析只要线路能用就随时可以访问网站。两者对于线路的质量的要求不可同日而语。再极端点的例子，你本地查询 DNS 需要 500ms ，访问网站需要 500ms ，那总共就是 1000ms ，而落地查询 DNS 只需要 1ms ，那我只需要 501ms 就能访问网站。

@povsister 考虑到你在本地查询 DNS 需要经过加密传输以及延迟和不稳定性，和远端本地解析几乎 100%稳定的 udp 53 查询来相比，我觉得耗时还是有可比性的。

@povsister fallback 只是一个概念，并不是某个功能名称，就跟你讲中文故障转移一样的。想实现方法很多，比如简单的创建一个 proxy 的 group ，url-test 来选择就好。
他说的 CDN 其实就是 FakeIP 不需要在本地解析 DNS 的优点，由于本地没有真实 DNS 的解析过程，域名直接在落地机器解析，所以代理访问 CDN 节点能得到更好的效果，同时也节省了 DNS 解析的耗时。

@povsister 其实不影响，这个你喜欢的话一样可以 fallback ，很简单的 clash 策略就可以做到。

iptv 10 块钱一个月还折腾啥

sordum 可以的。
如果你使用英文搜索，在 Google 搜”windows defender disable tool“，第一个就是他。

@povsister FAKEIP 的 ttl 在各个代理软件里面，一般都是定义为 3 秒或者 1 秒，如果说是污染会持续到 DNS 缓存过期为止，那么是非常理想的。
你说的自动化可能是一个优点，但往往越自动化的越复杂越容易出故障点，特别是上游数据源的可信任程度，我个人认为随便捡个网络设备都能添加的静态路由通用性和稳定性会好很多。

@povsister 可能你对 FakeDNS 的方案有误解。例如以你提到的 paopaoGateway 方案来说，只有需要被代理的域名才会被解析成 FakeIP ，FakeIP 通过主路由静态路由再进入目标网关。因此被代理的域名会进入且仅有被代理的域名会从代理网关经过，嗅探是没什么问题的。其次，就算有 FakeDNS 的缓存，被代理的域名本身就是连接性不佳甚至是有 DNS 污染的域名，而你常用的工具比如 cfw/小火箭之类早已帮你处理好了 DNS 的问题，而你正常访问国内域名是没有 FakeDNS 的。
这个静态路由在拓扑上也是很普通很标准的静态路由，没啥困难的，光猫自带的静态路由功能都可以。
即使客户端不支持 dhcp option ，内网增加一条其实不影响流量是直接通过网关出去的，路由只是起到提供路由信息的作用。

@povsister 你这三个缺点其实也不算是什么问题。
1 、可以加上嗅探，即使映射关系变了也不影响。
2 、绝大多数系统，特别是移动设备，切换不同的网络 profile 之后是会干掉 DNS 缓存的。
3 、一样可以添加静态路由。特别是你在文章中也提及了”这种 case 还是比较少，完全可以挨个打地鼠解决“
4 、可以通过 dhcp option 121 推送静态路由减少一跳。

zerotier 自带加密