软路由加密DNS：DNSCrypt Anonymized relay配置

<h1>软路由加密DNS：DNSCrypt Anonymized relay配置，给代理ip加把锁</h1>

<h2>为什么软路由玩家都在折腾DNSCrypt Anonymized relay？</h2>
自从家里上了软路由，我就跟裸奔的DNS说拜拜。运营商的劫持、墙外的污染，一条查询记录就能出卖你用的代理IP。DNSCrypt把请求端到端加密还不够，Anonymized relay（匿名中继）再帮你把“谁问的”和“问什么”拆开，让出口IP和查询内容各奔东西，就算有人截包，也只能看见一堆没名字的加密流。说人话：代理IP不会因为你查了个google.com就暴露身份。

<h2>十分钟搭好Anonymized relay，OpenWrt/istoreOS通杀</h2>

1. 软件源里搜“dnscrypt-proxy2”，装完自带relay插件，别装老版本。
2. 打开/etc/dnscrypt-proxy/dnscrypt-proxy.toml，先关掉不需要的过滤，省内存。

3. 关键三行：

   routes = [
     { server_name='*', via=['anon-cs-de', 'anon-plan9-dns'] }
   ]

   意思是“所有查询都先扔给两个匿名中继”，星号通配，后面想加国内DoH单独走也行。

4. relay列表官方每天更新，把下面这行取消注释，自动下载最新节点，不怕中继跑路：

   relays = true

5. 重启服务，luci状态页看到“DNS security: yes (encrypted + anonymized)”就齐活。内存占用不到20 MB，老矿机也能跑。

<h2>挑中继节点=挑代理IP，延迟和匿名要兼得</h2>
Anonymized relay不是越多越好，三条原则：

• 出口别跟代理IP同国，最好跨洲，德国中继+美国代理IP，查出来两地分离。
• 延迟>300 ms的果断弃，网页转圈老婆会骂人。
• 优先选“scaleway+cs”这类公益节点，日志零保留，官网有透明条款。
  用dnscrypt-proxy -list查看实时延迟，把最慢的注释掉，留三到五个做轮询，既冗余又提速。

<h2>防泄露的隐藏彩蛋：把代理IP的53端口彻底封死</h2>
很多人配完加密DNS却忘关普通53，系统 fallback 直接裸奔。在防火墙自定义规则加一条：

iptables -A OUTPUT -p udp --dport 53 -j DROP

重启网络，手机抓包再也看不到明文请求。再顺手把IPv6的53也封了，运营商的“贴心”IPv6 DNS就没路可走。这一步做完，代理IP的指纹干净得像刚买的号。

<h2>常见翻车现场与回血方案</h2>

• 重启后解析全红：多半是relay列表没拉下来，手动wget放到/var/cache，再赋权限666。
• 只加密IPv4，IPv6还是裸奔：在config里加ipv6_servers = true，并给relay也开IPv6。
• 旁路由下设备不生效：把DHCP的DNS指到旁路由IP，关闭“DNS劫持转发”，让客户端直连dnscrypt-proxy，别经过主路由的53。

<h2>把加密DNS和代理IP串成一条龙</h2>
软路由里DNSCrypt负责匿名查询，透明网关再把流量扔进代理IP，两层出口互不相识，溯源难度指数级上升。搭配订阅轮换的住宅代理ip，每隔半小时自动换出口，网站后台只能看到“德国中继+美国住宅IP”这种风马牛不相及的组合，封号率直接腰斩。记得选支持SOCKS5/HTTP双协议的代理，方便dnscrypt-proxy做“force_tcp”转发，UDP被QOS时也能稳住。

<h3>最后的小叮咛</h3>
配置完别急着关机，开一集4K流媒体测试，若缓冲无压力说明relay选得靠谱；再跑个ipleak.net，只要DNS一栏显示“Encrypted server”且国家与代理IP不同，你就成功隐身。整套下来成本为零，性能损耗肉眼难辨，老玩家十分钟，小白半小时也能搞定。把这篇文章丢进收藏夹，下次换软路由直接照抄，再也不怕被“DNS投毒+代理IP暴露”双重暴击。

采购代理IP请添加微信客户经理：x31471626