软路由防中间人：DANE TLSA记录验证教程

<h1>软路由防中间人：DANE TLSA记录验证教程｜代理ip安全加速实战</h1>

<h2>为什么软路由+代理ip也要防中间人？</h2>
很多人以为挂了代理IP就高枕无忧，其实流量在出国入口、落地机、DNS多级跳转时照样能被“插一脚”。中间人攻击（MITM）最爱盯的就是TLS握手阶段，证书一伪造，数据裸奔。软路由性能强、插件多，正好把DANE TLSA记录验证跑在本地，提前把假证书挡在门外，比事后换代理IP靠谱多了。

<h2>DANE TLSA到底是个啥？</h2>
简单说，它把网站真实的证书公钥指纹写进DNS的TLSA记录里，客户端（这里就是我们的软路由）先查DNSSEC链，再比对证书，对不上直接断开，不给任何“友好提示”。相比传统CA体系，DANE不鸟那些“受信任”的颁发商，只看记录，天然适合经常换代理IP、自建节点的玩家。

<h2>软路由前置准备：OpenWrt+Stubby+Dnsmasq</h2>

1. 刷好OpenWrt 22.03+，内存≥512M，闪存≥128M，USB口留一个给SSD，后续日志狂写不心疼。
2. 软件源换国内，装包：
   opkg update && opkg install stubby dnsmasq-full ca-bundle ca-certificates openssl-util
3. 把上游DNS改成支持DNSSEC的，比如Cloudflare 1.1.1.1、Quad9 9.9.9.9，延迟低还能防污染，代理IP出口再稳也怕DNS被劫持。

<h2>生成并发布TLSA记录</h2>
以自建的Xray节点为例，证书用Let’s Encrypt。

1. 拿到完整链：cat fullchain.pem cert.pem > tlsa.pem
2. 算3 1 1模式指纹：
   openssl x509 -in tlsa.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | xxd -p -c 32
   得到一串64位小写hex。
3. 进域名DNS面板，加一条TLSA记录：
   _443._tcp.你的域名. 300 IN TLSA 3 1 1 刚才那串hex
   如果代理IP是IPv6落地，再补一条_443._tcp.你的域名. 300 IN TLSA 3 1 1 …即可，多线路一样玩。

<h2>软路由本地验证：getdns + 防火墙联动</h2>

1. 装getdns：
   opkg install getdns

2. 写个简单脚本/usr/bin/dane-check.sh：

   #!/bin/sh
   domain=$1
   port=$2
   getdns_query="$(getdns -s -A 127.0.0.1@853 --tls-auth=required --tls-auth-name=$domain --dane-tlsa-rrdata=_$port._tcp.$domain TLSA)"
   echo "$getdns_query" | grep -q "success" && exit 0 || exit 1

3. 防火墙自定义规则里加：

   iptables -N DANE_CHECK
   iptables -I FORWARD -p tcp --dport 443 -m set --match-set proxyip dst -j DANE_CHECK
   iptables -A DANE_CHECK -m recent --set --name dane_count
   iptables -A DANE_CHECK -m recent --update --seconds 60 --hitcount 4 --name dane_count -j DROP

   解释：代理IP段走DANE_CHECK链，脚本返回失败就计数，60秒内超4次直接拉黑，省得日志爆炸。

<h2>常见翻车点&秒解</h2>

• DNSSEC没开：Stubby日志里dnssec_indeterminate刷屏，去上游DNS官网把EDNS客户端子网关掉，瞬间清爽。
• 证书续期指纹变：Let’s Encrypt续期后指纹会换，写个cron每周跑dehydrated -c完自动更新TLSA记录，API用Cloudflare Token，30秒搞定。
• 代理IP出口SNI被改写：部分机场为了省证书，把SNI统一成他自家域名，DANE直接失败，换支持“原sni透传”的线路，或者干脆自建落地，别贪便宜。

<h2>进阶玩法：把验证结果推给客户端</h2>
软路由跑passwall、openclash时，可以把dane-check.sh返回值写进ipset，失败就切换下一条代理IP，实现“证书不对自动换线”，比手动刷新订阅香多了。再配合小火箭的“跳过证书验证”关闭，iPhone也能享受DANE级防护，出国流量先过软路由，再进机场，双层保险。

<h2>一句话总结</h2>
软路由+DNSSEC+DANE TLSA，等于给代理IP上了把指纹锁，证书造假立刻现形，中间人想偷窥？门都没有。整套流程跑通不到30分钟，却能让你每一次翻墙都稳如老狗。

采购代理IP请添加微信客户经理：x31471626