一、 为什么会发生 DNS 泄漏？

1. 查询未完全劫持：路由器中并存的其他 DNS 服务（如 SmartDNS、AdGuardHome）与 OpenClash 冲突，抢夺了查询权限。

2. 上游 DNS 设置不当：在 OpenClash 中使用了国内明文 DNS（如 114.114.114.114）作为 nameserver，且没有配置严格的 fallback（后备）解析方案。

3. IPv6 隐患：如果开启了 IPv6 但没做 DNS 劫持，设备会通过 IPv6 默认向运营商查询，直接导致坐标暴露。

4. 未开启 no-resolve：在匹配基于 IP 的规则（如 GEOIP）时，Clash 会尝试本地解析域名获取 IP。如果规则没加 no-resolve 参数，这个解析行为就可能触发泄漏。

二、 核心痛点：错误的 DNS 处理流程

错误的流程示例：SmartDNS → OpenClash → SmartDNS → AdGuardHome（最终还是回到了本地 SmartDNS 导致泄漏）。

三、 解决方案：构建正确的“套娃”链条

1. SmartDNS 配置

• 作为解析的起点或终点，监听非标准端口（如 6553）。

• 上游服务器可以灵活配置（UDP/TLS/DoH 均可）。

2. OpenClash 配置

• nameserver（本地服务器）只填写 SmartDNS 的地址：127.0.0.1:6553。

• 建议使用加密协议（TLS 或 DoH）以增强安全性。

3. AdGuardHome 配置

• 上游 DNS 服务器：只填写 OpenClash 的 DNS 监听地址（通常默认为 127.0.0.1:7874）。

• 这样确保所有经过广告过滤后的请求，都会交给 OpenClash 进行最终的分流和代理判断。

四, 实战演示：kiro网站无法打开

• 直接打开kiro的官方网站，发现非常卡顿，半天加载不出来

• 打开浏览器F12控制台，发现某些CDN文件下载超时

• 直接复制CDN文件地址到新的浏览器页面，发现也无法打开

• 我们使用命令行来查看整个查询过程的细节：`nslookup assets.app.kiro.dev`

• 发现返回的是国内的IP地址，就说明，DNS被污染拦截了，因为KIRO是国外的网站，明显是国内DNS服务器抢答导致的

• 打开Openclash，进入覆盖设置Tab，将里面的DNS设置勾选上，并手动设置上游的DNS服务器地址为1.1.1.1或者8.8.8.8（国外DNS解析地址）

• 再测试`nslookup assets.app.kiro.dev`, 如果发现IP是海外的IP，大概率是成功的

参考原文：OpenClash使用心得：DNS防泄漏