[功能请求] 支持服务端返回重定向请求

[HeXis-YS]

功能描述

支持在服务端配置客户端的路由规则，当满足一定条件时（主要是匹配IP）向客户端发送响应，指示客户端通过指定出站发起连接。

为什么这个功能很重要

1. 预定义的域名黑/白名单是不可能完美的
   我相信绝大多数人在使用绕过中国大陆的域名分流策略，因为这可以防止DNS泄露。但这也会导致另一个问题，有很多不在预定义域名列表上，但仍然位于中国的域名将会通过代理连接。这不仅增加了至少1 RTT（某些域名的连接会非常慢，甚至无法访问），还增加了服务器IP暴露的风险（一个不太优雅的解决方法是服务端再套一层WARP）。

2. DNS缓存机制的低效性
   为了防止服务器的IP因为访问了中国大陆的地址而暴露，一个较为稳妥的方法是在域名分流的基础上再加一层IP分流，把所有不确定的域名都发送至服务端进行解析。这样也有一个缺点，就是访问所有被墙的地址，因为额外的DNS解析又会增加1 RTT（使用预定义的域名列表进行分流可以缓解一部分）。理想状态下，通过DNS缓存，只在第一次查询时会有较大延迟。但是客户端的工作环境并不稳定，很多情况下都会主动或被动地重启，例如设备重启、切换节点等，这会导致DNS缓存失效。

3. 最佳的解决方法？
   在域名列表上的中国大陆域名，通过直连进行DNS解析和连接。
   不在域名列表上的域名，发送至服务端进行解析。如果解析结果为中国大陆IP（或未解析到IP），则告知客户端直连解析和访问（这样只会增加1 RTT），反之则直接在服务端连接。
   既解决了延迟的问题，又解决了服务端的安全性问题，还省得套WARP。

[iKira]

1、这本身就是fake-ip + final=proxy的用法。
2、有些网站是有CDN的，无法确定服务端解析出来的IP是否是就近IP，这样会导致判断结果不准。

比较合适的做法，是把规则以外的域名发给支持ECS的DNS服务器做一次本地解析，然后判断是否直连。

[iKira]

1、把DNS服务器的域名、IP加到代理规则就行了，让解析走代理，用不用加密DNS服务器都没啥影响
2、xray配置文件可以给DNS服务器指定clientIP

你把官方文档以及xray的功能都吃透了再想扩展功能吧

[HeXis-YS]

1、把DNS服务器的域名、IP加到代理规则就行了，让解析走代理，用不用加密DNS服务器都没啥影响

那就是我在正文第2点中提到的做法。

2、xray配置文件可以给DNS服务器指定clientIP

有两个问题。

1. 假定所有不在白名单上的域名都通过代理进行DNS解析。被墙的地址会多1 RTT，因为它们本可以直接在服务端解析，而不用把解析结果返回客户端再分流。
2. 我并不认为clientIP有任何实质性的帮助，请考虑以下场景：
   有一个不在预定义域名列表上的域名A，它使用了CDN，CDN在中国和美国都有服务器，并且可以从中国访问。
   有一个不在域名列表上的域名B，它也使用了CDN，但CDN在中国并没有节点，也不能从中国访问。
   这两个域名的DNS解析请求都转发至服务端。
   如果clientIP是客户端的IP，A会解析到一个中国IP，客户端可以直连访问A，但对于需要代理的B，则会解析到一个距离服务端较远的IP。反之，可以更快地连接B，但A则需要走代理。
   当然，可以设置expectIPs，以不同的clientIP解析两遍，这应该是有用的，但并不影响上述第一个问题。

你把官方文档以及xray的功能都吃透了再想扩展功能吧

谢谢提醒。我认为我有充分的了解，只是没能以你能够理解的方式表述。

[HeXis-YS]

Talk is cheap
我直接把我的配置文件贴这了。如果确实是我理解不够，请告诉我，我洗耳恭听。

客户端：

{
 "log": {
  "loglevel": "none"
 },
 "dns": {
  "hosts": {
   "domain:googleapis.cn": "googleapis.com"
  },
  "servers": [
   "fakedns",
   {
    "address": "223.5.5.5",
    "domains": [
     "geosite:cn",
     "geosite:private"
    ]
   }
  ],
  "queryStrategy": "UseIPv4",
  "tag": "dns-query"
 },
 "routing": {
  "domainStrategy": "AsIs",
  "rules": [
   {
    "type": "field",
    "inboundTag": [
     "socks-in"
    ],
    "port": 53,
    "outboundTag": "dns-out"
   },
   {
    "type": "field",
    "ip": [
     "ext:geoip-only-cn-private.dat:cn",
     "ext:geoip-only-cn-private.dat:private"
    ],
    "outboundTag": "direct"
   }
  ]
 },
 "inbounds": [
  {
   "tag": "socks-in",
   "listen": "127.0.0.1",
   "port": 10808,
   "protocol": "socks",
   "settings": {
    "udp": true
   },
   "sniffing": {
    "enabled": true,
    "destOverride": [
     "http",
     "tls",
     "quic",
     "fakedns"
    ]
   }
  }
 ],
 "outbounds": [
  {
   "tag": "vless-out",
   "protocol": "vless",
   "settings": {
    "vnext": [
     {
      "address": "*.*.*.*",
      "port": 443,
      "users": [
       {
        "id": "********-****-****-****-************",
        "encryption": "none",
        "flow": "xtls-rprx-vision"
       }
      ]
     }
    ]
   },
   "streamSettings": {
    "security": "reality",
    "realitySettings": {
     "fingerprint": "firefox",
     "serverName": "www.*.com",
     "publicKey": "*",
     "shortId": "",
     "spiderX": "/"
    }
   },
   "mux": {
    "enabled": true,
    "concurrency": -1,
    "xudpConcurrency": 128
   }
  },
  {
   "tag": "direct",
   "protocol": "freedom"
  },
  {
   "tag": "dns-out",
   "protocol": "dns",
   "settings": {
    "nonIPQuery": "skip"
   },
   "proxySettings": {
    "tag": "vless-out"
   }
  }
 ]
}

服务器：

{
 "log": {
  "loglevel": "none"
 },
 "policy": {
  "levels": {
   "0": {
    "bufferSize": 4
   }
  }
 },
 "dns": {
  "servers": [
   {
    "address": "172.31.255.2",
    "domains": [
     "domain:chatgpt.com",
     "domain:openai.com"
    ],
    "skipFallback": true
   },
   "1.1.1.1",
   "8.8.8.8",
   "223.5.5.5"
  ],
  "queryStrategy": "UseIPv4"
 },
 "inbounds": [
  {
   "tag": "vless-in",
   "listen": "0.0.0.0",
   "port": 443,
   "protocol": "vless",
   "settings": {
    "clients": [
     {
      "id": "********-****-****-****-************",
      "flow": "xtls-rprx-vision"
     }
    ],
    "decryption": "none"
   },
   "streamSettings": {
    "security": "reality",
    "realitySettings": {
     "dest": "/dev/shm/reality.sock",
     "serverNames": [
      "www.*.com"
     ],
     "privateKey": "*",
     "maxTimeDiff": 86400000,
     "shortIds": [
      ""
     ]
    }
   },
   "sniffing": {
    "enabled": true,
    "destOverride": [
     "http",
     "tls",
     "quic"
    ]
   }
  }
 ],
 "outbounds": [
  {
   "protocol": "freedom",
   "settings": {
    "domainStrategy": "UseIPv4"
   }
  }
 ]
}

[iKira]

去翻文档，把路由和DNS整个处理流程弄清除了再思考这些细分场景。你上面的配置好几处写了等于白写，没起作用。

[HeXis-YS]

我不如你聪明，写不出你那么完美的配置。
我知道你没有义务指出我的错误，同样我也没有义务和必要向你解释这份配置。
但我想提醒你，到目前为止你没有任何有力的论据证明这个Feature Request是不必要的、已经实现或者是可以通过其他方法实现的。你只是在强调我对Xray不够了解，让我去阅读文档。

你上面的配置好几处写了等于白写，没起作用。

你发表的任何观点，哪怕它们无懈可击，我都可以说同样的话。“你的话漏洞百出，你才是不懂的那个人。”然后要求你去阅读文档，自己想，尽管你并不知道问题在哪。无论从哪一方面来说，这对解决问题都没有任何帮助，也不会让我看起来更像一个有能力的人。它只会让你愤怒、沮丧，让我看上去更像一个键盘侠。
我平等地尊重每一个尊重我的人，抱着学习的态度在这里提出我的想法，哪怕是不成熟的。我欢迎理性讨论，也接受有理有据的批评。
没有人有义务解答我的问题，我也并没有要求任何人解答，这就是为什么这是一个功能请求而不是一个功能要求。或许我真的不懂，提出的想法过于幼稚，写的配置漏洞百出。如果你认为我没有帮助的价值，请不要浪费你的时间回复我。谢谢你对社区环境的维护。

[Benjamin1919]

虽然fake-ip代理省掉了不少DNS解析的时间，但是会污染DNS缓存池，代理如果突然中断，会导致不在geosite内的国内网站也无法连接。
我这边贴一份DNS和路由的配置供你参考：

{
  "dns": {
    "servers": [
      {
        "address": "localhost",
        "domains": [
          "geosite:private"    // 局域网域名由系统DNS处理
        ],
        "skipFallback": true
      },
      {
        "address": "https://223.5.5.5/dns-query",
        "domains": [
          "geosite:cn"    // 国内域名由国内DNS解析
        ],
        "skipFallback": true
      },
      {
        "address": "https://8.8.8.8/dns-query",
        "domains": [
          "geosite:geolocation-!cn"    // 国外域名由国外DNS解析
        ],
        "skipFallback": true
      },
      {
        "address": "https://223.5.5.5/dns-query",
        "expectIPs": [
          "geoip:cn"    // 还未被geosite收录的域名先由国内DNS解析一次，如果返回的不是国内IP，则转到下一个DNS解析
        ],
        "skipFallback": false
      },
      {
        "address": "https://8.8.8.8/dns-query",    // 所有“漏网之鱼”由国外DNS解析
        "skipFallback": false
      }
    ],
    "queryStrategy": "UseIP",
    "disableCache": false,
    "disableFallback": false,    // 不能禁用DNS回落查询，否则无法处理“漏网之鱼”
    "disableFallbackIfMatch": true,    // 有域名匹配的DNS请求禁止回落查询
    "tag": "DNS_IN"
  },
  "routing": {
    "domainStrategy": "IPIfNonMatch",    // 有域名分流规则就优先匹配域名，若没有匹配的域名规则就先解析成IP然后去匹配IP分流规则
    "domainMatcher": "hybrid",
    "rules": [
      {    // 局域网域名和国内域名直连
        "domain": [
          "geosite:private",
          "geosite:cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Direct"
      },
      {    // 国外域名走代理
        "domain": [
          "geosite:geolocation-!cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Proxy"
      },
      {    // 局域网IP和国内IP直连
        "ip": [
          "geoip:private",
          "geoip:cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Direct"
      },
      {    // 国外IP走代理
        "ip": [
          "geoip:!cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Proxy"
      }
    ]
  }
}

skipFallback、disableFallbackIfMatch、IPIfNonMatch这几个参数的含义你对照配置文档理解一下，就能明白我这么写的逻辑了。
路由中的IP分流规则能保证223.5.5.5直连、8.8.8.8走代理，真正做到了国内外分流。彻底做到了防止DNS泄漏。

另外提醒一下，谷歌仍有一些域名在国内是有服务器的，这些域名都囊括在 geosite:google@cn 里面，有些地区可以直连，而有些地区存在SNI阻断；
geosite:google 包含 geosite:google@cn，而 geosite:cn 也包含 geosite:google@cn，所以按照上述配置会导致访问谷歌的某些网站会很慢（原因是 gstatic.com等域名包含在 geosite:google@cn 里面，按照上述分流规则走了直连，使得某些谷歌网页元素加载很慢）。

于是配置可以调整成这样：

{
  "dns": {
    "servers": [
      {
        "address": "localhost",
        "domains": [
          "geosite:private"    // 局域网域名由系统DNS处理
        ],
        "skipFallback": true
      },
      {
        "address": "https://8.8.8.8/dns-query",
        "domains": [
          "geosite:google"    // 谷歌域名由国外DNS解析
        ],
        "skipFallback": true
      },
      {
        "address": "https://223.5.5.5/dns-query",
        "domains": [
          "geosite:cn"    // 国内域名由国内DNS解析
        ],
        "skipFallback": true
      },
      {
        "address": "https://8.8.8.8/dns-query",
        "domains": [
          "geosite:geolocation-!cn"    // 国外域名由国外DNS解析
        ],
        "skipFallback": true
      },
      {
        "address": "https://223.5.5.5/dns-query",
        "expectIPs": [
          "geoip:cn"    // 还未被geosite收录的域名先由国内DNS解析一次，如果返回的不是国内IP，则转到下一个DNS解析
        ],
        "skipFallback": false
      },
      {
        "address": "https://8.8.8.8/dns-query",    // 所有“漏网之鱼”由国外DNS解析
        "skipFallback": false
      }
    ],
    "queryStrategy": "UseIP",
    "disableCache": false,
    "disableFallback": false,    // 不能禁用DNS回落查询，否则无法处理“漏网之鱼”
    "disableFallbackIfMatch": true,    // 有域名匹配的DNS请求禁止回落查询
    "tag": "DNS_IN"
  },
  "routing": {
    "domainStrategy": "IPIfNonMatch",    // 有域名分流规则就优先匹配域名，若没有匹配的域名规则就先解析成IP然后去匹配IP分流规则
    "domainMatcher": "hybrid",
    "rules": [
      {    // 谷歌域名走代理
        "domain": [
          "geosite:google"
        ],
        "network": "tcp,udp",
        "outboundTag": "Proxy"
      },
      {    // 局域网域名和国内域名直连
        "domain": [
          "geosite:private",
          "geosite:cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Direct"
      },
      {    // 国外域名走代理
        "domain": [
          "geosite:geolocation-!cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Proxy"
      },
      {    // 局域网IP和国内IP直连
        "ip": [
          "geoip:private",
          "geoip:cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Direct"
      },
      {    // 国外IP走代理
        "ip": [
          "geoip:!cn"
        ],
        "network": "tcp,udp",
        "outboundTag": "Proxy"
      }
    ]
  }
}

按照这个逻辑你可以自己调整配置。xray现在可以给每个路由规则添加 ruleTag（ https://xtls.github.io/config/routing.html#ruleobject ），将日志级别设为"debug"，能够在 error.log 里看到每一条DNS请求和每一条域名请求是否按照你的分流规则出站，方便你判断自己的配置是否有问题

[HeXis-YS]

感谢回复。先前的配置文件确实存在一些问题。
在这里我假设三个前提

1. 应尽可能少地使用规则文件
   尤其是基于域名的规则。它在理论上比基于IP的规则有更高的开销。过多不必要的使用规则文件会增加计算量。整个配置应该以最少的规则实现最完备的分流。
   实际上，如果你在一些低性能的手机上使用一些规则很多的配置，你能感受到明显的性能下降
2. DNS缓存不可靠，不应该过度依赖
   这一点我在正文中已经提到过了，所以我们假设每一次远程查询都要真的发送一个请求。所以应该尽可能减少客户端向服务端发送DNS请求。
3. 所有DNS请求都能够进入Xray-core
   因此由软件或者APP发出的DNS请求其实不需要获得正确的响应，只需要快。
   先前的配置我原本想在DNS上进行分流。也就是说，在DNS解析阶段就把国内域名解析为真实IP，其他域名解析为fake IP，在路由分流时只需要一条基于IP的规则即可。但是Xray的destOverride机制似乎不太灵活，导致这种方式无法实现预期的目标。

基于上述前提，以下是我修改后的配置

{

 "dns": {
  "hosts": {
   "domain:googleapis.cn": "googleapis.com"
  },
  "servers": [
   "fakedns",  // 只会在处理外部DNS请求时才会用
   "223.5.5.5",
   "119.29.29.29"
  ],
  "queryStrategy": "UseIPv4",
  "tag": "dns-query"
 },
 "routing": {
  "domainStrategy": "AsIs",  // 基于前提2，客户端不做远程解析，只使用域名分流
  "rules": [
   {  // 前提3
    "type": "field",
    "port": 53,
    "outboundTag": "dns-out"
   },
   {  // 前提2，只做域名分流
    "type": "field",
    "domain": [
     "geosite:cn",
     "geosite:private"
    ],
    "outboundTag": "direct"
   },
   {  // 保留一个基于IP的规则，以应对通过IP发起的连接
    "type": "field",
    "ip": [
     "geoip:cn",
     "geoip:private"
    ],
    "outboundTag": "direct"
   }
  ]
 },
 "inbounds": [
  {
   "tag": "socks-in",
   "listen": "127.0.0.1",
   "port": 10808,
   "protocol": "socks",
   "settings": {
    "udp": true
   },
   "sniffing": {  // 对于你提到的DNS缓存污染问题，这里并没有直接用fakedns+others，优先使用fakedns映射表
   // 而是优先使用传统解析方式。这样可以最大程度地降低缓存污染的影响
    "enabled": true,
    "destOverride": [
     "http",
     "tls",
     "quic",
     "fakedns"
    ]
   }
  }
 ],
 "outbounds": [
  // 出站详细配置省略
}

{
 "dns": {
  "servers": [
   {
    "address": "172.31.255.2",
    "domains": [
     "domain:chatgpt.com",
     "domain:openai.com"
    ],
    "skipFallback": true
   },
   "1.1.1.1",  // 服务端有路由优化，公共DNS跟机房DNS延迟差不多
   "8.8.8.8"
  ],
  "queryStrategy": "UseIPv4"
 },
 "routing": {
  "domainStrategy": "IPOnDemand",  // 因为没有基于域名的规则，直接解析为IP
  "rules": [
   {  // 解析为中国IP的连接通过WARP分流，防止IP泄露
    "type": "field",
    "ip": [
     "geoip:cn"
    ],
    "outboundTag": "warp-out"
   }
  ]
 },
 "inbounds": [
  {
   "tag": "vless-in",
   // 主入站，详细配置已省略
   "sniffing": {  // 因为在客户端已经做过了destOverride，服务端就不需要嗅探了
    "enabled": false
   }
  }
 ],
 "outbounds": [
  // 出站详细配置已省略
}

以上配置旨在实现以下分流
客户端：
已知的中国和私有域名->直连
其他流量->代理（发送至服务端）

服务端：
解析结果为中国IP的->WARP（这部分流量就是我提这个功能请求的原因）
其他流量->直连

我自己也有试过用Xray的反向代理，把上面指出的那部分流量重新导回客户端。说实话性能上比用WARP要好，但是耗电量会增加很多。