家里那台用了好几年的路由器,最近总觉得上网慢,打开网页老是卡。换了新的宽带套餐也没改善,后来一查才发现,问题可能出在DNS上。现在不少新服务都开始用DoH(DNS over HTTPS)和DoT(DNS over TLS)这类加密DNS协议了,但手里的老设备能不能跟上节奏?
新DNS协议是啥?为啥重要?
传统的DNS就像寄信时不封信封,谁都能看到你访问了哪个网站。而DoH和DoT把查询过程加密了,数据走HTTPS或TLS通道,防劫持、防窥探,还能避开运营商插广告,尤其适合家里有老人小孩的环境。
像阿里云DNS(223.5.5.5)、腾讯DNSPod(119.29.29.29)、Cloudflare(1.1.1.1)这些主流公共DNS都已支持加密查询。但问题来了——你的路由器认不认?
老路由器通常不支持DoH/DoT
市面上大多数五年前的家用路由器,出厂时固件压根没考虑过加密DNS这回事。它们的DNS设置页面最多只能填两个IP地址,比如主用8.8.8.8、备用8.8.4.4,这种就是典型的传统DNS配置方式。
就算你在手机或电脑上手动设置了DoH(比如Firefox浏览器里开启加密DNS),一旦连上Wi-Fi,请求还是会经过路由器转发,如果路由器本身不支持或未启用,加密也就断在了门口。
有没有补救办法?
有的,但得看情况。如果你的路由器刷了第三方固件,比如OpenWrt、Padavan或者DD-WRT,那就有戏。这些系统可以通过插件或命令行开启DoT代理,把所有局域网设备的DNS请求统一加密转发。
以OpenWrt为例,可以安装dnsproxy或配置stubby来实现DoT:
service stubby {
address_data: 1.1.1.1
port_data: 853
transport_https: NO
transport_tcp: YES
}改完重启服务,整个家庭网络就跑在加密通道上了。不过操作门槛高点,新手容易搞错IP或端口导致断网。
原厂固件基本没指望
绝大多数品牌厂商不会给老旧型号推送支持新协议的更新。华硕、TP-Link、小米这些品牌的中低端老机型,即便近年发布的产品,很多也只在高端型号上才陆续加入DoH选项。
你可以进路由器后台看看“网络设置”或“DNS”相关页面,如果有“加密DNS”、“DNS over HTTPS”之类的开关,说明能用;如果没有,大概率就不支持。
实在不行,换个新路由也不亏
现在两百块左右的新路由器,不少已经原生支持DoH。比如小米AX3000T、TP-Link XDR3040,甚至一些入门级千兆机都带这个功能。花一顿火锅钱升级一下,全家上网更安全稳定,还能顺便解决信号弱、设备多掉线的问题。
与其折腾老机器,不如直接换一个看得见未来的产品。毕竟路由器不像手机那样天天换,选对一台,能用好几年。