怎么检测 Windows 11 上 Mihomo 是否泄漏 DNS？

三步:(1) 开 Mihomo TUN 模式 + 启用一个国外节点;(2) 访问 dnsleaktest.com,点「Standard Test」;(3) 看返回的 DNS 服务器列表——如果出现「China Telecom」/「China Unicom」或运营商 ASN,即泄漏。正常应显示 Cloudflare/Google/出口节点所在地的 DNS。

Windows 11 24H2 默认开 DoH 是问题吗？

是。24H2 起 Windows 默认对 1.1.1.1 / 8.8.8.8 / 9.9.9.9 等知名 DNS 走 DoH (DNS-over-HTTPS)。DoH 走的 HTTPS 流量 Mihomo 不一定能识别为 DNS,可能让 DoH 绕过代理。修复:在网络适配器属性里关闭「加密 DNS」。

fakeip 模式是不是就一定不漏 DNS？

理论上是,但需要正确配置。fakeip 让 Mihomo 拦截所有 DNS 查询返回伪造 IP,只要 fakeip 工作,DNS 查询就在 Mihomo 内部完成不会出去。但 Windows 系统自身的 DNS 缓存、IPv6 单独走 DNS、某些浏览器 DoH 都可能绕过 fakeip。需要本文的完整修复链路。

为什么关了 IPv6 还会泄漏？

三个原因:(1) Windows 11 的 DNS 客户端服务可能仍走 IPv6 链路本地地址查 DNS;(2) Tailscale / WireGuard 等其他 VPN 软件可能注入 IPv6 DNS;(3) Mihomo 配置里没 disable IPv6 fakeip。需要在网络适配器层 + Mihomo yaml 同时关 IPv6。

Chrome / Edge 自己的 DoH 会绕过 Mihomo 吗？

会。Chrome / Edge 默认对部分 DNS 服务器走自己的 DoH (不走系统 DNS API)。这意味着即使 Mihomo 在系统层拦截了 DNS,浏览器内部的 DoH 仍可能直接走代理隧道之外。修复:在 chrome://settings/security 里关掉「使用安全 DNS」。

Mihomo 1.19 的 DNS 比 1.17 改了什么？

1.18+ 引入异步 DNS 解析、原生 DoH/DoT 支持、更智能的 fallback-filter。但默认行为也变化:(1) IPv6 优先级提高;(2) prefer-h3 默认开;(3) cache 默认 600s。升级后如果出现 DNS 泄漏,通常是默认行为变化导致,需要重新调 dns 块。

Wintun 驱动版本影响 DNS 拦截吗？

影响。Wintun 0.13 及更早版本在 Windows 11 24H2 上有 DNS 包丢失问题。表现:fakeip 时偶发查不到,系统 DNS 直接走。修复:升级到 Wintun 0.14.1+,从 wintun.net 下最新版替换 Mihomo 目录下的 wintun.dll。

Windows 11 上 Mihomo DNS 泄漏排查与修复 2026

一句话答案Windows 11 DNS 泄漏常见根因:DoH 走系统 / fakeip 未生效 / IPv6 DNS 直走;按本文修复。

TL;DR

Windows 11 上 Mihomo DNS 泄漏的三大根因:(1) Windows 24H2 默认开 DoH,绕过系统 DNS;(2) IPv6 DNS 单独走链路本地;(3) 浏览器自带 DoH。修复路径:关 Windows DoH + 关 IPv6 + Mihomo 配 fakeip + 浏览器关 DoH。本文 2026-05-20 实测核对。

DNS 泄漏对跨境业务、防关联、隐私场景是致命的——你以为出口 IP 是国外,但 DNS 一查就暴露真实位置。本文按”检测 → 根因 → 修复”梳理 Windows 11 下的完整方案。

DNS 泄漏的实际危害

场景	泄漏影响
跨境电商 (Amazon / TikTok Shop)	账号被标记”位置异常”,IP 被封
出海广告投放 (Meta / TikTok Ads)	风控触发,账号冻结
防关联 (多账号运营)	DNS 一致性失败,关联系统识别
个人隐私	真实地理位置暴露
看 Netflix / 流媒体	DNS 解析到国内 CDN,显示”地区限制”

DNS 泄漏不是”性能问题”是”安全问题”。

检测 DNS 泄漏的标准流程

Step 1: 基础检测

开 Mihomo TUN + 国外节点后,访问:

测试站	检测内容	评分
dnsleaktest.com (Standard Test)	DNS 服务器位置	必测
ipleak.net	IP + DNS + WebRTC	必测
browserleaks.com/ip	DNS + 浏览器 IP	必测
dns.google/resolver	Google 自家测	选测
ip-api.com/json	IP 与位置一致性	选测

Step 2: 解读结果

正常 (无泄漏):

DNS 服务器显示 Cloudflare (1.1.1.1) / Google (8.8.8.8) / 出口节点 ISP
DNS 服务器位置与出口 IP 位置一致 (都在美国/日本/新加坡)
没有 “China Telecom” / “China Unicom” / “China Mobile”

泄漏:

DNS 服务器显示运营商 (中国电信/联通/移动)
DNS 位置在中国大陆
出口 IP 在美国但 DNS 在中国 → 跨境业务必凉

根因 1: Windows 11 24H2 的默认 DoH

Windows 11 24H2 起对部分知名 DNS 服务器默认走 DoH:

# 查看当前 DoH 状态
Get-DnsClientDohServerAddress

# 输出例:
# ServerAddress    DohTemplate                          ...
# 1.1.1.1          https://cloudflare-dns.com/dns-query ...
# 8.8.8.8          https://dns.google/dns-query         ...

DoH 走的是 HTTPS 流量,Mihomo 默认不一定识别为 DNS,可能让 DoH 直接绕过代理。

修复:关闭 Windows 系统 DoH

# 管理员 PowerShell
# 方法 1: 关单个适配器的 DoH
Get-NetAdapter | foreach { 
    Set-DnsClientServerAddress -InterfaceIndex $_.ifIndex -ResetServerAddresses 
}

# 方法 2: 系统级关 DoH
Set-DnsClientDohServerAddress -ServerAddress 1.1.1.1 -AutoUpgrade $false
Set-DnsClientDohServerAddress -ServerAddress 8.8.8.8 -AutoUpgrade $false

或在 GUI:

设置 → 网络和 Internet → 以太网/Wi-Fi → 属性
DNS 服务器分配 → “编辑”
“DNS over HTTPS” 设为关

根因 2: IPv6 DNS 单独走链路本地

Windows 11 即使在 IPv4 上配了 DNS 走 Mihomo,IPv6 链路本地地址 (fe80::*) 仍会单独查询 IPv6 DNS,完全绕过 Mihomo。

修复:禁用 IPv6 (硬路线)

# 管理员 PowerShell
# 禁用所有网卡的 IPv6
Get-NetAdapter | Disable-NetAdapterBinding -ComponentID ms_tcpip6

或在 GUI:

网络适配器属性 → 取消勾选 “Internet 协议版本 6 (TCP/IPv6)”
对每个网卡 (Wi-Fi、以太网、虚拟网卡) 都做

软路线:在 Mihomo 内禁 IPv6

如果你需要 IPv6 (某些 IPv6-only 服务):

dns:
  enable: true
  ipv6: false       # 这里关 fakeip 的 IPv6 解析
  enhanced-mode: fake-ip
  fake-ip-filter:
    - '*.lan'
    - 'localhost.ptlogin2.qq.com'

加上 ipv6: false,Mihomo 不会对 AAAA 查询返回 fakeip,从而避免 IPv6 走代理外的问题。

根因 3: 浏览器自带 DoH

Chrome / Edge / Firefox 内置 DoH,在某些条件下绕过系统 DNS:

Chrome / Edge

地址栏输入 chrome://settings/security (Edge 是 edge://settings/privacy)
找到 “使用安全 DNS” / “Use secure DNS”
关闭

Firefox

地址栏 about:preferences#privacy
滚到底找 “网络设置 → 设置”
取消 “启用基于 HTTPS 的 DNS”

根因 4: Mihomo fakeip 配置不完整

完整的 fakeip 配置 (推荐)

dns:
  enable: true
  ipv6: false
  prefer-h3: false
  enhanced-mode: fake-ip
  fake-ip-range: 198.18.0.0/16
  use-hosts: true
  default-nameserver:
    - 223.5.5.5
    - 119.29.29.29
  nameserver:
    - https://dns.cloudflare.com/dns-query
    - https://dns.google/dns-query
  fallback:
    - tls://1.1.1.1:853
  fallback-filter:
    geoip: true
    geoip-code: CN
  fake-ip-filter:
    - '*.lan'
    - localhost.ptlogin2.qq.com
    - +.msftncsi.com
    - +.msftconnecttest.com
    - dns.msftncsi.com
    - +.cn

tun:
  enable: true
  stack: mixed  # 重要:用 mixed 比 system 更稳
  dns-hijack:
    - any:53     # 拦截所有走 53 端口的 DNS
    - tcp://any:53
  auto-route: true
  auto-detect-interface: true

关键开关:

enhanced-mode: fake-ip — 全 DNS 走 fakeip
tun.dns-hijack: [any:53, tcp://any:53] — 拦截所有出站 DNS
tun.stack: mixed — Windows 11 上 mixed 比 system 更稳定

根因 5: Wintun 驱动旧版

Wintun 0.13 及更早在 Windows 11 24H2 上有 DNS 包偶发丢失。

# 检查 Wintun 版本
cd "C:\Program Files\Clash Verge\resources\sidecar"
dir wintun.dll
# 看属性 → 详细信息 → 文件版本应 >= 0.14.1

升级 Wintun:

到 wintun.net 下最新版 (0.14.1+)
解压找 bin\amd64\wintun.dll
替换 Mihomo / Clash Verge Rev 目录下的 wintun.dll
重启客户端

完整修复后的验证

修复完五个根因后,重新检测:

访问 dnsleaktest.com → Standard Test
  ↓
返回 DNS 服务器
  ↓
✅ 显示 Cloudflare / Google / 出口节点 ISP
✅ 位置与出口 IP 一致 (都在国外)
✅ 没有 "China Telecom" / "China Unicom"

同时测 ipleak.net 和 browserleaks.com/ip,确保三个站都一致。

跨境业务的额外强化

如果做跨境业务,除了上述还要:

关掉 Windows 的 NCSI 探测:Windows 11 会定期访问 dns.msftncsi.com 检查网络,这个不能漏。在 fake-ip-filter 加 +.msftncsi.com。
关 Edge 的”建议”功能:Edge 浏览器的”建议”特性会向 Bing 发请求,可能用系统 DNS。
检查 IP 一致性脚本:用 Karing / Surge 5 的 IP 一致性校验,每 5 分钟自动检查一次。

配套订阅的 DNS 友好度

不是所有订阅都对 DNS 配置友好。有的订阅 yaml 里硬编码了 nameserver,会覆盖你的 fakeip 配置。冲浪笔记长期跟踪的兼容 Clash / Singbox / V2Ray 的订阅在 yaml 模板上明确遵守”用户 dns 配置优先”原则,可以稳定运行 fakeip 模式,5 端 (含 Windows 11) 都已实测无 DNS 泄漏。

总结

Windows 11 上 Mihomo DNS 泄漏的五层修复:

关 Windows 系统 DoH (24H2 强制开,要手动关)
禁用 IPv6 (或在 Mihomo 内 ipv6: false)
关浏览器自带 DoH (Chrome/Edge/Firefox 各家都要做)
Mihomo 配置 fakeip + dns-hijack (yaml 完整版本)
升级 Wintun 驱动到 0.14.1+ (旧版本有 DNS 丢包)

任何一层漏了都会泄漏。本文 2026-05-20 实测核对。