Portmaster DNS over TLS功能在1.16.10版本后失效问题分析

问题背景

Portmaster作为一款网络隐私保护工具，其DNS over TLS（DoT）功能在1.16.10版本后出现了异常。用户报告显示，在Windows 11系统环境下，无论是IPv4还是IPv6的DoT查询均无法正常工作，而回退到1.16.10版本则功能正常。

技术现象

通过对比测试发现：

1. 1.16.10版本

   • 直接DoT查询本地DNS服务器成功
   • 普通DNS查询被Portmaster拦截后通过DoT转发成功
   • 响应中包含Portmaster特有的TXT记录（如配置来源和记录有效期）

2. 1.16.12版本

   • 直接DoT查询仍可工作
   • 普通DNS查询被拦截后出现UDP超时错误
   • 错误提示显示与本地DNS服务器853端口的TLS通信失败

根本原因

经开发团队确认，该问题源于内核扩展模块（kext）的兼容性问题。新版本中引入的网络流量处理逻辑与部分本地DNS服务器的TLS握手过程存在冲突，导致：

• 直接DoT查询不受影响（应用层直接建立TLS连接）
• 经Portmaster转发的查询失败（依赖内核模块的流量拦截和转发机制）

解决方案

该问题已在1.16.13版本中通过以下方式修复：

1. 重构内核扩展模块的网络包处理逻辑
2. 优化TLS会话的建立和维持机制
3. 增强对本地DNS服务器特殊配置的兼容性

技术启示

1. 网络中间件开发需特别注意内核态与用户态的协同工作
2. DNS隐私功能实现时要考虑多种网络环境（特别是企业内网DNS服务器）
3. 版本升级时应保持核心网络功能的向后兼容性

建议用户在遇到类似问题时：

• 优先验证直接DoT查询是否工作
• 检查系统防火墙是否放行853端口
• 关注Portmaster的TXT记录反馈信息