AdGuardHome DNS解析异常问题分析与解决方案

问题现象

在OpenBSD平台运行的AdGuardHome v0.107.48版本中，用户遇到了两个典型的DNS解析异常问题：

1. 上游DNS服务器残留问题：即使已经移除了某些公共DNS服务器，查询日志仍显示这些服务器在被使用。设备多次重启、DNS缓存刷新后问题依然存在。

2. 本地域名解析异常：类似"lan.lan"、"secure.secure"等本地域名未按预期在本地处理，反而尝试通过上游DNS服务器解析。同时本地服务器对192.168.30.1等地址的请求被规则忽略。

技术分析

上游DNS残留问题

这种现象通常由以下几个技术原因导致：

1. 设备级DNS设置残留：

   • 某些网络设备(如IoT设备)可能硬编码了DNS服务器地址
   • 操作系统可能缓存了历史DNS配置
   • 某些应用程序可能内置了备用DNS解析方案

2. AdGuardHome配置问题：

   • 可能未正确应用新的上游DNS设置
   • 可能存在多个配置文件冲突
   • 上游DNS切换后未完全重启服务

本地域名解析问题

这类问题通常涉及：

1. 域名处理优先级：

   • AdGuardHome的本地域名解析规则可能未被正确识别
   • 域名后缀匹配规则可能存在冲突

2. 网络配置问题：

   • DHCP可能未正确配置本地域名后缀
   • 可能存在多个域名解析渠道的冲突

解决方案

对于上游DNS残留问题

1. 全面检查网络设备：

   • 排查所有联网设备的DNS设置
   • 特别注意IoT设备和移动终端的网络配置
   • 使用网络扫描工具确认是否有设备使用硬编码DNS

2. 彻底清理DNS缓存：

   # 在OpenBSD上清理DNS缓存
   doas rcctl restart unbound
   

3. AdGuardHome服务重启：

   # 完全重启AdGuardHome服务
   doas rcctl restart AdGuardHome
   

对于本地域名解析问题

1. 检查AdGuardHome配置：

   • 确认"本地域名"设置中已包含所有需要的本地域名后缀
   • 检查DNS重写规则是否正确定义

2. 配置本地域名解析：

   # 示例配置
   dns:
     local_domain: "lan,secure"
     rewrites:
       - domain: "lan.lan"
         answer: "192.168.30.1"
       - domain: "secure.secure"
         answer: "192.168.30.1"
   

3. 验证域名解析流程：

   # 使用dig命令测试本地域名解析
   dig @localhost lan.lan
   dig @localhost secure.secure
   

预防措施

1. 定期审计网络配置：

   • 建立网络设备DNS配置清单
   • 实施定期检查机制

2. 完善监控系统：

   • 设置对异常DNS查询的告警
   • 监控上游DNS服务器的使用情况

3. 文档化配置变更：

   • 记录所有DNS配置变更
   • 维护标准的配置备份

总结

DNS解析问题是网络管理中的常见挑战，特别是在使用AdGuardHome这样的DNS过滤解决方案时。通过系统性的排查和规范的配置管理，可以有效解决上游DNS残留和本地域名解析异常问题。关键在于理解DNS解析的完整流程，从终端设备到中间网络设备再到DNS服务器，每个环节都可能影响最终结果。

对于OpenBSD平台用户，还需要特别注意系统特有的服务管理方式和网络配置路径，这与其他Linux发行版可能存在差异。保持配置的一致性和完整性是避免此类问题的根本方法。