如何在VPS上搭建DoH服务器？

项目	内容
所需资源	云服务器、域名、SSL证书
推荐软件	DNSCrypt-Proxy、Cloudflared、AdGuard Home
部署方式	Docker容器化部署、直接安装配置
主要端口	443(TCP/UDP)、53(TCP/UDP)
配置难度	中等，需要基础Linux操作经验
适用场景	个人隐私保护、家庭网络、企业安全

在VPS上搭建DoH服务器的完整指南

DNS-over-HTTPS（DoH）是一种通过HTTPS协议进行DNS查询的安全方法，能够有效防止DNS劫持和中间人攻击。通过在自己的VPS上搭建DoH服务器，你可以获得更好的隐私保护和网络控制能力。

准备工作清单

步骤	所需资源	说明
1	云服务器	推荐使用Ubuntu系统的VPS，配置至少1核1G内存
2	域名	需要解析到VPS IP地址的域名
3	SSL证书	可使用Let’s Encrypt免费证书
4	基础工具	SSH客户端、文本编辑器等

详细搭建步骤

步骤1：VPS基础环境配置

操作说明：连接到VPS并更新系统环境 使用工具提示：使用SSH客户端连接VPS，推荐使用系统自带的终端或PuTTY

# 使用SSH连接到VPS
ssh root@yourvpsip
更新系统软件包
apt update && apt upgrade -y
安装必要工具
apt install -y curl wget vim

步骤2：安装Docker环境

操作说明：安装Docker以便使用容器化部署方案 使用工具提示：Docker可以简化部署过程并确保环境一致性

# 安装Docker
curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh
启动Docker服务
systemctl start docker
systemctl enable docker

步骤3：部署DNSCrypt-Proxy

操作说明：使用Docker运行DNSCrypt-Proxy作为DoH服务器 使用工具提示：确保443端口在防火墙中开放

# 创建并初始化DNSCrypt容器
docker run --name=dnscrypt-server -p 443:443/udp -p 443:443/tcp \
--restart=unless-stopped \
-v /etc/dnscrypt-server/keys:/opt/encrypted-dns/etc/keys \
jedisct1/dnscrypt-server init -N yourdomain.com -E 'yourvpsip:443'

步骤4：配置域名和SSL证书

操作说明：为域名配置SSL证书以确保HTTPS连接安全 使用工具提示：可以使用Certbot自动获取Let's Encrypt证书

# 安装Certbot
apt install -y certbot
获取SSL证书（需要域名已解析）
certbot certonly --standalone -d yourdomain.com

步骤5：验证DoH服务

操作说明：测试DoH服务器是否正常工作 使用工具提示：可以使用curl或dig工具进行测试

# 使用curl测试DoH服务
curl -H 'accept: application/dns-json' \
'https://yourdomain.com/dns-query?name=google.com&type=A'

常见问题与解决方案

问题	原因	解决方案
DoH服务无法启动	端口443被占用或防火墙阻止	检查端口占用情况，确保防火墙允许443端口通信
DNS查询超时	上游DNS服务器不可达	更换可靠的上游DNS服务器，如8.8.8.8或1.1.1.1
SSL证书错误	证书过期或配置错误	更新SSL证书，确保证书路径正确
客户端无法连接	网络配置问题或域名解析错误	检查域名解析设置，确认VPS网络正常
性能较差	服务器资源不足或网络延迟高	优化VPS配置，选择距离用户较近的机房

客户端配置示例

在Firefox浏览器中配置使用自建DoH服务器：

1. 打开设置页面，搜索"DNS"
2. 启用"增强保护模式"
3. 选择"自定义"，输入DoH服务器地址

在Windows 11系统中，可以通过网络设置配置DoH客户端支持，选择"仅已加密(基于HTTPS的DNS)"设置以获得最佳安全保护。 通过以上步骤，你可以在自己的VPS上成功搭建一个功能完整的DoH服务器，为你的网络连接提供更好的隐私保护和安全性。