使用指南

• 1: 公共服务
• 1.1: Android
• 1.2: iPhone DNS加密配置指南
• 1.3: macOS
• 2: 私有服务
• 2.1: 如何配置
• 2.1.1: Android
• 2.1.2: iPhone
• 2.1.3: Windows
• 2.1.4: macOS
• 2.1.5: 浏览器
• 2.2: 高级设置
• 2.2.1: DDNS动态解析
• 2.2.2: DNS分流配置指南
• 2.2.3: 使用自定义设备名
• 2.2.4: 更快的请求响应
• 2.2.5: 设置信任的服务商
• 2.3: 隐私政策

# huawei search && browser
hisearch-drcn.dt.dbankcloud.com
uc-drcn.hispace.dbankcloud.cn
connect-drcn.hispace.hicloud.com
adx-drcn.op.dbankcloud.cn
hisearch-static-drcn.dbankcdn.com
||configserver.hicloud.com
||configserver.platform.hicloud.com
||configdownload.dbankcdn.cn
||browsercfg-drcn.cloud.dbankcloud.cn

1 - 公共服务

Android

Android 自 Android 9 以后开始原生支持 DNS over TLS(DoT)，2019 年以后的手机都支持。您可以通过以下方法开启：

1. 打开设置
2. 打开更多连接
3. 打开加密DNS
4. 选中指定加密DNS服务, 填入: public.adguardprivate.com

自建 DNS 服务有各种实现方式, 如 AdGuard, dnsmasq, clash 等, 只有原生 DoT 是对手机性能开销 0 影响, 它不依赖任何三方应用, 不需要任何权限, 不占用任何资源, 也不会影响手机的电量。所以推荐使用原生 DoT 加密 DNS。

iPhone

iOS 14 以上版本支持原生 Dns over HTTPS(DoH)和 DNS over TLS(DoT)加密 DNS, 您可以通过以下方法开启：

1. 打开自带浏览器 Safari, 下载配置文件: dot.mobileconfig
2. 打开设置
3. 打开通用
4. 打开VPN 和设备管理
5. 选中安装配置文件

macOS

macOS Big Sur 以上版本支持原生 Dns over HTTPS(DoH)和 DNS over TLS(DoT)加密 DNS, 您可以通过以下方法开启：

1. 打开自带浏览器 Safari, 下载配置文件: dot.mobileconfig
2. 打开系统偏好设置
3. 打开网络
4. 选中VPN 和设备管理
5. 选中安装配置文件

1.1 - Android

Android 自 Android 9 以后开始原生支持 DNS over TLS(DoT)，2019年以后的手机都支持。您可以通过以下方法开启：

1. 打开设置
2. 打开更多连接
3. 打开加密DNS
4. 选中指定加密DNS服务, 填入public.adguardprivate.com

自建DNS服务有各种实现方式, 如AdGuard, dnsmasq, clash等, 只有原生DoT是对手机性能开销0影响, 它不依赖任何三方应用, 不需要任何权限, 不占用任何资源, 也不会影响手机的电量。所以推荐使用原生DoT加密DNS。

1.2 - iPhone DNS加密配置指南

功能简介

从iOS 14开始，iPhone原生支持加密DNS功能，包括：

• DNS over HTTPS (DoH) - 通过HTTPS协议加密DNS查询
• DNS over TLS (DoT) - 通过TLS协议加密DNS查询

这些功能可以有效保护您的网络隐私，防止DNS劫持。

配置步骤

1. 下载配置文件

使用Safari浏览器下载配置文件：dot.mobileconfig

2. 安装配置文件

1. 打开设置应用
2. 进入通用 > VPN和设备管理
3. 选择并安装 public.adguardprivate.com DoT 配置文件

特殊说明

如果您启用了iCloud Private Relay，需要：

• 在设置中手动关闭该功能，或
• 下载并安装此配置文件：disable-icloud-private-relay.mobileconfig

⚠️ 安全警告
安装配置文件时请格外谨慎。本站提供的配置文件仅用于合法的隐私保护和广告过滤服务。
请勿随意安装来源不明的配置文件，这可能危及您的设备安全。

配置演示视频

1.3 - macOS

macOS Big Sur 以上版本支持原生Dns over HTTPS(DoH)和DNS over TLS(DoT)加密DNS, 您可以通过以下方法开启：

1. 打开自带浏览器Safari, 下载配置文件: dot.mobileconfig
2. 打开系统设置
3. 打开隐私与安全性
4. 选中描述文件
5. 在已下载中选中public.adguardprivate.com DoT进行配置

需要说明的是, 这是一种非常规的修改系统设置方式, 我们一般建议iPhone用户不要轻易安装网络上来路不明的配置文件, 除非您确定相信其来源。本站目的是提供合法的个人隐私保护及去广告服务, 不会做任何对用户不利或反感的行为, 本声明目的是提醒用户, 即使您相信我, 也不要轻易相信其它网站提供的配置文件. 我会在其它文章介绍使用这种方式修改系统DNS配置可能会给您带来的风险。

本文将配置文件的的具体内容展示如下, 您可以直接复制下面的内容, 然后在iPhone的设置中粘贴, 您也可以点击上面的链接下载配置文件。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>DNSSettings</key>
				<dict>
					<key>DNSProtocol</key>
					<string>TLS</string>
					<key>ServerName</key>
					<string>public.adguardprivate.com</string>
				</dict>
				<key>PayloadDescription</key>
				<string>Configures device to use AdGuard Private</string>
				<key>PayloadDisplayName</key>
				<string>public.adguardprivate.com DoT</string>
				<key>PayloadIdentifier</key>
				<string>com.apple.dnsSettings.managed.11b4d48d-8e9b-4e15-b7c1-45cb1c564c99</string>
				<key>PayloadType</key>
				<string>com.apple.dnsSettings.managed</string>
				<key>PayloadUUID</key>
				<string>e9819f0c-250e-49b7-ad89-c0db078c72f0</string>
				<key>PayloadVersion</key>
				<integer>1</integer>
			</dict>
		</array>
		<key>PayloadDescription</key>
		<string>Adds AdGuard Private to macOS Big Sur and iOS 14 or newer systems</string>
		<key>PayloadDisplayName</key>
		<string>public.adguardprivate.com DoT</string>
		<key>PayloadIdentifier</key>
		<string>e0b7d7db-e0d1-4bce-bcf4-8ada45d2f5a3</string>
		<key>PayloadRemovalDisallowed</key>
		<false/>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadUUID</key>
		<string>0404cb98-3621-4f97-9530-b18288633d40</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
	</dict>
</plist>

2 - 私有服务

我们提供了一项广泛使用的免费加密服务: public.adguardprivate.com。这是我们的公共服务，提供一定能力的广告拦截和隐私保护功能。然而，由于每个人对广告的感知不同，有些用户可能会觉得拦截能力不足，而另一些用户可能会发现正常的网站被误拦截。由于这是一个公共服务，只能设定较流行的拦截规则，以适应大多数用户的需求。如果您需要更为个性化的拦截规则，或者需要查看网络访问记录，您可以考虑购买私有服务。

付费提供的额外服务

1. 查看访问记录
2. 查看拦截记录
3. 查看统计信息
4. 自定义规则
5. 白名单模式
6. 权威解析

访问记录

查看上网记录，私有服务提供24小时的网络访问记录查询。

拦截记录

查看拦截记录，了解哪些广告被拦截，以及哪些网站被拦截。

统计信息

私有服务提供24小时内的网络访问统计信息，以便了解用户的上网习惯。

统计信息会显示哪些网站被访问最多，以及哪些网站被拦截最多。

自定义规则

在私有服务内创建自定义规则，以拦截个人常用的应用广告，或者放行个人不认为是广告的网站。

用户可能需要查看访问记录，观察启动特定应用时的网站查询记录，以便添加自定义规则。

白名单模式

如果需要避免某类型网站被拦截，可以设定白名单模式，只允许访问特定的网站。

白名单的优先级高于黑名单，如果网站在白名单中，则不会被拦截。用户可以将常用的一些网站添加到白名单中，以免被误拦截。

权威解析

支持添加企业或家庭内设备的权威解析，将指定名称解析到家庭设备的IP地址，摆脱记忆IP地址的烦恼。

用户不必购买域名，不需要备案，只需在私有服务内添加权威解析规则即可。

2.1 - 如何配置

付费服务到期后,

• 服务将会立即失效, 访问后台管理地址将会跳转至服务状态查询页面.
• 个性化设置将会保留7日, 7日内未续费将会彻底删除服务的所有数据
• 服务彻底删除后, 自定义域名将无法再访问服务, 请记得修改您的加密DNS设置, 否则将无法访问互联网

如需帮助,

请联系微信: adguard6688
或发送邮件: service1@adguardprivate.com
请附上故障截图及描述, 我们会尽快回复.

2.1.1 - Android

通过以下方法开启：

1. 打开设置
2. 打开更多连接
3. 打开加密DNS
4. 选中指定加密DNS服务, 填入xxxxxxxxxxxxxxxx.adguardprivate.com, 其中{xxxxxxxxxxxxxxxx}是您的加密DNS服务的用户名。

2.1.2 - iPhone

iOS 14以上版本支持原生Dns over HTTPS(DoH)和DNS over TLS(DoT)加密DNS, 您可以通过以下方法开启：

1. 打开自带浏览器Safari, 导航到私有服务后台, 设置指导->DNS 隐私
2. 下载配置文件
3. 打开手机设置
4. 点击通用
5. 点击VPN和设备管理
6. 选中您的专用配置进行安装

配置演示

2.1.3 - Windows

Windows 11

Windows 11 21H2 之后开始支持原生Dns over HTTPS(DoH), 您可以通过以下方法开启：

1. 打开设置
2. 打开网络和Internet
3. 打开以太网
4. 找到DNS服务器分配, 点击编辑
   1. 选择手动
   2. 在首选DNS服务器 IPv4中填入120.26.96.167, IPv6地址为2408:4005:3de:8500:4da1:169e:dc47:1707
   3. DNS over HTTPS(DoH)选择: 开(手动模板)
   4. 在DoH模板中填入https://xxxxxxxxxxxxxxxx.adguardprivate.com/dns-query, {xxxxxxxxxxxxxxxx}是您的加密DNS服务的用户名。
   5. 不要勾选失败时使用未加密请求
   6. 备选DNS服务器您可以选填223.5.5.5(阿里云公共DNS服务), DNS over HTTS 关, 勾选失败时使用未加密请求.

Windows 10 及更早版本

Windows 10 及更早版本不支持原生加密DNS, 但您可能使用了较新的浏览器如Chrome/Edge及各种使用了Chromium内核的浏览器(360/QQ等国产浏览器), 那么您可以在浏览器中设置使用DoH加密DNS. 以下是Chrome浏览器的设置方法:

1. 打开Chrome浏览器设置
2. 打开隐私、搜索和服务
3. 滑动到安全性
4. 启用使用安全的 DNS 指定如何查找网站的网络地址
5. 在选择服务提供商中填入https://xxxxxxxxxxxxxxxx.adguardprivate.com/dns-query, {xxxxxxxxxxxxxxxx}是您的加密DNS服务的用户名。

其它浏览器请参考各自的设置方法, 一般在设置-隐私-安全中可以找到相关设置.

2.1.4 - macOS

macOS Big Sur 以上版本支持原生Dns over HTTPS(DoH)和DNS over TLS(DoT)加密DNS, 您可以通过以下方法开启：

1. 打开自带浏览器Safari, 导航到私有服务后台, 设置指导->DNS 隐私
2. 下载配置文件
3. 打开系统设置
4. 打开隐私与安全性
5. 选中描述文件
6. 选中您的专用配置进行安装

2.1.5 - 浏览器

Chromium 79+的浏览器版本支持DoH, 以下是Chromium系(Chrome/Edge/360/QQ等)浏览器的设置方法:

1. 打开Chrome浏览器设置
2. 打开隐私、搜索和服务
3. 滑动到安全性
4. 启用使用安全的 DNS 指定如何查找网站的网络地址
5. 在选择服务提供商中填入https://xxxxxxxxxxxxxxxx.adguardprivate.com/dns-query, 其中{xxxxxxxxxxxxxxxx}是您的专用加密DNS服务的用户名。

2.2 - 高级设置

这里将会介绍一些私有服务的高阶使用技巧.

2.2.1 - DDNS动态解析

Adguard Private 支持 DNS 重写, 可以用于 DDNS 动态解析。

需要注意该DDNS方案仅适用于个人服务, 未使用该私有DNS服务则无法获取自定义解析.

使用方法

Windows

# 下载脚本
Invoke-WebRequest -Uri https://www.adguardprivate.com/docs/startup/private/tutorial/DDNS/update_dns.ps1 -OutFile update_dns.ps1
# 执行脚本
.\update_dns.ps1 https://xxxxxxxxxxxxxxxx.adguardprivate.com agh_session=f05b0e31afe85ab343a31a1e099e59f4 nas.home

Linux && MacOS

# 下载脚本
wget https://www.adguardprivate.com/docs/startup/private/tutorial/DDNS/update_dns.sh -O update_dns.sh
# 执行脚本
./update_dns.sh https://public3.adguardprivate.com agh_session=f05b0e31afe85ab343a31a1e099e59f4 nas.home

2.2.2 - DNS分流配置指南

DNS分流概述

DNS分流通过将不同域名的解析请求分发到不同的DNS服务器，可以显著提升网络访问体验。合理的DNS分流配置可以：

• 加快域名解析速度
• 提升网站访问稳定性
• 优化跨境访问体验
• 避免DNS污染问题

Adguard Private 分流配置

基础配置示例

# 国内DNS服务器
223.5.5.5                                    # 阿里DNS
2400:3200::1                                 # 阿里DNS IPv6
public0.adguardprivate.svc.cluster.local    # 私有DNS, 大陆上游

# 国外DNS服务器
tls://1.0.0.1                               # Cloudflare DNS
tls://[2606:4700:4700::1001]               # Cloudflare DNS IPv6
public2.adguardprivate.svc.cluster.local    # 私有DNS, 其它上游

# 分流规则示例
[/google.com/bing.com/github.com/stackoverflow.com/]tls://1.0.0.1 public2.adguardprivate.svc.cluster.local
[/cn/xhscdn.com/tencentclb.com/tencent-cloud.net/aliyun.com/alicdn.com/]223.5.5.5 2400:3200::1 public0.adguardprivate.svc.cluster.local

国内运营商DNS服务器列表

电信DNS服务器

联通DNS服务器

全国移动 DNS IP

公共 DNS IP

配置建议

1. 优先选择就近的DNS服务器
2. 同时配置IPv4和IPv6 DNS
3. 为重要域名配置备用DNS
4. 定期更新分流规则
5. 监控DNS响应时间

注意事项

• 配置前请记录原有DNS设置
• 避免使用不可信的DNS服务器
• 定期检查DNS解析是否正常
• 保持规则列表简洁且有效

通过合理配置DNS分流，可以显著提升网络访问体验。建议根据实际需求选择合适的DNS服务器和分流规则。

参考

• 全国各省 DNS 服务器列表
• 全国公共 DNS 查询

2.2.3 - 使用自定义设备名

如果直接使用服务的监听地址, 如:

• tls://xxxxxxxx.adguardprivate.com
• https://xxxxxxxx.adguardprivate.com/dns-query

在后台看到的客户端排行的IP是负载均衡器的集群IP, 对用户无意义, 无法区分不同设备.

可以通过扩展域名和增加URL路径的方式来识别不同设备.

• DoT使用扩展域名方式, 如tls://device1.xxxxxxxx.adguardprivate.com
• DoH使用增加URL路径方式, 如https://xxxxxxxx.adguardprivate.com/dns-query/device2

注意:

• 安卓设备设置时不需要输入协议前缀 tls://, 只需要输入 device1.xxxxxxxx.adguardprivate.com
• 苹果设备在设置指导中, 输入客户端ID, 下载配置文件以进行设置, 无需手动输入

个人服务的所有设备共享服务的查询限制每秒30次请求.

2.2.4 - 更快的请求响应

付费用户使用AdGuard私有服务, DNS请求路径如下:

根据路径可以分析最快响应方案.

本地缓存命中

最快的响应是本地缓存命中, 由于本地缓存是内存级别的, 因此速度非常快, 只需要几微秒.

这由DNS响应的TTL(time to live)值控制, 通常是几分钟到几小时, 表示查询结果在这段时间内有效, 不需要再次查询.

您可以在控制面板 -> 设置 -> DNS 设置 -> DNS 缓存配置 -> 覆盖最小 TTL 值中设置最小TTL值, 增大该值以延长缓存时间, 使得系统更多的使用本地缓存, 通常的TTL值是600秒.

但是, 由于本站同时有过滤能力, 如果您需要的服务被广告规则误拦截, 那么即使您暂时关闭了加密DNS, 也无法立刻访问到您需要的服务, 因为本地缓存的结果是被过滤规则修改过的. 因此, 设置为60秒是一个比较安全的值, 保证少数情况下用户不会因为误拦截, 在关闭加密DNS后等待过长时间.

AdGuard DNS服务器

本站目前使用位于杭州的阿里云服务器, 可以满足绝大部分东部地区用户的低延迟需求, 随着业务增长, 未来会在全国范围内增加服务器.

服务器缓存命中

默认为每个用户设置了4MB的DNS缓存, 根据经验, 这已经足够一个家庭的使用. 该设置的自由修改可能导致用户服务被强制中止, 本站已屏蔽了该设置的修改入口.

上游DNS服务器

由于使用的阿里云服务, 上游DNS服务也选用了阿里云的DNS服务, 速度非常快, 通常在几毫秒内返回结果.

用户会有三个请求上游DNS服务器的方式:

1. 负载均衡: 本站默认使用了负载均衡, 会自动选择最快的服务器返回结果.
2. 并行请求: 本站暂时不会限制并行请求的使用.
3. 最快的IP地址: 当前没有意义的设置, 本站已屏蔽了该设置的修改入口.

说明一下为什么最快的IP地址没有意义, 最快IP需要由真正访问服务的设备本身来选择. 当AdGuard服务运行在杭州, 而用户在北京, AdGuard会认为杭州的IP地址最快, 但是实际上用户访问北京的服务速度最快, 选择杭州的IP地址反而会增加延迟. 因此, 本站已屏蔽了该设置的修改入口. 此设置在用户的家庭网络中可能有用, 但是在公共服务中没有意义.

影响网络体验的因素有很多, 例如服务端带宽, 网络拥塞, 服务器负载, 网络质量等, 选择最快的IP地址并不能保证最快的响应速度, 延迟只是其中的一个因素, 不是唯一的因素. 为避免用户设置错误导致服务质量下降, 本站已屏蔽了该设置的修改入口.

规则过滤

最常用的模式是黑名单列表, 用户可以从预置的黑名单列表中选择. 黑名单的命中使用hash算法, 无论规则量多少, 命中时间都是O(1), 用户不必担心规则量过大导致命中时间过长.

但是, 规则计算后存储在内存, 每个用户的服务内存使用限制在300MB以内, 这可以满足绝大部分用户的需求, 如果用户的规则量过大, 可能会导致内存不足, 服务被反复重启, 造成服务中断.

本站暂时屏蔽了第三方规则的使用, 以避免用户引入过大的规则. 未来有更好的限制手段后, 会重新开放第三方规则的使用.

总结

希望获得更快的请求响应, 用户可以:

1. 适当增大最小TTL值, 增大本地缓存命中率.
2. 设置合适的DNS缓存大小(已预设值).
3. 选择地理位置最接近的城市创建服务(待企业发展).
4. 无出海需求, 选择负载均衡; 有出海需求, 选择并行请求.
5. 使用合适自己的黑名单规则, 避免引入过大的规则.

2.2.5 - 设置信任的服务商

付费服务创建时, 默认使用国内较快的上游服务, 包括阿里的IPv4和IPv6及DoT服务.

一些服务商可能存在解析错误问题, 将一些海外网站解析到错误的IP地址, 造成无法访问. 常见的表现是浏览器报证书错误.

如果需要避免解析错误, 可以更换上游服务商, 使用Cloudflare的服务, 使用这类服务时, 请确保使用的是DoH或DoT协议, 以免被劫持.

同时, 还需要关闭国内的上游服务, 因为它们离得近, 速度更快, AdGuard会优先使用它们.

在对应的服务IP前加上#即可禁用该上游服务.

设置好后, 需要测试上游以确保上游服务器可用, 确认可用后应用.

但是, 只使用海外服务, 会导致国内各App的访问体验下降, 因为国内的App通常将供海外的解析设置到特定的对外服务器, 国内访问速度较慢.

如果您只需要避免常用服务的解析错误, 可以自行将被解析错误的域名指定特定的解析地址, 未指定的域名仍然使用默认的国内上游服务.

在AdGuard控制台中, 选中 设置 -> DNS 设置 -> 上游DNS服务器, 将被解析错误的域名以[/example1.com/example2.com/]tls://1.0.0.1的格式添加到 自定义DNS服务器 中, 然后点击 保存设置 即可.

public2.adguardprivate.svc.cluster.local 是我们内部提供的无解析错误解析, 上游选择了Cloudflare, 相较于用户自行指定海外上游, 有更快的解析速度, 代价是域名解析更新时会产生少量的延迟. 如果用户没有专业需求, 都可以使用我们提供的无解析错误解析.

如果需要使用Cloudflare或Google的外部解析地址, 需要指定IP使用DoT/DoH, 可参考使用:

#tls://1.1.1.1
tls://1.0.0.1
tls://[2606:4700:4700::1111]
tls://[2606:4700:4700::1001]
tls://[2606:4700:4700::64]
tls://[2606:4700:4700::6400]
https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
https://[2606:4700:4700::1111]/dns-query
https://[2606:4700:4700::1001]/dns-query
#tls://8.8.8.8
#tls://8.8.4.4
tls://[2001:4860:4860::8888]
tls://[2001:4860:4860::8844]
tls://[2001:4860:4860::64]
tls://[2001:4860:4860::6464]
#https://8.8.8.8/dns-query
#https://8.8.4.4/dns-query
#https://[2001:4860:4860::8888]/dns-query
https://[2001:4860:4860::8844]/dns-query

其中#注释的地址表示已被防火墙拦截, 暂时无法使用.

本站全栈支持IPv6, 这是我们的优势之一, 可以使用IPv6地址的上游, 获得更稳定的解析速度.

2.3 - 隐私政策

• AdGuard Private 不搜集付费用户的任何信息.
• AdGuard Private 不会向第三方分享付费用户的任何信息.
• AdGuard Private 使用随机生成的用户名和密码提供服务, 仅支付订单号与用户名关联, 支付订单号不涉及个人信息.
• 在使用微信和邮件发起咨询时, AdGuard Private会获悉微信号或邮箱地址等联系方式.
• 联系方式仅用于服务咨询, AdGuard Private不会主动向获取的联系方式发送任何推广信息.
• AdGuard Private 使用Google Analytics等工具进行官网的访问统计, 但不会搜集任何个人信息.
• AdGuard Private 在定位用户问题时, 将会查看用户私有服务的服务运行日志, 但不会搜集任何个人信息.