0.2ms 的距离，UDP 53 却成了我最遥远的阻碍

1. 诡异的现象：Ping IP 极速，解析域名全死

• 症状：ping 8.8.8.8 延迟仅 0.2ms，证明链路极佳。
• 故障：ping google.com 报错 Temporary failure，域名解析彻底不通。
• 诊断：这是一个典型的 UDP 53 端口封锁。在某些高安全级别的云环境（如 GCP）或特定机房，传统的明文 DNS 请求（UDP 53）被防火墙拦截，但允许加密的 DNS 流量。

2. 解决思路：曲线救国 (DoT)

既然明文 UDP 不给过，那就走 DoT (DNS over TLS)。

• 原理：将 DNS 查询打包在 TLS 加密隧道中，走 TCP 853 端口。
• 优势：防火墙无法识别内容，通常不会拦截，且能防止 DNS 劫持。

3. 核心步骤记录（Debian 13 懒人包）

第一步：破解“先有鸡还是先有蛋” 没有 DNS 没法下载 systemd-resolved，所以先手动写死 hosts 让软件源能联网：

printf "199.232.114.132 deb.debian.org\n151.101.130.132 security.debian.org\n" >> /etc/hosts

第二步：安装并配置加密服务 Debian 13 默认不带 systemd-resolved，装上后直接配置 Cloudflare 的 DNS：

apt update && apt install systemd-resolved -y
# 写入 Cloudflare DoT 配置
cat > /etc/systemd/resolved.conf <<EOF
[Resolve]
DNS=1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com
DNSOverTLS=yes
DNSSEC=no
EOF

第三步：打通系统与服务的“最后一公里” 配置好了不代表生效了，必须把系统的 resolv.conf 链接到服务的“存根（stub）”上：

ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
systemctl restart systemd-resolved

第四步：清理与收尾 解析通了后，记得删掉之前临时加的 hosts 记录：

sed -i '/deb.debian.org/d' /etc/hosts
sed -i '/security.debian.org/d' /etc/hosts

4. 最终状态验证

执行 resolvectl status，看到以下内容即为成功：

• resolv.conf mode: stub (系统已成功对接)
• Current DNS Server: 1.1.1.1#cloudflare-dns.com (正在使用 Cloudflare)
• +DNSOverTLS (加密已生效)