自建私用 DNS 递归服务器无法解决的问题

可以解决的问题

1. 自定义内部域名解析。
2. 拦截广告。

无法解决的问题

1. DNS 污染。该递归器如果将内部无法解析的请求转发到国内的公共 DNS 递归器，则依然无法正确解析，因为国内的 DNS 递归器都是受污染过的。
2. DNS 拦截。如果 DNS 服务器之间通信采用的 UDP ，则非常容易被 ISP 或者 GFW 篡改。除非采用 DNSSEC 或者 TCP 。但 UDP 依然是默认用的最多的场景。
3. DoH ，国内支持 DoH 的服务器都被污染过，国外的知名 DoH 服务器都被 GFW 墙掉了。

要实现私有 DNS 不受污染和被拦截的问题，除非在海外有主机（暂称为代理机），该私有 DNS 直接通过隧道跟代理机建联，国内域名直接转发到国内 DNS 递归器，国外域名全都通过代理机翻到国外的请求。这里还要求该隧道不被 GFW 干扰。貌似，最现成的解决方案是 clash?

请大佬们继续赐教。