最近我在 Windows 上使用 Codex App 时,经常遇到:
Reconnecting 5/5
stream disconnected before completion: tls handshake eof
现象是前几次连接失败,重连几次后又能正常连接。我的环境是:
Codex App
Proxifier
Clash Verge / Mihomo
Codex App 因为不使用系统代理, 我又不想使用 TUN 模式,所以我必须用 Proxifier 给 codex.exe / Codex.exe 强制走本地 Clash 代理。
使用 Codex 进行连接测试排查的时候发现
HTTP proxy 127.0.0.1:38324 -> api.openai.com 正常
SOCKS5h 127.0.0.1:38324 -> api.openai.com 正常
普通 SOCKS5 127.0.0.1:38324 -> TLS handshake 失败
也就是说,问题可能主要出在普通 SOCKS5 下的 DNS 行为。普通 SOCKS5 场景里,Proxifier 可能先在本地解析域名,然后把 IP 交给 Clash。这样 Clash 只能看到:
Proxifier.exe -> 某个 IP:443
而不是:
chatgpt.com:443
api.openai.com:443
codexapis.com:443
结果就是 Clash 里的 OpenAI / ChatGPT / Codex 域名规则匹配不到,流量可能落到兜底规则或错误代理组。某些本地 DNS 返回的 CDN IP 也未必适合当前代理出口,于是 TLS 握手阶段被断开,表现为:
tls handshake eof
解决 Codex 连接问题的方法是在 Proxifier 里进入:
Profile -> Name Resolution
设置:
Detect DNS settings automatically: 取消勾选
Resolve hostnames through proxy: 勾选
这样 Proxifier 会保留域名上下文,让 Clash 能看到 chatgpt.com、api.openai.com、codexapis.com 这些域名,并正确命中代理规则。
不过这里有一个副作用:如果使用默认的:
Do NOT resolve the following
并且只排除 localhost / *.local 之类,那么 Proxifier 会接管几乎所有非本地域名的解析。它会返回 fake IP,例如:
fd00:696e:6974:6578::xx
127.x.x.x
这可能会导致以下问题:
- 如果此时 Clash Verge 的设置项没有开启 IPv6,就会导致这些直连应用的 IPv6 的域名解析失败。 因为 Proxifier 会生成 fake IPv6,而 Clash 关闭 IPv6 时,导致这些域名无法被解析,出现
hostname not found 之类的问题。
- 如果 Clash 的 DNS 覆写没有正确配置(例如没有
system 兜底),内网的一些域名可能无法被正确解析
如果你只用 Proxifier 代理 Codex:
可以直接限制 Proxifier 的 DNS 代理范围,使用 Resolve ONLY the following 模式,并且只填 Codex/OpenAI 相关域名,例如:
chatgpt.com; *.chatgpt.com;
openai.com; *.openai.com;
codexapis.com; *.codexapis.com;
oaistatic.com; *.oaistatic.com;
oaiusercontent.com; *.oaiusercontent.com;
openaimerge.com; *.openaimerge.com;
auth0.com; *.auth0.com;
statsig.com; *.statsig.com;
statsigapi.net; *.statsigapi.net;
sentry.io; *.sentry.io;
featuregates.org; *.featuregates.org;
featureassets.org; *.featureassets.org;
openaiapi-site.azureedge.net
References
- 使用proxifier单代理codex说明,不想tun
Acknowledgement
pker 06-30 15:551楼