Add tunnel domain setup guide and diagnostic hints for 0% pass rate

SamNet-dev · SamNet-dev · commit aae1d093a6a2 · 2026-03-08T16:44:30.000-05:00
GUIDE.md: Add section 3.6 explaining NS delegation setup required
for --domain flag, with DNS record examples, verification commands,
and common mistakes table. Update dnstt-client download URLs to
match renamed release assets.

scan.go: Show actionable hints when steps fail at 0% (resolve/tunnel
NS setup, ping ICMP blocked, e2e server not running).
diff --git a/GUIDE.md b/GUIDE.md
@@ -46,10 +46,8 @@ findns همه این‌ها را به صورت خودکار تست می‌کند
 **ویندوز:**
 ```powershell
 # دانلود از صفحه Release:
-# https://github.com/SamNet-dev/findns/releases/latest/download/dnstt-client-windows-amd64.exe
-# فایل را کنار findns.exe بگذارید و نامش را تغییر دهید:
-
-rename dnstt-client-windows-amd64.exe dnstt-client.exe
+# https://github.com/SamNet-dev/findns/releases/latest/download/dnstt-client.exe
+# فایل را کنار findns.exe بگذارید — همین!
 ```
 
 <div dir="rtl">
@@ -72,9 +70,9 @@ rename dnstt-client-windows-amd64.exe dnstt-client.exe
 **لینوکس:**
 ```bash
 # دانلود
-curl -LO https://github.com/SamNet-dev/findns/releases/latest/download/dnstt-client-linux-amd64
-chmod +x dnstt-client-linux-amd64
-mv dnstt-client-linux-amd64 dnstt-client
+curl -LO https://github.com/SamNet-dev/findns/releases/latest/download/dnstt-client-linux
+chmod +x dnstt-client-linux
+mv dnstt-client-linux dnstt-client
 
 # گذاشتن کنار findns (ساده‌ترین روش):
 mv dnstt-client /path/to/findns/
@@ -414,6 +412,65 @@ findns local --list-ranges
 
 ---
 
+## 3.6. تنظیم دامنه تانل (مهم — قبل از اسکن بخوانید)
+
+فلگ `--domain` در findns یک دامنه معمولی نیست — باید یک **ساب‌دامین با NS delegation** به سرور DNSTT/Slipstream شما باشد. بدون این تنظیم، مرحله `resolve/tunnel` همیشه 0% خواهد بود.
+
+### چطور تنظیم کنیم؟
+
+فرض کنید دامنه شما `example.com` است و سرور DNSTT روی آی‌پی `1.2.3.4` اجرا می‌شود. باید دو رکورد DNS در پنل دامنه (Cloudflare، Namecheap و ...) اضافه کنید:
+
+</div>
+
+```
+نوع      نام                مقدار
+──────    ──────────────     ──────────────
+NS        t.example.com      ns.example.com
+A         ns.example.com     1.2.3.4
+```
+
+<div dir="rtl">
+
+**توضیح:**
+- رکورد **NS**: می‌گوید "برای هر چیزی درباره `t.example.com`، از سرور `ns.example.com` بپرس"
+- رکورد **A**: می‌گوید "`ns.example.com` روی آی‌پی `1.2.3.4` است"
+
+بعد از تنظیم، سرور DNSTT شما تمام کوئری‌های DNS برای `t.example.com` را دریافت می‌کند و ترافیک تانل از آن عبور می‌کند.
+
+### تست صحت تنظیم
+
+قبل از اسکن با findns، مطمئن شوید تنظیم درست است:
+
+</div>
+
+```bash
+# تست با Google DNS (باید NS record برگرداند):
+nslookup -type=NS t.example.com 8.8.8.8
+
+# یا با dig:
+dig t.example.com NS @8.8.8.8
+
+# جواب صحیح باید شامل ns.example.com باشد.
+# اگر "NXDOMAIN" یا "no answer" گرفتید = تنظیم اشتباه است.
+```
+
+<div dir="rtl">
+
+### اشتباهات رایج
+
+| اشتباه | نتیجه |
+|--------|-------|
+| استفاده از دامنه اصلی (`--domain example.com`) به جای ساب‌دامین | resolve/tunnel فیل می‌شود چون NS دامنه اصلی به registrar اشاره می‌کند نه سرور شما |
+| فقط A record برای `t.example.com` بدون NS delegation | resolve/tunnel فیل می‌شود چون NS وجود ندارد |
+| NS تنظیم شده ولی سرور DNSTT روشن نیست | resolve/tunnel ممکن است پاس شود (NS وجود دارد) ولی e2e فیل می‌شود |
+| استفاده از `t.example.com` به صورت واقعی (دامنه تست) | resolve/tunnel فیل می‌شود — باید دامنه خودتان باشد |
+
+> **اگر resolve/tunnel برای تمام resolverها فیل شد (0%):** مشکل از resolverها نیست — مشکل از تنظیم DNS دامنه شماست. تنظیم NS delegation را بررسی کنید.
+
+> **اگر سرور DNSTT ندارید:** بدون `--domain` اسکن کنید. فقط مراحل ping/resolve/nxdomain اجرا می‌شود و resolverهای سالم را پیدا می‌کنید.
+
+---
+
 ## 4. اسکن کامل (scan) - دستور اصلی
 
 دستور scan مهم‌ترین و پیشنهادی‌ترین دستور است. تمام مراحل تست را به ترتیب اجرا می‌کند و فقط resolverهایی که همه مراحل را پاس کنند در خروجی نهایی می‌آیند.
diff --git a/cmd/scan.go b/cmd/scan.go
@@ -276,7 +276,26 @@ func printSummary(report scanner.ChainReport, topN int, totalTime time.Duration)
 	fmt.Fprintf(w, "  %s%s%s\n", colorDim, strings.Repeat("\u2500", 50), colorReset)
 
 	if len(report.Passed) == 0 {
-		fmt.Fprintf(w, "\n  %s\u2718 No resolvers passed all steps%s\n\n", colorRed, colorReset)
+		fmt.Fprintf(w, "\n  %s\u2718 No resolvers passed all steps%s\n", colorRed, colorReset)
+		// Print diagnostic hints for common failure patterns
+		for _, step := range report.Steps {
+			if step.Passed == 0 && step.Tested > 0 {
+				switch step.Name {
+				case "resolve/tunnel", "doh/resolve/tunnel":
+					fmt.Fprintf(w, "\n  %s\u26a0 Hint: resolve/tunnel had 0%% pass rate.%s\n", colorYellow, colorReset)
+					fmt.Fprintf(w, "  %sThis usually means your tunnel domain's NS delegation is not set up correctly.%s\n", colorDim, colorReset)
+					fmt.Fprintf(w, "  %sVerify with: nslookup -type=NS <your-domain> 8.8.8.8%s\n", colorDim, colorReset)
+					fmt.Fprintf(w, "  %sYou need NS + glue A records pointing to your DNSTT server.%s\n", colorDim, colorReset)
+					fmt.Fprintf(w, "  %sSee: https://github.com/SamNet-dev/findns/blob/main/GUIDE.md#-تنظیم-دامنه-تانل-مهم--قبل-از-اسکن-بخوانید%s\n", colorDim, colorReset)
+				case "ping":
+					fmt.Fprintf(w, "\n  %s\u26a0 Hint: ping had 0%% pass rate. Try --skip-ping (ICMP may be blocked).%s\n", colorYellow, colorReset)
+				case "e2e/dnstt", "e2e/slipstream", "doh/e2e":
+					fmt.Fprintf(w, "\n  %s\u26a0 Hint: e2e had 0%% pass rate. Make sure your tunnel server is running.%s\n", colorYellow, colorReset)
+				}
+				break // Only show hint for the first failing step
+			}
+		}
+		fmt.Fprintln(w)
 		return
 	}
 
