看起来你遇到的是典型的DNS解析受阻问题，结合你换ISP路由器的背景，大概率是路由器的DNS策略搞的鬼，咱们一步步来确认问题根源，再动手解决：

一、先确认问题是不是真的来自路由器/ISP #

咱们得把问题范围缩小，别上来就甩锅给路由器：

• 第一步：在NAS主机上测试DNS解析
  直接在你的Synology NAS系统里（不是Docker容器内）打开终端，运行：

  nslookup acme.zerossl.com
  dig raw.githubusercontent.com
  

  如果主机能正常返回IP地址，说明NAS本身的DNS没问题，问题出在Docker容器和路由器的交互上；如果主机也超时，那肯定是路由器或者ISP的DNS服务出问题了。

• 第二步：在容器里直接用IP访问外部服务
  找一个你要访问的域名对应的IP（比如raw.githubusercontent.com的IP可以在主机上查），然后进入容器运行：

  curl https://104.16.124.35
  

  如果能成功获取内容，那100%是DNS解析的问题；如果连IP都访问不了，那说明路由器的防火墙可能限制了Docker子网的出站流量，不止是DNS。

• 第三步：测试容器用指定DNS解析
  先查路由器本身用的DNS服务器（在NAS主机上cat /etc/resolv.conf就能看到），然后进入容器运行：

  nslookup acme.zerossl.com <路由器DNS地址>
  

  如果还是超时，那说明路由器很可能拦截了容器发往外部的DNS请求——哪怕是出站的UDP 53端口，有些ISP路由器会强制所有设备使用它提供的DNS，甚至拦截外部DNS请求。

二、针对性解决方法 #

根据上面的测试结果，咱们对应处理：

如果是路由器拦截了DNS出站请求 #

• 方法1：修改路由器的DNS设置
  登录你的ISP路由器后台，把默认DNS换成公共DNS（比如8.8.8.8、1.1.1.1），然后开启DNS转发功能。这样NAS和容器都能正常使用公共DNS解析。

• 方法2：强制Docker使用指定DNS
  直接配置Docker守护进程的默认DNS，避免容器使用内置的127.0.0.11出现问题：

  1. SSH登录到Synology NAS，创建/修改/var/packages/Docker/etc/daemon.json文件：

     {
       "dns": ["8.8.8.8", "1.1.1.1"]
     }
     

  2. 重启Docker服务：

     sudo systemctl restart docker
     

  这样所有新启动的容器都会用你指定的DNS，旧容器需要重启生效。

• 方法3：给单个容器指定DNS
  如果不想全局修改，也可以在启动容器时单独指定：

  • 用docker run命令：

    docker run --dns 8.8.8.8 --dns 1.1.1.1 your-container-image
    

  • 用docker-compose.yml的话，添加配置：

    services:
      your-service:
        # 其他配置...
        dns:
          - 8.8.8.8
          - 1.1.1.1
    

如果是路由器限制了Docker子网的出站流量 #

• 检查路由器的防火墙规则，看有没有拦截Docker默认的桥接子网（比如172.17.0.0/16）的出站请求，尤其是UDP 53端口，把对应的规则放开。
• 临时测试可以把容器的网络模式改成host模式（--network host），这样容器直接用NAS主机的网络栈，如果能正常访问，说明路由器对桥接子网有特殊限制。不过host模式要注意端口冲突的问题。

额外排查点 #

• 别忘了检查Synology NAS本身的防火墙设置，有没有禁用容器的出站流量，有时候NAS自带的防火墙也会搞事情。
• 最简单的方法：重启你的ISP路由器和Synology NAS，很多时候网络设备的临时bug重启就能解决。

备注：内容来源于stack exchange，提问作者Dennis Zaragosa