免翻墙上品葱教程(DoH+ESNI直连)

安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。

截至2020年初,防火墙封杀网站的手段有:

  • 关键词过滤:随着https的普及,这种方法已经不常见。
  • 封锁IP:主要用来屏蔽Google,Facebook等IP地址固定的大型网站。
  • DNS污染+SNI探测:IPv4地址资源有限,对绝大多数网站,防火墙只能用DNS污染封锁。改Host可以绕过封锁,也可以用本文的DoH+ESNI方法直连被墙网站。


DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。

使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:

维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)

目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN


【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。
https://i.imgur.com/YdaRtpQ.png


【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。
https://i.imgur.com/84c2xO6.png


【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。
https://i.imgur.com/vGwtf1Q.png


到这里DoH就设置完成了,接下来设置ESNI。


【4】在Firefox的地址栏里输入about:config,回车,如图
https://i.imgur.com/JzXWTCm.png


【5】接下来可以看到警告提示,点【接受风险并继续】就可以。
https://i.imgur.com/ck36sJX.png



【6】在高级首选项里,在画红色方框的地方输入esni,如图
https://i.imgur.com/rs1xtOO.png


【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图
https://i.imgur.com/dtLePoq.png


【8】接下来就可以免翻墙上品葱了
https://i.imgur.com/kKd5i5H.png
以上是电脑配置直连的方法,再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入:
about:config


【2】下面的选项搜索框里,输入:
network.trr.mode

把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。

【3】选项搜索框里,输入:
network.security.esni.enabled

把这个选项的值改成true,打开ESNI.

然后就可以用手机直连品葱了。

---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客(镜像)
https://program-think-mirror.github.io/

来自其它网友补充:
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot(IT技术)
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧(一个中文博客站)
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则:

  • 只浏览不发言的用户,可以用本文方法浏览品葱。
  • 新用户可以用这种方法临时上品葱,再寻找其它翻墙手段。
  • 经常登录发言的用户,最低标准是外资VPN/VPS,推荐使用VPN+Tor。
  • 在墙内网站冲塔,号召行动,必须使用干净电脑+虚拟机+Tor
185
分享 2020-02-26

132 个评论

厉害啊,要是能看youTube梯子都省了
我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时修改hosts就可以绕过封锁。封锁方式的升级无疑是对我们的工作的肯定。
我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时...

确实是,前段时间还可以直连,现在必须挂v
此方法对于cloudflare的网站非常有效,如本葱、膜乎、郭媒体;同时能让部分被reset的域名能正常访问(如github某些域名);如果把dns从默认的cloudflare改为8.8.8.8(google dns)也可以让部分谷歌下属网站直连

另外,浏览器装https everywhere插件(eff开发,开源)并开启“加密所有连接”,更安全且翻墙效果更好,因某些默认不加密的网站元素加密后可以访问
請教一下,https://www.voachinese.com/ 和 https://www.voacantonese.com/ 適用這個方法嗎?
請教一下,https://www.voachinese.com/ 和 https://www.voa...

我尝试过,不行。。。连接被重置
推测原因一是网站不支持,二是voa被重点关照
确实是,前段时间还可以直连,现在必须挂v

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudflare全盘封杀,那就又是一次加速主义的成功实践了。
沉默前輩給力~~~~~~~~~~~~~
只能电脑用吗
只能电脑用吗

手机也可以用,用Firefox手机版就可以翻。
补充一下手机直连品葱的方法:

Firefox安卓版下载 (APK Pure):
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入:
about:config


【2】下面的选项搜索框里,输入
network.trr.mode

把这个选项的值改成2,打开DoH.


【3】选项搜索框里,输入
network.security.esni.enabled

把这个选项的值改成true,打开ESNI.

然后就可以用手机直连品葱了。
已隐藏
谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也可以免翻墙下载,官方同样提供了APK文件以供安装,直接去https://ftp.mozilla.org/pub/mobile/releases/中下载即可,这里下载的同样也是原汁原味的国际版,另外无论是手机版还是PC版下载完记得校验一下hash值避免文件被篡改之后再安装,尤其是Linux用户,因为部分软件源位于国内,所以更要小心以免软件源投毒的可能
谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也...

哦…感谢,我不知道这个还有直链。

在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安全的方法。
已隐藏
admin 公共账号
我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版 68.6,network.security.esni.enabled打开之后esni仍旧没有启用,应该是移动版尚不支持esni特性。

可以使用cloudflare提供的工具测试esni是否成功启用:https://www.cloudflare.com/ssl/encrypted-sni/
我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版...

测试了68.2.x,没有问题。
Secure DNS√
DNSSEC×
TLS 1.3√
Encrypted SNI√
测试了68.2.x,没有问题。Secure DNS√DNSSEC×TLS 1.3√Encrypted...

我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozilla.org/show_bug.cgi?id=1542754。
我在Android设置里面启用了DNS over TLS,并设置为1dot1dot1dot1.cloudflare-dns.com,不能通过测试。
在Firefox中将network.trr.mode调为2后,通过全部测试。
Firefox上的esni不能单独使用,要配合Firefox本身的DoH使用。
我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozill...
ESNI必须和DoH一起使用,因为要通过DNS绕过TLS 1.3发SNI让网站返回正确的证书,,,
不走代理,你的一举一动ISP都知道了
这样不安全吧
不走代理,你的一举一动ISP都知道了
所以只能临时用,梯子失效的时候看看有没有翻墙工具,,,
所以只能临时用,梯子失效的时候看看有没有翻墙工具,,,

只是看贴的话用RSS网站订阅更安全一些吧
我尝试过,不行。。。连接被重置推测原因一是网站不支持,二是voa被重点关照
目前只有Cloudflare的CDN支持,像Akamai这种根本不支持好吗,,,
自己搭网站的时候,倒是可以看看教程,添加一下支持(默认是不支持的),,,
只是看贴的话用RSS网站订阅更安全一些吧
可惜本站的RSS基本是半残状态,不能看回复,,,
https://kenengba.com 可能吧
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://freeweibo.com 自由微博
https://slashdot.org SlashDot
俺发现某些无害网站,只用 DoH 已经打不开了,很有可能是 SNI 封锁。
哦…感谢,我不知道这个还有直链。在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安...

我自己测试了一下,能凑合用,而且还能上中国数字时代等同样应用CF做防护的网站,但是到了墙加高的时候就不行了,到了那时候丢包率爆炸,连用CF面向墙内的海外网站(比如说萌二百科)都上不了,适合梯子挂了的时候临时使用,另外改用DoH上Github等网站也会更稳定
可能吧 鸭鸭走 e站 GreatFire P站https://freeweibo.com 自由微博...

还有中国数字时代:https://chinadigitaltimes.net/chinese/
CDT也是采用CF做防护的,所以也可以用此方案来免翻直连
非常感谢楼主的分享。
使用SOCKS v5时代理DNS查询需要勾选么?
还有中国数字时代:https://chinadigitaltimes.net/chinese/CDT...

CF是什么?
我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗
中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗
点个赞
中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗

cloudflare是互联网基础设施,如果GFW封掉就相当于全网白名单。
很多反共网站都用cloudflare保护自己的IP,安全性不用担心。
感謝分享
只是我突然想到一個悖論

能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈
mark一记 以备不时之需
哦…感谢,我不知道这个还有直链。在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安...
关于贼个,GitHub直接有任何软件,可以用idm抱回家
已隐藏
mm568680 新注册用户 回复 Chauchat
已隐藏
电脑上下载火狐(就链接里的那个),安装后点击选项没反应
已隐藏
再补充几个网站:

1. 禁书网 https://www.bannedbook.org

2. 退党中心 https://www.tuidang.org

3. 阿波罗网 https://www.aboluowang.com

4. 博谈网 https://botanwang.com/

5. 寒冬 https://zh.bitterwinter.org/
已隐藏
懂技术的就是牛啊。我现在用的vpn很水,时不时的就掉线,特别是下午。要是楼主的办法可以不知上这几个网站就好了。。。
拉吉车夫 新注册用户
学会了
谷歌浏览器不行吗
共匪不敢封cloudflare,因为cf cdn在国内也有服务和百度合作的,还有外贸公司在国内呢?除非共匪真想闭关锁国
不过还是老老实实挂代理吧,毕竟这招体验不咋地,急用一下可以
大海舵手 新注册用户
还是老老实实用V挂吧
有没有手机版?各位大神,有没有好用一点的手机免费VPN?有的话的推荐一个呗。
黄色的春天 新注册用户
请问安卓或者苹果手机都可以翻吗?
已隐藏
厉害啊,要是能看youTube梯子都省了

肯定不是万能的撒
唐伯虎点蚊香 新注册用户
已隐藏
改Host  的方式不建议大家用,相当于裸奔,你的上网行为基本裸露在外!有风险
我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗

我有个朋友 想叫我替他告诉你 pornhub 活动直接自己做最好。
我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗

无中生友?[滑稽]
虚拟机,每月恢复一次,外加vpn,安全第一。看到周围的朋友被请喝茶的太多了,有事怀疑你,无事监控你。话说现在还有什么vpn比较稳定?最近墙高了,vpn都用着不爽,时好时坏,极不稳定!
如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudfla...

这样搞的话除非是不想要经济了。中小微企业很多也要用cloudflare 现在TG投鼠忌器。
太难了,我只会按回车键
崴讜局中局 新注册用户
為什麼按上邊的設置完以後,總是彈出阻止提醒,試了好幾遍,也連不上,怎麼回事?
哈哈
天下霸唱 新注册用户
用你的方法可以不用VPN了吗?我如果用谷歌浏览器,是不是还是要挂VPN?麻烦谁给指点一下?谢谢
天下霸唱 新注册用户 回复 秦时明月
有没有手机版?各位大神,有没有好用一点的手机免费VPN?有的话的推荐一个呗。

我用的是panda,有免费的节点,支持iOS和安卓
有所帮助,能把封IP的和DNS封锁的网站分开。

前者包括维基、谷歌、油管

后者包括一些非主流

需要新版的firefox,我才发现自己的系统太旧了。
憂飝滬 新注册用户
有点复杂了,对我这样的电脑小白还是有点难度。
张力民 新注册用户
小白学习了。
jason3742 新注册用户
技术小白看着有点费劲啊,学习学习,尝试看吧,各位高手多指导啊
厉害啊~  我还在想怎么才能用手机上品葱呢,学习了~~非常感谢
驰骋天涯 新注册用户
已隐藏
锋利 新注册用户
怎么回事
感謝沉默前輩的分享,雖然我現在用不上,但先保存好,以備不時之需。
成功!不用翻墻就能登錄網站了!那我們能用這樣的方式看其他網站嗎?YouTube?google?
实用啊,感谢分享!手机能上就方便多了,躺被窝里也能看,不用扒拉个电脑才能畅游世界。
大哥大 新注册用户
什么东东?
实测此方法可以免代理直连duckduckgo

卧槽以后基本不用梯子了,学习资料不用翻墙,品葱不用翻墙,搜索引擎不用翻墙,圆满了
tigoo8112 新注册用户
感谢分享
来试一下,要是可以太好了,梯子一直要看运气,运气好才能连上!
机器战神 新注册用户
已隐藏
自由男神 新注册用户 回复 机器战神 新注册用户
只有笔可抒胸臆,愿世可匡扶正义,在此愿与君一起,以梦为马志屹立,后人将有所铭记,的确逐真需努力,日夜...

好诗啊。藏头押韵有深意,大神
esukn2 新注册用户
这个方法可以试试
怎么回事啊,我这里总是掉线,是网路问题还是人为的呢?
又双叒叕 新注册用户
厉害!学习到了,感谢分享!!
已学会,这样更方便了,听网友的建议,已把头像改了
柏拉图之恋 新注册用户
厉害啊,学习学习
xiongda 新注册用户
其他浏览器可以吗
沉默的广场 休假中 回复 xiongda 新注册用户
其他浏览器可以吗

目前只有firefox电脑版和手机版支持这个功能,chrome还暂不支持。如果用“国产”浏览器,强烈建议立即卸载

@稀里哗啦
iOS上有火狐就可以用。
xiaojiyuan 新注册用户
够专业,没想到火狐+还有这些拓展功能,希望博主多多分享。
爱看书 新注册用户
k可以试试,不知道用着怎么样。翻墙太麻烦,好多学习资料都不能看,遗憾
hqp459hqp 新注册用户
已隐藏
不晓得TG想不想破译我的ssr连接
我没什么利用的价值 也不是什么高官
花时间破译我的ssr简直是一种浪费 
总之还是想逮我早就动手了 而我一个贱民逮不逮都一样罢了 倘若哪天tg心血来潮 诸位梯子用户都有可能gg
诶 “覆巢之下 安有完卵?” 但愿民主之光早日照耀中国
hqp459hqp 新注册用户
已隐藏
qimaoyi 新注册用户
可用
作为一个新人,之前还奇怪,品葱的ip怎么没被封,doh+esni就可以直接访问,原来是套了cdn。
真希望ESNI早日普及,那时翻墙就更安全了。tls加密流量,DOH加密dns请求,ESNI加密域名,最后给自己的梯子套上CDN,隐藏ip,哈哈。

要发言请先登录注册

要发言请先登录注册

发起人

中客理真迫 5C91 7AD9 AB01 9AD9 88BD 7392 35E4 5656 81A7 EB63

状态

  • 最新活动: 2020-08-21
  • 浏览: 43570