翻墙品葱安全上网 Geek

免翻墙上品葱教程(DoH+ESNI直连)

安全提示：本文介绍的方法只作为临时手段。如果打算长期活动，一定要挂代理。如果要从事高风险活动，请使用VPN+Tor。

截至2020年初，防火墙封杀网站的手段有：

关键词过滤：随着https的普及，这种方法已经不常见。
封锁IP：主要用来屏蔽Google，Facebook等IP地址固定的大型网站。
DNS污染+SNI探测：IPv4地址资源有限，对绝大多数网站，防火墙只能用DNS污染封锁。改Host可以绕过封锁，也可以用本文的DoH+ESNI方法直连被墙网站。

DoH+ESNI直连翻墙的稳定性非常高，DoH+ESNI可以看作是加密的DNS，和隐藏服务器名字的HTTPS。开启DoH+ESNI后，防火墙无法知道你在访问哪个网站，墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护，使用本文的方法直连品葱，防火墙只能检测到你在访问Cloudflare IP，没法知道你在访问品葱。而品葱本身不记录访客IP地址，除非品葱网站被渗透，不存在任何暴露IP的可能性。

使用Cloudflare的网站（比如品葱），GFW只能封锁域名，无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare，如果GFW一刀切封杀所有Cloudflare IP，相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写，ESNI是Encrypted Server Name Indication（加密服务器名称指示）。进一步了解DoH和ESNI可以参考：

维基百科：服务器名称指示
维基百科：DNS over HTTPS
SSPai：想要上网体验有保障，如何设置一个更安全的 DNS？（墙内网站）

目前（2020年初）支持DoH+ESNI的浏览器只有Firefox，下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器，注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载（Mozilla基金会）
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接（中文版，64位Windows）
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接（中文版，64位macOS）
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN

【1】安装好Firefox后，点右上角的菜单按钮（画红圈处），在弹出菜单里点击【选项】。

【2】在选项页面里向下拉到底，可以看见【网络设置】，点击【设置】按钮。

【3】在弹出的【连接设置】页面里，继续拉到底，勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。

到这里DoH就设置完成了，接下来设置ESNI。

【4】在Firefox的地址栏里输入about:config，回车，如图

【5】接下来可以看到警告提示，点【接受风险并继续】就可以。

【6】在高级首选项里，在画红色方框的地方输入esni，如图

【7】弹出的设置如下，默认情况下，“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮，让这个选项变成“true”就可以了。设置好以后如下图

【8】接下来就可以免翻墙上品葱了

以上是电脑配置直连的方法，再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器，APK下载地址：
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入：

about:config

【2】下面的选项搜索框里，输入：

network.trr.mode

把这个选项的值改成2，打开DoH.
默认值是0，表示不启用。2表示启用DoH并把常规DNS作为后备（推荐）。

【3】选项搜索框里，输入：

network.security.esni.enabled

把这个选项的值改成true，打开ESNI.

然后就可以用手机直连品葱了。

---------------------------
只要浏览器是Firefox，配置了Cloudflare的网站都可以用DoH+ESNI直连，目前已知有效的有：

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客（镜像）
https://program-think-mirror.github.io/

来自其它网友补充：
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot（IT技术）
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧（一个中文博客站）
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则：

只浏览不发言的用户，可以用本文方法浏览品葱。
新用户可以用这种方法临时上品葱，再寻找其它翻墙手段。
经常登录发言的用户，最低标准是外资VPN/VPS，推荐使用VPN+Tor。
在墙内网站冲塔，号召行动，必须使用干净电脑+虚拟机+Tor

198

分享 2020-02-26

132 个评论

楚方城

厉害啊，要是能看youTube梯子都省了

ggguuuoo

我最近测试发现本站的封锁方式已经升级到了SNI阻断，而我记得前几个月封锁方式还仅仅是DNS污染，那时修改hosts就可以绕过封锁。封锁方式的升级无疑是对我们的工作的肯定。

observerIE 回复 ggguuuoo

我最近测试发现本站的封锁方式已经升级到了SNI阻断，而我记得前几个月封锁方式还仅仅是DNS污染，那时...

确实是，前段时间还可以直连，现在必须挂v

Ribeyrolles

此方法对于cloudflare的网站非常有效，如本葱、膜乎、郭媒体；同时能让部分被reset的域名能正常访问（如github某些域名）；如果把dns从默认的cloudflare改为8.8.8.8（google dns）也可以让部分谷歌下属网站直连

另外，浏览器装https everywhere插件（eff开发，开源）并开启“加密所有连接”，更安全且翻墙效果更好，因某些默认不加密的网站元素加密后可以访问

cansinlej

請教一下，https://www.voachinese.com/ 和 https://www.voacantonese.com/ 適用這個方法嗎？

Ribeyrolles 回复 cansinlej

請教一下，https://www.voachinese.com/ 和 https://www.voa...

我尝试过，不行。。。连接被重置
推测原因一是网站不支持，二是voa被重点关照

ggguuuoo 回复 observerIE

确实是，前段时间还可以直连，现在必须挂v

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudflare全盘封杀，那就又是一次加速主义的成功实践了。

熊熊

沉默前輩給力~~~~~~~~~~~~~

环球网

只能电脑用吗

沉默的广场 休假中 回复环球网

只能电脑用吗

手机也可以用，用Firefox手机版就可以翻。

沉默的广场 休假中

为什么被折叠? 内容被折叠

补充一下手机直连品葱的方法：

Firefox安卓版下载 (APK Pure)：
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入：

about:config

【2】下面的选项搜索框里，输入

network.trr.mode

把这个选项的值改成2，打开DoH.

【3】选项搜索框里，输入

network.security.esni.enabled

把这个选项的值改成true，打开ESNI.

然后就可以用手机直连品葱了。

~~沉默的广场射你~~ ^{新注册用户}

已隐藏

咸鱼老李

谢谢楼主，虽然这个教程对于咱这种高危目标（管理员）来说根本派不上用场，其实firefox手机国际版也可以免翻墙下载，官方同样提供了APK文件以供安装，直接去https://ftp.mozilla.org/pub/mobile/releases/中下载即可，这里下载的同样也是原汁原味的国际版，另外无论是手机版还是PC版下载完记得校验一下hash值避免文件被篡改之后再安装，尤其是Linux用户，因为部分软件源位于国内，所以更要小心以免软件源投毒的可能

沉默的广场 休假中 回复咸鱼老李

谢谢楼主，虽然这个教程对于咱这种高危目标（管理员）来说根本派不上用场，其实firefox手机国际版也...

哦…感谢，我不知道这个还有直链。

在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安全的方法。

~~犬决沉默的广场~~ ^{新注册用户}

已隐藏

admin 公共账号

为什么被折叠? 内容被折叠

顶掉恶臭ID

neeee

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版 68.6，network.security.esni.enabled打开之后esni仍旧没有启用，应该是移动版尚不支持esni特性。

可以使用cloudflare提供的工具测试esni是否成功启用：https://www.cloudflare.com/ssl/encrypted-sni/

沉默的广场 休假中 回复 neeee

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版...

测试了68.2.x，没有问题。
Secure DNS√
DNSSEC×
TLS 1.3√
Encrypted SNI√

neeee 回复沉默的广场

测试了68.2.x，没有问题。Secure DNS√DNSSEC×TLS 1.3√Encrypted...

我再次在手机上测试了Firefox 68.5.0，参考https://bugzilla.mozilla.org/show_bug.cgi?id=1542754。
我在Android设置里面启用了DNS over TLS，并设置为1dot1dot1dot1.cloudflare-dns.com，不能通过测试。
在Firefox中将network.trr.mode调为2后，通过全部测试。
Firefox上的esni不能单独使用，要配合Firefox本身的DoH使用。

币圈奇葩8964 回复 neeee

我再次在手机上测试了Firefox 68.5.0，参考https://bugzilla.mozill...

ESNI必须和DoH一起使用，因为要通过DNS绕过TLS 1.3发SNI让网站返回正确的证书，，，

胡锡退

不走代理，你的一举一动ISP都知道了

KLVnNgkO

这样不安全吧

币圈奇葩8964 回复胡锡退

不走代理，你的一举一动ISP都知道了

所以只能临时用，梯子失效的时候看看有没有翻墙工具，，，

胡锡退回复币圈奇葩8964

所以只能临时用，梯子失效的时候看看有没有翻墙工具，，，

只是看贴的话用RSS网站订阅更安全一些吧

币圈奇葩8964 回复 Ribeyrolles

我尝试过，不行。。。连接被重置推测原因一是网站不支持，二是voa被重点关照

目前只有Cloudflare的CDN支持，像Akamai这种根本不支持好吗，，，
自己搭网站的时候，倒是可以看看教程，添加一下支持（默认是不支持的），，，

币圈奇葩8964 回复胡锡退

只是看贴的话用RSS网站订阅更安全一些吧

可惜本站的RSS基本是半残状态，不能看回复，，，

[已注销]

https://kenengba.com 可能吧
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://freeweibo.com 自由微博
https://slashdot.org SlashDot

Resistance

俺发现某些无害网站，只用 DoH 已经打不开了，很有可能是 SNI 封锁。

咸鱼老李回复沉默的广场

哦…感谢，我不知道这个还有直链。在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安...

我自己测试了一下，能凑合用，而且还能上中国数字时代等同样应用CF做防护的网站，但是到了墙加高的时候就不行了，到了那时候丢包率爆炸，连用CF面向墙内的海外网站（比如说萌二百科）都上不了，适合梯子挂了的时候临时使用，另外改用DoH上Github等网站也会更稳定

咸鱼老李回复 [已注销]

可能吧鸭鸭走 e站 GreatFire P站https://freeweibo.com 自由微博...

还有中国数字时代：https://chinadigitaltimes.net/chinese/
CDT也是采用CF做防护的，所以也可以用此方案来免翻直连

我是大臭B

非常感谢楼主的分享。

mamay5

使用SOCKS v5时代理DNS查询需要勾选么？

mamay5 回复咸鱼老李

还有中国数字时代：https://chinadigitaltimes.net/chinese/CDT...

CF是什么？

不能留个人信息

我有个朋友想叫我替他问一下 pornhub用这个方法可以连接吗

icgomsz

中共可以把Cloudfare封了吧，话说这个Cloudfare由背景吗

tiktok

点个赞

沉默的广场 休假中 回复 icgomsz

中共可以把Cloudfare封了吧，话说这个Cloudfare由背景吗

cloudflare是互联网基础设施，如果GFW封掉就相当于全网白名单。
很多反共网站都用cloudflare保护自己的IP，安全性不用担心。

placebo

感謝分享
只是我突然想到一個悖論

能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈

~~吹水成名~~ ^?

**该用户被封禁，内容已自动替换**

公众领域施行民主原则私人领域施行自由原则

https://pincong.rocks/article/item_id-370465
比如，我们中国人喜欢过年放鞭炮，那么我们城市是否允许过年期间放鞭炮，这是公众原则，用民主投票决定。
但是是否允许在我家卧室窗户下面放，这是私人领域。任何人都不能在我家卧室窗户下面放鞭炮。因为我的窗户一定范围内属于私人领域，我有这个领域的安静权。也就是只有我自己才能决定我在这个范围内做什么。

公众领域的事情不能延伸到私人领域。你民主再什么少数服从多数，你也不能投票决定大家可以在我的窗户下面放鞭炮。

所以在真正的民主国家，你的问题根本不成立。因为群己区分是常识。只是我们中国人不懂而已。

民主国家唯一烦恼的是群己权界。也就是哪些属于公众领域，哪些是私人领域。
比如放鞭炮的例子，多少米以内算私人领域。多少米之外才算公众领域。这才是真正的难题。但是虽然如此，民主在协商这些领域时也比专制拍脑门合理得多。

习近平威武回复沉默的广场

哦…感谢，我不知道这个还有直链。在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安...

关于贼个，GitHub直接有任何软件，可以用idm抱回家

~~看透你的单纯~~ ^?

已隐藏

~~mm568680~~ ^{新注册用户} 回复 Ribeyrolles

已隐藏

GBSH

电脑上下载火狐（就链接里的那个），安装后点击选项没反应

~~拉哇比娅~~ ^?

已隐藏

Ribeyrolles

再补充几个网站：

1. 禁书网 https://www.bannedbook.org

2. 退党中心 https://www.tuidang.org

3. 阿波罗网 https://www.aboluowang.com

4. 博谈网 https://botanwang.com/

5. 寒冬 https://zh.bitterwinter.org/

~~拉哇比娅~~ ^?

已隐藏

demonvv

懂技术的就是牛啊。我现在用的vpn很水，时不时的就掉线，特别是下午。要是楼主的办法可以不知上这几个网站就好了。。。

拉吉车夫 ^{新注册用户}

学会了

killccp

谷歌浏览器不行吗

49k88z34 ^观察

共匪不敢封cloudflare，因为cf cdn在国内也有服务和百度合作的，还有外贸公司在国内呢？除非共匪真想闭关锁国
不过还是老老实实挂代理吧，毕竟这招体验不咋地，急用一下可以

大海舵手 ^{新注册用户}

还是老老实实用V挂吧

秦时明月

有没有手机版？各位大神，有没有好用一点的手机免费VPN？有的话的推荐一个呗。

黄色的春天 ^{新注册用户}

请问安卓或者苹果手机都可以翻吗？

~~我从花中来~~ ^?

已隐藏

~~tudhwnq537~~ ^? 回复楚方城

厉害啊，要是能看youTube梯子都省了

肯定不是万能的撒

~~唐伯虎点蚊香~~ ^{新注册用户}

已隐藏

华文昌

改Host 的方式不建议大家用，相当于裸奔，你的上网行为基本裸露在外!有风险

hkfool

回复不能留个人信息

我有个朋友想叫我替他问一下 pornhub用这个方法可以连接吗

我有个朋友想叫我替他告诉你 pornhub 活动直接自己做最好。

天涯过客回复不能留个人信息

我有个朋友想叫我替他问一下 pornhub用这个方法可以连接吗

无中生友？［滑稽］

怀疑人生

虚拟机，每月恢复一次，外加vpn，安全第一。看到周围的朋友被请喝茶的太多了，有事怀疑你，无事监控你。话说现在还有什么vpn比较稳定？最近墙高了，vpn都用着不爽，时好时坏，极不稳定！

LaplaceDemon 回复 ggguuuoo

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudfla...

这样搞的话除非是不想要经济了。中小微企业很多也要用cloudflare 现在TG投鼠忌器。

西北蟾蜍

太难了，我只会按回车键

崴讜局中局 ^{新注册用户 (待解除)}

為什麼按上邊的設置完以後，總是彈出阻止提醒，試了好幾遍，也連不上，怎麼回事？

三江宋仲基 ^观察回复 placebo

哈哈

天下霸唱 ^{新注册用户}

用你的方法可以不用VPN了吗？我如果用谷歌浏览器，是不是还是要挂VPN？麻烦谁给指点一下？谢谢

天下霸唱 ^{新注册用户} 回复秦时明月

有没有手机版？各位大神，有没有好用一点的手机免费VPN？有的话的推荐一个呗。

我用的是panda，有免费的节点，支持iOS和安卓

gratesque

有所帮助，能把封IP的和DNS封锁的网站分开。

前者包括维基、谷歌、油管

后者包括一些非主流

需要新版的firefox，我才发现自己的系统太旧了。

憂飝滬 ^{新注册用户}

有点复杂了，对我这样的电脑小白还是有点难度。

张力民 ^{新注册用户}

小白学习了。

~~jason3742~~ ^{新注册用户}

**该用户被封禁，内容已自动替换**

全世界都不喜欢中国人？中国到底做了什么

https://pincong.rocks/article/item_id-747136
世界厌恶中国是因为-
你中国即使富裕了，依然野蛮地对待自己的人民

这在现代文明国家看来，你中国就是一个野蛮的国家，原始的文明。
而且你又不是非洲国家那种内战，贫穷，没有钱去解决老百姓的问题
比如 -
中国是世界第二经济规模体，却依然存在贫穷国家才会出现的大规模人口贩卖产业和习俗。
二次分配失灵，最穷得人看不起大病，住不起新房。高级官员看病全报销，还可以在市区好地段分福利房。
你的劳动者天天超时工作，只有很少几乎等于没有的工伤保障。
牺牲绿水青山，造成中国环境不可逆地恶化，食品安全，药品安全没有保障。高级官员天天吃特供食品，用免费的国外进口药。
计划生育造成老无所养，人口雪崩。穷人死得早，高级官员个个都长寿。

================
这种行为，你自己换位思考一下
你有一个邻居，家里地很大，还有一个大宅子，里面住着几十个人。
里面有话语权的7个老爷，天天让其它人去下地干活，赚了钱自己先留大部分，剩下的一点再给点其它几十个人。这几十个人穷得看不起病，住不了好房间，只能住很偏很冷的小房间，还限制这些人生育，说我们家人太多，你们都要少生。

然后你说，你们这样不好。你这是7个人+一群奴隶

结果这个邻居说，你们就是嫉妒我们家大业大，你看我们家过去几十年做生意，赚了不少钱，你看我们把寨子里的道路都翻新了，这几十个穷人过去没有医保，现在也有点了，它们住的房子过去很破，我们现在给它们重新盖了一个新的偏房。

然后你说，可是你把大部分钱都用于7个大老爷的吃喝，游玩，看病。它们在浪费钱，剩下一点才赏给你们。你们应该有民主，大家赚了钱，一起商量着分。不要大老爷分。

这个邻居说，
我们有自己的家庭情况，你们这是忽悠我们分家！分家就是破坏家庭团结。

我遇到这种这种邻居，只会绕着走，少跟他们来往，绝不会喜欢它~