免翻墙上品葱教程(DoH+ESNI直连)
安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。
截至2020年初,防火墙封杀网站的手段有:
DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。
品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。
使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。
DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:
维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)
目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。
下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/
直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN
直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN
【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。

【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。

【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。

到这里DoH就设置完成了,接下来设置ESNI。
【4】在Firefox的地址栏里输入about:config,回车,如图

【5】接下来可以看到警告提示,点【接受风险并继续】就可以。

【6】在高级首选项里,在画红色方框的地方输入esni,如图

【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图

【8】接下来就可以免翻墙上品葱了

以上是电脑配置直连的方法,再说下手机端直连品葱的方法。
手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
【2】下面的选项搜索框里,输入:
把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。
【3】选项搜索框里,输入:
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。
---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:
品葱
https://pincong.rocks
Matters
https://matters.news
Medium
https://medium.com
编程随想的博客(镜像)
https://program-think-mirror.github.io/
来自其它网友补充:
郭媒体
https://gnews.org/
中国数字时代
https://chinadigitaltimes.net/chinese/
DuckDuckGo
https://duckduckgo.com/
SlashDot(IT技术)
https://slashdot.org
自由微博
https://freeweibo.com
Greatfire
https://zh.greatfire.org/
可能吧(一个中文博客站)
https://kenengba.com/
GitHub(开启DoH后可以提速)
https://github.com/
欢迎补充。
最后一点安全守则:
截至2020年初,防火墙封杀网站的手段有:
- 关键词过滤:随着https的普及,这种方法已经不常见。
- 封锁IP:主要用来屏蔽Google,Facebook等IP地址固定的大型网站。
- DNS污染+SNI探测:IPv4地址资源有限,对绝大多数网站,防火墙只能用DNS污染封锁。改Host可以绕过封锁,也可以用本文的DoH+ESNI方法直连被墙网站。
DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。
品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。
使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。
DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:
维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)
目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。
下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/
直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN
直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN
【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。

【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。

【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。

到这里DoH就设置完成了,接下来设置ESNI。
【4】在Firefox的地址栏里输入about:config,回车,如图

【5】接下来可以看到警告提示,点【接受风险并继续】就可以。

【6】在高级首选项里,在画红色方框的地方输入esni,如图

【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图

【8】接下来就可以免翻墙上品葱了

以上是电脑配置直连的方法,再说下手机端直连品葱的方法。
手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
about:config
【2】下面的选项搜索框里,输入:
network.trr.mode
把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。
【3】选项搜索框里,输入:
network.security.esni.enabled
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。
---------------------------
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:
品葱
https://pincong.rocks
Matters
https://matters.news
Medium
https://medium.com
编程随想的博客(镜像)
https://program-think-mirror.github.io/
来自其它网友补充:
郭媒体
https://gnews.org/
中国数字时代
https://chinadigitaltimes.net/chinese/
DuckDuckGo
https://duckduckgo.com/
SlashDot(IT技术)
https://slashdot.org
自由微博
https://freeweibo.com
Greatfire
https://zh.greatfire.org/
可能吧(一个中文博客站)
https://kenengba.com/
GitHub(开启DoH后可以提速)
https://github.com/
欢迎补充。
最后一点安全守则:
- 只浏览不发言的用户,可以用本文方法浏览品葱。
- 新用户可以用这种方法临时上品葱,再寻找其它翻墙手段。
- 经常登录发言的用户,最低标准是外资VPN/VPS,推荐使用VPN+Tor。
- 在墙内网站冲塔,号召行动,必须使用干净电脑+虚拟机+Tor
132 个评论
厉害啊,要是能看youTube梯子都省了
我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时修改hosts就可以绕过封锁。封锁方式的升级无疑是对我们的工作的肯定。
我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时...
确实是,前段时间还可以直连,现在必须挂v
此方法对于cloudflare的网站非常有效,如本葱、膜乎、郭媒体;同时能让部分被reset的域名能正常访问(如github某些域名);如果把dns从默认的cloudflare改为8.8.8.8(google dns)也可以让部分谷歌下属网站直连
另外,浏览器装https everywhere插件(eff开发,开源)并开启“加密所有连接”,更安全且翻墙效果更好,因某些默认不加密的网站元素加密后可以访问
另外,浏览器装https everywhere插件(eff开发,开源)并开启“加密所有连接”,更安全且翻墙效果更好,因某些默认不加密的网站元素加密后可以访问
請教一下,https://www.voachinese.com/ 和 https://www.voacantonese.com/ 適用這個方法嗎?
請教一下,https://www.voachinese.com/ 和 https://www.voa...
我尝试过,不行。。。连接被重置
推测原因一是网站不支持,二是voa被重点关照
确实是,前段时间还可以直连,现在必须挂v
如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudflare全盘封杀,那就又是一次加速主义的成功实践了。
沉默前輩給力~~~~~~~~~~~~~
只能电脑用吗

补充一下手机直连品葱的方法:
Firefox安卓版下载 (APK Pure):
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
【2】下面的选项搜索框里,输入
把这个选项的值改成2,打开DoH.
【3】选项搜索框里,输入
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。
Firefox安卓版下载 (APK Pure):
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details
【1】地址栏输入:
about:config
【2】下面的选项搜索框里,输入
network.trr.mode
把这个选项的值改成2,打开DoH.
【3】选项搜索框里,输入
network.security.esni.enabled
把这个选项的值改成true,打开ESNI.
然后就可以用手机直连品葱了。

已隐藏
谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也可以免翻墙下载,官方同样提供了APK文件以供安装,直接去https://ftp.mozilla.org/pub/mobile/releases/中下载即可,这里下载的同样也是原汁原味的国际版,另外无论是手机版还是PC版下载完记得校验一下hash值避免文件被篡改之后再安装,尤其是Linux用户,因为部分软件源位于国内,所以更要小心以免软件源投毒的可能
谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也...
哦…感谢,我不知道这个还有直链。
在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安全的方法。

已隐藏
我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版 68.6,network.security.esni.enabled打开之后esni仍旧没有启用,应该是移动版尚不支持esni特性。
可以使用cloudflare提供的工具测试esni是否成功启用:https://www.cloudflare.com/ssl/encrypted-sni/
可以使用cloudflare提供的工具测试esni是否成功启用:https://www.cloudflare.com/ssl/encrypted-sni/
我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版...
测试了68.2.x,没有问题。
Secure DNS√
DNSSEC×
TLS 1.3√
Encrypted SNI√
测试了68.2.x,没有问题。Secure DNS√DNSSEC×TLS 1.3√Encrypted...
我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozilla.org/show_bug.cgi?id=1542754。
我在Android设置里面启用了DNS over TLS,并设置为1dot1dot1dot1.cloudflare-dns.com,不能通过测试。
在Firefox中将network.trr.mode调为2后,通过全部测试。
Firefox上的esni不能单独使用,要配合Firefox本身的DoH使用。
我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozill...ESNI必须和DoH一起使用,因为要通过DNS绕过TLS 1.3发SNI让网站返回正确的证书,,,
不走代理,你的一举一动ISP都知道了
这样不安全吧
我尝试过,不行。。。连接被重置推测原因一是网站不支持,二是voa被重点关照目前只有Cloudflare的CDN支持,像Akamai这种根本不支持好吗,,,
自己搭网站的时候,倒是可以看看教程,添加一下支持(默认是不支持的),,,
https://kenengba.com 可能吧
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://freeweibo.com 自由微博
https://slashdot.org SlashDot
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://freeweibo.com 自由微博
https://slashdot.org SlashDot
俺发现某些无害网站,只用 DoH 已经打不开了,很有可能是 SNI 封锁。
哦…感谢,我不知道这个还有直链。在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安...
我自己测试了一下,能凑合用,而且还能上中国数字时代等同样应用CF做防护的网站,但是到了墙加高的时候就不行了,到了那时候丢包率爆炸,连用CF面向墙内的海外网站(比如说萌二百科)都上不了,适合梯子挂了的时候临时使用,另外改用DoH上Github等网站也会更稳定
可能吧 鸭鸭走 e站 GreatFire P站https://freeweibo.com 自由微博...
还有中国数字时代:https://chinadigitaltimes.net/chinese/
CDT也是采用CF做防护的,所以也可以用此方案来免翻直连
非常感谢楼主的分享。
使用SOCKS v5时代理DNS查询需要勾选么?
我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗
中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗
点个赞
中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗
cloudflare是互联网基础设施,如果GFW封掉就相当于全网白名单。
很多反共网站都用cloudflare保护自己的IP,安全性不用担心。
感謝分享
只是我突然想到一個悖論
能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈
只是我突然想到一個悖論
能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈

**该用户被封禁,内容已自动替换**
公众领域施行民主原则 私人领域施行自由原则https://pincong.rocks/article/item_id-370465
比如,我们中国人喜欢过年放鞭炮,那么我们城市是否允许过年期间放鞭炮,这是公众原则,用民主投票决定。
但是是否允许在我家卧室窗户下面放,这是私人领域。任何人都不能在我家卧室窗户下面放鞭炮。因为我的窗户一定范围内属于私人领域,我有这个领域的安静权。也就是只有我自己才能决定我在这个范围内做什么。
公众领域的事情不能延伸到私人领域。你民主再什么少数服从多数,你也不能投票决定大家可以在我的窗户下面放鞭炮。
所以在真正的民主国家,你的问题根本不成立。因为群己区分是常识。只是我们中国人不懂而已。
民主国家唯一烦恼的是群己权界。也就是哪些属于公众领域,哪些是私人领域。
比如放鞭炮的例子,多少米以内算私人领域。多少米之外才算公众领域。这才是真正的难题。但是虽然如此,民主在协商这些领域时也比专制拍脑门合理得多。

已隐藏
已隐藏
电脑上下载火狐(就链接里的那个),安装后点击选项没反应

已隐藏
再补充几个网站:
1. 禁书网 https://www.bannedbook.org
2. 退党中心 https://www.tuidang.org
3. 阿波罗网 https://www.aboluowang.com
4. 博谈网 https://botanwang.com/
5. 寒冬 https://zh.bitterwinter.org/
1. 禁书网 https://www.bannedbook.org
2. 退党中心 https://www.tuidang.org
3. 阿波罗网 https://www.aboluowang.com
4. 博谈网 https://botanwang.com/
5. 寒冬 https://zh.bitterwinter.org/

已隐藏
懂技术的就是牛啊。我现在用的vpn很水,时不时的就掉线,特别是下午。要是楼主的办法可以不知上这几个网站就好了。。。

学会了
谷歌浏览器不行吗

共匪不敢封cloudflare,因为cf cdn在国内也有服务和百度合作的,还有外贸公司在国内呢?除非共匪真想闭关锁国
不过还是老老实实挂代理吧,毕竟这招体验不咋地,急用一下可以
不过还是老老实实挂代理吧,毕竟这招体验不咋地,急用一下可以

还是老老实实用V挂吧
有没有手机版?各位大神,有没有好用一点的手机免费VPN?有的话的推荐一个呗。

请问安卓或者苹果手机都可以翻吗?

已隐藏
厉害啊,要是能看youTube梯子都省了
肯定不是万能的撒

已隐藏
改Host 的方式不建议大家用,相当于裸奔,你的上网行为基本裸露在外!有风险
虚拟机,每月恢复一次,外加vpn,安全第一。看到周围的朋友被请喝茶的太多了,有事怀疑你,无事监控你。话说现在还有什么vpn比较稳定?最近墙高了,vpn都用着不爽,时好时坏,极不稳定!
如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudfla...
这样搞的话除非是不想要经济了。中小微企业很多也要用cloudflare 现在TG投鼠忌器。
太难了,我只会按回车键

為什麼按上邊的設置完以後,總是彈出阻止提醒,試了好幾遍,也連不上,怎麼回事?

用你的方法可以不用VPN了吗?我如果用谷歌浏览器,是不是还是要挂VPN?麻烦谁给指点一下?谢谢
有所帮助,能把封IP的和DNS封锁的网站分开。
前者包括维基、谷歌、油管
后者包括一些非主流
需要新版的firefox,我才发现自己的系统太旧了。
前者包括维基、谷歌、油管
后者包括一些非主流
需要新版的firefox,我才发现自己的系统太旧了。

有点复杂了,对我这样的电脑小白还是有点难度。

小白学习了。

**该用户被封禁,内容已自动替换**
全世界都不喜欢中国人?中国到底做了什么https://pincong.rocks/article/item_id-747136
世界厌恶中国是因为-
你中国即使富裕了,依然野蛮地对待自己的人民
这在现代文明国家看来,你中国就是一个野蛮的国家,原始的文明。
而且你又不是非洲国家那种内战,贫穷,没有钱去解决老百姓的问题
比如 -
中国是世界第二经济规模体,却依然存在贫穷国家才会出现的大规模人口贩卖产业和习俗。
二次分配失灵,最穷得人看不起大病,住不起新房。高级官员看病全报销,还可以在市区好地段分福利房。
你的劳动者天天超时工作,只有很少几乎等于没有的工伤保障。
牺牲绿水青山,造成中国环境不可逆地恶化,食品安全,药品安全没有保障。高级官员天天吃特供食品,用免费的国外进口药。
计划生育造成老无所养,人口雪崩。穷人死得早,高级官员个个都长寿。
================
这种行为,你自己换位思考一下
你有一个邻居,家里地很大,还有一个大宅子,里面住着几十个人。
里面有话语权的7个老爷,天天让其它人去下地干活,赚了钱自己先留大部分,剩下的一点再给点其它几十个人。这几十个人穷得看不起病,住不了好房间,只能住很偏很冷的小房间,还限制这些人生育,说我们家人太多,你们都要少生。
然后你说,你们这样不好。你这是7个人+一群奴隶
结果这个邻居说,你们就是嫉妒我们家大业大,你看我们家过去几十年做生意,赚了不少钱,你看我们把寨子里的道路都翻新了,这几十个穷人过去没有医保,现在也有点了,它们住的房子过去很破,我们现在给它们重新盖了一个新的偏房。
然后你说,可是你把大部分钱都用于7个大老爷的吃喝,游玩,看病。它们在浪费钱,剩下一点才赏给你们。你们应该有民主,大家赚了钱,一起商量着分。不要大老爷分。
这个邻居说,
我们有自己的家庭情况,你们这是忽悠我们分家!分家就是破坏家庭团结。
我遇到这种这种邻居,只会绕着走,少跟他们来往,绝不会喜欢它~

厉害啊~ 我还在想怎么才能用手机上品葱呢,学习了~~非常感谢

已隐藏

怎么回事

感謝沉默前輩的分享,雖然我現在用不上,但先保存好,以備不時之需。

成功!不用翻墻就能登錄網站了!那我們能用這樣的方式看其他網站嗎?YouTube?google?

实用啊,感谢分享!手机能上就方便多了,躺被窝里也能看,不用扒拉个电脑才能畅游世界。

什么东东?
实测此方法可以免代理直连duckduckgo
卧槽以后基本不用梯子了,学习资料不用翻墙,品葱不用翻墙,搜索引擎不用翻墙,圆满了
卧槽以后基本不用梯子了,学习资料不用翻墙,品葱不用翻墙,搜索引擎不用翻墙,圆满了

感谢分享
来试一下,要是可以太好了,梯子一直要看运气,运气好才能连上!

已隐藏

这个方法可以试试

怎么回事啊,我这里总是掉线,是网路问题还是人为的呢?

厉害!学习到了,感谢分享!!

已学会,这样更方便了,听网友的建议,已把头像改了

厉害啊,学习学习

其他浏览器可以吗
其他浏览器可以吗
目前只有firefox电脑版和手机版支持这个功能,chrome还暂不支持。如果用“国产”浏览器,强烈建议立即卸载。
@稀里哗啦
iOS上有火狐就可以用。

够专业,没想到火狐+还有这些拓展功能,希望博主多多分享。

k可以试试,不知道用着怎么样。翻墙太麻烦,好多学习资料都不能看,遗憾

已隐藏
不晓得TG想不想破译我的ssr连接
我没什么利用的价值 也不是什么高官
花时间破译我的ssr简直是一种浪费
总之还是想逮我早就动手了 而我一个贱民逮不逮都一样罢了 倘若哪天tg心血来潮 诸位梯子用户都有可能gg
诶 “覆巢之下 安有完卵?” 但愿民主之光早日照耀中国
我没什么利用的价值 也不是什么高官
花时间破译我的ssr简直是一种浪费
总之还是想逮我早就动手了 而我一个贱民逮不逮都一样罢了 倘若哪天tg心血来潮 诸位梯子用户都有可能gg
诶 “覆巢之下 安有完卵?” 但愿民主之光早日照耀中国

已隐藏

可用
作为一个新人,之前还奇怪,品葱的ip怎么没被封,doh+esni就可以直接访问,原来是套了cdn。
真希望ESNI早日普及,那时翻墙就更安全了。tls加密流量,DOH加密dns请求,ESNI加密域名,最后给自己的梯子套上CDN,隐藏ip,哈哈。
真希望ESNI早日普及,那时翻墙就更安全了。tls加密流量,DOH加密dns请求,ESNI加密域名,最后给自己的梯子套上CDN,隐藏ip,哈哈。