免翻墙上品葱教程(DoH+ESNI直连)

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

安全提示：本文介绍的方法只作为临时手段。如果打算长期活动，一定要挂代理。如果要从事高风险活动，请使用VPN+Tor。

截至2020年初，防火墙封杀网站的手段有：

• 关键词过滤：随着https的普及，这种方法已经不常见。
• 封锁IP：主要用来屏蔽Google，Facebook等IP地址固定的大型网站。
• DNS污染+SNI探测：IPv4地址资源有限，对绝大多数网站，防火墙只能用DNS污染封锁。改Host可以绕过封锁，也可以用本文的DoH+ESNI方法直连被墙网站。

DoH+ESNI直连翻墙的稳定性非常高，DoH+ESNI可以看作是加密的DNS，和隐藏服务器名字的HTTPS。开启DoH+ESNI后，防火墙无法知道你在访问哪个网站，墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护，使用本文的方法直连品葱，防火墙只能检测到你在访问Cloudflare IP，没法知道你在访问品葱。而品葱本身不记录访客IP地址，除非品葱网站被渗透，不存在任何暴露IP的可能性。

使用Cloudflare的网站（比如品葱），GFW只能封锁域名，无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare，如果GFW一刀切封杀所有Cloudflare IP，相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写，ESNI是Encrypted Server Name Indication（加密服务器名称指示）。进一步了解DoH和ESNI可以参考：

维基百科：服务器名称指示
维基百科：DNS over HTTPS
SSPai：想要上网体验有保障，如何设置一个更安全的 DNS？（墙内网站）

目前（2020年初）支持DoH+ESNI的浏览器只有Firefox，下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器，注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载（Mozilla基金会）
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接（中文版，64位Windows）
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接（中文版，64位macOS）
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN

【1】安装好Firefox后，点右上角的菜单按钮（画红圈处），在弹出菜单里点击【选项】。

【2】在选项页面里向下拉到底，可以看见【网络设置】，点击【设置】按钮。

【3】在弹出的【连接设置】页面里，继续拉到底，勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。

到这里DoH就设置完成了，接下来设置ESNI。

【4】在Firefox的地址栏里输入about:config，回车，如图

【5】接下来可以看到警告提示，点【接受风险并继续】就可以。

【6】在高级首选项里，在画红色方框的地方输入esni，如图

【7】弹出的设置如下，默认情况下，“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮，让这个选项变成“true”就可以了。设置好以后如下图

【8】接下来就可以免翻墙上品葱了

以上是电脑配置直连的方法，再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器，APK下载地址：
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入：

about:config

【2】下面的选项搜索框里，输入：

network.trr.mode

把这个选项的值改成2，打开DoH.
默认值是0，表示不启用。2表示启用DoH并把常规DNS作为后备（推荐）。

【3】选项搜索框里，输入：

network.security.esni.enabled

把这个选项的值改成true，打开ESNI.

然后就可以用手机直连品葱了。

-————————–
只要浏览器是Firefox，配置了Cloudflare的网站都可以用DoH+ESNI直连，目前已知有效的有：

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客（镜像）
https://program-think-mirror.github.io/

来自其它网友补充：
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot（IT技术）
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧（一个中文博客站）
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则：

• 只浏览不发言的用户，可以用本文方法浏览品葱。
• 新用户可以用这种方法临时上品葱，再寻找其它翻墙手段。
• 经常登录发言的用户，最低标准是外资VPN/VPS，推荐使用VPN+Tor。
• 在墙内网站冲塔，号召行动，必须使用干净电脑+虚拟机+Tor

品葱用户 楚方城 评论于 2020-02-25

厉害啊，要是能看youTube梯子都省了

品葱用户 ggguuuoo 评论于 2020-02-25

我最近测试发现本站的封锁方式已经升级到了SNI阻断，而我记得前几个月封锁方式还仅仅是DNS污染，那时修改hosts就可以绕过封锁。封锁方式的升级无疑是对我们的工作的肯定。

品葱用户 observerIE ggguuuoo 评论于 2020-02-25

我最近测试发现本站的封锁方式已经升级到了SNI阻断，而我记得前几个月封锁方式还仅仅是DNS污染，那时…

确实是，前段时间还可以直连，现在必须挂v

品葱用户 Chauchat 评论于 2020-02-26

此方法对于cloudflare的网站非常有效，如本葱、膜乎、郭媒体；同时能让部分被reset的域名能正常访问（如github某些域名）；如果把dns从默认的cloudflare改为8.8.8.8（google dns）也可以让部分谷歌下属网站直连

另外，浏览器装https everywhere插件（eff开发，开源）并开启“加密所有连接”，更安全且翻墙效果更好，因某些默认不加密的网站元素加密后可以访问

品葱用户 cansinlej 评论于 2020-02-25

請教一下，https://www.voachinese.com/ 和 https://www.voacantonese.com/ 適用這個方法嗎？

品葱用户 Chauchat cansinlej 评论于 2020-02-25

請教一下，https://www.voachinese.com/ 和 https://www.voa…

我尝试过，不行。。。连接被重置
推测原因一是网站不支持，二是voa被重点关照

品葱用户 ggguuuoo observerIE 评论于 2020-02-25

确实是，前段时间还可以直连，现在必须挂v

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudflare全盘封杀，那就又是一次加速主义的成功实践了。

品葱用户 熊熊 评论于 2020-02-25

沉默前輩給力~~~~~~~~~~~~~

品葱用户 环球网 评论于 2020-02-25

只能电脑用吗

品葱用户 沉默的广场 环球网 评论于 2020-02-26

只能电脑用吗

手机也可以用，用Firefox手机版就可以翻。

品葱用户 沉默的广场 评论于 2020-02-26

补充一下手机直连品葱的方法：

Firefox安卓版下载 (APK Pure)：
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入：

about:config

【2】下面的选项搜索框里，输入

network.trr.mode

把这个选项的值改成2，打开DoH.

【3】选项搜索框里，输入

network.security.esni.enabled

把这个选项的值改成true，打开ESNI.

然后就可以用手机直连品葱了。

品葱用户 咸鱼老李 评论于 2020-02-26

谢谢楼主，虽然这个教程对于咱这种高危目标（管理员）来说根本派不上用场，其实firefox手机国际版也可以免翻墙下载，官方同样提供了APK文件以供安装，直接去https://ftp.mozilla.org/pub/mobile/releases/中下载即可，这里下载的同样也是原汁原味的国际版，另外无论是手机版还是PC版下载完记得校验一下hash值避免文件被篡改之后再安装，尤其是Linux用户，因为部分软件源位于国内，所以更要小心以免软件源投毒的可能

品葱用户 沉默的广场 咸鱼老李 评论于 2020-02-26

谢谢楼主，虽然这个教程对于咱这种高危目标（管理员）来说根本派不上用场，其实firefox手机国际版也…

哦…感谢，我不知道这个还有直链。

在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安全的方法。

品葱用户 admin 评论于 2020-02-26

顶掉恶臭ID

品葱用户 neeee 评论于 2020-02-27

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版 68.6，network.security.esni.enabled打开之后esni仍旧没有启用，应该是移动版尚不支持esni特性。

可以使用cloudflare提供的工具测试esni是否成功启用：https://www.cloudflare.com/ssl/encrypted-sni/

品葱用户 沉默的广场 neeee 评论于 2020-02-26

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版…

测试了68.2.x，没有问题。
Secure DNS√
DNSSEC×
TLS 1.3√
Encrypted SNI√

品葱用户 neeee 沉默的广场 评论于 2020-02-27

测试了68.2.x，没有问题。Secure DNS√DNSSEC×TLS 1.3√Encrypted…

我再次在手机上测试了Firefox 68.5.0，参考https://bugzilla.mozilla.org/show_bug.cgi?id=1542754。
我在Android设置里面启用了DNS over TLS，并设置为1dot1dot1dot1.cloudflare-dns.com，不能通过测试。
在Firefox中将network.trr.mode调为2后，通过全部测试。
Firefox上的esni不能单独使用，要配合Firefox本身的DoH使用。

品葱用户 币圈奇葩8964 neeee 评论于 2020-02-27

我再次在手机上测试了Firefox 68.5.0，参考https://bugzilla.mozill…

ESNI必须和DoH一起使用，因为要通过DNS绕过TLS 1.3发SNI让网站返回正确的证书，，，

品葱用户 胡锡退 评论于 2020-02-27

不走代理，你的一举一动ISP都知道了

品葱用户 KLVnNgkO 评论于 2020-02-26

这样不安全吧

品葱用户 币圈奇葩8964 胡锡退 评论于 2020-02-26

不走代理，你的一举一动ISP都知道了

所以只能临时用，梯子失效的时候看看有没有翻墙工具，，，

品葱用户 胡锡退 币圈奇葩8964 评论于 2020-02-26

所以只能临时用，梯子失效的时候看看有没有翻墙工具，，，

只是看贴的话用RSS网站订阅更安全一些吧

品葱用户 币圈奇葩8964 Chauchat 评论于 2020-02-27

我尝试过，不行。。。连接被重置推测原因一是网站不支持，二是voa被重点关照

目前只有Cloudflare的CDN支持，像Akamai这种根本不支持好吗，，，
自己搭网站的时候，倒是可以看看教程，添加一下支持（默认是不支持的），，，

品葱用户 币圈奇葩8964 胡锡退 评论于 2020-02-27

只是看贴的话用RSS网站订阅更安全一些吧

可惜本站的RSS基本是半残状态，不能看回复，，，

品葱用户 solids 评论于 2020-02-27

https://kenengba.com 可能吧
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://pornhub.com P站
https://freeweibo.com 自由微博
https://slashdot.org SlashDot

品葱用户 Resistance 评论于 2020-02-26

俺发现某些无害网站，只用 DoH 已经打不开了，很有可能是 SNI 封锁。

品葱用户 咸鱼老李 沉默的广场 评论于 2020-02-26

哦…感谢，我不知道这个还有直链。在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安…

我自己测试了一下，能凑合用，而且还能上中国数字时代等同样应用CF做防护的网站，但是到了墙加高的时候就不行了，到了那时候丢包率爆炸，连用CF面向墙内的海外网站（比如说萌二百科）都上不了，适合梯子挂了的时候临时使用，另外改用DoH上Github等网站也会更稳定

品葱用户 咸鱼老李 solids 评论于 2020-02-27

可能吧 鸭鸭走 e站 GreatFire P站https://freeweibo.com 自由微博…

还有中国数字时代：https://chinadigitaltimes.net/chinese/
CDT也是采用CF做防护的，所以也可以用此方案来免翻直连

品葱用户 我是大臭B 评论于 2020-02-27

非常感谢楼主的分享。

品葱用户 mamay5 评论于 2020-02-26

使用SOCKS v5时代理DNS查询需要勾选么？

品葱用户 mamay5 咸鱼老李 评论于 2020-02-26

还有中国数字时代：https://chinadigitaltimes.net/chinese/CDT…

CF是什么？

品葱用户 不能留个人信息 评论于 2020-02-26

我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗

品葱用户 icgomsz 评论于 2020-02-28

中共可以把Cloudfare封了吧，话说这个Cloudfare由背景吗

品葱用户 tiktok 评论于 2020-02-28

点个赞

品葱用户 沉默的广场 icgomsz 评论于 2020-02-28

中共可以把Cloudfare封了吧，话说这个Cloudfare由背景吗

cloudflare是互联网基础设施，如果GFW封掉就相当于全网白名单。
很多反共网站都用cloudflare保护自己的IP，安全性不用担心。

品葱用户 placebo 评论于 2020-02-28

感謝分享
只是我突然想到一個悖論

能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈

品葱用户 吹水成名 评论于 2020-02-29

mark一记 以备不时之需

品葱用户 习近平威武 沉默的广场 评论于 2020-02-29

哦…感谢，我不知道这个还有直链。在墙内宣传品葱，可以先推广DoH+ESNI浏览，翻过来以后再科普更安…

关于贼个，GitHub直接有任何软件，可以用idm抱回家

品葱用户 看透你的单纯 评论于 2020-02-29

厉害厉害👍

品葱用户 GBSH 评论于 2020-02-29

电脑上下载火狐（就链接里的那个），安装后点击选项没反应

品葱用户 Chauchat 评论于 2020-02-29

再补充几个网站：

1. 禁书网 https://www.bannedbook.org

2. 退党中心 https://www.tuidang.org

3. 阿波罗网 https://www.aboluowang.com

4. 博谈网 https://botanwang.com/

5. 寒冬 https://zh.bitterwinter.org/

品葱用户 demonvv 评论于 2020-03-01

懂技术的就是牛啊。我现在用的vpn很水，时不时的就掉线，特别是下午。要是楼主的办法可以不知上这几个网站就好了。。。

品葱用户 拉吉车夫 评论于 2020-03-01

学会了

点击品葱原文参与讨论

最简单好用的 VPS,没有之一，注册立得 100 美金