免翻墙上品葱教程(DoH+ESNI直连)

使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。

截至2020年初,防火墙封杀网站的手段有:

  • 关键词过滤:随着https的普及,这种方法已经不常见。
  • 封锁IP:主要用来屏蔽Google,Facebook等IP地址固定的大型网站。
  • DNS污染+SNI探测:IPv4地址资源有限,对绝大多数网站,防火墙只能用DNS污染封锁。改Host可以绕过封锁,也可以用本文的DoH+ESNI方法直连被墙网站。

DoH+ESNI直连翻墙的稳定性非常高,DoH+ESNI可以看作是加密的DNS,和隐藏服务器名字的HTTPS。开启DoH+ESNI后,防火墙无法知道你在访问哪个网站,墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护,使用本文的方法直连品葱,防火墙只能检测到你在访问Cloudflare IP,没法知道你在访问品葱。而品葱本身不记录访客IP地址,除非品葱网站被渗透,不存在任何暴露IP的可能性。

使用Cloudflare的网站(比如品葱),GFW只能封锁域名,无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare,如果GFW一刀切封杀所有Cloudflare IP,相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写,ESNI是Encrypted Server Name Indication(加密服务器名称指示)。进一步了解DoH和ESNI可以参考:

维基百科:服务器名称指示
维基百科:DNS over HTTPS
SSPai:想要上网体验有保障,如何设置一个更安全的 DNS?(墙内网站)

目前(2020年初)支持DoH+ESNI的浏览器只有Firefox,下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器,注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载(Mozilla基金会)
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接(中文版,64位Windows)
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接(中文版,64位macOS)
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN

【1】安装好Firefox后,点右上角的菜单按钮(画红圈处),在弹出菜单里点击【选项】。
https://images.weserv.nl/?url=https://i.imgur.com/YdaRtpQ.png

【2】在选项页面里向下拉到底,可以看见【网络设置】,点击【设置】按钮。
https://images.weserv.nl/?url=https://i.imgur.com/84c2xO6.png

【3】在弹出的【连接设置】页面里,继续拉到底,勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。
https://images.weserv.nl/?url=https://i.imgur.com/vGwtf1Q.png

到这里DoH就设置完成了,接下来设置ESNI。

【4】在Firefox的地址栏里输入about:config,回车,如图
https://images.weserv.nl/?url=https://i.imgur.com/JzXWTCm.png

【5】接下来可以看到警告提示,点【接受风险并继续】就可以。
https://images.weserv.nl/?url=https://i.imgur.com/ck36sJX.png

【6】在高级首选项里,在画红色方框的地方输入esni,如图
https://images.weserv.nl/?url=https://i.imgur.com/rs1xtOO.png

【7】弹出的设置如下,默认情况下,“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮,让这个选项变成“true”就可以了。设置好以后如下图
https://images.weserv.nl/?url=https://i.imgur.com/dtLePoq.png

【8】接下来就可以免翻墙上品葱了
https://images.weserv.nl/?url=https://i.imgur.com/kKd5i5H.png
以上是电脑配置直连的方法,再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器,APK下载地址:
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入:

about:config

【2】下面的选项搜索框里,输入:

network.trr.mode

把这个选项的值改成2,打开DoH.
默认值是0,表示不启用。2表示启用DoH并把常规DNS作为后备(推荐)。

【3】选项搜索框里,输入:

network.security.esni.enabled

把这个选项的值改成true,打开ESNI.

然后就可以用手机直连品葱了。

-————————–
只要浏览器是Firefox,配置了Cloudflare的网站都可以用DoH+ESNI直连,目前已知有效的有:

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客(镜像)
https://program-think-mirror.github.io/

来自其它网友补充:
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot(IT技术)
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧(一个中文博客站)
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则:

  • 只浏览不发言的用户,可以用本文方法浏览品葱。
  • 新用户可以用这种方法临时上品葱,再寻找其它翻墙手段。
  • 经常登录发言的用户,最低标准是外资VPN/VPS,推荐使用VPN+Tor。
  • 在墙内网站冲塔,号召行动,必须使用干净电脑+虚拟机+Tor

品葱用户 楚方城 评论于 2020-02-25

厉害啊,要是能看youTube梯子都省了

品葱用户 ggguuuoo 评论于 2020-02-25

我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时修改hosts就可以绕过封锁。封锁方式的升级无疑是对我们的工作的肯定。

品葱用户 observerIE ggguuuoo 评论于 2020-02-25

我最近测试发现本站的封锁方式已经升级到了SNI阻断,而我记得前几个月封锁方式还仅仅是DNS污染,那时…

确实是,前段时间还可以直连,现在必须挂v

品葱用户 Chauchat 评论于 2020-02-26

此方法对于cloudflare的网站非常有效,如本葱、膜乎、郭媒体;同时能让部分被reset的域名能正常访问(如github某些域名);如果把dns从默认的cloudflare改为8.8.8.8(google dns)也可以让部分谷歌下属网站直连

另外,浏览器装https everywhere插件(eff开发,开源)并开启“加密所有连接”,更安全且翻墙效果更好,因某些默认不加密的网站元素加密后可以访问

品葱用户 cansinlej 评论于 2020-02-25

請教一下,https://www.voachinese.com/ 和 https://www.voacantonese.com/ 適用這個方法嗎?

品葱用户 Chauchat cansinlej 评论于 2020-02-25

請教一下,https://www.voachinese.com/ 和 https://www.voa…

我尝试过,不行。。。连接被重置
推测原因一是网站不支持,二是voa被重点关照

品葱用户 ggguuuoo observerIE 评论于 2020-02-25

确实是,前段时间还可以直连,现在必须挂v

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudflare全盘封杀,那就又是一次加速主义的成功实践了。

品葱用户 熊熊 评论于 2020-02-25

沉默前輩給力~~~~~~~~~~~~~

品葱用户 环球网 评论于 2020-02-25

只能电脑用吗

品葱用户 沉默的广场 环球网 评论于 2020-02-26

只能电脑用吗

手机也可以用,用Firefox手机版就可以翻。

品葱用户 沉默的广场 评论于 2020-02-26

补充一下手机直连品葱的方法:

Firefox安卓版下载 (APK Pure):
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入:

about:config

【2】下面的选项搜索框里,输入

network.trr.mode

把这个选项的值改成2,打开DoH.

【3】选项搜索框里,输入

network.security.esni.enabled

把这个选项的值改成true,打开ESNI.

然后就可以用手机直连品葱了。

品葱用户 咸鱼老李 评论于 2020-02-26

谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也可以免翻墙下载,官方同样提供了APK文件以供安装,直接去https://ftp.mozilla.org/pub/mobile/releases/中下载即可,这里下载的同样也是原汁原味的国际版,另外无论是手机版还是PC版下载完记得校验一下hash值避免文件被篡改之后再安装,尤其是Linux用户,因为部分软件源位于国内,所以更要小心以免软件源投毒的可能

品葱用户 沉默的广场 咸鱼老李 评论于 2020-02-26

谢谢楼主,虽然这个教程对于咱这种高危目标(管理员)来说根本派不上用场,其实firefox手机国际版也…

哦…感谢,我不知道这个还有直链。

在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安全的方法。

品葱用户 admin 评论于 2020-02-26

顶掉恶臭ID

品葱用户 neeee 评论于 2020-02-27

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版 68.6,network.security.esni.enabled打开之后esni仍旧没有启用,应该是移动版尚不支持esni特性。

可以使用cloudflare提供的工具测试esni是否成功启用:https://www.cloudflare.com/ssl/encrypted-sni/

品葱用户 沉默的广场 neeee 评论于 2020-02-26

我自己在手机上测试了Firefox 68.5.0和Firefox for Android 公开测试版…

测试了68.2.x,没有问题。
Secure DNS√
DNSSEC×
TLS 1.3√
Encrypted SNI√

品葱用户 neeee 沉默的广场 评论于 2020-02-27

测试了68.2.x,没有问题。Secure DNS√DNSSEC×TLS 1.3√Encrypted…

我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozilla.org/show_bug.cgi?id=1542754。
我在Android设置里面启用了DNS over TLS,并设置为1dot1dot1dot1.cloudflare-dns.com,不能通过测试。
在Firefox中将network.trr.mode调为2后,通过全部测试。
Firefox上的esni不能单独使用,要配合Firefox本身的DoH使用。

品葱用户 币圈奇葩8964 neeee 评论于 2020-02-27

我再次在手机上测试了Firefox 68.5.0,参考https://bugzilla.mozill…

ESNI必须和DoH一起使用,因为要通过DNS绕过TLS 1.3发SNI让网站返回正确的证书,,,

品葱用户 胡锡退 评论于 2020-02-27

不走代理,你的一举一动ISP都知道了

品葱用户 KLVnNgkO 评论于 2020-02-26

这样不安全吧

品葱用户 币圈奇葩8964 胡锡退 评论于 2020-02-26

不走代理,你的一举一动ISP都知道了

所以只能临时用,梯子失效的时候看看有没有翻墙工具,,,

品葱用户 胡锡退 币圈奇葩8964 评论于 2020-02-26

所以只能临时用,梯子失效的时候看看有没有翻墙工具,,,

只是看贴的话用RSS网站订阅更安全一些吧

品葱用户 币圈奇葩8964 Chauchat 评论于 2020-02-27

我尝试过,不行。。。连接被重置推测原因一是网站不支持,二是voa被重点关照

目前只有Cloudflare的CDN支持,像Akamai这种根本不支持好吗,,,
自己搭网站的时候,倒是可以看看教程,添加一下支持(默认是不支持的),,,

品葱用户 币圈奇葩8964 胡锡退 评论于 2020-02-27

只是看贴的话用RSS网站订阅更安全一些吧

可惜本站的RSS基本是半残状态,不能看回复,,,

品葱用户 solids 评论于 2020-02-27

https://kenengba.com 可能吧
https://duckduckgo.com 鸭鸭走
https://e-hentai.org e站
https://zh.greatfire.org GreatFire
https://pornhub.com P站
https://freeweibo.com 自由微博
https://slashdot.org SlashDot

品葱用户 Resistance 评论于 2020-02-26

俺发现某些无害网站,只用 DoH 已经打不开了,很有可能是 SNI 封锁。

品葱用户 咸鱼老李 沉默的广场 评论于 2020-02-26

哦…感谢,我不知道这个还有直链。在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安…

我自己测试了一下,能凑合用,而且还能上中国数字时代等同样应用CF做防护的网站,但是到了墙加高的时候就不行了,到了那时候丢包率爆炸,连用CF面向墙内的海外网站(比如说萌二百科)都上不了,适合梯子挂了的时候临时使用,另外改用DoH上Github等网站也会更稳定

品葱用户 咸鱼老李 solids 评论于 2020-02-27

可能吧 鸭鸭走 e站 GreatFire P站https://freeweibo.com 自由微博…

还有中国数字时代:https://chinadigitaltimes.net/chinese/
CDT也是采用CF做防护的,所以也可以用此方案来免翻直连

品葱用户 我是大臭B 评论于 2020-02-27

非常感谢楼主的分享。

品葱用户 mamay5 评论于 2020-02-26

使用SOCKS v5时代理DNS查询需要勾选么?

品葱用户 mamay5 咸鱼老李 评论于 2020-02-26

还有中国数字时代:https://chinadigitaltimes.net/chinese/CDT…

CF是什么?

品葱用户 不能留个人信息 评论于 2020-02-26

我有个朋友 想叫我替他问一下 pornhub用这个方法可以连接吗

品葱用户 icgomsz 评论于 2020-02-28

中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗

品葱用户 tiktok 评论于 2020-02-28

点个赞

品葱用户 沉默的广场 icgomsz 评论于 2020-02-28

中共可以把Cloudfare封了吧,话说这个Cloudfare由背景吗

cloudflare是互联网基础设施,如果GFW封掉就相当于全网白名单。
很多反共网站都用cloudflare保护自己的IP,安全性不用担心。

品葱用户 placebo 评论于 2020-02-28

感謝分享
只是我突然想到一個悖論

能上品蔥的人不需要看你的教程
不能上品蔥的人看不到你的教程
哈哈哈哈哈

品葱用户 吹水成名 评论于 2020-02-29

mark一记 以备不时之需

品葱用户 习近平威武 沉默的广场 评论于 2020-02-29

哦…感谢,我不知道这个还有直链。在墙内宣传品葱,可以先推广DoH+ESNI浏览,翻过来以后再科普更安…

关于贼个,GitHub直接有任何软件,可以用idm抱回家

品葱用户 看透你的单纯 评论于 2020-02-29

厉害厉害👍

品葱用户 GBSH 评论于 2020-02-29

电脑上下载火狐(就链接里的那个),安装后点击选项没反应

品葱用户 Chauchat 评论于 2020-02-29

再补充几个网站:

1. 禁书网 https://www.bannedbook.org

2. 退党中心 https://www.tuidang.org

3. 阿波罗网 https://www.aboluowang.com

4. 博谈网 https://botanwang.com/

5. 寒冬 https://zh.bitterwinter.org/

品葱用户 demonvv 评论于 2020-03-01

懂技术的就是牛啊。我现在用的vpn很水,时不时的就掉线,特别是下午。要是楼主的办法可以不知上这几个网站就好了。。。

品葱用户 拉吉车夫 评论于 2020-03-01

学会了

点击品葱原文参与讨论

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

免翻墙上品葱教程(DoH+ESNI直连)

安全提示:本文介绍的方法只作为临时手段。如果打算长期活动,一定要挂代理。如果要从事高风险活动,请使用VPN+Tor。 截至2020年初,防火墙封杀网站的手段有: 关键词过滤:随着https的普及,这种方法已经不常见。 封锁IP:主要用来屏 …