翻墙品葱安全上网 Geek

免翻墙上品葱教程(DoH+ESNI直连)

安全提示：本文介绍的方法只作为临时手段。如果打算长期活动，一定要挂代理。如果要从事高风险活动，请使用VPN+Tor。

截至2020年初，防火墙封杀网站的手段有：

关键词过滤：随着https的普及，这种方法已经不常见。
封锁IP：主要用来屏蔽Google，Facebook等IP地址固定的大型网站。
DNS污染+SNI探测：IPv4地址资源有限，对绝大多数网站，防火墙只能用DNS污染封锁。改Host可以绕过封锁，也可以用本文的DoH+ESNI方法直连被墙网站。

DoH+ESNI直连翻墙的稳定性非常高，DoH+ESNI可以看作是加密的DNS，和隐藏服务器名字的HTTPS。开启DoH+ESNI后，防火墙无法知道你在访问哪个网站，墙唯一知道的就是你的IP和你要访问的IP。

品葱使用Cloudflare作安全防护，使用本文的方法直连品葱，防火墙只能检测到你在访问Cloudflare IP，没法知道你在访问品葱。而品葱本身不记录访客IP地址，除非品葱网站被渗透，不存在任何暴露IP的可能性。

使用Cloudflare的网站（比如品葱），GFW只能封锁域名，无法彻底封杀IP地址。全世界有半数网站在使用Cloudflare，如果GFW一刀切封杀所有Cloudflare IP，相当于实行事实上的白名单。

DoH是DNS over HTTPS的缩写，ESNI是Encrypted Server Name Indication（加密服务器名称指示）。进一步了解DoH和ESNI可以参考：

维基百科：服务器名称指示
维基百科：DNS over HTTPS
SSPai：想要上网体验有保障，如何设置一个更安全的 DNS？（墙内网站）

目前（2020年初）支持DoH+ESNI的浏览器只有Firefox，下面讲如何在Firefox上开启DoH和ESNI。

下载火狐浏览器，注意不要用中国版火狐。用国产搜索引擎找Firefox会跳转到火狐中国版。
Firefox官网下载（Mozilla基金会）
https://www.mozilla.org/zh-CN/firefox/new/

直接下载链接（中文版，64位Windows）
https://download.mozilla.org/?product=firefox-msi-latest-ssl&os=win64&lang=zh-CN

直接下载链接（中文版，64位macOS）
https://download.mozilla.org/?product=firefox-latest-ssl&os=osx&lang=zh-CN

【1】安装好Firefox后，点右上角的菜单按钮（画红圈处），在弹出菜单里点击【选项】。

【2】在选项页面里向下拉到底，可以看见【网络设置】，点击【设置】按钮。

【3】在弹出的【连接设置】页面里，继续拉到底，勾选【启用基于HTTPS的DNS】选项。下面默认的提供商应当是Cloudflare。

到这里DoH就设置完成了，接下来设置ESNI。

【4】在Firefox的地址栏里输入about:config，回车，如图

【5】接下来可以看到警告提示，点【接受风险并继续】就可以。

【6】在高级首选项里，在画红色方框的地方输入esni，如图

【7】弹出的设置如下，默认情况下，“network.security.esni.enabled”选项为false。点一下红圈圈住的按钮，让这个选项变成“true”就可以了。设置好以后如下图

【8】接下来就可以免翻墙上品葱了

以上是电脑配置直连的方法，再说下手机端直连品葱的方法。

手机直连品葱只能用Firefox浏览器，APK下载地址：
https://apkpure.com/cn/firefox-browser-fast-private-safe-web-browser/org.mozilla.firefox/download?from=details

【1】地址栏输入：

about:config

【2】下面的选项搜索框里，输入：

network.trr.mode

把这个选项的值改成2，打开DoH.
默认值是0，表示不启用。2表示启用DoH并把常规DNS作为后备（推荐）。

【3】选项搜索框里，输入：

network.security.esni.enabled

把这个选项的值改成true，打开ESNI.

然后就可以用手机直连品葱了。

---------------------------
只要浏览器是Firefox，配置了Cloudflare的网站都可以用DoH+ESNI直连，目前已知有效的有：

品葱
https://pincong.rocks

Matters
https://matters.news

Medium
https://medium.com

编程随想的博客（镜像）
https://program-think-mirror.github.io/

来自其它网友补充：
郭媒体
https://gnews.org/

中国数字时代
https://chinadigitaltimes.net/chinese/

DuckDuckGo
https://duckduckgo.com/

SlashDot（IT技术）
https://slashdot.org

自由微博
https://freeweibo.com

Greatfire
https://zh.greatfire.org/

可能吧（一个中文博客站）
https://kenengba.com/

GitHub(开启DoH后可以提速)
https://github.com/

欢迎补充。

最后一点安全守则：

只浏览不发言的用户，可以用本文方法浏览品葱。
新用户可以用这种方法临时上品葱，再寻找其它翻墙手段。
经常登录发言的用户，最低标准是外资VPN/VPS，推荐使用VPN+Tor。
在墙内网站冲塔，号召行动，必须使用干净电脑+虚拟机+Tor

198

分享 2020-02-26

132 个评论

全城热恋管佩强

现在已经失效了

从5月份以来，这种方法就打不开那些网站了

最近有用户在这里发了共残党封杀这种技术的帖子

[iyouport] 报告：中国的防火长城已经封锁加密服务器名称指示（ESNI）

https://pincong.rocks/article/22661

梁啓超

根据这篇报告：ESNI已经被阻断。测试后发现这种方法已经失效，目前 ESNI 仍为草案性质的协议，很多地方还没有完善。我已经向 Mozilla 发送电邮报告这个问题，未来不久应该会被解决

CHIDEY ^观察

這種連接方法會降低訪問速度嗎？（來自vpn超慢的提問

oeirjsd 回复 ggguuuoo

如果cloudflare下的政治敏感网站不断增多加上DOH+ESNI的普及导致中共把cloudfla...

并不会。因为墙内人99.9%的流量都是墙内流量，就算是物理切断国际出口对绝大部分韭菜而言也没什么大影响。

Blasphemous ^{新注册用户}

我是在两会前还可以翻墙，开会之后就被屏蔽了，问客服说只要是在中国大陆就经常被屏蔽。

思想火炬

太高级了，我还是选择梯子……

井外势力

感谢楼主和以上技术大大，操作成功了。

mtdickens

可以搭配cloudflare workers + jsproxy，这样即使cf workers被墙，也可以继续用了。

~~jester~~ ^?

**该用户被封禁，内容已自动替换**

刘慈欣核心思想就是费拉右派

https://pincong.rocks/article/item_id-723648
阿姨有一个著名论断：
费拉右派最后一定会投共，和费拉左派一样。

言外之意，费拉是根本不理解什么是真正的左右的，他们只能依靠片面的单片机思考，得出一个荒谬的结论，当西方社会做正常运作的时候，他们就会高呼：左派工会剥夺了工作，政府搞了太多钱，财政要崩溃，社会要分裂了。

最后的结果一定是他们发现，也许中国真的做得还比西方左派更好呢？
==========================================

记得著名右派悉尼奶爸有几期节目大谈“战争来临的时候，西方会怎么排华”。就很好的体现了这一点。
节目里面他就主张 - 极端情况下，国家政策要保持一定兽性。所以需要集中营去管理华人。

结果被人指出和《三体》维德的话几乎一样-

失去人性，失去很多。失去兽性，失去一切。

奶爸马上解释，我是反对三体的思想的，对于兽性说，他表示，共产党是正常情况下，也要采取极端的情况，这是不对的，但是真的到了极端的情况下，比如战争状态，还是要保持兽性。

但是显然奶爸没有太深入了解过大刘，因为大刘在很多个采访中都表示，他之所以写黑暗森林法则，就是一种思想实验。这个思想实验就是 -
在非常极端的情况下，兽性会才能保存自己。而人类文明的存亡，无疑是最最最最极端的情况。

这和悉尼奶爸的思想是一致的，大刘从来没说不极端的情况下也要保持兽性，相反他自己评价程心的时候，就表示，程心是道德正常的人，但是正是因为她的道德是正常的，所以在极端情况下她会做出错误判断。最后导致地球毁灭！

posclegom

为大家更新一下编程随想的博客的镜像网站：

https://program-think-mirror.github.io/
以上镜像已经完全更新

https://www.programthinkmirror.com/
以上镜像包含对于所有评论的完整备份

另外还有一点告之各位葱油：个人猜测以上两个网站【都没有】享受SNI封杀的待遇，所以各位只要把Firefox里的DoH设置打开就行了，【不用】打开ESNI设置。（当然各位也可以通过修改hosts的老办法）。本人身在墙外，所以没有办法证实这个猜测，还望墙内热心之人士予以验证一下。

希言自然 ^观察

技术大神，将各种方法都阐述的很清晰，这样的文章建议还是多写，因为很多人都是小白，能参照，就避免了许多的弯路

~~四邑漁農牧工商總會~~ ^观察

Firefox 居然有Chrome沒有的功能，神奇

~~逆行者~~ ^{新注册用户}

已隐藏

我有账号了回复 Chdkfd

为什么被折叠? 内容被折叠

~~已删除~~

~~youshenme~~ ^{新注册用户}

为什么被折叠? 内容被折叠

已隐藏

seeseeto ^{新注册用户}

新手实用，安全第一~~~~~~

~~renjian123456~~ ^{新注册用户}

已隐藏

sayaka ^{新注册用户} 回复 Chdkfd

实测Archive of Our Own也可以这么访问。DeviantArt，Discord也可以。...

是这样
这里有一份DoH伺服器列表 https://zh.m.wikipedia.org/wiki/%E5%85%AC%E5%85%B1%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E6%9C%8D%E5%8A%A1

填入network.trr.url 自定地址
比如https://dns.nextdns.io/(your_id)
https://dns.google/dns-query (没有被墙

Chdkfd

实测Archive of Our Own也可以这么访问。
DeviantArt，Discord也可以。

补充：Firefox内置的2个DoH服务器不是所有地区都能够用。可能的话建议使用 dnscrypt-proxy 让整个系统都能够使用DoT/DoH（需要手动关掉DNSCrypt支持）。

哈哈哈我是谁 ^{新注册用户}

借个楼，请问如何使用TOR？谢谢！

沉默的广场 休假中 回复 yulisasama ^{新注册用户}

火狐还行，以前用过一段时间，但就是有点不稳定，账号容易出问题

你用的是火狐中国版，还是火狐国际版？

yulisasama ^{新注册用户}

火狐还行，以前用过一段时间，但就是有点不稳定，账号容易出问题

三寸雪 ^{新注册用户} 回复楚方城

可以看youtube么？？？

燃烧的小太阳

感谢分享!

三尺头上有神明 ^{新注册用户} 回复楚方城

厉害啊，要是能看youTube梯子都省了

的确厉害

minxin1971Zm

經測試用這種方法沒法上寒冬網站

问天问大地 ^{新注册用户}

这篇帖子实用性相当的大

cxk233 ^{新注册用户}

https://img.pincong.rocks/img/avatar/000/04/00/51_avatar_max.jpg

~~余姣姣~~ ^{新注册用户}

已隐藏

混斗罗

厉害啊，向你学习

天下无贼

好像不好使，看来各个宽带提供商的GFW策略不同，看来这个方法我用不了了………………

~~niubinilaia~~ ^{新注册用户}

已隐藏

ChristinaMason

作为一个新人，之前还奇怪，品葱的ip怎么没被封，doh+esni就可以直接访问，原来是套了cdn。
真希望ESNI早日普及，那时翻墙就更安全了。tls加密流量，DOH加密dns请求，ESNI加密域名，最后给自己的梯子套上CDN，隐藏ip，哈哈。

~~神无量大碟~~ ^? 回复楚方城

**该用户被封禁，内容已自动替换**

防火长城促进了中国互联网发展吗？假如没有墙，腾讯百度阿里巴巴等国产企业还能崛起吗？

https://pincong.rocks/question/item_id-304656
相反，极大以制了中国互联网技术的发展。

首先，破除一个误区是，拥有高技术公司，不一定是：拥有大量用户的大公司。
因为大公司都是收购或者强行抄其它小公司的好产品出来的怪物。

真正的技术水平要看整体环境。

其实美国大科技企业也不都是高新技术真正的原创者，它们也是到处收购，玩大鱼吃小鱼资本怪物。
但是，你想吃小鱼，你先得有个足够大的池塘让你有小鱼生长。

这个池塘，就是硅谷千千万万个中小公司，背后是美国发达自由的市场，对人才极度有吸引力的商业环境，对知识产权的保护，完善的法治。而带来的极其强大的创新力。

而中国大型互联网企业，更是跟着美国大企业后面，利用中国工程师红利，模仿抄袭而已。

所以，你说墙给了中国互联网什么，一个封闭的市场，就叫对中国互联网公司有利了吗？

错。

防火墙，导致中国中小型互联网公司生存发展环境很恶劣，你做一个公司，抄国外的，抄得没大公司快。自己开发新的，要么最后一看国外已经有了，你因为防火墙不知道，要么最后大公司一看，立刻抄一个一样的，把你竞争下去。

比如今天人人用的微信，你可以搜一搜一个叫悠信的软件，看看悠信图标和微信有什么区别。然后你再看看悠信是哪年做出来的，又是哪年倒闭的。而微信是什么时候抄它的。

最后的结果，就是中国互联网企业，都根本不注重创新，而是注重版本的快速更迭。国外新技术的快速应用。所以，中国工程师，几乎很难有美国工程师那样的学习和开发生活。中国企业由于劣币效应，大家最后都在疯狂压榨人力成本，很多技术员的青春都被消耗在不合理的版本更新速度，以满足上级的业绩指标。最后丧失健康和对技术的热爱。

这使得，中国互联网虽然用户很多，工程师很多。但是技术的池塘很小，几乎没有什么小鱼。
就像华为一样，表面风光，背后还是依靠美国的大树。

只不过，软件产品抄袭起来非常容易。国外难以像制裁华为那样去禁止中国使用国外的软件产品。

但是，最近几年防火长墙和民族主义反而在加速脱钩。

一方面号称要自己造操作系统，要自己操一切轮子。一方面又在不停地禁用更多的类库。我期待git彻底被墙的那一天，看看中国互联网技术水平到底如何。
==========================

最后我说说阿里，很多人都赞同没有防火墙，阿里也是世界级企业。

阿里的确和防火墙直接关系不大，但是我认为没有防火墙，就意味着中国市场没有对外资的不合理管制。

阿里能起来是因为第三方支付，但是你们要知道第三方支付能崛起的背后，是中国银行业由国企垄断，五大行和中共一切在一个安全的环境内赚钱，从国家到地方、从政府到银行，谁也没有动力去推进完善个人信用体系。
说白了，还是因为中共的经济独裁导致的：个人信用分数比互联网出现得还晚。

这个现象说明了中共独裁是多么的不合理，个人征信其实根本不需要互联网技术，可是直到阿里钻了空子中国政府才反应过来。

反过来，假设中国在80年代，就是个民主自由的市场经济国家，外国银行、外国企业可以在中国境内开展正常个人业务。那么以当时欧美计算机电算化的发展程度，以及人民对外贸易的诉求，中国建立个人征信体系只会比互联网更早。

如果2000以前中国人就已经用上支票，信用卡，那么2000之后，阿里本土化做得再好，也不会发展得如今天这么好。