 |
delpoV2EX 第 440161 号会员,加入于 2019-09-07 17:38:44 +08:00今日活跃度排名 2386 |
delpo 最近回复了
37 天前 回复了 AlphaTauriHonda 创建的主题 › 反馈 › V2EX 不能用 Encrypted ClientHello(ECH) |
@z919126592 有一个关键点在于, 国内的 dns 是否会屏蔽掉没有被墙的正常网站的 DNS HTTPS 记录(或者屏蔽记录里的 ech 字段).
目前来看, 未被墙的网站在公共 dns 或者运营商 dns 上也是可以查到 HTTPS 记录的, 在这种情况下, 由于 ech 在 ff 和 chrome 系浏览器已经默认开启了(edge 好像没有), 那么在存在 HTTPS 记录的情况下 ech 就会开启, 这时候如果 cloudflare-ech.com 这个网站被 sni 阻断的话, 就会导致未被墙的网站也无法访问, 这显然不是 GFW 希望看到的. 所以没法一刀切的阻断这个域名.
目前来看, 未被墙的网站在公共 dns 或者运营商 dns 上也是可以查到 HTTPS 记录的, 在这种情况下, 由于 ech 在 ff 和 chrome 系浏览器已经默认开启了(edge 好像没有), 那么在存在 HTTPS 记录的情况下 ech 就会开启, 这时候如果 cloudflare-ech.com 这个网站被 sni 阻断的话, 就会导致未被墙的网站也无法访问, 这显然不是 GFW 希望看到的. 所以没法一刀切的阻断这个域名.
40 天前 回复了 AlphaTauriHonda 创建的主题 › 反馈 › V2EX 不能用 Encrypted ClientHello(ECH) |
@czfy 我这里 ff 还是正常可用的, 有问题的话很大可能是 dns 问题, 获取不到 HTTPS 记录就会禁用 ech
43 天前 回复了 AlphaTauriHonda 创建的主题 › 反馈 › V2EX 不能用 Encrypted ClientHello(ECH) |
@czfy https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录.
这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录.
43 天前 回复了 AlphaTauriHonda 创建的主题 › 反馈 › V2EX 不能用 Encrypted ClientHello(ECH) |
43 天前 回复了 AlphaTauriHonda 创建的主题 › 反馈 › V2EX 不能用 Encrypted ClientHello(ECH) |
感谢, 实测已经可以直连
但是有一个问题, 如果浏览器强制启用 doh 的话, 那么就意味着所有网站都要走 doh, 这样的话国内的网站访问就会变的很慢. 不知道有没有什么方法可以在不使用浏览器 doh 的情况下分流 dns?
但是有一个问题, 如果浏览器强制启用 doh 的话, 那么就意味着所有网站都要走 doh, 这样的话国内的网站访问就会变的很慢. 不知道有没有什么方法可以在不使用浏览器 doh 的情况下分流 dns?
152 天前 回复了 delpo 创建的主题 › 宽带症候群 › 分享一个在 NAT1 下将端口打开到公网上的方法 |
282 天前 回复了 198plus 创建的主题 › 问与答 › sing*box 真麻烦! |
你倒是把配置以及报错信息贴出来啊, 不然怎么给你看
不过 sing-box 的订阅转换是给桌面端用的, 移动端的应该是不能直接用桌面端的 inbound 的
不过 sing-box 的订阅转换是给桌面端用的, 移动端的应该是不能直接用桌面端的 inbound 的
285 天前 回复了 8675bc86 创建的主题 › 宽带症候群 › tproxy 的规则如何理解? |
1. DIVERT 表是为了避免一部分流量二次进入 tproxy, 可以提高一部分性能, 所以删除了也可以正常工作.
具体来说, -m socket 模块将数据包匹配本机已有的 socket. 所以对于路由器设备而言, lan --> wan 的流量属于转发流量, 不存在 socket. 对路由器而言一般只有目的地址属于本机 ip 的流量可以匹配到 socket 模块.
所以, DIVERT 表和 GOST 表大部分情况下是不会冲突的, 转发流量经过的是 GOST 表.
2. TPROXY 模块不是把数据包传递到目标端口, 因为 TPROXY 模块不会修改数据包的目的地址, 而是修改 socket 的目的地址. 同样因为包的目的地址没有改变, 所以需要使用策略路由将包重新路由到本机.
3. prerouting 在路由决策之前. 所以顺序应该是 312
具体来说, -m socket 模块将数据包匹配本机已有的 socket. 所以对于路由器设备而言, lan --> wan 的流量属于转发流量, 不存在 socket. 对路由器而言一般只有目的地址属于本机 ip 的流量可以匹配到 socket 模块.
所以, DIVERT 表和 GOST 表大部分情况下是不会冲突的, 转发流量经过的是 GOST 表.
2. TPROXY 模块不是把数据包传递到目标端口, 因为 TPROXY 模块不会修改数据包的目的地址, 而是修改 socket 的目的地址. 同样因为包的目的地址没有改变, 所以需要使用策略路由将包重新路由到本机.
3. prerouting 在路由决策之前. 所以顺序应该是 312
google message 不支持国内 sim 卡开 rcs 的
Select Language