V2EX 不能用 Encrypted ClientHello(ECH)

@52acca #19 dns 支持解析 https 类型的记录就可以 dig https +short www.v2ex.com

@AlphaTauriHonda
@52acca
我测了一下, 好像 firefox 必须开 doh 才能有 ech, 但是 edge 可以用默认 dns

开启代理后，h3 和 ech 会停用。直连+doh 才能启用 h3 和 ech
@Dk2014
@a33291

@superkkk #23 [DOH]和[SOCKS5 远程解析域名]相冲突,关掉域名远程解析

@superkkk 透明代理+cf 的 dns 确定有 ech ，但我 block 了 udp 443 端口，所以是 h2

cloudflare-ech.com 要设置为直连才能开启 ech 。不知道如何设置能实现走代理的情况下开启 ech

才打开？我上午测试的时候就能打开了

要有无污染 DNS ，Chrome flags 开启 ECH

不过 /cdn-cgi/trace 里面只有用 1.1.1.1 的 doh 才会显示 encrypted ，其他会显示 plaintext ，但是总之能打开

@AlphaTauriHonda @superkkk 小米手机 chrome 浏览器实测开 vpn 可以 ech 没问题

我这里显示 sni=encrypted

我现在已经可以直连 V2EX 了

浏览器不需要开 doh ，只要上游路由器用 cloudflare 的 doh 就可以，客户端用 udp 请求 dns 也可以显示 encrypted

做了个小实验，应该只要是没被污染的 dns 都可以 encrypted ，尝试了 google 和 cf 的 doh ，还有 udp 53 查询 8.8.8.8 和 1.1.1.1

https://imgur.com/dmmjgXa
https://imgur.com/nrGhA7H
https://imgur.com/bhqhHLR

很奇怪，在开启 1.1.1.1 的 doh 后，v2ex 就可以直连了，但是 sni 并没有加密

@AKMYAN 你走的是 http3(quic)，墙暂时不支持拦截 quic

@delpo firefox 开 doh 才能开 ech ，似乎是开发者设计的
https://groups.google.com/a/mozilla.org/g/dev-platform/c/uv7PNrHUagA/m/BNA4G8fOAAAJ?pli=1

是不是 sni=encrypted 就是通过 ECH 连接的？

@czfy https://bugzilla.mozilla.org/show_bug.cgi?id=1500289
这个问题应该已经解决了, 我刷了几次, 发现不启用 doh 的时候也有 sni=encrypted 标志. 但是神奇的是多刷新几次就有可能会出现 plaintext, 我估计是 dns 请求的问题, 因为国内公共 dns 似乎都屏蔽了 HTTPS 记录.

@delpo 太诡异了，前几天我回帖子的时候我 firefox ECH 还是正常的，今天看 ECH 就不生效了，都不知道发生了什么事

@czfy 我这里 ff 还是正常可用的, 有问题的话很大可能是 dns 问题, 获取不到 HTTPS 记录就会禁用 ech

坐标白名单地区，SNI 头 cloudflare-ech.com 不在白名单里，所以用了无污染 DOH 之后还是打不开 ECH 后的域名，之后大面积推广了之后，GFW 只要把这个 SNI 一墙，那就没得玩了