首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
JustBeFree
V2EX  ›  DNS

目前在 Chrome 安全 DNS 中选择 Cloudflare 作为 DNS 提供商所遇到的一些问题

  •   
  •   JustBeFree · 12 天前 · 1443 次点击

    目前的情况

    除国内的网站加载较为缓慢之外,其余那些封锁措施较为轻微的网站可以直接访问
    例如:V2EX Discord E-Hentai ExHentai

    封锁措施较为严格的网站会直接显示:ERR_CONNECTION_RESET
    例如:Pixiv

    预期之外的情况

    部分正常网站开始无法访问
    例如:Github以及Steam
    均显示ERR_CONNECTION_TIMED_OUT
    此时在 Chrome 设置中关闭使用安全 DNS 则恢复正常,以上两个网站可以正常加载访问.

    预期目标

    能够以牺牲一部分访问和加载速度为前提,换取更高的访问能力

    问题来了:该如何对以上问题进行排查和解决?
    希望获得解答

    另外

    测试以上内容时,网关和客户端均无任何代理设置,且在 Windows 网络适配器中关闭 ipv6 协议仍能得到以上结果

  • Cloudflare
  • DNS
  • ERR_CONNECTION_RESET
    16 条回复    2025-09-26 02:16:43 +08:00
    tes286
        2
    tes286  
       12 天前
    https://www.cloudflare.com/zh-cn/learning/ssl/what-is-encrypted-sni/

    大概是 esni 发力了。esni 需要 https 类型 dns 记录,国内的 local-dns 大概会过滤掉。只是 sni 阻断的网站当然就能联通了。

    不过这个方法不太稳定,也支持有限(目前仅观察到 cloudflare 大量部署了 esni ,也就是只能连到 cloudflare 上的网站,并且网站所有者没关掉这个功能),且需客户端支持。

    观察 https://<domain>/cdn-cgi/trace 中的 sni 字段,一般是 sni=plaintext 或者 sni=encrypted ,分别对应 esni 是否启用。
    JustBeFree
        3
    JustBeFree  
    OP
       12 天前
    @Lentin
    @tes286 可能是我没表达清楚,其实我的问题是开了那个安全 dns 后没法访问 github 和 steam,这就让我很奇怪,能够访问那些网站我知道是 esni 在起作用
    Lentin
        4
    Lentin  
       12 天前 via iPhone
    @JustBeFree 因为 github 被单独写了 ip 策略 esni 起不到作用,gfw 没有全量覆盖 cloudflare 的 cdn ip 地址,x.com 同理也是被针对 ip 封锁
    JustBeFree
        5
    JustBeFree  
    OP
       12 天前 via iPhone
    @Lentin 这个结论有任何依据吗?Github 和 Steam 在使用 cloudflare 的 DOH 之前能够访问,使用之后反而不能访问了,GFW 没有任何理由去阻断能够正常访问的网站的 CDN ip 地址吧.
    Lentin
        6
    Lentin  
       12 天前 via iPhone
    @JustBeFree 看看 doh 获取的 ip 是多少?手动 curl 构建请求看看查了一下 github 没有启用 ech 。esni 是废案了
    JustBeFree
        7
    JustBeFree  
    OP
       12 天前
    @Lentin wireshark 抓包看了,ip 是 cloudflare 数据中心的广播 ip,v4 和 v6 都是,都是可以连通的,但现在 steam 又可以访问了,github 依然无法访问.非常奇怪.而且刚刚看了一下 https://e-hentai.org/cdn-cgi/trace,能够访问应该靠的是 http3,sni 那里是 plaintext,说明 ech 没有成功启用.
    bollld607
        8
    bollld607  
       11 天前 via Android
    Github 和 Steam 的访问异常是 GFW 的间歇性干扰,是针对 IP 的,你用哪款 DNS 都没用,参见:
    https://v2ex.com/t/758568
    https://v2ex.com/t/824179
    JustBeFree
        9
    JustBeFree  
    OP
       11 天前
    @bollld607 参考我提供的内容,关掉安全 DNS 立马可以正常访问且速度相当快,这与间歇性干扰的特征不符合.
    taikobo
        10
    taikobo  
       11 天前 via Android
    这个逻辑推理一下就行了

    不使用 doh 时,返回的 IP 没有被墙
    使用 doh 返回的 IP 被墙了呗

    墙的具体原理不清楚,大概方法不就那几种,dns 污染,ip 封锁,端口封锁,特定条件 tcp rst 之类的
    taikobo
        11
    taikobo  
       11 天前 via Android
    另外你的路由器如果有 cache ,但是不 cache type65 只 cache A 和 AAAA 记录的话,会导致首次访问使用 ech 后续访问不使用 ech
    taikobo
        12
    taikobo  
       11 天前 via Android
    Dnsmasq 2.88 还是 2.86 之后可以用 --cache-rr option 来制定 cache 类型
    JustBeFree
        13
    JustBeFree  
    OP
       10 天前
    @taikobo 并不是,用 nslookup 查询后发现就是超时了,昨天晚上测试的时候 steam 和 github 都能随机成功加载了,但是仍然会有很大概率超时.
    另外我的路由器也只是一个具有简单功能的路由器,ech 经过测试每次都是能正常触发启用的
    taikobo
        14
    taikobo  
       10 天前 via Android
    你是说 doh 超时?那这个和你主楼的描述完全不一致

    你主楼说的是别的网站正常访问,就特定网站不稳定或者访问不了

    要是 doh 超时应该是所有网站都不稳定,原因就是 doh 本身被阻断了,或者 doh 自身域名 dns 被污染
    taikobo
        15
    taikobo  
       10 天前 via Android   ❤️ 1
    不走代理直连是投机行为,不保证可用,浪费时间折腾自己,劝你别折腾了。。。
    383394544
        16
    383394544  
       9 天前 via iPhone
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1977 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:05 · PVG 18:05 · LAX 03:05 · JFK 06:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.