Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

ECH: client support TLS Encrypted Client Hello #3813

Open
wants to merge 7 commits into
base: main
Choose a base branch
from
Open

ECH: client support TLS Encrypted Client Hello #3813

wants to merge 7 commits into from
+219 −25

Conversation

Fangliding
Copy link
Member

@Fangliding Fangliding commented Sep 15, 2024
edited
Loading

仅客户端
才发现go1.23官方已经支持了 之前写过的那堆复杂替换也不需要了 就正常写入就行了 ws和splithttp预计都能使用cloudflare的ECH
目前是写死的 稍后可以考虑从DNS中获取 已经测试可以和singbox与cloudflare建立ECH连接
写法

{
    "protocol": "trojan",
    "settings": {
        "servers": [
            {
                "address": "xxx",
                "port": 8080,
                "password": "password"
            }
        ]
    },
    "streamSettings": {
        "network": "tcp",
        "security": "tls",
        "tlsSettings": {
            "serverName": "xxx",
            "echConfig": "AFj+DQBUAAAgACAJSBrX4ZNnpgYFsaF+sUabAbsO+y2Bs61D6nmHEw7dRgAkAAEAAQABAAIAAQADAAIAAQACAAIAAgADAAMAAQADAAIAAwADAAV4LmNvbQAA",
            "echDohServer": "https://1.1.1.1/dns-query",
            "alpn": [
                "h2",
                "http/1.1"
            ]
        }
    },
    "tag": "proxy"
}

@Fangliding
Copy link
Member Author

有一个最大的问题是utls是go121的似乎 现在还不支持 遥遥落后了

@RPRX
Copy link
Member

RPRX commented Sep 15, 2024

有一个最大的问题是utls是go121的似乎 现在还不支持 遥遥落后了

Win7 编译也需要 go121,所以等 2025 再加这个吧,至少得 utls 支持,而且感觉无法通过本地 dns 拿到 echConfig 的话有点鸡肋

最大的问题还是 GFW 又会严控 DNS 了

@Fangliding
Copy link
Member Author

有一个最大的问题是utls是go121的似乎 现在还不支持 遥遥落后了

Win7 编译也需要 go121,所以等 2025 再加这个吧,至少得 utls 支持,而且感觉无法通过本地 dns 拿到 echConfig 的话有点鸡肋

这点我考虑过了 稍后可以加build tag绕过低版本go 就像隔壁一样

至于utls 等它支持了 核心改两行代码就能跟上了 目前这个实验性功能应该没有什么坏处

最大的问题还是 GFW 又会严控 DNS 了

在配置里加一个可选的doh服务器用于获取解析? 或者尝试写死 观察一段时间 不知道CF这个ECH config是不是轮动的 如果不是的话写死也能接受

@RPRX
Copy link
Member

RPRX commented Sep 15, 2024

先写一下通过 dns 获取 echConfig,然后等 utls 支持了再合这个 pr 吧,其实仅用 utls 的话可能 Win7 也能用?

@Fangliding
Copy link
Member Author

先写一下通过 dns 获取 echConfig,然后等 utls 支持了再合这个 pr 吧,其实仅用 utls 的话可能 Win7 也能用?

有一个小问题是内置DNS服务器只能处理A和AAAA 这个要再加就得外置
utls更新不知道猴年马月了 他们撮了个李鬼ech 这估计还得修改一部分才能兼容 而且开发好像没那么活跃 上次commit两个月前 这边合着测试一下大概问题不大?

@Fangliding
Copy link
Member Author

好了 现在支持 "echDohServer": "https://1.1.1.1/dns-query" 这样的方法代替echConfig了 设置了600秒TTL缓存 要求设置 serverName(不然去查谁呢)

@Fangliding
Copy link
Member Author

好了已经通过测试 websocket可以设置doh sever然后通过ECH连接到cloudflare
splithttp和grpc大概也是可以的

@yuhan6665
Copy link
Member

看了一下非常棒!建议及早合并

@yuhan6665 yuhan6665 changed the title 尝试支持 TLS Encrypted Client Hello ECH: client support TLS Encrypted Client Hello Sep 16, 2024
@Fangliding Fangliding mentioned this pull request Sep 17, 2024
Merged
@Fangliding Fangliding mentioned this pull request Sep 25, 2024
Open
@dyhkwong
Copy link
Contributor

dyhkwong commented Sep 26, 2024
edited
Loading

既然这个在 v2fly 和这里都开了并且不是 draft、没有进一步行动,那么:

  • mutex 用错
  • ServerName 用错,为什么不用 *tls.Config 的?(e.g. sni 不填,服务器地址是域名)
  • proto 里的 ech_config 类型可以为 bytes
  • 根据 RFC,DoH 的 message id “应该”为 0
  • 能用正常方法读取的为什么要用正则表达式去读取?
for _, answer := range msg.Answer {
	if https, ok := answer.(*dns.HTTPS); ok && https.Hdr.Name == dns.Fqdn(domain) {
		for _, v := range https.Value {
			if echConfig, ok := v.(*dns.SVCBECHConfig); ok {
				return echConfig.ECH, answer.Header().Ttl, nil
			}
		}
	}
}
  • 完全没有 context 管理

建议重写或转 draft

@Fangliding
Copy link
Member Author

@dyhkwong 感谢指正 有的问题我也知道不过没打算合我也没动了 等会改一下

不过有必要ctx吗 log里用Background的原因是GetTLSConfig这个函数就没有ctx 至于内部管理 我想这么简单大概没有必要?

@RPRX
Copy link
Member

RPRX commented Oct 2, 2024

隔壁咋已经合了,就是说现在没 uTLS 支持不会觉得很鸡肋吗,等待 uTLS 更新

@decorativefamily decorativefamily mentioned this pull request Oct 21, 2024
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
4 participants
@Fangliding @RPRX @yuhan6665 @dyhkwong