☑

穿墙帮助文档_域名被墙解决方案_让被墙域名, 再次可访问!

官网：http://gfwvip.com 客服：https://t.me/GfwVipBOT Telegram群: https://t.me/HostCLi

快捷导览，移动端见左上角↖️，PC端全屏见右侧菜单-->
​中文版  |  English version.
​
如何检查/判断域名状态？见下述链接：
1⃣
域名被墙检测/移动墙/污染
3⃣
假墙攻击方法大全及解决方案
​
一、GfwVip 是什么？
​http://gfwvip.com 免费穿墙！让被墙域名, 再次可访问！
免费版穿墙业务为公益性技术实践项目，所有的成本由GfwVip承担，并由 http://www.NextCLi.com 提供服务器等资源、技术支持！买香港/美国 CN2服务器、VPS、跳板机，就上 http://www.NextCLi.com 👍
实现原理
被墙的域名 a.com cname到我们服务器，我们会通过技术手段穿越GFW的封锁帮您把老用户跳转去您的新域名  b.com
需要在后台配置原域名a.com 和要跳转到的目标域名b.com
二、被墙/被污染域名如何使用GfwVip的穿墙服务？
1、修改域名解析到GfwVip，登陆 域名注册商 网站，将域名的 CNAME 主机记录 指向后台分配的最新域名；
概括说明：
1、被墙域名 a.com 在DNS解析处选择使用【CNAME解析】，解析到GfwVuo后台分配给您的CNAME域名，如：v1.gfwvip.net；
2、要跳转去的域名（没有被墙）的 b.com ，正常解析到您的服务器；
即可实现国内打开 a.com ，使用我们的服务，跳转去 b.com，实现过墙的能力！
​
​
主要是用的域名/二级域名，如：www、@、甚至通配符 * 星号，3个二级域名全部使用CNAME到后台分配的最新域名；
因域名商、DNS服务商不同，建议将原站点域名添加至少3个二级域名，如下：
1.*星号通配符，示例：*.a.com
2.@根域名，示例：@a.com
3.www主站，示例：www.a.com
如果您使用其他二级域名，请将二级域名单独添加CNAME，如：vip.a.com CNAME 到 v1.gfwvip.net
单条记录支持通配符 *.a.com 即止需要创建1条记录即可支持原域名的所有二级域名；
⚠️注意⚠️：
DNS平台可能需要添加 * 和 @ 两条记录的CNAME，因为很多域名解析商不支持为 @ 设置 CNAME
大多数国外域名解析商可能不支持 根域名@设置CNAME（其他二级域名 如: www 不受影响），如：CloudFlare会使用CNAME拉平，将原根域名直接解析到目标域名的IP(即GfwVip的IP)，虽然暂时没有影响，但是后续运营过程中，如果GfwVip更换IP，将导致CloudFlare记录的IP不是线上最新而无法提供服务；
未经测试的建议：可能定期在CloudFlare删除、添加Cname解析，或在穿墙无效时，重新添加根域名的Cname，也能再次解析到GfwVip的最新IP ?
条件允许的，建议使用国产DNS解析服务：国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器，如：腾讯云DNSPOD、阿里云，云平台实名账号出售>>​
具体设置教程如下：
DNSPOD
Aliyun
DNS.com
CloudFlare
NameSilo
Godaddy
DNSPOD修改解析示例
登陆腾讯云/DNSPOD.COM -> 选择域名 -> 添加记录
分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
注：记录值 v1.gfwvip.net 为示例，可能随时变更，具体请以后台分配的最新记录值为准；
域名设置 -> CNAME加速 -> 关闭；不建议开启；
如果开启此项，DNSPOD将会把域名解析到v1.gfwvip.net对应的IP并缓存一定时间(未知时长)，但GfwVip会根据国内网络变化随时调整服务器策略和线路，可能导致Dnspod记录的IP无法正常提供服务。
阿里云DNS修改示例
登陆- > 云解析DNS -> 选择域名 -> 添加记录
分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
注：记录值 v1.gfwvip.net 为示例，可能随时变更，具体请以后台分配的最新记录值为准；
DNS 修改解析示例
登陆-> DNS解析 -> 域名列表 -> 选择域名 -> 添加记录
MX权重 可不填，或按提示设置为最大值即可。
分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
注：记录值 v1.gfwvip.net 为示例，可能随时变更，具体请以后台分配的最新记录值为准；
Cloudflare修改解析示例
登陆 -> 选择域名 -> DNS -> 添加记录，见下图：
1.选择需要修改跳转的域名
2.删除之前所有解析记录
3.选择+添加记录
4.选择CNAME类型
5.名称：*
6.记录值：v1.gfwvip.net
7.分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
8.记录值 v1.gfwvip.net 为示例，可能随时变更，请以GfwVip后台分配的最新记录值为准；
CloudFlare会使用CNAME拉平，这将导致后续GfwVip弃用旧服务器IP时，根域名 @ 依然在使用缓存到CF中的旧的GfwVip IP，可能无法正常提供服务；
www 和 * 不受 CNAME拉平影响；
建议定期删除根域名解析重新添加cname，或转用国内DNS服务商（国内DNS有助于提高连通率、恢复部分地区的域名污染）
注：
最好更换到国内DNS解析服务 如：dns.com dns盾 阿里云、腾讯云、京东云、华为云等云服务厂商提供的DNS解析服务。
Namesilo修改解析示例
登陆 -> 进入域名列表 -> 选择/点击域名 -> DNS Records Update -> 选择CNAME，见下图：
使用* 星号，可以将所有二级域名解析到最新服务器
分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
记录值 v1.gfwvip.net 为示例，可能随时变更，具体请以后台分配的最新记录值为准；
注意：
使用 * 星号时，需要删除其他记录，或者将其他所有记录删除后全部添加为 CNAME 方式，并且 解析到最新的域名服务器；
建议添加 *  @ www 三个HostName CNAME，但NameSilo不支持根域名 @ CNAME，最好更换到国内DNS解析服务 如：dns.com dns盾 阿里云、腾讯云、京东云、华为云等云服务厂商提供的DNS解析服务。
Godaddy修改解析示例
登陆 -> 打开域名 -> 管理DNS -> 添加，见下图 -> 保存
分别添加三条CNAME记录，www  通配符 *  和 根域名@  ，到 v1.gfwvip.net
注：记录值 v1.gfwvip.net 为示例，可能随时变更，具体请以后台分配的最新记录值为准；
更多帮助：https://sg.godaddy.com/zh/help/create-a-subdomain-4080​
2、 GfwVip后台添加域名记录，登陆 https://admin.gfwvip.com 
原域名：是指被墙的域名
新域名：是指自己网站上绑定的没有被墙的域名，便于被墙域名的用户能够跳转到没被墙的域名上正常访问新域名。
⚠️注意⚠️：
已添加的域名，可以随时修改原域名和新域名，[续费时间]选择“不变更”，就不会额外扣费；
修改时候选择[续费时间]，则在提交时会按照对应金额计费；
添加单个域名
批量添加域名
添加域名：可以多次点击添加，即可同时添加多个域名；
注：原域名不要带 http:// 或 https:// ，跳转域名落地页必须带http:// 或 https://
案例说明：
① 根域名跳转，本设置仅对 a.com 生效，其他的比如 cn.a.com  www.a.com 无法跳转；
② 主域名跳转，本设置仅对 www.1.com 生效，其他比如 1.com bbs.1.com 无法跳转；
③ 泛域名跳转，支持所有 *.x.com ，如：www.x.com,bbs.x.com,任意字符数字.x.com，但可能根域名无法跳转，建议再单独添加根域名的跳转记录，并单独为跟域名添加cname;
大多数国外域名解析商可能不支持 根域名@设置CNAME，如：CloudFlare会使用拉平，即记录目标域名的IP，这可能导致IP不是线上最新而无法提供服务；国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器，如：腾讯云DNSPOD、阿里云，云平台实名账号出售>>​
完成上述步骤，已支持 http:// 但并未支持 https:// 也过墙：
因移动端众多浏览器、chrome内核产品、app内的网页 可能会自动优先/强制访问 https:// 的网址(包括cloudflare也会默认建议开启SSL)，所以大多数网站 https:// 访问量远高于 http:// ，建议添加 SSL证书，让 https:// 访问也可以过墙；
如果原被墙域名没开https SSL，则无需填写原Certificate、PrviatKey证书；
如不填写https SSL证书，可能损失50% 到 90%的原域名https访问量，即添加https后可挽回1倍到8倍以上的流量；
添加域名 保存后，点击右侧的  https证书：
注：
目前仅支持  Let's Encrypt 证书(免费)；
CERTIFICATE部分由两段构成，CloudFlare生成的证书无法在gfwvip后台使用；
证书申请见下文教程。
批量导入域名，请先下载模板demo，再进行修改上传；
目前仅支持Excel  .xslx格式
批量导入域名 —— demo.xslx 模板介绍
案例说明：
分组名称 可按照自己的设置进行修改，支持中文，配置错误或为空时自动配置为 默认分组；
开关状态：启用/禁用 ，默认 启用 跳转；
* 通配符需要域名也使用 * CNAME到最新的记录值域名；
不同DNS解析商对 @根域名的CNAME支持程度不同，可能导致根域名无法CNAME；
原域名不要带 http:// 或 https:// ，跳转域名落地页必须带 http:// 或 https:// ；
如不需要支持 https 可以将E列, F列留空即可；如需支持 https:// ，请参见下文教程；
Eexcel无法粘贴证书内容怎么办？
Excel会把 ---- 减号开头的内容 识别为计算公式，所以无法直接粘贴证书内容到表格中，需要使用编辑器打开证书文件，在开头和结尾处添加 英文分号 " ，再全选 -> 复制 -> 粘贴到Excel即可，所有证书内容必须在一个表格内，如截图示例中的 F列/2行。
3、GfwVip生效时间是多久？
完成上述步骤后，在GfwVip后台添加域名，约10分钟生效；GfwVip节点服务器，每 10分钟同步一次；
修改CNAME解析，不同DNS解析服务商可能需要 1分钟~48小时内 生效；
4、让被墙域名的HTTPS过墙
免费版不支持https SSL证书配置，请联系客服 @GfwVipBOT 升级为 专业版会员跳转 或 企业版独立服务器。
先参考下文 如何申请证书；
再回到 后台添加域名 在已添加的域名 -> https证书 -> 添加申请的证书正文；
5、如何申请SSL https证书？
理论上支持所有 nginx格式的证书；https穿墙成功率比http要低，建议尽量不要开启SSL https；
说明
宝塔自助申请免费证书
[推荐] KeyManager免费证书
腾讯阿里
CloudFlare
其他
​⚠
证书理论上支持所有Nginx格式证书；
​👍
宝塔免费证书 推荐使用 宝塔纯净版 http://www.hostcli.com ，站长/技术人员自行申请；
为什么要支持https过墙？
 http://gfwvip.com 支持 http://  httpS:// 过墙，详见上文: gfwvip后台添加绑定域名 ；
因移动端众多浏览器、chrome内核产品、app内的网页 可能会自动优先/强制访问 https:// 的网址(包括cloudflare也会默认建议开启SSL)，所以大多数网站 https:// 访问量远高于 http:// ，建议添加 SSL证书，让 https:// 访问也可以过墙；
添加SSL证书后可挽回https流量 30%～90%以上。(https穿墙涉及证书计算，穿墙率略低于http，且部分域名污染，无法正常解析到我方穿墙服务器)
Cloudflare生成的证书，不兼容；建议使用 阿里腾讯云平台、KeyManager 或 宝塔面板 创建站点免费申请免费证书
宝塔面板支持Let's Encrypt免费证书，免费证书有效期3个月，只要不删除站点，宝塔面板>>计划任务 默认会到期自动续期证书；
担心宝塔上报服务器数据的朋友，请使用 宝塔纯净版 https://www.hostcli.com 
申请证书尽量避开高峰时段，尽量使用国外服务器申请；
1、打开宝塔后台 -> 网站 -> 添加网站
网站域名建议直接使用 *.a.com -> 提交 创建站点
a.com为你的域名，其他选项默认即可；
​
​
2、在添加的站点 -> 点击右侧 SSL证书 或设置 -> 打开 SSL -> Let's Encrypt -> DNS验证(支持通配符)
按照图中所示选择自己的泛解析的域名 *.a.com
3、回到域名解析商，将宝塔后台分配的 两条 解析域名、记录值 到域名现有的DNS解析新建，并按要求提交。
配置完成后，再回到宝塔页面 -> 点击验证。
验证成功后，宝塔后台会给出证书，一共分左、右 两部分；其中 右侧证书又是两部分组成；
站点保留，不要删除，不会占用资源，但可以便于后续点击续签，让https保持长期有效。
✨推荐
​https://keymanager.org/ 
证书有效期12个月，比Let's Encrypt 3个月的免费证书时间更长；
Windows电脑软件，不需要Windows服务器；建议用Windows系统下载安装，Windows软件功能比Mac版完善的多；
登陆账号后再创建证书、验证DNS、导出Nginx格式，请勿使用测试证书；
服务平台请选择Nginx格式
⚠️ 如无阿里云、腾讯云、华为云账号，请联系客服购买！大额代充值免费送实名账号！
使用各大国内云平台、dnspod ，创建免费证书
下载nginx格式
使用编辑器打开、对应内容全部复制到GfwVip后台
Cloudflare -> SSL/TLS 中生成的证书，无法导入GFWVIP后台；
请使用其他方案创建证书；
目前只支持nginx格式证书
各种SSL申请方法请自行Google搜索
​
6、什么是移动墙？移动墙的原因和动机>>​
6.1、被中国移动墙的域名怎么处理？
移动墙解决方案：单独将移动线路设置cname到GfwVip的服务器；
有可能其他线路后续也会被墙，可以考虑直接将“默认”所有线路都cname到GfwVip服务器。
6.2、如何按运营商线路单独解析？以中国移动为例设置DNS：
使用国内DNS解析商 或 国外支持中国移动线路的DNS解析服务：
没有国内服务商实名账号的可以 联系客服@GfwVipBOT 购买实名账号；
1、去国内解析商，添加被墙的域名，会分配两条DNS服务器；
2、参考下表教程，为被墙域名添加默认解析到自己的服务器IP，再添加中国移动线路的 CNAME到GfwVip的穿墙域名服务器；
3、域名注册商那边修改被墙域名的DNS为国内阿里 腾讯等分配给你的DNS；
腾讯云DnsPod
阿里云域名解析
DnsPod.com国际版
DNS.com
可以根据自己需求设置不同地区、线路解析到不同地址
默认解析到自己服务器IP，移动或其他线路，单独添加解析到GfwVip服务器即可
只支持按照国家区分，可以单独设置中国解析，但不支持细分国内运营商线路。
默认解析到自己服务器IP，移动或其他线路，单独添加解析到GfwVip服务器即可
推荐使用 如：腾讯云DNSPOD、阿里云（云平台实名账号出售>>） 解析，地区划分较细；
国外域名注册商、解析商不具备针对中国大陆地区分运营商解析的能力。
⚠️注意：如果设置后还是没有穿墙，请等待GfwVip后台10分钟生效，以及等待DNS解析生效、清理浏览器缓存 或换用游客浏览器进行测试。或发域名给客服协助排查 @GfwVIpBOT 
7、域名还要继续做站，国外正常解析，只让国内穿墙可以吗？
可以，域名默认解析到自己的服务器IP，中国地区/线路单独cname到GfwVip的穿墙服务器即可，具体设置参考上一步的截图；
8、污染的域名怎么恢复？
视污染程度不同，可恢复程度不同；
请先将域名使用国内DNS服务商、云服务器厂商等，腾讯云DNSPOD、阿里云（云平台实名账号出售>>）、DNS.COM、dns盾、京东云、华为云 等提供的DNS解析服务，不具备条件的，请更换几家国外其他家域名解析[重点是变更解析]..
使用国内DNS, 再使用GfwVip的服务，会在之后3小时～1天陆续恢复10%～60%以上的国内节点。
三、更多帮助>>
创建证书的宝塔服务器关停/删除，怎么恢复证书？
SSL证书可以在宝塔随时申请，重新按照上述步骤操作一遍即可。
如何确认域名是否成功跳转成功？
使用本机 游客模式 的浏览器访问你的 原域名，多刷新几次页面即可；
使用 ping.cn  boce.com  选择 网站测速 ，进行检测，返回200，或者任意非 * 非000状态，则表明全国节点均已基本可访问该域名；
解析IP为 *  星符号，说明DNS还未曾生效，如后续评测还是如此，说明可能域名已被大面积污染；
状态 000 ，说明服务器未返回状态，可能是 网络波动，或域名被墙；
为什么跳转后显示未注册？
1、a.com域名已经Cname到GfwVip最新服务器，并且实现了跳转，但没有在管理后台 admin.GfwVip.com 创建域名跳转，所以系统不知道a.com要跳转去哪里；
2、刚在后台创建跳转，需要等待10分钟左右，等待多服务器同步跳转状态之后即可正常跳转。
为什么域名无法跳转？
可能是DNS解析未生效，或本地缓存；
建议等待10分钟以上，再换另一部计算机/移动设备的不同浏览器/清除缓存后再进行测试；
使用 https://www.boce.com/http/ 输入域名进行测试；
需要分别对 http://a.com 和 https://a.com  进行测试，确定是哪个有问题；
为什么https无法跳转？
1.如果 原域名 http://a.com 可以跳转，而 https://a.com 不行，可能是证书配置有问题，请检查证书配置，参考：让被墙域名的HTTPS过墙。
2.使用 https://www.boce.com/http/  分别输入原域名的 http://  https:// 进行测试，如果http也不通，则说明是DNS解析还未生效，或DNS解析错误。
3.解析正常，但实际打开网站http跳转到https，无法打开网页(使用chrome浏览器按F12 -> network查看通信链接)。
1.命令行里查询：nslookup a.com (你的原域名)
    显示 CNAME到了 v1.gfwvip.net 这说明解析正常
2.但实际在浏览器中打开网站，http跳转到https并且无法打开网页，可能是域名解析环节设置了强制使用https，请在DNS服务商处清除 强制使用https 的相关设置。（如CloudFlare的SSL和页面规则，需要关闭强制https）
3.如果开启了HSTS，请关闭；
为什么根域名无法跳转？
大多数国外域名解析商可能不支持 根域名@设置CNAME，如：
Namesilo不支持跟域名@ 设置CNAME；
CloudFlare会使用CNAME拉平，将原根域名直接解析到 v1.gfwvip.net 的IP，这可能导致IP不是线上最新而无法提供服务；如只想使用CF，请定期删除域名解析，再添加，即可获取GfwVip的最新IP.
国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器，如腾讯云DNSPOD、阿里云（云平台实名账号出售>>） 腾讯云DNSPOD、阿里云、DNS.COM 等..
如何确认域名被墙？被污染？
检查网站是够被墙：使用 https://www.boce.com/wall/pornhub.com 等平台进行查询确认；
检查网站是否被污染：使用 https://www.boce.com/pollute/pornhub.com 等平台进行查询确认。
其他方法：
打开   https://www.boce.com/  或 https://www.ping.cn/ 
使用 网站测速 选项；
域名被污染 的表现：
如果发现网站 IP后面的状态、时间等 大多数或者超过一半的解析IP网络节点 都是 * 或者 127.0.0.1 基本确认被污染；
域名被墙 的表现：
网站 IP可以显示，但后面的状态、时间等 超过一半或者接近全部的网络节点 都是 * ，说明域名可能被污染或被墙；
被墙、被污染的程度不同，表现也不同，可对比检测几个知名网站即可看出结果。
Ping的通不代表网站可以打开，也不代表网站没被墙、未被污染。
部分运营商网络异常的表现：
按照 状态 排序，大多不通的节点都是 xx地区电信、移动、联通，则说明可能该运营商线路异常；
其他说明：
使用 网站测速，只要不是 000 或者无IP、或者 * 星号，就说明域名和服务器没有问题，因为其他不同的状态码均为服务器返回；
（包括常见的200、301、302、404、502、5xx、6xx等状态，均属于服务器返回，或服务器异常导致的错误）。
​
​怎么判断是否被真墙或假墙攻击？>>​
我们尝试了很多方案，并对系统进行了各种修改，经过几个月的大量实践发现，有一些方法方案可以抵御假墙攻击，但并没有一个真正可以完全抵御的方案；
因为被攻击的网站除了被假墙攻击，还可能夹带DDOS、CC攻击；即便是使用国内服务器 如：腾讯云DNSPOD、阿里云（云平台实名账号出售>>），一样可能会被DDOS、CC打到断网24小时，需要购买其上万元甚至更贵的防御。
如果你的网站频繁出现 甚至 长时间的无法访问，自查发现 域名解析正常、WEB服务正常、国外访问正常(国外HTTP测速)、域名没有被墙、也没有被污染，但是服务器的80端口无法访问，那么基本上是受到了GFW真墙屏蔽 或 假墙攻击。
检测网址：检查国内访问情况以及域名是否被墙、被劫持，DNS是否被污染。
​https://www.boce.com  网站测速(HTTP测速) 
 状态 一列  非000状态 均为正常；
如果使用CloudFlare、CDN等多IP业务，出现个别IP全国都不通(不是所有IP被墙)，则可能是共用该IP的其他域名受到了假墙攻击导致共用IP被墙，并非本站受到攻击。
* 表示 域名未解析 或 服务器IP无响应；
127.0.0.1  或 其他非自己服务器IP的境内IP 表示该地区该运营商劫持了该域名，需要找运营商申诉，或放弃该域名不再续费使用；
如果 大多地区无法解析 或 解析到 FaceBook Google Twitter等国外IP，则为污染，基本无解，需要走监管部门会议流程申请、审批；
​https://www.dnspod.cn/tech/  80 443 端口检查
​https://www.17ce.com/  有 下载异常 和 * 即无法正常访问网站；
​
四、赞助商：
​GfwVip.com 官网： http://GfwVip.com​
GfwVip人工客服 ：@GfwVipBOT​
GfwVIp Telegram群：@HostCLi​
​HostCLi.com 宝塔纯净版 服务器管理面板：http://www.hostcli.com 
​
End.
​
​
​