☑️穿墙帮助文档_域名被墙解决方案_让被墙域名, 再次可访问!
官网:http://gfwvip.com 客服:https://t.me/GfwVipBOT Telegram群: https://tg.HostCLi.com
宝塔站长群: https://tg.HostCLi.com
快捷导览,移动端见左上角↖️,PC端全屏见右侧菜单-->
如何检查/判断域名状态?见下述链接:
一、GfwVip 是什么?
http://gfwvip.com 免费穿墙!让被墙域名, 再次可访问!
免费版穿墙业务为公益性技术实践项目,所有的成本由GfwVip承担,并由 http://www.NextCLi.com 提供服务器等资源、技术支持!买香港/美国 CN2服务器、VPS、跳板机,就上 http://www.NextCLi.com 👍
实现原理
被墙的域名 a.com cname到我们服务器,我们会通过技术手段穿越GFW的封锁帮您把老用户跳转去您的新域名 b.com
需要在后台配置原域名a.com 和要跳转到的目标域名b.com
二、被墙/被污染域名如何使用GfwVip的穿墙服务?
1、修改域名解析到GfwVip,登陆 域名注册商 网站,将域名的 CNAME 主机记录 指向后台分配的最新域名;
概括说明:
1、被墙域名 a.com 在DNS解析处选择使用【CNAME解析】,解析到GfwVuo后台分配给您的CNAME域名,如:v1.gfwvip.net;
2、要跳转去的域名(没有被墙)的 b.com ,正常解析到您的服务器;
即可实现国内打开 a.com ,使用我们的服务,跳转去 b.com,实现过墙的能力!
主要是用的域名/二级域名,如:www、@、甚至通配符 * 星号,3个二级域名全部使用CNAME到后台分配的最新域名;
因域名商、DNS服务商不同,建议将原站点域名添加至少3个二级域名,如下:
*星号通配符,示例:*.a.com
@根域名,示例:@a.com
www主站,示例:www.a.com
如果您使用其他二级域名,请将二级域名单独添加CNAME,如:vip.a.com CNAME 到 v1.gfwvip.net
单条记录支持通配符 *.a.com 即止需要创建1条记录即可支持原域名的所有二级域名;
⚠️注意⚠️:
DNS平台可能需要添加 * 和 @ 两条记录的CNAME,因为很多域名解析商不支持为 @ 设置 CNAME
大多数国外域名解析商可能不支持 根域名@设置CNAME(其他二级域名 如: www 不受影响),如:CloudFlare会使用CNAME拉平,将原根域名直接解析到目标域名的IP(即GfwVip的IP),虽然暂时没有影响,但是后续运营过程中,如果GfwVip更换IP,将导致CloudFlare记录的IP不是线上最新而无法提供服务;
未经测试的建议:可能定期在CloudFlare删除、添加Cname解析,或在穿墙无效时,重新添加根域名的Cname,也能再次解析到GfwVip的最新IP ?
条件允许的,建议使用国产DNS解析服务:国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器,如:腾讯云DNSPOD、阿里云,云平台实名账号出售>>
具体设置教程如下:
DNSPOD修改解析示例
登陆腾讯云/DNSPOD.COM -> 选择域名 -> 添加记录
分别添加三条CNAME记录,www 通配符 * 和 根域名@ ,到 v1.gfwvip.net
注:记录值 v1.gfwvip.net 为示例,可能随时变更,具体请以后台分配的最新记录值为准;
域名设置 -> CNAME加速 -> 关闭;不建议开启;
如果开启此项,DNSPOD将会把域名解析到v1.gfwvip.net对应的IP并缓存一定时间(未知时长),但GfwVip会根据国内网络变化随时调整服务器策略和线路,可能导致Dnspod记录的IP无法正常提供服务。
2、 GfwVip后台添加域名记录,登陆 https://admin.gfwvip.com
原域名:是指被墙的域名
新域名:是指自己网站上绑定的没有被墙的域名,便于被墙域名的用户能够跳转到没被墙的域名上正常访问新域名。
⚠️注意⚠️:
已添加的域名,可以随时修改原域名和新域名,[续费时间]选择“不变更”,就不会额外扣费;
修改时候选择[续费时间],则在提交时会按照对应金额计费;
添加域名:可以多次点击添加,即可同时添加多个域名;
注:原域名不要带 http:// 或 https:// ,跳转域名落地页必须带http:// 或 https://
案例说明:
① 根域名跳转,本设置仅对 a.com 生效,其他的比如 cn.a.com www.a.com 无法跳转;
② 主域名跳转,本设置仅对 www.1.com 生效,其他比如 1.com bbs.1.com 无法跳转;
③ 泛域名跳转,支持所有 *.x.com ,如:x.com,www.x.com,bbs.x.com,任意字符数字.x.com,但可能根域名无法跳转,建议再单独添加根域名的跳转记录,并单独为跟域名添加cname;
大多数国外域名解析商可能不支持 根域名@设置CNAME,如:CloudFlare会使用拉平,即记录目标域名的IP,这可能导致IP不是线上最新而无法提供服务;国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器,如:腾讯云DNSPOD、阿里云,云平台实名账号出售>>
完成上述步骤,已支持 http:// 但并未支持 https:// 也过墙:
因移动端众多浏览器、chrome内核产品、app内的网页 可能会自动优先/强制访问 https:// 的网址(包括cloudflare也会默认建议开启SSL),所以大多数网站 https:// 访问量远高于 http:// ,建议添加 SSL证书,让 https:// 访问也可以过墙;
如果原被墙域名没开https SSL,则无需填写原Certificate、PrviatKey证书;
如不填写https SSL证书,可能损失50% 到 90%的原域名https访问量,即添加https后可挽回1倍到8倍以上的流量;
添加域名 保存后,点击右侧的 https证书:
注:
目前仅支持 Let's Encrypt 证书(免费);
CERTIFICATE部分由两段构成,CloudFlare生成的证书无法在gfwvip后台使用;
证书申请见下文教程。
3、GfwVip生效时间是多久?
完成上述步骤后,在GfwVip后台添加域名,约10分钟生效;GfwVip节点服务器,每 10分钟同步一次;
修改CNAME解析,不同DNS解析服务商可能需要 1分钟~48小时内 生效;
4、让被墙域名的HTTPS过墙
免费版不支持https SSL证书配置,请联系客服 @GfwVipBOT 升级为 专业版会员跳转 或 企业版独立服务器。
先参考下文 如何申请证书;
再回到 后台添加域名 在已添加的域名 -> https证书 -> 添加申请的证书正文;
5、如何申请SSL https证书?
理论上支持所有 nginx格式的证书;https穿墙成功率比http要低,建议尽量不要开启SSL https;
为什么要支持https过墙?
http://gfwvip.com 支持 http:// httpS:// 过墙,详见上文: gfwvip后台添加绑定域名 ;
因移动端众多浏览器、chrome内核产品、app内的网页 可能会自动优先/强制访问 https:// 的网址(包括cloudflare也会默认建议开启SSL),所以大多数网站 https:// 访问量远高于 http:// ,建议添加 SSL证书,让 https:// 访问也可以过墙;
添加SSL证书后可挽回https流量 30%~90%以上。(https穿墙涉及证书计算,穿墙率略低于http,且部分域名污染,无法正常解析到我方穿墙服务器)
Cloudflare生成的证书,不兼容;建议使用 阿里腾讯云平台、KeyManager 或 宝塔面板 创建站点免费申请免费证书
6.1、被中国移动墙的域名怎么处理?
移动墙解决方案:单独将移动线路设置cname到GfwVip的服务器;
有可能其他线路后续也会被墙,可以考虑直接将“默认”所有线路都cname到GfwVip服务器。
6.2、如何按运营商线路单独解析?以中国移动为例设置DNS:
使用国内DNS解析商 或 国外支持中国移动线路的DNS解析服务:
没有国内服务商实名账号的可以 联系客服@GfwVipBOT 购买实名账号;
1、去国内解析商,添加被墙的域名,会分配两条DNS服务器;
2、参考下表教程,为被墙域名添加默认解析到自己的服务器IP,再添加中国移动线路的 CNAME到GfwVip的穿墙域名服务器;
3、域名注册商那边修改被墙域名的DNS为国内阿里 腾讯等分配给你的DNS;
推荐使用 如:腾讯云DNSPOD、阿里云(云平台实名账号出售>>) 解析,地区划分较细;
国外域名注册商、解析商不具备针对中国大陆地区分运营商解析的能力。
⚠️注意:如果设置后还是没有穿墙,请等待GfwVip后台10分钟生效,以及等待DNS解析生效、清理浏览器缓存 或换用游客浏览器进行测试。或发域名给客服协助排查 @GfwVIpBOT
7、域名还要继续做站,国外正常解析,只让国内穿墙可以吗?
可以,域名默认解析到自己的服务器IP,中国地区/线路单独cname到GfwVip的穿墙服务器即可,具体设置参考上一步的截图;
8、污染的域名怎么恢复?
视污染程度不同,可恢复程度不同;
请先将域名使用国内DNS服务商、云服务器厂商等,腾讯云DNSPOD、阿里云(云平台实名账号出售>>)、DNS.COM、dns盾、京东云、华为云 等提供的DNS解析服务,不具备条件的,请更换几家国外其他家域名解析[重点是变更解析]..
使用国内DNS, 再使用GfwVip的服务,会在之后3小时~1天陆续恢复10%~60%以上的国内节点。
三、更多帮助>>
创建证书的宝塔服务器关停/删除,怎么恢复证书?
SSL证书可以在宝塔随时申请,重新按照上述步骤操作一遍即可。
如何确认域名是否成功跳转成功?
使用本机 游客模式 的浏览器访问你的 原域名,多刷新几次页面即可;
解析IP为 * 星符号,说明DNS还未曾生效,如后续评测还是如此,说明可能域名已被大面积污染;
状态 000 ,说明服务器未返回状态,可能是 网络波动,或域名被墙;
为什么跳转后显示未注册?
1、a.com域名已经Cname到GfwVip最新服务器,并且实现了跳转,但没有在管理后台 admin.GfwVip.com 创建域名跳转,所以系统不知道a.com要跳转去哪里;
2、刚在后台创建跳转,需要等待10分钟左右,等待多服务器同步跳转状态之后即可正常跳转。
为什么域名无法跳转?
可能是DNS解析未生效,或本地缓存;
建议等待10分钟以上,再换另一部计算机/移动设备的不同浏览器/清除缓存后再进行测试;
使用 https://www.boce.com/http/ 输入域名进行测试;
需要分别对 http://a.com 和 https://a.com 进行测试,确定是哪个有问题;
为什么https无法跳转?
如果 原域名 http://a.com 可以跳转,而 https://a.com 不行,可能是证书配置有问题,请检查证书配置,参考:让被墙域名的HTTPS过墙。
使用 https://www.boce.com/http/ 分别输入原域名的 http:// https:// 进行测试,如果http也不通,则说明是DNS解析还未生效,或DNS解析错误。
解析正常,但实际打开网站http跳转到https,无法打开网页(使用chrome浏览器按F12 -> network查看通信链接)。
命令行里查询:nslookup a.com (你的原域名)
显示 CNAME到了 v1.gfwvip.net 这说明解析正常
但实际在浏览器中打开网站,http跳转到https并且无法打开网页,可能是域名解析环节设置了强制使用https,请在DNS服务商处清除 强制使用https 的相关设置。(如CloudFlare的SSL和页面规则,需要关闭强制https)
如果开启了HSTS,请关闭;
为什么根域名无法跳转?
大多数国外域名解析商可能不支持 根域名@设置CNAME,如:
Namesilo不支持跟域名@ 设置CNAME;
CloudFlare会使用CNAME拉平,将原根域名直接解析到 v1.gfwvip.net 的IP,这可能导致IP不是线上最新而无法提供服务;如只想使用CF,请定期删除域名解析,再添加,即可获取GfwVip的最新IP.
国产DNS服务商基本都支持@根域名CNAME到GfwVip服务器,如腾讯云DNSPOD、阿里云(云平台实名账号出售>>) 腾讯云DNSPOD、阿里云、DNS.COM 等..
如何确认域名被墙?被污染?
检查网站是够被墙:使用 https://www.boce.com/wall/pornhub.com 等平台进行查询确认;
检查网站是否被污染:使用 https://www.boce.com/pollute/pornhub.com 等平台进行查询确认。
其他方法:
使用 网站测速 选项;
域名被污染 的表现:
如果发现网站 IP后面的状态、时间等 大多数或者超过一半的解析IP网络节点 都是 * 或者 127.0.0.1 基本确认被污染;
域名被墙 的表现:
网站 IP可以显示,但后面的状态、时间等 超过一半或者接近全部的网络节点 都是 * ,说明域名可能被污染或被墙;
被墙、被污染的程度不同,表现也不同,可对比检测几个知名网站即可看出结果。
Ping的通不代表网站可以打开,也不代表网站没被墙、未被污染。
部分运营商网络异常的表现:
按照 状态 排序,大多不通的节点都是 xx地区电信、移动、联通,则说明可能该运营商线路异常;
其他说明:
使用 网站测速,只要不是 000 或者无IP、或者 * 星号,就说明域名和服务器没有问题,因为其他不同的状态码均为服务器返回;
(包括常见的200、301、302、404、502、5xx、6xx等状态,均属于服务器返回,或服务器异常导致的错误)。
我们尝试了很多方案,并对系统进行了各种修改,经过几个月的大量实践发现,有一些方法方案可以抵御假墙攻击,但并没有一个真正可以完全抵御的方案;
因为被攻击的网站除了被假墙攻击,还可能夹带DDOS、CC攻击;即便是使用国内服务器 如:腾讯云DNSPOD、阿里云(云平台实名账号出售>>),一样可能会被DDOS、CC打到断网24小时,需要购买其上万元甚至更贵的防御。
如果你的网站频繁出现 甚至 长时间的无法访问,自查发现 域名解析正常、WEB服务正常、国外访问正常(国外HTTP测速)、域名没有被墙、也没有被污染,但是服务器的80端口无法访问,那么基本上是受到了GFW真墙屏蔽 或 假墙攻击。
检测网址:检查国内访问情况以及域名是否被墙、被劫持,DNS是否被污染。
https://www.boce.com 网站测速(HTTP测速)
状态 一列 非000状态 均为正常;
如果使用CloudFlare、CDN等多IP业务,出现个别IP全国都不通(不是所有IP被墙),则可能是共用该IP的其他域名受到了假墙攻击导致共用IP被墙,并非本站受到攻击。
* 表示 域名未解析 或 服务器IP无响应;
127.0.0.1 或 其他非自己服务器IP的境内IP 表示该地区该运营商劫持了该域名,需要找运营商申诉,或放弃该域名不再续费使用;
如果 大多地区无法解析 或 解析到 FaceBook Google Twitter等国外IP,则为污染,基本无解,需要走监管部门会议流程申请、审批;
https://www.dnspod.cn/tech/ 80 443 端口检查
https://www.17ce.com/ 有 下载异常 和 * 即无法正常访问网站;
四、赞助商:
GfwVip人工客服 :@GfwVipBOT
GfwVIp Telegram群:@HostCLiCOM
HostCLi.com 宝塔纯净版 服务器管理面板:http://www.hostcli.com
宝塔站长群: https://tg.HostCLi.com
End.
最后更新于