使用Xray进行MitM代理，强制使用ECH，直连所有CF网站

[RememberOurPromise]

最近发现了 ECH 的特殊用途，经R佬的提醒，参考了这个配置，使用Xray最新的ECH功能加上MitM代理实现

可以达到以下效果：

1.ECH fronting，获取A网站的ECH配置用其访问B网站

2.强制 ECH，直连所有 CF 网站，包括没有开ECH的网站也可使用ECH直连，绕过SNI封锁

3.DoH+ECH，CF的DoH可以强制ECH

优点：
1.托管CF网站绝大部分可直连
2.CF workers不再需要proxyIP
3.CF workers不再需要自定域名
4.自带本地DoH代理服务，把cloudflare-dns.com改hosts指向127.0.0.1 xray的端口即可
5.全部流量SNI都伪装成cloudflare-ech.com
6.可以使用CF优选IP

缺点：
1.需要自签CA证书，xray进行MITM代理，不用了记得吊销证书销毁密钥
2.托管CF网站直连是可以看到本机公网IP的

使用方法：

自签证书：
创建证书 xray tls cert -ca -file=mycert
然后手动导入，受信任的根证书颁发机构

填写echConfigList方法：
1.选取的域名，首先不能被DNS污染，其次得可以正常获取HTTPS记录中ECH config值
例如：gitlab.io，欢迎补充
2.选取的DNS解析方式和DNS服务器，没有限制，能够解析上述域名并可以获取ECH config值即可，udp，国内DoH，都可以，因为是fronting，解析的不是你真实访问的网站

欢迎转载传播改进，一切随意，无需注明出处XD

附上配置模板：

// CF ECH MitM Proxy + CF Worker VLESS

// Xray-core v25.9.11+

// 需要自签名证书：您可以使用“xray tls cert -ca -file=mycert”命令创建。

// 此外，必须将证书导入系统/浏览器的“受信任的根证书颁发机构”。

{
  "log": {
    "loglevel": "none",
    "dnsLog": false,
    "access": "none"
  },
  "dns": {
    "tag": "dns-query",
    "hosts": {
      "cloudflare-dns.com": "1.1.1.1",	//占位，不解析自己，直接匹配规则
      "one.one.one.one": "1.1.1.1"
    },
    "servers": [
      "https://cloudflare-dns.com/dns-query",	//DoH会强制ECH
      "https://one.one.one.one/dns-query"
    ],
    "disableFallback": true
  },
  "inbounds": [
    {
      "tag": "socks-in",
      "port": 1080,
      "protocol": "socks",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ],
        "routeOnly": false
      }
    },
    {
      "tag": "tls-decrypt",
      "protocol": "tunnel",
      "listen": "127.0.0.1",
      "port": 44443,
      "settings": {
        "port": 443,
        "network": "tcp",
        "followRedirect": true
      },
      "streamSettings": {
        "security": "tls",
        "tlsSettings": {
          "alpn": [
            "h2",
            "http/1.1"
          ],
          "certificates": [
            {
              "usage": "issue",
              "certificateFile": "mycert.crt",		//自签CA证书，放到指定位置
              "keyFile": "mycert.key"		//自签CA私钥，放到指定位置
            }
          ]
        }
      }
    }
  ],
  "routing": {
    "domainStrategy": "IPOnDemand",
    "rules": [
      {
        "inboundTag": [
          "socks-in"
        ],
        "outboundTag": "redirect-out",
        "network": "tcp",
        "protocol": [
          "tls"
        ],
        "port": 443,
        "ip": [
          "geoip:cloudflare"
        ]
      },
      {
        "inboundTag": [
          "dns-query"
        ],
        "outboundTag": "redirect-out"
      },
      {
        "inboundTag": [
          "tls-decrypt"
        ],
        "outboundTag": "tls-repack",
        "ip": [
          "geoip:cloudflare"
        ]
      },
      {
        "inboundTag": [
          "socks-in"
        ],
        "balancerTag": "worker-balance",		//不用CF workers的话可删除outbounds中的worker-xx，这里改direct
        "ip": [
          "geoip:!cloudflare"
        ]
      }
    ],
    "balancers": [
      {
        "tag": "worker-balance",
        "selector": [
          "worker"
        ],
        "strategy": {
          "type": "random"
        }
      }
    ]
  },
  "outbounds": [
    {
      "tag": "worker-1",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "###########",	//填上CF优选IP
            "port": 443,
            "users": [
              {
                "id": "###########",	//填上你的UUID
                "encryption": "none"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "host": "###########.workers.dev",		//有ECH，所以可以直接填workers域名
          "path": "/?ed=2560"
        },
        "security": "tls",
        "tlsSettings": {
          "serverName": "###########.workers.dev",	//有ECH，所以可以直接填workers域名
          "allowInsecure": false,
          "echConfigList": "gitlab.io+udp://1.1.1.1",		//echConfigList填写能够获取CF的ECH Config的域名+可以成功解析的DNS
          "echForceQuery": "full",
          "fingerprint": "chrome"
        }
      }
    },
    {
      "tag": "worker-2",	//同上，可复制多个，可以填不同的workers，不同的优选IP，tag为worker-xx，balancer会负载均衡
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "###########",
            "port": 443,
            "users": [
              {
                "id": "###########",
                "encryption": "none"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "host": "###########.workers.dev",
          "path": "/?ed=2560"
        },
        "security": "tls",
        "tlsSettings": {
          "serverName": "###########.workers.dev",
          "allowInsecure": false,
          "echConfigList": "gitlab.io+udp://1.1.1.1",
          "echForceQuery": "full",
          "fingerprint": "chrome"
        }
      }
    },
    {
      "tag": "block",
      "protocol": "blackhole"
    },
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "ForceIP"
      }
    },
    {
      "tag": "redirect-out",
      "protocol": "freedom",
      "settings": {
        "redirect": "127.0.0.1:44443"
      }
    },
    {
      "tag": "tls-repack",
      "protocol": "freedom",
      "settings": {
        "redirect": "###########:443",		//此处一行删除，则直连CF域名时，会采用DNS解析的IP，如果填写CF优选IP，则会连到该IP
        "domainStrategy": "ForceIP"
      },
      "streamSettings": {
        "security": "tls",
        "tlsSettings": {
          "serverName": "fromMitM",
          "verifyPeerCertInNames": [
            "fromMitM"
          ],
          "alpn": [
            "fromMitM"
          ],
          "allowInsecure": false,
          "echConfigList": "gitlab.io+udp://1.1.1.1",	//echConfigList填写能够获取CF的ECH Config的域名+可以成功解析的DNS
          "echForceQuery": "full",
          "fingerprint": "chrome"
        }
      }
    }
  ]
}

[RPRX]

该讨论始于 net4people/bbs#529 ，不过我和我的小号已经被那里 block 了，再有类似的东西发到 https://github.com/XTLS/BBS 吧

评价是 https://t.me/projectXtls/1047

其实看看就好，因为有两个弊端，一是会向网站暴露境内 IP，拿来键政的话就自求多福吧，二是 CF 上挂有大量键政站点，如果这个方法传播广了，cloudflare-ech.com 这个 SNI 肯定会被 GFW 封掉

[RPRX]

有群友说直接修改明文 DNS type65 返回值也可以，参考从 https://t.me/projectXray/4459916 开始的相关讨论：

𝔹𝔻-𝟙, [2025/10/3 14:21]
其实根本不需要mitm，直接DNS返回type65里添加ech参数（从开启的cf站获取），所有cf站都能ech

𝔹𝔻-𝟙, [2025/10/3 14:28]
完全不用mitm，改改DNS结果就可以ech
（这个网站是没开ech的）

Project X Channel, [2025/10/3 14:30]
浏览器查 type65 是必须 DoH 还是

𝔹𝔻-𝟙, [2025/10/3 14:30]
不需要，明文dns，路由器上改的

𝔹𝔻-𝟙, [2025/10/3 14:30]
SmartDNS配置
https-record /wplace.live/ech="AEX+...AAA=",alpn="h2"

𝔹𝔻-𝟙, [2025/10/3 14:39]
其实我的ech配置都过期了，但是它可以通过外层sni(cloudflare-ech.com)明文握手来获取最新的ech密钥，所以不影响，只是首次握手多一个rtt

Project X Channel, [2025/10/3 14:43]
不过这个方法没路由器的话只能 TUN，因为 HTTP 代理不会去查 DNS

𝔹𝔻-𝟙, [2025/10/3 14:44]
部署一个私人doh也可以

[RememberOurPromise]

刚开始推ECH的时候，CF的ECH config是固定的，CF再开ECH后改成轮换，但所有站点是一样的，想着可以试试ECH fronting
这一试发现CF边缘能处理所有网站的ECH，后台的那个开关根本只是HTTPS记录里带不带ECH config的开关
CF自己的文档写的是想禁用ECH就屏蔽HTTPS记录
没想到，CF自己也是这么做的，所以文档写的ECH Protocol（beta），估计以后正式就不行了，XD

[RememberOurPromise]

本来是想提供思路给大佬们，看看是不是可以从浏览器插件方面实现，但似乎目前浏览器限制较多不能玩这么多花样。
自己搭DoH是可以的，效果最好，使用无感，但是有点门槛。如果只是几个站点好说，如果想全部直连CF站点，得先解析一下判断是否CF IP，然后再修改HTTPS记录，反正都要修改，甚至可以上优选IP了。

CF直连的个人用法建议还是仅浏览非敏感内容，或需要大流量从CF下载文件，搭配优选IP更佳。

按之前Domain fronting的情况看，估计是APT和僵尸网络更能从这个方法获益。XDD

[lietxia]

Smart DNS设置type65看不懂，🈶完整的配置吗？

[RememberOurPromise]

Smart DNS设置type65看不懂，🈶完整的配置吗？

那个是路由器上SmartDNS的配置，不是xray-core

[RememberOurPromise]

使用Xray-core进行MitM，强制ECH直连Cloudflare DoH，一分钟搭建本地DoH服务，可自选DNS解析地

隔壁BBS一个人都没有捏..