还是很困惑,关于reality的dest和serverName配置。 #1800
-
|
如果我在server端的dest和serverName字段都配为同一个外国h2/tls1.3网站(这个是这样配的吗?),那后面用browser(比如chrome)访问server的https://自有域名:443端口,browser端会得到什么呢?
|
Beta Was this translation helpful? Give feedback.
Replies: 1 comment 5 replies
-
|
Beta Was this translation helpful? Give feedback.
-
|
仔细看了一眼,你说的是访问 https://yourdomain.com ,那么浏览器发的 TLS Client Hello 虽含 SNI,但是目标网站没它,HTTP 头中的 Host 同理,最终会得到何种响应也是取决于目标网站的策略,大概率报错。 |
Beta Was this translation helpful? Give feedback.
-
|
是的,就是报错,而且浏览器还报证书不匹配错误。浏览器得到的是目标网站的证书,跟我的domain肯定是不匹配的,这是一方面,另一方面如果目标网站根据策略返回其他错误,我比较费解的是这不跟以前回落nginx伪装网站的行为不太一样了?如果有审查行为探测一下如果是返回错误不是一下就发现问题?不太了解具体原理运作…大佬见笑了 |
Beta Was this translation helpful? Give feedback.
-
|
自 REALITY 公布代码以来,我也看到群里有一些小白,用浏览器“访问”,“发现异常”,然后认为 GFW 也能据此“一下就发现问题” 这让我怎么跟你们解释呢......因为小白们要补的知识太多,对你们一时解释不清......无贬义 一个最基本的逻辑就是,这里有很多水平更高的人,如果小白们怀疑的问题存在,早就有人指出来了,故,该问题不存在
|
Beta Was this translation helpful? Give feedback.
-
|
@GreatMichaelLee 回到你的问题,你要访问的域名,目标网站没有,它报错不是很正常的吗,你要测试,应当遵循“正确的做法” “首先对于非 REALITY 客户端,REALITY 服务端只是端口转发”,我们不用管目标网站是什么策略,和目标网站表现一致就行 |
Beta Was this translation helpful? Give feedback.
-
|
这是群里周经问题,回答习惯了。。。 |
Beta Was this translation helpful? Give feedback.
总有人问这个问题我是没想到的,我系统性地回答一下:首先对于非 REALITY 客户端,REALITY 服务端只是端口转发。其次你直接访问 https://IP ,浏览器发的 TLS Client Hello 中不含 SNI,HTTP 头中的 Host 也不对,此时会得到何种响应完全取决于目标网站的策略,大概率会得到奇奇怪怪的响应,这是正常的,当然你的浏览器还会报证书不符。最后若你想用浏览器验证 REALITY 的端口转发,正确的做法是修改系统 hosts 文件,将目标域名指向你服务端的 IP,再用浏览器直接访问目标域名,可以访问即正常,并且你可以在浏览器 F12 的 Network 中看到实际上连接的是你服务端的 IP。