Rename and update ECH

2025-08-03 11:57:21 +00:00 · 2025-08-03 11:57:21 +00:00 · c814f567f4
parent 3adff369f5
commit c814f567f4
4 changed files with 38 additions and 21 deletions
--- a/docs/.vuepress/config/sidebar/zh.ts
+++ b/docs/.vuepress/config/sidebar/zh.ts
@ -34,7 +34,7 @@ export const sidebarZh: SidebarConfig = {
    {
      text: "入站协议",
      children: [
-        "/config/inbounds/dokodemo.md",
+        "/config/inbounds/tunnel(dokodemo).md",
        "/config/inbounds/http.md",
        "/config/inbounds/shadowsocks.md",
        "/config/inbounds/socks.md",
--- a/docs/config/inbounds/index.md
+++ b/docs/config/inbounds/index.md
@ -2,7 +2,7 @@

 Xray 支持以下入站协议：

- [Dokodemo-Door](../inbounds/dokodemo.md)
+- [Dokodemo-Door](../inbounds/tunnel(dokodemo).md)
 - [HTTP](../inbounds/http.md)
 - [Shadowsocks](../inbounds/shadowsocks.md)
 - [Socks](../inbounds/socks.md)
--- a/docs/config/inbounds/tunnel(dokodemo).md
+++ b/docs/config/inbounds/tunnel(dokodemo).md
@ -1,6 +1,6 @@
-# Dokodemo-Door
+# Tunnel

-Dokodemo door（任意门）可以监听一个本地端口，并把所有进入此端口的数据发送至指定服务器的一个端口，从而达到端口映射的效果。
+Tunnel, 或称 Dokodemo door（任意门）可以监听一个本地端口，并把所有进入此端口的数据通过 outbound 发送至指定服务器的一个端口，从而达到端口映射的效果。

 ## InboundConfigurationObject

@ -16,13 +16,13 @@ Dokodemo door（任意门）可以监听一个本地端口，并把所有进入

 > `address`: address

-将流量转发到此地址。可以是一个 IP 地址，形如 `"1.2.3.4"`，或者一个域名，形如 `"xray.com"`。字符串类型。
+将流量转发到此地址。可以是一个 IP 地址，形如 `"1.2.3.4"`，或者一个域名，形如 `"xray.com"`。字符串类型，默认为 `"localhost"`.

 当 `followRedirect`（见下文）为 `true` 时，`address` 可为空。

 > `port`: number

-将流量转发到目标地址的指定端口，范围 \[1, 65535\]，数值类型。必填参数。
+将流量转发到目标地址的指定端口，范围 \[0, 65535\]，数值类型。不填或者为 0 时默认为监听地址。

 > `network`: "tcp" | "udp" | "tcp,udp"

--- a/docs/config/transport.md
+++ b/docs/config/transport.md
@ -117,8 +117,9 @@ Reality 是目前最安全的传输加密方案, 且外部看来流量类型和
  "pinnedPeerCertificateChainSha256": [""],
  "curvePreferences": [""],
  "masterKeyLog": "",
+  "echServerKeys": "",
  "echConfigList": "",
-  "echServerKeys": ""
+  "echForceQuery": ""
 }
 ```

@ -269,25 +270,41 @@ x25519Kyber768Draft00

 (Pre)-Master-Secret log 文件路径，可用于Wireshark等软件解密Xray发送的TLS连接。

-> `echConfigList` : string
-
-仅客户端参数，配置 ECHConfig, 不为空则代表客户端启用 Encrypted Client Hello. 支持两种格式
-
-第一种直接 固定 ECHConfig, 如 `"AF7+DQBaAAAgACA51i3Ssu4wUMV4FNCc8iRX5J+YC4Bhigz9sacl2lCfSQAkAAEAAQABAAIAAQADAAIAAQACAAIAAgADAAMAAQADAAIAAwADAAtleGFtcGxlLmNvbQAA"`
-
-第二种从 DNS 服务器查询，比方说使用 CDN 时可以通过 HTTPS 记录动态获取其配置的 ECHConfig, 且 Xray 会遵守服务器下发的 TTL，查询目标会是配置的 SNI, 或者配置的服务器域名(如果 SNI 为空且目标为一个域名)
-
-基础格式为 `"udp://1.1.1.1"` 表示从 UDP DNS 1.1.1.1 查询，也可以使用 `"https://1.1.1.1/dns-query"` 这样的格式，代表使用 DOH 进行查询(实际使用请替换成当地可用的服务器). 上述两种均支持修改端口号，如 `udp://1.1.1.1:53`，没写会按照协议默认 53/443.
-
-特别地，可以使用指定的域名用于查询 ECHConfig, 格式为 `"example.com+https://1.1.1.1/dns-query"` 这样 Xray 会强制使用 example.com 的 DNS 记录中的 ECHConfig 用于连接，如果你想从 DNS 获取 ECHConfig 但又不想暴露自己在查询这个域名的 HTTPS 记录或者在这个域名下发布 HTTPS 记录时有一些用。
-
 > `echServerKeys` : string

 仅服务端参数，用于服务端启用 Encrypted Client Hello.

 使用 `xray tls ech --serverName example.com` 生成可用的 ECH Server Key 和对应的 Config, 其中 example.com 是在 SNI 被加密用用于暴露在外部的 SNI, 可以随便填。Server Key 包含了 ECHConfig, 如果你不慎弄丢了客户端用的 Config 可以使用 `xray tls ech -i "你的 server key"` 重新获得。你可以把它发布到 DNS 的 HTTPS 记录中，格式参考[这里](https://dns.google/query?name=encryptedsni.com&rr_type=HTTPS) 或者 RFC 9460

-注意服务端配置 ECH 后仍然接受正常的非 ECH 连接，但是客户端配置 ECH 后如果未能正确执行 ECH 握手会直接失败，不会回退到明文 SNI.
+注意服务端配置 ECH 后仍然接受正常的非 ECH 连接。
+
+> `echConfigList` : string
+
+仅客户端参数，配置 ECHConfig, 不为空则代表客户端启用 Encrypted Client Hello. 支持两种格式
+
+第一种直接 固定 ECHConfig, 如 `"AF7+DQBaAAAgACA51i3Ssu4wUMV4FNCc8iRX5J+YC4Bhigz9sacl2lCfSQAkAAEAAQABAAIAAQADAAIAAQACAAIAAgADAAMAAQADAAIAAwADAAtleGFtcGxlLmNvbQAA"`
+
+第二种从 DNS 服务器查询，比方说使用 CDN 时可以通过 HTTPS 记录动态获取其配置的 ECHConfig, 如果获取到有效 ECH Config, Xray 会遵守服务器下发的 TTL，查询目标会是配置的 SNI, 或者配置的服务器域名(如果 SNI 为空且目标为一个域名)
+
+基础格式为 `"udp://1.1.1.1"` 表示从 UDP DNS 1.1.1.1 查询，也可以使用 `"https://1.1.1.1/dns-query"`(或者 `h2c://`) 这样的格式，代表使用 DOH(h2c) 进行查询(实际使用请替换成当地可用的服务器). 上述三种均支持修改端口号，如 `udp://1.1.1.1:53`，没写会按照协议默认 53/443.
+
+特别地，可以使用指定的域名用于查询 ECHConfig, 格式为 `"example.com+https://1.1.1.1/dns-query"` 这样 Xray 会强制使用 example.com 的 DNS 记录中的 ECHConfig 用于连接，如果你想从 DNS 获取 ECHConfig 但又不想暴露自己在查询这个域名的 HTTPS 记录或者在这个域名下发布 HTTPS 记录时有一些用。
+
+> `echForceQuery` : string
+
+控制使用 DNS 查询 ECH Config 时的策略，可选 `none`(默认) `half` `full`
+
+`none`: 查询一次，如果没能获取有效 ECH Config 五分钟后才会继续查询。如果查询失败**不会使用 ECH**.
+
+`half`: 查询一次，失败后每次请求都会尝试查询。如果查询失败**不会使用 ECH**。如果查询成功得到响应但是不包含 ECH Config 也**不会使用 ECH**，并且五分钟内不会再次查询。
+
+`full`: 查询一次，强制要求得到了有效 ECH Config 才会成功连接，否则连接会失败。确定要使用 ECH 推荐此选项，前两种模拟 fallback 行为确保可用性但是可能会导致明文 SNI 被发送。
+
+无论查询成功与否，只有第一次连接才会阻塞等待查询响应结果，后续更新不会阻塞连接。
+
+> `echSockopt` : [SockoptObject](#sockoptobject)
+
+调整使用 DNS 查询 ECH 记录时使用的连接的底层 socket 选项。

 ### RealityObject

@ -666,7 +683,7 @@ OCSP 装订更新间隔，单位为秒，默认值为 0. 任意非 0 值将启
 透明代理需要 Root 或 `CAP_NET_ADMIN` 权限。

 ::: danger
-当 [Dokodemo-door](./inbounds/dokodemo.md) 中指定了 `followRedirect`为`true`，且 Sockopt 设置中的`tproxy` 为空时，Sockopt
+当 [Dokodemo-door](./inbounds/tunnel(dokodemo).md) 中指定了 `followRedirect`为`true`，且 Sockopt 设置中的`tproxy` 为空时，Sockopt
 设置中的`tproxy` 的值会被设为 `"redirect"`。
 :::