免费不限流量!ECH-Workers 代理部署指南:Workers 与 Snippets 双方案详解,适配 PC 与安卓
在当前网络环境中,隐私保护与访问稳定性日益成为用户关注的核心。为此,本文推出全员可用的 Cloudflare Workers 部署方案,无需权限门槛,即可轻松搭建基于 Encrypted Client Hello (ECH) 技术的代理服务。
什么是 ECH?为何它能提升隐私与抗封锁能力?
ECH(Encrypted Client Hello)是 TLS 1.3 的一项扩展协议,由 Cloudflare 积极推动部署,旨在解决传统 HTTPS 连接中 SNI(Server Name Indication)字段明文传输的问题。
- 在常规 TLS 握手中,SNI 以明文形式暴露用户访问的域名,便于中间人(如运营商、防火墙)识别并实施针对性封锁。
- ECH 技术通过加密 Client Hello 消息中的 SNI 字段,使中间网络仅能看到用户连接至 Cloudflare,却无法获知实际访问的目标站点。
- 简单来说:开启 ECH 后,你的访问目标对第三方“不可见”,显著提升隐私性与穿透能力。
⚠️ 注意:目前主流浏览器对 ECH 的支持仍有限,但专用客户端(如本文后续介绍)可完整启用该特性。
一、ECH-Workers 服务部署
ECH-Workers 是一个基于 WebSocket 的安全隧道代理项目,支持 TCP 转发、SOCKS5/HTTP 代理,并集成 ECH 隐藏 SNI 功能。部署方式分为 Cloudflare Workers 和 Snippets 两种。
方案一:Cloudflare Workers 部署(推荐)
此方案适用于所有 Cloudflare 账号,无需额外权限:
- 登录 Cloudflare Dashboard,进入 Workers & Pages。
- 点击 Create application → Create Worker,自定义服务名称(如
ech-proxy)。 - 创建成功后,点击 Quick edit(或“编辑代码”)。
- 清空默认代码,粘贴 ECH-Workers 官方代码(原文提供)。
- 点击 Save and Deploy。
- 返回概览页,复制分配的默认域名(格式:
xxx.your-subdomain.workers.dev)。 - 服务地址格式为:
xxx.your-subdomain.workers.dev:443
✅ 优势:即使
workers.dev域名被墙,配合 ECH 客户端仍可稳定直连,实现“无感穿透”。
方案二:Cloudflare Snippets 部署(需权限)
若你已拥有 Snippets 功能权限,可参考 VLESS Snippets 教程,跳过 UUID 设置步骤,其余流程一致,部署代码替换为 ECH-Workers 版本即可。
部署完成后,服务地址格式为:your-snippet-domain.com:443
二、客户端获取与配置
专用客户端由社区开发者基于 CF_NAT 开源项目定制,支持 Windows 与 Android 平台。
- 下载方式:加入 Telegram 群组 @lsmoo,群文件中提供 PC 与安卓客户端。
- 身份验证(可选):服务端代码中可设置
const token = 'your_secret';,客户端需填写相同令牌以启用鉴权。
三、Android 端配置指南
- 服务器地址:填写
xxx.workers.dev:443或自定义域名。 - 优选 IP(关键!):
- 若使用
workers.dev域名,必须填写 Cloudflare 优选 IP(如104.16.x.x),以绕过 DNS 污染。 - 若使用自定义域名且未被封锁,可不填。
- 若使用
- 身份令牌:若服务端设置了
token,此处需一致。 - 启动后选择 全局模式 或 分应用代理 即可使用。
四、PC 端配置(ECH GUI + v2rayN)
PC 端采用 ECH GUI 客户端 + v2rayN 组合:
1. 配置 ECH GUI
| 配置项 | 说明 | 示例值 |
|---|---|---|
| 服务地址 | Workers 或 Snippets 地址 | xxx.workers.dev:443 |
| 监听地址 | 本地 SOCKS5 监听端口 | 127.0.0.1:30000 |
| 优选 IP/域名 | 必填,用于直连 CF 节点 | 104.16.128.5 或优选域名 |
| ECH 域名 | 固定值,不可更改 | cloudflare-ech.com |
| DoH 服务器 | 推荐使用可信 DNS over HTTPS | dns.alidns.com/dns-query |
| TOKEN | 可选,与服务端一致 | blog.zrf.me |
2. 配置 v2rayN
- 添加 SOCKS 代理:
- 地址:
127.0.0.1 - 端口:
30000
- 地址:
- 启动代理,设为活动节点,开启系统代理即可畅游。
技术致谢
- 核心协议:Cloudflare ECH 官方文档
- 开源基础:CF_NAT 项目(由社区维护)
- 客户端定制:感谢 @CCF 基于 CF_NAT 开发的 Windows GUI 版本
💡 提示:群内还提供已部署好的 Snippets 版服务地址,适合不想自行搭建的用户。
通过本文方案,你可免费、不限流量地搭建一个具备 SNI 隐藏能力 的高隐私代理服务。无论是日常浏览还是特定网络环境下的稳定连接,ECH-Workers 都是一个值得尝试的轻量级解决方案。
