仅通过查看 TLS ClientHello 来使用 ESNI 时，DPI 解决方案无法进行有针对性的阻塞。但它可以简单地阻止对 ESNI 的任何使用——参见中国现在阻止所有使用 TLS 1.3 和 ESNI 的加密 HTTPS 流量。

除此之外，最终用户实际上无法在全球范围内启用 ESNI。ESNI 需要 HTTPS 服务器本身（或它前面的反向代理，如 CDN 的情况）的支持，并且还必须在域的 DNS 中设置。即使启用了 ESNI 并且没有被阻止，仍然可以监控访问了哪些 IP 地址，这些地址通常可以映射到该 IP 上服务的一个或几个域。

...我还应该启用什么来绕过 DPI 防火墙而不必走 VPN 路由？

所提出的解决方案没有提供足够的保护，如所述。无需启用任何其他功能即可绕过 DPI。而是使用 VPN、基于 HTTPS 的 HTTP 代理、基于 TLS 的 SOCKS 代理或类似的，将所有加密的流量传输到受信任的端点，绕过 DPI。