虚拟专用网络搭建

  • 我们是**主义接班人,继承**先辈的光荣传统,爱德先生,爱赛先生.
  • 没有什么能够阻挡,你对**的向往;天马行空的生涯,你的心了无牵挂.
  • 对头,作为一名新时代农名工,你少不了谷歌.
  • 你的求知欲,集中体现在对谷歌的访问上.

为什么要使用vpn

正如前面所说,这是空气,我们的本能.

前前后后买了不少vpn ,蓝灯Lantern买了三年,断断续续可用,很不稳定,iphone几乎连不上。 期间买了个其他的忘了叫啥,几百大洋,用一下就没了。 只有一个邮件的联系方式,申诉如泥牛入海,也没地方给你伸冤.自己动手丰衣足食.

  • 第一次尝试,用的是shadowsocks服务,能用
  • 一个月后端口被封了,可以改端口
  • 于是第二次尝试,使用了v2ray
  • 配合使用bbr效果更好

服务器环境准备

你需要一台海外得服务器,并安装好基本得网络环境. 可以参考个人服务器搭建 只需要在选择地域时选择海外.

好了后,可以先在终端命令行里爽一把

[root@VM-0-5-centos ~]# ping www.google.com
PING www.google.com (142.250.199.68) 56(84) bytes of data.
64 bytes from hkg07s37-in-f4.1e100.net (142.250.199.68): icmp_seq=1 ttl=118 time=1.88 ms
64 bytes from hkg07s37-in-f4.1e100.net (142.250.199.68): icmp_seq=2 ttl=118 time=1.88 ms
64 bytes from hkg07s37-in-f4.1e100.net (142.250.199.68): icmp_seq=3 ttl=118 time=1.88 ms
64 bytes from hkg07s37-in-f4.1e100.net (142.250.199.68): icmp_seq=4 ttl=118 time=1.88 ms

Shadowsocks代理

服务安装

因Shadowsocks作者不再维护pip中的Shadowsocks(定格在了2.8.2)我们使用下面的命令来安装最新版的Shadowsocks:

pip install https://github.com/shadowsocks/shadowsocks/archive/master.zip
ssserver --version

服务配置

创建配置文件/etc/shadowsocks.json

{
"server":"你的IP地址",
"local_address": "127.0.0.1",
"local_port":1080,
"port_password": {
"8388": "password1",
"8389": "password2",
"8390": "password3",
"8391": "password4"
},
"timeout":300,
"method":"aes-256-gcm",
"fast_open": true
}
NAME 说明
LOCAL_ADDRESS 本地地址
LOCAL_PORT 本地端口,一般1080,可任意
SERVER 服务器地址,填IP或域名
SERVER_PORT 服务器对外开的端口
PASSWORD 密码,可以每个服务器端口设置不同密码
PORT_PASSWORD SERVER_PORT + PASSWORD ,服务器端口加密码的组合
TIMEOUT 超时重连
METHOD 默认: “AES-256-CFB”,见 ENCRYPTION
FAST_OPEN 开启或关闭 TCP_FASTOPEN, 填TRUE / FALSE,需要服务端支持
mode: 选填,默认 "tcp_only"。服务器所要监听的协议,可填 "tcp_only", "udp_only" 和 "tcp_and_udp"。填入 "tcp_and_udp" 相当于命令行上提供 -u 参数 ;填入 "udp_only" 相当于命令行上提供 -U 参数。 如果你是要用来玩国外游戏的,最好是用tcp_and_udp,因为很多游戏都是用的upd协议

server 为你的服务器ip地址(如果是阿里云/腾讯云(等分内网和外网IP的)服务器,上方请填写你的内网IP) port_password多用户配置,端口相当于账号,password为密码

后端启动:ssserver -c /etc/shadowsocks.json -d start 别忘了在服务器安全组里打开相应端口(shadowsocks对外开的端口).如果你使用了宝塔客户端,相应地要去宝塔打开对应端口

系统Service

编辑/etc/systemd/system/shadowsocks.service文件如下

[Unit]
Description=Shadowsocks
After=network.target

[Service]
ExecStart=/usr/local/bin/ssserver -c /etc/shadowsocks.json
Restart=on-abort

[Install]
WantedBy=multi-user.target

开启shadowsocks服务

vi /etc/systemd/system/shadowsocks.service
systemctl start shadowsocks
systemctl enable shadowsocks
ps -aux | grep shadowsocks

如果运行成功会看到ssserver进程

root       18991  3.2  1.2 117812 22672 ?        Ss   03:05   0:00 /usr/bin/python3.6 /usr/local/bin/ssserver -c /etc/shadowsocks.json
root 19044 0.0 0.0 12136 1156 pts/3 R+ 03:05 0:00 grep --color=auto shadowsocks

查看端口状态 netstat -lntp正常情况下,应该找到一个python进程监听ssserver指定的端口

客户端安装

windows系统下载 Shadowsocks

20220508200346

iphone下就各显神通了,反正大陆appstore里是搜不到Shadowsocks地。你得去淘宝花上几块钱买一个美区苹果账号,登录你的app store,推荐下载ShadowLink这个版本,免费的,基本功能都有。Shadowsocks这个是收费的,没用过

如果客户端有连接的话,服务端执行命令journalctl -u shadowsocks应该能看到连接日志

结果你就偷着乐了 20220508200438

Shadowsocks出问题了

我的小火煎连不上去了!!!难道是服务器坏了?登录服务器,ping谷歌正常 那么问题来了,我们和代理服务器之间的连接,被一股神秘势力拦截了!拦截了!

遭遇端口封锁

https://gfw.report/blog/gfw_shadowsocks/zh.html

这篇报告是对(GFW)是如何检测和封锁Shadowsocks及其衍生翻墙软件的初步调查结果。 通过网络测量实验,发现GFW会被动的监视网络流量从而识别出疑似Shadowsocks的网络流量; 然后对对应的Shadowscoks服务器进行主动探测已验证其怀疑的正确与否。 Shadowscoks的封锁程度可能受人为因素在政治敏感时期的控制。

所以怎么办?凉拌。国家机器别想了。那么,我就换一个端口吧。封一个,换一个.到时候警局见.不怕死的话,接着往下看

怕死不做探路党

很明确的告诉大家,SSR/SS的协议已经被识别的.自己搭建梯子一天内就能检测出来.有的倒霉的甚至一个小时就被检测出来了. 不要试图换端口,否则IP被封是一定的.只是封你端口说明墙还吃不准你是不是有翻墙行为,你换端口墙就肯定你是翻墙了.

一般被封的IP在3-6个月会被解封,但是解封后也不要立刻做梯子.至少要换一种后端程序做.立刻又来做梯子会死得很快.

还有就是被封了不要时不时自己又去试一下解封没有.你去试一下,你的国外机器ip又会给墙发送数据,告诉墙这个ip还被这个翻墙的人持有.会延长封禁时间

解决办法概述

  1. 使用V2ray.或者Trojan这种伪装成https的协议.可以通过:https://ssrvps.org/archives/3942 来查看服务器怎么装V2ray,或者在我的月下博客搜v2ray ,有好几篇怎么安装的文章(必须要用https来伪装成tls加密,否则单纯的vmess协议已经被识别了),你伪装成https 就没事.因为网络上的https流量太多了.墙目前还没有学会如何识别https中谁是翻墙的流量

  2. 使用国内中转服务器 .客户端->国内中转服务器->隧道->国外落地服务器 这种方法由于实际过墙是通过隧道,ssr链接到国内服务器是不经过墙的.所以可以用.但是目前国内各大云服务器商家都禁止搭建梯子.所以你得自己想办法绕开服务器商家的检测.他们有流量识别模型 例如 梯子服务器 上行流量和下行流量大致差不多.

  3. 如果不幸ip被封,那么你无法直接连接到你的机器来科学上网.但是可以曲线救国,可以通过cdn来解决这个问题.使用cloudflare (免费的). 原理是:你本机->CDN->国外机器. CDN的话墙是没办法轻易封锁的.因为很多网站都在CDN上, 墙的目的不是让大家都无法上网,但是其实如果你的梯子没被封的话,不要挂cloudflare,因为直接连接你的机器大部分情况下总是快过经过CDN中转

具体看文章:https://ssrvps.org/archives/3803 这篇告诉你如何不花钱拯救被墙的ip

v2ray它来了

虽然官方有详细的安装教程,这里并不使用官方的教程,毕竟是菜鸟。所以直接使用大佬提供的一键安装脚本。此脚本是开源的,感兴趣的可以看下,代码在此,所以并不会隐藏挖矿脚本。关于被当肉机挖矿,就很难受了😣。

简易安装

使用 root 用户输入下面命令安装或卸载bash <(curl -s -L https://git.io/v2ray.sh)

友情提示:此脚本里面有一句 yun update -y.所以,在执行之情,我们先手动升级一下系统吧,免得出问题.安装过程可以默认一路enter就好。如果需要修改端口就不要默认了.

安装完成自动打印出配置信息 20220508203312

按照提示,输入v2ray url,生成配置码,在客户端导入此配置即可

mac客户端下载

目前大部分都为收费的客户端,这里推荐一个免费的 V2rayU

方式一: 使用homebrew命令安装 brew install --cask v2rayu

方式二: 下载最新版安装 https://github.com/yanue/V2rayU/releases

支持协议方式也很多,这里推荐vmess://

Window10客户端

window环境下的客户端倒是有一些,这里推荐 v2rayN

20220508203736

和上面一样,使用 vmess://

默认是socks协议,端口为10808.使用switchomega的小伙伴可以按照此参数配置 20220508203818 右键导入的配置,设置为活动链接,即可愉快地上网了

问题又来了

如果你连不上,它的提示是这样的

服务端v2ray log看一下,出现提示VMessAEAD is enforced and a non VMessAEAD connection is received. You can still disable this security feature with environment variable v2ray.vmess.aead.forced = false

官方给出了解决方案

VMessAEAD 协议已经经过同行评议并已经整合了相应的修改。 VMess MD5 认证信息 的淘汰机制已经启动。 自 2022 年 1 月 1 日起,服务器端将默认禁用对于 MD5 认证信息 的兼容。 任何使用 MD5 认证信息的客户端将无法连接到禁用 VMess MD5 认证信息的服务器端。 在服务器端可以通过设置环境变量 v2ray.vmess.aead.forced = true 以关闭对于 MD5 认证信息的兼容。 或者 v2ray.vmess.aead.forced = false 以强制开启对于 MD5 认证信息 认证机制的兼容 (不受到 2022 年自动禁用机制的影响) 。 (v4.35.0+)

于是我们按照建议给出修改方案(ps:最新版本已经自动解决了)

systemctl status v2ray找到启动配置文件v2ray.service 编辑此文件,加入一行 Environment=V2RAY_VMESS_AEAD_FORCED=false systemctl daemon-reload systemctl restart v2ray 重启客户端,重新连接,over

关于BBR加速

传说中的BBR

我相信,你在搜索各种科学上网技术的时候,肯定不止一次的听过bbr这个东西,在各种博客添油加醋之下,让人觉得它神乎其神。更有bbrplus, bbr2, 魔改bbr 等一大堆衍生品。仿佛神油一般,用了就能野鸡线路变专线。

那么,这东西究竟是什么?它有没有用?又该用哪一个版本呢?

实际的BBR

BBR = Bottleneck Bandwidth and Round-trip propagation time,是一种TCP的拥塞控制算法。简单粗暴的理解就是数据流量的交通管理:当公路不再塞车的时候,每辆车自然就能保持较快的车速了。

那么它有没有用呢?一般而言,有BBR 和 没有BBR 会有可以感知的差别(速度、稳定性、延迟方面都会有一些改善),所以 【非常建议开启 BBR】。

但开启之后,BBR 在 4.x 和 5.x 之间的差异往往比较微妙、见仁见智,造成体验差别的决定性因素仍然是线路质量。所以 【不必纠结版本、不必盲目追新、跟随你的发行版更新内核即可】

酷炫的版本是不是更好

bbrplus, bbr2, 魔改bbr 和其他各种听起来就酷炫的版本是不是更好?

一句话:不是!不要用这些!这些都为了吸引眼球乱起的名字!

BBR 的更新和发布,都是跟随Linux的内核(Kernel)进行的。换言之,只要你用的是比较新的内核,就自然会使用到新版BBR。

而这些名字看起来很酷炫的东西,说白了就是仍未正式发布的、尚在测试阶段的内核及其对应的BBR版本。这些脚本也仅仅就是通过下载预览版的内核(甚至第三方魔改内核)来率先开启而已。

内核的稳定是一台服务器稳定运行的基石。【BBR测试版带来的细微性能差异绝对不值得更换不稳定的内核。】 请选择你所在的Linux发行版所支持的最新内核,这样可以最大限度的保持服务器的长期稳定和兼容。

注意: 所谓魔改bbr的【领先】是有非常强的时效性的。比如很多 bbrplus 脚本,因为几年来都没有更新,到现在还会把你的内核换成 4.19,要知道现在稳定如 Debian 已经是 5.9 的时代了,那么这个脚本放在2018年1月也许领先了一点,到2018年10月4.19正发布时就已经失去了意义,放在现在甚至可以说是完完全全的【降级】和【劣化】

fq, fq_codel, fq_pie, cake和其他算法哪个好?

一句话:看不懂的话,请保持fq,足够、且不会劣化你的线路

锐速、Finalspeed、LotServer和其他“加速工具”

一句话:不要用这些!把他们丢进历史的垃圾桶吧!

它能解决的也只有丢包率的问题。不太准确的比喻,就是本来你用一辆车送你的货,有时候车半路就坏了(丢包),用了这些以后,你直接派出3份一样的货,让三辆车同时送,只要有一辆没坏就能送到。马路上都是你的车,自然就能把别人挤下去。但可想而知,你挤别人的时候,别人也会来挤你,而整个机房的出口道路一共就那么宽,最终势必就变成集体大堵车了。

说明: 它们的原理不是算法优化、不是提速、大多数是简单粗暴的多倍发包。对于【丢包率非常高】的差线路可能有一点作用,但【对丢包率低的好线路没有任何优化作用,反而会成倍的消耗你的流量】,进而造成服务器和你的邻居不必要的压力。

如果你的线路真的丢包率奇高,真正靠谱的解决方案是【换线路】。

一句话总结,用原版BBR。

CentOS bbr加速

选择对应的BBR即可,推荐原版。

wget -N --no-check-certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh"
chmod +x tcp.sh
./tcp.sh
# 确认bbr是否开启,应该返回tcp_bbr
lsmod | grep bbr
# 确认fq算法是否开启,应该返回sch_fq
lsmod | grep fq