科学上网解释( 写给新手) #1256
kulongwangzhi85
started this conversation in
General
科学上网解释( 写给新手)
#1256
Replies: 0 comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
Uh oh!
There was an error while loading. Please reload this page.
-
科学上网解释
这里只记录v2ray软件方法,其它软件自行脑补
根据使用场景可分为:
1、终端直连v2ray服务器,例如手机,或笔记本电脑直连进行科学上网。该场景相对简单不做讨论
2、使用v2ray软件作为内网透明代理网关,将内网有科学上网需求的流量加密转发至国外v2ray。该场景相对复杂,根据流量是否经过v2ray,又可分为主路由模式和旁路由模式。
NOTE:为什么是按照流量呢?而不是按照v2ray软件所安装位置呢?
2.1、所有流量经过v2ray
有的将v2ray安装在主路由上,所有流量都经过v2ray,包括国内ip以及域名。v2ray表示亚历山大。虽然v2ray只需要简单判断与路由就直接从freedom出站接口出去,但对于整个网络路径来说就变长了些。原本有些网络数据报文直接从内核处理完成就出去了,但现在必须再往上传到v2ray等代理软件处理。好处是维护简单,我们只需维护一份geoip和geosite。坏处是国内流量也必须经过v2ray处理。
还有的将v2ray安装在旁路由上,例如树莓派等。但是在主路由上将dhcp配置时,将网关设置为了旁路由。因此该模式虽然v2ray安装在旁路由上,但和安装在主路由上的没神马区别。
2.2、国内流量直接出网关,科学上网流量经过v2ray
这个方法需要DNS配合使用,也就是你的DNS必须解析出正确的IP地址,无污染的。可以使用v2ray提供的DNS模块。
如果只使用DNS的话,对于那些不做解析的软件,直接使用IP地址发起连接的则无能为力。需要配合防火墙使用,将国外IP使用防火墙转发至v2ray上。
我在该使用方法上再配合fakedns,将我想要的域名解析成了内网地址。这样只需一条路由即可完成。而且我的IPhone手机在外出时使用wireguard连接回家里,科学上网回家里出去,正常国内流量直接出手机。也只需一条路由完成。客户端要钱!虽然有美区账号,但不想再掏钱了,vps主机用的是aws lightsail 3.5$每月!!
上面这几种使用方法你使用哪一种呢?
下面我将我的配置方法与避坑要点奉上!
环境说明
网关:debian10
宽带:某运营商光纤入户,PPPoE拨号
防火墙:nftables
dns服务器:coredns
代理软件:v2ray(安装在网关上)
网络环境:ip4+ip6双栈
VPS:AWS 美国节点 lightsail,ip4+ip6双栈
服务端配置
服务器端非常简单,
注意:如果你有ipv6环境,建议开启vps安全组或防火墙入站方向的ICMPv6,因为ipv6需要借助ICMPv6协议进行一些PMTU(路径最大传输单元)等功能,如果你不希望被ping6到,请使用防火墙完成。ipv4的icmp不用打开。
{ "log": { "access": "/var/log/v2ray/access.log", "error": "/var/log/v2ray/error.log", "loglevel": "error" }, "dns": { "queryStrategy": "UseIP", "servers": [ "localhost" ] }, "inbounds": [ { "protocol": "vless", "port": 443, "tag": "proxy", "settings": { "decryption": "none", "clients": [ { "id": "UUID", "flow":"xtls-rprx-direct", "level": 0 }, { "id": "UUID", "flow":"xtls-rprx-direct", "level": 0 } ], "fallbacks": [ { "dest": "/dev/shm/default.sock", "xver": 1 }, { "alpn": "h2", "dest": "/dev/shm/h2c.sock", "xver": 1 } ] }, "streamSettings": { "network": "tcp", "sockopt": { "tcpFastOpen": false }, "security": "xtls", "xtlsSettings": { "alpn": [ "h2", "http/1.1" ], "certificates": [ { "certificateFile": "/etc/v2ray/cert/path/fullchain.cer", "keyFile": "/etc/v2ray/cert/path/v2ray.key" } ] } } } ], "outbounds": [ { "protocol": "freedom", "tag": "freedom", "settings": { "domainStrategy": "Asis" } }, { "protocol": "blackhole", "settings": {}, "tag": "block" } ], "routing": { "settings": { "rules": [ { "inboundTag": [ "proxy" ], "outboundTag": "freedom", "type": "field" }, { "type": "field", "outboundTag": "block", "protocol": [ "bittorrent" ] } ] }, "domainStrategy": "Asis", "strategy": "rules" } }网关代理服务器配置
使用coredns作为DNS后端服务器用来缓存使用。采用监听两个端口5353可以解析到国内域名,5335解析国外域名,该5335使用8.8.8.8作为上游dns,从v2ray出去。
注意:如果你想直接使用范例,请将注释删除。带#号后面的就是注释
(global_cache) { cache { success 65536 3600 300 denial 8192 600 60 prefetch 1 60m 10% } } mydomain.com:5353 { forward . 223.5.5.5 cache 60 { prefetch 1 60m 10% } } .:5353 { forward . 223.5.5.5 114.114.114.114 { #此处上游dns服务器可以多个,但不要太多,建议使用你们运营商提供的dns,这里只是范例 health_check 30s } import global_cache }由于使用fakedns,所以无需解析国外域名
{ "log": { "access": "/var/log/v2ray/access.log", "error": "/var/log/v2ray/error.log", "loglevel": "none" }, "fakedns": [ { "ipPool": "193.168.0.0/16", "poolSize": 65535 }, { "ipPool": "fd22::/64", "poolSize": 65535 } ], "dns": { "disableCache": true, #关闭缓存,由coredns完成 "disableFallback": true, "queryStrategy": "UseIP", "hosts": { "geosite:category-ads": "127.0.0.1" }, "servers": [ { "address": "192.168.2.1", #本网关地址,也就是本机 "port": 5353, #coredns监听的端口 "domains": [ "domain:mydomain.com", #将该域名使用coredns解析 "geosite:apple-cn", "geosite:google-cn", "geosite:category-games@cn" ] }, { "address": "fakedns", #fakedns配置段,以下域名范围都将解析为193.168.0.0/16,或fd22::/16地址段 "domains": [ "geosite:google", "geosite:gfw", "geosite:geolocation-!cn", "geosite:tld-!cn" ] }, { "address": "192.168.2.1", #其它未被上面匹配到的域名,类似默认域名使用该服务器地址 "port": 5353 } ] }, "inbounds": [ { #v2ray提供53端口,供内网DNS查询 "tag": "dns-in", "port": 53, "followRedirect": false, #这里因为不是使用防火墙Redirect(跳转),是客户端直接访问该端口,所以设置false "protocol": "dokodemo-door", "settings": { "address": "192.168.2.1", #后端coredns IP地址 "port": 5353, "network": "tcp,udp" } }, { "tag":"transparent_udp", #代理端口,我将tcp与udp单独分开 "port": 7072, "protocol": "dokodemo-door", "settings": { "network": "udp", "followRedirect": true #与上面DNS不同,这里因为是防火墙tproxy跳转的,所以设置为true }, "sniffing": { "enabled": true, "metadataOnly": true, "destOverride": ["fakedns"] #嗅探fakedns数据 }, "streamSettings": { "sockopt": { "tproxy": "tproxy" #使用防火墙tproxy的都必须使用这个, } #注意:我在很多教程上看到,很多这里都设置了mark: 1。其实入站方向的标记由防火墙tproxy打,这里就不需要了 } #还有的都设置mark:255的 }, { "tag":"transparent_tcp", #tcp入站,同上 "port": 7072, "protocol": "dokodemo-door", "settings": { "network": "tcp", "followRedirect": true }, "sniffing": { "enabled": true, "metadataOnly": true, "destOverride": ["fakedns"] }, "streamSettings": { up "sockopt": { "tproxy": "tproxy" } } } ], "outbounds": [ { #出站方向,这里需要注意,proxy代理连接配置。我这种配置必须放在第一个 "protocol": "vless", #注意,注意,注意,用作默认代理使用。 "tag": "proxy", #啥叫默认,就是v2ray路由上啥都不写,就走这条代理,因为经过dns查询国内的已经不再出现这里了,经过这里的就是一定得代理。被防火墙标记为国外IP的,都从这个出去。当然更精细的路由你自己可以设置 "mux": { "enabled": false, "concurrency": -1 }, "settings": { "domainStrategy": "UseIP", "vnext": [ { "address": "you.domain.com", "port": 443, "users": [ { "id": "UUID", "encryption": "none", "flow":"xtls-rprx-direct-udp443" } ] } ] }, "streamSettings": { "network": "tcp", "security": "xtls", "sockopt": { "mark": 255 #所有出站方向都得打上255标记,配合防火墙过滤,否则报文会环路,CPU负载跑满。 }, "xtlsSettings": { "serverName": "you.domain.com", "allowInsecure": false, "alpn": [ "h2", "http1.1" ] } } }, { "protocol": "dns", #dns协议劫持,使用coredns的5335国外解析端口 "tag": "dns-out", #按照官网说明除A和AAAA记录,如果有查询会被转发到这个地址 "address": "192.168.2.1", #最好不要写127.0.0.1 "port": 5353, "proxySettings": { #该出站使用下面freedom直连,而使用proxySettings参数时,sockopt参数将无效,所以无需设置mark,官方文档说明。 "tag": "direct", "transportLayer": true } }, { "protocol": "freedom", "tag": "direct", "streamSettings": { "sockopt": { "mark": 255 #直连出站,必须设置包标记 } }, "settings": { "domainStrategy": "Asis" #直接发出不做域名解析,上面的域名解析是给内网使用 } }, { "protocol": "blackhole", "settings": { }, "tag": "discard" } ], "routing": { "strategy": "rules", "domainStrategy": "Asis", #直接发出不做域名解析 "domainMatcher": "mph", "settings": { "rules": [ { "type": "field", "inboundTag": [ #dns协议入站与出站捆绑,一定要写在第一个 "dns-in" ], "network": "udp,tcp", "outboundTag": "dns-out" }, { "type": "field", "outboundTag": "direct", "ip": [ "192.168.2.0/24", #这是我内网地址 "192.168.3.0/24", #这是我内网地址 "fd11:66::/64", #这是我内网地址 "fd11:88::/64", #这是我内网地址 "fe80::/16", #ipv6的本地链路 "ff02::/16" #ipv6组播 ], "network": "udp,tcp" }, { "type": "field", "ip": [ "193.168.0.0/16", #fakednsip "fd22::/64", #fakednsip ], "outboundTag": "discard" }, { "type": "field", "protocol":["bittorrent"], "outboundTag": "direct", "network": "udp,tcp" }, { "type": "field", "domain": [ "geosite:category-ads-all" ], "outboundTag": "discard" }, { "type": "field", "outboundTag": "direct", "ip": [ "geoip:cn", "geoip:private" ], "network": "udp,tcp" } ] } } }这里大家有没发现,route中没有proxy的设置。所以第一个出站一定是你的代理。
还有一点就是发现 ,使用了"domainStrategy": "Asis",国外网站由于使用fakedns,可以不使用coredns地址,也就是出国部分的域名,直接出代理不做解析。
防火墙配置(nftables)
table ip mangle { set china_ip { type ipv4_addr flags interval elements = { #国内IPv4地址段 } chain PREROUTING { type filter hook prerouting priority mangle; policy accept; meta mark 0x000000ff return #该规则就是匹配v2ray配置中mark:255的,将v2ray标记255的数据包不再往下执行,要想流量不转圈圈这个是关键 ip daddr 193.168.0.0/16 goto V2RAY #通过fakedns解析后得到fakeip的都重定向到v2ray端口 ip daddr { 127.0.0.1, vps-ipv4, 192.168.2.0/23, 224.0.0.0-255.255.255.255 } return #由于下一条规则,会将这些IP也代理了。没有代理意义,vps-ipv4是因为内网笔记本上也有v2ray客户端 meta l4proto { tcp, udp } ip daddr != @china_ip goto V2RAY #非国内IP都代理 } chain FORWARD { type filter hook forward priority mangle; policy accept; tcp flags syn tcp option maxseg size set rt mtu } chain V2 meta l4proto tcp socket transparent 1 meta mark set 0x00000001RAY { meta l4proto { tcp, udp } meta mark set 0x00000001 tproxy to 127.0.0.1:7072 } chain output { type route hook output priority filter; policy accept; ip daddr 8.8.4.4 meta mark set 0x00000001 #本机coredns需要向8.8.8.8做解析,所以也从代理出去。如果不做这两条规则,coredns将无法解析国外IP,按照理解Asis直接使用域名发出,应该不做该规则应该也是可以用,有性趣的朋友可以测试下 ip daddr 8.8.8.8 meta mark set 0x00000001 } table ip6 mangle { set china_ip6 { type ipv6_addr flags interval elements = { #国内IPv6地址段 } chain PREROUTING { type filter hook prerouting priority mangle; policy accept; meta mark 0x000000ff return #v2ray 出站方向mark:255的包标记,全部 返回不再匹配以下规则,防止流量转圈圈 ip6 daddr fd22::/64 goto V2RAY ip6 daddr != 2000::/3 return ip6 daddr vps-ipv6 return #vps-ipv6是因为内网笔记本上也有v2ray客户端 meta l4proto { tcp, udp } ip6 daddr != @china_ip6 goto V2RAY } chain FORWARD { type filter hook forward priority mangle; policy accept; tcp flags syn tcp option maxseg size set rt mtu } chain V2RAY { meta l4proto { tcp, udp } meta mark set 0x00000001 tproxy to :7072 }路由与路由规则
Beta Was this translation helpful? Give feedback.
All reactions