科学上网解释( 写给新手) #1256
kulongwangzhi85
started this conversation in
General
科学上网解释( 写给新手)
#1256
Replies: 0 comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
-
科学上网解释
这里只记录v2ray软件方法,其它软件自行脑补
根据使用场景可分为:
1、终端直连v2ray服务器,例如手机,或笔记本电脑直连进行科学上网。该场景相对简单不做讨论
2、使用v2ray软件作为内网透明代理网关,将内网有科学上网需求的流量加密转发至国外v2ray。该场景相对复杂,根据流量是否经过v2ray,又可分为主路由模式和旁路由模式。
NOTE:为什么是按照流量呢?而不是按照v2ray软件所安装位置呢?
2.1、所有流量经过v2ray
有的将v2ray安装在主路由上,所有流量都经过v2ray,包括国内ip以及域名。v2ray表示亚历山大。虽然v2ray只需要简单判断与路由就直接从freedom出站接口出去,但对于整个网络路径来说就变长了些。原本有些网络数据报文直接从内核处理完成就出去了,但现在必须再往上传到v2ray等代理软件处理。好处是维护简单,我们只需维护一份geoip和geosite。坏处是国内流量也必须经过v2ray处理。
还有的将v2ray安装在旁路由上,例如树莓派等。但是在主路由上将dhcp配置时,将网关设置为了旁路由。因此该模式虽然v2ray安装在旁路由上,但和安装在主路由上的没神马区别。
2.2、国内流量直接出网关,科学上网流量经过v2ray
这个方法需要DNS配合使用,也就是你的DNS必须解析出正确的IP地址,无污染的。可以使用v2ray提供的DNS模块。
如果只使用DNS的话,对于那些不做解析的软件,直接使用IP地址发起连接的则无能为力。需要配合防火墙使用,将国外IP使用防火墙转发至v2ray上。
我在该使用方法上再配合fakedns,将我想要的域名解析成了内网地址。这样只需一条路由即可完成。而且我的IPhone手机在外出时使用wireguard连接回家里,科学上网回家里出去,正常国内流量直接出手机。也只需一条路由完成。客户端要钱!虽然有美区账号,但不想再掏钱了,vps主机用的是aws lightsail 3.5$每月!!
上面这几种使用方法你使用哪一种呢?
下面我将我的配置方法与避坑要点奉上!
环境说明
网关:debian10
宽带:某运营商光纤入户,PPPoE拨号
防火墙:nftables
dns服务器:coredns
代理软件:v2ray(安装在网关上)
网络环境:ip4+ip6双栈
VPS:AWS 美国节点 lightsail,ip4+ip6双栈
服务端配置
服务器端非常简单,
注意:如果你有ipv6环境,建议开启vps安全组或防火墙入站方向的ICMPv6,因为ipv6需要借助ICMPv6协议进行一些PMTU(路径最大传输单元)等功能,如果你不希望被ping6到,请使用防火墙完成。ipv4的icmp不用打开。
{ "log": { "access": "/var/log/v2ray/access.log", "error": "/var/log/v2ray/error.log", "loglevel": "error" }, "dns": { "queryStrategy": "UseIP", "servers": [ "localhost" ] }, "inbounds": [ { "protocol": "vless", "port": 443, "tag": "proxy", "settings": { "decryption": "none", "clients": [ { "id": "UUID", "flow":"xtls-rprx-direct", "level": 0 }, { "id": "UUID", "flow":"xtls-rprx-direct", "level": 0 } ], "fallbacks": [ { "dest": "/dev/shm/default.sock", "xver": 1 }, { "alpn": "h2", "dest": "/dev/shm/h2c.sock", "xver": 1 } ] }, "streamSettings": { "network": "tcp", "sockopt": { "tcpFastOpen": false }, "security": "xtls", "xtlsSettings": { "alpn": [ "h2", "http/1.1" ], "certificates": [ { "certificateFile": "/etc/v2ray/cert/path/fullchain.cer", "keyFile": "/etc/v2ray/cert/path/v2ray.key" } ] } } } ], "outbounds": [ { "protocol": "freedom", "tag": "freedom", "settings": { "domainStrategy": "Asis" } }, { "protocol": "blackhole", "settings": {}, "tag": "block" } ], "routing": { "settings": { "rules": [ { "inboundTag": [ "proxy" ], "outboundTag": "freedom", "type": "field" }, { "type": "field", "outboundTag": "block", "protocol": [ "bittorrent" ] } ] }, "domainStrategy": "Asis", "strategy": "rules" } }网关代理服务器配置
使用coredns作为DNS后端服务器用来缓存使用。采用监听两个端口5353可以解析到国内域名,5335解析国外域名,该5335使用8.8.8.8作为上游dns,从v2ray出去。
注意:如果你想直接使用范例,请将注释删除。带#号后面的就是注释
(global_cache) { cache { success 65536 3600 300 denial 8192 600 60 prefetch 1 60m 10% } } mydomain.com:5353 { forward . 223.5.5.5 cache 60 { prefetch 1 60m 10% } } .:5353 { forward . 223.5.5.5 114.114.114.114 { #此处上游dns服务器可以多个,但不要太多,建议使用你们运营商提供的dns,这里只是范例 health_check 30s } import global_cache }由于使用fakedns,所以无需解析国外域名
{ "log": { "access": "/var/log/v2ray/access.log", "error": "/var/log/v2ray/error.log", "loglevel": "none" }, "fakedns": [ { "ipPool": "193.168.0.0/16", "poolSize": 65535 }, { "ipPool": "fd22::/64", "poolSize": 65535 } ], "dns": { "disableCache": true, #关闭缓存,由coredns完成 "disableFallback": true, "queryStrategy": "UseIP", "hosts": { "geosite:category-ads": "127.0.0.1" }, "servers": [ { "address": "192.168.2.1", #本网关地址,也就是本机 "port": 5353, #coredns监听的端口 "domains": [ "domain:mydomain.com", #将该域名使用coredns解析 "geosite:apple-cn", "geosite:google-cn", "geosite:category-games@cn" ] }, { "address": "fakedns", #fakedns配置段,以下域名范围都将解析为193.168.0.0/16,或fd22::/16地址段 "domains": [ "geosite:google", "geosite:gfw", "geosite:geolocation-!cn", "geosite:tld-!cn" ] }, { "address": "192.168.2.1", #其它未被上面匹配到的域名,类似默认域名使用该服务器地址 "port": 5353 } ] }, "inbounds": [ { #v2ray提供53端口,供内网DNS查询 "tag": "dns-in", "port": 53, "followRedirect": false, #这里因为不是使用防火墙Redirect(跳转),是客户端直接访问该端口,所以设置false "protocol": "dokodemo-door", "settings": { "address": "192.168.2.1", #后端coredns IP地址 "port": 5353, "network": "tcp,udp" } }, { "tag":"transparent_udp", #代理端口,我将tcp与udp单独分开 "port": 7072, "protocol": "dokodemo-door", "settings": { "network": "udp", "followRedirect": true #与上面DNS不同,这里因为是防火墙tproxy跳转的,所以设置为true }, "sniffing": { "enabled": true, "metadataOnly": true, "destOverride": ["fakedns"] #嗅探fakedns数据 }, "streamSettings": { "sockopt": { "tproxy": "tproxy" #使用防火墙tproxy的都必须使用这个, } #注意:我在很多教程上看到,很多这里都设置了mark: 1。其实入站方向的标记由防火墙tproxy打,这里就不需要了 } #还有的都设置mark:255的 }, { "tag":"transparent_tcp", #tcp入站,同上 "port": 7072, "protocol": "dokodemo-door", "settings": { "network": "tcp", "followRedirect": true }, "sniffing": { "enabled": true, "metadataOnly": true, "destOverride": ["fakedns"] }, "streamSettings": { up "sockopt": { "tproxy": "tproxy" } } } ], "outbounds": [ { #出站方向,这里需要注意,proxy代理连接配置。我这种配置必须放在第一个 "protocol": "vless", #注意,注意,注意,用作默认代理使用。 "tag": "proxy", #啥叫默认,就是v2ray路由上啥都不写,就走这条代理,因为经过dns查询国内的已经不再出现这里了,经过这里的就是一定得代理。被防火墙标记为国外IP的,都从这个出去。当然更精细的路由你自己可以设置 "mux": { "enabled": false, "concurrency": -1 }, "settings": { "domainStrategy": "UseIP", "vnext": [ { "address": "you.domain.com", "port": 443, "users": [ { "id": "UUID", "encryption": "none", "flow":"xtls-rprx-direct-udp443" } ] } ] }, "streamSettings": { "network": "tcp", "security": "xtls", "sockopt": { "mark": 255 #所有出站方向都得打上255标记,配合防火墙过滤,否则报文会环路,CPU负载跑满。 }, "xtlsSettings": { "serverName": "you.domain.com", "allowInsecure": false, "alpn": [ "h2", "http1.1" ] } } }, { "protocol": "dns", #dns协议劫持,使用coredns的5335国外解析端口 "tag": "dns-out", #按照官网说明除A和AAAA记录,如果有查询会被转发到这个地址 "address": "192.168.2.1", #最好不要写127.0.0.1 "port": 5353, "proxySettings": { #该出站使用下面freedom直连,而使用proxySettings参数时,sockopt参数将无效,所以无需设置mark,官方文档说明。 "tag": "direct", "transportLayer": true } }, { "protocol": "freedom", "tag": "direct", "streamSettings": { "sockopt": { "mark": 255 #直连出站,必须设置包标记 } }, "settings": { "domainStrategy": "Asis" #直接发出不做域名解析,上面的域名解析是给内网使用 } }, { "protocol": "blackhole", "settings": { }, "tag": "discard" } ], "routing": { "strategy": "rules", "domainStrategy": "Asis", #直接发出不做域名解析 "domainMatcher": "mph", "settings": { "rules": [ { "type": "field", "inboundTag": [ #dns协议入站与出站捆绑,一定要写在第一个 "dns-in" ], "network": "udp,tcp", "outboundTag": "dns-out" }, { "type": "field", "outboundTag": "direct", "ip": [ "192.168.2.0/24", #这是我内网地址 "192.168.3.0/24", #这是我内网地址 "fd11:66::/64", #这是我内网地址 "fd11:88::/64", #这是我内网地址 "fe80::/16", #ipv6的本地链路 "ff02::/16" #ipv6组播 ], "network": "udp,tcp" }, { "type": "field", "ip": [ "193.168.0.0/16", #fakednsip "fd22::/64", #fakednsip ], "outboundTag": "discard" }, { "type": "field", "protocol":["bittorrent"], "outboundTag": "direct", "network": "udp,tcp" }, { "type": "field", "domain": [ "geosite:category-ads-all" ], "outboundTag": "discard" }, { "type": "field", "outboundTag": "direct", "ip": [ "geoip:cn", "geoip:private" ], "network": "udp,tcp" } ] } } }这里大家有没发现,route中没有proxy的设置。所以第一个出站一定是你的代理。
还有一点就是发现 ,使用了"domainStrategy": "Asis",国外网站由于使用fakedns,可以不使用coredns地址,也就是出国部分的域名,直接出代理不做解析。
防火墙配置(nftables)
table ip mangle { set china_ip { type ipv4_addr flags interval elements = { #国内IPv4地址段 } chain PREROUTING { type filter hook prerouting priority mangle; policy accept; meta mark 0x000000ff return #该规则就是匹配v2ray配置中mark:255的,将v2ray标记255的数据包不再往下执行,要想流量不转圈圈这个是关键 ip daddr 193.168.0.0/16 goto V2RAY #通过fakedns解析后得到fakeip的都重定向到v2ray端口 ip daddr { 127.0.0.1, vps-ipv4, 192.168.2.0/23, 224.0.0.0-255.255.255.255 } return #由于下一条规则,会将这些IP也代理了。没有代理意义,vps-ipv4是因为内网笔记本上也有v2ray客户端 meta l4proto { tcp, udp } ip daddr != @china_ip goto V2RAY #非国内IP都代理 } chain FORWARD { type filter hook forward priority mangle; policy accept; tcp flags syn tcp option maxseg size set rt mtu } chain V2 meta l4proto tcp socket transparent 1 meta mark set 0x00000001RAY { meta l4proto { tcp, udp } meta mark set 0x00000001 tproxy to 127.0.0.1:7072 } chain output { type route hook output priority filter; policy accept; ip daddr 8.8.4.4 meta mark set 0x00000001 #本机coredns需要向8.8.8.8做解析,所以也从代理出去。如果不做这两条规则,coredns将无法解析国外IP,按照理解Asis直接使用域名发出,应该不做该规则应该也是可以用,有性趣的朋友可以测试下 ip daddr 8.8.8.8 meta mark set 0x00000001 } table ip6 mangle { set china_ip6 { type ipv6_addr flags interval elements = { #国内IPv6地址段 } chain PREROUTING { type filter hook prerouting priority mangle; policy accept; meta mark 0x000000ff return #v2ray 出站方向mark:255的包标记,全部 返回不再匹配以下规则,防止流量转圈圈 ip6 daddr fd22::/64 goto V2RAY ip6 daddr != 2000::/3 return ip6 daddr vps-ipv6 return #vps-ipv6是因为内网笔记本上也有v2ray客户端 meta l4proto { tcp, udp } ip6 daddr != @china_ip6 goto V2RAY } chain FORWARD { type filter hook forward priority mangle; policy accept; tcp flags syn tcp option maxseg size set rt mtu } chain V2RAY { meta l4proto { tcp, udp } meta mark set 0x00000001 tproxy to :7072 }路由与路由规则
Beta Was this translation helpful? Give feedback.
All reactions