大陆与香港VPN-Proxy寒暑表
因为想记录一下大陆与香港之间的翻墙状况,所以特意开一个帖子专门记录不同日子情况。如果大家发现有什么VPN or Proxy问题,可以跟帖讨论,那么可能在某些日子,翻墙方案要有所调整。香港几个重要网站:
[url]www.gov.hk[/url]
[url]www.ofca.gov.hk[/url]
members有别的参考网站可以跟帖刊登。 PING [url]www.gov.hk[/url] (13.32.205.74): 56 data bytes
64 bytes from 13.32.205.74: icmp_seq=0 ttl=234 time=215.450 ms
64 bytes from 13.32.205.74: icmp_seq=1 ttl=234 time=510.025 ms
64 bytes from 13.32.205.74: icmp_seq=2 ttl=234 time=212.246 ms
PING [url]www.ofca.gov.hk[/url] (202.82.15.50): 56 data bytes
64 bytes from 202.82.15.50: icmp_seq=0 ttl=231 time=68.914 ms
64 bytes from 202.82.15.50: icmp_seq=1 ttl=231 time=62.502 ms
64 bytes from 202.82.15.50: icmp_seq=2 ttl=231 time=55.681 ms 特别香港网站会那么慢呢?如果是[url]www.gov.hk[/url]是挂在美国的服务器,难度是假网站? 我发现最近用普通的PPTP VPN都没有问题。 今天早上家里某个IP,在大陆不能ping,而在香港,可以于是我唯一能做就是change mac address换个两个一个IP,看看是否能把问题解决。 [i=s] 本帖最後由 角色 於 2018-8-6 08:06 編輯 [/i]
今天早上家里某个IP,在大陆不能ping,而在香港,可以于是我唯一能做就是change mac address换个两个一个IP,看看是否能把问题解决。
换了IP都没有用,大陆的DNS server都十给你假IP。
再有进步的消息,就是阿爷可以用hostname识别你是用v2ray,然后你用同样的hostname,它就给resolve到它的server,就是某个假扮某个IP address,然后后面有个假的V2Ray来回答你。(或者是利用TCP来假装你已经连接),在用家方面是没有什么不一样,除了不上翻墙。 [i=s] 本帖最後由 角色 於 2018-8-6 08:31 編輯 [/i]
阿爷以前的system可以block IP,现在好像连hostname都能blocked(就是你需要resolve某个IP address的时候),就给你一个旧的IP(已经有系统扮演),所以你换了IP address,那么你用hostname去找的IP address就不成功。
更正一下:应该十blocked hostname,而不是blocked,还有后面没有v2ray server。 年20美元的vps,快又稳,用了几年了,从ss到ssr到v2ray到全用,都还没被墙过 终于把问题解决好!就是要用外国的DNS server。如8.8.8.8就可以。
估计DNS问题十局部,不是全国性。
建议用不同的SSID(如果2G-Free,5G-Free),里面的dns一定要用国外的。 最近用Proxy看YouTube,有时可以,有时比较慢。不知其其他members是怎样? 下午去香港的traffic非常慢!!!
PING [url]www.ofca.gov.hk[/url] (202.82.15.50): 56 data bytes
Request timeout for icmp_seq 0
64 bytes from 202.82.15.50: icmp_seq=1 ttl=230 time=115.475 ms
64 bytes from 202.82.15.50: icmp_seq=2 ttl=230 time=120.697 ms
64 bytes from 202.82.15.50: icmp_seq=3 ttl=230 time=154.487 ms
64 bytes from 202.82.15.50: icmp_seq=4 ttl=230 time=118.401 ms
64 bytes from 202.82.15.50: icmp_seq=5 ttl=230 time=118.360 ms 今天我香港某个Router IP又被blocked,幸好我有后备server,通过它再接入被blocked的Sever,从新更换新的IP,看看是否可以。 最近发现速度快乐,不知道是否与阿爷换server有关?
ping 自己server[code]
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=0 ttl=44 time=36.622 ms
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=1 ttl=44 time=36.812 ms
64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=44 time=35.841 ms
[/code]ping ofca server[code]
PING www.ofca.gov.hk (202.82.15.50): 56 data bytes
64 bytes from 202.82.15.50: icmp_seq=0 ttl=232 time=47.372 ms
64 bytes from 202.82.15.50: icmp_seq=1 ttl=232 time=57.345 ms
64 bytes from 202.82.15.50: icmp_seq=2 ttl=232 time=52.323 ms
[/code] 最近有发现被block IP,看来真的需要一人一VPN Server了!不然大家一起用的VPN/Proxy Server就很快就不能用了。 前一段日子IP经常被blocked!现在过了假期,看起来好一点,VPN也畅顺一点。 昨天看到有member连我香港的server,估计对方想看大陆电影,于是我在大陆的router,马上连到香港的服务器,方面反方向翻墙,但是到今天,却发现效果的Server IP被blocked!!!估计大家是用计算机monitor我们的traffic,特别VPN。如果就是这个原因,阿爷把我香港的IP blocked 死!!! 前几天用了一下L2TP over IPSec,昨天IP就被blocked了!!!需要更改IP才可以!所以我现在都很少用VPN,而用Proxy比较多! 師兄 我最近在中山申請了廣電上網, 但發現UDP好像閘了(不能vpn), 但tcp就正常, 請問大陸是否會閘udp? [i=s] 本帖最後由 角色 於 2019-1-17 13:04 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45872&ptid=7212]18#[/url] [i]kingwilliam[/i] [/b]
我这里用UDP没有问题,你用哪一种VPN protocol呢?
我也有亲友在中山,但是用v2ray (TCP)能正常上网,你为什么用UDP呢? [i=s] 本帖最後由 tomleehk 於 2019-1-17 22:34 編輯 [/i]
為甚麼會有懷疑udp被閘?
用緊wireguard?
udp 被閘應連上網都成問題, 估計只喺封咗相關port嘅 udp traffic 而唔o係所有port既udp traffic [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45873&ptid=7212]19#[/url] [i]角色[/i] [/b]
最初是openvpn udp, 可以連接 但好快就斷 之後轉用openvpn tcp 用了都3個月 暫時都運作正常。
早2個月又試 v2ray 行mkcp 行不到半分鐘 又斷 之後轉v2ray ws+tls 又行了大約1個月 暫時都運作正常
就因上面兩個經驗 所以想問 是否真的不能用udp
因最近又在試openconnect, 現在先知重點是DTLS行udp
所以想了解多D 實況 CHing你的server是一个人,还有多少用呢?
现在我亲友就用我一个IP的V2Ray,基本上没有问题,但是大陆用大数据+人工智能去分析那些可以的IP,分析不到就blocked IP。
想起mkcp会很快断,是否个App问题?你那么哪个APP,我之前用V2RayNG,现在我用BifrostV比较多!感觉BifrostV速度快一些。 [i=s] 本帖最後由 kingwilliam 於 2019-1-18 20:47 編輯 [/i]
因家人已北上居住 所以我在中山家設定了一台itx pc 行window 2016+2個vm (為何 架床疊屋 說來話長 下面再詳述) 其中一個vm 是ubuntu行v2ray ws+tls 做透明代理 全家翻牆 另一個vm是行pfsense 行openvpn tcp方便我在香港管理。
為何 架床疊屋?
最早時 只想方便家人翻牆 和容易處理 用asus rt-ac56u 行梅林+v2ray ,但最後才發現 udp 一定要tproxy(如果不用udp 就已經完成 但原來mytvsuper 一定要用udp ) , 因Linux 本人真的不太會用 最後還是放棄。 之後轉方案 itx 裝pfsense + openvpn 行udp, 第一晚就出事。話說安裝完後已深夜 又見運作正常就去休息 但機就沒關 到第二天發覺已不能上網 再睇log 原來開了不久就已斷流 但pfsense 就不斷reply 就這樣 我部itx 個Mac address 就給廣電封了 好彩過了3天就放返Mac address 給我 又可繼續try and error. 之後就要先了解 廣電 斷流 到 封Mac address 過程 前後都試了差不多一個月首先發現 udp 真的行不通 不是全封死 因最基本dns 都要行udp 但如果udp 有持續大流量 大約30秒就斷 如果還不停常試 就封對面個port 再不停就封ip 再不停就封 domain name 最後就係封你個Mac address.
因家人在中山 但我人在香港 如果中山部機給封了 家人連上網都不能 我人在香港又救唔到部機 咁就出現 架床疊屋 方案
先起個 windows 2016 做底 只裝anydesk 做最後必要時的救命草 再起個pfsense + openvpn 行tcp 做日常管理 最後就ubuntu +v2ray 行ws+tls做透明代理 因ubundu 同 pfsense 都係vm virtual Mac address 就算不幸封了都可透過anydesk 改Mac address復活
暫時這個方案叫做方便自己網管
所以上面有c hing 講會封domain name 我都曾經試過 [i=s] 本帖最後由 kingwilliam 於 2019-1-18 15:20 編輯 [/i]
黎緊會試v2ray tcp+dynamic port, 網上有c hing 講過會死得更快, 但都抱住求正心態試試(如果有c hing 試過 可分享心得嗎)。
第二就係試openconnect,
第三就係試 自簽証書,免費証書,付錢証書,在翻牆上有沒有分別
希望有機會再分享心得。 [i=s] 本帖最後由 角色 於 2019-1-18 16:01 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45884&ptid=7212]24#[/url] [i]kingwilliam[/i] [/b]
黎緊會試v2ray tcp+dynamic port, 網上有c hing 講過會死得更快, 但都抱住求正心態試試(如果有c hing 試過 可分享心得嗎)。[color=DarkOrange]我论坛里有link,script也列出来,效果还可以,但是没有详细用。不过我们怎样判定会死得快,就是traffic大,被阿爷发现,然后进行第二次审查,如果能伪装比较大的traffic,如video,那么可能会过关,不被blocked[/color]
第二就係試openconnect, [color=DarkOrange]用过,效果不错,不错都会被blocked[/color]
第三就係試 自簽証書,免費証書,付錢証書,在翻牆上有沒有分別 [color=DarkOrange]我用RouterOS,用过RouterOS里自带的cert,但是有traffic有明显VPN特征,所以经常被blocked[/color]
希望有機會再分享心得。
建议多开几个不同地方servers,如果一个出事,手机也能科学上网。我现在用BifrostV APP比较多。 “其中一個vm 是ubuntu行v2ray ws+tls 做透明代理” 有下面请教CHing
1、这个安装是否有参考链接?
2、TLS用什么方法产生Certs?
3、透明代理,你怎样把WiFi接上去,让后mobile device不安装任何翻墙软件都能科学上网? [i=s] 本帖最後由 kingwilliam 於 2019-1-18 16:40 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45886&ptid=7212]26#[/url] [i]角色[/i] [/b]
1、这个安装是否有参考链接?
安裝沒有特別 只是一般的安裝
官網 : [url]https://www.v2ray.com/chapter_00/install.html[/url]
腳本 : bash <(curl -L -s [url]https://install.direct/go.sh[/url])
2、TLS用什么方法产生Certs?
用 Let's Encrypt
我是用 [url]https://www.sslforfree.com/[/url] 生成
3、透明代理,你怎样把WiFi接上去,让后mobile device不安装任何翻墙软件都能科学上网?
透明代理 重點不在v2ray, v2ray 只需開 Dokodemo
重點在 iptables {下面的iptabales不是我原創, 我也是上網集百家於大成}
所以 透明代理 多數都要用 linux做.
全家翻牆 有需要用2隻wifirouter (當然要睇實際環境, 我的情況是 vm-pfsense + AP)
第1隻是接駁出internet
第2隻重點在wifi share
如用wifi router
wan gw 直指 ubuntu 就可以
如 ubuntu 是 192.168.198.253
就設定 wan GW 是 192.168.198.253
因v2ray只能做到 tcp udp, 如果ping 或pptp 這類就不行
上面的 iptables 是v2ray官網和多數人的做法, 其實有另類方法,
如在第2隻router內有openvpn, 就變成openvpn over v2ray, 就樣不只tcp udp, ping pptp甚麼也可以
(這方案我也用過 都係有好有懷 最後都沒用 只留在後備 原因是openvpn好容易斷(容易斷是指數分鐘到6小時不等, 有時一天一兩次, 有時好多次) 當然openvpn 斷後數秒後會自動重建 但個人感覺不太好.
所以在我的inbound會看見socket 和 http, 因方便測試, 就算 openvpn 經 dokodemo 或 openvpn 經 http proxy都試過, 兩樣都ok)
v2ray-國內-inbound[code] "inbounds": [
// socks:1080
{
"protocol": "socks",
"listen": "192.168.198.253",
"port": 1080
},
// socks:1081
{
"protocol": "http",
"listen": "192.168.198.253",
"port": 1081
},
// dokodemo-door:12345
{
"port": 12345,
"protocol": "dokodemo-door",
"domainOverride": ["tls","http"],
"settings": {
"network": "tcp,udp",
"followRedirect": true
}
},
// dokodemo-door:53
{
"protocol": "dokodemo-door",
"port": 53,
"listen": "192.168.198.253",
"settings": {
"address": "192.168.188.1",
"port": 53,
"network": "udp",
"timeout": 0,
"followredirect": false
}
}
],
// 192.168.198.253 是國內 ubuntu server ip address
// "192.168.188.1" 是香港 server dns server ip address 當然用 8.8.8.8 也可[/code]國內 ubuntu iptables[code]#!/bin/bash
# get dyndns abc.dyndns.org
hostip2=$(host abc.dyndns.org | cut -d ' ' -f 4)
# TCP
# Create new chain
iptables -t nat -N V2RAY
# Ignore your V2Ray server's addresses
# It's very IMPORTANT, just be careful.
iptables -t nat -A V2RAY -d $hostip2 -j RETURN
# Ignore LANs and any other addresses you'd like to bypass the proxy
# See Wikipedia and RFC5735 for full list of reserved networks.
iptables -t nat -A V2RAY -d 0.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 10.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 127.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 169.254.0.0/16 -j RETURN
iptables -t nat -A V2RAY -d 172.16.0.0/12 -j RETURN
iptables -t nat -A V2RAY -d 192.168.0.0/16 -j RETURN
iptables -t nat -A V2RAY -d 224.0.0.0/4 -j RETURN
iptables -t nat -A V2RAY -d 240.0.0.0/4 -j RETURN
# Anything else should be redirected to Dokodemo-door's local port
iptables -t nat -A V2RAY -p tcp -j REDIRECT --to-ports 12345
# Apply the rules
iptables -t nat -A PREROUTING -p tcp -j V2RAY
#iptables -t nat -A OUTPUT -p tcp -j V2RAY
#UDP
# Create new chain
ip route add local 0.0.0.0/0 dev lo table 100
ip rule add fwmark 1 table 100
iptables -t mangle -N V2RAY_MARK
# Ignore your V2Ray server's addresses
# It's very IMPORTANT, just be careful.
iptables -t mangle -A V2RAY_MARK -d $hostip2 -j RETURN
# Ignore LANs and any other addresses you'd like to bypass the proxy
# See Wikipedia and RFC5735 for full list of reserved networks.
iptables -t mangle -A V2RAY_MARK -d 0.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 10.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 127.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 169.254.0.0/16 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 172.16.0.0/12 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 192.168.0.0/16 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 240.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -p udp --dport 53 -j RETURN
# Anything else should be redirected to Dokodemo-door's local port
iptables -t mangle -A V2RAY_MARK -p udp -j TPROXY --on-port 12345 --tproxy-mark 1
# Add any UDP rules
iptables -t mangle -A PREROUTING -p udp -j V2RAY_MARK
#iptables -t mangle -A OUTPUT -j V2RAY_MARK[/code] 谢谢CHing的信息,根据我理解,在大陆的network configuration是否如下:
[attach]4247[/attach] [i=s] 本帖最後由 kingwilliam 於 2019-1-18 16:33 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=45888&ptid=7212]28#[/url] [i]角色[/i] [/b]
全中, 就是這樣
因我的 pc 是 [url=https://www.gigabyte.com/Motherboard/GA-N3150N-D3V-rev-10#ov]GA-N3150N-D3V[/url]
有2個lan 所以 router1 = vm pfsense [i=s] 本帖最後由 角色 於 2019-1-18 17:57 編輯 [/i]
根据你的信息,我再改良一下network configuration map。
[attach]4248[/attach]
根据你上面的信息,我有计划把下图实现:
[attach]4249[/attach]
就是用RouterOS + Raspberry Pi (V2Ray)现在在搜集信息来实现。