返回列表 發帖
kingwilliam

Rank: 1
1# 跳轉到 »
發表於 2019-1-17 12:52 | 顯示全部帖子
師兄 我最近在中山申請了廣電上網, 但發現UDP好像閘了(不能vpn), 但tcp就正常, 請問大陸是否會閘udp?

TOP

kingwilliam

Rank: 1
2#
發表於 2019-1-17 23:01 | 顯示全部帖子
回復 19# 角色

最初是openvpn udp, 可以連接 但好快就斷 之後轉用openvpn tcp 用了都3個月 暫時都運作正常。

早2個月又試 v2ray 行mkcp 行不到半分鐘 又斷 之後轉v2ray ws+tls 又行了大約1個月 暫時都運作正常

就因上面兩個經驗 所以想問 是否真的不能用udp

因最近又在試openconnect, 現在先知重點是DTLS行udp
所以想了解多D 實況

TOP

kingwilliam

Rank: 1
3#
發表於 2019-1-18 09:11 | 顯示全部帖子
本帖最後由 kingwilliam 於 2019-1-18 20:47 編輯

因家人已北上居住 所以我在中山家設定了一台itx pc 行window 2016+2個vm (為何 架床疊屋 說來話長 下面再詳述) 其中一個vm 是ubuntu行v2ray ws+tls 做透明代理 全家翻牆 另一個vm是行pfsense 行openvpn tcp方便我在香港管理。

為何 架床疊屋?
最早時 只想方便家人翻牆  和容易處理 用asus rt-ac56u 行梅林+v2ray ,但最後才發現 udp 一定要tproxy(如果不用udp 就已經完成 但原來mytvsuper 一定要用udp ) , 因Linux 本人真的不太會用 最後還是放棄。 之後轉方案 itx 裝pfsense + openvpn 行udp, 第一晚就出事。話說安裝完後已深夜 又見運作正常就去休息 但機就沒關 到第二天發覺已不能上網 再睇log 原來開了不久就已斷流 但pfsense 就不斷reply 就這樣 我部itx 個Mac address 就給廣電封了 好彩過了3天就放返Mac address 給我 又可繼續try and error. 之後就要先了解 廣電 斷流 到 封Mac address 過程 前後都試了差不多一個月首先發現 udp 真的行不通 不是全封死 因最基本dns 都要行udp 但如果udp 有持續大流量 大約30秒就斷 如果還不停常試 就封對面個port 再不停就封ip 再不停就封 domain name 最後就係封你個Mac address.

因家人在中山 但我人在香港 如果中山部機給封了 家人連上網都不能 我人在香港又救唔到部機 咁就出現 架床疊屋 方案

先起個 windows 2016 做底 只裝anydesk 做最後必要時的救命草 再起個pfsense + openvpn 行tcp 做日常管理 最後就ubuntu +v2ray 行ws+tls做透明代理 因ubundu 同 pfsense 都係vm virtual Mac address 就算不幸封了都可透過anydesk 改Mac address復活

暫時這個方案叫做方便自己網管

所以上面有c hing 講會封domain name 我都曾經試過

TOP

kingwilliam

Rank: 1
4#
發表於 2019-1-18 09:33 | 顯示全部帖子
本帖最後由 kingwilliam 於 2019-1-18 15:20 編輯

黎緊會試v2ray tcp+dynamic port, 網上有c hing 講過會死得更快, 但都抱住求正心態試試(如果有c hing 試過 可分享心得嗎)。
第二就係試openconnect,
第三就係試 自簽証書,免費証書,付錢証書,在翻牆上有沒有分別
希望有機會再分享心得。

TOP

kingwilliam

Rank: 1
5#
發表於 2019-1-18 15:29 | 顯示全部帖子
本帖最後由 kingwilliam 於 2019-1-18 16:40 編輯

回復 26# 角色


1、这个安装是否有参考链接?
安裝沒有特別 只是一般的安裝
官網 : https://www.v2ray.com/chapter_00/install.html
腳本 : bash <(curl -L -s https://install.direct/go.sh)

2、TLS用什么方法产生Certs?
用 Let's Encrypt
我是用 https://www.sslforfree.com/ 生成

3、透明代理,你怎样把WiFi接上去,让后mobile device不安装任何翻墙软件都能科学上网?
透明代理 重點不在v2ray, v2ray 只需開 Dokodemo
重點在 iptables {下面的iptabales不是我原創, 我也是上網集百家於大成}
所以 透明代理 多數都要用 linux做.

全家翻牆 有需要用2隻wifirouter (當然要睇實際環境, 我的情況是 vm-pfsense + AP)
第1隻是接駁出internet
第2隻重點在wifi share
如用wifi router
wan gw 直指 ubuntu 就可以
如 ubuntu 是 192.168.198.253
就設定 wan GW 是 192.168.198.253

因v2ray只能做到 tcp udp, 如果ping 或pptp 這類就不行

上面的 iptables 是v2ray官網和多數人的做法, 其實有另類方法,
如在第2隻router內有openvpn, 就變成openvpn over v2ray, 就樣不只tcp udp, ping pptp甚麼也可以
(這方案我也用過 都係有好有懷 最後都沒用 只留在後備 原因是openvpn好容易斷(容易斷是指數分鐘到6小時不等, 有時一天一兩次, 有時好多次) 當然openvpn 斷後數秒後會自動重建 但個人感覺不太好.
所以在我的inbound會看見socket 和 http, 因方便測試, 就算 openvpn 經 dokodemo 或 openvpn 經 http proxy都試過, 兩樣都ok)


v2ray-國內-inbound
  1.         "inbounds": [
  2.                 // socks:1080
  3.                 {
  4.                         "protocol": "socks",
  5.                         "listen": "192.168.198.253",
  6.                         "port": 1080
  7.                 },
  8.                
  9.                 // socks:1081
  10.                 {
  11.                         "protocol": "http",
  12.                         "listen": "192.168.198.253",
  13.                         "port": 1081
  14.                 },

  16.                 // dokodemo-door:12345
  17.                 {
  18.                         "port": 12345,
  19.                         "protocol": "dokodemo-door",
  20.                         "domainOverride": ["tls","http"],
  21.                         "settings": {
  22.                                 "network": "tcp,udp",
  23.                                 "followRedirect": true
  24.                         }
  25.                 },

  27.                 // dokodemo-door:53
  28.                 {
  29.                         "protocol": "dokodemo-door",
  30.                         "port": 53,
  31.                         "listen": "192.168.198.253",
  32.                         "settings": {
  33.                                 "address": "192.168.188.1",
  34.                                 "port": 53,
  35.                                 "network": "udp",
  36.                                 "timeout": 0,
  37.                                 "followredirect": false
  38.                         }
  39.                 }

  41.         ],



  45. // 192.168.198.253 是國內 ubuntu server ip address

  47. // "192.168.188.1" 是香港 server dns server ip address 當然用 8.8.8.8 也可
複製代碼
國內 ubuntu iptables
  1. #!/bin/bash

  3. # get dyndns abc.dyndns.org
  4. hostip2=$(host abc.dyndns.org | cut -d ' ' -f 4)

  6. # TCP
  7. # Create new chain
  8. iptables -t nat -N V2RAY

  10. # Ignore your V2Ray server's addresses
  11. # It's very IMPORTANT, just be careful.
  12. iptables -t nat -A V2RAY -d $hostip2 -j RETURN

  14. # Ignore LANs and any other addresses you'd like to bypass the proxy
  15. # See Wikipedia and RFC5735 for full list of reserved networks.
  16. iptables -t nat -A V2RAY -d 0.0.0.0/8 -j RETURN
  17. iptables -t nat -A V2RAY -d 10.0.0.0/8 -j RETURN
  18. iptables -t nat -A V2RAY -d 127.0.0.0/8 -j RETURN
  19. iptables -t nat -A V2RAY -d 169.254.0.0/16 -j RETURN
  20. iptables -t nat -A V2RAY -d 172.16.0.0/12 -j RETURN
  21. iptables -t nat -A V2RAY -d 192.168.0.0/16 -j RETURN
  22. iptables -t nat -A V2RAY -d 224.0.0.0/4 -j RETURN
  23. iptables -t nat -A V2RAY -d 240.0.0.0/4 -j RETURN

  25. # Anything else should be redirected to Dokodemo-door's local port
  26. iptables -t nat -A V2RAY -p tcp -j REDIRECT --to-ports 12345

  28. # Apply the rules
  29. iptables -t nat -A PREROUTING -p tcp -j V2RAY
  30. #iptables -t nat -A OUTPUT -p tcp -j V2RAY




  35. #UDP
  36. # Create new chain
  37. ip route add local 0.0.0.0/0 dev lo table 100
  38. ip rule add fwmark 1 table 100
  39. iptables -t mangle -N V2RAY_MARK

  41. # Ignore your V2Ray server's addresses
  42. # It's very IMPORTANT, just be careful.
  43. iptables -t mangle -A V2RAY_MARK -d $hostip2 -j RETURN

  45. # Ignore LANs and any other addresses you'd like to bypass the proxy
  46. # See Wikipedia and RFC5735 for full list of reserved networks.
  47. iptables -t mangle -A V2RAY_MARK -d 0.0.0.0/8 -j RETURN
  48. iptables -t mangle -A V2RAY_MARK -d 10.0.0.0/8 -j RETURN
  49. iptables -t mangle -A V2RAY_MARK -d 127.0.0.0/8 -j RETURN
  50. iptables -t mangle -A V2RAY_MARK -d 169.254.0.0/16 -j RETURN
  51. iptables -t mangle -A V2RAY_MARK -d 172.16.0.0/12 -j RETURN
  52. iptables -t mangle -A V2RAY_MARK -d 192.168.0.0/16 -j RETURN
  53. iptables -t mangle -A V2RAY_MARK -d 224.0.0.0/4 -j RETURN
  54. iptables -t mangle -A V2RAY_MARK -d 240.0.0.0/4 -j RETURN
  55. iptables -t mangle -A V2RAY_MARK -p udp --dport 53 -j RETURN

  57. # Anything else should be redirected to Dokodemo-door's local port
  58. iptables -t mangle -A V2RAY_MARK -p udp -j TPROXY --on-port 12345 --tproxy-mark 1

  60. # Add any UDP rules
  61. iptables -t mangle -A PREROUTING -p udp -j V2RAY_MARK
  62. #iptables -t mangle -A OUTPUT -j V2RAY_MARK
複製代碼

TOP

kingwilliam

Rank: 1
6#
發表於 2019-1-18 16:27 | 顯示全部帖子
本帖最後由 kingwilliam 於 2019-1-18 16:33 編輯

回復 28# 角色


    全中, 就是這樣
因我的 pc 是 GA-N3150N-D3V
有2個lan 所以 router1 = vm pfsense

TOP

kingwilliam

Rank: 1
7#
發表於 2019-1-18 17:34 | 顯示全部帖子
c hing 加油

TOP

kingwilliam

Rank: 1
8#
發表於 2019-1-21 21:22 | 顯示全部帖子
回復 32# 角色


    可以, 是真正的 site-to-site vpn.

如國內site 要經香港gateway出internet 只要在國內site openvpn 加
redirect-gateway def1
這樣的話, 國內site 所有 traffic 都會經openvpn route走.

但香港gateway 要在router設定 國內site subnet 要經nat出internet.

因我香港國內都是用pfsense 可參考
Routing internet traffic through a site-to-site OpenVPN-connection in PfSense 2.

TOP

kingwilliam

Rank: 1
9#
發表於 2019-1-24 14:36 | 顯示全部帖子
回復 35# 角色


    我最初期的 asus-merlin 就是同一問題 只可做 tcp轉發, 沒了 tproxy做不到 udp.

TOP

kingwilliam

Rank: 1
10#
發表於 2019-1-24 15:14 | 顯示全部帖子
回復 38# 角色

        又可以說是, 又可以說不是, 如果只是browser理應可以, 但如 ftp 就用不到.

TOP

kingwilliam

Rank: 1
11#
發表於 2019-3-22 21:38 | 顯示全部帖子
本帖最後由 kingwilliam 於 2019-3-22 21:57 編輯

今日有空,看看各server and firewall event log. 在 caddy web server 发现2个好奇怪的entry

caddy event log
  1. 117.136.xx.xx - - [20/Mar/2019:00:13:00 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  2. 117.136.xx.xx - - [20/Mar/2019:00:13:10 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  3. 117.136.xx.xx - - [20/Mar/2019:00:14:11 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  4. 117.136.xx.xx - - [20/Mar/2019:00:14:19 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  5. 117.136.xx.xx - - [20/Mar/2019:00:14:22 +0800] "GET /v2raypath/ HTTP/1.1" 200 0

  7. 60.191.38.77 - - [20/Mar/2019:03:41:44 +0800] "GET / HTTP/1.1" 200 1063  <--- 奇怪
  8. 13.57.233.99 - - [20/Mar/2019:05:23:46 +0800] "GET / HTTP/1.1" 200 1063  <--- 奇怪

  10. 223.104.xx.xx - - [20/Mar/2019:07:58:48 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  11. 223.104.xx.xx - - [20/Mar/2019:07:58:49 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  12. 223.104.xx.xx - - [20/Mar/2019:07:58:49 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  13. 223.104.xx.xx - - [20/Mar/2019:07:58:49 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
  14. 223.104.xx.xx - - [20/Mar/2019:07:58:51 +0800] "GET /v2raypath/ HTTP/1.1" 200 0
複製代碼
- 因在 caddy 前还有一个 haproxy. 没有正确FQDN是去不到caddy 这处的。

- 同时两个entry都没有 path, 正如我在“Project V:入学编 - 16 - 附录” 讲过,可能有人在试探这个domain.
(补充1:因我这个Domain和FQDN只用来过墙,不应该有第三者知的)
(补充2:最近这1星期,我的确有朋友在国家大西方旅游中,也用我的通道过墙)

用 who is ip check 两个ip 就更奇

ip : 60.191.38.77
  1. inetnum:        60.191.32.0 - 60.191.47.255
  2. netname:        CHINANET-ZJ-HZ
  3. country:        CN
  4. descr:          CHINANET-ZJ Hangzhou node network
  5. descr:          Zhejiang Telecom
複製代碼
ip :13.57.233.99
  1. Range: 13.52.0.0-13.59.255.255
  2. Org: Amazon Technologies Inc.Org
  3. Handle: AT-88-Z
  4. Address: 410 Terry Ave N.
  5. City: Seattle
  6. State/Province: WA
  7. Postal Code: 98109
  8. Country: United States
複製代碼
但也曾经有文章讲过,国家级防火墙 是可以假装其他ip去访问一些网站,所以这2个奇怪访问留作日後参考。

TOP

返回列表