slemon

回復 74# 角色
角色師兄,我之前試過係梅林router裝Caddy, 失敗咗,所以睇下King Sir有沒有裝上,分享下.暫時都好滿足現在WS + TLS 方案.
另外, 我在手機用v2rayNG. 不錯的. 但用上BifrostV時,不能上網, 要係Apps內開啟"Allow Insecure"才能用,正常嗎? 你們有沒有設定TLS Server Name 和Headers? Thanks.

kingwilliam

回復 76# slemon

"sir" 不敢當 一同研究

問：要係Apps內開啟"Allow Insecure"才能用。
答：(我都有這現象，還在測試中，可能是bifrostv 內核還沒跟上有關）
因之前的version "allow insecure ", 就是check 證書合法與否（如自簽證書 或 證書申請名稱同現在FQDN不付）。但最近已改了是用TLS 1.3 或  1.2加密（官網說是加密套件，不是真正的TLS1. 3協議）

問：你們有沒有設定TLS Server Name 和Headers?
答：TLS server name, 就是給證書內的名稱 和 現用的FQDN不付時用的。 但有用家在官網forum report好像不太work 。詳情可到官網forum 看看
Headers 是在沒有TLS時 伪装 成其他數據包 騙過 牆 時用的。如已用TLS 連 header 也會加密，所以用TLS時不需用header.。

所以我兩個設定都沒用。（但h2+tls+web時，就有需要加入）

slemon

回復 77# kingwilliam
我的Server是用4.18.0. 謝謝King Sir 回覆.

角色

回復 76# slemon

我以前都是V2RayNG，如果用Vmess是没有问题，但是用Shadowsocks就不太好，而BiFrostV就非常好，在大陆根据不需要什么rules，大陆的apps和IP走direct，其他走proxy，所以手机的微信、淘宝、支付宝、、、、大陆的app走local direct，非常方便。很多V2Ray还没有的settings，在BiFrostV里全有。

因为我的中文机，所以下面都是中文：
1、 配置名称：随便填你喜爱的
2、主机：server hostname （cert 的 申请hostname，如www.abc.com）
3、端口：port number
4、用户ID：UUID
5、AlteID：64
6、加密：auto
7、用户等级：0（default）
8、网络：WebSocket
9、加密方式：tls
10、服务器证书域名：www.abc.com
11、WebSocket 路径：/v2ray/  (这个要自己定，要跟server node一致）
12、HTTP头：（app自己自动填，连好了，你会看见你的域名：Host:www.abc.com

其他参数是defaults，我没有改过。至于你说的“允许不安全连接”，我没有选，就用default。

slemon

回復 79# 角色
角色師兄, 謝謝回覆.  V2RayNG也有設定那個應用程式走Proxy.  在左邊menu設定第一個選項.

角色

回復 80# slemon

问题是你不用选，这个BiFrostV的设计主要用于大陆，如果在大陆使用，根本什么都不用set，当然你也可以可以去set那些app走proxy，那些走direct。

不管用哪个，用你一个熟悉就可以。

slemon

回復 79# 角色
角色師兄,剛剛又再測試BifrostV, 還是必需要開啟"Allow Insecure"才能上網.  會不會跟Server version有關係? 你用那個版本?  謝謝

角色

回復 82# slemon

我用的版本是0.6.8。我之前都遇过这个问题，我也记不清，主要是Caddyfile和config.json之间的settings。

我的排查方式就是用BiFrostV用ws+tls连接remote v2ray node是不需要启动“允许不安全连接”，然后我加上caddy后，在最初测试都要启动“允许不安全连接”，才能联通。

难度在ws+tls的手机settings（local v2ray node)与remote的v2ray node settings不一致？所以导致要启动“允许不安全连接”？

V2Ray version，我两边都是用v4.18。

角色

回復 76# slemon

CHing你gen出来的cert，是否有用下面网址测试过:

https://www.ssllabs.com/ssltest/index.html

我的是显示"GOOD" A级！

slemon

回復 84# 角色
我係Overall Rating B

角色

不知道这与“允许不安全连接”是否有关呢？

kingwilliam

回復 85# slemon

kingwilliam

回復 85# slemon

c hing 有否留意 Grade B 是否因為server's certificate chain is incomplete.
   

如果是, 還記得let'sencrypt 有3個file
- private.key
- ca_bundle.crt
- certificate.crt


你只需用text editor 開啟certificate.crt, 張ca_bundel.crt copy and paste 到certificate.crt最尾。
-----BEGIN CERTIFICATE-----
{ certificate.crt }
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{ ca_bundle.crt }
-----END CERTIFICATE-----

之後restart service. 就成功. 如再做ssllabs 應該就可以Grade A

角色

估计我用caddy去gen certificate，它自动把你说的动作pack在一起，所以A grade，不知道这个改变后是否不需要允许“允许不安全连接”呢？

角色

回復 77# kingwilliam

CHing你是否“允许不安全连接”也解决了？