科学上网新方法ShadowSocks继任者WireGuard
最近pincong帖子少了很多,应该是墙加高加回了,现在推一个新软件 WireGuard 希望更多的人能用上它来学习知识,交流经验。
WireGuard VPN的特点
WireGuard作为最新开发的VPN协议,比目前主流的VPN技术有明显优势,被称为下一代VPN。WireGuard有如下特点:
优点:
不足:
虽然有一些不足,不过WireGuard的优点要更突出一些。如果你对Shadowsocks/SSR/V2Ray等代理工具并不感冒,或者是比较喜欢接触新事物尝鲜,那么WireGuard是一个不错的选择。
这些都是copy过来的,经本人试用,确实可以在VPS服务器被封后安装wireguard不用换IP或者重建服务器继续使用,在国际出口非高峰期速度还是可以的,晚上大概7点开始 到凌晨3 4点高峰期除非你的宽带是电信精品网络,否则都是卡到爆炸,SS SSR都一样
现在wireguard客户端android ios windows macOS linux freebsd openwrt基本上全平台都有,比较方便,不用担心
如果你有一定动手能力,买vpn感觉不靠谱,强烈建议自建VPS搭建
现在购买vps十分简单(买之前先多看看,现在割韭菜的太多了)新手小白看教程
这些一键脚本就是一些脚本,如果担心有后门你可以自看一看脚本内容。或者去官方
wireguard.com全部手动配置
这里是wireguard一键安装教程,https://ssr.tools/1079
这个是xshell6 绿色版 https://www.nocmd.com/1460.html
如果系统是windows10的话就不用xshell 在应用商店里搜索windows terminal 微软自己的windows终端集成了ssh scp等工具
现在SS SSR基本上见光死, 现在用wireguard封不掉。
还有另一个anyconnect这个是思科开发的vpn 这个GFW能检测到但是不会封它,因为国内的外企 或者与国外做生意的企业都要用这个vpn协议,现在有开源openconnect兼容anyconnect 网上有很多openconnect教程,服务器端有详细配置教程和一键安装教程,客户端也是全平台支持 有需要的可以google一下
本人现在就是用虚拟机安装linux后安装wireguard 前面wireguard连服务器,本机启动shadowsocksR服务器端,然后在路由上连虚拟机上的SSR(主要是用来国内外分流 ) 建了三个VPS服务器, 后面用haproxy做负载均衡加速
自动墙外楼挂了后就来了pincong,国内的环境放个屁都要实名注册,也没心思在网上说支言片语。
pincong的这个编辑功能太费劲 很早就想写点教程什么的。不知道pincong喜不喜欢这类技术性的,因为看帖子大家的目的不是这个。
本人现在专注这个功能,SS SSR wireguard anyconnect v2ray(这个看过没试过,觉得配置太麻烦)
tinc(这个试过,没有正式使用) 其它的全部在PC (windows linux ) 手机(android ios ) 路由器OpenWRT上用过的,
如果大家有什么疑问可以回复我们交流下。
WireGuard VPN的特点
WireGuard作为最新开发的VPN协议,比目前主流的VPN技术有明显优势,被称为下一代VPN。WireGuard有如下特点:
优点:
- 更轻便:以Linux内核模块的形式运行,资源占用小。
- 更高效:相比目前主流的IPSec、OpenVPN等VPN协议,WireGuard的效率要更高。
- 更快速:比目前主流的VPN协议,连接速度要更快。
- 更安全:使用了更先进的加密技术。
- 更易搭建:部署难度相对更低。
- 更隐蔽:以UDP协议进行数据传输,比TCP协议更低调。
- 不易被封锁:TCP阻断对WireGuard无效,IP被墙的情况下仍然可用。
- 更省电:不使用时不进行数据传输,移动端更省电。
不足:
- 处于研发初期,各种功能及支持有待完善。
- 由于使用UDP协议,BBR、锐速等TCP网络加速工具,对WireGuard无效。
- 部分运营商可能会对UDP协议进行QOS限速,WireGuard会受到一定影响。
- 客户端分流功能较弱,对GFWList的支持不足。
虽然有一些不足,不过WireGuard的优点要更突出一些。如果你对Shadowsocks/SSR/V2Ray等代理工具并不感冒,或者是比较喜欢接触新事物尝鲜,那么WireGuard是一个不错的选择。
这些都是copy过来的,经本人试用,确实可以在VPS服务器被封后安装wireguard不用换IP或者重建服务器继续使用,在国际出口非高峰期速度还是可以的,晚上大概7点开始 到凌晨3 4点高峰期除非你的宽带是电信精品网络,否则都是卡到爆炸,SS SSR都一样
现在wireguard客户端android ios windows macOS linux freebsd openwrt基本上全平台都有,比较方便,不用担心
如果你有一定动手能力,买vpn感觉不靠谱,强烈建议自建VPS搭建
现在购买vps十分简单(买之前先多看看,现在割韭菜的太多了)新手小白看教程
这些一键脚本就是一些脚本,如果担心有后门你可以自看一看脚本内容。或者去官方
wireguard.com全部手动配置
这里是wireguard一键安装教程,https://ssr.tools/1079
这个是xshell6 绿色版 https://www.nocmd.com/1460.html
如果系统是windows10的话就不用xshell 在应用商店里搜索windows terminal 微软自己的windows终端集成了ssh scp等工具
现在SS SSR基本上见光死, 现在用wireguard封不掉。
还有另一个anyconnect这个是思科开发的vpn 这个GFW能检测到但是不会封它,因为国内的外企 或者与国外做生意的企业都要用这个vpn协议,现在有开源openconnect兼容anyconnect 网上有很多openconnect教程,服务器端有详细配置教程和一键安装教程,客户端也是全平台支持 有需要的可以google一下
本人现在就是用虚拟机安装linux后安装wireguard 前面wireguard连服务器,本机启动shadowsocksR服务器端,然后在路由上连虚拟机上的SSR(主要是用来国内外分流 ) 建了三个VPS服务器, 后面用haproxy做负载均衡加速
自动墙外楼挂了后就来了pincong,国内的环境放个屁都要实名注册,也没心思在网上说支言片语。
pincong的这个编辑功能太费劲 很早就想写点教程什么的。不知道pincong喜不喜欢这类技术性的,因为看帖子大家的目的不是这个。
本人现在专注这个功能,SS SSR wireguard anyconnect v2ray(这个看过没试过,觉得配置太麻烦)
tinc(这个试过,没有正式使用) 其它的全部在PC (windows linux ) 手机(android ios ) 路由器OpenWRT上用过的,
如果大家有什么疑问可以回复我们交流下。
58 个评论
我要给各位一句忠告:大家都是参与品葱讨论的敏感人士,网络活动记录一旦被CCP截获,后果不堪设想,切莫因为自己常用的翻墙方式受到影响,就病急乱投医。
WireGuard在设计上并不是翻墙工具。其开发者zx2c4在信息安全领域颇有名气,维护了不少工具。但翻墙需要解决的却不是安全问题,而是如何反审查。在这个问题上,一般软件的表现远不如针对开发的反审查工具,如常见的SS、V2,以及Tor Project的obfs、meek等。
先来叙述一下墙的历史(个人角度):
1. 大概6-8年前的GFW主要进行关键字封锁,只要对流量进行加密就能够过墙,封域名也很容易绕过。VPN同时解决了这两个问题并且使用方便,理所当然地占据了翻墙市场的半壁江山。
2. 终于,在一次墙的升级后,引入了“协议识别”功能,常用的VPN或类似协议在通过GFW时会受到拦截。于是,PPTP、IPSec、OpenVPN、Tor逐步失效;GoAgent、hosts等方式由于使用了与普通上网相同的协议,苟延残喘断断续续持续了几年,最终也因为Google的IP被全数封禁而失效。Shadowsocks大约就是在这个时候火起来的,Tor Project也针对大陆开发了obfs,这些新协议特征不明显,当时的墙无法判断出具体的协议种类,由“目标服务器不在黑名单上”这一根据放行。
3. 近两三年的GFW经历了一个快速升级的过程,审查算法已经相当智能化。传统的VPN协议依然不可能过墙;旧版Shadowsocks协议也被发现多种明显特征,也变得容易遭到封锁。封锁的方式进行了更新,不仅仅是以往单纯的TCP连接复位、大量丢包,部分服务器的流量还会遭到全部丢弃。个人猜测,墙大概也从以往的单纯黑名单演变为了黑、白名单结合,个人租用的服务器基本都处在黑、白之间的灰色地带:墙会记录无法识别的协议流量,累积一定量后进行判断,如果类似于翻墙流量,则直接将其加入黑名单。
回到WG的话题。我的观点:WG不适合翻墙,不应该用于翻墙,即使现在能用,那也只是因为用的人太少,墙还没有加装针对性的识别算法。
WG的设计者想要替代的是OpenVPN等传统VPN,目的是为了从政府的网络监控(棱镜计划)中维护个人隐私,毕竟美国的监控不会进行干扰阻断。各位可以去WG官网阅读技术白皮书[1],其中有对协议的详细描述。我从中看到一些不适合翻墙的设计:
1. 协议仅对所承载的数据进行的加密,元数据不加密。这个是最严重的问题,因为传统协议(PPTP、IPSec)等就是因为被识别才会遭到封锁。而且,WG尚未得到大规模部署,就已经有协议识别和分析的工具了[2],GFW想要识别并不难。不要以为用UDP就没事,以前被封的VPN基本都是UDP的。
2. 使用UDP协议,难以优化。国内运营商的国际路由非常混乱,如果服务器不在美国,数据包可能绕地球一圈,也可能会乱序到达,对TCP性能有严重影响。
最后,我与大家交流以下我对翻墙的看法:
1. 翻墙的目标是访问被墙的站点,而不是逃过网络审查。如果只是访问不敏感的网站,不必将安全纳入考量,即便是使用了钓鱼梯子,只要访问流量不敏感,一般也没有什么问题。
2. 进行“反动”行为,必须隐藏自己的真实身份。考虑到共谍可能渗入到各种地方,仅仅翻墙远不足以达到这个效果。最基本的,至少要使用Tor等匿名代理。具体方法可以参考编程随想的博客。
[1] Jason A. Donenfeld, 2018. WireGuard: Next Generation Kernel Network Tunnel. https://www.wireguard.com/papers/wireguard.pdf
[2] Peter Wu, 2019. Analysis of the WireGuard protocol. https://pure.tue.nl/ws/portalfiles/portal/130180306/Peter.Wu_Wireguard_thesis_final.pdf
WireGuard在设计上并不是翻墙工具。其开发者zx2c4在信息安全领域颇有名气,维护了不少工具。但翻墙需要解决的却不是安全问题,而是如何反审查。在这个问题上,一般软件的表现远不如针对开发的反审查工具,如常见的SS、V2,以及Tor Project的obfs、meek等。
先来叙述一下墙的历史(个人角度):
1. 大概6-8年前的GFW主要进行关键字封锁,只要对流量进行加密就能够过墙,封域名也很容易绕过。VPN同时解决了这两个问题并且使用方便,理所当然地占据了翻墙市场的半壁江山。
2. 终于,在一次墙的升级后,引入了“协议识别”功能,常用的VPN或类似协议在通过GFW时会受到拦截。于是,PPTP、IPSec、OpenVPN、Tor逐步失效;GoAgent、hosts等方式由于使用了与普通上网相同的协议,苟延残喘断断续续持续了几年,最终也因为Google的IP被全数封禁而失效。Shadowsocks大约就是在这个时候火起来的,Tor Project也针对大陆开发了obfs,这些新协议特征不明显,当时的墙无法判断出具体的协议种类,由“目标服务器不在黑名单上”这一根据放行。
3. 近两三年的GFW经历了一个快速升级的过程,审查算法已经相当智能化。传统的VPN协议依然不可能过墙;旧版Shadowsocks协议也被发现多种明显特征,也变得容易遭到封锁。封锁的方式进行了更新,不仅仅是以往单纯的TCP连接复位、大量丢包,部分服务器的流量还会遭到全部丢弃。个人猜测,墙大概也从以往的单纯黑名单演变为了黑、白名单结合,个人租用的服务器基本都处在黑、白之间的灰色地带:墙会记录无法识别的协议流量,累积一定量后进行判断,如果类似于翻墙流量,则直接将其加入黑名单。
回到WG的话题。我的观点:WG不适合翻墙,不应该用于翻墙,即使现在能用,那也只是因为用的人太少,墙还没有加装针对性的识别算法。
WG的设计者想要替代的是OpenVPN等传统VPN,目的是为了从政府的网络监控(棱镜计划)中维护个人隐私,毕竟美国的监控不会进行干扰阻断。各位可以去WG官网阅读技术白皮书[1],其中有对协议的详细描述。我从中看到一些不适合翻墙的设计:
1. 协议仅对所承载的数据进行的加密,元数据不加密。这个是最严重的问题,因为传统协议(PPTP、IPSec)等就是因为被识别才会遭到封锁。而且,WG尚未得到大规模部署,就已经有协议识别和分析的工具了[2],GFW想要识别并不难。不要以为用UDP就没事,以前被封的VPN基本都是UDP的。
2. 使用UDP协议,难以优化。国内运营商的国际路由非常混乱,如果服务器不在美国,数据包可能绕地球一圈,也可能会乱序到达,对TCP性能有严重影响。
最后,我与大家交流以下我对翻墙的看法:
1. 翻墙的目标是访问被墙的站点,而不是逃过网络审查。如果只是访问不敏感的网站,不必将安全纳入考量,即便是使用了钓鱼梯子,只要访问流量不敏感,一般也没有什么问题。
2. 进行“反动”行为,必须隐藏自己的真实身份。考虑到共谍可能渗入到各种地方,仅仅翻墙远不足以达到这个效果。最基本的,至少要使用Tor等匿名代理。具体方法可以参考编程随想的博客。
[1] Jason A. Donenfeld, 2018. WireGuard: Next Generation Kernel Network Tunnel. https://www.wireguard.com/papers/wireguard.pdf
[2] Peter Wu, 2019. Analysis of the WireGuard protocol. https://pure.tue.nl/ws/portalfiles/portal/130180306/Peter.Wu_Wireguard_thesis_final.pdf
