Published on

See The World

Authors

1 Cloudflare

Cloudflare 是世界最大的网络之一。今天,企业、非营利组织、博客作者和任何有互联网存在的人都因为 Cloudflare 而拥有更快、更安全的网站和应用。

更多 CLOUDFLARE 的详细信息请参考:what-is-cloudflare

1.1 安装 cloudflare Warp 客户端

Cloudflare installtion

1.2 获取密钥

Telegram搜索: @generatewarpplusbot or 直接访问 telegram机器人,然后按照以下步骤获取 key 和 conf 文件

  • /start:开启对话
  • 订阅频道才能进行下一步操作
  • /generate
  • /generate result(Calculateresult (Calculate result and then auto generate key and conf file)
warp bot

1.3 配置 key

通过客户端的 偏好设置 功能配置 telegram bot 生成的 key

Cloudflare Setting

成功后可获取24PB的免费流量,1个key可供5台设备使用;默认代理到香港节点,不解锁 chatgpt netflix 等资源

2 WireGuard

2.1 安装优选IP文件

下载并解压文件

  • 在启用代理的情况下打开文件夹里面的:手动方式1:生成优选IP端口结果文件.bat
  • 输入1 IPV4优选
  • 然后等待结果,会提示测试结果已经写入result.csv
  • 打开文件夹里面的result.csv,里面是优选好的IP,按照丢包和ping延迟排序,选择延迟最低的1个如:162.159.192.63:943
wire_guard good ip

2.2 安装并配置wireguard

安装wireguard

点击 wireguard 界面中的 新建隧道 并导入再 telegram bot 中生成的 wg-config.conf 文件

修改配置文件中的endpoint为刚刚生成的延迟最低的 ip:port

Wireguard Setting

最后启用连接即可,如此实现更流畅的访问,但使用这些优选的IP进行代理极有可能仍然无法解锁 Chatgpt Tiktok Netflix...

2.3 Wireguard Android / IOS

由于wireguard是通用客户端,配置也是通用配置,所以上面的配置文件是通用的,如果有windows电脑,直接将优选后的wireguard的配置文件界面右键-导出所有隧道,然后传给手机,手机上安装好wireguard客户端,导入文件,即可使用。Source Blog

IOS
  • IOS区的 wireguard 需要使用美区账号下载,这个是没办法跳过的。
  • IOS优选IP需要去商店下载 ISH shell 这个软件,然后打开,输入命令 apk add openssh curl bash 然后回车等待依赖安装完成,然后执行下面的命令
  • curl -sSL https://gitlab.com/rwkgyg/CFwarp/raw/main/point/endip.sh -o endip.sh && chmod +x endip.sh && ./endip.sh 然后回车
  • 把优选出来的IP第一个,复制粘贴到wireguard配置的对端地址里。
Android
  • 和IOS使用大同小异,需要下载wireguard软件,这里从官网下载即可
  • 下载软件termux,选择后缀为arm64-v8a.apk的版本下载,然后打开app,升级依赖:pkg upgrade
  • 输入命令: curl -sSL https://gitlab.com/rwkgyg/CFwarp/raw/main/point/endip.sh -o endip.sh && chmod +x endip.sh && ./endip.sh
  • 把优选出来的IP第一个,复制粘贴到 wireguard 配置的对端地址里
用别人的 key 获取 wireguard 配置文件
  • 如果你从别的渠道获取的warp key,想要自己生成wireguard配置文件,可以使用这个网站
  • 首先输入2,然后输入2,将我们获取的 key 填写进去,即可生成对应 wireguard 配置文件
Warp Wireguard Register

3 自建梯子

Before Build Your Own VPN

  • 需要 购买自己的VPS
  • 购买前需要评估厂家IP是否干净(干净的IP决定了搭建完成后是否能解锁 Netflix Chatgpt Bard Claude....)
  • 最好买三网线路良好的VPS,线路可以找开源的 BenchMark 进行测试,也可以自行mtr -z $ip测试(线路最重要,其次才是协议)
  • 不要买只提供 IPV6 的机子,除非厂家特别说明做了路线优化

3.1 VPN搭建

域名的用户可以安装 Shadowsocks-libevReality 代理(IP访问方式)

域名的可以安装 V2ray+ Nginx + WebSocketHysteria2 代理 (域名访问方式)

需要注意的一些点:

  • 1: 一般需要域名进行安装的方式都需要使用 acme 去请求 LetsEncryptZeroSSL等机构的API去生成证书(同一个域名不能频繁请求创建证书的API),API请求时需要验证域名的80端口,所以需要提前确保80端口没有被占用(这里也可以使用 acme 通过 DNS API 手动生成证书代替)
  • 2: 安装前需要 backup nginx.conf文件(如果有)
  • 3: 提前关闭防火墙 (systemctl disable & stop SELinux FireWall...)
  • 4: 如果cloud vendor有提供类似于security group的网络安全相关的服务,需要去控制台开放端口
  • 5: 有一些小厂商为了防止机房被打的太惨,可能封堵了UDP流量,这样的VPS是无法安装hy2代理的,需要提前了解一些厂家的策略 (同行下手太狠)
  • 6: 通过 域名 搭建梯子时需要关闭 Cloudflare 的前置代理 (证书申请会失败)

一般地安装脚本都会修改内核参数,以提供更适合代理进程运行的网络环境,比如开启BBR、修改tcp_rmem、tcp_wmem等参数

$ echo net.core.default_qdisc=fq >> /etc/sysctl.conf
$ echo net.ipv4.tcp_congestion_control=bbr >> /etc/sysctl.conf
$ sysctl -p

# BBR是基于带宽和延迟反馈的拥塞控制算法,不是计网中基于丢包或延迟的Reno拥塞控制新算法
# 更多 BBR 内容可以看 Google Youtube BBR 大规模实践
$ sysctl net.ipv4.tcp_congestion_control
可选:按照脚本提示安装 vless(Shadowsocks-libev、Reality)
# step 1

$ wget https://raw.githubusercontent.com/yeahwu/v2ray-wss/main/tcp-wss.sh && bash tcp-wss.sh

# Reality 一般模拟的是这个域名的流量:www.amazon.com addons.mozilla.org www.tesla.com www.un.org
# step 2 查看代理进程状态

$ systemctl status xray

# vless code模板
# vless://6114f5cc-18e3-4c05-85af-d9ea114adf11@12.14.15.11:55547?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.amazon.com&fp=chrome&pbk=KhrZdfK7yitzbwmkBA1GqLr7b8ehic022QEbJuxKHyU&sid=88&type=tcp&headerType=none#1024-reality

# Google Play 或者 Apple Store 安装V2rayNG客户端,通过粘贴板导入vless code
可选:按照脚本提示安装 vmess(V2ray+ Nginx + WebSocket)
# step 1
$ wget https://raw.githubusercontent.com/yeahwu/v2ray-wss/main/tcp-wss.sh && bash tcp-wss.sh

# step 2 查看代理进程状态
$ systemctl status v2ray

# vmess code模板
# vmess://eyJwb3J0Ijo1AAS1NSwicHMiOiIxMDI0AAdzcyIsInRscyI6InRscyIsImlkIjoiYTZmODA4NWYtNDQ4Ny00MmVlLWI3YTctNzAzYzk1NTA3NTZiIiwiYWlkIjowLCJ2IjoyLCJob3N0Ijoid3d3LnN1bndheS5ydW4iLCJ0eXBlIjoibm9uZSIsInBhdGgiOiIvNTI1ZGMzIiwibmV0Ijoid3MiLCJhZGQiOiJ3d3cuc3Vud2F5LnJ1biIsImFsbG93SW5zZWN1cmUiOjAsIm1ldGhvZCI6Im5vbmUiLCJwZWVyIjoid3d3LnN1bndheS5ydW4iLCJzbmkiOiJ3d3cuc3Vud2F5LnJ1biJ9

# Google Play 或者 Apple Store 安装V2rayNG客户端,通过粘贴板导入导入vmess code

# 如果卸载VPN请注意不要删除nginx;或者可以直接停掉该服务而不做卸载:systemctl stop v2ray/xray
可选:按照脚本提示安装 hy2
# 安装hysteria2:
$ curl -sSL https://github.com/seagullz4/hysteria2/raw/main/install.sh -o install.sh && chmod +x install.sh && bash install.sh
# 安装完成后直接在客户端从剪切板导入hy2链接即可

3.2 客户端安装

经历了 2023-11 CFW 的事件后,很多作者都将开源项目删库或归档了,需要的话可以github找别人的fork或者backup

DeleteClient

可以顺便看看 Tuic 作者的这篇文章,振聋发聩

3.3 V2ray转Clash

注意 clash 不支持 vless 等协议的导入

vmess可以通过 https://v1.v2rayse.com/v2ray-clash 转为 clash.yaml 配置文件,将多个节点写到同一个yaml可以很方便地进行节点切换

V2rayToClash

3.4 封禁检测

Port 被墙

如V2ray日志提示 net/http:TLS handshake timeout 则极有可能端口被GFW封了, 可以通过网站 tcp.ping.pe ,输入自己的ip:port进行检测(这种情况一般在使用V2ray+ Nginx + WebSocket且没有使用CF前置代理时出现)

如下图可以发现我的IP的 55547 端口在墙内已经无法连接,但其他世界各地的机器可以正常和我节点的 55557 端口建立连接

GfwIpBan

如果证实被GFW干碎了,可以改nginx.conf换端口,开新端口的安全组,再改 clash 客户端 yaml 配置文件的端口即可

IP 被墙

IP 被墙可以通过网站 ping.ce 检测,墙了就找VPS厂家提工单换 IP,重新配置DNS解析等配置

减少被墙的方法

建议在 CF 中配置 SSL 前置代理

通过实验,如果不开启CF前置代理,那么端口极有可能每天一封,就是白天使用正常,睡一觉醒来端口就被墙了

每天都去改nginx配置,改服务器安全组,改客户端的配置文件真的麻烦

CFSSL
我的最佳实践
  • 移动端安装V2rayNG使用 Reality ,PC端 Clash 使用 V2ray+ Nginx + WebSocket + CF前置
  • 移动端和PC端都是用 Hy2

4 买梯子/上机场

买过 QuickQ 的服务,用来代理到 USA 来购买 Google Colab Pro

网上可搜到有很多便宜的机场和各式各样的工具,很方便,适合小白;但如果有一定能力的话,不推荐这种方式,因为从隐私 & 安全的角度讲,不能确保它们是中立的工具

5 Google Extensions

Google应用商店 搜索相关谷歌上网助手插件,非常简单方便,类似于机场的付费订阅模式。这种浏览器插件的方式可以只让浏览器科学上网,而不影响系统全局流量策略;当然也可以在这个插件的官网下载win、app等客户端来实现全局翻墙。

用过 iGuge Helper,使用教程:打开浏览器扩展程序界面的开发者模式,把 crx文件 拖入其中即可安装完成

GoogleExtensionsVpn

6 海外SIM卡漫游

如果有渠道可以托人代理买到海外的SIM卡,不过国际漫游的费用普遍很贵

7 软路由

自己搭建软路由,可以参考我搭建软路由的 Blog

前提条件:

  • 1 硬件: 购买合适的路由器或者主机(二选一)
    • 1.1 一台家用路由器,这个路由器类型最好能在官网找到与自己的路由器相匹配的固件,不然只能找人定制
    • 1.2 一个小主机,以X86/64类型的小主机为例,可以在官网找到对应的固件
  • 2 软件:已有能翻墙的节点(二选一)
    • 2.1 订阅机场后可以拿到机场订阅连接
    • 2.2 购买VPS自建节点后可以生成vmess、hy2等订阅链接
Discuss on TwitterView on GitHub