V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
haffner
V2EX  ›  云计算

两端无出口纯 Wireguard 隧道被墙,现在还有较可靠的 VPN 协议不

  •  
  •   haffner · 2023-01-12 15:19:53 +08:00 · 5419 次点击
    这是一个创建于 682 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,国内和国外的机器组局域网交换数据用,非翻墙,两端没有出口,以前一直用自建的 Wireguard 隧道,几年来一直稳定至 22 年 12 月底,突然某天一早被墙 IP ,请服务商更换 IP 后没过多少天再次被墙端口,想问下这个需求现在还有较可靠的方案不?因为要组二层网络,而且存在国内服务商管理较严格等原因,主流翻墙协议和非 VPN 协议不太考虑。有解不?服务商自己的 IPsec 费用有点高,而且不确定是否也会被墙。

    20 条回复    2023-01-19 13:09:09 +08:00
    dearmymy
        1
    dearmymy  
       2023-01-12 15:35:29 +08:00
    zerotier ,tailscale 不行么。zerotier 还能阿里云自建个 plant 中间过个国内阿里云,速度还稳定
    photon006
        2
    photon006  
       2023-01-12 15:35:54 +08:00
    udp 直接过墙容易被 ban ,我试过 wireguard 搭配 udp2raw 很稳。
    defunct9
        3
    defunct9  
       2023-01-12 15:40:23 +08:00
    混淆过的 openvpn
    haffner
        4
    haffner  
    OP
       2023-01-12 15:41:28 +08:00
    @dearmymy 谢谢,我试试。

    @photon006 谢谢,这个方案以前被我毙过,先作为备选吧。
    northbrunv
        5
    northbrunv  
       2023-01-12 15:57:28 +08:00
    vpn 的特征很明显。如果没有混淆伪装在目前大墙升级的版本很难活
    palxex
        6
    palxex  
       2023-01-12 16:04:06 +08:00
    方便的话问一下位置?总感觉最近美西的机房特别容易封 IP
    novolunt
        7
    novolunt  
       2023-01-12 16:05:53 +08:00
    native:
    https://github.com/crazypeace/naive

    目前 cf 的 wireguard 依旧很稳
    ysc3839
        8
    ysc3839  
       2023-01-12 16:10:55 +08:00 via Android
    wireguard 套个 DTLS 啥的?或者不在乎延迟的话套 TLS 。也可以试试 kcptun 。
    datocp
        9
    datocp  
       2023-01-12 16:17:10 +08:00   ❤️ 3
    1.设置多个外部访问端口指向统一的源端口
    # iptables -t nat -S
    -A PREROUTING -i eth0 -p tcp -m multiport --dports 111,222,333 -j REDIRECT --to-ports 555

    2.使用 softether 之类的。可以电信直访 VPS ,可以电信借道移动专线间接访问 VPS 。通过不同线路来分散流量

    3.既然只封部分端口,那简单 cron 定时换不同线路不同端口,让流量的累积特征变得不明显。

    自从上次不稳定过后,这种随机变换线路+端口的用法,又能 24x7 稳定访问 youtube 。

    softether 最好的 vpn 。
    ivan_wl
        10
    ivan_wl  
       2023-01-12 16:18:53 +08:00
    softether 的 https vpn ,据说可以过深度包检测。
    但是 softether 远程管理工具会被墙识别,造成秒封,所以别用远程管理工具。
    ragnaroks
        11
    ragnaroks  
       2023-01-12 19:28:40 +08:00
    楼主说的 VPN 协议我暂且当作是翻墙的另一种说法。

    基于起源引擎的 iPEX ,可以伪装成 CSGO 、DOTA2 等游戏的流量,以前没接专线的时候用了好几年,效果很棒。就是资源占用大,因为真的要跑一个 sourceDS 和客户端,而且没有手机版。
    Visionhope
        12
    Visionhope  
       2023-01-12 19:52:59 +08:00 via Android
    Tink
        13
    Tink  
       2023-01-12 19:59:26 +08:00 via Android
    tailscale 是基于 wireguard 的挺好用,zt 以前也挺好,现在有些地方强了
    cnbatch
        14
    cnbatch  
       2023-01-12 20:51:49 +08:00
    想要换定时端口?那就试试这个,2022 年的时候我造的试验品:
    https://github.com/cnbatch/udphop

    无须修改防火墙设置,以便非 Linux 机器也能用
    haffner
        15
    haffner  
    OP
       2023-01-12 21:17:47 +08:00 via iPhone
    @photon006 谢谢,我暂时在用 Phantun 跑 Wireguard 试试。
    haffner
        16
    haffner  
    OP
       2023-01-12 21:21:10 +08:00 via iPhone
    @ragnaroks 两个局域网之间同步数据,不用手机端,只要大流量不易被墙,资源占用大的不优先考虑。

    @cnbatch 鉴于上面说的需求,不考虑定时换端口,容易出故障而且容易被墙 IP 。
    kyor0
        17
    kyor0  
       2023-01-12 21:44:15 +08:00 via iPhone
    换个思路,买个机场然后套娃 vpn 。
    cnbatch
        18
    cnbatch  
       2023-01-12 22:34:45 +08:00
    定时换端口没那么容易出故障、墙 IP ,只要传输的内容不是一下子就能够识别出来(比如 Wireguard 自身,已经能够被墙准确识别),打一枪换一个地方,反倒很稳妥。
    换端口的软件开启流量加密就可以了。
    Marionic0723
        19
    Marionic0723  
       2023-01-13 11:11:30 +08:00 via Android
    @ivan_wl 我现在用它,外面可以随便连里面,里面开 UDP 可以连上外面,但是速度慢,纯 TCP 不行,错误 2 ,管理工具反而没被识别,走 zerotier 内网连接管理没问题。
    testcaoy7
        20
    testcaoy7  
       2023-01-19 13:09:09 +08:00
    我用的是 openvswitch 方案,两台云服务器因为都有公网 ip ,所以我直接建了个 Geneve 隧道
    Geneve ( Generic Network Virtualization Encapsulation ,RFC 8926 )是一种网络封装协议,需要两台机器的防火墙放行 UDP 6081 端口(不可更改)

    Geneve 只封装,不加密,加密交给 ipsec ,openvswitch 有自动生成 ipsec.conf 的功能,使用 psk 加密方案的话,只要在建立 port 的时候指定预共享密钥,就会自动使用 ipsec 加密流量
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5597 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:01 · PVG 14:01 · LAX 22:01 · JFK 01:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.