两端无出口纯 Wireguard 隧道被墙，现在还有较可靠的 VPN 协议不

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

这是一个创建于 665 天前的主题，其中的信息可能已经有所发展或是发生改变。

如题，国内和国外的机器组局域网交换数据用，非翻墙，两端没有出口，以前一直用自建的 Wireguard 隧道，几年来一直稳定至 22 年 12 月底，突然某天一早被墙 IP ，请服务商更换 IP 后没过多少天再次被墙端口，想问下这个需求现在还有较可靠的方案不？因为要组二层网络，而且存在国内服务商管理较严格等原因，主流翻墙协议和非 VPN 协议不太考虑。有解不？服务商自己的 IPsec 费用有点高，而且不确定是否也会被墙。

wireguard

VPN

服务商

翻墙

20 条回复 • 2023-01-19 13:09:09 +08:00

dearmymy

2023-01-12 15:35:29 +08:00

zerotier ，tailscale 不行么。zerotier 还能阿里云自建个 plant 中间过个国内阿里云，速度还稳定

photon006

2023-01-12 15:35:54 +08:00

udp 直接过墙容易被 ban ，我试过 wireguard 搭配 udp2raw 很稳。

defunct9

2023-01-12 15:40:23 +08:00

混淆过的 openvpn

haffner

2023-01-12 15:41:28 +08:00

@dearmymy 谢谢，我试试。

@photon006 谢谢，这个方案以前被我毙过，先作为备选吧。

northbrunv

2023-01-12 15:57:28 +08:00

vpn 的特征很明显。如果没有混淆伪装在目前大墙升级的版本很难活

palxex

2023-01-12 16:04:06 +08:00

方便的话问一下位置？总感觉最近美西的机房特别容易封 IP

novolunt

2023-01-12 16:05:53 +08:00

native:
https://github.com/crazypeace/naive

目前 cf 的 wireguard 依旧很稳

ysc3839

2023-01-12 16:10:55 +08:00 via Android

wireguard 套个 DTLS 啥的？或者不在乎延迟的话套 TLS 。也可以试试 kcptun 。

datocp

2023-01-12 16:17:10 +08:00

1.设置多个外部访问端口指向统一的源端口
# iptables -t nat -S
-A PREROUTING -i eth0 -p tcp -m multiport --dports 111,222,333 -j REDIRECT --to-ports 555

2.使用 softether 之类的。可以电信直访 VPS ，可以电信借道移动专线间接访问 VPS 。通过不同线路来分散流量

3.既然只封部分端口，那简单 cron 定时换不同线路不同端口，让流量的累积特征变得不明显。

自从上次不稳定过后，这种随机变换线路+端口的用法，又能 24x7 稳定访问 youtube 。

softether 最好的 vpn 。

ivan_wl

2023-01-12 16:18:53 +08:00

softether 的 https vpn ，据说可以过深度包检测。
但是 softether 远程管理工具会被墙识别，造成秒封，所以别用远程管理工具。

ragnaroks

2023-01-12 19:28:40 +08:00

楼主说的 VPN 协议我暂且当作是翻墙的另一种说法。

基于起源引擎的 iPEX ，可以伪装成 CSGO 、DOTA2 等游戏的流量，以前没接专线的时候用了好几年，效果很棒。就是资源占用大，因为真的要跑一个 sourceDS 和客户端，而且没有手机版。

Visionhope

2023-01-12 19:52:59 +08:00 via Android

@photon006 +1

Tink

2023-01-12 19:59:26 +08:00 via Android

tailscale 是基于 wireguard 的挺好用，zt 以前也挺好，现在有些地方强了

cnbatch

2023-01-12 20:51:49 +08:00

想要换定时端口？那就试试这个，2022 年的时候我造的试验品：
https://github.com/cnbatch/udphop

无须修改防火墙设置，以便非 Linux 机器也能用

haffner

2023-01-12 21:17:47 +08:00 via iPhone

@photon006 谢谢，我暂时在用 Phantun 跑 Wireguard 试试。

haffner

2023-01-12 21:21:10 +08:00 via iPhone

@ragnaroks 两个局域网之间同步数据，不用手机端，只要大流量不易被墙，资源占用大的不优先考虑。

@cnbatch 鉴于上面说的需求，不考虑定时换端口，容易出故障而且容易被墙 IP 。

kyor0

2023-01-12 21:44:15 +08:00 via iPhone

换个思路，买个机场然后套娃 vpn 。

cnbatch

2023-01-12 22:34:45 +08:00

定时换端口没那么容易出故障、墙 IP ，只要传输的内容不是一下子就能够识别出来（比如 Wireguard 自身，已经能够被墙准确识别），打一枪换一个地方，反倒很稳妥。
换端口的软件开启流量加密就可以了。

Marionic0723

2023-01-13 11:11:30 +08:00 via Android

@ivan_wl 我现在用它，外面可以随便连里面，里面开 UDP 可以连上外面，但是速度慢，纯 TCP 不行，错误 2 ，管理工具反而没被识别，走 zerotier 内网连接管理没问题。

testcaoy7

2023-01-19 13:09:09 +08:00

我用的是 openvswitch 方案，两台云服务器因为都有公网 ip ，所以我直接建了个 Geneve 隧道
Geneve （ Generic Network Virtualization Encapsulation ，RFC 8926 ）是一种网络封装协议，需要两台机器的防火墙放行 UDP 6081 端口（不可更改）

Geneve 只封装，不加密，加密交给 ipsec ，openvswitch 有自动生成 ipsec.conf 的功能，使用 psk 加密方案的话，只要在建立 port 的时候指定预共享密钥，就会自动使用 ipsec 加密流量