这是一个创建于 192 天前的主题,其中的信息可能已经有所发展或是发生改变。
想通过家宽中转到 vps 提高稳定性,家宽有必要做回落吗,墙内的这段流量会被监控吗
我看家宽的 ipv6 的 80 443 端口能访问的(用 nginx 测试),还是说我直接把 80 443 端口不放开也就不用管国内这段回落了
我看家宽的 ipv6 的 80 443 端口能访问的(用 nginx 测试),还是说我直接把 80 443 端口不放开也就不用管国内这段回落了
 |
1
383394544 2025 年 7 月 8 日 via iPhone
墙内连墙内直接 ss
|
 |
2
mawen0726 OP |
 |
3
yangyang 2025 年 7 月 8 日
不担心被 ISP 认定为 PCDN 限制上行吗?我朋友就用 NAS 偶尔看看视频,现在上行只有 1Mbps
|
 |
4
Ipsum 2025 年 7 月 8 日 via Android
走 tls 大概率能解除限速。
|
 |
5
totoro625 2025 年 7 月 8 日
省流:不需要做回落
分析:做回落是为了伪装成一个正常的 web 网页,让人以为你是在访问网站,从而不会阻断你的访问 而家宽不会阻断你的访问,反而会因为网页而限制你的宽带使用,家宽只有 QOS 干扰 如果走 IPV4 回家不建议使用任何 tls 加密类型,因为需要尽可能避免类似网站的特征 但是你如果走 IPV6 回家,目前是没任何问题的,随便玩 |
|
6
mawen0726 OP @yangyang
这个其实我也不太清楚,之前自建 vps 用的 ss 协议,一直用的都是家宽做中转的....然后在客户端到中转服务器中间加了 stunnel ,中转服务器到 vps 都加了个 stunnel ,一直用下来都没啥问题.... 最近想尝试下新协议,刚理解到回落这个机制,所以就有了这个发问 |
 |
8
titanium98118 2025 年 7 月 8 日
ss 就行,没必要太复杂
|
|
9
mawen0726 OP @titanium98118
我现在是这样的,在 vps 上已经搭建了 trojan-go 的服务端了,然后用 clash 客户端也是能正常使用,但是有点波动; 然后将客户端将流量指向了中转服务器,中转的服务器通过 iptables 转发给了 vps ( ipv6 转 ipv4 线路),测下来波动小了,但是考虑到 vps 那边做了回落,所以提出疑问中抓服务器是否需要做回落 然后 clash 客户端发出的流量应该是已经经过 tls 加密的了,所以不需要再加一道 ss 吧?我理解我这里再加一道 ss 才是变复杂了,不知道有没有理解错 |
|
10
383394544 2025 年 7 月 9 日
@mawen0726 你要 iptables 就不用管回落,要 iptables 转发根本不需要在中转机上装任何代理服务端,那你回落要回到哪?最多就是直接回落到服务端上。前置 SS 虽然复杂点但能稍微提升墻内-中转机这段的安全程度,而且性能损耗可以忽略不计,甚至还能減轻终端 TLS 的解密开销,还能解锁更多玩法例如中转机二次分流、Outline 等。( Outline 是国区 App Store 唯一能下载到的 SS 客户端)
|
|
12
383394544 2025 年 7 月 9 日
@mawen0726 而且假设你真的在家宽上“回落”到 HTTPS 网页,反而是没事找事,直接变成在家宽上提供 https 服务,那运营商可要找你麻烦了。
|
|
13
383394544 2025 年 7 月 9 日
iptables 转发:客户端发起 Trojan TLS 连接 → 中转机原封不动把 TLS 包交给落地机 → 落地机解密 Trojan TLS 包进行代理
ss 转发:客户端发起 SS 连接 → 中转机解密 SS 封包将里面的内容再包进 Trojan TLS 里 → 落地机解密 Trojan TLS 包 看出你原先的问题里面的盲点了吗? |
 |
14
datocp 2025 年 7 月 9 日 via Android
好神奇的名词回落,还以为用过的什么 tcp80 负载多协议,奇怪的是除了 ss ,其它的国产 xxx 没一个应用成功。。。
stunnel relay 没有啥分流的事情,手机端 sslsocks+sockstun ,电信中继 vps ,千万条道路通罗马 [client1] CAfile = stunnel.pem verifyChain = yes ;verify= 2 ;verifyPeer = yes ;verify= 3 client = yes accept = 0.0.0.0:1084 connect = ip:80 connect = ip:8443 checkHost = www.apple.com checkHost = www.microsoft.com checkHost = www.symantec.com [TLS_proxy_listener] accept = 1992 connect = 1084 CAfile = stunnel.pem |
|
15
383394544 2025 年 7 月 9 日
@datocp 回落很常见,例如国外应用 quic 连接不了的时候就会 fallback 到 tcp 上。在 Trojan 协议中,回落指的是如果没有用 Trojan 客户端和正确密码连接服务器,服务端就会提供 https 网页,本来是防主动探测用的。
|
|
16
datocp 2025 年 7 月 9 日 via Android
一直用的 haproxy 提供的单端口复用,在 http 上跑了 tls 8443
应用的最多的是 iptables redir 通过多端口指向单端口,随机访问端口来减少流量累积问题发生。 |
|
17
mawen0726 OP @383394544
明白了,就是墙内流量,客户端到中转机用 ss 代替 tls ,然后由中转机对 ss 解密后再进行 tls 发给落地 vps 那好像可以用 xray 的桥接模式实现 我之前直接发 tls 给中转机,但是中转机又没有开发 443 端口,更容易让墙怀疑对吧? |
|
18
mawen0726 OP |
|
19
383394544 2025 年 7 月 9 日
@mawen0726 #17 差不多意思。中转机最好不要主动接收 tls 连接,直接 ss 反而没事,牆内互联不过 gfw 的用 ss 没问题。
|
|
20
383394544 2025 年 7 月 9 日
@mawen0726 前置 ss 还有个好处,就是你可以随意更换落地 vps 的域名,而客户端的 ss 配置保持不变。就不用每换一次落地机改一次配置
|
|
22
mawen0726 OP |
|
24
383394544 2025 年 7 月 9 日
@mawen0726 比起中转协议,现在这个版本你更需要担心的是流量过大被打成 pcdn 。看你感觉对自建和中转都是刚入门,各地网络和运营商情况都不一样,其他人的经验不一定适用于你,自己试会比查资料更准。
|
1
Select Language