Xray-core icon indicating copy to clipboard operation
Xray-core copied to clipboard

Published 20 hours ago verified publisher icon XTLS

预防trojan端口阻断的解决方案

Open eastmaple opened this issue 2 years ago • 9 comments

不愿看文字的用户直接点下方的链接跳转项目部署即可 https://github.com/maplecool/easytrojan

  • 仅需输入一行命令,1分钟就可以部署完成
  • 客户端务必按照项目里的说明严格配置

项目说明

  • 该项目使用了caddy+trojan插件的方案,选择这个组合只是因为方便部署,理论上其它的组合也没问题,例如caddy/nginx+xray

  • 这个项目针对10月3日后的高墙做出优化,已对xray系列客户端做了适配

测试说明

  • 经过一个月时间首批用户部署超过100台服务器测试,至发文为止未有一台trojan服务器被封端口,但这不能保证100%不被封

  • 测试的流程数据,在项目结尾有给出

原理说明

  • 关于用户被封的原理,技术层面不做过多解释,用讲人话的方式来说,GFW已经从服务端检测,升级到了客户端检测。

  • 其中ARM设备是重灾区,绝大部分被封端口的用户,是使用了不包含UTLS及类似指纹功能的情况下,通过移动设备或树莓派软路由等设备,去连接trojan

  • 关于开启UTLS后,依旧有部分用户被封端口,这个原因主要来自服务端的适配

网络上搜索到的教程基本没有几个对服务端做出了正确的配置方法,并未对开启UTLS的客户端做相关配置,这也是导致被封的重要原因之一,也是我写这个项目的价值

至于那些质疑方案的,这里不会做任何讨论与回应,拿已经发布的项目部署一个测试下,并严格按照项目说明配置客户端,又或者去项目群里看看那些原本被封了端口,是怎样通过这个项目解决问题的,会有意义的多,解决问题才是第一位的

更多说明

做这个项目的初心,是解决大家被封端口的问题,不求任何回报,只希望如果解决了你被封端口的问题,请去star一下,并在其他用户遇到被封端口的问题时,能够将该项目的链接推荐给他们,让更多的人能看到这个项目就足够了...

eastmaple avatar Dec 01 '22 14:12 eastmaple

个人比较认可移动端(ARM设备)使用会有较大概率被封锁这一观点,与之对比而言,单纯在Windows使用确实不容易被封锁。很好奇OP在项目简介中所说的一个移动端不可描述的原因具体是指什么,tls指纹? aes指纹?(有关注到脚本内对服务端tls加密的设定)。也许有更多的朋友可以做一个对比测试,相同的服务器,同时设定两个节点,一个仅用与Windows端使用(开启utls),一个仅用于手机端使用(开启utls),对比测试看看哪一侧先被封锁。

补充一下另外一个值得注意的点: 务必在服务端Block掉所有CN国内的流量,并定期更新Geo数据.

我个人有节点单纯用于Windows,长期使用未被封锁,但是手机侧使用的节点却比较容易被封锁。

期待有更多朋友的反馈。

FranzKafkaYu avatar Dec 01 '22 15:12 FranzKafkaYu

Don't know why arm device will be prior care. תודה לאל. We all servers survive. So can't have a conclusion.

From: Yu FranzKafka @.> To: XTLS/Xray-core @.> CC: Subscribed @.*> *Date: *Dec 1, 2022 15:44:07 *Subject: *Re: [XTLS/Xray-core] 预防trojan端口阻断的解决方案 (Issue #1397)

个人比较认可移动端(ARM设备)使用会有较大概率被封锁,与之对比而言,单纯在Windows使用确实不容易被封锁。很好奇OP在项目简历中所说的一个移动端不可描述的原因具体是指什么,tls指纹? aes指纹?(有关注到脚本内对服务端tls加密的设定)。也许有更多的朋友可以做一个对比测试,相同的服务器,同时设定两个节点,一个仅用与Windows端使用(开启utls),一个仅用于手机端使用(开启utls),对比测试看看哪一侧先被封锁。

— Reply to this email directly, view it on GitHub[https://github.com/XTLS/Xray-core/issues/1397#issuecomment-1333963831], or unsubscribe[https://github.com/notifications/unsubscribe-auth/AKGBAYHFVIBCAFAQD7FMMD3WLDBUNANCNFSM6AAAAAASQ3CUKY]. You are receiving this because you are subscribed to this thread.[Tracking image][https://github.com/notifications/beacon/AKGBAYBF2WDTWMINBERAP2DWLDBUNA5CNFSM6AAAAAASQ3CUK2WGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTSPQKWDO.gif]Message ID: @.***>

cross-hello avatar Dec 01 '22 16:12 cross-hello

树莓派软路由有解决的办法了吗?

zj9488 avatar Dec 08 '22 08:12 zj9488

Have a try running Trojan/*ray in local terminal of Raspberry Pi directly, then bind the port on Rounter.

From: zj9488 @.> To: XTLS/Xray-core @.> CC: Nanyu @.>; Comment @.**> *Date: *Dec 8, 2022 08:42:13 *Subject: *Re: [XTLS/Xray-core] 预防trojan端口阻断的解决方案 (Issue #1397)

树莓派软路由有解决的办法了吗?

— Reply to this email directly, view it on GitHub[https://github.com/XTLS/Xray-core/issues/1397#issuecomment-1342275900], or unsubscribe[https://github.com/notifications/unsubscribe-auth/AKGBAYFZNK3W772JOPM7CHLWMGNOJANCNFSM6AAAAAASQ3CUKY]. You are receiving this because you commented.[Tracking image][https://github.com/notifications/beacon/AKGBAYCEQWFAKE2WQIT6VYDWMGNOJA5CNFSM6AAAAAASQ3CUK2WGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTSQAGATY.gif]Message ID: @.***>

cross-hello avatar Dec 08 '22 08:12 cross-hello

请问有没有nginx+xray的配置示例?

wjz2001 avatar Dec 14 '22 04:12 wjz2001

实现版主原理配置: 1、反代配置 1)、Nginx配置只用TLSv1.2(禁用TLSv1.3),优先使用服务端的密码套件开启,密码套件用ECDHE-ECDSA-CHACHA20-POLY1305(ECC证书)、ECDHE-RSA-CHACHA20-POLY1305(RSA证书)。 2)、Caddy配置TLS最小与最大为TLSv1.2(禁用TLSv1.3),密码套件用 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256(ECC证书)、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256(RSA证书)。 2、回落配置(不启用XTLS) Xray配置TLS最小与最大为TLSv1.2(禁用TLSv1.3),密码套件用 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256(ECC证书)、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256(RSA证书)。

lxhao61 avatar Dec 14 '22 22:12 lxhao61

个人比较认可移动端(ARM设备)使用会有较大概率被封锁这一观点,与之对比而言,单纯在Windows使用确实不容易被封锁。很好奇OP在项目简介中所说的一个移动端不可描述的原因具体是指什么,tls指纹? aes指纹?(有关注到脚本内对服务端tls加密的设定)。也许有更多的朋友可以做一个对比测试,相同的服务器,同时设定两个节点,一个仅用与Windows端使用(开启utls),一个仅用于手机端使用(开启utls),对比测试看看哪一侧先被封锁。

补充一下另外一个值得注意的点: 务必在服务端Block掉所有CN国内的流量,并定期更新Geo数据.

我个人有节点单纯用于Windows,长期使用未被封锁,但是手机侧使用的节点却比较容易被封锁。

期待有更多朋友的反馈。

I'm pretty sure there's something with the mobile phone. I installed v2ray-plugin on my phone (samsung). The server works fine for a long period, but after vpn was activated on another phone (HW), port 443 of the server was blocked the next day. The version of the plugin is the same.

liujunhui2 avatar Dec 19 '22 01:12 liujunhui2

补充一下另外一个值得注意的点: 务必在服务端Block掉所有CN国内的流量,并定期更新Geo数据.

Blocking CN traffic with geo data does not work. I've tried only white-listing the IP of the client. To get itself white-listed, the client must visit a link before accessing the VPN port. The port was blocked within a couple of days.

liujunhui2 avatar Dec 19 '22 01:12 liujunhui2

@liujunhui74 I think it is two different things

  1. Block client from CN IP This is used to defend against gfw probe (old method)
  2. Block valid client traffic that proxy destination is CN ip This is for a new GFW multi connection analysing capabilities (still waiting for verification)

Thanks for sharing your experience with phones.

yuhan6665 avatar Dec 19 '22 04:12 yuhan6665

https://github.com/XTLS/REALITY#vless-xtls-utls-reality-example-for-xray-core-%E4%B8%AD%E6%96%87

RPRX avatar Feb 21 '23 04:02 RPRX