有好几个月没有写blog了,原因也挺多的。首先过年嘛,一直有点懒散,然后整天写业务代码又无聊又忙,实际可记录的东西本来也不多,又懒的记。一些新工具啥的,感觉记了也没什么意义,反正都记脑子里了。最近读了一些经典框架源码,学了一些源码课程,也挺有一些收获,不过这样的东西更喜欢记实体笔记一些。综上,总而言之挺久没记blog了。
最近Beijing的伟大长城也是越来越狠了,我的ss从一开始的稳定,居然变得不能用了。每次都是刚开始能有连接信息,然后一小会之后,直接telnet都不通了,包括22和ss的端口都断了。换了几十个ip也不管用,port换了无数个,也不管用。
特别是这几周因为贫穷的原因被迫搬家,租到了一个鸟不拉屎的地方,连联通都没得办,非得办啥长城宽带,一听这名字就不是啥好鸟,果然,有了the great wall,你想探头出去看看,不可能的。
但平时下班和周末休息的时候没法翻墙实在是太痛苦了,我尝试了很多种办法之后,找到了一个相对好的方式解决了这个问题,那就是这篇blog的主题了,WireGuard VPN。
wireguard是一种比较新的vpn,基于udp,速度可以说秒杀其他vpn(实测体验),体验几乎不逊色于ss。
并且wireguard配置简单,客户端易用,被集成进了linux内核,也许可以说比ss安全(这点我不确定,但是我的服务器确实ss被全面封杀,但是wireguard用起来轻松愉快)。
所以,很推荐现在用不了ss的朋友试试这个新东西,下面开始配置过程。
首先配置服务端
#推荐使用一键安装脚本,github地址 https://github.com/l-n-s/wireguard-install #过程 wget https://raw.githubusercontent.com/l-n-s/wireguard-install/master/wireguard-install.sh -O wireguard-install.sh bash wireguard-install.sh #然后输入下确定啥的(dns记得选择google的8.8.8.8,4.4.4.4,比较靠谱),你以为一切就ok了,然而一般并不是,你会报错,说啥服务没起来。 #你用systemctl status wg-quick@wg0.service查看一下到底除了啥问题,发现是ip link add dev wg0 type wireguard命令起不来 #再次尝试手动ip link add dev wg0 type wireguard,发现报错,找不到wireguard类型的网卡设备名 #查询了一下,原来是linux内核版本和linux-headers的问题,那么好办了,先更新下内核版本吧 apt-get install linux-image-4.9.0.8-amd64 #然后删除旧版本的linux内核 apt-get remove linux-image-4.x.x.x-amd64 #接着记得安装好对应版本的linux-headers apt-get install linux-headers-4.9.0.8-amd64 #然后重启 reboot #重启完成后手动启动wireguard网卡 ip link add dev wg0 type wireguard #发现启动成功,这就很棒棒了 #现在重启服务吧 systemctl restart wg-quick@wg0.service #查看服务状态 systemctl status wg-quick@wg0.service #很棒棒,又成功了,你得到它了 #然后生成客户端配置文件 wg showconf wg0 #客户端配置文件将自动生成为/etc/wireguard/wg0.conf
服务端这就已经配置完毕了,接着配置客户端(客户端用的Tunsafe,下载在文末)
#将客户端配置文件下载到自己的机器上(客户端),观察下配置文件的内容,其实也挺简单的,就是用rsa公私钥加密通信而已。 #在客户端修改配置文件 [Peer] #添加 Endpoint = [服务端ip地址]:[服务端配置的ip端口号] #配置文件也搞定了。 #客户端使用TunSafe,记得使用前需要先安装环境配置 #点击import,导入下载下来的配置文件 #然后点击connect即可 enjoy it
总的来说,用了也一段时间了,wireguard的稳定性和可靠性还是很棒的,但是还是有些缺点。
比如因为是vpn所以没法像ss一样针对流量做分流,都是用的全局流量。其次,wireguard是用的rsa公私钥做加密的,单配置只针对单用户,需要多人连接需要在服务端配置多用户,也不是那么方便,而且流量管理啥的好像也没啥现成的东西。而且速度确实还是逊色于ss的。(当然,ss现在的封锁力度太大啦。)
好的,就到这里了。
附上tunsafe客户端,方便上不了tunsafe官网的朋友(记得先安装其中的ts环境)
大神,请问下苹果笔记本怎么用这个软件翻墙啊?
服务端配好了同样用tunsafe客户端就行了啊,tunsafe客户端有MAC版本的
学习了,幸好我远离帝都
安全王?贵司应该就是用的stunnel+sniproxy+dns劫持翻墙的,讲道理还是不太安全
没那么高端,直接是调整出口的路由到香港线路。
我最近都是v2ray,感觉也很稳,被封了就试下wireguard