首页 技术交流 正文

最详细的VNet-Tunnel隧道传输SSR流量安装教程-WS协议隧道

最详细的VNet-Tunnel隧道传输SSR流量安装教程-WS协议隧道

本文介绍Vnet隧道使用方案

隧道简介

隧道是将两台服务器相连,加密传输数据。一个机器接收到流量加密成隧道流量发送给另一个,另一个机器接收隧道流量再解密之后发送到你指定的地址和端口,通过隧道流量过墙。

比如用SS-r,端口和地址填a服务器的隧道接收端口和地址,a接收到流量加密一下发送给b服务器,b解密之后在把流量发到你的Ss-r服务器,等于b服务器代替你发送Ss-r流量。一般来说a在国内,b在国外。Ss-r服务器和b可以在一个服务器。

声明:本教程基于Centos7,程序加密,具体安全性未知,后门情况未知。

文件下载地址:https://www.yunyiya.com/download/linux/tunnel.zip

附带的说明文档:https://www.yunyiya.com/download/linux/vnet.pdf

接收端设置

接收端叫server端,也就是服务端,通常是国外服务器,负责接收隧道流量然后解密并转发。

连接上VPS,首先我们确保服务器安装有zip和unzip,执行安装命令

yum -y install zip unzip

下载文件,然后解压缩,之后再赋予执行权限

wget -N --no-check-certificate "https://www.yunyiya.com/download/linux/tunnel.zip" && unzip tunnel.zip && chmod -R +x ./*

然后让程序后台运行

nohup ./server >> /dev/null 2>&1 &

此时建立一个web服务,在浏览器访问VPS的IP的8081端口的地址,比如:

服务器IP:8081/resources/add_server.html

会打开一个界面,点击添加按钮填写配置

如果打不开界面,可能是防火墙问题,请到文章底部查看防火墙设置

第一个远端地址填写的是监听地址,默认的不用管。端口示例12345,此端口任意,需与发送端对应

然后下面那个填写转发地址,就是接收到隧道流量解密之后发送到哪里。比如这个VPS本身搭建了一个8090端口的Ss-r,就转发到本地IP127.0.0.1的8090端口。(文章结尾会附上docker写法)

发送端设置

发送端叫做client,也就是客户端,通常是国内机,负责接收流量然后加密成隧道流量发送给服务端。

同样的,连接上VPS首先我们确保安装有zip和unzip

yum -y install zip unzip

然后下载文件,然后解压缩,之后再赋予执行权限,

wget -N --no-check-certificate "https://www.yunyiya.com/download/linux/tunnel.zip" && unzip tunnel.zip && chmod -R +x ./*

然后后台运行client

nohup ./client >> /dev/null 2>&1 &

此时web访问网址,注意是8080

服务器IP:8080/resources/add_client.html

添加配置

同样如果打不开页面请cha’k后面的防火墙设置

如图,主要修改本地配置的端口号,比如图中就是11080。代表国内鸡使用端口

然后是远端配置,这个地方填写接收隧道流量vps的IP地址,端口随意但需要与接收端相同,这里就填12345然后保存。

此时两个机器直接的隧道就建立起来了,此时大体流程就是你把流量发送到client端的12345端口,然后client通过隧道把流量发到server端,server端接收到隧道流量,还原成你发送的流量再发送到上图中指定的IP地址127.0.0.1的8090端口。隧道不是代理,只是提供流量传输。

CentOS7防火墙设置

首先关闭防火墙

systemctl stop firewalld
systemctl mask firewalld

然后启用iptables

yum install -y iptables
yum install iptables-services -y

设置规则

iptables -F
iptables -P INPUT ACCEPT
iptables -X

NAT机发送端设置

NAT机共享IP,端口也不是独占所有,所以需要端口映射。

一般NAT机端口问题很好解决,一些主机上面板就能直接管理端口映射,所以此处就仅说一下直通端口的映射,也就是开出来机器,主机商直接给你固定的一些端口,这些端口和你的NAT机是直通的。

映射很简单,此处使用防火墙firewall来实现。可以参考我之前发布的firewall教程。

此处比如用22222的直通端口来实现访问8080端口的效果。

首先机器要有firewall并且开启,然后开启路由转发

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf

生效路由转发

sysctl -p

开启流量伪装

firewall-cmd --zone=public --permanent --add-masquerade

开放端口

firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --add-port=22222/tcp --permanent

然后把22222端口流量转发到8080端口

firewall-cmd --add-forward-port=port=22222:proto=tcp:toaddr=192.168.1.136:toport=8080 --permanent

此处的192.168.1.136是NAT的内网IP地址,NAT都会有这个。

然后重新加载防火墙配置

firewall-cmd --reload

此时我们访问22222端口,firewall会把流量发到8080端口,所以访问22222端口等同于访问8080端口。

SSPANEL前端设置

请确保已经安装好单端口承载和偏移

端口偏移至发送机端口,如文章示例的11080,如果承载端口是80。则填写在描述页或地址页#11000

Docker SSR后端配置

以示例的8090端口,承载80为数据

docker run -d --name=容器名称 -e NODE_ID=节点ID -e API_INTERFACE=modwebapi -e WEBAPI_URL=节点地址 -eSPEEDTEST=0 -e WEBAPI_TOKEN==对接密钥 --log-opt max-size=50m --log-opt max-file=3 -p 80900:80/tcp -p 8090:80/udp --restart=always stone0906/ssrmuv2

此部分可查看通过Docker部署端口偏移详解,如果启动失败,请重启服务器再运行

安全部分

细心的小伙伴可能发现了,访问发送端和接收端是无需验证的。这也就意味着只要知道我们的IP谁都可以访问。

我们可以在设置完成后通过关闭端口的方式保证安全。

接收端(国外)关闭8081

iptables -A INPUT -p tcp --dport 8081 -j DROP

发送端(国内)关闭8080

iptables -A INPUT -p tcp --dport 8080 -j DROP

如果国内用的NAT,则关闭对应端口,比如11080

iptables -A INPUT -p tcp --dport 11080 -j DROP

如果要启用端口,在两台服务器上均执行清除规则命令

iptables -F

备注

无论发送端还是接收端,服务器重启后均会丢失数据。

意味着每次我们重启服务器都需要重新启动服务

发送端(国内)

nohup ./client >> /dev/null 2>&1 &

接收端(国外)

nohup ./server >> /dev/null 2>&1 &

且每次重启都需要重新添加规则,所以,尽量不要重启服务器。


请先 登录 再评论,若不是会员请先 注册
召唤伊斯特瓦尔