登录
  • 人们都希望被别人需要 却往往事与愿违
  • 古代愚民政策是不许民众受教育, 现代愚民政策是只许民众受洗脑教育

在LEDE/OpenWRT上使用ShadowTLS

翻墙 Benny小土豆 6819次浏览 2060字 6个评论
文章目录[显示]
这篇文章在 2024年01月15日21:26:25 更新了哦~

前几天我的Trojan连续被墙了两次。尽管Trojan装作自己是正常且普通的https流量,但还是中枪了。可能是因为最近日子比较难过,或者热门机房不明大量流量引起了怀疑

有一个比较类似的东西,叫ShadowTLS,也是用来伪装流量的,体验了一下感觉也不错。

ShadowTLS本身并不提供加密代理,所以我们往往还要配合一个Shadowsocks、vmess或者trojan之类的东西。也就是说,服务端要跑 ShadowTLS Server和Shadowsocks Server,客户端要跑ShadowTLS Client和Shadowsocks Client。当然,艺高人胆大的你也可以把shadowsocks替换成nc,なんでもないよ!

服务端配置

以docker为例,直接参考官方wiki改改就行了,需要注意的是这里必须要用host网络模式,因为要配置ss-server绑定到 ShadowTLS的地址(通常我们是监听到0.0.0.0),因此host模式最简单,如果需要使用 v3 那么加个 V3=1即可

version: '2.4'
services:
  shadowsocks:
    image: shadowsocks/shadowsocks-libev
    restart: always
    network_mode: "host"
    environment:
      - SERVER_PORT=24000
      - SERVER_ADDR=127.0.0.1
      - METHOD=aes-256-gcm
      - PASSWORD=test-ss-password

  shadow-tls:
    image: ghcr.io/ihciah/shadow-tls:latest
    restart: always
    network_mode: "host"
    environment:
      - MODE=server
      - LISTEN=0.0.0.0:443
      - SERVER=127.0.0.1:24000
      - TLS=www.microsoft.com:443
      - PASSWORD=test-shadow-tls-password
  • test-ss-password ss客户端使用的密码,客户端使用ShadowTLS的监听端口443来连接
  • test-shadow-tls-password ShadowTLS客户端使用的密码

Shadowrocket客户端配置

如果你使用shadowrocket,那么就很简单了,正常配置,端口写ShadowTLS的443,插件-ShadowTLS,版本2,填入密码和host(本例www.microsoft.com

在LEDE/OpenWRT上使用ShadowTLS

手动配置客户端

shadow-tls-aarch64-apple-darwin client --server IP:443 --sni www.microsoft.com --password test-shadow-tls-password --listen 127.0.0.1:3443

sslocal -s localhost:3443 -m aes-256-gcm -k test-ss-password -b 127.0.0.1:17765

这样一波操作之后,你的 17765就是socks5了,ProxySwitchyOmega之类的配置一下就可以用了。

docker-compose配置客户端

这里没有必要host网络,ss-local连接到ShadowTLS的监听端口就可以,由于都在一个网络里,所以直接指定容器名tls就可以了。

version: '2.4'
services:
  shadow-tls:
    image: ghcr.io/ihciah/shadow-tls:latest
    restart: always
    environment:
      - MODE=client
      - LISTEN=0.0.0.0:3443
      - SERVER=64.176.34.43:443
      - TLS=www.microsoft.com
      - PASSWORD=test-shadow-tls-password

  shadowsocks:
    image: shadowsocks/shadowsocks-libev
    restart: always
    command: ss-local -s shadow-tls -p 3443 -l 17765 -b 0.0.0.0 -k test-ss-password -m aes-256-gcm
    ports:
      - "127.0.0.1:17765:17765"

LEDE/OpenWRT配置

基本和上面一样,也许已经有人做过插件了?反正也要先运行ShadowTLS

在LEDE/OpenWRT上使用ShadowTLS

然后去LUCI中添加配置,ss服务器地址写127.0.0.1,端口写3443(ShadowTLS的端口)启动服务。这里有一个需要注意的点,如果你的运行模式是GFWlist,那么没问题;如果是全局或者chnroute(绕过大陆IP),那么就会打环。我一般喜欢用chnroute,两边的好处都占🙃️

在LEDE/OpenWRT上使用ShadowTLS

此时要做的事情是添加一个例外,在我的这个插件里,是访问控制- WAN IP访问控制 -不走代理的WAN IP

在LEDE/OpenWRT上使用ShadowTLS

其他的插件,比如passwall,也应该有类似的设置🫠

 


文章版权归原作者所有丨本站默认采用CC-BY-NC-SA 4.0协议进行授权|
转载必须包含本声明,并以超链接形式注明原作者和本文原始地址:
https://dmesg.app/lede-shadowtls.html
喜欢 (1)
分享:-)
关于作者:
If you have any further questions, feel free to contact me in English or Chinese.
发表我的评论(代码和日志请使用Pastebin或Gist)
取消评论

                     

去你妹的实名制!

  • 昵称 (必填)
  • 邮箱 (必填,不要邮件提醒可以随便写)
  • 网址 (选填)
(6)个小伙伴在吐槽
  1. 当年相信 Google 不做恶 现在相信 CloudFlare 一直都会是大好人 土啊豆要咩研究下 HeadScale+TailScale 自建大内网? 虽然自己建比白嫖贵 但是 IDC 业务比较单一 作恶的理由更少
    佛山蓝色妖姬2023-06-21 05:40 回复
  2. 去年初我就发现Trojan不好用了,还好咬咬牙润出来了,告别了折腾 VPN 的日子
    springwood2023-06-04 06:00 回复
  3. 如果把Trojan放在Nginx后面的话HTTPS流量不就是正常NGINX流量嘛,为啥会被识别。
    Arm2023-06-01 08:00 回复
  4. 关于Trojan,已经有这样的检测了:https://github.com/XTLS/Trojan-killer 不知道v2ray和xray这些还能活多久呢?最近好像又出了个singbox
    nameless2023-05-28 14:57 回复
  5. 你要不花点快递费把自己的机器从国内捞出来?
    Ken2023-05-26 05:58 回复
  6. 老胡在用Naiveproxy,稳定了快两年了,另外两个VPS用的Xray Reality、Geph,Geph稳了一年了,Xray也稳了一两个月了 当然也可能是我的流量小,每个月不超过100G
    老胡2023-05-25 15:35 回复