一种非常优(安)雅(全)的翻墙方法(VPNGate+OpenVPN+Tor)
特点:免费(使用 Proton VPN 的免费计划)、及其安全(流量难以破解、TLS 协议不容易被发现)、难以封锁(大部分服务器都是志愿者搭建的,因此 IP 也会不断更替)、速度通常可以接受
先说主要原理:
VPNGate (Softether VPN) 会创建一个虚拟网卡,把全部流量都通过这个网卡,再加密。它的作用是用来穿越墙,它并不安全,因为所有服务器都使用同一张证书,因此政府可以自己也创建一个证书进行中间人攻击。(见下面论文的 3.1. Issue 1),它的作用主要是穿透审查防火墙。
相关论文:https://www.hindawi.com/journals/scn/2021/9091675/
OpenVPN 同样会创建一个虚拟网卡,把全部流量都通过这个网卡,再加密。不过幸运的是,这个网卡的优先级比 VPNGate 的高,因此流量会先经过它。它的安全性通常较高,作用是用来保护流量的安全性,并增加一次跳转。
Tor 会把流量经过3层节点跳转并多次加密。它的作用是匿名、保护流量的安全性,并提供3次跳转。
因此流量看起来就像这样:用户->VPNGate 服务器->OpenVPN 服务器->Tor 节点->Tor 节点->Tor 节点->普通网站或 Tor 隐藏服务(暗网)
以下所有内容均以 Windows 为例,需要自行解决下载 VPN Gate 或 Tor 浏览器的问题。部分软件可以在连接了 VPN Gate 服务器和/或 Tor 后下载
下载、安装 VPN Gate
https://www.vpngate.net/cn/download.aspx
选择“下载 SoftEther VPN Client + VPN Gate Client 插件”
下载完成后,解压,运行安装程序
安装完成后,设置 VPN Gate。下文 VPN Gate/Softether VPN/SEVPN 一般都是指带有 VPN Gate 插件的 Softether VPN Client。
为了避免产生不必要的日志,需要禁用 Softether VPN 日志文件夹的写入权限
退出 Softether VPN 并停止服务
打开安装目录,删除以下文件夹的内容(保留文件夹)并禁用写入权限:client_log、packet_log、security_log、server_log
以 client_log 为例:
右键属性-安全-编辑-添加,在“输入对象名称来选择(示例)(E): ”中输入e,回车,此时可以看到添加了“Everyone”用户,在 Everyone 用户中设置拒绝写入的权限(如下图)
单击“确定”或“应用”,如果出现下图,选择“是”
按同样步骤禁用另外3个文件夹 packet_log、security_log、server_log 的写入权限,启动 Softether VPN Client 服务。
下载 OpenVPN Connect,可以在连接到 VPN Gate 服务器后下载。
https://openvpn.net/vpn-client/
下载完成后,安装 OpenVPN
禁用 OpenVPN 日志(无效)
OpenVPN 日志保存在 %appdata%\OpenVPN Connect\log,不过 OpenVPN 很可能会出现错误(如下图),所以不能禁用。
如果不希望 OpenVPN 开机启动,可以按下面步骤操作:
单击菜单->Settings
找到 Launch Options,选择 None
连接 VPN Gate 服务器
启动带有 VPN Gate 插件的 SEVPN,双击“VPN Gate 公共 VPN 中继服务器”
为了避免泄露服务器 IP 等,部分内容已打码
首次连接服务器会弹出此窗口
一般选择 TCP 即可,如果一个服务器不行,使用 UDP 试一试,若还不行选择列表中的下一个。可以只用 TCP 尝试。这需要一定耐心,如果全部服务器都试过了,可能需要刷新列表。强烈建议跳过某些有较严格网络审查的国家,如中国、伊朗、俄罗斯、白俄罗斯等。注意某些时候服务器显示的区域可能不准确。
如果连接了服务器,且服务器所在的地区没有严格的网络封锁,仍然打不开网站,则可能服务器连接已断开(如图 TCP 连接数变为0)
双击下图 VPN Gate Connection 可查看上图信息
下载、安装 Tor(可能需要先连接到 VPN 服务器)
https://www.torproject.org/zh-CN/download/
下载完成后,建议检查安装包数字签名,官方建议的方法:
https://support.torproject.org/zh-CN/tbb/how-to-verify-signature/
也可以使用最简单的方法
安装包右键-属性-数字签名,双击签名列表中的行
签名者名称为 The Tor Project, Inc. 一般就是正确的
安装 Tor 浏览器,也可以用 7-zip 打开(如下图)后把 Browser 文件夹拖到要保存 Tor 浏览器的位置,注意此时不会在桌面生成快捷方式,可以找到 Firefox.exe 后,发送快捷方式到桌面
连接到 VPN 后,打开 Tor 浏览器,搜索引擎如果要使用 DuckDuckGo,建议使用 DuckDuckGo 暗网版(DuckDuckGoOnion)
单击“连接”,等待连接到 Tor 网络
需要注意的是,VPNGate 相当不安全(所有服务器使用相同的证书,容易遭受中间人攻击等),它的作用是穿透防火墙和第一个跳板。因此还需要套一层 OpenVPN(看视频等流量较大的情景) 甚至再加上 Tor(极高安全性), 不过 VPNGate 的优点是速度通常很快。OpenVPN 的作用是提供安全性,Tor 的作用是提供安全性和匿名。
注册 ProtonVPN/ProtonMail
Tor 连接后,打开 https://proton.me/,可能需要暂时将下图设置为“每次询问”,打开后,点“Create a free account”,一般选择“Proton Free”即可,点“Get Proton for free”。不过 Tor 浏览器很可能无法使用图形验证码注册,需要使用短信或邮箱。因此使用 Firefox/Chrome/Safari 等浏览器打开 https://proton.me/,通过验证码注册后,即可关闭浏览器,换成 Tor 浏览器登录。
打开 https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/,登录后,切换到 Proton VPN
打开 OpenVPN / IKEv2 页面
强烈建议选择 Netherlands(荷兰)的服务器,不要选日本的,因为 VPN Gate 很多服务器都是日本或韩国的,跨国有利于增加追查难度;美国则有 NSA 窃听,也不安全。
记下用户名密码,选择一个负载较低的服务器,单击“Download”下载 OpenVPN 配置文件,默认下载的是 UDP 模式的,Select protocol 中选择 TCP,再下载一个配置文件,关闭全部浏览器。
打开 OpenVPN Connect,Import File 选项卡->FILE,拖放下载的配置文件(建议优先使用 UDP 模式),确保 VPN Gate 已连接上,输入用户名密码,单击
按钮,等待连接。
如果报错,先尝试文章后面"-如果连接时报错 使用 OpenVPN Connect 3.4.0 或更高版本时,可能报错(见 OpenVPN 日志)“中的方法,
若还是不行,在菜单->Settings->ADVANCED SETTINGS 中 Security Level 部分选择“Legacy”(默认 Preferred (Recommended))。
打开网页,如果 OpenVPN 统计图中的 BYTES IN 和 BYTES OUT 有变化,且 Softether VPN 连接状态中的输入数据量/输出数据量有变化,则证明可用。按前面的方法直接连接 Tor 即可,所有流量应该先经过 OpenVPN 加密,再通过 Softether VPN 加密。
断开连接时,先退出所有浏览器等使用 VPN 的软件,断开 OpenVPN,再断开 Softether VPN。
_________________
常见问题解答:
-如果连接时报错
使用 OpenVPN Connect 3.4.0 或更高版本时,可能报错(见 OpenVPN 日志):
Unsupported option (ignored)
[resolv-retry] [infinite]
[persist-key]
[persist-tun]
UNKNOWN/UNSUPPORTED OPTIONS
[pull]
[tun-mtu-extra] [32]
[block-outside-dns]
先备份 .ovpn 配置文件,使用记事本打开,删除报错的配置(不包括中括号,否则查找不到),尤其是 UNKNOWN/UNSUPPORTED OPTIONS 这部分里面的,删除 OpenVPN 中已保存的 Profile,导入修改后的。
-为什么 VPN Gate 服务器这么难连接?
为了避免穷举攻击(审查者获取列表并直接拉清单),VPN Gate 服务器列表中混入了非 VPN Gate 服务器的 IP,因此连接到这些 IP 时,不会连接成功。
-那么 V2Ray 之类的协议怎么样,为什么不推荐?
V2Ray 之类的自创协议安全性不敢苟同,设计者通常并不精通密码学,因此很容易遭受中间人攻击(VPNGate 这种所有服务器都用相同证书的也一样),充其量只能作为混淆。我比较信任 TLS/OpenVPN/SSH/WireGuard 这些经过时间考验和大规模使用的协议。
先说主要原理:
VPNGate (Softether VPN) 会创建一个虚拟网卡,把全部流量都通过这个网卡,再加密。它的作用是用来穿越墙,它并不安全,因为所有服务器都使用同一张证书,因此政府可以自己也创建一个证书进行中间人攻击。(见下面论文的 3.1. Issue 1),它的作用主要是穿透审查防火墙。
相关论文:https://www.hindawi.com/journals/scn/2021/9091675/
OpenVPN 同样会创建一个虚拟网卡,把全部流量都通过这个网卡,再加密。不过幸运的是,这个网卡的优先级比 VPNGate 的高,因此流量会先经过它。它的安全性通常较高,作用是用来保护流量的安全性,并增加一次跳转。
Tor 会把流量经过3层节点跳转并多次加密。它的作用是匿名、保护流量的安全性,并提供3次跳转。
因此流量看起来就像这样:用户->VPNGate 服务器->OpenVPN 服务器->Tor 节点->Tor 节点->Tor 节点->普通网站或 Tor 隐藏服务(暗网)
以下所有内容均以 Windows 为例,需要自行解决下载 VPN Gate 或 Tor 浏览器的问题。部分软件可以在连接了 VPN Gate 服务器和/或 Tor 后下载
下载、安装 VPN Gate
https://www.vpngate.net/cn/download.aspx
选择“下载 SoftEther VPN Client + VPN Gate Client 插件”
下载完成后,解压,运行安装程序
安装完成后,设置 VPN Gate。下文 VPN Gate/Softether VPN/SEVPN 一般都是指带有 VPN Gate 插件的 Softether VPN Client。
为了避免产生不必要的日志,需要禁用 Softether VPN 日志文件夹的写入权限
退出 Softether VPN 并停止服务
打开安装目录,删除以下文件夹的内容(保留文件夹)并禁用写入权限:client_log、packet_log、security_log、server_log
以 client_log 为例:
右键属性-安全-编辑-添加,在“输入对象名称来选择(示例)(E): ”中输入e,回车,此时可以看到添加了“Everyone”用户,在 Everyone 用户中设置拒绝写入的权限(如下图)
单击“确定”或“应用”,如果出现下图,选择“是”
按同样步骤禁用另外3个文件夹 packet_log、security_log、server_log 的写入权限,启动 Softether VPN Client 服务。
下载 OpenVPN Connect,可以在连接到 VPN Gate 服务器后下载。
https://openvpn.net/vpn-client/
下载完成后,安装 OpenVPN
禁用 OpenVPN 日志(无效)
OpenVPN 日志保存在 %appdata%\OpenVPN Connect\log,不过 OpenVPN 很可能会出现错误(如下图),所以不能禁用。
如果不希望 OpenVPN 开机启动,可以按下面步骤操作:
单击菜单->Settings
找到 Launch Options,选择 None
连接 VPN Gate 服务器
启动带有 VPN Gate 插件的 SEVPN,双击“VPN Gate 公共 VPN 中继服务器”
为了避免泄露服务器 IP 等,部分内容已打码
首次连接服务器会弹出此窗口
一般选择 TCP 即可,如果一个服务器不行,使用 UDP 试一试,若还不行选择列表中的下一个。可以只用 TCP 尝试。这需要一定耐心,如果全部服务器都试过了,可能需要刷新列表。强烈建议跳过某些有较严格网络审查的国家,如中国、伊朗、俄罗斯、白俄罗斯等。注意某些时候服务器显示的区域可能不准确。
如果连接了服务器,且服务器所在的地区没有严格的网络封锁,仍然打不开网站,则可能服务器连接已断开(如图 TCP 连接数变为0)
双击下图 VPN Gate Connection 可查看上图信息
下载、安装 Tor(可能需要先连接到 VPN 服务器)
https://www.torproject.org/zh-CN/download/
下载完成后,建议检查安装包数字签名,官方建议的方法:
https://support.torproject.org/zh-CN/tbb/how-to-verify-signature/
也可以使用最简单的方法
安装包右键-属性-数字签名,双击签名列表中的行
签名者名称为 The Tor Project, Inc. 一般就是正确的
安装 Tor 浏览器,也可以用 7-zip 打开(如下图)后把 Browser 文件夹拖到要保存 Tor 浏览器的位置,注意此时不会在桌面生成快捷方式,可以找到 Firefox.exe 后,发送快捷方式到桌面
连接到 VPN 后,打开 Tor 浏览器,搜索引擎如果要使用 DuckDuckGo,建议使用 DuckDuckGo 暗网版(DuckDuckGoOnion)
单击“连接”,等待连接到 Tor 网络
需要注意的是,VPNGate 相当不安全(所有服务器使用相同的证书,容易遭受中间人攻击等),它的作用是穿透防火墙和第一个跳板。因此还需要套一层 OpenVPN(看视频等流量较大的情景) 甚至再加上 Tor(极高安全性), 不过 VPNGate 的优点是速度通常很快。OpenVPN 的作用是提供安全性,Tor 的作用是提供安全性和匿名。
注册 ProtonVPN/ProtonMail
Tor 连接后,打开 https://proton.me/,可能需要暂时将下图设置为“每次询问”,打开后,点“Create a free account”,一般选择“Proton Free”即可,点“Get Proton for free”。不过 Tor 浏览器很可能无法使用图形验证码注册,需要使用短信或邮箱。因此使用 Firefox/Chrome/Safari 等浏览器打开 https://proton.me/,通过验证码注册后,即可关闭浏览器,换成 Tor 浏览器登录。
打开 https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/,登录后,切换到 Proton VPN
打开 OpenVPN / IKEv2 页面
强烈建议选择 Netherlands(荷兰)的服务器,不要选日本的,因为 VPN Gate 很多服务器都是日本或韩国的,跨国有利于增加追查难度;美国则有 NSA 窃听,也不安全。
记下用户名密码,选择一个负载较低的服务器,单击“Download”下载 OpenVPN 配置文件,默认下载的是 UDP 模式的,Select protocol 中选择 TCP,再下载一个配置文件,关闭全部浏览器。
打开 OpenVPN Connect,Import File 选项卡->FILE,拖放下载的配置文件(建议优先使用 UDP 模式),确保 VPN Gate 已连接上,输入用户名密码,单击
按钮,等待连接。如果报错,先尝试文章后面"-如果连接时报错 使用 OpenVPN Connect 3.4.0 或更高版本时,可能报错(见 OpenVPN 日志)“中的方法,
若还是不行,在菜单->Settings->ADVANCED SETTINGS 中 Security Level 部分选择“Legacy”(默认 Preferred (Recommended))。
打开网页,如果 OpenVPN 统计图中的 BYTES IN 和 BYTES OUT 有变化,且 Softether VPN 连接状态中的输入数据量/输出数据量有变化,则证明可用。按前面的方法直接连接 Tor 即可,所有流量应该先经过 OpenVPN 加密,再通过 Softether VPN 加密。
断开连接时,先退出所有浏览器等使用 VPN 的软件,断开 OpenVPN,再断开 Softether VPN。
_________________
常见问题解答:
-如果连接时报错
使用 OpenVPN Connect 3.4.0 或更高版本时,可能报错(见 OpenVPN 日志):
Unsupported option (ignored)
[resolv-retry] [infinite]
[persist-key]
[persist-tun]
UNKNOWN/UNSUPPORTED OPTIONS
[pull]
[tun-mtu-extra] [32]
[block-outside-dns]
先备份 .ovpn 配置文件,使用记事本打开,删除报错的配置(不包括中括号,否则查找不到),尤其是 UNKNOWN/UNSUPPORTED OPTIONS 这部分里面的,删除 OpenVPN 中已保存的 Profile,导入修改后的。
-为什么 VPN Gate 服务器这么难连接?
为了避免穷举攻击(审查者获取列表并直接拉清单),VPN Gate 服务器列表中混入了非 VPN Gate 服务器的 IP,因此连接到这些 IP 时,不会连接成功。
-那么 V2Ray 之类的协议怎么样,为什么不推荐?
V2Ray 之类的自创协议安全性不敢苟同,设计者通常并不精通密码学,因此很容易遭受中间人攻击(VPNGate 这种所有服务器都用相同证书的也一样),充其量只能作为混淆。我比较信任 TLS/OpenVPN/SSH/WireGuard 这些经过时间考验和大规模使用的协议。
18 个评论
速度如何?Tor很久不用了,因为慢到吐血,只要速度上不去,怎么也优雅不起来啊
补充:看了葱友的回复,又去装上试了试,现在速度快多了
补充:看了葱友的回复,又去装上试了试,现在速度快多了
有耐心的人可以尝试 VPN Gate
普通人就别试了
普通人就别试了
我推荐翻出墙这一段,选择用自建机场,跟着网上的教程做就可以了
一直都用tor,速度还成,没有普通浏览器那么快,但为了安全延迟半分钟加载出页面算啥
看视频(如 Youtube)等流量较大的场景,一般使用 VPNGate+OpenVPN 即可,没必要用 Tor,上品葱等流量不大和/或敏感的网站,需要强加密或匿名,才需要再加上 Tor,当然如果为了更安全,全程用 Tor 也不是不行,比如 Pornhub 就有暗网版网站(我在说什么
VPN GATE协议特征太明显,容易阻断。VPN连接通过本机V2ray代理上网,然后在虚拟机桥接VPN网卡,再运行Tor就行,如果VPN gate掉线,虚拟机断网,这样很安全。
流量:本地运营商、墙(通过)、虚假的网站(实际上是v2ray)、VPN中继服务器、Tor、出口
流量:本地运营商、墙(通过)、虚假的网站(实际上是v2ray)、VPN中继服务器、Tor、出口
>>VPN GATE协议特征太明显,容易阻断。VPN连接通过本机V2ray代理上网,然后在虚拟机桥接VP...
VPNGate 特征其实并不明显,因为它通常使用标准的 TLS 协议,至少根据墙内用户的报告,通常很稳定。最外层真的没必要用其他的,VPNGate 足矣。
V2Ray 之类的自创协议安全性不敢苟同,设计者通常并不精通密码学,因此很容易遭受中间人攻击(VPNGate 这种所有服务器都用相同证书的也一样),充其量只能作为混淆。我比较信任 TLS/OpenVPN/SSH/WireGuard 这些经过时间考验和大规模使用的协议。
这方式有一个「相关人士」不得不极度重视的「小缺点」:在系统中留下的痕迹过多。
TOR 在这方面很注意,别的就不行。包括各种VPN在内。
另外要说的话,就是「依赖过多」吧。
TOR 在这方面很注意,别的就不行。包括各种VPN在内。
另外要说的话,就是「依赖过多」吧。
对普通人门槛太高了。普通人能搞定个稳定的机场并找到品葱,已经胜过99.99%的人
如果楼主技术能力很强,直接搞个一键脚本之类的东西,不然谁有时间去折腾这些?Openvpn这类东西最初就不是为了GFW量身定制的,再说有的是已经封装好了的现成产品,吃个面包能自己揉面就不错了,难道还要所有人从种麦子学起?
能装上Tor的已经是人群里对隐私和安全非常看重的人了吧,光是Tor的速度和稳定性就能把这些人再劝退9成9。搞网络安全不是要绝对安全,而是在安全和易用性之间找到个符合自己风险的均衡点。
如果楼主技术能力很强,直接搞个一键脚本之类的东西,不然谁有时间去折腾这些?Openvpn这类东西最初就不是为了GFW量身定制的,再说有的是已经封装好了的现成产品,吃个面包能自己揉面就不错了,难道还要所有人从种麦子学起?
能装上Tor的已经是人群里对隐私和安全非常看重的人了吧,光是Tor的速度和稳定性就能把这些人再劝退9成9。搞网络安全不是要绝对安全,而是在安全和易用性之间找到个符合自己风险的均衡点。
>>对普通人门槛太高了。普通人能搞定个稳定的机场并找到品葱,已经胜过99.99%的人如果楼主技术能力很强...
VPNGate 的作用才是穿透防火墙,OpenVPN 的数据包已经被 VPNGate 混淆了。OpenVPN 的作用是加密。
这种方法的缺点是需要安装3个软件,会在系统中留下较多痕迹
我觉得弄两个梯子连一块没必要
使用 OpenVPN Connect 3.4.0 或更高版本时,可能报错,解决方法见文章中“常见问题解答:如果连接时报错”部分。
我用一个warp+就完事了