Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网

本站发布的三种使用 shadowsocks 在 OpenWrt / LEDE 上的自动科学上网方案:

1、Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网
2、Shadowsocks + Redsocks 实现 OpenWRT 路由器自动科学上网 (停止更新)
3、Shadowsocks + GfwList 实现 OpenWRT / LEDE 路由器自动科学上网

这篇文章介绍的方法基于aa65535的luci-app-shadowsocks/openwrt-shadowsocks,介绍了如何在OpenWRT / LEDE下配置自动科学上网,新版本支持在Luci下图形化配置,大大简化了配置过程。配置完成后,路由器本身获得自动科学上网能力,所有连入该路由的设备都可无障碍访问被墙的站点。是运行于路由器的透明代理。

方案简介
方案根据IP判断是否代理,国内IP不代理,国外IP走代理。代理通过shadowsocks所带ss-redir做TCP转发实现,分国内外IP通过国内IP段列表文件chnroute来区别,并通过iptables规则分别处理。

由于是基于IP的判定,故需要解决DNS污染的问题,本方案使用优化的DNS解析方案,除过防DNS污染,同时具有良好的CDN兼容性,大部分情况下是最优的解析结果(缺点是配置过程稍繁琐)。

本方案进一步优化,增加GFWList和Dnsmasq-China-List,使得GFWList中域名强制走代理,而Dnsmasq-China-List中的域名则强制直连,并且可以自行定义强制走代理或者不走代理的域名

本文changelog
[2020.04.01] 优化了端口附加参数部分;优化了custom bypass;添加了OpenWrt19.07可能需要额外安装luci-compat的描述文字。

[2019.05.09] 修订一些错误。

[2018.04.16] 修正部分下载链接。

[2018.04.16] 删除OpenWrt CC版本的安装说明;针对aa65535最新的静态链接编译的版本,修改安装步骤。

[2018.02.23] 部分小错误修订,细节完善(如:增加WAN口DNS设置)。

[2017.10.07] libcares代替libudns,更新安装说明。

[2017.07.22] 跟进luci-app-shadowsocks 1.7.0版本,增加负载均衡说明,修订多进程和TFO的说明。

[2017.06.05] 新增开启TCP Fast Open步骤;新增开启多进程、设置MTU的描述。新增changelog。

[2017.04.09] “附加参数”设置修订。

[2017.03.19] 修订安装步骤。

[2017.02.22] 新增gfwlist配置自动生成脚本;修订chinalist配置自动生成脚本。

[2017.02.09] 支持最新3.x版本shadowsocks-libev;新增LEDE安装说明。

[2017.01.27] 变更DNS方案,DNS部分修订完成;DNS引入dns-forwarder,引入chinalist和gfwlist,新增chinalist配置自动生成脚本。

[2016.12.9] aa65535变更包结构,包名改变;新增访问控制等大量新功能;文章根据新版本重写。

[2014.12 – 2016.11] 各种修订。

[2014-11-18] 首版发布,基于aa65535的shadowsocks-libev-spec。

注:本文不再提供OpenWrt 15.05及以下版本的说明;仅支持LEDE 17.01, OpenWrt 18.06及后续版本

一、安装

适用于 openwrt-shadowsocks 3.0.1及以上版本,搭配 luci-app-shadowsocks 1.6.0及后续版本。

使用OpenWrt 19.07及后续版本的用户可能要安装 luci-compat 才可以正常使用 luci-app-shadowsocks 

所需软件列表

方法一: 添加作者的软件源,直接利用opkg命令安装 (此方式快捷方便,推荐!)

软件源位置:http://openwrt-dist.sourceforge.net/packages/

前提是所用网络环境直连sourceforge.net和downloads.openwrt.org没有问题。

参照 http://openwrt-dist.sourceforge.net/ 里的说明:

首先添加 a65535 的 gpg key,只有这样,第三方的包才能通过签名验证。执行:

打开Luci,定位到“系统”-“软件包”-“配置”选项卡,在“自定义feeds”末尾加入两行并点击“提交”:

请根据自己的CPU架构(可以执行 opkg print-architecture 查看,或者参考“发行版软件源”里的URL里的文本),将mipsel_24kc替换成相应的文本,最后点击提交。

然后执行命令 opkg update 更新软件列表,然后执行下列命令安装依赖包以及shadowsocks相关的软件:


方法二: 手动下载软件包,上传至路由器后安装

如果直连遇到困难(无法连接或者过程中下载总是中断),请继续下面的步骤来安装。实测国内许多ISP,执行 opkg update 和 opkg install 下载安装的时候都可能会遇到卡住、中断的情况,请多试几次。如果尝试多次仍然失败,请参考下面的依赖列表,手动至官方下载站点手工下载。

详细步骤点击展开

依赖包要装全!依赖包要装全!依赖包要装全!重要的事情说三遍!遇到安装问题请参考下列以来列表,看自己装全了没有!

依赖列表

右边注释为该包在官方软件源目录下划分到了哪一类 方便查找

安装过程中如果出现错误提示无法解决,可以留言。

首次安装的话,先确保路由器联网,并更新软件包列表:

注:部分ISP访问OpenWrt官方站点可能会非常缓慢甚至下载失败,此时需要自行在PC上下载上面的依赖包以后自行上传至路由器目录手动安装。

首先,需要手动安装部分依赖包(并不是所有的依赖包,部分依赖包会自动从软件仓库安装)

接下来下载软件,注意需要根据自己的CPU内核架构来进行选择。可使用如下命令查看架构类型:

下载地址: http://openwrt-dist.sourceforge.net/packages/

需要下载的文件:

将下载的包通过WinSCP之类的工具上传至路由器的/tmp目录。

安装shadowsocks, ChinaDNS以及dns-forwarder:

二、shadowsocks 配置

登录Luci,指向“服务”,此时应该能够看到shadowsocks(中文界面下显示“影梭”)了。接下来进行shadowsocks的配置。

I. 添加服务器

第一步先禁用LAN、WAN的ipv6,因为目前此方案的透明代理模式不支持ipv6,如果存在ipv6网络可能会有各种尴尬的问题:

LAN口设置里,将这三个改成已禁用即可:

至于禁用WAN口ipv6,如果你不需要路由器自身翻墙,则可以忽略这一步,否则:

①看看WAN6口有没有获取到IPv6地址,如果均没有跳到③,如果有跳到②;

②删掉WAN6口,保存,重连WAN口,稍等一会儿再看WAN口有没有ipv6,如果没有就完成设置了,如果有,跳到③

③修改WAN口设置,在高级设置里把获取ipv6地址改成禁用

PS:如果你想搞得彻底点,可以不管上面的步骤,直接在/etc/sysctl.conf里面添加两行:

然后执行 sysctl -p  生效,这样会在路由器上整体禁用ipv6。

 

切换到“服务器管理”选项卡,点击“添加”来增加一个服务器配置信息。你也可以同时添加多个服务器配置信息,如下图:

%e6%9c%8d%e5%8a%a1%e5%99%a8%e7%ae%a1%e7%90%861

添加一个服务器配置后,就要填写服务器配置(如下图),服务器地址、服务器端口、密码、加密方式是必须的。建议在别名中为当前配置文件起一个名字;填入信息后保存&应用。插件名称和插件参数留空,因为插件的使用不是本文的讨论范围。服务器地址需要填入IP地址。


II. 设置代理方案

接着切换到“访问控制”页面,一种配置举例如下图(不要抄图中的设置,每个人的情况不同,请参考下文的说明,根据自己情况设置!):

简单的说明一下图中配置的应用场景:

路由器多人共用,只有我使用shadowsocks,因此设置“代理类型”为“直接连接”,此时连入路由的设备访问网络时候默认直连,不走shadowsocks;而我有一台PC、一部手机、一台平板需要走代理,在“内网主机”中配置这三台设备的IP的代理类型为“正常代理”,还有一台PS4,联网游戏需要全局代理,设置他的IP(图中192.168.X.102)的代理类型为“全局代理”;还有一台下载机和一个物联网监控设备,不能让它们走代理,设置他们的IP(192.168.X.103/105)为“直接连接”。

具体使用时,需要根据自己的情况设置。多数情况设置代理类型为“正常代理”即可。具体每个选项的解释如下:

外网区域:控制访问哪些外网地址时走代理/不走代理

忽略列表文件:访问在这个列表中的IP时,不经过shadowsocks代理。这个方案使用chnroute文件作为忽略文件,只有配置了这个文件,shadowsocks才可以自动区分国内和国外IP。由于安装ChinaDNS的带有这个路由表文件,就选择“ChinaDNS路由表”。

不过这个列表需要定期更新,ChinaDNS安装时候附带的那个比较老旧了,需要更新,执行以下命令手动更新(建议ss开启时候更新,更新完后记得重启ss),请确保看到进度条走满,并检查最终的 /etc/chinadns_chnroute.txt 文件,文件中应该是每行一个CIDR。更新过程如果中断,请重试,更新前请备份之前的文件以免出问题。更新完成后,需要重启shadowsocks。

额外被忽略IP:这个列表中的IP强制绕过shadowsocks代理,如果有多shadowsocks服务器的可以将所有服务器的IP填进去,如果是单服务器不用填;其他按需添加。

强制走代理IP:这个列表中的IP强制走shadowsocks代理,填入8.8.8.8和8.8.4.4,其他按需添加。

 

内网区域:控制连入路由的设备访问网络时候的代理方式

共三种代理方式可选:

1.正常代理:使用外网区域设置的方式。

2.直接连接:忽略外网区域的设置,不走代理。

3.全局代理:忽略外网区域的设置,强制走代理。

具体到每个选项:

网络接口:shadowsocks只作用于勾选了的网络接口。默认OpenWRT/LEDE只有一个LAN区域,此处也只会显示一个接口,也就是:“桥接:br-lan”;一般情况勾选它就行。当路由配置了多个LAN区域时候,则会显示多个,比如配置了访客网络,勾选访客网络的接口就可以让shadowsocks的配置在访客网络中生效;如果你不想让访客访问网络时走代理,那么这里不勾选即可。

代理类型:连入路由的设备访问网络时,默认的代理方式。

代理自身:路由设备自身访问网络时的代理方式。使用本文方案时请选择“正常代理”或者“全局”,否则会导致DNS解析出问题,稍后我会修改方案,避免出现这种尴尬状况。

内网主机:单独配置内网特定IP的代理方式,优先级更高。需要为设备划分固定IP地址已达到最佳效果。

全部完成后,点击保存&应用。


III. 开启代理服务

最后切换到常规设置,来完成最终的配置:

运行状态:

透明代理: ss-redir的运行状态,shadowosocks代理的基础服务,提供TCP/UDP透明代理。

socks5代理:ss-local的运行状态,shadowsocks的socks5代理功能,路由器作为socks5代理服务器。

端口转发:ss-tunnel的运行状态,通常用作转发DNS。

透明代理:

主服务器:透明代理使用的默认服务器(TCP透明代理、端口转发两个功能会使用这里选择的服务器),此处从列表中选择你需要使用的服务器。

UDP服务器:UDP透明代理使用的服务器,可以和主服务器一致,也可以不同(也就是可以使用不同的服务器分别代理TCP和UDP连接)。在代理一些外服网络游戏的时候可能比较有用,其他多数情况下可以关闭。开启此项需要服务器支持,服务器端需要开启UDP功能。

本地端口:shadowsocks服务需要占用一个路由器端口,推荐保留默认,但不能和其他运行的程序有冲突,也不能和下面”socks5代理”和“端口转发”中的本地端口冲突。

更新MTU:手工指定MTU值传递给shadowsocks。通常PPPoE宽带连接为1492(也是此处默认值),网线直连以太网为1500。通过执行 ifconfig 可查看MTU值(找到wan口对应网卡设备即可)。也可以通过ping命令测试,具体步骤请超出本文讨论范围,不再叙述。

socks5代理:

有需要就开吧,不知道有用没的话就停用。

端口转发:

通常用于转发DNS请求,本文的方法未用到此功能,不用开启。如需要UDP方式的国外DNS解析,可用这个功能替换掉dns-forwarder.

最后再次保存&应用,并刷新页面,看到“运行状态”中对应的项目显示运行中即表示成功。


IV. 额外的优化

1. 避免高端口走代理

在访问控制→附加参数中选择自定义,填入 -m multiport --dports 22:1023,5228 ,这样可以避免高端口走代理(22:1023是指的代理22~1023所有的端口,后面跟的5228是google play store下载时用到的端口)。P2P类下载软件,多使用高端口,这样的设置可以避免此类软件走代理从而产生高额流量。也可以选择只代理53/80/443(至代理DNS、HTTP、HTTPS流量),或者选择无(不按端口区分走不走代理),请根据情况酌情选择。

如需代理FTP,请选择无,或者确保服务端是主动模式时代理对应的端口(通常是20和21)

你也可以自定义,其实就是iptables的额外参数,举例:

2. 开启 TCP Fast Open (TCP快速打开,缩略为TFO)

需求: 系统内核版本≥3.7,shadowsocks-libev≥3.0.4,luci-app-shadowsocks≥1.6.3;shadowsocks服务端开启tcp fast open。

修改 /etc/sysctl.conf ,加入如下一行:

执行如下命令使之生效:

然后在luci-app-shadowsocks的服务器设置中勾选TCP快速打开即可:

保存并应用即可。

2. 多服务器负载均衡

负载均衡可以使用多个服务器同时代理,使用时不同的TCP连接会分别分配到不同的服务器上,因此在多线程下载/上传时候可以做到带宽叠加提升速度。1.7.0版本加入此特性,使用方法也很简单,点击主服务器右边的加号再添加一个服务器即可,使用前请确保CPU不成为性能瓶颈,否则也只是徒增负载而已。注意使用多服务器负载均衡时, 可能会导致某些网站登录异常。

下面的描述针对使用多核心CPU的用户:

上面的配置其实是对HK2和HK1两个服务器分别开了一个进程,如果使用的是多核心CPU的路由器,建议使用多服务负载均衡,将进程数开到和CPU核心数(有超线程技术的则是和线程数)保持一致。如果不想使用多服务器负载均衡,只是想使用单一服务器,或者只有一个服务器可用,那么可以添加相同的主服务器,这样虽然对于网速没有改善,不过可以充分利用多核心的性能。

 

三、DNS配置

到此虽然shadowsocks配置完成,不过还没有进行DNS部分的配置,只有完成了DNS的配置才能解决DNS污染并优化DNS解析,接下来的部分来对DNS的配置进行说明。

PS:DNS的调试可以使用dig

I. DNS转发链图示

完整的DNS转发链如下图所示,先在dnsmasq这一层利用China-List和GFWList进行国内和国外域名区分,不在这两个列表中的域名交给ChinaDNS来区分;区分完毕后,国内的直接通过UDP协议交给国内DNS处理,国外的则会先利用dns-forwarder转成TCP协议后,走shadowsocks代理后交给国外DNS处理。

之所以交给国外DNS查询之前要转成TCP协议,是因为实际使用时候发现,UDP方式的查询在很多ISP的网络中不稳定,会造成各种异常,甚至使得ChinaDNS卡死,而且UDP方式对于部分特殊ISP甚至完全不可用;而TCP方式较为稳定,不过会相对慢一些,但绝大数情况下不会有明显差异。因此本文默认使用TCP方式。如果你需要使用UDP方式(比如说对DNS查询延迟要求很高),那么请使用shadowsocks的端口转发(ss-tunnel)替换此处的dns-forwarder。

其他转TCP查询的方式可以参考:《TCP 方式查询解决 DNS 污染问题》

II. DNS转发链的基本配置

luci界面,“服务”→”DNS 转发”(英文界面是DNS Forwarder),如图配置:

dns-forwarder

“服务”→”ChinaDNS”,如图配置,建议修改114.114.114.114为你ISP的DNS地址(此处5311为DNS Forwarder的监听端口,需要和上面dns-forwarder设置保持一致):

chinadns

在Luci中切换至“网络”-“DHCP/DNS”设置,如下图,在”DNS转发”中填入:127.0.0.1#5353

dns

其中,5353是ChinaDNS的本地端口,需要和上面ChinaDNS设置保持一致。

然后切到HOSTS和解析文件选项卡,勾中“忽略解析文件”,否则,dnsmasq会引入WAN口自动获取的DNS,造成DNS污染。

4

另外,请记住原来的设置(如下图),免得哪天想要撤掉科学上网的时候改不回去了,注意取消勾选后下面的“解析文件”里的值需要重新填写。

problem1

 

如果你需要路由器自身也能翻,那么到这里还没结束,因为目前的DNS设置不会对路由器自身访问WAN时候的DNS请求生效,还要下面的的额外步骤:

切换到WAN口设置→高级设置,取消“

同时也请记住你修改过这里的配置,那天你想撤掉科学上网的时候记得把这个改回去。

 

至此,DNS的基本功能的配置结束,应该可以正常科学上网了,此时可以尝试一下是否成功。然而此时区分国内国外域名全靠ChinaDNS,但是ChinaDNS的判断并不一定是准确的,需要优化。“DNS转发链的优化配置”部分会加入GFWList和China-List,来优化国内国外域名的解析。

III. DNS转发链的优化配置

1. 修改dnsmasq配置:

新建目录  /etc/dnsmasq.d ,然后执行:

如果返回值为 uci: Entry not found 或者其他非  /etc/dnsmasq.d 的值,则执行:

如果需要增加缓存条数,对应需要执行:

如果返回值为 uci: Entry not found ,则执行(缓存条数酌情设置):

如果返回值是一个数字,说明设置过该选项,但如果感觉小了,运行如下命令修改该值:

然后为了正常使用下面用到的脚本,需要安装可信根证书以及curl:

2. 添加gfwlist和China-List配置文件(此部分配置和“四、按域名指定是否走代理”部分的配置二选一):

(感觉下面的步骤有难度的,或者单纯不想用自动脚本生成的,可以使用现成的配置文件来代替下面的操作,但需要进行批量替换,将China-List中的DNS改成你ISP的DNS,将GfwList中的DNS改成127.0.0.1#5311。下载地址:dnsmasq_gfwlist.confaccelerated-domains.china.conf

下面的步骤会使用我编写的脚本来自动生成配置文件,脚本放在github维护,可能随时更新,可到gfwlist2dnsmasq, openwrt-scripts查看最近更新的动态。

下载自动生成规则文件的脚本:

逐条执行,并重启dnsmasq(记得下面命令中114DNS换成ISP的DNS):

完成后可自行查看 /etc/dnsmasq.d/accelerated-domains.china.conf 和文件,如有不需要的域名,注释掉或者删除即可(eg: 我这里港服PS Store直连很慢,于是在列表中搜索playstation关键字,将对应行用#注释掉。如果直连不慢建议不要更改)

PS:路由性能不好的,慎用China-List。

四、按域名指定是否走代理(可选)

这一部分的配置用于替代 “三.III.2. 添加gfwlist和China-List配置文件”中的步骤。请在完成“三.III.2. 添加gfwlist和China-List配置文件”前面的配置后进行这一部分的配置。

下面的步骤会使用我编写的脚本来自动生成配置文件,脚本放在github维护,可能随时更新,可到gfwlist2dnsmasq, openwrt-scripts查看最近更新的动态。

先使用dnsmasq-full替换掉原有的dnsmasq,由于先卸载dnsmasq后很可能会导致后面下载dnsmasq-full包的时候无法域名解析,从而导致下载失败,因此这里使用一个取巧的办法,先尝试安装dnsmasq-full:

然后会收到错误信息(原因是文件冲突),dnsmasq-full也不会成功安装;但是不用管,因为此时dnsmasq-full的依赖包应该已经装好了。接下来到openwrt官网下载dnsmasq-full的包,举例:https://downloads.openwrt.org/releases/packages-18.06/arm_cortex-a9_vfpv3/base/dnsmasq-full_2.80-1_arm_cortex-a9_vfpv3.ipk

然后将ipk包上传到路由器/tmp目录,并执行如下命令:

I. China-List强制直连 自定义域名强制直连

下载并执行自动生成规则文件的脚本,并重启dnsmasq(记得命令中114DNS换成ISP的DNS):

完成后可自行查看 /etc/dnsmasq.d/accelerated-domains.china.conf 和文件,如有不需要的域名,注释掉或者删除即可(eg: 我这里港服PS Store直连很慢,于是在列表中搜索playstation关键字,将对应行用#注释掉。如果直连不慢建议不要更改)

接着可以继续添加自己的需要强制不走代理的域名,在 /etc/dnsmasq.d 目录下新建 custom_bypass.conf ,按照下列格式添加(把114替换成ISP的DNS):

建议把所有.CN域名强制不走代理,玩steam、ps等的玩家也酌情将对应的域名添加进来,相关的域名列表可以在网络上搜索获取。

一个站点很可能存在CDN,此时也要将对应CDN域名加进来,并且站点页面也可能加载了多个域名的资源,这些域名也要酌情加入进来,可以使用浏览器的开发者工具查看这些域名。

最后不要忘记重启dnsmasq:

PS:路由性能不好的,慎用这一部分的配置。

II. GFWList强制走代理 自定义域名强制走代理

下载自动生成规则文件的脚本并执行:

接着可以增加自己的强制走代理的域名,在 /etc/dnsmasq.d 目录下新建 custom_forward.conf ,按照下列格式添加(5311对应dns-forwarder端口):

一个站点很可能存在CDN,此时也要将对应CDN域名加进来,并且站点页面也可能加载了多个域名的资源,这些域名也要酌情加入进来,可以使用浏览器的开发者工具查看这些域名。

最后不要忘记重启dnsmasq:

四、其他

一些强烈推荐的额外设置项(涉及到更新、维护)可以参考:《Shadowsocks for OpenWRT / LEDE 拾遗》

需要自己搭建服务器的,可以参考:shadowsocks – libev 服务端的部署

推荐的VPS商家见:https://cokebar.info/about

本博客有关 shadowsocks 文章合集目录

五、写在最后

本人作为一名普通使用者,水平有限,且文章也缺乏校审,肯定有错误存在,也有很多能改进的地方,如有意见或建议,请留言指出,万分感谢! 如果使用时遇到问题也欢迎留言,本人如果有空都会回复,不过请一定要将出错信息贴出来,有些错误信息需要到系统日志中查看。

2,168 条评论

  1. zqgoa01 回复

    经过测试不管用方案几,电脑端正常访问外网,移动端不能访问外网,要把 /etc/init.d/chinadns里的 -s ${server:-114.114.114.114,8.8.4.4} \这行删除就可以正常使用了,不清楚是什么原因,网页端用方案二、三都可以正常使用

    1. lantsing 回复

      谢谢,原来手机不能访问是这个原因,另外,我发现opkg update也无法使用了。

    2. cokebar 文章作者 回复

      我这篇写的时候还不是这个脚本 作者更新了 我还没测试 你确定luci里面填好了?

    3. cokebar 文章作者 回复

      把这句去掉的话 chinadns会使用默认的DNS 在luci里的更改就没用了 用dig测试一下看看是什么类型的错误。还有 所有终端请清空DNS缓存,手机要开关一次飞行模式,并关闭其他任何代理程序

      1. zqgoa01 回复

        是完全按你教程来的,软件包也是最新的,还按你的另一篇教程安装了pdnsd,还是移动端不能访问,后来想起以前老的教程是删除那行可以移动端访问,新教程测试好久无解,试着删除那行果然可以正常访问,后来用别人的ip账号测试不用删除那行可以正常访问,可见你的教程没问题,问题出在ss账号,我的ss账号是域名自己转为ip地址来用的,可能如果是域名账号按你的教程只能电脑端用,如果想移动端使用必须删除那行

        1. cokebar 文章作者

          好吧原来又是域名的问题;用域名会带来各种问题,在路由刚启动时候,shadowsocks运行起来时候,WAN口还不一定已经连通了,此时即时ss-rules脚本里已经写了用114DNS做解析的过程依然会解析失败(因为网都不通怎么解析),如此一来shadowsocks就会无法正常连接。

        2. cokebar 文章作者

          而你的情况稍加分析就明白是为什么了,还不是因为WAN口网络未通。你去掉那一行以后,chinadns就无法读入luci里的配置了,会按照默认的114DNS和Google DNS来解析,此时可以通畅证明chinadns没有问题,shadowsocks也没有问题;但是加上就不行了,可以看出你的参数有问题,导致chinadns失效;你在路由器配置了pdnsd,很有可能是pdnsd没有正常工作所致;PC端能访问往往是因为dns缓存还在。顺道你也看看移动设备是否正常获取了DNS服务器(你的路由IP)

    4. aa65535 回复

      这个是设置默认 server 值来的,你删除后使用的是 chinadns 内置的上游服务器 “114.114.114.114,8.8.8.8,208.67.222.222:443,208.67.222.222″,所以你需要确认自己填写的 chinadns 上游服务器是可用的,如果填写的不对自然不能解析。

    1. cokebar 文章作者 回复

      下官方版本 正式版是BB12.07

  2. mervynsword 回复

    感谢,另请教下,作为小白,不知道基于OpenWRT的华硕路由器官方固件是否支持?还有就是,虽然我现在是自购VPS搭建的SS代理,但是因为不是很懂技术,所以使用的是clowwindy在Linode上做好的一键搭建,完全不知道是否已经包含了DNS服务器组件,但是访问U2B什么的都是把我认成在日本的,求指点怎么确认啊?

    1. cokebar 文章作者 回复

      使用浏览器插件(SwitchySharp)做socks5代理的方式的话 是全部UDP、TCP流量都转发 包括DNS请求会全走shadowsocks。手机端的话需要开启UDP转发功能。
      U2B是否把你认成日本的和你是否优化了DNS解析没关系;你源IP在日本所以U2B给你认到日本了,服务器你并不一定连得是离日本近的服务器。典型的你可以试试facebook。
      还有就是即时有些厂商的路由器产品是基于OpenWRT的,你也请刷到OpenWRT原版。厂商不免对其有所定制,往往会替换掉Luci,导致前面提到的两个Luci-app无法显示出来,只能手动用shell配置

      1. mervynsword 回复

        就没有别的办法查看么?比方说服务器端用PS -EF命令是否能查看到对应的进程?

    2. cokebar 文章作者 回复

      如果是ss提供的一键搭建的话 肯定是没有DNS服务器的。你用客户端的DNS解析都是通过ss转发了而已相当于方案二

    3. aa65535 回复

      python 版默认可以使用UDP转发功能。

  3. TwoBall 回复

    OpenWrt PandoraBox 12.09.1 版本 ShadowSocks 未运行一直不能运行。求解决办法,有没有手动运行的命令

    1. cokebar 文章作者 回复

      请刷官方原版OpenWRT Barrier Breaker 12.07正式版,不要用unofficial及trunk版

      1. TwoBall 回复

        可是我的小米mini没有对应的固件啊,我怕变砖的说。附上手动/etc/init.d/shadowsocks start 错误代码
        ipset v6.11: Error in line 1: Cannot open session to kernel.
        iptables-restore v1.4.10: unknown option --to-ports'
        Error occurred at line: 4925
        Try
        iptables-restore -h’ or ‘iptables-restore –help’ for more information.
        有没有其他办法大神。

        1. aa65535

          iptables 模块缺失,需要安装 kmod-ipt-nat ,这个有内核依赖。

    1. cokebar 文章作者 回复

      额 那是aa65535 原作者写的啊喂! 那个相当于我这里的方案二。 不过别改chinadns的启动脚本,会造成luci界面的配置完全失效的,因为那个方式是之前没写出luci界面之前的方式。现在还是老老实实图形界面比较好

      1. lantsing 回复

        这个我明白,图形界面和改脚本不能共存,只能选其一,推荐图形界面。还有,楼主,请问ShadowVPN又怎么用?就是aa65535的方案6,太简单看不明。最后,我找到了无法更新软件包的方法,就是putty下运行rm /etc/resolv.conf和ln -s /tmp/resolv.conf.auto /etc/resolv.conf,重置一下LuCI的OPKG-配置就可以。新手刚玩OpenWRT两三天,就知道这么点。

        1. aa65535

          方案6的话就是那么简单,因为不需要考虑UDP转发之类的,chinadns默认就行了,设置的东西很少。

      2. lantsing 回复

        还有,更新chnroute,可以使用下面的命令而不需要libcurl和curl两个包:wget -O- ‘http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest’ | awk -F\| ‘/CN\|ipv4/ { printf(“%s/%d\n”, $4, 32-log($5)/log(2)) }’ > /etc/shadowsocks/ignore.list

  4. disconnect 回复

    我的chinadns工作了1天半之后就起不来了,ssh到路由器去手工启动的话,提示我找不到iplist.txt。。。我只好删掉了chinadns,现在好了原来的dnsmasq的工作也不正常了,如果不填入dns转发ip的话,完全就没法工作,我只好在dns转发地址这里填入114.114.114.114来维持工作

    1. cokebar 文章作者 回复

      因为前面的步骤忽略解析文件会让dnsmasq忽略dhcp获得来的dns,也就是强制不使用isp的dns
      重装一下chinadns吧

    2. cokebar 文章作者 回复

      你肯定是按照上面的步骤删除了chinadns_chnroute.txt ,然后去做ignore.list的符号链接 但是没做好

  5. wangsmile 回复

    我重新安装BB了,不过出现问题,无法翻WALL。

    PC机上tracert http://www.youtube.com 出现无法解析目标系统名称,如果tracert http://www.sina.com.cn则成功。

    我进whatismyip.com 看是我VPS的IP。
    chinadns的上游服务器是我VPS上安装的DNS服务器IP。但打开外网站还是不行。

    按你说的一级一级排查:

    先检查dnsmasq这一级:dig @192.168.1.1 http://www.youtube.com 失败。

    再dig @192.168.1.1 -p 5353 http://www.youtube.com 成功。

    怎么是dnsmasq的问题?如何解决?

    1. cokebar 文章作者 回复

      shadowsocks的udp转发关了么? chinadns端口是5353的话 dnsmasq里面填入127.0.0.1#5353了么 还有检查之前先重启dnsmasq PC机上先ipconfig /flushdns

      1. wangsmile 回复

        SS的UDP转发没勾的。CHINADNS本地端口5353,然后dnsmasq里是输入:127.0.0.1#5353。好奇怪。早上我拿路由器放单位去了,也是这样情况。

        我看dnsmasq 里的高级设置 好多是灰色假值的。

        您判断哪些服务是成功的,哪些是可疑可能失败的呢?

        1. cokebar 文章作者

          你是不是之前按我那篇pdnsd调了,如果不用pdnsd,dnsmasq端口记得改回53,LAN口配置那条6,192.168.1.1也给去掉。如果用pdnsd 那么dnsmasq下的配置就是无效的 改pdnsd

        2. wangsmile

          您这贴子的域名好像今天抽风,经常打不开。

          我只在VPS上安装了PDNSD,但我没有在OPENWRT上安装pdnsd。

          我发现原因了,原来这个固件的本来已经存在的dnsmasq.conf的这个文件,符号链接到了/etc/dnsmasq.d

          而dnsmasq.d目录下的gfw.conf内容竟然是:

          #Google and Youtube

          server=/.google.com/127.0.0.1#1053

          server=/.google.com.hk/127.0.0.1#1053

          server=/.gstatic.com/127.0.0.1#1053

          server=/.ggpht.com/127.0.0.1#1053
          .
          .
          .

          按说应该是5353吧,但LUCI图形界面好像改不了这个文件的内容。
          我就把dnsmasq.conf里的那条符号链接注释了,就全好了。。。感谢!

          另外上次发现ss如果用域名的话,有时候进程会down…现在都改用IP了。

        3. cokebar 文章作者

          我这里访问没有问题,应该是你的网络问题,或者是你访问时候我正在改wordpress代码(今天加了分页页码显示) 下次我如果改代码调试时候会先关闭站点的以免蛋疼。
          总之整好了就行

  6. lantsing 回复

    wlan设备无法翻墙怎么处理?莫非真的只能改/etc/init.d/chinadns

    1. cokebar 文章作者 回复

      不要用域名

  7. nero 回复

    我在ChinaDNS-C里填的
    上游DNS服务器是114.114.114.114,8.8.8.8
    端口是5353

    然后DHCP/DNS那里也改127.0.0.1#5353了

    运行SS以后youtube和facebook上不去。谷歌能开 也能搜索。

    另外我的固件里的SS没有UDP转发这一个选项的。请问是不是这个原因导致的,我的路由器是网件4300,也是ar71xx系列。如果是这个ss缘故,还请博主给个可用的SS版本。
    万分感谢

    1. cokebar 文章作者 回复

      1. nero 回复

        我在linode上dig出这个IP 74.125.235.100

        然后添加到哪里呢。

        1. cokebar 文章作者

          在PC机上dig检查,分别
          dig www.youtube.com
          dig @192.168.1.1 -p 5353 www.youtube.com

    2. cokebar 文章作者 回复

      粘贴这种文本请用code标签。
      看不到你不加-p 5353的结果。另外,flushdns,重启浏览器也是需要的。也要确保PC机的DNS是路由器

      1. nero 回复

        博主 这个回复框没有html标签可以用啊 我弄到网盘里可以在线预览的麻烦你看下了http://pan.baidu.com/s/1eQJ52L0

        THX

  8. wangsmile 回复

    楼主,另外请教个问题,上次您说ipset的工作效率好,有的固件没有安装ipset,自动就转为iptables工作了。
    那都安装的话,如何判断是ipset在工作而不是iptables呢?

    1. cokebar 文章作者 回复

      有ipset优先ipset。运行ipset list应该可以看到很长的chnroute的IP列表,而iptables –list的输出则没有这个列表

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

请输入验证码 *