Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网

本站发布的三种使用 shadowsocks 在 OpenWrt / LEDE 上的自动科学上网方案:

1、Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网
2、Shadowsocks + Redsocks 实现 OpenWRT 路由器自动科学上网 (停止更新)
3、Shadowsocks + GfwList 实现 OpenWRT / LEDE 路由器自动科学上网

这篇文章介绍的方法基于aa65535的luci-app-shadowsocks/openwrt-shadowsocks,介绍了如何在OpenWRT / LEDE下配置自动科学上网,新版本支持在Luci下图形化配置,大大简化了配置过程。配置完成后,路由器本身获得自动科学上网能力,所有连入该路由的设备都可无障碍访问被墙的站点。是运行于路由器的透明代理。

方案简介
方案根据IP判断是否代理,国内IP不代理,国外IP走代理。代理通过shadowsocks所带ss-redir做TCP转发实现,分国内外IP通过国内IP段列表文件chnroute来区别,并通过iptables规则分别处理。

由于是基于IP的判定,故需要解决DNS污染的问题,本方案使用优化的DNS解析方案,除过防DNS污染,同时具有良好的CDN兼容性,大部分情况下是最优的解析结果(缺点是配置过程稍繁琐)。

本方案进一步优化,增加GFWList和Dnsmasq-China-List,使得GFWList中域名强制走代理,而Dnsmasq-China-List中的域名则强制直连,并且可以自行定义强制走代理或者不走代理的域名

本文changelog
[2020.04.01] 优化了端口附加参数部分;优化了custom bypass;添加了OpenWrt19.07可能需要额外安装luci-compat的描述文字。

[2019.05.09] 修订一些错误。

[2018.04.16] 修正部分下载链接。

[2018.04.16] 删除OpenWrt CC版本的安装说明;针对aa65535最新的静态链接编译的版本,修改安装步骤。

[2018.02.23] 部分小错误修订,细节完善(如:增加WAN口DNS设置)。

[2017.10.07] libcares代替libudns,更新安装说明。

[2017.07.22] 跟进luci-app-shadowsocks 1.7.0版本,增加负载均衡说明,修订多进程和TFO的说明。

[2017.06.05] 新增开启TCP Fast Open步骤;新增开启多进程、设置MTU的描述。新增changelog。

[2017.04.09] “附加参数”设置修订。

[2017.03.19] 修订安装步骤。

[2017.02.22] 新增gfwlist配置自动生成脚本;修订chinalist配置自动生成脚本。

[2017.02.09] 支持最新3.x版本shadowsocks-libev;新增LEDE安装说明。

[2017.01.27] 变更DNS方案,DNS部分修订完成;DNS引入dns-forwarder,引入chinalist和gfwlist,新增chinalist配置自动生成脚本。

[2016.12.9] aa65535变更包结构,包名改变;新增访问控制等大量新功能;文章根据新版本重写。

[2014.12 – 2016.11] 各种修订。

[2014-11-18] 首版发布,基于aa65535的shadowsocks-libev-spec。

注:本文不再提供OpenWrt 15.05及以下版本的说明;仅支持LEDE 17.01, OpenWrt 18.06及后续版本

一、安装

适用于 openwrt-shadowsocks 3.0.1及以上版本,搭配 luci-app-shadowsocks 1.6.0及后续版本。

使用OpenWrt 19.07及后续版本的用户可能要安装 luci-compat 才可以正常使用 luci-app-shadowsocks 

所需软件列表

方法一: 添加作者的软件源,直接利用opkg命令安装 (此方式快捷方便,推荐!)

软件源位置:http://openwrt-dist.sourceforge.net/packages/

前提是所用网络环境直连sourceforge.net和downloads.openwrt.org没有问题。

参照 http://openwrt-dist.sourceforge.net/ 里的说明:

首先添加 a65535 的 gpg key,只有这样,第三方的包才能通过签名验证。执行:

打开Luci,定位到“系统”-“软件包”-“配置”选项卡,在“自定义feeds”末尾加入两行并点击“提交”:

请根据自己的CPU架构(可以执行 opkg print-architecture 查看,或者参考“发行版软件源”里的URL里的文本),将mipsel_24kc替换成相应的文本,最后点击提交。

然后执行命令 opkg update 更新软件列表,然后执行下列命令安装依赖包以及shadowsocks相关的软件:


方法二: 手动下载软件包,上传至路由器后安装

如果直连遇到困难(无法连接或者过程中下载总是中断),请继续下面的步骤来安装。实测国内许多ISP,执行 opkg update 和 opkg install 下载安装的时候都可能会遇到卡住、中断的情况,请多试几次。如果尝试多次仍然失败,请参考下面的依赖列表,手动至官方下载站点手工下载。

详细步骤点击展开

依赖包要装全!依赖包要装全!依赖包要装全!重要的事情说三遍!遇到安装问题请参考下列以来列表,看自己装全了没有!

依赖列表

右边注释为该包在官方软件源目录下划分到了哪一类 方便查找

安装过程中如果出现错误提示无法解决,可以留言。

首次安装的话,先确保路由器联网,并更新软件包列表:

注:部分ISP访问OpenWrt官方站点可能会非常缓慢甚至下载失败,此时需要自行在PC上下载上面的依赖包以后自行上传至路由器目录手动安装。

首先,需要手动安装部分依赖包(并不是所有的依赖包,部分依赖包会自动从软件仓库安装)

接下来下载软件,注意需要根据自己的CPU内核架构来进行选择。可使用如下命令查看架构类型:

下载地址: http://openwrt-dist.sourceforge.net/packages/

需要下载的文件:

将下载的包通过WinSCP之类的工具上传至路由器的/tmp目录。

安装shadowsocks, ChinaDNS以及dns-forwarder:

二、shadowsocks 配置

登录Luci,指向“服务”,此时应该能够看到shadowsocks(中文界面下显示“影梭”)了。接下来进行shadowsocks的配置。

I. 添加服务器

第一步先禁用LAN、WAN的ipv6,因为目前此方案的透明代理模式不支持ipv6,如果存在ipv6网络可能会有各种尴尬的问题:

LAN口设置里,将这三个改成已禁用即可:

至于禁用WAN口ipv6,如果你不需要路由器自身翻墙,则可以忽略这一步,否则:

①看看WAN6口有没有获取到IPv6地址,如果均没有跳到③,如果有跳到②;

②删掉WAN6口,保存,重连WAN口,稍等一会儿再看WAN口有没有ipv6,如果没有就完成设置了,如果有,跳到③

③修改WAN口设置,在高级设置里把获取ipv6地址改成禁用

PS:如果你想搞得彻底点,可以不管上面的步骤,直接在/etc/sysctl.conf里面添加两行:

然后执行 sysctl -p  生效,这样会在路由器上整体禁用ipv6。

 

切换到“服务器管理”选项卡,点击“添加”来增加一个服务器配置信息。你也可以同时添加多个服务器配置信息,如下图:

%e6%9c%8d%e5%8a%a1%e5%99%a8%e7%ae%a1%e7%90%861

添加一个服务器配置后,就要填写服务器配置(如下图),服务器地址、服务器端口、密码、加密方式是必须的。建议在别名中为当前配置文件起一个名字;填入信息后保存&应用。插件名称和插件参数留空,因为插件的使用不是本文的讨论范围。服务器地址需要填入IP地址。


II. 设置代理方案

接着切换到“访问控制”页面,一种配置举例如下图(不要抄图中的设置,每个人的情况不同,请参考下文的说明,根据自己情况设置!):

简单的说明一下图中配置的应用场景:

路由器多人共用,只有我使用shadowsocks,因此设置“代理类型”为“直接连接”,此时连入路由的设备访问网络时候默认直连,不走shadowsocks;而我有一台PC、一部手机、一台平板需要走代理,在“内网主机”中配置这三台设备的IP的代理类型为“正常代理”,还有一台PS4,联网游戏需要全局代理,设置他的IP(图中192.168.X.102)的代理类型为“全局代理”;还有一台下载机和一个物联网监控设备,不能让它们走代理,设置他们的IP(192.168.X.103/105)为“直接连接”。

具体使用时,需要根据自己的情况设置。多数情况设置代理类型为“正常代理”即可。具体每个选项的解释如下:

外网区域:控制访问哪些外网地址时走代理/不走代理

忽略列表文件:访问在这个列表中的IP时,不经过shadowsocks代理。这个方案使用chnroute文件作为忽略文件,只有配置了这个文件,shadowsocks才可以自动区分国内和国外IP。由于安装ChinaDNS的带有这个路由表文件,就选择“ChinaDNS路由表”。

不过这个列表需要定期更新,ChinaDNS安装时候附带的那个比较老旧了,需要更新,执行以下命令手动更新(建议ss开启时候更新,更新完后记得重启ss),请确保看到进度条走满,并检查最终的 /etc/chinadns_chnroute.txt 文件,文件中应该是每行一个CIDR。更新过程如果中断,请重试,更新前请备份之前的文件以免出问题。更新完成后,需要重启shadowsocks。

额外被忽略IP:这个列表中的IP强制绕过shadowsocks代理,如果有多shadowsocks服务器的可以将所有服务器的IP填进去,如果是单服务器不用填;其他按需添加。

强制走代理IP:这个列表中的IP强制走shadowsocks代理,填入8.8.8.8和8.8.4.4,其他按需添加。

 

内网区域:控制连入路由的设备访问网络时候的代理方式

共三种代理方式可选:

1.正常代理:使用外网区域设置的方式。

2.直接连接:忽略外网区域的设置,不走代理。

3.全局代理:忽略外网区域的设置,强制走代理。

具体到每个选项:

网络接口:shadowsocks只作用于勾选了的网络接口。默认OpenWRT/LEDE只有一个LAN区域,此处也只会显示一个接口,也就是:“桥接:br-lan”;一般情况勾选它就行。当路由配置了多个LAN区域时候,则会显示多个,比如配置了访客网络,勾选访客网络的接口就可以让shadowsocks的配置在访客网络中生效;如果你不想让访客访问网络时走代理,那么这里不勾选即可。

代理类型:连入路由的设备访问网络时,默认的代理方式。

代理自身:路由设备自身访问网络时的代理方式。使用本文方案时请选择“正常代理”或者“全局”,否则会导致DNS解析出问题,稍后我会修改方案,避免出现这种尴尬状况。

内网主机:单独配置内网特定IP的代理方式,优先级更高。需要为设备划分固定IP地址已达到最佳效果。

全部完成后,点击保存&应用。


III. 开启代理服务

最后切换到常规设置,来完成最终的配置:

运行状态:

透明代理: ss-redir的运行状态,shadowosocks代理的基础服务,提供TCP/UDP透明代理。

socks5代理:ss-local的运行状态,shadowsocks的socks5代理功能,路由器作为socks5代理服务器。

端口转发:ss-tunnel的运行状态,通常用作转发DNS。

透明代理:

主服务器:透明代理使用的默认服务器(TCP透明代理、端口转发两个功能会使用这里选择的服务器),此处从列表中选择你需要使用的服务器。

UDP服务器:UDP透明代理使用的服务器,可以和主服务器一致,也可以不同(也就是可以使用不同的服务器分别代理TCP和UDP连接)。在代理一些外服网络游戏的时候可能比较有用,其他多数情况下可以关闭。开启此项需要服务器支持,服务器端需要开启UDP功能。

本地端口:shadowsocks服务需要占用一个路由器端口,推荐保留默认,但不能和其他运行的程序有冲突,也不能和下面”socks5代理”和“端口转发”中的本地端口冲突。

更新MTU:手工指定MTU值传递给shadowsocks。通常PPPoE宽带连接为1492(也是此处默认值),网线直连以太网为1500。通过执行 ifconfig 可查看MTU值(找到wan口对应网卡设备即可)。也可以通过ping命令测试,具体步骤请超出本文讨论范围,不再叙述。

socks5代理:

有需要就开吧,不知道有用没的话就停用。

端口转发:

通常用于转发DNS请求,本文的方法未用到此功能,不用开启。如需要UDP方式的国外DNS解析,可用这个功能替换掉dns-forwarder.

最后再次保存&应用,并刷新页面,看到“运行状态”中对应的项目显示运行中即表示成功。


IV. 额外的优化

1. 避免高端口走代理

在访问控制→附加参数中选择自定义,填入 -m multiport --dports 22:1023,5228 ,这样可以避免高端口走代理(22:1023是指的代理22~1023所有的端口,后面跟的5228是google play store下载时用到的端口)。P2P类下载软件,多使用高端口,这样的设置可以避免此类软件走代理从而产生高额流量。也可以选择只代理53/80/443(至代理DNS、HTTP、HTTPS流量),或者选择无(不按端口区分走不走代理),请根据情况酌情选择。

如需代理FTP,请选择无,或者确保服务端是主动模式时代理对应的端口(通常是20和21)

你也可以自定义,其实就是iptables的额外参数,举例:

2. 开启 TCP Fast Open (TCP快速打开,缩略为TFO)

需求: 系统内核版本≥3.7,shadowsocks-libev≥3.0.4,luci-app-shadowsocks≥1.6.3;shadowsocks服务端开启tcp fast open。

修改 /etc/sysctl.conf ,加入如下一行:

执行如下命令使之生效:

然后在luci-app-shadowsocks的服务器设置中勾选TCP快速打开即可:

保存并应用即可。

2. 多服务器负载均衡

负载均衡可以使用多个服务器同时代理,使用时不同的TCP连接会分别分配到不同的服务器上,因此在多线程下载/上传时候可以做到带宽叠加提升速度。1.7.0版本加入此特性,使用方法也很简单,点击主服务器右边的加号再添加一个服务器即可,使用前请确保CPU不成为性能瓶颈,否则也只是徒增负载而已。注意使用多服务器负载均衡时, 可能会导致某些网站登录异常。

下面的描述针对使用多核心CPU的用户:

上面的配置其实是对HK2和HK1两个服务器分别开了一个进程,如果使用的是多核心CPU的路由器,建议使用多服务负载均衡,将进程数开到和CPU核心数(有超线程技术的则是和线程数)保持一致。如果不想使用多服务器负载均衡,只是想使用单一服务器,或者只有一个服务器可用,那么可以添加相同的主服务器,这样虽然对于网速没有改善,不过可以充分利用多核心的性能。

 

三、DNS配置

到此虽然shadowsocks配置完成,不过还没有进行DNS部分的配置,只有完成了DNS的配置才能解决DNS污染并优化DNS解析,接下来的部分来对DNS的配置进行说明。

PS:DNS的调试可以使用dig

I. DNS转发链图示

完整的DNS转发链如下图所示,先在dnsmasq这一层利用China-List和GFWList进行国内和国外域名区分,不在这两个列表中的域名交给ChinaDNS来区分;区分完毕后,国内的直接通过UDP协议交给国内DNS处理,国外的则会先利用dns-forwarder转成TCP协议后,走shadowsocks代理后交给国外DNS处理。

之所以交给国外DNS查询之前要转成TCP协议,是因为实际使用时候发现,UDP方式的查询在很多ISP的网络中不稳定,会造成各种异常,甚至使得ChinaDNS卡死,而且UDP方式对于部分特殊ISP甚至完全不可用;而TCP方式较为稳定,不过会相对慢一些,但绝大数情况下不会有明显差异。因此本文默认使用TCP方式。如果你需要使用UDP方式(比如说对DNS查询延迟要求很高),那么请使用shadowsocks的端口转发(ss-tunnel)替换此处的dns-forwarder。

其他转TCP查询的方式可以参考:《TCP 方式查询解决 DNS 污染问题》

II. DNS转发链的基本配置

luci界面,“服务”→”DNS 转发”(英文界面是DNS Forwarder),如图配置:

dns-forwarder

“服务”→”ChinaDNS”,如图配置,建议修改114.114.114.114为你ISP的DNS地址(此处5311为DNS Forwarder的监听端口,需要和上面dns-forwarder设置保持一致):

chinadns

在Luci中切换至“网络”-“DHCP/DNS”设置,如下图,在”DNS转发”中填入:127.0.0.1#5353

dns

其中,5353是ChinaDNS的本地端口,需要和上面ChinaDNS设置保持一致。

然后切到HOSTS和解析文件选项卡,勾中“忽略解析文件”,否则,dnsmasq会引入WAN口自动获取的DNS,造成DNS污染。

4

另外,请记住原来的设置(如下图),免得哪天想要撤掉科学上网的时候改不回去了,注意取消勾选后下面的“解析文件”里的值需要重新填写。

problem1

 

如果你需要路由器自身也能翻,那么到这里还没结束,因为目前的DNS设置不会对路由器自身访问WAN时候的DNS请求生效,还要下面的的额外步骤:

切换到WAN口设置→高级设置,取消“

同时也请记住你修改过这里的配置,那天你想撤掉科学上网的时候记得把这个改回去。

 

至此,DNS的基本功能的配置结束,应该可以正常科学上网了,此时可以尝试一下是否成功。然而此时区分国内国外域名全靠ChinaDNS,但是ChinaDNS的判断并不一定是准确的,需要优化。“DNS转发链的优化配置”部分会加入GFWList和China-List,来优化国内国外域名的解析。

III. DNS转发链的优化配置

1. 修改dnsmasq配置:

新建目录  /etc/dnsmasq.d ,然后执行:

如果返回值为 uci: Entry not found 或者其他非  /etc/dnsmasq.d 的值,则执行:

如果需要增加缓存条数,对应需要执行:

如果返回值为 uci: Entry not found ,则执行(缓存条数酌情设置):

如果返回值是一个数字,说明设置过该选项,但如果感觉小了,运行如下命令修改该值:

然后为了正常使用下面用到的脚本,需要安装可信根证书以及curl:

2. 添加gfwlist和China-List配置文件(此部分配置和“四、按域名指定是否走代理”部分的配置二选一):

(感觉下面的步骤有难度的,或者单纯不想用自动脚本生成的,可以使用现成的配置文件来代替下面的操作,但需要进行批量替换,将China-List中的DNS改成你ISP的DNS,将GfwList中的DNS改成127.0.0.1#5311。下载地址:dnsmasq_gfwlist.confaccelerated-domains.china.conf

下面的步骤会使用我编写的脚本来自动生成配置文件,脚本放在github维护,可能随时更新,可到gfwlist2dnsmasq, openwrt-scripts查看最近更新的动态。

下载自动生成规则文件的脚本:

逐条执行,并重启dnsmasq(记得下面命令中114DNS换成ISP的DNS):

完成后可自行查看 /etc/dnsmasq.d/accelerated-domains.china.conf 和文件,如有不需要的域名,注释掉或者删除即可(eg: 我这里港服PS Store直连很慢,于是在列表中搜索playstation关键字,将对应行用#注释掉。如果直连不慢建议不要更改)

PS:路由性能不好的,慎用China-List。

四、按域名指定是否走代理(可选)

这一部分的配置用于替代 “三.III.2. 添加gfwlist和China-List配置文件”中的步骤。请在完成“三.III.2. 添加gfwlist和China-List配置文件”前面的配置后进行这一部分的配置。

下面的步骤会使用我编写的脚本来自动生成配置文件,脚本放在github维护,可能随时更新,可到gfwlist2dnsmasq, openwrt-scripts查看最近更新的动态。

先使用dnsmasq-full替换掉原有的dnsmasq,由于先卸载dnsmasq后很可能会导致后面下载dnsmasq-full包的时候无法域名解析,从而导致下载失败,因此这里使用一个取巧的办法,先尝试安装dnsmasq-full:

然后会收到错误信息(原因是文件冲突),dnsmasq-full也不会成功安装;但是不用管,因为此时dnsmasq-full的依赖包应该已经装好了。接下来到openwrt官网下载dnsmasq-full的包,举例:https://downloads.openwrt.org/releases/packages-18.06/arm_cortex-a9_vfpv3/base/dnsmasq-full_2.80-1_arm_cortex-a9_vfpv3.ipk

然后将ipk包上传到路由器/tmp目录,并执行如下命令:

I. China-List强制直连 自定义域名强制直连

下载并执行自动生成规则文件的脚本,并重启dnsmasq(记得命令中114DNS换成ISP的DNS):

完成后可自行查看 /etc/dnsmasq.d/accelerated-domains.china.conf 和文件,如有不需要的域名,注释掉或者删除即可(eg: 我这里港服PS Store直连很慢,于是在列表中搜索playstation关键字,将对应行用#注释掉。如果直连不慢建议不要更改)

接着可以继续添加自己的需要强制不走代理的域名,在 /etc/dnsmasq.d 目录下新建 custom_bypass.conf ,按照下列格式添加(把114替换成ISP的DNS):

建议把所有.CN域名强制不走代理,玩steam、ps等的玩家也酌情将对应的域名添加进来,相关的域名列表可以在网络上搜索获取。

一个站点很可能存在CDN,此时也要将对应CDN域名加进来,并且站点页面也可能加载了多个域名的资源,这些域名也要酌情加入进来,可以使用浏览器的开发者工具查看这些域名。

最后不要忘记重启dnsmasq:

PS:路由性能不好的,慎用这一部分的配置。

II. GFWList强制走代理 自定义域名强制走代理

下载自动生成规则文件的脚本并执行:

接着可以增加自己的强制走代理的域名,在 /etc/dnsmasq.d 目录下新建 custom_forward.conf ,按照下列格式添加(5311对应dns-forwarder端口):

一个站点很可能存在CDN,此时也要将对应CDN域名加进来,并且站点页面也可能加载了多个域名的资源,这些域名也要酌情加入进来,可以使用浏览器的开发者工具查看这些域名。

最后不要忘记重启dnsmasq:

四、其他

一些强烈推荐的额外设置项(涉及到更新、维护)可以参考:《Shadowsocks for OpenWRT / LEDE 拾遗》

需要自己搭建服务器的,可以参考:shadowsocks – libev 服务端的部署

推荐的VPS商家见:https://cokebar.info/about

本博客有关 shadowsocks 文章合集目录

五、写在最后

本人作为一名普通使用者,水平有限,且文章也缺乏校审,肯定有错误存在,也有很多能改进的地方,如有意见或建议,请留言指出,万分感谢! 如果使用时遇到问题也欢迎留言,本人如果有空都会回复,不过请一定要将出错信息贴出来,有些错误信息需要到系统日志中查看。

2,168 条评论

  1. webguest 回复

    这样啊,为啥官方不把作者的直接添加到源呢?fork之后再修改岂不是很麻烦。
    我看官方的和本文的操作逻辑和风格很不一样,官方源的可以同时运行多个shadowsocks组件

  2. deconf 回复

    作者你好,我在使用GFWList强制走代理 自定义域名强制走代理时,
    遇到问题,按照如下所写并不会强制代理,无法打开网站
    ···
    server=/example.com/127.0.0.1#5311
    ipset=/example.com/ss_spec_dst_fw
    ···
    当然我 已经重启 · /etc/init.d/dnsmasq restart ·
    但是使用chrome的插件switchyomega直接使用路由器socks5端口可以代理并打开网站,
    求解决思路,或方法

  3. kentooo venitex 回复

    cokebar~~
    hello,
    最近有一个新的工具,叫做clash,好像可以代替掉dnsmasq和dnsforward,依靠规则去架梯子,请问有想法推出一篇使用教程么?

    1. cokebar 文章作者 回复

      1. 缺乏文档
      2. 似乎相对shadowsocks等软件仅仅是增加一些功能性,对那种卖机场的人友好些
      3. 路由器上只能用golang版的,那个bin文件的体积相信一多半的路由器空间不够
      4. 无openwrt客户端

  4. kentooo venitex 回复

    1.现在文档的确不是很多,但是有其他平台的教程可以借鉴
    2.clash主要其实是使用一个客户端去处理ss/vmess协议以及dnsmasq的分流,自由度会更高,但是可能对路由器的性能要求更高
    3.openwrt的客户端倒是有,只是可能没办法覆盖到全部的指令集平台

    1. cokebar 文章作者 回复

      1. 教程通常不够用,因为大都不全面、不深入,只能做到依葫芦画瓢,比如本文
      2. clash是否实现本文中的这种DNS方案?
      3. 这个我看到了,不过实在是不想用路由器跑golang,除非哪天上了软路由(可能是未来买了wifi6路由器的时候会上软路由吧,用我的NAS上跑个openwrt虚拟机来试先)
      4. 最主要的原因:现在我更倾向于寻找一个像trojan这种的软件,因为目前的GFW形势变化,伪装成正常WEB服务器流量才是更加可靠的方法。

  5. 小白 回复

    老大,感谢这么多年你的辛苦工作,这个文档的更新让我从小白到目前的大白,但是老大目前时代似乎已经变了,shadowsocks目前防火墙有针对方法,虽然有v2ray和cloak插件的支持,但是他们都是基于go的对于一大批老旧和构架复制的路由器显然不合适,但是老大目前trojan是一个可见的不错选择,方便的交叉编译,大小合适,并且目前相对来说比较的安全性,所以老大出一篇《trojan + ChnRoute 实现 OpenWRT 路由器自动科学上网》的文章岂不是正好。。。

    1. cokebar 文章作者 回复

      感谢你的建议,trojan本质上就是将加密流量伪装成TLS流量,gost/v2ray等好几种软件已经早已支持此模式了,不过trojan是C++写的,这是它的优势,非常适合路由器;而且甚至有shadowsocks的SIP003插件版本,可以说是挺不错的方案了。笔者没有写trojan的东西的原因还是没有实际去使用,主要原因有如下几点:
      1. 精力所限,主要原因;学生时代一去不返,本博客的openwrt上的ss的文章多数文本都是多年前学生时代所写,现在顶多修修改改;研究一款新软件,真的是“懒得折腾了”。不过最近自己的服务器也出现部分被封IP的情况,trojan应该会在未来某个时间试一试吧。但是写一篇和这篇博文一样详尽的文章可能很难了。
      2. luci-app的问题,我自己实在是没能力写,其他人写的大部分用起来都有很多别扭的地方..特别是他们都将DNS的配置整合到luci-app里导致DNS方案除非改代码,否则基本没有可自定义性。我一直使用aa65535的版本的原因,一是他是正儿八经的“官方版本”,收录在github.com/shadowsocks/luci-app-shadowsocks中,二是功能齐全的同时不碰任何DNS设置。其他版本虽然很多都加了各种各样的增强功能,但不碰DNS的真的很少,整合DNS功能不是不行,但是多数无法满足我的要求所以我根本没法使用。估计解决方法基本只有我自己写一个了,但是我实在是不会啊,主要是lua不会,怎么编luci-app不会。。都得学。。实在没精力啊。。

      1. 小白 回复

        谢谢老大的回复,我觉得自己还是太菜了,其实我想目前不需要luci也是可以完成配置的,不过需要看tr的开发文档 需要时间和精力去折腾,trojan的SIP003插件目前没有什么说明和文档对于我这样的大白真的是巨坑。大大我想在你的blog下面留言把我编译的一些东西留下了,可能有些是来源于网络出处可能有问题。但是一定是我执行成功了的,希望以后的未来可以把一切集中起来。

        1. 小白

          编译相关IPK
          2.开启ssh,更新,安装所需环境:
          (Ubuntu 18.04 LTS)
          apt-get install subversion build-essential libncurses5-dev zlib1g-dev gawk git ccache gettext libssl-dev xsltproc wget unzip python time libcloog-isl-dev
          3.下载sdk:(cd home)以openwrt-sdk-19.07.2-apm821xx为例子:
          wget https://downloads.openwrt.org/releases/19.07.2/targets/apm821xx/nand/openwrt-sdk-19.07.2-apm821xx-nand_gcc-7.5.0_musl.Linux-x86_64.tar.xz
          4.解压sdk:
          xz -d openwrt-sdk-19.07.2-apm821xx-nand_gcc-7.5.0_musl.Linux-x86_64.tar.xz
          tar vxf openwrt-sdk-19.07.2-apm821xx-nand_gcc-7.5.0_musl.Linux-x86_64.tar
          5.进入openwrt-sdk/package目录:
          cd openwrt-sdk-19.07.2-apm821xx-nand_gcc-7.5.0_musl.Linux-x86_64/package
          6.下载github上的openwrt-trojan
          git clone https://github.com/trojan-gfw/openwrt-trojan.git
          7.移动一下文件(将openwrt-trojan内的文件移动到外面的文件夹目录)
          mv openwrt-trojan/* ./
          8.回到openwrt-sdk目录
          cd ..
          9.在openwrt-sdk目录安装feeds
          ./scripts/feeds update -a
          ./scripts/feeds install -a
          10.进入make menuconfig
          make menuconfig
          11.进入全局设置点掉前面三个的[*],如下面所示,然后保存,退出
          [ ] Select all target specific packages by default
          [ ] Select all kernel module packages by default
          [ ] Select all userspace packages by default
          [*] Cryptographically sign package lists (NEW)
          进入network———下拉找到[ ]trojan,然后选择[*] 退出保存
          12.编译固件ipk
          make package/trojan/compile V=99
          13.等待编译完成去bin文件夹找ipk.

      2. cszhy 回复

        大神能否发个在openwrt固件里安装trojan的教程

      3. Ryan 回复

        15年以后一直在用你这套方案,一直感觉是家庭使用最优场景,非常感谢。
        18年以后开始shadowsocks流量稍大就会频频被封,于是自己调整了使用场景,局域网全部直通,路由器正常ss袋里,chinadns和dns-forwarder继续提供dns。局域网里PC、手机、电视等需要袋里时单独开启各自的v2ray客户端。
        19年即使这样轻量的使用shadowsocks还是有被封的几率,于是完全放弃。
        2个思路:
        A、路由器放弃使用袋里,只设置chinadns+stubby(替代dns-forwarder)解决dns污染,需要袋里时开启各自的v2ray客户端,个人测试还不错,方案优点是路由器可以使用非常廉价的:测试过WNDR3700V4,NewifiD1,NEWifiD2都没问题。
        B、使用现成的开源方案自己编译,如Lean的lede或Lienol的openwrt(都是github项目),优点是直接在路由器里使用trojan或v2ray,缺点就是都接管了DNS(可以手动禁止,换回chinadns+stubby)。另外就是需要足够算力,A方案提到的3个路由器在这里trojan单线程大概也就是2MB/s,v2ray则只有1MB/s不到的样子,而且动不动CPU就是100%占用。需要个R7800或WRT32X之类的硬路由或者X64软路由。

        1. Jacob Yin

          我已经完全放弃了,直接在端上(PC或者Android)跑ss/trojan/v2ray,youtube可以提升到60Mbps,看4k没问题了。之前路由器上跑ss,最多只能看1080p,而且也不够灵活。

    2. cokebar 文章作者 回复

      如果像更平滑的过渡到trojan的话可以试试他的SIP003插件,用本文里的luci-app-shdowsocks就行,可以试试,不知道有没有bug。simple-obfs和v2ray-plugin这俩SIP003插件我都在路由上跑过,前者一点问题都没,后者切换配置文件时候的启动有点毛病其他正常。

      1. 小白 回复

        飞羽大大,看一下这个教程怎么样:https://github.com/SeonMe/openwrt-trojan
        他应该也是基于你的教程出来的,有空写一点怎么样。感谢感谢。

        1. cokebar 文章作者

          太麻烦了,纯手工配置。如果用手动方法都不用他那么麻烦,直接用luci-app-shadowsocks里面带的ss-rules文件就可以了,这个是专门配iptables规则用的,luci-app-shadowsocks里能配的各种透明代理方式都是依靠这个ss-rules实现的。
          个人认为比较舒服的一种方案是:
          1. 改造现有的luci-app-shadowsocks,砍去其控制shadowsocks的功能,让它单纯处理iptables,这样可以让这个东西拥有通用性,无论是ss-redir还是trojan的nat模式还是说v2ray/gost还是其他软件,只要它有透明代理模式就能支持,所做的就是配置iptables规则把流量转发到正确的端口就行了
          2. 最好再引入DNS控制,加强dnsmasq的功能,利用uci,控制dnsmasq,分流DNS解析
          3. 至于trojan,最好能将配置文件uci化,方便后续搞luci-app,这里仅仅启动trojan服务用,不配置任何DNS、iptables相关的东西

  6. 大白 回复

    写得非常好,特别是那个DNS分流的图。现在配好后,网络非常稳定。
    感觉现在gfw有反向检测机制,如果你有VPS到国内的流量,容易被检测出来,然后断连一段时间。
    上面那个脚本auto_install.sh好像有点问题,执行的时候,连续弹出三个Y/N,但选了Y,只装最后一个shadowVPN,chinaDNS, dnsForwarder还需要手动装。上面教程也说的是shadowsocks-libev 而不是shadowVPN。

  7. magicwolf 回复

    博主,什么时候可以支持IPV6呢?

    1. cokebar 文章作者 回复

      ipv6就是个坑。。至少到现在为止依然是个坑,光是访问国内Ipv6网络都是个半残,国际ipv6出口带宽也是个坑
      为什么ipv6喊了十几年还没普及是有原因的,4到v6没有平滑过渡可言,过渡阶段只能用v4/v6双栈网络,然而双栈就是个坑。。大坑。。目前各种设备都是双栈时候Ipv6优先,然而很多情况是,同时支持ipv4/v6的网络服务中很大比例v6要比v4线路质量差很多,这就会导致你开了双栈,网速变慢。。如果是出墙这种情况就更多了。。。

    2. cokebar 文章作者 回复

      对了补充说明一下 国内的情况 三大运营商那里的骨干网的ipv6已经准备的差不多了,但是这是远远不够的,知道各个网络服务提供方的服务器都全面接入ipv6才行;而国际出口方面只能等待其继续扩容了,去年有消息说是2019年年中总共100Gbps,这么点根本不够用;而且还要以来国外的服务商也普及ipv6。这还是需要一些时间的,建议继续观望吧。PS 支持ipv6的ss-rules是有的,我看到过,不过和aa65535的版本差别不小。估计用aa65535的版本基础上加以修改添加ip6tables的支持的版本是有的,不过我暂时不清楚哪里有。其实改写起来不复杂,无非是iptables变成ip6tables,ip地址格式换成ipv6的,对于熟练的人估计很快就能写出来了吧,不过我不行,我不是程序员,写起来比较费劲。

  8. AecaC5ai 回复

    在虚拟机里,手动下载软件包安装,luci界面进不去,提示“ module ‘luci.cbi’ not found ”。搜索后安装软件包luci-compat后解决。
    看了看以前在路由器里安装的,不需要luci-compat也能用。
    luci-app-shadowsocks的版本是一样的,为什么呢?

    1. 小白 回复

      你要看一下openwrt版本,是同一个版本吗!

    2. cokebar 文章作者 回复

      OpenWrt 19.07对luci进行了较大的修改

    3. cokebar 文章作者 回复

      luci-compat是openwrt 19.07里的新包,就是为了解决某些旧luci-app不兼容新版luci的问题的。

  9. SDcat 回复

    help 不知道为啥 弄完以后像apple.com这类两份list里没有的域名都打不开

    1. SDcat 回复

      自己搞定了

  10. gxlzlu 回复

    感谢分享,碰到2个问题,还望能帮助一下:
    1、执行自动安装脚本出错:
    root@OpenWrt:/tmp# wget -qO- http://openwrt-dist.sourceforge.net/auto_install.sh
    | sh
    ….
    sh: syntax error: unexpected end of file (expecting “then”)
    root@OpenWrt:/tmp#

    2、用方法二手动安装完之后,进入图形界面,选择shadowsocks时出错:
    Failed to execute cbi dispatcher target for entry ‘/admin/services/shadowsocks/general’.
    The called action terminated with an exception:
    /usr/lib/lua/luci/dispatcher.lua:938: module ‘luci.cbi’ not found:
    no field package.preload[‘luci.cbi’]
    no file ‘./luci/cbi.lua’
    no file ‘/usr/share/lua/luci/cbi.lua’
    no file ‘/usr/share/lua/luci/cbi/init.lua’
    no file ‘/usr/lib/lua/luci/cbi.lua’
    no file ‘/usr/lib/lua/luci/cbi/init.lua’
    no file ‘./luci/cbi.so’
    no file ‘/usr/lib/lua/luci/cbi.so’
    no file ‘/usr/lib/lua/loadall.so’
    no file ‘./luci.so’
    no file ‘/usr/lib/lua/luci.so’
    no file ‘/usr/lib/lua/loadall.so’
    stack traceback:
    [C]: in function ‘require’
    /usr/lib/lua/luci/dispatcher.lua:938: in function

    环境是:NETGEAR R7800, Openwrt 19.07.2
    万分感谢!

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

请输入验证码 *