Shadowsocks + GfwList 实现 OpenWRT 路由器自动翻墙

本站发布的三种 shadowsocks 在 openwrt 上的自动翻墙方案:

1、Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙
2、Shadowsocks + Redsocks 实现 OpenWRT 路由器自动翻墙
3、Shadowsocks + GfwList 实现 OpenWRT 路由器自动翻墙

本方案依靠GFWList,List中的域名站点走代理,不在List中的域名不走代理,根据域名判断。然而其实本质上依然是根据IP判断是否代理,列表内的IP走代理,列表外的直连;而这个IP列表我们可以通过dnsmasq-full来自动生成;dnsmasq-full可以将解析域名得到的IP加到一个ipset中,利用这个ipset来判断走不走代理。实际是完成了gfwlist(域名列表)到dnsmasq的ipset规则再到IP地址的转换。同样,本方案依然可以搭配ChinaDNS搭配使用,也可以使用ss-tunnel,或者是自己的DNS服务器。

本方案的优点明确,只有被墙的站点才走代理,但是gfwlist并不能100%涵盖被墙站点,而且有些国外站点直连速度远不如走代理,特别是你代理服务器速度较快,希望通过代理加速国外访问时,此方案就不是那么好用了。请酌情选择你所使用的方案。

一、安装

首次安装的话,先安装必要的包,确保路由器联网,先更新软件包列表(下载有问题的请手动到openwrt.org下载所有需要的包并上传到路由器上使用opkg install XXX.ipk命令安装):

shadowsocks有openssl(文件名是shadowsocks-libev-X.XX.ipk)和polarssl(文件名是shadowsocks-libev-polarssl-X.XX.ipk)两个版本选择,ROM空间吃紧的就选择后者吧。

下载链接如下,请根据自己CPU型号和系统选取相应版本:

shadowsocks-libev: https://bintray.com/aa65535/opkg/shadowsocks-libev#files

先安装必要的包,如果要用openssl的shadowsocks,那么:

如果要用mbedtls版本的shadowsocks(如果使用LEDE,那么请通过上面那个链接额外下载libmbedtls,并上传至路由器手动安装,因为LEDE官方的lbmbedtls有点问题):

期间可能遇到如下错误提示:

没关系这是因为安装的包需要重启系统,我们做完剩下的步骤最后再重启。

然后卸载dnsmasq并安装dnsmasq-full以及剩下的包

二、配置

1、配置 /etc/shadowsocks.json ,格式如下:

新建文件: /etc/init.d/shadowsocks :

修改文件权限:

然后启动shadowsocks,并设置开机运行:

2、配置dnsmasq和ipset

将如下规则加入自定义防火墙规则中(最后的1080是shadowsocks的本地端口 酌情修改):

修改 /etc/dnsmasq.conf  ,在最后加入  conf-dir=/etc/dnsmasq.d  ,新建并进入目录  /etc/dnsmasq.d  ,下载 dnsmasq_list.conf 后放入该目录。

自动生成dnsmasq_list.conf 的脚本本人放在这里:https://github.com/cokebar/gfwlist2dnsmasq

你可能需要自行修改这个文件,格式如下:

下面详细说一下DNS的方案,有三种:

方案一:

在代理服务器上搭建DNS服务来解析国外网站,可用dnsmasq或者pdnsd,监听非53端口。

比如说DNS服务器IP是:3.4.5.6,端口是5050,那么使用替换功能将 /etc/dnsmasq.d/dnsmasq_list.conf 里面的 127.0.0.1#5353 全部替换成 3.4.5.6#5050 即可。

最后重启路由器即可。

方案二:

使用ss-tunnel转发UDP的DNS请求,修改 /etc/init.d/shadowsocks 文件,如需修改上游DNS,请修改 DNS=8.8.8.8:53 字段,本地端口修改 TUNNEL_PORT=5353 :

最后重启路由器即可。

方案三:

此方案使用ChinaDNS来做防DNS污染,先下载并安装相应的包:

chinadns-openwrt: http://sourceforge.net/projects/openwrt-dist/files/chinadns/

luci-app-chinadns: http://sourceforge.net/projects/openwrt-dist/files/luci-app/chinadns/

特别提醒:2015.1.8,由于ChinaDNS-C更名为ChinaDNS,所以包名有变化,此前安装过ChinaDNS-C的,需要手动卸载并重新安装新版。

安装完成后,进到luci,指向服务,点击ChinaDNS,填入上游服务器地址,可以保留默认的114.114.114.114,8.8.4.4,确保本地端口是5353(也就是和dnsmasq_list.conf里面的127.0.0.1#5353保持一致),勾选“启用压缩指针”,然后保存并应用。

method3

或者不勾选“启用压缩指针”,但要酌情填写延迟时间,默认0.3秒:

method3

最后重启路由器即可。对于特殊情况,如长宽用户无法使用方案一和方案二时(长宽用户不支持方案三),可以考虑换成TCP方式,参照《TCP 方式查询解决 DNS 污染问题

PS1:发现有不少人之前用过chnroute方案,然后改成gfwlist方案,此时记得把忽略解析文件的勾选去掉并把原来的设置填回去:

problem1

PS2:默认只有连接路由的设备翻了墙,为了让路由器自身也能够翻墙(如使用路由器获取gfwlist更新dnsmasq_list.conf时候,gfwlist的URL是被墙站点,此时需要路由器自身也要翻墙)做出如下配置,先在自定义防火墙规则中额外加一条:

然后再WAN口配置中如图所示,将DNS手动指定为127.0.0.1:

ss222

 

最后在DHCP/DNS设置中将你的ISP的DNS填入(或者使用114DNS等公共DNS)

dnsmasq_localdns


参考文章:https://kyonli.com/p/18

366 条评论

  1. skywing 回复

    之前用chnroute,现在改gfwlist,按步骤配置一切正常,用第二种方案防DNS混淆,最后无法翻墙
    dig @192.168.1.1 -p 5353 twitter.com 返回正常的IP,但无法ping通,请问是什么地方出问题了?

  2. theosoft 回复

    我用了方案3,http的请求都能自动分流了,但是像google这种会强制重定向到https的请求都打不开。手动设置代理到路由的1080端口就没问题。prerouting和outing都设了,想问问是哪里出错了。

    1. cokebarcokebar 文章作者 回复

      检查浏览器代理设置,请使用直接连接不要使用任何代理。DNS使用路由器IP。理论上能不能连和HTTP还是HTTPS没关系。

  3. edward 回复

    为什么安装完shadowsocks-libev openssl之后,没有/etc/init.d/shadowsocks这个配置文件啊…

    1. cokebarcokebar 文章作者 回复

      aa65535新版本去掉了init.d脚本,只保留了二进制可执行文件。新建那个文件就行了。另:这篇文章提到的下载链接已经老了,目前已经更新新目录

      1. edward 回复

        多谢回复,还以为自己操作上有什么问题

1 2 11 12 13 14 15

发表评论

电子邮件地址不会被公开。 必填项已用*标注

请输入验证码 * Time limit is exhausted. Please reload CAPTCHA.