Shadowsocks + GfwList 实现 OpenWRT 路由器自动科学上网

Shadowsocks + GfwList 实现 OpenWRT / LEDE 路由器自动科学上网

cokebar 2015-01-07 14:37 2023-02-09 11:43 OpenWrt, 探索世界 618 条评论

本站发布的三种 shadowsocks 在 openwrt 上的自动科学上网方案：

1、Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网
~~2、Shadowsocks + Redsocks 实现 OpenWRT 路由器自动科学上网~~ (停止更新)
3、Shadowsocks + GfwList 实现 OpenWRT / LEDE 路由器自动科学上网

本方案依靠GFWList，List中的域名站点走代理，不在List中的域名不走代理，根据域名判断。然而其实本质上依然是根据IP判断是否代理IP走代理，dnsmasq-full可以将解析域名得到的IP加到一个ipset中，利用这个ipset来判断走不走代理。实际是完成了gfwlist（域名列表）到dnsmasq的ipset规则再到IP地址的转换。同样，本方案依然可以搭配ChinaDNS搭配使用，也可以使用ss-tunnel，或者是自己的DNS服务器。

本方案的优点明确，只有被墙的站点才走代理，但是gfwlist并不能100%涵盖被墙站点，而且有些国外站点直连速度远不如走代理，特别是你代理服务器速度较快，希望通过代理加速国外访问时，此方案就不是那么好用了。请酌情选择你所使用的方案。

本方案主要涉及到的开源项目

https://github.com/aa65535/openwrt-shadowsocks

https://github.com/aa65535/openwrt-chinadns

https://github.com/aa65535/openwrt-dist-luci

https://github.com/madeye/shadowsocks-libev

https://github.com/clowwindy/ChinaDNS

注:由于近期OPENWRT/LEDE的一系列变化，以及作者aa65535的一系列更改，本文需要更新，下面的步骤仅供参考！本人应该会在近期休假期间更新本文。不排除鸽的可能:)

一、安装

方法一：添加作者的软件源，直接利用opkg命令安装 (此方式快捷方便，推荐！)

软件源位置：http://openwrt-dist.sourceforge.net/packages/

前提是所用网络环境直连sourceforge.net和downloads.lede-project.org没有问题。此处仅提供LEDE 17.X 的步骤。

首先添加 a65535 的 gpg key，只有这样，第三方的包才能通过签名验证。执行：

wget http://openwrt-dist.sourceforge.net/packages/openwrt-dist.pub -O /tmp/openwrt-dist.pub
opkg-key add /tmp/openwrt-dist.pub

1 2	wget http://openwrt-dist.sourceforge.net/packages/openwrt-dist.pub -O /tmp/openwrt-dist.pub opkg-key add /tmp/openwrt-dist.pub

打开Luci，定位到“系统”-“软件包”-“配置”选项卡，在“自定义feeds”末尾加入两行并点击“提交”：

src/gz openwrt_dist http://openwrt-dist.sourceforge.net/packages/base/mipsel_24kc
src/gz openwrt_dist_luci http://openwrt-dist.sourceforge.net/packages/luci

1 2	src/gz openwrt_dist http://openwrt-dist.sourceforge.net/packages/base/mipsel_24kc src/gz openwrt_dist_luci http://openwrt-dist.sourceforge.net/packages/luci

请根据自己的CPU架构（可以执行 opkg print-architecture 查看，或者参考“发行版软件源”里的URL里的文本），将mipsel_24kc替换成相应的文本，最后点击提交。

然后执行命令 opkg update 更新软件列表，然后执行下列命令安装依赖包以及shadowsocks相关的软件：

opkg install ipset libpthread
opkg install shadowsocks-libev
# 如果下面的DNS防污染解析方案选择方案三，那么你还需要安装dns-forwarder：
opkg install dns-forwarder luci-app-dns-forwarder

opkg install ipset libpthread

opkg install shadowsocks-libev

# 如果下面的DNS防污染解析方案选择方案三，那么你还需要安装dns-forwarder：

opkg install dns-forwarder luci-app-dns-forwarder

方法二：手动下载软件包，上传至路由器后安装

依赖列表

右边注释为该包在官方软件源目录下划分到了哪一类方便查找

libgcc # OpenWrt：base
       # LEDE：target/cpu型号/package目录下
libpthread # 同上
ip # base, LEDE下请安装ipset-full
ipset # base 无此包不能使用luci-app-shadowsocks
      #      只能使用luci-app-shadowsocks-without-ipset 性能会下降
iptables-mod-tproxy # base 无此包将无法代理UDP流量
zlib # base

libgcc # OpenWrt：base

# LEDE：target/cpu型号/package目录下

libpthread # 同上

ip # base, LEDE下请安装ipset-full

ipset # base 无此包不能使用luci-app-shadowsocks

# 只能使用luci-app-shadowsocks-without-ipset 性能会下降

iptables-mod-tproxy # base 无此包将无法代理UDP流量

zlib # base

LEDE 安装步骤

写在前面：由于LEDE官方软件源包含最新版本shadowsocks-libev软件包，但是官方包和本文使用的aa65535的包不同，并且不兼容，因此请一定要手动下载安装aa65535的软件包，避免装成LEDE官方软件源中的包。

首次安装的话，先确保路由器联网，并更新软件包列表：

注：部分ISP访问LEDE官方站点可能会非常缓慢甚至下载失败，此时需要自行在PC上下载上面的依赖包以后自行上传至路由器目录手动安装。

opkg update

1	opkg update

首先，需要手动安装部分依赖包（并不是所有的依赖包，部分依赖包会自动从软件仓库安装）

opkg install iptables-mod-nat-extra ipset

1	opkg install iptables-mod-nat-extra ipset

接下来下载软件，注意需要根据自己的CPU型号来进行选择。

下载地址： http://openwrt-dist.sourceforge.net/packages/base/

需要下载的文件：

shadowsocks-libev_x.x.x-x_xxxx.ipk

1	shadowsocks-libev_x.x.x-x_xxxx.ipk

将下载的包通过WinSCP之类的工具上传至路由器的/tmp目录。

然后卸载dnsmasq并安装dnsmasq-full以及剩下的包：

opkg remove dnsmasq && opkg install dnsmasq-full
cd /tmp
opkg install shadowsocks-libev*.ipk

opkg remove dnsmasq && opkg install dnsmasq-full

cd /tmp

opkg install shadowsocks-libev*.ipk

注意不要装成LEDE官方源里的shadowsocks-libev包！

二、配置shadowsocks

1、配置 /etc/shadowsocks.json ，格式如下：

{
      "server": "X.X.X.X",
      "server_port": "443",
      "password": "password",
      "local_port": "1080",
      "method": "aes-128-gcm"
}

{

"server": "X.X.X.X",

"server_port": "443",

"password": "password",

"local_port": "1080",

"method": "aes-128-gcm"

}

请自行修改好服务器IP、端口号、密码、加密方式。

新建文件： /etc/init.d/shadowsocks ：

#!/bin/sh /etc/rc.common

START=95

SERVICE_USE_PID=1
SERVICE_WRITE_PID=1
SERVICE_DAEMONIZE=1
SERVICE_PID_FILE=/var/run/shadowsocks.pid
CONFIG=/etc/shadowsocks.json

start() {
	# Proxy Mode
	service_start /usr/bin/ss-redir -c $CONFIG -b 0.0.0.0 -f $SERVICE_PID_FILE
}

stop() {
	# Proxy Mode
	service_stop /usr/bin/ss-redir
}

#!/bin/sh /etc/rc.common

START=95

SERVICE_USE_PID=1

SERVICE_WRITE_PID=1

SERVICE_DAEMONIZE=1

SERVICE_PID_FILE=/var/run/shadowsocks.pid

CONFIG=/etc/shadowsocks.json

start() {

# Proxy Mode

service_start /usr/bin/ss-redir -c $CONFIG -b 0.0.0.0 -f $SERVICE_PID_FILE

}

stop() {

# Proxy Mode

service_stop /usr/bin/ss-redir

}

修改文件权限：

chmod +x /etc/init.d/shadowsocks

1	chmod +x /etc/init.d/shadowsocks

然后启动shadowsocks，并设置开机运行：

/etc/init.d/shadowsocks enable
/etc/init.d/shadowsocks start

1 2	/etc/init.d/shadowsocks enable /etc/init.d/shadowsocks start

最后检查一下是否正常启动了：

netstat -lnp | grep ss-redir

1	netstat -lnp \| grep ss-redir

如果未能正确启动，尝试手动执行，看看报什么错：

ss-redir -c /etc/shadowsocks.json -b 0.0.0.0 -v

1	ss-redir -c /etc/shadowsocks.json -b 0.0.0.0 -v

额外的优化：

开启 TCP Fast Open （TCP快速打开，缩略为TFO）

需求：系统内核版本≥3.7，shadowsocks-libev≥3.0.4，shadowsocks服务端开启tcp fast open。

修改 /etc/sysctl.conf ，加入如下一行：

net.ipv4.tcp_fastopen = 3

1	net.ipv4.tcp_fastopen = 3

执行如下命令使之生效：

sysctl -p

sysctl -p

配置文件 /etc/shadowsocks.json 增加一行：

{
      "server": "X.X.X.X",
      "server_port": "443",
      "password": "password",
      "local_port": "1080",
      "method": "aes-128-gcm",
      "fast_open": true
}

{

"server": "X.X.X.X",

"server_port": "443",

"password": "password",

"local_port": "1080",

"method": "aes-128-gcm",

"fast_open": true

}

最后重启一下shadowsocks即可:

/etc/init.d/shadowsocks restart

1	/etc/init.d/shadowsocks restart

2、配置dnsmasq和ipset

2.1. 将如下规则加入到“网络→防火墙→自定义规则”中（最后的1080是shadowsocks的本地端口酌情修改）：

ipset -N gfwlist iphash
iptables -t nat -A PREROUTING -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080
iptables -t nat -A OUTPUT -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080

ipset -N gfwlist iphash

iptables -t nat -A PREROUTING -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080

iptables -t nat -A OUTPUT -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080

如果你需要

2.2. 修改dnsmasq配置：

OPENWRT:

修改 /etc/dnsmasq.conf，在最后加入 conf-dir=/etc/dnsmasq.d

LEDE:

执行：

uci get dhcp.@dnsmasq[0].confdir

1	uci get dhcp.@dnsmasq[0].confdir

如果返回值为 uci: Entry not found 或者其他非 /etc/dnsmasq.d 的值，则执行：

uci add_list dhcp.@dnsmasq[0].confdir=/etc/dnsmasq.d
uci commit dhcp

1 2	uci add_list dhcp.@dnsmasq[0].confdir=/etc/dnsmasq.d uci commit dhcp

2.3 添加gfwlist和China-List配置文件：

新建并进入目录 /etc/dnsmasq.d ，下载 dnsmasq_gfwlist_ipset.conf 后放入该目录。

自动生成配置文件的脚本，本人放在这里：https://github.com/cokebar/gfwlist2dnsmasq

你可能需要自行修改这个文件，格式如下：

#使用不受污染干扰的DNS解析该域名 可以将此IP改为自己使用的DNS服务器
server=/google.com/127.0.0.1#5353
#将解析出来的IP保存到名为gfwlist的ipset表中
ipset=/google.com/gfwlist

#使用不受污染干扰的DNS解析该域名可以将此IP改为自己使用的DNS服务器

server=/google.com/127.0.0.1#5353

#将解析出来的IP保存到名为gfwlist的ipset表中

ipset=/google.com/gfwlist

三、配置防污染DNS

1. 步骤一，有三个方案：

方案一（由于不加密所以有风险不推荐）：

在代理服务器上搭建DNS服务来解析国外网站，可用dnsmasq或者pdnsd，监听非53端口。

比如说DNS服务器IP是：3.4.5.6，端口是5050，那么使用替换功能将 /etc/dnsmasq.d/dnsmasq_list.conf 里面的 127.0.0.1#5353 全部替换成 3.4.5.6#5050 即可。

最后重启路由器即可。

方案二（如果此方案较稳定那么推荐这个方案不过不少ISP会出现UDP方式不稳定的情况，如果遇到请用方案三）：

使用ss-tunnel转发UDP的DNS请求，修改 /etc/init.d/shadowsocks 文件，如需修改上游DNS，请修改 DNS=8.8.8.8:53 字段，本地端口修改 TUNNEL_PORT=5353 ：

#!/bin/sh /etc/rc.common

START=95

SERVICE_DAEMONIZE=1
CONFIG=/etc/shadowsocks.json
DNS=8.8.8.8:53
TUNNEL_PORT=5353

start() {
	# Proxy Mode
	service_start /usr/bin/ss-redir -c $CONFIG -b 0.0.0.0
	# Tunnel
	service_start /usr/bin/ss-tunnel -c $CONFIG -b 0.0.0.0 -u -l $TUNNEL_PORT -L $DNS
}

stop() {
	# Proxy Mode
	service_stop /usr/bin/ss-redir
	# Tunnel
	service_stop /usr/bin/ss-tunnel
}

#!/bin/sh /etc/rc.common

START=95

SERVICE_DAEMONIZE=1

CONFIG=/etc/shadowsocks.json

DNS=8.8.8.8:53

TUNNEL_PORT=5353

start() {

# Proxy Mode

service_start /usr/bin/ss-redir -c $CONFIG -b 0.0.0.0

# Tunnel

service_start /usr/bin/ss-tunnel -c $CONFIG -b 0.0.0.0 -u -l $TUNNEL_PORT -L $DNS

}

stop() {

# Proxy Mode

service_stop /usr/bin/ss-redir

# Tunnel

service_stop /usr/bin/ss-tunnel

}

最后重启路由器即可。

方案三：使用dns-forwarder将DNS转成TCP后走ss代理解析：

dns-forwarder的安装可参考：《Shadowsocks + ChnRoute 实现 OpenWRT / LEDE 路由器自动科学上网》一文中的安装部分，到文中提到的地址，下载安装dns–forwarder_x.x.x–x_xxxx.ipk，luci–app–dns–forwarder_x.x.x–x_all.ipk即可。

配置也很简单，luci界面，“服务”→”DNS 转发”（英文界面是DNS Forwarder），如图配置：

最后需要在自定义防火墙规则里再增加一句，来确保8.8.8.8是走代理的：

ipset add gfwlist 8.8.8.8

1	ipset add gfwlist 8.8.8.8

其他TCP查询方式可以参考：

TCP 方式查询解决 DNS 污染问题

2. 步骤二

在WAN口配置中如图所示，将DNS手动指定为127.0.0.1：

最后在DHCP/DNS设置中将你的ISP的DNS填入（或者使用114DNS等公共DNS）

最后你可能需要重启一下路由器，以及清空一下你的PC/PED设备的DNS缓存。

PS1：发现有不少人之前用过chnroute方案，然后改成gfwlist方案，此时记得把忽略解析文件的勾选去掉并把原来的设置填回去：

四、其他

一些强烈推荐的额外设置项（涉及到更新、维护）可以参考：《Shadowsocks for OpenWRT / LEDE 拾遗》

需要自己搭建服务器的，可以参考：shadowsocks – libev 服务端的部署

推荐的VPS商家见：https://cokebar.info/about

本博客有关 shadowsocks 文章合集目录

五、写在最后

本人作为一名普通使用者，水平有限，且文章也缺乏校审，肯定有错误存在，也有很多能改进的地方，如有意见或建议，请留言指出，万分感谢！如果使用时遇到问题也欢迎留言，本人如果有空都会回复，不过请一定要将出错信息贴出来，有些错误信息需要到系统日志中查看。

参考文章：https//kyonli.com/p/18

gfwlist，LEDE，openwrt，shadowsocks，科学上网，路由器

618 条评论

草莓九九 2015-03-02 于 00:10 回复

想请教博主，能否介绍下有什么办法可以查下自己路由器的设定是否有问题？我的情况是：一个月前按照文中方案三的方法安装后可以翻墙．大概两个星期前在路由器上直接opkg更新过一次shadowsocks．上个星期发现不能翻墙，重启路由器也不行．但是直接使用客户端配合浏览器插件可以翻墙．在路由器上使用nslookup似乎也可以返回正确的IP．查了下路由器上的iptable和shadowsocks设定都和文中的一样．
Heq 2015-03-05 于 18:18 回复

Config.json在local_port前增加一句：
“local_address”:”0.0.0.0″,

/etc/init.d/shasowsocks就可以去除
-b 0.0.0
1. H2CCU 2015-03-31 于 23:10 回复
  
  新版的shadowsocks.json里有“local:”0.0.0.0″这一行，/init.d/shasowsocks里还是有-b 0.0.0.0，就是说现在这两个设置会相互冲突？
  1. cokebar 文章作者 2015-04-01 于 18:19 回复
    
    不知道啊你可以试试估计不会应该会有一个是优先的
cokebar fans 2015-03-07 于 16:40 回复

请教大神，假设我想让某个国外IP可以直连时（比如199.199.199.199直连），把199.199.199.199添加进 LuCI 中的访问控制:的“被忽略的IP”就可以。如果不安装Luci，用winSCP怎么修改？或者SSH敲入哪些代码呢？
1. cokebar 文章作者 2015-03-07 于 16:57 回复
  
  spec版本的shadowsocks才有这个操作 GFWList用的不是spec版本没法这样操作而且这个是基于域名的
2. cokebar fans 2015-03-07 于 17:22 回复
  
  你侵权了，用我的名字！！！
cokebar fans 2015-03-07 于 17:22 回复

大神什么时候来个shadowvpn的教程吧……
Jack Shi 2015-03-13 于 12:10 回复

#!/bin/sh /etc/rc.common

START=90
STOP=15

SERVICE_USE_PID=1
SERVICE_WRITE_PID=1
SERVICE_DAEMONIZE=1
EXTRA_COMMANDS=”rules”
CONFIG_FILE=/var/etc/shadowsocks.json

get_config() {
config_get_bool enable $1 enable
config_get_bool use_conf_file $1 use_conf_file
config_get config_file $1 config_file
config_get server $1 server
config_get server_port $1 server_port
config_get local $1 local
config_get local_port $1 local_port
config_get password $1 password
config_get timeout $1 timeout
config_get encrypt_method $1 encrypt_method
config_get ignore_list $1 ignore_list
config_get_bool tunnel_enable $1 tunnel_enable
config_get tunnel_port $1 tunnel_port
config_get tunnel_forward $1 tunnel_forward
config_get lan_ac_mode $1 lan_ac_mode
config_get lan_ac_ip $1 lan_ac_ip
config_get wan_bp_ip $1 wan_bp_ip
config_get wan_fw_ip $1 wan_fw_ip
config_get ipt_ext $1 ipt_ext
: ${timeout:=60}
: ${local:=0.0.0.0}
: ${local_port:=1080}
: ${tunnel_port:=5300}
: ${tunnel_forward:=8.8.4.4:53}
: ${config_file:=/etc/shadowsocks/config.json}
}

start_rules() {
local ac_args

if [ -n “$lan_ac_ip” ]; then
case $lan_ac_mode in
1) ac_args=”w$lan_ac_ip”
;;
2) ac_args=”b$lan_ac_ip”
;;
esac
fi
/usr/bin/ss-rules \
-c “$CONFIG_FILE” \
-i “$ignore_list” \
-a “$ac_args” \
-b “$wan_bp_ip” \
-w “$wan_fw_ip” \
-e “$ipt_ext” \
-o
return $?
}

start_redir() {
service_start /usr/bin/ss-redir \
-c “$CONFIG_FILE” \
-b “$local”
return $?
}

start_tunnel() {
service_start /usr/bin/ss-tunnel \
-c “$CONFIG_FILE” \
-b “$local” \
-l “$tunnel_port” \
-L “$tunnel_forward” \
-u
return $?
}

rules() {
config_load shadowsocks
config_foreach get_config shadowsocks
[ “$enable” = 1 ] || exit 0
mkdir -p $(dirname $CONFIG_FILE)

if [ “$use_conf_file” = 1 ]; then
cat $config_file >$CONFIG_FILE
else
: ${server:?}
: ${server_port:?}
: ${password:?}
: ${encrypt_method:?}
cat <$CONFIG_FILE
{
“server”: “$server”,
“server_port”: $server_port,
“local_port”: $local_port,
“password”: “$password”,
“timeout”: $timeout,
“method”: “$encrypt_method”
}
EOF
fi
start_rules
}

boot() {
until iptables-save -t nat | grep -q “^:zone_lan_prerouting”; do
sleep 1
done
start
}

start() {
rules && start_redir
[ “$tunnel_enable” = 1 ] && start_tunnel
}

stop() {
/usr/bin/ss-rules -f
service_stop /usr/bin/ss-redir
service_stop /usr/bin/ss-tunnel
rm -f $CONFIG_FILE
}

这是我的文件，按照你说的：修改 /etc/init.d/shadowsocks ，其实就是把Client Mode注释掉再把Proxy Mode的注释去掉：我的应该怎么改啊
zhuxiaopengster 2015-03-21 于 20:54 回复

你好我想问一下我重启了一下路由器就不好翻墙了，查看了ipset list看了下里面没有Ip不知道什么原因
1. zhuxiaopengster 2015-03-22 于 06:46 回复
  
  用ChinaDns还是有污染，换成DNS转发可以了。
zhuxiaopengster 2015-03-24 于 07:11 回复

开机的启动的时候ss-tunnel不能启动但ss-redir能启动，直接敲/etc/init.d/shadowsocks start就全部能启动，不知道什么原因？
cokebar fans 2015-04-05 于 23:04 回复

gfwlist好久没更新啦……
引用: 教你如何实现Openwrt路由器智能翻墙。 | xqd的小站
夜曦 2015-04-13 于 18:45 回复

这只是客户端吧，服务端怎么办，买国外没被墙的VPS？
1. cokebar 文章作者 2015-04-15 于 13:28 回复
  
  可以自己买VPS 也可以买别人的shadowsocks账号也有免费的