exiaduck 最近的时间轴更新 exiaduck 最近的时间轴更新 |
exiaduckV2EX 第 623378 号会员,加入于 2023-04-10 02:06:28 +08:00 |
| cloudflare warp 客户端的 proxy 模式无法上网 Cloudflare • exiaduck • 43 天前 • 最后回复来自 ysc666 | 29 |
exiaduck 最近回复了
274 天前 回复了 exiaduck 创建的主题 › Cloudflare › cloudflare warp 客户端的 proxy 模式无法上网 |
@zidekuls 用 v2ray 或者 sing-box 做一层桥接即可,我推荐使用 sing-box ;之前回复提到的方法可以优化,只需要注意在 sing-box 配置 warp 出站的 socks 协议为 socks4 版本即可,其他系统 dns 什么的都不需要再修改了; v2ray 或者 sing-box 的 gui 一般都会默认本地开启一个 socks5 服务器,其他设备或者浏览器用 socks5 协议连接即可。
直接使用 sing-box 内核的话,配置文件参考如下:
{
"log":{
"disabled":false,
"level":"info",
"timestamp":true
},
"dns":{
"independent_cache":true,
"servers":[
{
"tag":"cf",
"address":"tls://1.1.1.1/dns-query",
"detour":"warp"
},
{
"tag":"local",
"address":"tls://223.5.5.5",
"detour":"direct"
},
{
"tag":"rcode",
"address":"rcode://success"
}
],
"rules":[
{
"geosite":"cn",
"server":"local"
}
]
},
"inbounds":[
{
"type":"mixed",
"tag":"mixed-in",
"listen":"::",
"listen_port":2080,
"sniff":true
}
],
"outbounds":[
{
"type":"direct",
"tag":"direct"
},
{
"tag":"warp",
"type":"socks",
"version":"4",
"server":"127.0.0.1",
"server_port":40000
},
{
"type":"block",
"tag":"block"
},
{
"type":"dns",
"tag":"dns-out"
}
],
"route":{
"final":"direct",
"auto_detect_interface":true,
"rules":[
{
"protocol":"dns",
"outbound":"dns-out"
},
{
"geosite":"category-ads-all",
"outbound":"block"
},
{
"geosite":"cn",
"geoip":[
"cn",
"private"
],
"outbound":"direct"
}
]
}
}
直接使用 sing-box 内核的话,配置文件参考如下:
{
"log":{
"disabled":false,
"level":"info",
"timestamp":true
},
"dns":{
"independent_cache":true,
"servers":[
{
"tag":"cf",
"address":"tls://1.1.1.1/dns-query",
"detour":"warp"
},
{
"tag":"local",
"address":"tls://223.5.5.5",
"detour":"direct"
},
{
"tag":"rcode",
"address":"rcode://success"
}
],
"rules":[
{
"geosite":"cn",
"server":"local"
}
]
},
"inbounds":[
{
"type":"mixed",
"tag":"mixed-in",
"listen":"::",
"listen_port":2080,
"sniff":true
}
],
"outbounds":[
{
"type":"direct",
"tag":"direct"
},
{
"tag":"warp",
"type":"socks",
"version":"4",
"server":"127.0.0.1",
"server_port":40000
},
{
"type":"block",
"tag":"block"
},
{
"type":"dns",
"tag":"dns-out"
}
],
"route":{
"final":"direct",
"auto_detect_interface":true,
"rules":[
{
"protocol":"dns",
"outbound":"dns-out"
},
{
"geosite":"category-ads-all",
"outbound":"block"
},
{
"geosite":"cn",
"geoip":[
"cn",
"private"
],
"outbound":"direct"
}
]
}
}
280 天前 回复了 paranoiagu 创建的主题 › 宽带症候群 › 旁路由 ipv6 怎么解决? |
@neroxps 谢谢大佬的提点,fake-ip 方案确实优雅好使,已经完美解决好了我的情况;但,如果 fake-ip 不管出墙的 ipv6 请求的话,那就是纯 ipv4 出国了,这样跟一些类似的方案,比如 dns 服务器直接改掉对应网站的 ipv6 dns 效果是一样的。
281 天前 回复了 paranoiagu 创建的主题 › 宽带症候群 › 旁路由 ipv6 怎么解决? |
@neroxps 就是 fake-ip 的 ipv4 地址段和 ipv6 地址段在主路由可以设置规则转发到旁路由么?原生梅林上好像没看到有类似的设置页面。。。
281 天前 回复了 paranoiagu 创建的主题 › 宽带症候群 › 旁路由 ipv6 怎么解决? |
@neroxps 大佬,主路由怎么设置 fake-ip 就转发给旁路由?
300 天前 回复了 rockcat 创建的主题 › 宽带症候群 › 墙内 socks5 流量被过滤 |
@ConDuseW 墙内直接用 wg 等组虚拟内网,不过墙没什么问题的应该
300 天前 回复了 Nile20 创建的主题 › 程序员 › 请教:如何使用 wireguard 作为链式代理的出口节点 |
问题 1. 服务端分流回国流量到 warp ,是为了避免有时客户端这边出站的时候分流规则没生效,导致访问国内网站流量经过了 vps ,然后 vps 直接返回应答的话,就会暴露 vps ;客户端出站分流不生效有几个原因,比如手滑开了全局、客户端 geoip 更新不及时没过滤掉一些漏网之鱼,或者没有分流规则的新设备直连了节点。
问题 2. wg 要作为链式代理出口,那么通道节点要支持 udp ,常见的 vmess 、trojan 好像都是不支持的,ss 可以,但是也要看服务端设置了如何处理 udp ,设置了不转发 udp 或者 uot 的好像都不行,所以免费机场节点要支持 wg 就要看运气要试。
问题 3. 自己搞廉价 vps 开 ss 是最稳定可靠的方案了,但也脱离了放心用不可信机场通道,或完全白嫖的初衷。但,反过来自己先套 warp 再用机场做出口,大部分情况是可以的,主要用来保护自己的同时利用机场节点切换落地的地区,但并不能远端套 warp 解锁一些网站。
问题 2. wg 要作为链式代理出口,那么通道节点要支持 udp ,常见的 vmess 、trojan 好像都是不支持的,ss 可以,但是也要看服务端设置了如何处理 udp ,设置了不转发 udp 或者 uot 的好像都不行,所以免费机场节点要支持 wg 就要看运气要试。
问题 3. 自己搞廉价 vps 开 ss 是最稳定可靠的方案了,但也脱离了放心用不可信机场通道,或完全白嫖的初衷。但,反过来自己先套 warp 再用机场做出口,大部分情况是可以的,主要用来保护自己的同时利用机场节点切换落地的地区,但并不能远端套 warp 解锁一些网站。
304 天前 回复了 oppddd 创建的主题 › 程序员 › 问下各位,前端有 chatgpt 的页面可以直接拿来用的吗? |
@xiaokanhongchen 后端就是用 go-openai-api ,只不过潘多拉的版本被改了两条 url 路由,本来就开源的一模一样的后端,愣是强制捆绑。
304 天前 回复了 oppddd 创建的主题 › 程序员 › 问下各位,前端有 chatgpt 的页面可以直接拿来用的吗? |
@xiaokanhongchen 潘多拉需要将数据经过他们运营的后端转发,敏感信息和账号要慎重
304 天前 回复了 exiaduck 创建的主题 › Cloudflare › cloudflare warp 客户端的 proxy 模式无法上网 |
跟进一下这个 case:
国内网络下,本地使用 warp 客户端的 proxy 模式的简易优雅办法是:
1. 物理网卡的 DNS 服务指向本机 ip:127.0.0.1
2. Firefox 使用 foxyproxy 插件,创建 socks5 出口,指向 warp 的端口,默认 127.0.0.1:40000 ;重点:“通过 socks5 代理发送 dns 请求”的选项关闭。chrome 系的 switchomega 没有这个功能。
3. firefox 隐私与安全 - 安全 dns - 选择增强保护 - 选 cloudflare 或者其他 doh/dot
3. v2ray 或者 sing-box 带有 dns 处理模块:sing-box 为例,创建一个监听本机 53 端口的入站点,开启流量嗅探,协议选 direct ,创建一个 sock5 指向 warp 的端口为出站点,随便设置一个 tag ,开启 udp_over_tcp
4. singbox 路由添加匹配 dns 协议,由 dns 规则处理 dns 请求。
"route": {
"rules": [
{
"protocol": "dns",
"outbound": "dns-out"
}
]
}
5. 设置 singbox 的 dns 处理模块,参考以下:
"dns": {
"disable_cache": true,
"rules": [
{
"geosite": "cn",
"server": "local"
}
],
"servers": [
{
"tag": "cf",
"address": "tls://1.1.1.1",
"detour": "warp" #warp 出站点的 tag
},
{
"tag": "local",
"address": "1.12.12.12",
"address_resolver":"dns-local",
"detour": "direct"
}
]
}
大致的原理就是,在本地先将请求解析成 ip 再传给 warp ,warp 前端就认为不需要 dns 解析了,然后就通过后端隧道发出去了。浏览器的话,第 2 步就是不让 warp 前端做 dns 解析的关键,暂时只有 ff 的插件能比较简单的解决。
v2ray 或者 singbox 虽然能处理 dns ,但是一般来说代理工具内部处理 dns 只是做路由匹配,用来决定浏览器的请求包应该发去哪个节点,而不会将 https 请求包的地址从域名形式替换成 ip 形式,所以无法单纯用一层代理套娃来解决。ff 插件拆分出 dns 请求和 https 请求,浏览器就会自己先发出 dns 请求,用代理工具捕获解析好返回 ip 给浏览器,浏览器知道目的地 ip 了,将 https 的域名替换成 ip ,最后再发给 warp 。
其他的办法是,代理软件的透明代理模式或者 tun 模式可以捕获 warp 前端发送的 dns 请求,这样浏览器就无需插件了,但同样要设置好代理工具的 dns 模块规则; 透明代理要改 iptables ,如无必要最好还是选择 tun 模式,但我不确定 tun 模式会不会有回环的问题。
总结:
1. warp 的 proxy 模式性能很拉胯,大概最多能看个 1080p ;
2. 原生 wg 可以用 sing-box 做完美分流,或者用 sing-box 实现的轻量级 wg 也可以有接近原生 wg 的性能;
3. dns 分流做好了才能安全冲浪,大家要重视哦,借助 cf 实现起来很简单。peace 。
国内网络下,本地使用 warp 客户端的 proxy 模式的简易优雅办法是:
1. 物理网卡的 DNS 服务指向本机 ip:127.0.0.1
2. Firefox 使用 foxyproxy 插件,创建 socks5 出口,指向 warp 的端口,默认 127.0.0.1:40000 ;重点:“通过 socks5 代理发送 dns 请求”的选项关闭。chrome 系的 switchomega 没有这个功能。
3. firefox 隐私与安全 - 安全 dns - 选择增强保护 - 选 cloudflare 或者其他 doh/dot
3. v2ray 或者 sing-box 带有 dns 处理模块:sing-box 为例,创建一个监听本机 53 端口的入站点,开启流量嗅探,协议选 direct ,创建一个 sock5 指向 warp 的端口为出站点,随便设置一个 tag ,开启 udp_over_tcp
4. singbox 路由添加匹配 dns 协议,由 dns 规则处理 dns 请求。
"route": {
"rules": [
{
"protocol": "dns",
"outbound": "dns-out"
}
]
}
5. 设置 singbox 的 dns 处理模块,参考以下:
"dns": {
"disable_cache": true,
"rules": [
{
"geosite": "cn",
"server": "local"
}
],
"servers": [
{
"tag": "cf",
"address": "tls://1.1.1.1",
"detour": "warp" #warp 出站点的 tag
},
{
"tag": "local",
"address": "1.12.12.12",
"address_resolver":"dns-local",
"detour": "direct"
}
]
}
大致的原理就是,在本地先将请求解析成 ip 再传给 warp ,warp 前端就认为不需要 dns 解析了,然后就通过后端隧道发出去了。浏览器的话,第 2 步就是不让 warp 前端做 dns 解析的关键,暂时只有 ff 的插件能比较简单的解决。
v2ray 或者 singbox 虽然能处理 dns ,但是一般来说代理工具内部处理 dns 只是做路由匹配,用来决定浏览器的请求包应该发去哪个节点,而不会将 https 请求包的地址从域名形式替换成 ip 形式,所以无法单纯用一层代理套娃来解决。ff 插件拆分出 dns 请求和 https 请求,浏览器就会自己先发出 dns 请求,用代理工具捕获解析好返回 ip 给浏览器,浏览器知道目的地 ip 了,将 https 的域名替换成 ip ,最后再发给 warp 。
其他的办法是,代理软件的透明代理模式或者 tun 模式可以捕获 warp 前端发送的 dns 请求,这样浏览器就无需插件了,但同样要设置好代理工具的 dns 模块规则; 透明代理要改 iptables ,如无必要最好还是选择 tun 模式,但我不确定 tun 模式会不会有回环的问题。
总结:
1. warp 的 proxy 模式性能很拉胯,大概最多能看个 1080p ;
2. 原生 wg 可以用 sing-box 做完美分流,或者用 sing-box 实现的轻量级 wg 也可以有接近原生 wg 的性能;
3. dns 分流做好了才能安全冲浪,大家要重视哦,借助 cf 实现起来很简单。peace 。
Select Language