【四】用第二台境外服务器彻底隐藏自己的踪迹
上一节说到,已经实现了用v2ray进行翻墙,实现途径是
firefox类浏览器 -> 本机代理端口(如1080) -> 本机翻墙客户端 -..[1]..-> 伪境外网站 -> nginx -> v2ray -..[2]..->任何网址
连接[1]会因为出境,而在GFW留下你在国内的IP地址和访问的境外IP,就是你租用的境外服务器的公网IP
连接[2]有可能被你访问的境外网址记录这个IP,一旦你在这个境外网址上发表了反共言论,就有可能被它转给国内特务,在GFW上搜索匹配该境外服务器IP的访问记录,这就是很多翻墙网友被抓的原因。
不要以为twitter就反共了,司马南还能把巨额美元出境在美国买房呢,你知道美国的深层政府就不和中共勾结吗?
现在的wikileak都不登载巴拿马文件,不揭露中共的丑事了,所以一切小心。
在勇敢翻墙时,一定要做好自我保护,包括但不限于卸载360,卸载电脑管家,关qq,贴图不用wx进行传输,检查翻墙软件是否可信等。做好个人身份保护,别人套你话时一定要留个心眼,是否说出去的话能让特务更容易的找到你。
补充一句,检查现在firewalld的状态是
firewall-cmd --info-zone=public
在此基础上,介绍如何隐藏用来翻墙的这个IP。原理说起来简单,就是v2ray的那个主机,由另一台境外主机做代理,再去访问,就解决问题了。所以你还要再租一台主机。
v2ray -..[2]..->掩护机-..[3]..->任何网址
即使网站通知给国内的网特,也通知的是掩护机的地址,而如果你没有直接连接过它,则查无此条记录,无法通过IP发现你。
将v2ray所在的服务器称为翻墙机。
它们之间通过开源软件OpenVPN的私密信道相连。
【1】翻墙机安装OpenVPN和制作密钥
先在翻墙机上安装OpenVPN
代码: 全选
yum install -y epel-release
yum install -y fail2ban vim mc tcpdump traceroute links nc
yum install -y easy-rsa openssl-devel openvpn NetworkManager-openvpn openvpn-auth-ldap
制作密钥
代码: 全选
openvpn --genkey --secret static.key
cat static.key
【2】新建掩护机
掩护机作为OpenVPN的服务器,功能是在指定端口接到翻墙机的连接,核准密码IP后,为其进行转发
我建立CentOS7主机时,就做了个第一次运行的脚本,如下
代码: 全选
#!/bin/sh
#安装openvpn
yum install -y epel-release
yum install -y fail2ban vim mc tcpdump traceroute links nc
yum install -y easy-rsa openssl-devel openvpn NetworkManager-openvpn openvpn-auth-ldap
#开启作为路由器进行流量转发的功能
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
systemctl start firewalld
firewall-cmd --remove-service=ssh --permanent
firewall-cmd --add-masquerade --permanent
systemctl restart firewalld
firewall-cmd --add-port=[服务器端口]/udp
#初步配置OpenVPN
cd /etc/openvpn
cat > mask.conf << EOF
dev tun0
lport [服务器端口]
proto udp
ifconfig 10.0.0.1 10.0.0.2
secret ...
log-append /var/ovpn.log
EOF
#默认登录后直接进入openvpn的配置目录
echo "cd /etc/openvpn" >> /etc/bashrc
其中的[服务器端口] 要由你自己设,可以1000-60000随便挑,一般不会和现有的重复。如果报错了,就换一个。
改好之后保存,启动,等它自己执行这些命令。
如果你的服务器网页不允许设置这种自启动脚本,也可以开机以后把以上命令一行行复制过去,执行即可。
【3】从翻墙机登录掩护机,并完成配置
服务器自动启动之后,为了方便起见,我们间接ssh它。
注意:即使你知道它的IP地址,不要在BitviseClient里面直接去连接它,以免在GFW上留痕。
现在放行ssh:
firewall-cmd --add-service=ssh
我们就在翻墙机里,用Linux的ssh,作为客户去访问掩护机:
ssh root@[掩护机的公网IP]
进去之后,刚才生成并输出到屏幕上的static.key,现在用鼠标从头至尾选中,BitviseClient会自动复制下来。
敲入
vim static.key
按下a
然后按下ctrl+v
好了,整个static.key的内容都已经粘进来了
ESC后,输入:wq后回车保存退出
我们已经在openvpn的配置目录里
直接打开配置文件mask.conf
修改
secret static.key 0
保存之后就可以了。
如果你还想增加双保险,只允许接待翻墙机IP的openvpn连接,就应该在防火墙上设置唯一准入。
简单办法是在服务器的网页里,找到firewall那页,添加规则,只允许[服务器端口]对[翻墙机IP]开启
或者是把firewall-cmd取消了对所有IP的端口准入
代码: 全选
firewall-cmd --remove-port=[服务器端口]/udp
firewall-cmd --add-rich-rule 'rule family="ipv4" source address="[翻墙机公网IP]/32" port port="[服务器端口]" protocol="udp" accept'
firewall-cmd --info-zone=public
第二行的添加命令也可以增加持久化,原命令末尾加上 --permanent 即可,这个持久化是重启后自动加载的。如果不加这条虽然当前生效了,但是重启后可能就无效了。
最后再部署openvpn服务
cd /usr/lib/systemd/system
cp openvpn-server@.service openvpn@.service
打开openvpn@.service并修改
WorkingDirectory=/etc/openvpn/
ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i.conf
保存之后,
systemctl start openvpn@mask
systemctl status -l openvpn@mask
运行正常,就输入
firewall-cmd --remove-service=ssh
systemctl restart firewalld
然后你就发现报错,连接断开了。
这就对了,除非你通过租用服务器那家网站(如vultr)网页的VNC再进入主机,开启ssh端口,否则现在谁都没法远程连接这个掩护机。它就安全了,也不用搞什么私钥登录那般麻烦。
当然,你在网页上,操控该主机的外部防火墙,也能达到同样的效果。但有的服务器商不提供外部防火墙。
接下来就只需要在翻墙机进行配置了。
【3】初步开通openvpn通道
掩护机的openvpn服务已经开启,我们回到原来的主机里,如果还回不去
exit
就回来了
回到原来有static.key的目录,我假设是家目录~
新建tun.conf,填入以下内容
代码: 全选
daemon
dev tun
remote [掩护机公网IP]
rport [服务器端口]
lport [客户端端口]
proto udp
ifconfig 10.0.0.2 10.0.0.1
secret static.key 1
writepid /run/tunpid
log-append /var/ovpn.log
verb 4
以上[服务器端口]要与你在掩护机里面的配置相同,[客户端端口]你任选,1000以上不能是2345或者其他与v2ray现在用的端口,现在测试一下连通性:
代码: 全选
openvpn tun.conf
sleep 1
ping -c 1 10.0.0.1
当你看到
--- 10.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss
就说明连接成功了。
现在断开通道
cat /run/tunpid
会出现个进程号
kill [进程号]
openvpn的客户端关闭,该通道也关闭
【4】巧设路由
之前我们说过,是要v2ray的流量自动的去用openvpn的通道,但是我们的翻墙机表面上是个正常的网站,则它给任何访问的用户发消息时,不能去用openvpn的通道,否则就不能显示网页了。所以要进行分流。
还是在家目录,我们先建立openvpn的启动脚本startun
代码: 全选
#!/bin/bash
openvpn tun.conf
sleep 1
tail -10 /var/ovpn.log
ping -c 1 10.0.0.1
ip route add default via 10.0.0.1 table vpn
echo
echo '-- ip route list table vpn --'
ip route list table vpn
ip rule add dev tun0 table vpn prio 100
ip rule add from 10.0.0.2/32 table vpn prio 101
echo
echo "-- ip rule show --"
ip rule show
后一半是条件路由规则,意思是源地址为10.0.0.2的流量去用openvpn通道的对侧即10.0.0.1来路由
openvpn的关闭脚本stoptun
代码: 全选
#!/bin/bash
#kill `cat /run/tunpid`
ps aux|grep openvpn|grep -v 'grep'|awk '{print $2}' | xargs kill
sleep 2
ip route
现在启动openvpn
sh startun
我们能看到ping的结果,还看到了路由的更改效果
101: from 10.0.0.2 lookup vpn
现在唯一要做的就是设置v2ray了:
cd /usr/local/etc/v2ray
打开config.json并编辑:
代码: 全选
"outbounds": [
{
"sendThrough": "10.0.0.2",
"protocol": "freedom",
保存退出。
加入sendThrough的设置后,v2ray代理时就不再用翻墙机的公网IP,而强制使用openvpn的10.0.0.2了,然后路由表会自动的去找10.0.0.1作为路由器。因为现在已经建立了openvpn通道,它就会找掩护机的openvpn服务器,完成第二跳。
systemctl restart v2ray
然后再重新连接v2ray,你再在浏览器翻墙的时候,用的就是掩护机IP了,
不妨去whatismyip.com检查一下。
【全文完】
人身安全。