VPN - 绕过网络审查
TL;DR(太长不看版): AmneziaWG 更快、更简单。Xray 更灵活、更难被检测。FreeMe 可以同时配置两者。
人们常说法律不会伤害自由。但这并非总是事实。一条法律在纸面上可能是有效的,但仍然可能违背人们心中对自由的本能感知。大多数人不需要法律理论就能理解这一点:人类应该能够自由地说话、阅读、学习、交流和寻求真理。当法律保护这种本能时,它就是服务于自由。当法律惩罚这种本能时,它就变成了审查的工具。
审查制度:究竟在封锁什么?
政府并不需要读取每一条信息来控制人民。它只需要足够多的控制点:互联网提供商、移动运营商、DNS解析器、域名注册商、托管服务商、应用商店、支付系统、社交平台,以及警察权力。当这些层面协同工作时,互联网从外部看可能仍然是开放的,但在国家内部,它变成了被围栏、过滤和监视的空间。
最基本的技术方法是 IP 封锁。如果一个网站、VPN 服务器、代理或消息服务使用已知的 IP 地址,ISP 就可以阻止发往该地址的流量。这种方法易于部署,但不够精确。许多网站可能通过云托管或 CDN 共享同一个 IP 地址,因此封锁一个 IP 可能会破坏许多无关的服务。
另一种常见方法是 DNS 封锁 或 DNS 投毒。当用户查询一个域名时,DNS 解析器可以返回一个假的地址、不返回任何地址,或返回一个由政府控制的页面。有时,审查者并不直接控制解析器,而是比真正的应答更快地注入一个伪造的 DNS 响应。结果很简单:用户输入了正确的域名,但网络把他们带到了别处,或者哪里也去不了。
明文 HTTP 是暴露的流量。连接中的任何中间人(包括互联网提供商和政府控制的网络系统)都可以检查它。如果流量没有加密,就可以被读取、记录、过滤、重定向或封锁。
HTTPS 让内容过滤变得更难,但并没有消除 元数据。在 TLS 连接过程中,审查者仍然可以观察到目标 IP、端口、时间、数据包大小,并且在许多情况下还可以观察到服务器名称指示(SNI)。SNI 告诉服务器客户端想要访问的主机名。如果审查者在 TLS 握手中看到了被禁止的主机名,它可以在加密会话完全建立之前就重置或阻断连接。
深度包检测(DPI)更进一步。DPI 设备大规模地检查数据包,通过特征、流行为、熵、时间、包长度和协议结构进行分类。审查者可能无法解密内容,但仍然可以识别出一个连接看起来像 WireGuard、OpenVPN、Tor、QUIC 或其他某种工具。在现代审查中,协议本身就会变得可疑。
一些政府还会使用 主动探测。首先,审查者被动地观察流量,将某台服务器标记为可疑。然后,它自己连接到该服务器,发送测试包,看服务器是否表现得像一个代理或翻墙工具。如果服务器的应答方式错误,它就会被加入黑名单。这就是反审查协议不仅要防御被动检测,还要防御伪造客户端的原因之一。
另一种方法是 限速。网络不会完全封锁某个服务,而是让它变得缓慢、不稳定,或几乎无法使用。这给了政府可否认性:它可以声称存在技术问题、网络拥塞或正在维护。限速通常被用于视频平台、消息应用、新闻网站和抗议沟通工具。用户并没有被正式封锁,但服务变得足够令人痛苦,以至于许多人会主动放弃使用。
身份控制 是另一个重要层面。实名制 SIM 卡注册、基于身份证的社交媒体账号、手机号验证、年龄验证、生物识别、以及中心化的数字身份系统都减少了匿名性。当每个账户都与真实身份绑定时,审查变得更容易,因为惩罚也更容易。
设备级控制 更具侵入性。当局可以在边境检查手机、强制用户解锁设备、要求安装本地监控应用、向公司施压要求削弱加密,或使用间谍软件。
经济压力 也是流量控制系统的一部分。政府可以阻断捐款、冻结账户、对媒体机构处以罚款、吊销许可证、向广告商施压,或强制托管和支付服务商停止服务。一个网站可能在技术上仍然可达,但因为其基础设施和资金受到攻击而消亡。
在这一切之后,你还真的相信政府站在你这一边吗?
解决方案
这就是 Xray 和 AmneziaWG 成为实用解决方案的地方。当普通的 VPN 流量被检测或封锁时,AmneziaWG 能发挥作用——它保留了 WireGuard 的速度和简洁性,同时使流量更难被 DPI 系统识别。当审查更严格、更有选择性时,Xray 可以提供帮助,因为它可以通过灵活的代理链路由流量,并使连接看起来更接近普通的 HTTPS 流量。它们并不能完全消除审查,但为用户提供了更好的工具来绕过网络限制,避免简单的指纹识别,并在直连被阻断时保持对信息的访问。
Xray 的技术原理
目前最强悍的直接 Xray 配置之一是 VLESS + RAW/TCP + REALITY + Vision。
VLESS 是代理协议。它在 Xray 客户端和 Xray 服务器之间承载流量,并使用 UUID 识别用户。它轻量、无状态,通常作为现代 Xray 配置的基础协议。
RAW/TCP 是传输层。旧的指南常称之为 TCP,但在较新的 Xray 术语中称为 RAW。这意味着 Xray 不会将流量包装在 WebSocket、gRPC 或其他基于 HTTP 的传输中。它直接通过普通的 TCP 连接发送代理流量。
REALITY 是伪装层。其任务不仅仅是加密,更是外观上的伪装。审查者并不总是需要解密流量来封锁它。如果握手看起来像已知的 VPN 或代理,审查者就可以阻断流量。REALITY 试图使连接看起来更接近与正常网站相关的普通 TLS 流量,而不是暴露明显的代理握手过程。
Vision 是流控模式。它与 VLESS 一起使用,以提高性能并减少可疑的 TLS-in-TLS 行为。如果没有这个,加密的代理流量有时会产生与普通浏览器流量不同的模式。Vision 帮助连接表现得更自然、更高效。
从审查者的角度看,这种配置不应看起来像一个经典的 VPN 隧道。它应该看起来更接近普通的加密网络流量。这一点很重要,因为现代审查往往通过指纹而非读取加密内容来检测流量。
但这种配置并非万能。如果服务器 IP 被封锁、托管提供商被重点针对、REALITY 目标选择不当、DNS 在隧道外泄露,或者审查者通过行为而非协议指纹来封锁可疑的境外 VPS 流量,它仍然可能失败。
CDN 模式 则是通过 CDN 连接,侧重于将源服务器隐藏在大规模共享基础设施之后。
基本路径如下:
用户应用 → 本地 Xray 客户端 → VLESS over XHTTP → TLS 连接 → CDN 边缘节点 → 源 Xray 服务器 → 互联网
VLESS 是代理协议。它在 Xray 客户端和 Xray 服务器之间承载用户流量,识别用户并创建逻辑隧道。
XHTTP 是传输层。它不是将 VLESS 直接通过原始 TCP 发送,而是将流量包装在 HTTP 风格的通信中。这很重要,因为 CDN、反向代理和 Web 服务器都理解 HTTP 流量。CDN 不能像转发普通 Web 请求那样转发任意的代理流量,但它可以转发兼容 HTTP 的流量。
TLS 是客户端和 CDN 域名之间的加密层。从外部看,这个连接看起来像是与一个普通域名的加密 HTTPS 流量。审查者看到的是用户通过 443 端口连接到一个托管在 CDN 上的网站,而不是直接连接到一个运行代理的私有 VPS。
CDN 是位于源服务器之前的盾牌。客户端连接到 CDN 边缘节点,CDN 再将 XHTTP 请求转发到后端的真实 Xray 服务器。这使得封锁更加困难,因为审查者不能简单地封锁一个明显的服务器 IP 而不影响 CDN 网络上的其他服务。
这种设置在直连 VPS IP 容易被快速封锁时非常有用。如果审查者封锁了你的服务器 IP,直接的 REALITY 配置就可能失效。使用 CDN 模式,客户端可见的目标是 CDN 边缘节点,而不是源服务器。源 IP 应该保持隐藏,否则审查者可以绕过 CDN 直接封锁源服务器。
| 配置 | 含义 | 最佳使用场景 | 主要优势 | 主要劣势 |
|---|---|---|---|---|
| VLESS + RAW/TCP + REALITY + Vision | 直接连接到你的 Xray 服务器 | 当直连 TCP/443 可用时 | 强伪装和高性能 | 服务器 IP 暴露,可能被封锁 |
| VLESS + XHTTP + TLS + CDN | Xray 流量在到达你的服务器之前先经过 CDN | 当直连 VPS IP 被快速封锁时 | 用 CDN 基础设施隐藏源服务器 | 更复杂,通常速度较慢 |
AmneziaWG 是什么?
AmneziaWG 是一种基于 WireGuard 的 VPN 协议,专为受审查的网络设计。标准 WireGuard 快速且安全,但其数据包类型、握手大小和 UDP 行为很容易被 DPI 系统识别。AmneziaWG 保留了 WireGuard 的加密核心,但改变了可见的数据包形态:它会修改头部、添加随机填充、在握手前发送垃圾数据包,并且可以模仿常见的 UDP 协议。当普通 WireGuard 因指纹识别而被封锁时,AmneziaWG 就能派上用场,同时保持了 VPN 隧道的速度和简洁性。
AmneziaWG 的主要优势是性能和易用性。主要劣势在于它仍然基于 UDP,可能会受到那些封锁或严重限制 UDP 的网络的影响。同时,在应用层路由和复杂代理链方面,它也不如 Xray 灵活。
Xray vs AmneziaWG
| 类别 | Xray | AmneziaWG |
|---|---|---|
| 主要角色 | 灵活的代理平台 | VPN 隧道协议 |
| 常见用途 | VLESS + REALITY 代理、路由、链式转发 | 全设备 VPN,行为类似 WireGuard |
| 传输风格 | 通常基于 TCP/TLS 或高级传输 | 基于 UDP 的 WireGuard 风格隧道 |
| 反审查方法 | TLS 伪装、协议灵活性、路由控制 | 数据包/头部混淆,UDP 协议模仿 |
| 性能 | 可能很快,但高度依赖传输和配置 | 通常很高,与 WireGuard 类似 |
| 路由能力 | 非常精细 | 通常是系统级 VPN 路由 |
| 客户端复杂度 | 中到高 | 低到中 |
| 最佳适用场景 | 严苛的审查环境、基于域名的路由、代理链 | 在 UDP 可用时实现快速 VPN 访问 |
| 弱点 | 配置错误、指纹识别、运维复杂 | UDP 阻断、路由灵活性有限 |
| 操作者技能要求 | 较高 | 较低 |
附加内容:Xray + AmneziaWG 的双跳配置
FreeMe 是一个终端界面工具,旨在自动化在两台 Ubuntu 服务器上设置安全的链式 VPN。该工具强制执行严格的防火墙规则,并在生成的配置中禁用日志记录,以减少意外暴露的风险。
常见陷阱
-
使用广泛复制的配置。如果成千上万的服务器使用相同的参数、端口、指纹或伪装目标,那么配置本身就会成为一个特征。
-
选择了一个糟糕的 REALITY 目标。伪装目标应该稳定、可达,并且从服务器的网络位置来看是可信的。如果目标的行为不一致,代理可能会显得突出。
-
忽视 UDP 阻断。AmneziaWG 可以工作得很好,但某些网络会降级或阻断 UDP。在这种情况下,基于 TCP 或类似 TLS 的 Xray 传输可能更可靠。
-
DNS 泄漏。即使流量通过隧道,除非客户端正确配置,否则 DNS 查询仍可能发往本地解析器。
-
路由配置错误。分流隧道功能强大,但错误可能导致敏感流量直接发出,而只有部分应用程序使用代理。
-
服务器卫生状况不佳。暴露的管理面板、重复使用的密码、老旧的内核、开放的管理端口以及缺失的防火墙规则,都可能摧毁一个原本强大的网络设计。
结论
即使是自由地图也无法反映现实。你不应该盲目相信它们。有些国家从外部看可能很开放,但在系统内部,自由就像捕鼠器里的奶酪:人们被允许四处走动、表达自己的想法、寻求信息,但与此同时,他们也可能被监视、标记或惩罚。
这在那些看起来“最进步”的国家尤其危险:那里的控制可能更微妙、更不明显、更被正常化。人们面临的可能不是直接的封锁,而是监控、法律压力、平台规则、身份检查和社会惩罚。对普通人来说,这仍然会产生真正的恐惧,并限制真正的自由。
在一个政府影响着学校、媒体、法律、在线平台和公众舆论的世界里,体验真正的自由是很困难的。如果人们从小就被教导什么是可以思考的,那么自由就不能仅仅用法律或互联网限制来衡量。
这正是自由互联网至关重要的原因。人们需要一个可以彼此直接沟通的地方。这样,个体才能发展自己的梦想、想法、欲望和观点。互联网不应该仅仅是受控的、经过批准的信息流。它应该是一个人们可以自由搜索、比较、提问和交流的空间。