iGFW

随着安全要求的提高PPTP、L2TP、IPsec已经逐渐被淘汰，现在主流的VPN协议是IKEv2、OpenVPN、WireGuard。

IKEv2由于自身端口固定协议明显，封锁比较容易，被封锁只有不断更换IP没有太好的方法。

https://github.com/hwdsl2/setup-ipsec-vpn 搭建脚本，比较容易被封，除非你vps换ip免费不然不建议。

WireGuard是新型的主流协议，性能极佳，不过还是比较容易被封锁的，对于封锁一般可以更换端口（可以设置一个端口段到vpn端口，方便一个端口封锁时切换到另一个），端口敲门（避免GFW主动探测），使用Phantun、Udp2raw、udp-over-tcp将UDP数据包混淆为TCP、Amnezia混淆等方法缓解。

https://github.com/Nyr/wireguard-install 搭建脚本，比较容易被封。

OpenVPN是VPN商家防止被墙的主力，OpenVPN防墙有verify-x509-name验证，TLS Crypt v2验证，XOR-Patched VPN混淆等方式。

https://github.com/angristan/openvpn-install 搭建脚本，默认启用verify-x509-name验证

https://github.com/alinhayati/openvpn-install 搭建脚本，添加TLS Crypt v2支持

openvpn-xor混淆可以参考：

https://blog.tmthecoder.dev

https://github.com/x0r2d2/openvpn-xor

https://github.com/xeon2650/openvpn-xor

支持的xor混淆的客户端：

Windows: https://github.com/lawtancool/openvpn-windows-xor

macOS:https://tunnelblick.net/cOpenvpn_xorpatch.html
Android: https://github.com/lawtancool/ics-openvpn-xor
iOS: https://apps.apple.com/us/app/passepartout-vpn-client/id1433648537

国外主流VPN商家对待封锁都采取了不同的策略，比如VyprVPN基于openvpn修改的Chameleon协议，expressvpn基于WireGuard修改的Lightway协议，不过效果都不算很好。

除了以上提到的，目前兼容思科AnyConnect的协议和新出的VpnHood也是值得一试的。

众所周知CN2 GIA线路目前是电信高峰期上外网速度保障的唯一解，搬瓦工一向以低价GIA VPS闻名，这个价格G口大流量的CN2 GIA是可遇不可求的存在，以往都是溢价千元才能收到的传家宝，现在搬瓦工限量开售，买到就是赚到。

套餐名称：The DC9 Plan VPS

套餐配置：
内存：768 MB
CPU：1 核
硬盘：15 GB SSD
流量：750 GB/月
带宽：1.5Gbps
机房：DC9 （洛杉矶3网GIA）

套餐价格：$38.00 USD/年
6.78%循环优惠码：BWHCCNCXVV

折后价格：$35.42/年

购买地址：点击购买 优惠码：BWHCCNCXVV

（新账号30天内可以退款，建议用非主力邮箱，便于溢价转手）

Tor 项目正式推出了模拟 HTTPS 流量的新网桥 WebTunnel。网桥是不公开的 Tor 中继。WebTunnel 通过模拟 HTTPS 流量增加屏蔽 Tor 连接的难度。审查者不可能完全屏蔽 HTTPS 连接，因为这会导致绝大部分服务无法访问。Tor 项目称，WebTunnel 的工作原理是将负载（Payload）连接包装成类 WebSocket HTTPS 连接，在网络观察者眼里就像普通的 HTTPS (WebSocket) 连接。使用 WebTunnel 网桥需要用户去获取相关网桥地址，手动添加到 Tor 浏览器中。WebTunnel 网桥数量还不多，目前无法在伊朗部分地区使用，在其它国家能正常工作。

https://bridges.torproject.org/options
https://www.bleepingcomputer.com/news/security/tors-new-webtunnel-bridges-mimic-https-traffic-to-evade-censorship/

来源：https://www.solidot.org/story?sid=77586

众所周知CN2 GIA线路目前是电信高峰期上外网速度保障的唯一解，搬瓦工一向以低价GIA VPS闻名，这个价格G口大流量的CN2 GIA是可遇不可求的存在，以往都是溢价千元才能收到的传家宝，现在搬瓦工限量开售，买到就是赚到。日本软银对于联通用户也是神一般的存在，这个价格依然具有很大的竞争力。

Basic VPS – Self-managed – SPECIAL 10G KVM PROMO V5 – LOS ANGELES – CN2 GIA LIMITED EDITION
硬盘：10 GB SSD
内存：512 MB
CPU：1 核
流量：500 GB/月
带宽：1Gbps（DC6 GIA机房2.5G日本软银5G）

购买地址：点击购买 优惠码：BWHNCXNVXV

（新账号30天内可以退款，建议用非主力邮箱，便于溢价转手）

前言

优选IP速度不一定合适，目前github项目上面只有按照ping和丢包筛选节点，并且IP库不多，希望以后能有更多大佬做出更好的优选IP脚本，优选的IP具有临时性，所以需要经常优选。并且本文教程不基于warp官方客户端，而是基于wireguard这个全平台工具，所以不管是windows还是ios等都适用。

1 优选IP

首先下载并解压文件：https://tc.duangks.com/warpip.zip

打开文件夹里面的手动方式1：生成优选IP端口结果文件.bat
输入1 IPV4优选

然后等待结果，会提示测试结果已经写入result.csv

打开文件夹里面的result.csv，里面是优选好的IP，按照丢包和ping延迟排序，选择最上方的几个即可。

安装客户端

github 下载地址： https://github.com/2dust/v2rayN/releases/download/6.23/zz_v2rayN-With-Core-SelfContained.7z

下载之后解压缩，找到 exe 文件直接运行即可

注册 cloudflare 账号

正常注册即可

以debian12为例：

下载最新版sing-box

curl -s https://api.github.com/repos/SagerNet/sing-box/releases/latest | grep "browser_download_url.*amd64.deb" | grep linux | cut -d'"' -f4 | wget -i -

安装sing-box

dpkg -i *amd64.deb

生成密码

sing-box generate rand --base64 16

修改配置

nano /etc/sing-box/config.json

复制一下配置

Nginx 正向 HTTPS 代理，需要插件 ngx_http_proxy_connect_module 支持，且需要 auth_basic 作为访问认证，但由于 auth_basic 模块只能处理 Authorization header，所以还要加入 lua-nginx-module 来处理 Proxy-Authorization header 认证。

简单点讲就是需要 nginx 加入 ngx_http_proxy_connect_module 和 lua-nginx-module 两个插件，来处理正向代理和认证。

下面服务端以 Debian10 来示范一下编译、安装过程。

开始之前，先安装一下依赖工具：

若用 REALITY 取代 TLS，可消除服务端 TLS 指纹特征，仍有前向保密性等，且证书链攻击无效，安全性超越常规 TLS
可以指向别人的网站，无需自己买域名、配置 TLS 服务端，更方便，实现向中间人呈现指定 SNI 的全程真实 TLS

安装Xray

bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install --beta

生成uuid

cd /usr/local/bin/

./xray uuid

生成公钥私钥

./xray x25519

配置Xray

Fork edgetunnel 本项目

请一定要定期同步 fork，具体方式请参考 Github 文档open in new window。