利用obfsproxy+OpenVPN进行翻墙
前言
不久前,GFW升级导致OpenVPN、SSH Tunnel等一系列老牌翻墙方式纷纷阵亡,现在的翻墙手段已经开始从单纯的加密向流量混淆发展,这里介绍一种利用obfsproxy+OpenVPN进行翻墙的方式,目前情况下相当稳定快速。
obfsproxy 是 Tor Project 的一个附属项目,采用流量混淆的方式专门用于突破互联网封锁。对用户的表现形式是一个TCP端口转发隧道,和 ssh -L 的功能完全一致。
除了介绍obfsproxy+OpenVPN翻墙以外,本文还介绍了如何使用 Raspberry Pi 搭设翻墙网关实现无缝翻墙的方法。下文中B和C部分属于平行关系,任选其一配置即可。
有任何建议和问题欢迎在Twitter上和我讨论: @blankwonder
本文目标读者为有一定Linux和网络知识基础的用户,并没有把所有命令全部傻瓜话的列出,如果是小白请先准备技术支持老师一枚(别找我啊……)
A. 服务器端配置
OpenVPN配置
首先,我们需要先安装配置OpenVPN,如果你不需要IPv6的话,直接用包管理安装就行。否则请到官网下载2.3版本的源码自行编译安装。(目前最新版本是2.3 RC2)
Debian编译OpenVPN所需要的包有libssl-dev, libpam0g-dev, liblzo2-dev
注:若是自行编译的OpenVPN,会缺少easy-rsa和init.d脚本,easy-rsa可以从OpenVPN官方的Github获得。init.d 脚本可以从各发行版的源码获得:
- Debian/Ubuntu 用户:下载这个文件包 http://ftp.de.debian.org/debian/pool/main/o/openvpn/openvpn_2.3~rc1-1.debian.tar.gz,解压后找到openvpn.init.d文件,将其放到/etc/init.d/openvpn
- Gentoo 用户: sudo wget http://sources.gentoo.org/cgi-bin/viewvc.cgi/gentoo-x86/net-misc/openvpn/files/openvpn-2.1.init -O /etc/init.d/openvpn
如果你没有修改安装prefix的话,OpenVPN会被安装到/usr/local/sbin/openvpn上,记得修改init.d脚本的相应内容。
接下来,按照标准的OpenVPN部署流程,生成各种密钥和证书(CA, server, client)。Linode 的官方文档写的非常好,这里不再阐述。
我使用的服务端配置(/etc/openvpn/openvpn.conf)如下:
local 127.0.0.1
port 40059
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3
mute 10
由于我们需要使用obfsproxy进行二次混淆,所以这里让OpenVPN监听在127.0.0.1上。市面上的路由器默认的IPv4子网一般是 192.168.X.X或者10.X.X.X,这里为了避免和原有网络冲突,我选择了172.16.0.0/24作为VPN的子网。
接下来设置iptables进行NAT转换,这里省略了Linode文档中的安全部分(DROP),需要可自行补上。
sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j MASQUERADE
为了保证服务器重启后自动配置iptables,请需要将这条命令加入启动脚本
- Debian/Ubuntu 用户:启动脚本的路径为 /etc/rc.local
- Gentoo 用户:需要在/etc/local.d目录中创建一个后缀为.start的文件(如openvpn_iptables.start),将命令写在里面,同时记得使用chmod a+x。
接下来启动内核的IPv4转发
sudo sysctl -w net.ipv4.ip_forward=1
为了保证重启后不需要人工干预,在/etc/sysctl.conf中加入net.ipv4.ip_forward=1,这样重新启动后就不再需要sysctl -w了。
现在可以把OpenVPN跑起来了,命令如下
sudo /etc/init.d/openvpn start
obfsproxy配置
现在开始编译安装obfsproxy,官方指导文档在这 https://www.torproject.org/projects/obfsproxy-instructions.html.en
注:Gentoo用户在emerge libevent时请注意添加USE标记ssl。
Debian/Ubuntu用户可以直接使用包管理安装
sudo apt-get install obfsproxy
安装配置完毕后,启动obfsproxy,命令如下:
obfsproxy obfs2 --dest=127.0.0.1:40059 server 0.0.0.0:9132
请记得使用screen,nohup或daemon的方式运行obfsproxy。daemon当然最好,我比较懒就直接跑在screen里面了。
至此,服务端配置完毕。
B. 客户端配置
obfsproxy配置
首先编译安装obfsproxy,文档同上。
Mac用户可以用使用homebrew安装,请参照这里 https://github.com/mtigas/homebrew-tor/blob/master/README.md
由于我们需要将所有流量重定向到OpenVPN,而由于使用了obfsproxy,OpenVPN不知道服务器IP是多少没办法对到OpenVPN 服务器的流量进行特殊处理,所以我们需要手动将到服务器的路由固定下来,假设你的服务器IP为12.34.56.78,当前网络的网关地址是 192.168.1.1:(路由修改的命令请根据自己的操作系统自行调整,此处以Mac OS X为例)
sudo route add 12.34.56.78 192.168.1.1
完成了之后,开始运行obfsproxy
obfsproxy obfs2 --dest=12.34.56.78:9132 client 127.0.0.1:50443
如果是Mac用户,可以使用我的脚本,稍微简便一些(需要sudo)
#!/bin/bash
SERVER_IP="12.34.56.78"
GATEWAY=`netstat -nr | grep '^default' | grep -v 'tun' | sed 's/default *\([0-9\.]*\) .*/\1/'`
/sbin/route add $SERVER_IP $GATEWAY
/usr/local/bin/obfsproxy obfs2 --dest=${SERVER_IP}:9132 client 127.0.0.1:50443
# Below line won't be excuted until obfsproxy exit
/sbin/route delete $SERVER_IP $GATEWAY
OpenVPN配置
接下来选择你喜爱的OpenVPN客户端软件进行连接就可以了,我的配置式样例如下:
remote 127.0.0.1 50443 tcp-client
pull
tls-client
ns-cert-type server
persist-key
ca ca.crt
redirect-gateway def1
nobind
persist-tun
cert cert.crt
comp-lzo adaptive
dev tun
key key.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
log-append /var/log/openvpn.log
好的,现在你又可以尽情享受OpenVPN的全局翻墙了,如有需要可以结合 chnroutes 区分国内外流量进行选择性翻墙。
C. Raspberry Pi 翻墙网关配置
整个网络结构图如下
使用 Raspberry Pi 作为翻墙网关有很多好处,一是不用再每次都手动连接VPN,二是一次配置所有设备通用,更奇妙的是结合chnroutes使用,客户端和 RPi 之间会自动使用ICMP Redirect修改客户端路由,下次再访问同一国内IP就不会再经过 RPi 了。
警告:修改网络配置极有可能使得RPi无法联网,请在保证可以直接控制RPi的情况下操作。
Raspberry Pi 使用 Debian wheezy 作为操作系统,其他操作系统也大同小异。
首先,在RPi上安装OpenVPN和obfsproxy,同样,如果需要IPv6还是得自行编译安装OpenVPN。编译方法参照之前服务器部署部分,obfsproxy可以直接使用包管理安装。
同样,我们还是需要启动内核的IPv4转发
sudo sysctl -w net.ipv4.ip_forward=1
记得同时修改/etc/sysctl.conf保证重启也有效。
接下来我们需要让RPi的IP固定下来,修改/etc/network/interfaces文件,将eth0的相关部分改成这样,请参照自己的网络情况修改
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8
为了让interfaces文件可以设置DNS服务器,也就是让dns-nameservers 8.8.8.8这句话生效,我们需要再额外安装一个包
sudo apt-get install resolvconf
使用以下命令使得配置生效,直接重启也行
sudo /etc/init.d/networking restart
接下来,使用 chnroute 生成路由脚本,(这步可以在电脑上执行,然后将生成好的文件拷贝过来)
python chnroutes.py -p linux
得到两个文件ip-pre-up和ip-down,其中ip-pre-up开头如下,
/bin/bash
export PATH="/bin:/sbin:/usr/sbin:/usr/bin"
OLDGW=`ip route show | grep '^default' | sed -e 's/default via \\([^ ]*\\).*/\\1/'`
if [ $OLDGW == '' ]; then
exit 0
fi
if [ ! -e /tmp/vpn_oldgw ]; then
echo $OLDGW > /tmp/vpn_oldgw
fi
route add -net 1.0.1.0 netmask 255.255.255.0 gw $OLDGW
...
其中获得网关的命令我自己测试发现有问题不成功,修改为这样
OLDGW=`ip route show | grep eth0 | grep '^default' | sed -e 's/default via \([^ ]\+\) dev eth0/\1/'`
动态获得网关IP的方法有时会不太可靠,如果网络情况不常变化,可以考虑直接把网关IP写进去
OLDGW="192.168.1.1"
在RPi上执行sudo bash ./ip-pre-up,将国内IP的路由固定下来(没有必要等到OpenVPN链接后再固定,也不需要每次断开后就删除,除非网关地址变了,否则一直放着就好)。注意这个脚本可能要运行一段时间才能完成。
和客户端部分一样,连接之前我们也需要先将到服务器的路由固定下来,一体化脚本如下(记得修改服务器IP)
#!/bin/bash
SERVER_IP="12.34.56.78"
GATEWAY=`ip route show | grep eth0 | grep '^default' | sed -e 's/default via \([^ ]\+\) dev eth0/\1/'`
/sbin/route add -host $SERVER_IP gw $GATEWAY
/usr/local/bin/obfsproxy obfs2 --dest=${SERVER_IP}:9132 client 0.0.0.0:50443
#/sbin/route delete -host $SERVER_IP gw $GATEWAY
使用screen,nohup或daemon的方式将这个脚本运行起来(需要root权限),就可以开始进行OpenVPN的配置了
将所需要的证书和密钥放到/etc/openvpn/目录下。配置文件和上文B部分一致,命名为openvpn.conf。启动openvpn:
sudo /etc/init.d/openvpn start
可以查看一下OpenVPN的日志,看看链接是否成功
sudo tail /var/log/openvpn.log
当看到“Initialization Sequence Completed”后,就表示我们已经基本上大功告成了。接下来测试一下。
[root@blankwonder-rpi]openvpn # ping twitter.com
PING twitter.com (199.59.149.230) 56(84) bytes of data.
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=1 ttl=247 time=631 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=2 ttl=247 time=328 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=3 ttl=247 time=477 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=4 ttl=247 time=326 ms
^C
--- twitter.com ping statistics ---
5 packets transmitted, 4 received, 20% packet loss, time 4025ms
rtt min/avg/max/mdev = 326.018/440.823/631.233/125.840 ms
OK,RPi目前已处于翻墙状态了。接下来,让我们的设备也能翻墙。
在RPi中启动iptables的NAT转换
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
将需要翻墙的设备的IP地址设为手动,将网关地址设为RPi的地址(本文中为192.168.1.2),DNS服务器地址设为8.8.8.8,打开浏览器试一下,你是不是已经畅通无阻了?
接下来为了使得以后使用不用再手动修改路由,到路由器上修改DHCP设置,将网关地址设置为RPi的地址,DNS改为8.8.8.8。如果你的路由 不支持手动设置DHCP路由地址(比如我的Time Capsule……),那就把他的DHCP直接关了,在RPi上直接自建一个DHCP服务器(比如dnsmasq)。
同样的原理我们还可以利用RPi为子网下所有设备提供原生的IPv6支持。但配置略微有些繁琐,请待下回分解……
Version 1
原文:https://dl.dropbox.com/u/6129727/obfsproxy%2Bopenvpn.html
最近听说有人改openvpn源码,使用一个多月都没有被墙,请问博主有消息吗
啊,你要是找到了,发给我看看啊
不知道能否obfsproxy+ssh这样的方式翻墙?站长能否试试?
应该是可以的,貌似有人试过,我没有测试过
B部分的50043应该改为40059吧,我测试了,在openvpn gui窗口里还是显示connection reset,连不上openvpn.博主有测试,成功连接上openvpn吗
没有测试,遇到问题可以咨询文中推号原文作者。
他这个是把本地弄了个本地socket连本地好么。。而这个socket是通过9132的obf转发的。。
已经有人被墙了。