標題:
shadowsocks and sstp both using ports no. 443?!
[打印本頁]
作者:
vpn-learner
時間:
2018-10-3 17:20
標題:
shadowsocks and sstp both using ports no. 443?!
今次国庆回港,趁机搞了个 搬瓦工 的shadowsocks,不是大陆身份证的支付宝他们不接受付款,只好回港再申请。。。
发觉ss 是要占用port443 的, 同时 我又想搞个 SSTP(大陆和香港都用mikrotik router连接), 可是看网上的文章又说是用port 443 的。
想请教师兄们, 如果我同时是用shadowsocks 和 SSTP 翻墙, 他们会否有冲突呢? 我怕一有故障时我就不方便会来香港搞设定了。。。。
作者:
tomleehk
時間:
2018-10-3 17:48
本帖最後由 tomleehk 於 2018-10-3 17:54 編輯
同一器材, 同一個port只可以assign俾一個service用
假如同一個port同時assign俾多過一個service用, 只有其中一個可以成功啟動/使用
解決方法 :
1) ss 改用其他port, 但強國可能會封
2) ss 同 SSTP要用两個devices, 用兩個ip
(但似乎只有HGC可以任何時間提供超過一個真ip, 可能視乎你個plan, 我一般都攞到3個真ip分别俾webcam,ss-server,openconnect用port 443; HKBN 1G fiber FTTH 我加switch最多攞到2個真ip, 仲要同時power-on所有器材喺開機嗰一吓先得)
作者:
gfx86674
時間:
2018-10-3 20:04
本帖最後由 gfx86674 於 2018-10-3 20:39 編輯
將連接dst-port:443映射到shadowsocks ,會無法使用sstp-server.
本來應該是如此,但聰明的只要動些手腳:
client src-port號是偶數,ROS不進行映射,即連接sstp-server.
client src-port號是奇數,ROS進行映射,即連接shadowsocks.
應該沒人說不可以這樣玩,對吧
怎做呢? 在映射的規則再套上pcc項目即可.
[attach]4185[/attach]
這樣連線src-port除2餘1(也就是奇數),才會映射給shadowsocks ;否則不會動作.
而映射不動作,連線自然交由Ros sstp-server處理.
作者:
vpn-learner
時間:
2018-10-3 23:04
不明白, port 443 跟奇数 与 偶數 有什么关系? 请恕我太笨!
作者:
gfx86674
時間:
2018-10-3 23:40
回復
4#
vpn-learner
[attach]4186[/attach]
這樣懂吧...
本地連到遠端時的port號是亂數決定的,每次連線的都不同.
所以用上面的方法,連到shadowsocks與sstp-server就都有各1/2的機會(偶數與奇數).
假如目前連接到對端,src-port號碼是偶數,不會進行映射的.
而我的目的剛好是sstp-server,這樣就會剛好連接到 ;
假如src-port號碼是奇數,這樣會映射到shadowsocks而非sstp-server導致連接失敗.
但需要煩腦嗎? 不用!!
我只要再進行一次sstp連接,電腦會再換一次src-port號碼,從奇數換成偶數.
這樣就可順利連接sstp-server了.
同樣shadowsocks也是 ,這次沒順利接上再撥一次換src-port號就可以連接,就這樣簡單.
作者:
tomleehk
時間:
2018-10-4 02:45
本帖最後由 tomleehk 於 2018-10-4 02:54 編輯
搭單一問,其實有無類似openwrt上嘅 simple-obfs 特點 ,可以識得分辨 client 而自動 port forward 去ss-server或者另 一個service , 咁兩個clients就可以簡單地 set 死 用443 port
作者:
vpn-learner
時間:
2018-10-4 08:18
顺便问下, 在RouterOS 设定sstp server 时, 是否不需要 设定 IP-Pools 或者 什么 Profiles?因为我已前setup pptp 和L2tp server 时 都有设置Ip-pools 和 Profiles的,但在网上参考sstp server 的设置时, 并没有这些要求?![attach]4187[/attach]
作者:
gfx86674
時間:
2018-10-4 10:38
本帖最後由 gfx86674 於 2018-10-4 10:52 編輯
回復
6#
tomleehk
您可以利用防火牆7層協議過濾,新增shadowsocks的特徵碼:
[attach]4190[/attach]
然後在to-port:443的nat映射添入特徵碼項目:
[attach]4189[/attach]
完成後凡是to-port:443的連線在做映射時都會先行比對,
符合特徵碼條件的封包才會映射給shadowsocks-server處理;否則就由sstp-server處置.
這是最完美的操作,但首要是您要懂的分析封包,抓出特徵碼.
[attach]4188[/attach]
分析的工具為
Wireshark
,是開源工具任何人都可免費操作下載.
作者:
tomleehk
時間:
2018-10-4 10:57
本帖最後由 tomleehk 於 2018-10-4 11:06 編輯
回復 tomleehk
您可以利用防火牆7層協議過濾,新增shadowsocks的特徵碼:
然後在to-port:443的nat映射添 ...
gfx86674 發表於 2018-10-4 10:38
勁!
咁樣做的而且確完美
我而家喺 Openwrt 用咗simple-obfs , anyconnect client 同 ss client 同時set死用 port 443 , server 443 port (assign 俾 simple-obfs) 就可以同時接兩個client, simple-obfs 分辨 client 之後自動分流去 OpenConnect server 或者 ss-server
歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/)
Powered by Discuz! 7.2