tomleehk

個人認為如果要應對牆嘅監控，最可靠方案喺起一隻webserver行https，再用ss-server 加simple-obfs 行tls obfs，設定 simple-obfs 用 443 port 分流去ss-server 同 webserver

你用ss-client (行tls obfs) 有正確ss密碼就可以經server 嘅443 port分流去ss-server 作正常翻牆，其他嘅嘢會分流去https server

https://zengwh.com/blog/shadowsocks-with-obfs/

所以對於牆嚟講只會見到一隻真實存在嘅https 網頁 同 加密咗嘅正常https 串流， 串流其實會先喺ss層面加密，再用https 包封同加密，無咁易被睇真實內容，老實講，每日出出入入嘅https 串流多到數唔到，唔可能對每個https串流都去作深入研究同分析，解開packet技術上亦有難度

再穩陣d, 可以令ss-server 每日自動轉ip address, 日日都走鬼

但https server需要嘅cert如果喺免費嘅暫時揾到只得90日有效，比較麻煩要每90日更新一次， 當然唔更新cert未必影響翻墙，只喺混淆效果未喺最理想

下一步研究吓有無方法可以自動更新d cert

tomleehk

多口問句，有冇可能同一個 ss server，開兩個 port，一個就有 obfsproxy 掩護，另一個就冇？

milanolarry 發表於 2018-2-25 23:33

唔記得同一個ss-server可唔可以同時用兩個 listening port, 亦無刻意研究

要做到咁嘅效果, simple-obfs 要行 standalone mode用一個 listening port, ss-server用另一個 listening port

例如 webserver 用 port 8080 去行  https,
而ss-server 用 port 8443, 當然可以用嚟收 ss-client (用 port 8443) 嘅番墙工作
simple-ofbs 行 standalone mode 用 port 443, 用嚟收 ss-client (用 port 443, tls-obfs)嘅番墙工作, ss-client密碼如果正確嘅會自動轉發去 port 8443 俾 ss-server番墙, failover 嘅轉發去 port 8080 俾 websphere

参考下面對應嘅指令
obfs-server -s server_ip -p 443 --obfs tls -r 127.0.0.1:8443 --failover 127.0.0.1:8080

但我喺openwrt/lede平台試過, ss-server同 simple-obfs無法喺boot機一齊成功自動啟動, 所以而家simple-obfs只能行plug-in mode, listening port 443, 而ss-server 嘅listening port喺random嘅

tomleehk

我仲考慮過抄埋香港中聯辦個網頁黎做 http 個門面 (仲要聲明係黨員 log in)。
milanolarry 發表於 2018-2-25 23:33

小心呢樣嘢反而引人注意

用 https webserver 嚟做 ss-server 嘅 obfs (不過只能行plug-in mode)嘅工作基本上已經完成, 而家研究緊點樣可以令server自動更新 https webserver 嘅 免費cert, 唔喺好想吓吓要抄上去

tomleehk

回復  tomleehk

回復  milanolarry

看来两位CHings对VPN高级用家，而我今晚只能用SSTP，而不用L2TP over IPSec，PPTP VPN clients，不知道是否又与上面开会有关？

角色 發表於 2018-2-25 23:45

大家研究同討論吓技術, 個人仍在努力研究同學習中

不過上面每次開會, 加強監控同干擾都喺指定嘅動作

tomleehk

個人只用443,80,8443,8080呢幾個port, 一般比較靠得住, 就算大時大節, 網管很少會搞呢幾個port

tomleehk

大隱隱於市

所以個人首選用https走443 port做掩飾,大時大節都比較可靠用到,當然絶到行白名單制就無乜計

但難免速度上要妥協,同一設備情況下,速度唔會最快

tomleehk

1) 唔好引人注目, 高流量難免容易中招
    易地而處, 我喺網管都會留意呢d情況, 有懷疑就針對性再深入分析
    估計網管累積分析一段時間後就會將可疑ip放入ip黑名單,大時大節就果斷落閘

2) 我嘅應對就喺器材每日自動轉新ip,每日走鬼, 網管懷疑得嚟server都已經閃咗去第二個ip

tomleehk

443 已經畀 sstp 用左
milanolarry 發表於 2018-2-26 23:52

有限資源下就要自己取捨, 好彩嘅ISP如果可以俾多一個真ip, 就可以多一個443 port用

tomleehk

1、VPN连线有time-out，就是没有traffic下就断开（那么你的IP连线VPN就会断很多）
2、流量分开走！这里有两个做法，就是1、分开连个AP，一个香港，一个大陆。不用香港，就要转到大陆。不过这个有点麻烦，最好有多二个选择就就Policy Route based on IP （DNS 用 大陆，另外一个DNS based 用 8.8.8.8 ）

角色 發表於 2018-2-27 10:55

  

只要server固定同一ip可以長期被牆作深度分析, 我覺得作用唔大
就算你client唔連線, 牆都可以主動試探server嘅反應去分析, 而且有時VPN亦無可避免有大流量(例如要睇電視串流), 一旦被懷疑被分析甚至被放入黑名單,你之後只可以閃去另一ip

與其喺咁, 不如被懷疑被分析之前主動走鬼

tomleehk

第一...client 如果喺用openwrt/lede router都可以日日轉唔同ip
第二...就算真喺有client黑名單呢樣嘢, 可以對client ip有d乜嘢嘅懲罰措施? 難道唔俾用80(http),443(https)睇外地網頁 ?

tomleehk

一般change IP是否需要更改MAC address？
角色 發表於 2018-2-27 14:42

對..當然唔包所有器材都可以用script改到

tomleehk

如果唔想起web server行https走443 port做掩飾, 可以參考以下網友嘅意見

问一下，混淆过的协议现在检测率有多少？
https://www.v2ex.com/t/376651

当前网络环境，SS及SSR该怎么配置协议混淆才是最佳？
https://www.weibo.com/ttarticle/ ... 0014142890849820960

各帥各法

tomleehk

1、SSTP是比较慢，有的时候慢到不想用。
2、L2TP over IPSec就比较畅顺。

角色 發表於 2018-3-2 09:04

   

ISP 亦可能利用Qos, 因應唔同嘅protocol或者唔同嘅port而放唔同嘅速度
呢個亦喺另一個原因我認為行最大路嘅http或者https比靠可靠