SS 與 IPv6

milanolarry

想請教如果我個 ss 只可以行 ipv4，而 BigSix 果邊行ipv6，會吾會有問題出現？

角色

回復 1# milanolarry

CHing，你那里开始有IPV6 IP？

tomleehk

第一個難題
How do i reach IPv4 addresses from an IPv6-only network?
https://serverfault.com/question ... n-ipv6-only-network

坦白講, 要花d時間研究下點解決
可能要研究吓ISP支唔支援 6to4 tunneling, DDNS支唔支援ipv6等等

milanolarry

其實吾關用吾用到既問題，而係睇翻 ss 個 log ，不時會發現一 d 異常。有時響 B6 連線翻老家既時候，發現同一個 request，香港果邊會收到兩次，而兩次係來自吾同既 v4 IP，但第一次就一定會係 wrong password 又或者 wrong encrypt method。要到第二次先冇問題，仲係來自我 B6 既 v4 IP。我問過人，有人認為可能係因為 B6 果邊用緊 ipv6，所以想問o下係咪真係會有問題。其實E個問題前排都響 E 度問過，不過冇乜人回。但係近幾日，我突然有一個想法，想講出黎睇下各位有識之士有乜意見。有冇可能第一次既 request 其實係來自 GFW，目的係 hack ss server。同一般 hacking 吾同， e 種 hack 法只會在用家使用時進行 (會難察覺好多)，就算用左 white list 可能都防佢吾到。   其實19大果排，國內已經聽到吾少人話 v2 用 ss 都用吾到，連自已都連吾到老家個 ss server，即係話牆叔好有可能已經有能力分辨出 ss 既 traffic，只不過基於某種原因而投鼠忌器。

tomleehk

仲用緊舊版OTA ?

为何 shadowsocks 要弃用一次性验证 (OTA)
https://blessing.studio/why-do-shadowsocks-deprecate-ota/
根据流加密的这个特性，坏东西们就可以通过伪造 TCP 数据包来主动探测 shadowsocks 服务器了。攻击者只要暴力尝试修改加密后的数据包中 IV 之后紧接着的那个字节（如果使用的加密算法 IV 长度为 16 字节，那么就修改第 17 个字节），穷举 2^8 = 256 种可能性，如果被测试的服务器有一种到三种情况下没有立即关闭连接，就可以判断出这台机子的这个端口开放的是 shadowsocks 服务。或许这种主动探测方法正在被 GFW 大规模应用，谁知道呢？你正在使用的原版 shadowsocks 代理随时有可能被封锁。


不過其實如果擔心牆嘅試探, 最好用新版ss-server加埋用web-server 做obfs
https://github.com/shadowsocks/simple-obfs
Coexist with an actual Web server
# suppose you have an HTTP webserver (apache/nginx/whatever) listening on localhost:8080 and HTTPS on 8443
# (you probably shouldn't expose these ports)
obfs-server -s server_ip -p 80 --obfs http -r 127.0.0.1:8388 --failover 127.0.0.1:8080
obfs-server -s server_ip -p 443 --obfs tls -r 127.0.0.1:8388 --failover 127.0.0.1:8443

milanolarry

我個 server 應該係用緊 OTA 出現前既版本 ，係咪就咁用 apt-get update 定要成個 ss 重新裝過先得？
B6果邊 port 80, 443同 8080 封左喎，要特別伸請先有得開，仲可以用 HTTP 做掩護咩？
另外，如果我既情況好似上文既描述咁，佢理論上一早就知我部機係ss，但除左19大果排之外，我又冇話用吾到。

tomleehk

其實shadowsocks-libev 由v3.0開始放棄咗用OTA, 改咗用AEAD, HK ss-server, 原則上update個ss package就得, 當然最好重新setup一次

B6果邊只喺封左  port 80, 443同 8080 (入) 呀嘛 ?
如果B6果邊封左  port 80, 443同 8080 (出) 你點上網睇網頁  ?
obfs 喺响HK ss-server嗰邊搞, 所以B6果邊無封port 80, 443同 8080 (出) 就得

如果要外加 obfs coexist with an actual web-server, 當然要自己起一隻web-server
參考
https://zengwh.com/blog/shadowsocks-with-obfs/
https://dcamero.azurewebsites.net/shadowsocks-simple-obfs.html
https://ttz.im/2017/08/1415
目標: obfs server 會視乎收到嘅嘢分流，收到B6果邊用ss-client(密碼正確)就可以正常分流去ss-server成功翻牆，其他收到嘅嘢會分流去web-server，例如喺B6果邊用瀏覽器打開網址只會看到web-server提供的內容，實現ss-server同web-server同port偽裝。

如果HK server嗰邊可以做到日日自動轉ip,日日走鬼就仲理想

利申:lede平台,ss-server行obfs plug-in mode, port 443, http 偽裝, web server用lighttpd


另外,翻牆渠道要幾時整頓,幾時唔整頓,有幾大力道,完全B6話事,而家我都奇怪ovpn,pptp呢d仲間聽到有人話仲work

角色

我是用v2ray里的SS和vmess，效果非常好！特别是vmess。

milanolarry

吾該 Tomleehk 兄
角色兄，有冇不時睇下 v2ray 個 log 有冇異常呀？
自已始終對 v2ray 吾多信任。另外係發現響 Android 度 Actinium  同 ss 撞，裝左一個就用吾到第二個。

角色

回復 9# milanolarry

我用container安装，都不知道在哪里看个log？

gfx86674

Get free IPv6 with tunnel broker