返回列表 發帖

shadowsocks and sstp both using ports no. 443?!

今次国庆回港,趁机搞了个 搬瓦工 的shadowsocks,不是大陆身份证的支付宝他们不接受付款,只好回港再申请。。。
发觉ss 是要占用port443 的, 同时 我又想搞个 SSTP(大陆和香港都用mikrotik router连接), 可是看网上的文章又说是用port 443 的。
想请教师兄们, 如果我同时是用shadowsocks 和 SSTP 翻墙, 他们会否有冲突呢? 我怕一有故障时我就不方便会来香港搞设定了。。。。

本帖最後由 tomleehk 於 2018-10-4 11:06 編輯
回復  tomleehk
您可以利用防火牆7層協議過濾,新增shadowsocks的特徵碼:


然後在to-port:443的nat映射添 ...
gfx86674 發表於 2018-10-4 10:38


勁!  

咁樣做的而且確完美

我而家喺 Openwrt 用咗simple-obfs , anyconnect client 同 ss client 同時set死用 port 443 , server 443 port (assign 俾 simple-obfs) 就可以同時接兩個client, simple-obfs 分辨 client 之後自動分流去 OpenConnect server 或者 ss-server

TOP

本帖最後由 gfx86674 於 2018-10-4 10:52 編輯

回復 6# tomleehk
您可以利用防火牆7層協議過濾,新增shadowsocks的特徵碼:


然後在to-port:443的nat映射添入特徵碼項目:

完成後凡是to-port:443的連線在做映射時都會先行比對,
符合特徵碼條件的封包才會映射給shadowsocks-server處理;否則就由sstp-server處置.

這是最完美的操作,但首要是您要懂的分析封包,抓出特徵碼.

分析的工具為Wireshark,是開源工具任何人都可免費操作下載.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

顺便问下, 在RouterOS 设定sstp server 时, 是否不需要 设定 IP-Pools 或者 什么 Profiles?因为我已前setup pptp 和L2tp server 时 都有设置Ip-pools 和 Profiles的,但在网上参考sstp server 的设置时, 并没有这些要求?!
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 tomleehk 於 2018-10-4 02:54 編輯

搭單一問,其實有無類似openwrt上嘅 simple-obfs  特點 ,可以識得分辨 client 而自動 port forward  去ss-server或者另 一個service , 咁兩個clients就可以簡單地 set 死 用443 port

TOP

回復 4# vpn-learner

這樣懂吧...

本地連到遠端時的port號是亂數決定的,每次連線的都不同.
所以用上面的方法,連到shadowsocks與sstp-server就都有各1/2的機會(偶數與奇數).

假如目前連接到對端,src-port號碼是偶數,不會進行映射的.
而我的目的剛好是sstp-server,這樣就會剛好連接到 ;

假如src-port號碼是奇數,這樣會映射到shadowsocks而非sstp-server導致連接失敗.
但需要煩腦嗎? 不用!!

我只要再進行一次sstp連接,電腦會再換一次src-port號碼,從奇數換成偶數.
這樣就可順利連接sstp-server了.

同樣shadowsocks也是 ,這次沒順利接上再撥一次換src-port號就可以連接,就這樣簡單.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

不明白, port 443  跟奇数 与 偶數 有什么关系? 请恕我太笨!

TOP

本帖最後由 gfx86674 於 2018-10-3 20:39 編輯

將連接dst-port:443映射到shadowsocks ,會無法使用sstp-server.

本來應該是如此,但聰明的只要動些手腳:
client src-port號是偶數,ROS不進行映射,即連接sstp-server.
client src-port號是奇數,ROS進行映射,即連接shadowsocks.
應該沒人說不可以這樣玩,對吧

怎做呢? 在映射的規則再套上pcc項目即可.

這樣連線src-port除2餘1(也就是奇數),才會映射給shadowsocks ;否則不會動作.
而映射不動作,連線自然交由Ros sstp-server處理.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 tomleehk 於 2018-10-3 17:54 編輯

同一器材, 同一個port只可以assign俾一個service用

假如同一個port同時assign俾多過一個service用, 只有其中一個可以成功啟動/使用

解決方法 :
1) ss 改用其他port, 但強國可能會封
2) ss 同 SSTP要用两個devices, 用兩個ip
   (但似乎只有HGC可以任何時間提供超過一個真ip, 可能視乎你個plan, 我一般都攞到3個真ip分别俾webcam,ss-server,openconnect用port 443; HKBN 1G fiber FTTH 我加switch最多攞到2個真ip, 仲要同時power-on所有器材喺開機嗰一吓先得)

TOP

返回列表