在NAT机器上搭建 shadowsocks + v2ray-plugin (websocket SSL) 组合 
星期五, 十二月 20, 2019, 05:20 AM
最近入了一台套路云的TW NAT机器,就寻思着把它搭建起来用于代理,本来打算是还用v2ray websocket + caddy 那套,不过由于是NAT机器,80,443 这样的端口基本是不用想了,我还得去研究caddy 第三方SSL证书怎么配置使用、还得去freessl.org 这样的网站自己去生成一套SSL证书。因为caddy 的自动签名证书只能用在常规的https 443端口。

想想就麻烦。但是shadowsocks 基于我之前使用情况,发现已经大概率被识别了。在这种情况下,我想试试之前听说过,但一直没用过的 v2ray-plugin 插件.

如果你的机器没有golang 环境,请先安装并配置好GOPATH、PATH.参见:https://go-repo.io/
最好也安装一下开发者套件,比如 yum groupinstall 'development tools'
确认防火墙已经关闭,或者指定端口已经放行.比如 systemctl stop firewalld

首先下载 go-shadowsocks2,

go get -u -v github.com/shadowsocks/go-shadowsocks2

一行命令搞定。

接下来是v2ray-plugin.(它的项目主页提供了bin 包下载。图省事的可以直接下载解压,复制到PATH目录即可。)

git clone https://github.com/shadowsocks/v2ray-plugin.git

签出代码,进入目录。编辑里面的 build-release.sh 文件,删除除了 linux,x64 之外的所有系统平台、架构。下面的几个ARM 平台的也删了。
运行 build-release.sh 编译文件,完成后你会在当前目录看到适合你平台架构的可执行文件。

复制到PATH 目录下,改名为 v2ray-plugin.

mv v2ray-plugin_linux_amd64 ~/go/bin/v2ray-plugin


按说到这里就差不多了,但是因为需要跑websocket + SSL.还需要一个 SSL证书。
用到了acme.sh 工具。

git clone https://github.com/Neilpang/acme.sh

签出代码,进入目录。
因为是NAT模式,所以一般的 --standalone 模式是行不通的。(我试过给 --httpport 参数,没效果)
故而使用 DNS 验证模式,执行脚本

./acme.sh --issue --dns -d  tw.xzx.im --yes-I-know-dns-manual-mode-enough-go-ahead-please

之后进入自己的DNS SERVER ISP 后台,添加一条TXT记录,内容就是脚本返回里面的。不难找~
确认域名记录生效后,再次执行脚本:

./acme.sh --renew --dns -d  tw.xzx.im --yes-I-know-dns-manual-mode-enough-go-ahead-please

不出意外,基本就成功了。SSL证书的公私钥啥的就都保存到本地的 ~/.acme.sh 目录下了。

证书搞定后就起服务了。

nohup go-shadowsocks2 -password ***** -plugin v2ray-plugin -plugin-opts "server;tls;host=tw.xzx.im" -s ":9600" &

htop 看一下,服务已经起来了,go-shadowsocks 成功的调起了 v2ray-plugin 进程。

  |-go-shadowsocks2,29874 -password ***** -plugin v2ray-plugin -plugin-opts server;tls;host=tw.xzx.im -s :9600
  |   |-v2ray-plugin,29879
  |   |   |-{v2ray-plugin},29881
  |   |   |-{v2ray-plugin},29882
  |   |   |-{v2ray-plugin},29883
  |   |   |-{v2ray-plugin},29884
  |   |   |-{v2ray-plugin},29885
  |   |   |-{v2ray-plugin},29886
  |   |   |-{v2ray-plugin},30461
  |   |   |-{v2ray-plugin},30462
  |   |   `-{v2ray-plugin},30476
  |   |-{go-shadowsocks2},29875
  |   |-{go-shadowsocks2},29876
  |   |-{go-shadowsocks2},29877
  |   |-{go-shadowsocks2},29878
  |   |-{go-shadowsocks2},29880
  |   |-{go-shadowsocks2},30458
  |   |-{go-shadowsocks2},30459
  |   |-{go-shadowsocks2},30464
  |   |-{go-shadowsocks2},30477
  |   |-{go-shadowsocks2},30699
  |   |-{go-shadowsocks2},30701
  |   `-{go-shadowsocks2},30710

端口监听正常.

[root@vm1219610 ~]# netstat -nlp | grep 9600
tcp        0      0 0.0.0.0:9600            0.0.0.0:*               LISTEN      29879/v2ray-plugin
udp        0      0 0.0.0.0:9600            0.0.0.0:*                           29874/go-shadowsock


服务端搞定了。接下来配置一下自己本地的代理工具,我用的是netch,GUI 上添加一个新SS服务器,配置一下就OK了。

    {
      "Remark": "TW",
      "Group": "None",
      "Type": "SS",
      "Rate": 1.0,
      "Hostname": "tw.xzx.im",
      "Port": 19600, #这里是NAT端口转发的外网开放端口
      "Username": null,
      "Password": "*******",
      "UserID": "",
      "AlterID": 0,
      "EncryptMethod": "chacha20-ietf-poly1305",
      "Plugin": "v2ray-plugin",
      "PluginOption": "tls;host=tw.xzx.im",
      "Protocol": null,
      "ProtocolParam": null,
      "OBFS": null,
      "OBFSParam": null,
      "TransferProtocol": "tcp",
      "FakeType": "",
      "Host": "",
      "Path": "",
      "QUICSecure": "none",
      "QUICSecret": "",
      "TLSSecure": false,
      "Delay": 49
    }


这是我netch 的json 配置,仅供参考。

注:本文在实践、撰写时参考了一下项目文档:
https://github.com/shadowsocks/go-shadowsocks2/blob/master/README.md
https://github.com/shadowsocks/v2ray-plugin/blob/master/README.md
https://github.com/Neilpang/acme.sh/blob/master/README.md

评论