easy-connect 的一些问题

Sangfor SSLVPN

封锁严重也要突破 注意法律风险

Sangfor 有发布 GNU/Linux 版，用多网卡用 iptables 做个 SNAT

如果有一个有公网 ip 的服务器的话可以尝试用 frp 之类的工具把内网里的自建代理反代出来

@xfspace 内部网络实际上是校园网。
@lanternxx 我要用 easy-connect 访问的服务器就是有公网 ip 的，但是网外访问任意端口都封掉了，必须走 easy-connect

@shicheng1993 #3 然而我的情况和你完全一样，我校也是用的 easyconnect，我也是遇到了 easyconnect 乱动路由表的情况，于是在校内一台自己的机器上装了代理服务器并使用在阿里云上的 frp 把校内的代理反代到公网上。

@lanternxx 我不是很懂内网穿透，想问一下， 你的模式下所有流量都是走阿里云代理的，有没有可能阿里云的服务器只是参与做反向代理的建立过程，而后面是你自己的机器和校内网机器直连，虽然每次都需要阿里云的服务器来建立连接，这个思路能实现吗？我这块不是很懂

@shicheng1993 #5 用 frp 的话是所有流量都要走阿里云中转的，想不中转直连校内的机器的话可以试试 zerotier n2n 这类工具，但不一定能成功

@shicheng1993 #5 而且这些不从其他服务器中转的方式都用的 udp，如果运营商对 udp 协议 qos 严重的话体验可能会很差。

@lanternxx 非常感谢大佬的回答， 我去试试 zerotier。另外感觉你对网络比较了解，问一个我比较困扰的问题，就是端口的设计。
#### 1.例如我访问百度的 80 端口，他会给我返回数据，那我发数据从我本地的任意端口都可以吗？他返回的时候是直接返回我的 80 端口呢？还是返回我发数据时候使用的我的本地端口。要是说返回我使用的端口的话，那我本机的 80 端口的开闭和我能不能浏览网页就没有关系了是吧？
#### 2.既然外部无法直接访问校内有公网 ip 的机器的任意端口，但是百度却给这个服务器发送网页数据，也接收了，就是这个服务器能上网页。那服务器是因为发现他自己先用某个端口访问了百度，然后就对这个端口百度发回的数据进行允许通行吗？
#### 3.第二个问题成立的情况下，我用两台内网机器和一台公网机器，两台内网机器通过公网机器得知双方在线，然后开始给对象的 NAT 的公网地址发送消息，都会失败。然后这两台内网机器就会知道自己使用某个端口给对方发送了数据，第二次在尝试发送数据的时候，不就可以按照第二个问题的情况，成功接收数据了吗？

1.返回到你发数据时候使用的端口而非你的 80 端口。防火墙对出入站流量的限制是单独设置的，一般来说封 80 端口只是阻止 80 端口入站(阻止别人访问你的 80 端口，但你可以访问别人的 80 端口)；
2.是的。
3.建议以“nat 打洞”为关键词搜索，不是大佬，怕误导你了。

@lanternxx 好的，再次感谢哈！(*^▽^*)

之前用安卓开启 easyconnect 然后有个 app 叫 ajsocks 相当于 socks 服务器，其他设备直接用这个转发

@shicheng1993 你说的这三点，基本上就是指连接追踪机制。
一般 nat 防火墙的策略是，内部向外的请求，放行；
外部回应请求的请求也放行，除此之外一律丢弃。
面向连接的 TCP 很好追踪，判断数据包是否为“回应的数据包”。
而 UDP 就没有那么明显的特征，一般策略是发出去了包，接下来一段时间内回来的包原路转发，没有包汇率则关闭 nat 连接。
所谓“打洞”就是对连接追踪的欺骗，外部数据包假装成对你请求的回应被转发从而直接通信。
nat 类型则是对此不同的限制策略，最严格的 symmetric 要求数据包的源地址，源端口，目的地址，目的端口全部一致，无法打洞；最宽松的 fullcone 则不做任何要求，只要占了这个端口那么外部发往这个端口的包就都会转给你。

@panda1001 老哥，你说的这个 app 怎么搜不到
@Buges 厉害，大体上明白了，多谢。

@shicheng1993
谷歌下 包名 pub.chara.cwui.asocks
本来 ku an 里面很多开发者写的小工具挺实用，2016 后没更新的因为没实名下架了