两端无出口纯 Wireguard 隧道被墙，现在还有较可靠的 VPN 协议不

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

This topic created in 1211 days ago, the information mentioned may be changed or developed.

如题，国内和国外的机器组局域网交换数据用，非翻墙，两端没有出口，以前一直用自建的 Wireguard 隧道，几年来一直稳定至 22 年 12 月底，突然某天一早被墙 IP ，请服务商更换 IP 后没过多少天再次被墙端口，想问下这个需求现在还有较可靠的方案不？因为要组二层网络，而且存在国内服务商管理较严格等原因，主流翻墙协议和非 VPN 协议不太考虑。有解不？服务商自己的 IPsec 费用有点高，而且不确定是否也会被墙。

wireguard

VPN

服务商

翻墙

22 replies • 2025-01-06 11:09:55 +08:00

dearmymy

Jan 12, 2023

zerotier ，tailscale 不行么。zerotier 还能阿里云自建个 plant 中间过个国内阿里云，速度还稳定

photon006

Jan 12, 2023

udp 直接过墙容易被 ban ，我试过 wireguard 搭配 udp2raw 很稳。

defunct9

Jan 12, 2023

混淆过的 openvpn

haffner

Jan 12, 2023

@dearmymy 谢谢，我试试。

@photon006 谢谢，这个方案以前被我毙过，先作为备选吧。

Brunuh2Ville2

Jan 12, 2023

vpn 的特征很明显。如果没有混淆伪装在目前大墙升级的版本很难活

palxex

Jan 12, 2023

方便的话问一下位置？总感觉最近美西的机房特别容易封 IP

novolunt

Jan 12, 2023

native:
https://github.com/crazypeace/naive

目前 cf 的 wireguard 依旧很稳

ysc3839

Jan 12, 2023 via Android

wireguard 套个 DTLS 啥的？或者不在乎延迟的话套 TLS 。也可以试试 kcptun 。

datocp

Jan 12, 2023

1.设置多个外部访问端口指向统一的源端口
# iptables -t nat -S
-A PREROUTING -i eth0 -p tcp -m multiport --dports 111,222,333 -j REDIRECT --to-ports 555

2.使用 softether 之类的。可以电信直访 VPS ，可以电信借道移动专线间接访问 VPS 。通过不同线路来分散流量

3.既然只封部分端口，那简单 cron 定时换不同线路不同端口，让流量的累积特征变得不明显。

自从上次不稳定过后，这种随机变换线路+端口的用法，又能 24x7 稳定访问 youtube 。

softether 最好的 vpn 。

ivan_wl

Jan 12, 2023

softether 的 https vpn ，据说可以过深度包检测。
但是 softether 远程管理工具会被墙识别，造成秒封，所以别用远程管理工具。

ragnaroks

Jan 12, 2023

楼主说的 VPN 协议我暂且当作是翻墙的另一种说法。

基于起源引擎的 iPEX ，可以伪装成 CSGO 、DOTA2 等游戏的流量，以前没接专线的时候用了好几年，效果很棒。就是资源占用大，因为真的要跑一个 sourceDS 和客户端，而且没有手机版。

Visionhope

Jan 12, 2023 via Android

@photon006 +1

Tink

PRO

Jan 12, 2023 via Android

tailscale 是基于 wireguard 的挺好用，zt 以前也挺好，现在有些地方强了

cnbatch

Jan 12, 2023

想要换定时端口？那就试试这个，2022 年的时候我造的试验品：
https://github.com/cnbatch/udphop

无须修改防火墙设置，以便非 Linux 机器也能用

haffner

Jan 12, 2023 via iPhone

@photon006 谢谢，我暂时在用 Phantun 跑 Wireguard 试试。

haffner

Jan 12, 2023 via iPhone

@ragnaroks 两个局域网之间同步数据，不用手机端，只要大流量不易被墙，资源占用大的不优先考虑。

@cnbatch 鉴于上面说的需求，不考虑定时换端口，容易出故障而且容易被墙 IP 。

kyor0

Jan 12, 2023 via iPhone

换个思路，买个机场然后套娃 vpn 。

cnbatch

Jan 12, 2023

定时换端口没那么容易出故障、墙 IP ，只要传输的内容不是一下子就能够识别出来（比如 Wireguard 自身，已经能够被墙准确识别），打一枪换一个地方，反倒很稳妥。
换端口的软件开启流量加密就可以了。

Marionic0723

Jan 13, 2023 via Android

@ivan_wl 我现在用它，外面可以随便连里面，里面开 UDP 可以连上外面，但是速度慢，纯 TCP 不行，错误 2 ，管理工具反而没被识别，走 zerotier 内网连接管理没问题。

testcaoy7

Jan 19, 2023

我用的是 openvswitch 方案，两台云服务器因为都有公网 ip ，所以我直接建了个 Geneve 隧道
Geneve （ Generic Network Virtualization Encapsulation ，RFC 8926 ）是一种网络封装协议，需要两台机器的防火墙放行 UDP 6081 端口（不可更改）

Geneve 只封装，不加密，加密交给 ipsec ，openvswitch 有自动生成 ipsec.conf 的功能，使用 psk 加密方案的话，只要在建立 port 的时候指定预共享密钥，就会自动使用 ipsec 加密流量

secirian

Jan 6, 2025

楼主的 Phantun+wg 方案目前稳定吗

haffner

Jan 6, 2025 via iPhone

@secirian Phantun+wg 性能不行，已弃用很久，用回纯 WireGuard 了，这一年多挺稳定。楼上说的 Geneve 也在用，也挺稳。