“网络审查系统”——Great Firewall(GFW)在中国大陆实现对所有的内外网络交互数据的审查,如若访问数据包含敏感内容,则会遭遇强制中断。访问的合法合规性是基于其备案情况而定,而未经备案的访问方式则被称为VPN、翻墙或梯子。

Trojan 是一个比较新的翻墙软件,它模仿了互联网上最常见的HTTPS协议,以诱骗 GFW 认为它就是 HTTPS,从而不被识别。所谓魔高一尺道高一丈,墙在不断往上砌,那工具也得跟着变了。

因此,本文将演示如何通过一个国外服务器来搭建一个VPN服务器,以提高网络安全性。所有数据的明文传输容易遭到GFW的查控,因此加密是实现网络安全的重要手段。

准备工作

  • Vultr 账号,以及一台 Vultr 的 VPS 服务器。

  • SSH 工具:可以用 XShell 或者 FinalShell。文末有提供地址。

  • 客户端工具:v2rayN、SS 客户端、Clash 之类的都可以。文末有提供地址。

    第一步、注册Vultr并购买服务器

    1、首先去Vultr官网:https://www.vultr.com,注册一个账号,链接打开的页面如下所示:

    2、Vultr充值Vultr 注册:新账号充值 10 美金、附送100 美金活动

    注册并验证邮箱后,进入Vultr后台,在Billing标签下面选择利用支付宝(Alipay)进行充值:

    3、Vultr新建实例
    充值完毕后,点击页面右上角的蓝色+号按钮,进入Deploy页面,选择你要新建的服务器的配置,之后点击Deploy即可,其中Server Location表示的是服务器节点位置,建议选择日本/洛杉矶;Server Type是服务器系统,建议选择64 bit OS下的Ubuntu 16.04,Ubuntu对新手比较友好;Server Size就是服务器配置大小,从$2.5依次提升($2.5的只有IPv6,不建议选择,少部分区域有$3.5的);其他的配置可以默认,之后点击Deploy Now就可以新建完成了。

    ****

    4、Vultr查看VPS信息
    服务器新建完成后,等待几分钟即可在Servers标签下看到你自己服务器的信息了,具体位置在Servers->Instances,点击选择你新建的实例:查看服务器ip及密码*记录 IP、用户名、密码*

第二步、域名购买、并解析域名

初步介绍Trojan-go协议时,我曾提到该协议会将发送的数据通过TLS加密并伪装成正常的HTTPS流量,因此你需要有一个域名并申请CA机构的证书来操作。TLS加密的主要优点在于它采用了非对称加密方式,即加密和解密使用了两个不同的密钥:私钥和公钥。这种方式可以有效地防御回放攻击。为了更好地理解这些内容,可以将客户端和服务器端的通信形容成上了两把锁,且只有对方才能打开其中的一把锁,这样就可以避免中间人(比如防火墙)在通信中进行恶意干扰。如果你仍然不太理解,那么可以跳过此部分。

小提示:其实也可以不用域名, 但是我并不推荐。

域名购买直接从 Namecheap 或者 Godaddy 购买一个就可以(有那种 .xyz 后缀的非常便宜,就几块钱)。这里就不赘述了。

然后,将域名 A 解析到自己购买的服务器上。添加完解析之后应该会出现类似这样的记录:

域名解析记录

解析之后,通过 win+R 输入cmd 命令进入控制器。然后 Ping 一下刚才解析的域名,Ping 出的 IP 地址是服务器的 IP 地址后就可以。

下面就可以进入部署阶段。

第三步、一键部署服务器端

本次部署采用的是一键式部署命令。期间不需要任何操作,只需要按照提示操作即可。如果你有深入学习的需求,可以看最下方的学习资料。

这次我弄了一个日本大阪的服务器(好像是 Vultr 新上的)IP 地址是:64.176.34.199。记得刚才的域名要解析到这个服务器上。

通过 FinalShell (或者其他的 SSH 工具)连接该服务器:

img

利用下面的命令一键部署 Trojan-Go:

1
bash <(curl -sSL "https://raw.githubusercontent.com/veip007/hj/main/trojan-go.sh")

会得到如下界面:

img

第一次配置就输入 “1” 执行安装 Trojan-go 命令。然后会有提示,如果你域名已经解析好了,并且通过 Ping 得到服务器 IP 之后,输入 “y” 继续:

img

这是你需要输入伪装的域名,也就是你购买的域名。例如你购买的是 “abc.xyz”,然后解析的是 “tro.abc.xyz”。那么你需要输入 “tro.abc.xyz” 才可以。

域名如果没有解析到服务器,那么就会出现 “伪装域名未解析到当前服务器 IP”:

img

小提示:域名如果输入错误,使用 ctrl + Backspace 才能删除内容。直接按 Backspace 是不行的。如果在输入错误后,已经回车执行,需要重新执行安装命令。

这里我就选择已经解析好的域名,输入,并执行下一步操作(这里就不截图了)。

之后你就可以自定义密码:

img

随后会提示是否需要在设置一组密码。由于没必要,就不需要设置。直接输入 “n”,进入下一步。

随后会设置端口,因为 HTTPS 默认是走 443 端口。所以我们这里也输入 443 就可以:

img

后面的步骤就简单了,因为需要伪装流量,所以你需要选择一个伪装网站类型,我这里选择的是 “5” 自定义网站,同时输入了百度的域名,禁止了搜索引擎的抓取,同时开启了 BBR 加速:

img

之后会自动执行这些步骤:

  • 生成私钥和公钥
  • 申请 CA 证书
  • 安装 CA 证书

这些内容可以在执行的结果中看到,但是所谓新手,直接 Enter 到最后,直至出现如下结果:

img

记录出现的的信息,关闭 FinalShell。

注意,当前的一键式命令并不会帮我们开启服务器的端口,所以这里我们需要执行下方命令,开启 443 端口:

1
ufw allow 443

你可以通过 status 命令查看是否已开启对应端口:

1
ufw status

之后,重启下 trojan-go 服务即可:

1
systemctl restart trojan-go.service

到此,服务器端的配置就算结束了。接下来就需要进入客户端的配置。

配置客户端

客户端我们依然使用 v2rayN 5.39 版本客户端。当然你也可以用 Clash 客户端,或者其他支持 Trojan 协议的。文末提供对应的下载地址。

打开 V2rayN,点击左上角 [服务器] 选择 “添加 [Trojan] 服务器”。并按照下图进行填写:

img

点击确定,结束客户端配置。

此时,你可以 Ctrl + R,或者右击测试真连接延迟:

img

可以看到,真连接测试ok,虽然延迟用点高,但是并不影响使用。

最后

对于 Trojan-go 目前来看安全性还是非常的不错。过去用 SS 搭建,服务器周期性的会被封,而使用 Trojan 的一直都很稳定。

理论上讲 SS 的速度会比 Trojan 快一些。但是实际在使用过程中,几毫秒的差异并没有那么明显。油管白天跑个 4k 画质还是没问题的。晚上跑个 1080p 也就够了。

相关软件工具下载

下载注意事项:这些工具均上传到了 pCloud。可以直接点击链接下载。

1 FinalShell.exe
2 v2rayN-Core-5.39.zip