V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rv54ntjwfm3ug8
V2EX  ›  宽带症候群

有办法实现在不漏 UDP/DNS 的情况下使本机全部流量依次通过 Proxy1->Proxy2 到达 Target Server 吗?

  •  
  •   rv54ntjwfm3ug8 · 2022-01-20 13:34:43 +08:00 · 4118 次点击
    这是一个创建于 1022 天前的主题,其中的信息可能已经有所发展或是发生改变。

    (因为有湏感词,只能对一部分名词进行替换,可能会影响阅读体验)

    因为本机到 Proxy2 的连接性极差,不信任 Proxy1 的服务提供商,没有找到速度好的 Traffic Forwarding Service ,于是想找一种能够实现在不漏 UDP/DNS 的情况下使本机全部流量依次通过 Proxy1->Proxy2 到达 Target Server 的方案。

    • Proxy1 的协议是 Sh@d0ws0cks / \/Mess / Tr0j@n
    • Proxy2 的协议是 \/Mess with TLS
    • 可以操作 Proxy2 的服务器,不能操作 Proxy1 的服务器。

    目前尝试过的方案:

    1. Proxifier 全部 UDP 连接均直连,无法通过代理也无法屏蔽
    2. Cl@sh 的 TUN Mode + Relay 代理组,无法转发 UDP 但可以 REJECT ,即使在 Global 工作模式下仍会不经过代理发起 DNS 请求导致 DNS 泄漏。有人发起过解决 DNS 泄露的 PR ,因为速度原因被不重视隐私保护的 repo Owner 关闭了。 开源版没有 TUN 功能,所以无法 fork 后自行更改

    不需要分流(如果能绕过固定的几个 IP 就更好了)

    找了好几天也没找到一种解决方案,请问有 V 友能提供一下思路吗?

    (因为是需要经常接入不同网络环境的笔记本,因此不能使用软路由。系统是 Windows 。另外一台 Macbook 可以通过 Surge 解决,但我不可能同时携带两台笔记本出门。)

    28 条回复    2023-11-27 19:18:15 +08:00
    wevsty
        1
    wevsty  
       2022-01-20 13:39:51 +08:00
    openvpn/TLSVPN over proxy 就行了
    rv54ntjwfm3ug8
        2
    rv54ntjwfm3ug8  
    OP
       2022-01-20 13:44:44 +08:00
    @wevsty #1 测试过这种方案了,因为 Proxy1 是不固定的公网 IP ,无法绕过,会导致 OpenVPN 无法连接
    ik
        3
    ik  
       2022-01-20 14:43:04 +08:00 via iPhone
    可以试试 gost 的代理链。 但是好像不支持 vmess ,需要用 vmess 客户端转一下
    tankren
        4
    tankren  
       2022-01-20 14:52:45 +08:00
    @theklf4 ddns 啊
    ghjexxka
        5
    ghjexxka  
       2022-01-20 15:22:51 +08:00
    clash 的配置文档是明确说明 relay 不支持 udp 的,感觉这个场景配置 wireguard 比较合适
    rv54ntjwfm3ug8
        6
    rv54ntjwfm3ug8  
    OP
       2022-01-20 15:46:21 +08:00
    @ghjexxka #5 我对 UDP 的需求不大,如果做不到转发 UDP 只要能屏蔽所有 UDP 连接就行,Proxifier 那种直接把 UDP 连接全漏了肯定是不行的
    coolan
        7
    coolan  
       2022-01-20 16:06:34 +08:00
    我不太懂链式代理,但是我想你可以在 windows 上开一个 openwrt 虚拟机做软路由?
    ccoming077
        8
    ccoming077  
       2022-01-20 16:13:13 +08:00 via iPhone
    你自己设成 DOH 不就好… 浏览器那边也能设置…
    missdeer
        9
    missdeer  
       2022-01-20 16:13:25 +08:00
    不能操作 proxy1 的话,你怎么控制流量是走 proxy2 还是 target server ?
    ccoming077
        10
    ccoming077  
       2022-01-20 16:16:04 +08:00 via iPhone
    Windows 也能设置防火墙关闭所有的 UDP 啊🤔
    rv54ntjwfm3ug8
        11
    rv54ntjwfm3ug8  
    OP
       2022-01-20 16:18:03 +08:00
    @ccoming077 #8 自己设成 DOH:Proxy1 入口是域名,需要先解析才能连接
    浏览器那边也能设置:既然我需要 TUN ,那肯定除了浏览器外还有很多程序需要使用代理。
    weizhen199
        12
    weizhen199  
       2022-01-20 16:22:19 +08:00
    ..这不是随便弄你 server1 只要流量转发就可以了,你不会还想套娃吧。而且就算套娃也不负责啊
    (除非你想在 windows 上弄,那当我废话
    rv54ntjwfm3ug8
        13
    rv54ntjwfm3ug8  
    OP
       2022-01-20 16:25:27 +08:00
    @weizhen199 #12 帖子中说了,不能操作 Proxy1
    @ccoming077 #10 通过防火墙阻止 UDP 确实是一种方法,来找找有没有更好的解决方案
    @missdeer #9 那就只能在客户端上操作了
    smileawei
        14
    smileawei  
       2022-01-20 20:03:56 +08:00
    你只需要搞定客户端和服务器之间是加密连接即可。中间的服务器做四层的 tcp or udp 转发。就当路由器用了。
    Liqianyu
        15
    Liqianyu  
       2022-01-20 21:58:05 +08:00
    PhaSelEza
        16
    PhaSelEza  
       2022-01-20 22:25:16 +08:00
    要完全不漏流量的话,可以试着用 Hyper-V 虚拟一个 Linux 作为网关,连接外 /内两个虚拟交换机。

    把外交换机和外网(如 WiFi )桥接起来,让 Linux 直接访问外网并运行代理程序。

    宿主机( Windows )仅通过内交换机连接 Linux 访问网络。

    缺点是:1 、不确定能否保证完全不漏流量; 2 、几年前尝试时,WiFi 的桥接不稳定,特别是从睡眠状态唤醒时。
    zelin44913
        17
    zelin44913  
       2022-01-20 23:41:04 +08:00
    sd-wan
    leloext
        18
    leloext  
       2022-01-20 23:56:09 +08:00
    不是直接用本地用两套 proxy 就可以了吗?本地->proxy2->proxy1->server1(不信任服务商)->server2
    1423
        19
    1423  
       2022-01-21 00:06:36 +08:00
    推荐 Surge 。平日里一直是这么用的(机场->个人出口)

    开源的命令行软件 gost 也可以。比如
    gost -L=:8080 -F=ss://chacha20:password@server1_ip:8338 -F=ss://chacha20:password@server2_ip:8338
    datocp
        20
    datocp  
       2022-01-21 05:56:33 +08:00 via Android
    这些软件怎么名词概念如此复杂,难道它们都没有 socks5 实现。听得晕乎乎的。
    不知道 proxifier 是否支持。
    diguoemo
        21
    diguoemo  
       2022-01-21 07:50:55 +08:00 via Android
    直接用 proxy2 的 v2ray 客户端开在本地,本地浏览器设置下关闭 quic/http3 ,dns 只允许使用 doh 的 dns ,这样去 whoer.net 查都没 dns 泄露
    mmtromsb456
        22
    mmtromsb456  
       2022-01-21 10:02:32 +08:00 via iPhone
    @theklf4 使用 doh://1.1.1.1 不是可以有且只有一次 doh 解析 proxy1 endpoint 了吗
    rv54ntjwfm3ug8
        23
    rv54ntjwfm3ug8  
    OP
       2022-01-21 11:57:52 +08:00
    @datocp #20 我在主贴已经提到 Proxifier 会漏掉全部 UDP 连接
    @mmtromsb456 #22 我这里在不使用代理的情况下无法连接到 1.1.1.1
    brMu
        24
    brMu  
       2022-01-21 14:16:57 +08:00
    Proxy1 是机场吧? Proxy2 是你的 vps 吧?这么折腾,建议你直接找个好用的 Proxy2 直连。
    ccoming077
        25
    ccoming077  
       2022-01-21 17:57:31 +08:00
    @theklf4 你需要了解一下 Clash 中 DNS 部分的工作原理了... 只要你 nameserver 和 fallback 中设置的为可信的 DoH or DoT 那么唯一会泄露的只有这些 DNS 的域名)
    gugu33
        26
    gugu33  
       2022-01-21 23:27:21 +08:00 via iPhone
    你这就是带里链的需求了,mbp 上么就用 surge ,已经支持了。win 本目前没有单 App 的实现吧? clash 不熟不知道
    shakespark
        27
    shakespark  
       2023-06-22 09:12:10 +08:00
    Version 4.11 (2022.12.16)
    Proxifier can now log and block UDP connections
    Added a master option that controls other settings responsible for IP address leak prevention (Profile->Advanced->DNS and IP Leak Prevention Mode)

    打开这个以后 dns 就不泄露了
    yqs112358
        28
    yqs112358  
       346 天前
    Clash.Meta 的 relay 支持 UDP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5568 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:35 · PVG 11:35 · LAX 19:35 · JFK 22:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.