GFW BLOG（功夫网与翻墙）: 科学上网教程 —

来源： https://jasper-1024.github.io/2016/06/26/VPS%E7%A7%91%E5%AD%A6%E4%B8%8A%E7%BD%91%E6%95%99%E7%A8%8B%E7%B3%BB%E5%88%97/

更新
2016.06.26  与SSR有关部分基本完成。  
2016.09.29  更新SSR部分内容
2016.10.09  更新SSR内容，更新Android端接入。
2016.11.09  更新SSR混淆相关内容，更新SSR-Android，更新部分介绍。
2016.11.20  整合一部分VPS优化内容
2016.12.11  删减调整一部分内容
2016.12.15  替换锐速优化为 BBR，整合TCP优化
2016.12.26  更换TCP BBR 脚本，脚本来自@秋水逸冰 版本，测试通过 
2017.01.11  同步更新一部分SSR内容
2017.02.17  同步更新，调整删减内容，降低上手难度，增加VPS测速相关内容
2017.03.28  调整一部分内容，更新Vps推荐
2017.04.08  新增 VPS 安全加固
2017.05.24  同步更新内容，更换协议，增加新内容。

安装脚本说明：遇到失效等，请留言或邮件我！（3.28）

脚本来源 @秋水逸冰
ShadowsocksR一键安装脚本

隐私/后门：(这个结论仅对本文使用脚本负责)
文章中所使用的脚本，除默认用户名/密码外，没有任何夹带私货。脚本亦开源，不放心可以下载后自行审计！

https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocksR.sh
SSR 服务器端更新：
使用此一键脚本安装的，不能使用其他命令更新，只能通过备份配置文件，卸载再重新安装！也都不是事，备份一下配置文件，重新安装，覆盖配置文件，重启即可。

基本从0开始的教程，当作自己的备份了。

吐槽
作为一个伪程序员，每次最苦恼的就是Android SDK的更新，当初安装Android Studio时候就因为防火墙折腾了整整2周，简直就是把自学Android的那点耐心都磨没了。各种的搜索文档，离了google效率下降70%！科学上网简直成了程序员的必备生存技能了。

谁比较需要单独购买VPS科学上网？

只是翻墙简单浏览网页，就不必要再单独花费人民币了，蓝灯、和各个网站的免费ss账户，是你的主菜。
偶尔看看视频、不想画太多精力在寻找免费资源上。可以直接购买现成的ss/vpn账户，在G+相应的社区可以找到很多比较靠谱的提供商。
常年泡视频网站又受不了国内视频网站乱七八糟、24h使用google服务、对稳定性和流量有一定要求、愿意使用一点时间来折腾VPS。比较适合单独购买VPS来科学上网。VPS选择如下会提及。
~~搜索文档，更新软件源、折腾个人网站又不想备案的、折腾开源的 这部分大神谁会来看这个啊，早自己分分钟写个轮子了~~

VPS选择

选择VPS看那几点
一定要根据自己的具体使用场景和网络环境来选择VPS服务。

选择VPS的一般要注意的几点

自己的具体网络环境

简单来说，一般联通的国际出口稳定性大于电信、移动的国际出口看心情有的地区甩电信联通几条街，坏的时候根本没速度。电信网路比较特殊，国际出口充足，但是限速到不能忍，不挤的时候嗖嗖的，高峰期渣到爆炸。
移动网络具体情况不太清楚。

VPS地点。

~~日本VPS电信网络访问要绕道美国绕道ping一般在200到300了~~，（9.29）联通直连日本，ping在100！联通目前也分地区有限速。(2.17)联通因为16年年底海底光缆故障损失了30％的国际出口，导致新年到现在出口路由并不稳定，联通-日本ntt延迟有时200有时100.

电信目前分地区直连日本，直连ping在100或者多一点。（有运气成分，多刷几个ip试试）(2.17)测速结果来看，目前电信直连的省份反而更多。
美国的VPS联通/电信访问延迟基本相当。一般选择靠近美国西海岸节点旧金山、洛杉矶、纽约等地点。
新加坡节点，在靠近南方地区，可以ping在100以内稳定！youtube 4k不卡。但在偏北一些地区ping不稳定。（9.29）Vultr新开新加坡节点，北方部分地区直连。
香港VPS，这个比较特殊，香港的VPS ping值可以低到20几，但是香港本身的国际出口就小，VPS价格也偏高，另外香港毕竟也在政府的直接管辖内，隐私方面风险比其他地区节点要大一些。建议土豪级别的游戏玩家使用。

VPS虚拟化架构 (具体解释请自行google，只说明对科学上网的影响)

OpenVZ（简称OVZ）便宜！但是没法进行修改内核、加锐速之类的优化操作。访问速度基本取决于你的本地网络环境优化的可能性。（不是没有可以加速的手段，就是在基本相同情况下，不如其他架构的vps可以榨干VPS的传输性能）。加速手段：Finaspeed（已停止更新）和net-speeder。
Xen性能较好，实际用的不多，不做更多评论
Hyper-VH完美支持Windows系统，Hyper-V同样可以超售内存和硬盘，如果服务商超卖较多可能会有性能问题，Linux操作系统性能较低。
KVM全功能虚拟化架构，可上传ISO手动安装系统。KVM VPS相对其它架构的VPS较为自由。虚拟化性能比Xen略低。可以使用TCP优化和锐速，价格比一半OVZ的要高一些。（本教程以KVM为例）

VPS提供商

这个就比较多了，尽量选择购买人较多的，而且一般支持支付宝的服务商被国人玩半残居多（比如搬瓦工。。超售严重），所以购买不支持支付宝的vps提供商要靠谱一点。注册paypal国际版（注：是国际版paypal 不是国内的贝宝！）一般的vps提供商都支持paypal付款。与使用信用卡相比，具体的优惠政策不同，详情请自行google。
推荐几个 VPS 的评测网站，相对更新很快。

http://www.laozuo.org/myvps
https://doub.io/
https://www.91yun.org/

（3.28）Vultr-相关参考

来源：
https://www.v2ex.com/t/302347

目前 Vultr 已经推出 2.5刀/月的套餐，配合新注册赠余额，性价比很高，但同时也被搞烂了，好用的ip段，看运气了。NTT的线路，在华北地区高峰期一直爆炸。。
刷ip地址可以使用Vultr的reserved IP功能，实测是在一个小时后可以删除无用ip
日本节点-IP
（2017.2.17）目前Vultr东京节点可以开出不少45.6 /45.4/104等以下结论仅供参考！
注意以下结论仅供参考，实际不同网络不同ip表现不一定相同
- 108.开头普遍反应较好，电信/联通稳定性比45开头要好，比较难刷到。
- 45.7X-youtube-1080p，无压力
- 45.3X-youtube-1080p ，略卡
美国节点
- IP 以108开头最为稳定/丢包延迟都较其他ip好一些
- 位置首选洛杉矶，但联通部分地区连接较卡顿，以实测为准。
- 西雅图节点，论坛反映较为稳定(仅供参考)

VPS测速

常用VPS提供商测速地址

vultr

http://www.vultrvps.com/test-server
搬瓦工

http://www.64mb.biz/tips/4ip.html
其他待更新，其实只要搜索测速地址+vps提供商名称就好

以vultr东京节点为例

有的vps提供商只提供测速网址，而测速大多以ip地址为主，
ping命令可以获取测速网址对应的ip地址

最简单的命令 PING (延迟测试)

win+r组合键打开运行栏
输入cmd，回车
如图

输入 ping 你需要测试的ip地址
这里是
1

ping hnd-jp-ping.vultr.com
应答如下
这里可以看到具体的测速ip地址为 108.61.201.151 选中 Ctrl + C复制下来
延迟141 左右，还在接受范围内。丢包大致作为参考即可，只有4个包发送，不足以作为结果
注意这里的延迟只是ping检测的结果，可以作为实际访问延迟的参考值，而不是绝对准确！

测速相关网站

查询ip地址归属地
不要使用百度搜索查询ip地址 那些数据国内尚可，vps一般对应国外网站，百度等则错误不少，推荐：
ipip.net

https://www.ipip.net/ip.html
全国ping检测
有时ss属于合租服务器，可能在不同省份，需要评估ip到不同省份的延迟，这个时候就需要全国范围内的ping检测
首推：
站长之家ping检测

http://ping.chinaz.com/

路由追踪 Best Trace

Best Trace是由 IPIP.NET 开发的路由追踪检测工具
官方地址下载
路由追踪即检测数据从你的本地宽带开始到 vps 的整个过程中走的路径，例如北京联通到 vultr东京从北京直接连到日本，而河南电信到 vultr东京则是先到美国，再去日本。
上图说话(图片来自91yun)
这款软件几乎没有上手难度具体介绍如下

http://www.laozuo.org/8277.html

丢包率 WinMTR

具体介绍如下，91yun介绍很详细，并附带下载地址，此处就不多言了

https://www.91yun.org/zh/archives/1120

vps部署

我选择的是Vultr VPS。2.5刀/月，500G流量怎么折腾都够了。
本节内容转载/删节/修正自

https://mpc2008cn.github.io/2015/10/22/vps/
就是从这开始折腾的，有删减和修改。

Vultr
通过下面链接注册，你可以免费获得 10美元
同时也能帮助我获得一些奖励，谢谢各位！
Vultr地址

服务器选择

选择东京或者美国西海岸的服务器,速度相对比较快

操作系统

推荐选择Debian 7 x64
此版本搭建SSR/锐速/bbr基本没有遇到故障
其他版本也可，请自行选择

选择硬件

一个月可以免费用$5的配置,科学上网就够了，建站等需求需要更大的。
创建vps 等待完成。

VPS测试(可忽略，但是推荐进行)

你可以使用上面提到的 VPS测试软件，来查看自己的vps到本地的路由追踪时候与官方测试地址相同，丢包率/延迟如何等
现在几乎所有的vps运营商都有大量的国人涌入，有一点概率你开到的IP 是被长城防火墙阻断过，被废弃的ip。在正式搭建科学上网服务之前，请确保自己 VPS 的可访问性

配置securecrt(不必在意ip地址)

下载securecrt
复制服务器的IP地址,初始用户名,初始密码
securecrt连接vps
- 解压下载的secure crt,双击\SecureCRT_EN\SecureCRT\中的SecureCRT.exe
- 输入IP地址,用户名,点击connect
- 弹出框点击Accept&Save
- 输入密码,勾选save password,OK
- 出现如图所示,标签变绿就说明连接成功啦.

部署ShadowSocksR

为什么选择SSR而不是原版的SS
主要原因如下
- 可以直接启用chacha20加密，在移动设备上比较好使
- TFO(TCP Fast Open)直接自带，减少握手次数。
- 二次混淆和抗重放等附加功能

shadowsocksR的相关争论在以下网址中，至于用户而言，现在ssr开源，一定的网络环境下比原版的ss稳定就够了。

一些争议如下

https://www.librehat.com/about-shadowsocks-r-and-the-security-of-shadowsocks/

SSR有关网址

(2.17)在2016.12月之前很长一段时间SSR只在 ZeroNet 中更新，17年以后到现在恢复在github上更新！望周知！
ShadowsocksR github主页

https://github.com/breakwa11/shadowsocks-rss
ShadowsocksR C#(windows版)下载地址

https://github.com/shadowsocksr/shadowsocksr-csharp/releases
shadowsocksr-android版下载地址

https://github.com/shadowsocksr/shadowsocksr-android/releases
用到的一键安装脚本@秋水逸冰(感谢！)

https://shadowsocks.be/9.html

ZeroNet(目前更新状态未知)
- SSR-ZeroNet
  
  http://127.0.0.1:43110/shadowsocksr.bit
  （10.9）不安装ZeroNet，直接访问地址
  https://bit.no.com:43110/shadowsocksr.bit/
- ZeroNet简介和接入
  
  http://www.williamlong.info/archives/4574.html

安装SSR

复制以下代码到登陆成功的securecrt

1
2
3

wget --no-check-certificate  https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocksR.sh
chmod +x shadowsocksR.sh
./shadowsocksR.sh 2>&1 | tee shadowsocksR.log

如图，回车。
输入设定初始密码，也可以直接回车。
输入初始端口，也直接回车
嗯，回车
等待一段时间的滚屏，
最后会提示——成功

shadowsocks.json配置文件

shadowsocks.json文件中定义SSR的访问端口，加密方式等，我们使用 WinSCP软件进行编辑修改(更为友好)，直接使用 securecrt 等工具使用 vim 命令修改也可，此文中暂不涉及

WinSCP 是一个 Windows 环境下使用的 SSH 的开源图形化 SFTP 客户端。同时支持 SCP 协议。它的主要功能是在本地与远程计算机间安全地复制文件，并且可以直接编辑文件.
下载WinSCP绿色中文版。
解压缩打开winscp，保持默认配置不变，输入VPS的ip地址、用户名、密码。点击登陆。
默认在/root文件夹下，要进入/etc文件夹下找到shadowsocks.json

编辑shadowsocks.json文件

下面是一个 shadowsocks.json的注释模板
直接复制粘贴无注释版本覆盖原始文件即可，或者在原文件上修改
（建议先看一下注释，了解一下shadowsocks.json的大致内容）
参考资料网址
shadowsocks.json文件各项配置说明

https://github.com/breakwa11/shadowsocks-rss/wiki/Server-Setup
混淆插件说明

https://github.com/breakwa11/shadowsocks-rss/wiki/obfs

注释

{
  "server":"0.0.0.0",
  "server_ipv6":"::",
  "local_address":"127.0.0.1",
  "local_port":1080,
  "port_password":{
   #纯 SS 不带混淆 端口443 密码为123456.
   "443":"123456",
   #端口3389，密码123456 ，protocol选择auth_chain_a。obfs选择tls1.2_ticket_auth，具体插件的介绍如下参考资料中
   "3389":{"protocol":"auth_chain_a", "password":"123456", "obfs":"tls1.2_ticket_auth", "obfs_param":""},
  #注意无论怎么变化，最后一个端口设置，不带逗号！
   "25":{"protocol":"auth_aes128_md5", "password":"123456", "obfs":"tls1.2_ticket_auth", "obfs_param":""}#此处没有逗号！
  },
  "timeout":400,
  #默认全局的加密方式，即上边各个端口的默认加密方式。一般为aes-256-cfb，  此处，选择为chacha20，移动设备性能较好。
  "method":"chacha20",
  #protocol.协议定义插件的默认值，origin即使用原版SS协议，不混淆。即上面端口配置中，你没有设置 protocol 和 obfs 情况下，使用的默认值。
  "protocol": "origin",
  "protocol_param": "",
   #protocol.协议定义插件的默认值，plain即使用原协议，不混淆。
  "obfs": "plain",
  "obfs_param": "",
  "redirect": "",
  "dns_ipv6": false,
 #TCP FAST OPEN ，打开
  "fast_open": true,
 "workers": 1
}

无注释版本，直接复制粘贴覆盖原始文件，或者在原文件上修改

{
  "server":"0.0.0.0",
  "server_ipv6":"::",
  "local_address":"127.0.0.1",
  "local_port":1080,
  "port_password":{
      "3389":{"protocol":"auth_chain_a", "password":"123456", "obfs":"tls1.2_ticket_auth", "obfs_param":""},
      "25":{"protocol":"auth_aes128_md5", "password":"123456", "obfs":"tls1.2_ticket_auth", "obfs_param":""}

  },
  "timeout":400,
  "method":"chacha20",
  "protocol": "origin",
  "protocol_param": "",
  "obfs": "plain",
  "obfs_param": "",
  "redirect": "",
  "dns_ipv6": false,
  "fast_open": true,
  "workers": 1
}

重启SSR

配置完成后，重启SSR,以root账户登陆securecrt，复制以下代码，重启ssr。
1

/etc/init.d/shadowsocks restart

会提示shadowsocksr重启成功。（如图）

混淆选择(新手可略过)

混淆插件简介

ShadowsocksR目前支持的混淆插件（此类型的插件用于定义加密后的通信协议）：
plain ,http_simple ,http_post,random_head ,tls1.2_ticketauth 协议定义插件(用于定义加密前的协议): origin, auth_sha1, auth_sha1_v2, auth_sha1_v4, auth_aes128_md5/auth_aes128_sha1
auth_aes128_md5/auth_aes128_sha1 支持单端口多用户，即一个端口可以配置几个不同的密码，稍后更新。
ShadowsocksR 协议插件文档

混淆插件选择(5.24)

通用
推荐auth_chain_a+tls1.2_ticket_auth
这种组合目前混淆效果最好，有利于个人VPS的长时间使用。
（5.24）auth_chain_a可不使用用加密，即加密方式None（SSR作者语），但是吧，性能差不多的情况下，加个密没毛病。
auth_aes128_md5或auth_aes128_sha1+随意，即使使用rc4加密亦可（SSR作者语）
玩游戏，或对延迟有要求，不要使用tls1.2_ticket_auth

网络封锁/监控环境下
例如学校教育网/公司内网/广电宽带等等，封杀了BT/禁止访问网盘等等等等。
使用http_simple、http_post或tls1.2_ticket_auth 混淆访问的目标网址。再配合443/80端口通常可以解决问题。

Android
(5.24)最好使用auth_chain_a。
如果之前使用的是auth_aes128_md5，推荐以auth_chain_a替换
手机运算能力较差的推荐使用auth_sha1_v4替换auth_aes128_md5

单端口多用户！！！推荐！！！

https://doub.io/ss-jc48/
逗比根据地的介绍，很详细，搭配最新的auth_chain_a 混淆，很好用。
https://breakwa11.blogspot.ru/2017/01/shadowsocksr-mu.html?m=1
官方 ShadowsocksR单端口多用户配置方法

域名申请，免费！

https://my.freenom.com/clientarea.php
DNS解析申请，注册用Google搜索临时邮箱即可

https://www.cloudxns.net/

更新SSR

vps端，需要先令存 shadowsocks.json文件。再执行卸载
1

./shadowsocksR.sh uninstall
之后重新执行安装脚本即可

VPS优化

详情在科学上网教程（二）——VPS优化加速
这里只提及Tcp优化+BBR

TCP优化

增加TCP连接数量

1	nano /etc/security/limits.conf

添加两行：

1 2	* soft nofile 51200 * hard nofile 51200

保存(Ctrl + X —— y ——回车)

设置ulimit：
1

ulimit -n 51200

TCP-BBR(推荐)

脚本来自于@秋水逸冰
敬告：
- 锐速不支持，更换后的4.9内核
- 个别网友遇到开启TCP-BBR断流问题
- 加速效果与具体网络状态有关

BBR (Bottleneck Bandwidth and RTT)是由google工程师编写的新的 TCP 拥塞控制算法，目的是要尽量跑满带宽, 并且尽量不要有排队的情况, 加速效果不比锐速差，
完全开源，对隐匿性要求高而无法使用锐速的人士，也可以放心使用
开源地址
启用TCP-BBR涉及VPS更换内核，所以如果步骤错误，或者VPS不兼容最新的内核，会导致无法开机等错误
目前在 Vultr / DO 上测试通过。其他主机提供商，请自行测试

连接SSH，运行下面的命令

1
2
3

wget --no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh
chmod +x bbr.sh
./bbr.sh

提示需要重启 VPS，输入 y 并回车后重启，重连SSH
脚本会自动更新匹配的4.10版本内核，并启用TCP BBR
验证
- 输入
  1
  
  uname -r
  有4.9.0 以上就表示更新成功
- 输入
  1
  
  lsmod | grep bbr
  返回值有 tcpbbr 即bbr已启动。

添加一些优化内容
修改sysctl.conf

1	nano /etc/sysctl.conf

复制代码：

#TCP配置优化(不然你自己根本不知道你在干什么)
fs.file-max = 51200
#提高整个系统的文件限制
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.netdev_max_backlog = 250000
net.core.somaxconn = 4096

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_mem = 25600 51200 102400
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_congestion_control = bbr
#END OF LINE