V2Ray 的传入协议 VMess、Shadowsocks、Blackhole、Freedom、SOCKS
微wx笑 2019-10-16【网络工具】 16 0关键字: V2Ray VMess、Shadowsocks、Blackhole、Freedom、SOCKS
V2Ray 的传入协议有 HTTP、SOCKS、VMess、Shadowsocks、Dokodemo-door;传出协议有 VMess、Shadowsocks、Blackhole、Freedom、SOCKS。在 inbound(Detour) 和 outbound(Detour
V2Ray 的传入协议有 HTTP、SOCKS、VMess、Shadowsocks、Dokodemo-door;传出协议有 VMess、Shadowsocks、Blackhole、Freedom、SOCKS。
在 inbound(Detour) 和 outbound(Detour) 当中,无论使用了什么协议,inbound(Detour) 或者 outbound(Detour) 的配置格式都是一样的,区别只在于不同的协议对应的 settings 内容不一样。
VMess 协议
VMess 协议是由 V2Ray 原创并使用于 V2Ray 的加密传输协议,如同 Shadowsocks 一样为了对抗墙的深度包检测而研发的。在 V2Ray 上客户端与服务器的通信主要是通过 VMess 协议通信。
本小节给出了 VMess 的配置文件,其实也就是服务器和客户端的基本配置文件,这是 V2Ray 能够运行的最简单的配置。
V2Ray 使用 inbound 和 outbound 的概念,这个概念非常清晰地体现了数据包的流动方向,同时也使得 V2Ray 功能强大复杂的同时而不混乱,结构清晰明了。简单来说,V2Ray 就是一个盒子,这个盒子有出口和入口,我们将数据包通过某个入口放进这个盒子里,然后这个盒子以某种机制(这个机制其实就是路由,后面会讲到)决定这个数据包走哪个出口并将数据包发出去。建议选看一下 V2Ray 的工作原理。
实际上,根本不用准备什么,只要有一个文本编辑器(text editor)就可以修改配置了。但我还是打算啰嗦一些,因为我发现新手容易犯语法(格式)不正确的错误,这个很正常新手上路对路况总会不是很熟悉;另外一个就是不会使用工具,用了很多年电脑文本编辑还是 Windows 自带的记事本(在我身边有不少敲代码的,平常看某个代码文件很少打开 IDE 或者使用好点的文本编辑器,而是直接用记事本看),用水果刀切菜可以吗?当然可以,建议你亲自体验一下。如果你会用工具,会非常高效的而且装有一些插件可以语法检查,将代码格式化。
文本编辑器有许多,比如说 Sublime Text、VS code、atom、notepad++,上面这些都是跨平台的,具体如何使用请自行 Google 吧。这些软件都可以做到高亮显示、折叠、格式化等,建议使用,如果你不想安装软件,网上也有一些在线的 json 编辑器,还自动检查语法。如果你非要用 Windows 的记事本我也无话可说。
下面是一张 Windows 自带的记事本对比 Sublime Text 查看同一个 json 文件的图片,孰优孰劣大家心中自有判断。
又比如格式化功能:
对于 Linux 有一个软件叫 jq,可以执行这样的指令检查配置文件的语法是否正确:
$ jq . config.json
这里的 config.json 是当前目录下的 config.json。特别注意命令中的点 . 不能省去。
当我把 "23ad6b10-8d1a-40f7-8ad0-e3e35cd38297" 后的逗号 , 删去时:
(从 v2.11 起新增了一个注释功能,配置文件允许 //
和 /**/
注释。但是 JSON 的标准格式的没有注释的,也就是说如果你给配置文件加了注释,再使用上文我说的格式化功能会报错说你的 JSON 语法(格式)不对。)
不过,最好还是使用 V2Ray 提供的配置检查功能(test 选项),因为可以检查 JOSN 语法错误外的问题,比如说突然间手抖把 vmess 写成了 vmss,一下子就检查出来了。
$ /usr/bin/v2ray/v2ray -test -config /etc/v2ray/config.json failed to parse json config: Ext|Tools|Conf|Serial: failed to parse json config > Ext|Tools|Conf: failed to load inbound detour config. > Ext|Tools|Conf: unknown config id: vmss Main: failed to read config file: /etc/v2ray/config.json > Main|Json: failed to execute v2ctl to convert config file. > exit status 255
如果是配置文件没问题,则是这样的:
$ /usr/bin/v2ray/v2ray -test -config /etc/v2ray/config.jsonV2Ray v3.15 (die Commanderin) 20180329An unified platform for anti-censorship.Configuration OK.
以下给出了 VMess 的配置文件,包含客户端和服务器端,将你的配置替换成下面给出的配置即可正常使用(注意服务器地址须按你的实际情况修改)。修改完配置之后要重启 V2Ray 才能使用新配置生效。
VMess 协议的认证基于时间,请确保服务器和客户端的时间准确,误差一分钟内即可
{ "inbound": { "port": 1080, // 监听端口 "protocol": "socks", // 入口协议为 SOCKS 5 "domainOverride": ["tls","http"], "settings": { "auth": "noauth" //socks的认证设置,noauth 代表不认证,由于 socks 通常在客户端使用,所以这里不认证 } }, "outbound": { "protocol": "vmess", // 出口协议 "settings": { "vnext": [ { "address": "serveraddr.com", // 服务器地址,请修改为你自己的服务器 ip 或域名 "port": 16823, // 服务器端口 "users": [ { "id": "b831381d-6324-4d53-ad4f-8cda48b30811", // 用户 ID,必须与服务器端配置相同 "alterId": 64 // 此处的值也应当与服务器相同 } ] } ] } } }
在配置当中,有一个 id(在这里的例子是 b831381d-6324-4d53-ad4f-8cda48b30811),作用类似于 Shadowsocks 的密码(password), VMess 的 id 使用的是 UUID 格式。关于 id 或者 UUID 没必要了解很多,在这里只要清楚以下几点就足够了:
相对应的 VMess 传入传出的 id 必须相同(如果你不理解这句话,那么可以简单理解成服务器与客户端的 id 必须相同)
由于 id 使用的是 UUID,我们可以使用任何 UUID 生成工具生成 UUID 作为这里的 id。比如 UUID Generator 这个网站,只要一打开或者刷新这个网页就可以得到一个 UUID,如下图。或者可以在 Linux 使用命令 cat /proc/sys/kernel/random/uuid 生成。
服务器配置
{ "inbound": { "port": 16823, // 服务器监听端口 "protocol": "vmess", // 主传入协议 "settings": { "clients": [ { "id": "b831381d-6324-4d53-ad4f-8cda48b30811", // 用户 ID,客户端与服务器必须相同 "alterId": 64 } ] } }, "outbound": { "protocol": "freedom", // 主传出协议 "settings": {} } }
根据上文给出的配置,在这里简单的介绍一下 V2Ray 的工作原理。
请看配置中的 inbound,port 为 1080,V2Ray 监听了一个端口 1080,协议是 socks。之前我们已经把浏览器的代理设置好了(SOCKS Host: 127.0.0.1,Port: 1080),假如访问了 google.com,浏览器就会发出一个数据包打包成 socks 协议发送到本机(127.0.0.1指的本机,localhost)的 1080 端口,这个时候数据包就会被 V2Ray 接收到。
再看 outbound,protocol 是 vmess,说明 V2Ray 接收到数据包之后要将数据包打包成 VMess 协议并且使用预设的 id 加密(这个例子 id 是 b831381d-6324-4d53-ad4f-8cda48b30811),然后发往服务器地址为 serveraddr.com 的 16823 端口。服务器地址 address 可以是域名也可以是 IP,只要正确就可以了。
在客户端配置的 inbound 中,有一句 "domainOverride": ["tls","http"]
,V2Ray 手册解释为“识别相应协议的流量,并根据流量内容重置所请求的目标”,不少人不太理解,简单说这东西就是从网络流量中识别出域名。这个 domainOverride 有两个用处:1. 解决 DNS 污染;2. 对于 IP 流量可以应用后文提到的域名路由规则。如果这段话不懂,没关系,照着写吧,没坏处。
接着看服务器,服务器配置的 id 是 b831381d-6324-4d53-ad4f-8cda48b30811,所以 V2Ray 服务器接收到客户端发来的数据包时就会尝试用 b831381d-6324-4d53-ad4f-8cda48b30811 解密,如果解密成功再看一下时间对不对,对的话就把数据包发到 outbound 去,outbound.protocol 是 freedom(freedom 的中文意思是自由,在这里姑且将它理解成直连吧),数据包就直接发到 google.com 了。
配置中的 alterId 也是作为认证的,具体请看 V2Ray 用户手册。只要确保服务器和客户端配置文件的 alterId 相同就行了,但要注意 alterId 的值越大会使用 V2Ray 占用更多的内存。根据我的经验,对于一般用户来说,alterId 的值设为 30 到 100 之间应该是比较合适的。
简单来说就是:浏览器打包 --(socks)--> V2Ray 客户端接收 -> V2Ray 客户端发出 --(VMess)--> V2Ray 服务器接收 -> V2Ray 服务器发出 --(Freedom)--> 目标网站
有人疑惑请求发出去后数据怎么回来,毕竟大多数的场景是下载。这个其实不算是问题,既然请求通过 V2Ray 发出去了,响应数据也会通过 V2Ray 原路返回(也许会有朋友看到这话会马上反驳说不是原路返回的,有这种想法的估计是比较清楚 TCP/IP 协议的,何必较这个劲,我又不是在做学术研究/讨论)。
注意事项
为了让浅显地介绍 V2Ray 的工作方式,本节中关于原理简析的描述有一些地方是错误的。但我知识水平又不够,还不知道该怎么改,暂且将错就错。正确的工作原理在用户手册的 VMess 协议 有详细的说明。
id 为 UUID 格式,请使用软件生成,不要尝试自己造一个,否则很大程度上造出一个错误的格式来。
VMess 协议可以设定加密方式,但 VMess 不同的加密方式对于过墙没有明显差别,本节没有给出相关配置方式(因为这不重要,默认情况下 VMess 会自己选择一种比较合适的加密方式),具体配置可见 V2Ray 手册,不同加密方式的性能可参考性能测试。
目前 alterId 服务器和客户端不一致的情况下也有可能正常连接,这不是 BUG,但还是建议保持一致。
打开客户端闪退可能原因:
客户端的配置文件上不正确。
修正方法:请仔细检查配置文件并修改正确。
客户端提示 Socks: unknown Socks version:
可能原因:客户端配置的 inboud 设置成了 socks 而浏览器的代理协议设置为 http。
修正方法:修改配置文件使客户端的 inboud 的 protocol 和浏览器代理设置的协议保持一致。
客户端提示 Proxy|HTTP: failed to read http request > malformed HTTP request "x05x01x00"
可能原因:客户端配置的 inboud 设置成了 https 而浏览器的代理协议设置为 socks4 或者 socks5。
修正方法:修改配置文件使客户端的 inboud 的 protocol 和浏览器代理设置的协议保持一致。
服务器执行 systemctl status v2ray 输出提示 Main: failed to read config file...
可能原因:服务器的配置文件不正确。
修正方法:请仔细检查配置文件并修改正确。
执行 cat /var/log/v2ray/error.log 或者 systemctl status v2ray 出现 rejected Proxy|VMess|Encoding: invalid user
可能原因:服务器与客户端的系统时间或者 id 不一致或者 alterId 不一致。
修正方法:请校准系统时间或将 id 以及 alterId 修改一致
以上几点都排除之后,请仔细检查:
1). 浏览器的代理设置中的端口号与客户端的inbound 的port 是否一致
2). 客户端中的outbound 设置的address与vps 的ip是否一致
3). 客户端中的outbound 设置的address与服务器的outbound 的 port 是否一致
4). VPS 是否开启了防火墙将连接拦截了
5). 客户端是否安装在如学校、公司之类的场所,如果是,确认这些单位是否有防火墙拦截了连接
对于 1) 到 3),可以通过检查配置确定是否有问题。对于 4) 和 5),你需要与 VPS 提供商和单位网管联系沟通。
如果你仔细检查了以上几点并将问题排除了,结果还是无法通过 V2Ray 上网,那么你可以考虑:
1). 仔细看前方的教程,一不要错漏步一步按照教程来,重新部署 V2Ray。部署过程中时刻注意部署之前提到的注意点。
2). 直接放弃。
Shadowsocks
原理与 VMess 大同小异,客户端服务器端都要有 inbound 和 outbound,只不过是 protocol 和 settings 不同,不作过多说明,直接给配置,如果你配置过 Shadowsocks 很容易看明白。
客户端配置
{ "inbound": { "port": 1080, // 监听端口 "protocol": "socks", // 入口协议为 SOCKS 5 "domainOverride": ["tls","http"], "settings": { "auth": "noauth" // 不认证 } }, "outbound": { "protocol": "shadowsocks", "settings": { "servers": [ { "address": "serveraddr.com", // Shadowsocks 的服务器地址 "method": "aes-128-gcm", // Shadowsocks 的加密方式 "ota": true, // 是否开启 OTA,true 为开启 "password": "sspasswd", // Shadowsocks 的密码 "port": 1024 } ] } } }
服务器配置
{ "inbound": { "port": 1024, // 监听端口 "protocol": "shadowsocks", "settings": { "method": "aes-128-gcm", "ota": true, // 是否开启 OTA "password": "sspasswd" } }, "outbound": { "protocol": "freedom", "settings": {} } }
注意事项
因为协议漏洞,Shadowsocks 已放弃 OTA 转而使用 AEAD,但 V2Ray 依然兼容 OTA 和 AEAD,建议使用 AEAD (method 为 aes-256-gcm、aes-128-gcm、chacha20-poly1305 即可开启 AEAD), 使用 AEAD 时 OTA 会失效。
可以搭配 simple-obfs 使用,具体我没试过,有这个需要的就自己研究吧。
可以使用 V2Ray 的传输层配置,但如果这么设置了将与原版 Shadowsocks 不兼容。
作者:霜天
转自:https://www.i5seo.com/v2ray-incoming-protocol-vmess-shadowsocks-blackhole-freedom-socks.html
本文为转载文章,版权归原作者所有,不代表本站立场和观点。