Shadowsocksについて簡単に説明すると、OpenVPNは必要ありません（すべての家で）

今日では、あらゆる種類の不良要素がトラフィックに入り込み、何らかの形で破損しようとすると、トラフィックの暗号化が流行になります。 初めは良いと便利です、彼らは単にそれをしばしば冗長にします。 VPSなどの信頼できるサーバーへのトラフィックを暗号化することが唯一の目標である場合、OpenVPNはその目的にはあまりにも賢いです。 長い間設定するのは簡単で、検出するのは簡単です。そして最も重要なことは、VPNにコストがかかり、トラフィックが回るような状況に陥る可能性があることを知らずに、落とし穴があります。 これはすべて、OpenVPNがインターネット全体へのアクセスではなく、インターネット経由で小規模ネットワークにアクセスする手段として考えられたためです。



そして、ここで中国の兄弟の人々は私たちに豪華な贈り物をしました。 2012年以来、彼らは無料のオープンソースShadowsocksプロジェクトを見てきました。 これは、次の原則に従って機能するサーバーとクライアントのプログラムのペアです。クライアントはSOCKS5プロキシサーバーであり、着信接続を受信し、それらを暗号化し、サーバーにブロードキャストし、インターネット上でそれらを解放します。 つまり、動作原理はSSHトンネルに似ていますが、それに比べて多くの長所と短所があります。

Shadowsocksの利点

• サーバー構成の容易さ：以下では、標準構成が5行のみであり、証明書に煩わされる必要がないことを示します。 まあ、本当に、私たちは銀行ネットワークを行っていません。
• クライアントのセットアップが簡単。 すべてのためのクライアントがあります 、私は大きな言葉を恐れていません。 クライアント構成は同じ5行です。
• クライアントは機能するために管理者権限を必要としません。 それだけでなく、pipからインストールすることもできます。 つまり、プログラマーは仕事から接続することができます。
• 個々のプログラムのレベルでアクセスを簡単に構成できます。 ブラウザでは、FoxyProxy / OmegaSwitchyなどのアドオンの助けを借りて、一般的に複雑なルールに従って個々のアドレスのレベルになります。 VPNを使用する場合、これは各クライアントでローカルプロキシを上げることによってのみ達成できます。
• ほとんどのシステムで仮想ネットワークカードを介して実装されるVPNとは異なり、Shadowsocksクライアントは接続が切断されても消えません。 そのため、トラフィックは無防備な方法で単独で送信されることはありません。 さらに、Shadowsocksアプリケーション自体がクラッシュした場合でも、そうするように構成されていない限り、プログラムは直接アクセスしません。 VPNを使用する場合、キルスイッチを実装する必要があり、特にWindowsでは、それらは信頼性が低く、副作用があります。
• SSHトンネルと比較すると、これは、それぞれから多数の接続を持つ数千のクライアントをサポートする大きな帯域幅です。 たとえば、急流下のSSHトンネル、非常に悲しい。 さらに、小さなネットワークの不規則性により、速度が大幅に低下します。 Shadowsocksは気にしません。
• 接続に関する技術的な情報が少なくなり、モバイルデバイスのバッテリーにとって有利です。
• さまざまな言語のライブラリの形式で記述されたサーバーのエキゾチックなバージョンがあります。 つまり、サーバーをプログラムに追加して、クライアントへのアクセスを暗号化できます。
• クライアントのグラフィックカスタマイズ。 携帯電話とWindowsのどのクライアントが自分で設定されているかをスキャンするときに、QRコードを作成できます。 1つのクライアントがWindows用に構成され、コードが生成され、1分で20台の携帯電話に散らばっていました。 サイトに置くか、壁に掛けることができます。

シャドウソックスの欠点

• OpenVPNとは異なり、公式の監査には合格しませんでした。 だから多くの人が彼を見て、利益はオープンで小さいですが、公式には-いいえ。
• ユーザーを共有しません。 異なるパスワードを使用して複数のポートでリッスンすることを教えることができますが、1つのポートで-1つのパスワードを使用します。 パスワードを知っていても、（理論的には）同じポートの別のサブスクライバを聞くことはできません。
• ポートを反対方向に転送する方法がわかりません。 つまり、誰もがNATの背後に座っています。 可能であれば、SSHトンネルを使用する必要があります。
• Androidのクライアントは、最大2つの（！）修正メッセージを保持します。 それらを非表示にしないと、非常に邪魔になります。
• Shadowsocksに適合しないハードコアのWinduプログラムがいくつかあります。これらは設定しないためです。 悲しいかな、プログラムの作成者はプロキシ設定を無視するように接続の開始を記述できます。また、ソフトウェアライセンスをチェックするときにこれを行うことがあります。 以下に、これらのプログラムを認識する方法を説明します。
• 接続のレイテンシはOpenVPNのレイテンシよりも高くなっています。 それほど多くはありませんが、色域は変えられますが、それでもです。
• アーカイバでトラフィックを圧縮する方法がわかりません。 HTTPS時代では、これは重要ではありませんが、たとえば、非圧縮テキストファイルと実際のUbuntaイメージでは違いがあります。
• このドキュメントは、中国人によって中国語の英語で書かれており、多くの欠落点と相互矛盾があります。

Shadowsocksサーバーのセットアップ。 方法1

構成を作成しています。 以下は完全に機能する設定の例です。

{ "server":"111.222.333.444", "server_port":8390, "local_port":1080, "password":"buratino.ty.sam.sebe.vragg", "timeout":60, "method":"aes-256-cfb", "fast_open": true }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、サーバーとクライアントの両方の構成です。 サーバーのアドレスとポートを順番に取得します（少なくとも80番目は可能です）。 クライアントが接続を受け入れるポート（触れないほうがよい）。 プレーンテキストのパスワード。 サーバーが不要なチャネルを閉じるまでの秒数。 最後の2つについて詳しく説明します。



Shadowsocksには多数の暗号化方式がありますが、適用できるのは2つだけです。 chacha20-ietf-poly1305は、ダニエルJ.バーンスタインによって作成されたアルゴリズムで、Googleが内部で使用するために開発しました。 AESをハードウェア化する方法がわからないデバイスに適しています。これらは非常に安価な携帯電話やその他のスマートアイロンです。 プロセッサ内のブックマークを恐れる妄想的な人々のために。 他のすべての人はaes-256-cfbを使用します。 ただし、両方の暗号は信頼性が高く、実績があります。



fast_openを設定すると、接続の待ち時間が短縮されますが、少なくとも3.7のカーネルが必要です。 また、そこでも常に機能するとは限りません。特に、仮想マシンがOpenVZで作成されている場合は機能しません。 Scaleway-sky ARMでも起動しませんでした。 一般に、機能する場合はオンにします。



構成の準備ができたので、パッケージをインストールします。 ここでは、2つのバージョンがあることを明確にする必要があります。 ただshadowsocksはPythonで書かれたリファレンスであり、 shadowsock-libevも同じですが、速度のために純粋なCで書き直されています。 ここに入れます。 最新のLinuxではメインカブにあります 。古いカブについては、こちらを参照してください 。



さて、実行：ss-server -c config.conf。 すべてが機能するはずです。 ファイアウォールと自動実行を忘れないでください。 Linuxの管理については説明しませんので、うまくいかない場合は方法2に進んでください。

方法2

dockerおよびdocker-composeをインストールします。

 apt install docker docker-compose
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さらに、 docker-compose.yml



という名前のファイルに、次のような構成を記述します。

 version: '3' services: shadowsocks: image: shadowsocks/shadowsocks-libev:latest environment: - TZ=Europe/Moscow - PASSWORD=buratino.ty.sam.sebe.vragg - METHOD=aes-256-cfb - ARGS=--fast-open ports: - "8390:8390" - "8390:8390/udp" restart: unless-stopped
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

インデントに注意してください、それらは重要です。 必要に応じて、異なるポートで異なるパスワードで複数のサーバーを一度に上げることができます。これには、shadowsocksブロック全体を異なる名前で複製するだけです。 構成の準備ができたら、同じフォルダーで実行します

 docker-compose up -d
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そしてすべてが始まります。 Dockerは、あなた自身でさえ、必要なく、各ポートごとにファイアウォールに穴を開けます。

顧客の構成

ここではすべてが簡単です。 私たちはサイトに行き、目的のクライアントをダウンロードし、インターフェースで設定します。 もちろん、Linuxoidには、方法1の設定を処理するコンソールデーモンがあります。



クライアントをセットアップすると、SOCKS5プロキシがシステムのポート1080に置かれます。デフォルトでは外部からアクセスできません。 ただし、使いやすいLANにいる場合は開くことができます。 プログラム自体がそこで中断しないことを理解することが重要です。 システムプロキシ（すべてのプログラムがSocksを通過するようにする場合）または各プログラムを個別に構成する必要がありますが、これが問題にならないことが望ましいです。 Windows 10では、コントロールパネルに[ネットワークとインターネット]→[プロキシ]項目があります。 そこで、プロキシアドレス127.0.0.1、設定されたポート（1080）を入力し、ローカルネットワーク（通常は192.168.0.1/24、自分で確認します）およびサーバーIP自体を無視する必要があります。 誰かがLinux Subsystemを使用する場合、この構成は適用されません。 そこでsocks5_proxy変数を宣言する必要があります。 本格的なLinuxでは、通常、コントロールパネルの設定が同じです。 ブラウザの場合、FoxyProxy（FF）やSwitchyOmega（Chrome）などのアドオンを使用して、プロキシを経由するサイトと直接アクセスするサイトを微調整することをお勧めします。 特に、プロバイダーのリソース、場合によっては銀行への直接アクセスを構成する必要があります。 また、海外のアカウントでMosenergosbytを驚かせないことをお勧めします-彼らはすでにある種の内気な人です。 奇妙なことに、Paypalは電球に接続しています。 「プロキシ経由のDNS」ボックスをチェックすることを忘れないでください。または、デフォルトでそうであることを確認してください。

作業確認

この時点で、すべてが機能するはずです。 2つのテストを行う必要があります。 まず、 https：//duckduckgo.com/にアクセスし、検索ブラウザーに自分のIPを入力します 。メインIPアドレスではなく、プリミティブな「ボックス化された」 IP アドレスを入力して ください 。 アドレスはサーバー側である必要があります。 次に、クライアント設定で間違ったパスワードを入力し、すべてのプログラムが機能しなくなったことを確認します。 これは、プログラムがプロキシを巡回しないことの確認です。

追加

Shadowsocksに追加された機能について説明しますが、それらの構成については詳しく説明しません。 どうか聞いてください。



ポリポ いくつかの古代または最新の[er / oro]プログラムはSOCKS5の方法を知りませんが、 HTTP_PROXYを実行できます 。 特に、Androidの公式Twitterクライアントは、Shadowsocksが携帯電話ではなくルーターなどにインストールされている場合、Shadowsocksの使用方法をまだ認識していません。 この場合、Polipo http_proxyサーバーをインストールし、その設定でShadowsocksへのリダイレクトを指定できます。 すべてのhttpプロキシプログラムは必要性が小さいため放棄されていますが、これまでのところPolipoは問題なく動作しています。



obfs-proxy 。 Shadowsocksトラフィックをクリーンで目立たないSSLでラップできるようにするため、ポート443で許可します。これは、すでにプロトコルのホワイトリストがある場合です。



KCPTUN KCPプロトコルは、UDPを介したアドオンであり、受信間際のセルラーモデムや対流圏無線リレー通信など、損失の大きい非常に劣悪なネットワークで動作します。 KCPを使用すると、純粋なUDPよりも少し速く通信できます。Shadowsocksは、KCPでトラフィックをラップする非常に便利な方法です。



Fail2banを設定して、DDOSの試行をサーバーに反発させるのはいいことです。 しかし、あなたが学童を怒らせないなら、誰があなたをDDOSitしますか？ パスワードを1回でも携帯電話に入力する必要がないため、パスワードをより確実に設定してください。心配する必要はありません。 私の実際のパスワードは40のランダムな文字です。



それだけです！