为什么用stunnel来做翻墙，基本上我目前都是使用v2ray，但家里路由器性能不太好，用来跑v2ray除了慢也不稳定，在工作的外地有一台自己的nas同时也是路由器，日常都跑着v2ray，所以就考虑其他软件来替代一下家里路由器的v2ray，经过各种测试之后，stunnel的综合性能和稳定性还可以，于是用zerotier做了内网穿透，用stunnel来加密外网的socks5代理，再配合kumasocks配合来做透明代理。zerotier非必须，如果有公网IP的话可以做动态域名，然后做端口转发也可实现同样的功能。先说下基本的使用环境：nas上跑了docker、openwrt路由等，题外话：目前本站就运行在这个nas的debian docker上，通过外网反代，同样是用zerotier做内网穿透。内网IP：172.16.22.2通过zerotier推送了静态路由，家里的openwrt路由器可以直接访问这个内网IP。在debian docker上安装stunnel4.apt update && apt install stunnel4 -y生成证书cd /etc/stunnel

现在是特殊时期，各种代理的封锁疯狂程度已经可以比得上每年的6月了，我自用的v2ray也被墙了，使用的是mkcp+tls，思前想后，最关键还是没有防探测的意识，单纯依赖软件实在太难以防得住。当然，有人会说如果用tls+nginx反代就不会有问题，这种方式确实是比较不容易被封，但是问题是这种方式速度不够快，特别是电信这种坑爹出国的各种限速，根本无法满足个人看youtube 1080p的需求。痛定思痛，重新换了ip复活，为了不再浪费gfw的资源，节省一点纳税人的钱，也节省一点自己换ip的成本，部署了防探测到服务器，具体防探测防封锁的效果目前暂时还在验证中，如果有一天仍然被墙了，我会上来报告一下，如果没有，说明它仍然有效。补充说明一下目前我使用的代理方式，由于新版v2ray(4.22.1)的mkcp有些问题，我现在使用v2ray的tcp+kcptun，实测效果不输mkcp，唯一缺点可能就是带宽有些浪费，流量小的慎用。大体的思路其实很多人都有提过，就是不对外开放端口，靠防火墙来给自己开一条私有通道。除了你自己，别人无法访问这个端口，也就让gfw没有探测的条件。本次实现环境服务器和客户端均为Deb

之前写过一篇 基于Openwrt的路由器自动翻墙方案 ，基于geoip将国内和国外的流量分流，最近由于特殊需要，开始使用gfwlist黑名单模式，用了一段时间感觉还可以，记录一下。代理方面推荐用V2ray，Shadowsocks和ShadowsocksR已经有些过时，特别是去年被封了几次之后就转用V2ray了，具体V2ray的部署就不写了，网上教程很多。以下主要注重iptables规则和ipset规则，无论用V2ray或者SSR都可以适用，透明代理可使用ssr-redir或者V2ray的dokodemo-door。具体规则要比之前那篇更简单些，具体应用平台Openwrt或者Linux均可适用。Openwrt需要安装的软件opkg update && opkg remove dnsmasq && opkg install iptables-mod-nat-extra ipset dnsmasq-full在/etc/rc.local中加入下面ipset的规则，以便开机就生效。因为gfwlist主要以域名为特征码，所以部分软件的登陆可能会有些问题，下面规则中添

用了 Let’s Encrypt 的免费证书很久了，一直没有记录笔记，最近由于重新操作了一遍，所以记录一下。curl https://get.acme.sh | sh服务器用的zsh，所以刷新一下配置。source .zshrc我使用的是Cloudflare的DNS，先将Cloudflare的API token加入acme的配置文件中，使用其他DNS的请参考acme的官方文档。echo "SAVED_CF_Key='1234567890' SAVED_CF_Email='your@email.com'" >> ~/.acme.sh/account.conf开始申请证书，由于现在Let's Encrypt已经支持泛域名，所以直接申请泛域名证书。acme.sh --issue -d 0066.in -d '*.0066.in' --dns dns_cf等待几十秒的验证之后，就申请完成。[2020年 01月 31日 星期五 15:15:23 HKT] Your cert is in /root/.acme.sh/0066.in/0066.in.cer

本篇基于Openwrt 19.07 x86_64 。Bash习惯了Linux中使用bash，于是把openwrt的ash换成了bash。安装bashopkg update && opkg install bash切换root运行环境为bash修改/etc/passwd中root那一行root:x:0:0:root:/root:/bin/bash然后echo ". $HOME/.bashrc" > /root/.bash_profile touch . $HOME/.bashrc chmod 755 . $HOME/.bashrc完成设置，.bashrc里可以按照自己的习惯进行设置。修改默认编辑器为nanoOpenwrt默认的编辑器是vi，作为习惯了nano且有强迫症的人，怎么能不换掉它？opkg update && opkg install nano mkdir -p /etc/profile.d; echo "export EDITOR=nano" > /etc/profile.d/editor.sh