原理
客户端--->⭐️CDN中转--->VPS(*TLS域名伪装)--->目标网站
工具
CloudFlare CDN 搭建步骤
- 把伪装域名(比如:fanqiang-usa-cf-relay.example.com)解析到服务器IP(先不要开启Proxy开关)
- 登陆vps,运行一键安装脚本,新建配置,选TLS结尾的,比如trojan+ws+tls,vmess基本被淘汰了,vless协议在某些app上不支持,trojan协议是目前最安全的
- 测试节点的可用性。无法连接的原因:端口未被监听(lsof检测端口状态),防火墙拦截了端口(ufw开启端口)
- 打开cloudflare上的Proxy开关(Proxy开启代表CDN中转,Proxy关闭代表直连)
AWS CloudFront CDN 搭建步骤
- 在cloudflare上将伪装域名(比如:fanqiang-usa-aws-relay.example.com)解析到服务器IP(不要开启Proxy开关)
- 登陆vps,运行一键安装脚本,新建配置,选TLS结尾的,比如trojan+ws+tls,vmess基本被淘汰了,vless协议在某些app上不支持,trojan协议是目前最安全的
- 测试节点的可用性。无法连接的原因:端口未被监听(lsof检测端口状态),防火墙拦截了端口(ufw开启端口)
- 创建AWS CloudFront配置
源域:伪装域名fanqiang-aws-relay.example.com 协议:仅https 最低源SSL协议:TLSv1 自动压缩对象:No 缓存键和源请求:Legacy cache settings 不要启用WAF安全防护 安全性:地区限制-中国(可以从一定程度上防止cdn被恶意刷量) 其他配置都默认
- 用aws分配的域名来访问trojan节点path,比如https://d5c7wuv22jn2f.cloudfront.net/efb54115-5b0e-442a-a0e9-3849db60a036,path在节点信息中可以找到,显示“Bad Request”代表cdn配置成功
- 代理客户端中的“伪装域名”换成“aws分配的域名”,能成功访问外网,即成功
CloudFlare VS CloudFront
经测试,AWS CDN 的网速明显比 CloudFlare 快,甚至比那些垃圾机场的网速都要好,需要注意的是,CloudFlare 永久免费,AWS CDN 每个月只有1T的免费流量,不过够用了
搭建翻墙节点时,不要纠结用哪个翻墙协议,每个协议的速度差距都不大,买条好的线路或者接入好的CDN才最重要
其他方案
- 翻墙的终局是机场:用户--->IPLC机场--->目标网站
- 特殊需求-固定IP
-
方式一:用户--->CDN--->落地机--->代理IP--->目标网站
CDN需要一次SSL握手,落地机需要一次SSL握手
优点:套CDN永不被墙,适合日常使用、运营海外账号、海外店铺
-
方式二:用户--->IPLC机场--->落地机(shadowsocks)--->目标网站
优点:IPLC机场比CDN速度快,机场节点多,可以自由切换,适合个人使用,有空测一下,应该挺不错的
-
方式三:用户--->IPLC专线--->落地机(shadowsocks)--->目标网站
不需要SSL握手,速度最快,适合跨境直播,玩海外游戏。
5M带宽可以看youtube1080p,10M带宽可以看2k视频。15M带宽及以上可以看4k。所以买15M带宽的IPLC就足够了。直播用5M带宽也够
IPLC必须用VPS落地,原本我想直接用代理IP落地,方便+节约成本,可惜速度根本拉不起来,因为代理IP所在的服务器性能太差了。另外,代理ip使用的是明文协议
-
- 临时使用或一次性使用:用户--->代理IP--->目标网站
- 直连容易被墙,且网速不稳定:
用户--->落地机--->目标网站
结论
- 没有最优方案,只有最适合的方案
- SSL握手次数越多,网络延迟越高
- 入口处,要么用IPLC,要么用机场当替罪羊,要么套CDN,可有效防止IP被墙🧱
- IPLC不要把流量转发给代理IP,代理IP性能太差了(tcp延迟高,带宽小),IPLC带不动
- 反正都要套CDN,就没必要买CN2线路的落地机了
- 日常使用,直接买IPLC/IEPL专线机场,网速又快又稳定,一个月50G的套餐就完全足够了,再备个CDN中转节点,永远不会失联
- 需要固定IP,前置代理(机场或CDN中转)+固定IP落地
- 延迟:iplc<线路好的机场<aws cdn<线路差的机场<cf
IPLC线路介绍和选择建议
IPLC/IEPL主要优势是延迟低, 稳定, 不过墙。
IPLC线路主要分为: 深港IPLC/广港IPLC/莞港IPLC/深港IEPL,沪日IPLC/苏日IPLC, 沪美IPLC, 沪韩IPLC, 深新IPLC, 深台IPLC, AIA专线, 华为IPLC, 天下数据 IPLC专线等。
优缺点
深港/广港/莞港/深港
广州/深圳 到 香港的线路, 适合华南人民使用, 延迟比较低。 用的人比较多。
适合优化大陆到香港的互联(基本上, 每人至少有1台香港的VPS)。
沪日/苏日
上海/苏州 到 日本线路, 适合华东人民使用, 延迟比较低。 用的人较少。
适合优化大陆到日本的互联(如日服游戏等), 另外日本到美国延迟也比较低, 也适合中转美国的落地机, 达到类似沪美IPLC的效果。
深新/广新
广州/深圳 到 新加坡线路, 更适合华南人们使用, 华中人们的使用体验和沪日IPLC延迟类似。 适合流媒体使用(Netflix/Disney+, 新加坡的奈非中文资源多), 另外新加坡的国际互联还不错。
沪美
适合优化大陆到美国的互联。 用的人较少, 一些用来美服/炒币。
沪韩
适合优化大陆到韩国的互联, 比如韩服游戏等, 商家少, 用的人较少。
深台
适合需要接到台湾的业务使用, 商家少, 用的人较少, 价格也较高。
海港
较新出现, 或者叫海港IELP, 海南到香港, 用的人较少。
腾讯AIA, 阿里CEN, 华为
这些都是大厂的IPLC业务, 部分商家/大代理商拿到较低价格, 拿出来卖(官网价格都是极贵的)。
售卖的 阿里CEN 线路有: 深港/沪美/深新/沪日/京德。
售卖的 华为IPLC 线路有: 广港
售卖的 天下数据 IPLC 线路有: 深港/沪日
售卖的 腾讯AIA 有: AIA是Anycast(就近接入), AIA基本都是卖流量转发, 无vps/nat。 入口有: 广州/上海/北京
选择建议
延迟:直连>CN2>IPLC
关注点:入口距离自己近, 比如 在上海附近的华东人民 优先考虑 沪-X 线路。
另外, 一些商家是BGP入口, 全国的延迟都还可以。 但大部分都是高防(防止被同行攻击), 高防IP一般是电信/移动机房入口, 如果移动入口, 联通用户延迟就有点高。
出口满足自己需求, 比如 需要香港/日本/美国/韩国等业务, 或者距离自己的落地机近。
用的人少, 比如沪日/沪韩等 用的人相对少, 可能抢资源的人就少些, 稳定性也好些。 当然也要看商家是否超售, 带宽是否充足。
有条件的, 建议买多条线路备用, 不同商家/线路, 避免有的线路出问题时, 影响使用。
有条件的, 可考虑独立IP套餐, 独立IP套餐为KVM架构(入口/出口的IP为独享)。 比NAT的好处: 晚高峰稳定性好些; NAT被攻击时影响一般较小; 端口数无限制(80/443除外)。
带宽选择, 30Mbps口是个分割点, 小于等于30M的一般都比较稳(有大流量需求的人一般不选), 但是如果有看流媒体需求, 高清就比较难了。 大于30M的基本就是50M-200M比较常见, 速度和稳定性就不一定了, 看商家带宽是否充足/用户抢带宽情况。 总之, 别太贪便宜。
本人自用推荐
IPLC专线机场:点击直达
VPS服务器:点击直达
原生海外住宅IP:点击直达