全球主机交流论坛

标题: v2ray如何套cf [打印本页]

作者: lovecan 时间: 2022-11-27 13:33
标题: v2ray如何套cf
本帖最后由 lovecan 于 2022-11-27 13:47 编辑

我看网上教程大都是vmess+ws+tls+web，还是Nginx 作为前置代理。然后申请cf proxy。
既然cf都已经作为前置代理了，还有必要再让Nginx 作为前置代理吗？
另外我发现官方教程里已经没有ws+tls了，默认是Nginx 作为前置代理。我记得论坛上有人用过ws+tls。

对了，我还是个nat，还得在后台配置域名转发。。。

作者: 会呼吸的痛 时间: 2022-11-27 13:39
你这元老，水分十足啊

作者: lovecan 时间: 2022-11-27 13:40

会呼吸的痛发表于 2022-11-27 13:39
你这元老，水分十足啊

这还不算技术贴？你来回答。。。

作者: jiashencha 时间: 2022-11-27 13:41
我也在寻找方案

作者: 三不 时间: 2022-11-27 13:41
这些很难的，别学了，跟我用鸡场多省心

/**
* ------------------------MJJ友情价出t66y_1024论坛邀请码--------30出---------
*
*
*/

作者: 五岁抬头 时间: 2022-11-27 13:42
不需要nginx，ws 用cloudfalre支持的端口就行了，或者直接用80

https://developers.cloudflare.com/fundamentals/get-started/reference/network-ports/

作者: 会呼吸的痛 时间: 2022-11-27 13:42

lovecan 发表于 2022-11-27 13:40
这还不算技术贴？你来回答。。。

ws+TLS，直接就能套，CF支持的端口就行

作者: lastfree 时间: 2022-11-27 13:42
可以的，也可以直接用wmess + ws + tsl
v2ray 用443
然后套CDN，

只要你愿意，都行。

作者: 184682563 时间: 2022-11-27 13:43
nginx前置或者直接v2ray都行，只要是ws+tls就行

作者: iiix 时间: 2022-11-27 13:47
别学了现在套cf 不管怎么样优to比速度不会有2000

作者: lovecan 时间: 2022-11-27 13:49

会呼吸的痛发表于 2022-11-27 13:42
ws+TLS，直接就能套，CF支持的端口就行

配置咋写啊？ws和tls都写在v2里面吗？

"streamSettings": {
      "network": "ws",
      "security": "tls", // security 要设置为 tls 才会启用 TLS
      "tlsSettings": {
      "certificates": [
         {
            "certificateFile": "/etc/v2ray/v2ray.crt", // 证书文件
            "keyFile": "/etc/v2ray/v2ray.key" // 密钥文件
         }
      ]
      }
   }

作者: lovecan 时间: 2022-11-27 13:50

iiix 发表于 2022-11-27 13:47
别学了现在套cf 不管怎么样优to比速度不会有2000

折腾webhorizon的nat呢。nat的ip被抢了，不套不行。我自己的服务器速度刚刚的，根本不需要套。

作者: Amanda 时间: 2022-11-27 13:52
本帖最后由 Amanda 于 2022-11-27 13:53 编辑

我套CF是为了自选加速，

nginx前置为了ws伪装（当然xray可以直接fallbacks），至于tls，nginx很容易，cloudflare就更容易了

不过看你这么问，感觉是没弄清楚的样子

作者: lovecan 时间: 2022-11-27 13:52

五岁抬头发表于 2022-11-27 13:42
不需要nginx，ws 用cloudfalre支持的端口就行了，或者直接用80

是不是tls都不需要了啊。cf到我的服务器能走http协议吗?

作者: lovecan 时间: 2022-11-27 13:55

184682563 发表于 2022-11-27 13:43
nginx前置或者直接v2ray都行，只要是ws+tls就行

v2ray的ws+tls协议怎么写啊？我看官方已经没这个方案了。

作者: 184682563 时间: 2022-11-27 13:56
   "streamSettings": {
      "network": "ws",
      "security": "tls",
      "tlsSettings": {
      "certificates": [
         {
            "certificateFile": "/r.pem",
            "keyFile": "/r.key"
         }
      ]
      },
      "wsSettings": {
      "path": "/stream"
      }
   }

作者: lovecan 时间: 2022-11-27 14:03
本帖最后由 lovecan 于 2022-11-27 14:06 编辑

Amanda 发表于 2022-11-27 13:52
我套CF是为了自选加速，

nginx前置为了ws伪装（当然xray可以直接fallbacks），至于tls，nginx很容易，clou ...

怎么说呢。感觉咱们理解不一样。我的理解https才是为了伪装+加密。ws只是为了兼容nginx/cdn。
vmess+nginx的https，是nginx负责解第一层tls，而且是货真价实的https流量。v2ray也可以自己解tls，不过这个就跟nginx相比差点意思。

你可以参考https://guide.v2fly.org/advanced/wss_and_web.html#%E9%85%8D%E7%BD%AE
这里开始有段话。”使用 Nginx/Caddy/Apache 是因为 VPS 已经有 Nginx/Caddy/Apache 可以将 V2Ray 稍作隐藏，使用 WebSocket 是因为搭配 Nginx/Caddy/Apache 只能用 WebSocket，使用 TLS 是因为可以流量加密，看起来更像 HTTPS。“

解开https之后就转发给v2ray了，再解一层vmess就可以了。

作者: lovecan 时间: 2022-11-27 14:06

184682563 发表于 2022-11-27 13:56
"streamSettings": {
"network": "ws",
"security": "tls",

多谢。跟我想的一样。官方似乎已经去掉这个方案了。我记得以前是有的。
https://guide.v2fly.org/advanced/advanced.html

但是我觉得如果cf前置，这个配置还是有意义的。

作者: 184682563 时间: 2022-11-27 14:07

lovecan 发表于 2022-11-27 14:06
多谢。跟我想的一样。官方似乎已经去掉这个方案了。我记得以前是有的。
https://guide.v2fly.org/advance ...

估计之前443 TLS很稳没什么人套CF了，现在大家又重新拾起来了

作者: 五岁抬头 时间: 2022-11-27 14:10

lovecan 发表于 2022-11-27 13:52
是不是tls都不需要了啊。cf到我的服务器能走http协议吗?

可以的。你用80端口或者其他端口，在cloudflre 规则--Origin Rules--指定端口就行了。

用80的话，需要在cloudflare--SSL/TLS--概述中您的 SSL/TLS 加密模式改为灵活。

或者在cloudflare--规则--页面规则创建一个指定url的ssl为灵活。

作者: lovecan 时间: 2022-11-27 14:10

184682563 发表于 2022-11-27 14:07
估计之前443 TLS很稳没什么人套CF了，现在大家又重新拾起来了

我觉得如果不套cdn，就上真的https。用nginx前置解tls。v2ray解tls有点不伦不类。vmess已经很强了，根本解不开，再加一层tls也没啥意思。相反用https把vmess隐藏起来更重要。

作者: 包子打的 时间: 2022-11-27 14:10
端口用80或者443就能套

作者: lovecan 时间: 2022-11-27 14:12

五岁抬头发表于 2022-11-27 14:10
可以的。你用80端口或者其他端口，在cloudflre 规则--Origin Rules--指定端口就行了。

十分感谢！又解答了我另外一个问题。看来网上套cdn的方案大部分都是人云亦云，根本不懂原理。

作者: yem 时间: 2022-11-27 14:13
一键脚本，自己优选ip就好了

作者: lovecan 时间: 2022-11-27 14:16

yem 发表于 2022-11-27 14:13
一键脚本，自己优选ip就好了

用一键是方便，但是不会有长进。远离一键，自己敲命令才是王道

作者: lovecan 时间: 2022-11-27 14:21

五岁抬头发表于 2022-11-27 14:10
可以的。你用80端口或者其他端口，在cloudflre 规则--Origin Rules--指定端口就行了。

而且你这个指定端口，把我的nat转发也省了。不然我还得去nat后来去做域名转发。

作者: Amanda 时间: 2022-11-27 14:42

lovecan 发表于 2022-11-27 14:03
怎么说呢。感觉咱们理解不一样。我的理解https才是为了伪装+加密。ws只是为了兼容nginx/cdn。
vmess+ngin ...

tls本质上就是加密啊，你要是说是伪装也可以的，一层tls加密就可以了

另外cf开启full的情况下，已经帮我们进行了tls的加密

nginx反代或者说xray的回落能让使用的域名看起来更像正常的网站

这个UP的系列教程是我觉得目前唯一讲的还不错的

作者: lovecan 时间: 2022-11-27 14:57

Amanda 发表于 2022-11-27 14:42
tls本质上就是加密啊，你要是说是伪装也可以的，一层tls加密就可以了

另外cf开启full的情况下，已经帮我 ...

tls的本质是加密。但是从安全角度vmess的加密已经足够了。套tls，尤其是套https的根本目的还是隐藏+加密，其实更多的还是隐藏。把vmess的密文隐藏在真正的https流量里。

你发的那个视频讲的不错，不过传输层之下的东西用处不大。

作者: roxsky 时间: 2022-11-27 15:00
本帖最后由 roxsky 于 2022-11-27 15:12 编辑

我的配置是以前是vless-ws<->nginx-ssl<->cf
现在的配置是trojan-ws<->nginx-ssl<->cf

把vless换成trojan是因为v2fly说vless已经被弃用,推荐使用trojan,当初选择vless也是因为v2到nginx不需要重复加密,刚好vless本身是不加密的,现在的trojan协议也是,本质上只是个websocket,不像vmess这些还会加一层密,多此一举.

然后nginx就负责ssl加密和伪装,我的ssl是配置在nginx上的,然后也模仿了正常网站,只有特殊路径才会转发到v2那边去处理,这样看起来就和正常网站一模一样了,安全性更高.现在只有分享给朋友的服务器是套了cf的,我自己用的还是直连的.

之前10月份大封杀的时候,我几台服务器,只有分享给朋友们用的服务器被封过一次443端口,我自己单独用的那些服务器,没有一台被封的,而且差不多2年时间我都是用的这个配置,之前好几次大封锁,我这边也从来没被封过.

作者: roxsky 时间: 2022-11-27 15:09
然后我的配置也都是手动配置的,你要是需要的话可以联系我tg,我发给你看.

作者: 蜗牛也是牛 时间: 2022-11-27 15:23
以前用xray的回落功能时，把xray做过前置，按你的想法，主机内部不通过nginx直接用v2ray做监听应该也能行得通

作者: lovecan 时间: 2022-11-27 15:27

roxsky 发表于 2022-11-27 15:09
然后我的配置也都是手动配置的,你要是需要的话可以联系我tg,我发给你看.

已经搞定了。多谢

作者: lovecan 时间: 2022-11-27 15:28

蜗牛也是牛发表于 2022-11-27 15:23
以前用xray的回落功能时，把xray做过前置，按你的想法，主机内部不通过nginx直接用v2ray做监听应该也能行得 ...

是的。我把nginx和ssl都干掉了。

作者: skywing 时间: 2022-11-27 15:33
用Nginx可以很方便的配置网站，可以自建（上网代理机顺便建个博客岂不美哉）也可以反代，但原版v2在这方面有所欠缺

较新的xray和trojan已经可以很方便得设置fallback，如果只是纯上网代理不建站，用不用nginx都无所谓

其实就算用了nginx，对性能的损耗也是微乎其微

作者: lovecan 时间: 2022-11-27 15:34

roxsky 发表于 2022-11-27 15:00
我的配置是以前是vless-wsnginx-sslcf
现在的配置是trojan-wsnginx-sslcf

你的客户端到cf走cf的ssl吗？走的话感觉cf到nginx没必要再走ssl了。因为cf已经再境外了。
vmess的加密就是为了过墙，如果已经过墙（cf<->trojan/vmess服务器），确实没必要再加密了，其实连ssl都不用。

作者: roxsky 时间: 2022-11-27 15:36

lovecan 发表于 2022-11-27 15:34
你的客户端到cf走cf的ssl吗？走的话感觉cf到nginx没必要再走ssl了。因为cf已经再境外了。
vmess的加密就 ...

不走啊,ssl是我自己申请的,我记得cf后台我设置的严格,就是使用我nginx本身的ssl

是的,加密都是为了过墙,所以只需要一次就行了,我是嫌cf太慢了,所以就没用cf的,直接nginx加上ssl过墙,整个流程中就这一个加密的.

作者: lovecan 时间: 2022-11-27 15:38

skywing 发表于 2022-11-27 15:33
用Nginx可以很方便的配置网站，可以自建（上网代理机顺便建个博客岂不美哉）也可以反代，但原版v2在这方面 ...

我的nat就256内存，我懒得再弄nginx和证书了。加上ip被墙，我要套cf，所以就想把nginx干掉。
我其他的机器上是有站的，所以只能让nginx fallback到v2，没办法像xray和trojan fallbakc到nginx。

帖子里其他人已经给出了解决方案，不用nginx，cf走ws直接跟v2对接。

作者: lovecan 时间: 2022-11-27 15:43
本帖最后由 lovecan 于 2022-11-27 15:44 编辑

roxsky 发表于 2022-11-27 15:36
不走啊,ssl是我自己申请的,我记得cf后台我设置的严格,就是使用我nginx本身的ssl

是的,加密都是为了过墙, ...

我自己的aws就没套cf，用的vmess+https的方案，nginx的ssl。我有个问题，你不套cf，内层又不加密，整个方案不就跟https代理一样了么？你的trojan在终端有啥作用吗？

作者: 蜗牛也是牛 时间: 2022-11-27 15:46

五岁抬头发表于 2022-11-27 14:10
可以的。你用80端口或者其他端口，在cloudflre 规则--Origin Rules--指定端口就行了。

请教下，看你发的cf自定义规则上可以重写到某些端口，那如果重写到一些非常见端口，cf只支持特定端口的回源会怎么处理？还是重写端口后，不能套cf加速了？

作者: pengit 时间: 2022-11-27 15:55
你可以到油管搜索一下不良林,他的比较通俗易懂
/@bulianglin

作者: roxsky 时间: 2022-11-27 16:07
本帖最后由 roxsky 于 2022-11-27 16:11 编辑

lovecan 发表于 2022-11-27 15:43
我自己的aws就没套cf，用的vmess+https的方案，nginx的ssl。我有个问题，你不套cf，内层又不加密，整个方 ...

对啊,本质就是个https+websocket代理啊,v2的trojan协议本质上也只是个websocket代理而已,nginx和Trojan这个websocket不需要加密啊,都是在服务器本机上进行通讯的,加密就浪费了.ngxin到墙内这段才加密的,经过nginx的ssl加密.我用trojan的原因也是官方没有单独的websocket协议,而trojan就是websocket协议加上ssl,所以我就用了trojan了,只用到了trojan里的websocket

我之前用xray的xtsl的fallback曾经封过好几次443端口.那时候我想的是xray前置会不会有问题可能导致识别?所以就尝试nginx前置,因为这样的话所有的数据都是ngxin加密和处理的,通信是没有任何其他的特征,完美符合nginx的特征.

用起来个人感觉确实稳定很多,而且也没有那些花里胡哨的东西.

作者: lovecan 时间: 2022-11-27 16:45

roxsky 发表于 2022-11-27 16:07
对啊,本质就是个https+websocket代理啊,v2的trojan协议本质上也只是个websocket代理而已,nginx和Trojan这 ...

nginx前置肯定是比较安全，地地道道的https流量。

我知道nginx和Trojan通讯不需要加密。我的意思是，https过墙会不会比vmess+https过墙更难识别？我单纯是为了更保险一点，加了vmess

作者: toot 时间: 2022-11-27 16:50
https://www.moe.ms/archives/6/

作者: wherl 时间: 2022-11-27 16:53
cf的前置代理和nginx 的前置代理概念不一样。nginx主要是用来给不同服务分流，比如富强+网站+其他乱七八糟的服务

作者: irony 时间: 2022-11-27 16:57
都讨论啥呢
一堆扶墙工具搞各种复杂的加密混淆是为了对抗高墙的识别
你既然都套cdn了,就摆明了抱cdn厂商的大腿躺平了,还怕识别吗
直接用最基础的vmess协议就行,反正访问内容肯定是加密的,高墙虽然也知道你在访问,但它不可能像封你小鸡一样彻底封死cdn

作者: lovecan 时间: 2022-11-27 17:03

irony 发表于 2022-11-27 16:57
都讨论啥呢
一堆扶墙工具搞各种复杂的加密混淆是为了对抗高墙的识别
你既然都套cdn了,就摆明了抱cdn厂商的 ...

不封你ip不代表不可以给你丢包啊。

作者: irony 时间: 2022-11-27 17:06

lovecan 发表于 2022-11-27 17:03
不封你ip不代表不可以给你丢包啊。

应该不至于吧,看你是哪家运营商了,可以不用cf,用cft和gcore,我这边没发现有任何问题

作者: lovecan 时间: 2022-11-27 17:13

irony 发表于 2022-11-27 17:06
应该不至于吧,看你是哪家运营商了,可以不用cf,用cft和gcore,我这边没发现有任何问题 ...

我觉得这是必然吧。你可以找个机器试试，关闭cf的tls，协议改成支持ws的弱鸡HTTP协议。
这样你的客户端和cf服务器通讯就是每有任何保护的可识别协议。我觉得cf的服务器ip肯定不会被封，但是这个传送会被阻断。
我们讨论的就是后半程tls和nginx怎么去掉。前半程肯定要强加密，抱谁大腿也没用。

cft是啥？gcore也有免费cdn吗？

作者: huang1dede 时间: 2022-11-27 17:20
服务端一键,协议选WS---cf网站点亮小云朵---客户端里地址改成CF的优选IP即可,不知道优选IP你就填个套了CF访问还挺快的网站域名.

作者: roxsky 时间: 2022-11-27 17:21
本帖最后由 roxsky 于 2022-11-27 17:22 编辑

lovecan 发表于 2022-11-27 16:45
nginx前置肯定是比较安全，地地道道的https流量。

我知道nginx和Trojan通讯不需要加密。我的意思是，htt ...

我个人感觉是没必要加上vmess,因为有了https加密,等于在网络中传输的都是https流量.

vmess等于是先加密了一次,然后发送给nginx用https再加密一次,等于多加密了一步

过墙靠的是https,只要是https就足够安全了,vmess本身是有特征了,所以如果https被解密了,里面的vmess照样也无所遁形,综合了这些想法,我还是选直接不加密的websocket.

欢迎光临全球主机交流论坛 (https://443502.xyz/)