家庭网络搭建01-什么是 GFW

7 minutes to read

Hello 朋友们，最近折腾了一些家庭网络相关的内容，中间因为 GFW 踩了不少坑，浪费了至少得有上十个小时的时间，所以也想着出一个系列，记录一下搭建方案的同时，整理一下自己的步骤，分享需要的朋友们

但是内容中不会包含如何翻墙的教程，感兴趣的朋友可以自行寻找教材

现在我找到了一套适合自己的家庭网络方案，目前用起来也非常舒服，家庭网络内所有设备均可科学上网，并且通过 Home Assistant 接入 HomeKit，可以通过 iOS Home App 控制一整套小米智能家居，实现离家自动关灯，回家自动开灯的功能，很方便

那么第一期就讲讲最为关键的科学上网吧，这是整个家庭网络搭建的难点了。文案中的内容，基本上都来自 AK 的 「硬核翻墙」 的系列视频（包括后面的贴图），这个系列让我受益良多，有时间的朋友可以直接看视频，可能会有更不错的效果

AK 的 youtube 系列视频

话说 AK 这个 up，在看这个系列视频前，对他的印象还停留在给王思聪装服务器那期，感觉是一个有些谨慎内向的科技up；后面看了一期 AK 讲人脉的直播 live，感觉和第一印象还是差别挺大的，他的思想还是比较成熟且观点鲜明的吧，那可能确实是王思聪给了他太多压力了 hhh

视频里 AK 有提到翻墙是个生存技能，我觉得确实是这样的吧，就跟进击的巨人里墙的存在有点相似，墙内一片美好，墙外很自由；但墙外也充满危险，只要你一天不学会如何面对危险，你就舍弃了那原本属于你的自由与无限的资源

基本概念

• GFW：Great Fire Wall，阻挡大陆访问外部特定网站与服务
• VPN：Virtual Private Network，虚拟私人网络，用于加密访问私人网络
  • L2TP
  • …
• VPS：Virtual Private Server，虚拟私人服务器，用于搭建跳过 GFW 的跳板机
• Shadowsocks：即作为通信协议，也有同名的翻墙软件
  • 又名：SS
• ShardowsocksR：SS 的改良版协议
• V2Ray：基于SS 的改良版协议
• Trojan：基于 V2Ray 的改良版协议
• Clash：翻墙 App
• 机场：几十上百个 VPS
  • 因为之前 Shadowsocks 的 App Icon 是个小飞机，所以这类服务提供商称为机场

什么是 GFW

• 背景：2008年奥运前恐袭事件，国外服务提供商拒绝配合审查，GFW 横空出世
• 目的：为了保障国家安全和控制不良内容的传播
• 演变：逐渐从封杀国外服务提供商，转变为对非政治内容的无差别封杀
• 原理
  • DNS 污染：不让域名解析出正确的 ip 地址，导致连接无法建立
  • 关键字阻断：强制中断带有特殊关键字的请求
  • …

作为一个因为 GFW 存在，导致代码环境配置浪费了数十小时的人，很难对 GFW 说有什么好感，对于真正需要科学上网的群体来说，墙的存在属实是令人烦恼；但就最近自己的所想所感来说，如果让不受审查的国外服务提供商直接在国内运作，对于当下的国民素质来说，冲击确实是不可控制的；整体来说，利大于弊吧，还是希望早日 GFW 能够放开，师夷长技以制夷

如何突破 GFW 限制

这是一个翻墙与反翻墙的一个不断博弈的过程，没有一劳永逸的方案

简单来看，方法经历了几个阶段的演变：

1. 加密请求内容，通过 VPN 和 SSH 访问，使 GFW 无法检测出真实的请求内容
   1. 由于特征明显，都是先发请求建立连接后传输，根据特征分析后，很容易被封禁相应端口和ip
   2. 这是早期最为常用的翻墙手段，虽然特征明显，但现在也是翻墙的主力方案

2. 使用 shadowsocks 代理服务器，加密双向数据传输
   1. 组成
      1. 本地加解密服务
      2. 远程加解密服务
   2. 可以一定程度上伪装和消除特征
      1. 但依然可以分析和识别出来，包括后面的一系列改良协议，都无法做到完美

方案选择

• 工具类型
  • 狭义 VPN
    • 本义是用于公司等机构的私有网络访问，在国内可以通过上报审批获取资格
    • 但如果用于翻墙则很不安全，特征过于明显，服务提供商随时可能被封禁，导致服务的花费打水漂
  • 通过 Shadowsocks 等协议翻墙
    • 目前的常用方案
• 确认需求
  1. 平常只使用手机或者 PC，使用频率和稳定性要求都不高（简单使用）
  2. 家庭中的大部分网络设备都需要翻墙，或者有些不支持通过下载 app 的方式翻墙（Switch、树莓派、Oculus VR 等）

方案一：直接使用客户端 App 翻墙 - 适用于少量设备翻墙

• 可直接下载对应的 App，如 SS 等，直接在客户端借由机场的机器实现翻墙
• 优点：
  • 方便
• 缺点
  • 但是相关的翻墙 App 作为应用，权限较低并且只代理应用层的流量，只接管交给次代理应用的所有流量，没有交给应用的流量无法代理
  • 一些系统层级的流量无法代理，如 Macos 的 TG 应用，Terminal 中需要手动指定 httpproxy 等
  • 比如，当时我折腾 arc 浏览器注册，就是因为 SS 没接管注册流量，折腾了半天😂

相比之下，层级更低的 VPN 更为好用

方案二：路由器翻墙 - 适用于网络内较多设备翻墙

• 硬路由 - 硬件路由器
  • 也即在我们的家庭路由器内，完成翻墙的加解密操作
  • 优点：
    • 强制接管所有家庭流量，支持代理系统层级流量
  • 缺点：
    • 操作有门槛，需要刷写路由器固件
    • 路由器 cpu 算力不足以支持加密解密运算，可能会导致网络卡顿
      • 路由器厂商设计的时候并没有考虑到路由之外功能的需求

• 软路由 - 软件路由器
  • 本质是一台小型计算机
  • 优点：
    • 拥有硬件路由器的所有优势
    • 性能强劲
  • 缺点：
    • 贵
    • 配置繁琐
    • 稳定性
    • 日常维护相对繁琐
      • 更换节点
      • 升级固件

方案三：网关模式翻墙 - AK 最推荐

• 也即在设备中使用软件作为网关，代替软件路由器实现所有功能
• 工具
  • windows - clash
    • 允许局域网连接模式
  • mac - surge
• 优点：
  • 操作方便
  • 性能强劲
  • 网络架构越简单，少了一层路由器的配置，越不容易出问题
• 缺点：
  • 依然有操作门槛
  • 设备需要 24h 开机
  • 相关的软件价格较贵

这里先预告一下，我选择的是方案二，因为软路由的配置成本我完全可以接受，并且我没有一台 24h 开机的电脑作为方案三的网关

如何选择服务供应商

• 自建 VPS
  • 成本高，技术要求高，需要较长时间折腾
• 购买机场服务
  • 几十上百个VPS，可选择性高了很多，出现问题时随时切换节点就可以
  • 需要选择大牌机场，小机场经常跑路
  • 避免年付，只选择月付

购买机场服务可以现在这个 测速平台-毒药 上看一圈，依然无推广，不推荐

总结

总的来说，了解 GFW，并跳过他的限制，是一个成本比较高的事，但是从一个过来人的角度来看，这座墙短期内依然有存在的必要性，墙外的资源比付出的成本更加珍贵，所以有能力则应翻尽翻，开眼看世界，吾辈有责

附录：各种线路知识

• CN2线路：China Telecom Next Carrier Network
  • 类型：
    • CN2GT
      • global transit
    • CN2GIA
      • global internet access
  • 特点：
    • 价格贵
    • 访问质量好，支持QoS调整流量优先级
• BGP：Border Gateway Protocal
  • 支持自动切换，多线机房
• GCP：Google Cloud Platform
• AWS：Amazon Web Service
• Axure
• PCCW
  • 香港电讯云科
  • HKT、HKBN 等
• IPLC
  • International Private Leased Circuit
  • 不过墙，价格贵，水很深-流量倍率高等
  • IPLC 游戏加速器效果最高