浅谈一下各种翻墙方案的优劣（VPN、Shadowsocks）

暗影之心 · 发表在 2015-8-27 14:34:26

首先介绍一些大家都非常熟悉的VPN，也是大家经常采用的方案。
VPN又称虚拟专用网络，指在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。而我们通常的翻墙就是利用率VPN数据封装，通过连接到国外的VPN服务器，后已达到随意浏览的目的。

工作原理

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。
网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。
网络二的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。
网络二的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络一的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。
网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。
从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

   通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

分类标准
VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。
常用VPN技术

1．MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。
2．SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。
3．IPSec VPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

我们日常接触到的VPN多均以第二种为主，第三种也有但是不多，第一种基本只是用在公司的大型VPN网络上面。

   SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSec VPN能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。
IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSec VPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。

由于VPN的工作原理是全部数据包重新封装后传输，那么你访问网络的速度完全取决于VPN服务器的压力，以及VPN对各个站点的响应时间，所以有可能会出现你连上后反而部分国内站点出现访问缓慢，而且比如碰到QQ音乐这种根据IP检测是否提供服务的软件就无法使用。所以VPN其实更适用于长时间需要对外网站点进行访问或者涉及到个人隐私数据传输的环境，比如长期上美服网络游戏，商业谈判资料的传输等等，远程办公等等，并不适合灵活多样的网络环境。而且由于GFW的限制，VPN翻墙是一个非常敏感的事物，包括淘宝现在屏蔽VPN来看，VPN的生存环境会越来越紧张。
VPN的价格的话根据提供商的服务器数量以及机房质量来决定，一般从15-25元/月，一年基本在150元的支出

暗影之心 · 发表于 2015-8-27 15:15:02

除去广为人知、人见人爱的VPN，其实还有十八般兵器存在于科学上网界，其中ShadowSocks可以说是其中一把功能齐全的瑞士军刀。服务器端提供了各种版本，如Python、Nodejs、Go、C libev等等，安装配置过程极其简单。而用户端则可以在windows、mac、iOS和android上轻松运行，很好很强大。很多时候，我们仅仅只是需要上一下google，收个gmail邮件，或者打开某个网站瞄一眼看看有无更新。这种情况下，vpn可以做到吗，可以，但是很麻烦，连个vpn，qq也得掉一次线，有时候还连半天连不上。而通过ss的话呢，后台运行一个小程序，然后浏览器点击切换一下SS的网络，就可以了。不用的时候，再切回来。这也就是其轻巧的地方。可以做到根据网址判断自动开启，也可以全局代理；而 VPN 无法直接根据网址来判断。而且目前各种路由器刷OPENWART或者DD后基本都能支持路由器Shadowsock，配合chinaDNS和PSDNS，完全可以做到全家只需要一个Shadowsock，实现全家所有设备自动翻墙，智能判断是否需要翻墙，不需要翻墙的网站网速走本地网络，速度丝毫不受影响，而且Shadowsock能够自定义个人加密，截取信息方面比VPN更麻烦，通俗点就是被查水表的几率比VPN低。

shadowsocks 原理

简单理解的话，Shadowsocks是将以前通过 SSH 创建的 Socks5 协议拆开成 Server 端和 client 端，下面这个原理图能简单介绍其翻墙原理，基本上和利用SSH tunnel大致类似：

巨大爱好者-谈天说地（Chat）

1、PC客户端（即你的电脑）发出请求基于 Socks5 协议跟 SS-Local 端进行通讯，由于这个 SS-Local 一般是本机或路由器等局域网的其他机器，不经过 GFW，所以解决 GFW 通过特征分析进行干扰的问题。

2、SS-Local 和 SS-Server 两端通过多种可选的加密方法进行通讯，经过GFW的时候因为是常规的 TCP 包，没有明显特征码 GFW 也无法对通讯数据进行解密，因此通讯放行。

3、SS-Server 将收到的加密数据进行解密，还原初始请求，再发送到用户需要访问的服务网站，获取响应原路再返回 SS-04，返回途中依然使用了加密，使得流量是普通 TCP 包，并成功穿过 GFW 防火墙。

与vpn差异

vpn	shadowsocks
简单，一键翻墙	简单，一键翻墙
全局，代理浏览器、各种app、所有走网络的都经过vpn服务器	只有浏览器（可以手动设置代理其他app）
免费、收费服务商很多	免费、收费服务商很多
速度可以	速度很快，香港、新加坡几十毫秒
平台性稍差，有些做的也不错了，总体跨平台性差	支持各平台客户端，跨平台性强

而在费用方面Shadowsocks的费用比VPN便宜很多，一般也就100元/年

vpn使用过程中最痛苦的莫过于，公司使用vpn、内网某些资源无法访问，需要频繁切换vpn代理
shadowsocks凭借维护的pac文件自动识别是否是别gfw过滤域名，是的话走代理，否则不走代理，这点很方便，不需要你去关注，你只需要想着该google时就google
其他方式比如修改host，一段时间后就被和谐了，很不稳定；GoAgent也是，不稳定，需要频繁部署代理，其实某些时候你只是想要google些资料，却因如何可以用google浪费大量时间。

shadowsocks 客户端是很强大、稳定、快速的，跨平台，省去很多麻烦，但这依赖与稳定的服服务端，你可以自己购买vps ，搭建shadowsocks的服务器端，只需要vps的钱即可，shadowsocks服务端开源免费，可以自行搭建（费用就是购买VPS的钱，一劳永逸，大概也就在100元左右，不过需要一定的动手能力，这里有兴趣的自己去搜索教程，推荐采用亚马逊的VPS），也可以购买市场上许多服务商提供的服务，相比自己搭建，还得需要去关心服务器的稳定性， xirong 更推荐使用经济的代理服务商，便宜省事，当然，你也可以到网上到处搜寻免费的 shadowsocks账号，这也是可以的。

由于Shadowsock的轻量和灵活性，更适合日常的网络浏览环境，如果只是需要上一下google，收个gmail邮件，或者打开某个网站瞄一眼看看有无更新，或者上上youtube看看是否新的视频
VPN的价格的话根据提供商的服务器数量以及机房质量来决定，一般从15-25元/月，一年基本在60-90元的支出