又疯了一个 ip，🧱墙太可恶了

@wpaygp 没有，3 个运营商都测了，都能油管 4k ，还是几台设备同时看。

@photon006 羡慕···用的哪家 VPS

@wpaygp 白嫖的甲骨文 amd64

楼主如果是瓦工绝版的，出的话我占个位。

我的瓦工 2 台一直很稳，就是流量不够用。

@photon006 优秀

@zxbiao “记得要屏蔽回国流量” 怎么屏蔽呢，屏蔽后国内是不是不能访问 vps 了？我机子上还有一些别的服务在跑，比如博客，屏蔽了就访问不了吧？


@hoky 不是绝版，149 刀的年付。

@photon006 话说，你套完 CDN 延迟如何？因为目前并不封 IP ，只封端口，本来 Nginx+WS+TLS 这一套下来 延迟就已经很高了，个人感觉套 CDN 不是一个高性价比的终极解决方案。我现在还是想知道有没有更优雅、更简短快速高效的方案。

@garipan

坐标成都，随手测一下，ping 我的域名，也就是本机到 cf cdn 之间耗时

移动：215ms
电信：200ms
联通：177ms

cf cdn 到东京甲骨文应该很快可以忽略不计。

另外我用 hk 小鸡自建 adguardhome ，所有 dns 通过 doh 加密查询防止运营商、gfw 偷窥，本机到 hk 小鸡的延迟只有 40-60ms ，整体体验没有收费机场快，还能接受，自用稳定性高，不像机场节点三天两头崩。

SSL 端口被封，IP 没被封，这是最近方校长的操作。通过我近一个月的观察，发现被封规律是这样的：
1 、服务器在北美；
2 、V2 或 Xray 在前端；
3 、Nginx 或 Caddy 在后端；
4 、不管是 443 ，还是 8443 ，还是更换更高位的端口，都被封；
5 、被封时间不确定。上午，下午，早上，晚上，都有；
6 、大流量，小流量，都被封，只要有连接，就容易被封；
7 、与 SSL 证书签发机构、签发方式等无关；
8 、服务端部署方式是一键脚本还是 step by step ，都容易被封；
9 、国内城市、运营商无关，都容易被封。

于是，我做了个小小的调整。目前帮国内亲友管着很多台 vps ，都做了重新配置后稳定运行将近 1 个月，说明暂时是可行的，等哪天还被封，我再上来给大家汇报。

以 xray+nginx 为例：
调整为 Nginx 在前端，监听多个 SSL 端口：443 端口和其他端口 XXXXX 。

我当时做这样的调整，也不知道有这个玄机。配了两个端口，让他们只改端口号，其他参数不变，然后新增了一个 ws 套 cdn 的。我告诉他们，当你发现直连这个不行时，切换到 cdn 这个有可能会变慢，但至少可以保证还能外出。结果，没有一个人说直连被封。

怎么改，请看我之前的 post：
https://study.congcong.us/t/892136
如果需要更详细的 conf 和 json 文件，电报上找我。

@LZSZ 只要是国内手机号注册的推，脸，就一定能查到你，还有 TG

WS 套 CDN,虽然延迟高，但是速度还行啊，一个月下来平均 2T 的流量
反正就是只要不对延迟有高要求，套 cdn 还是不错的

@zxbiao 屏蔽回国流量是怎么弄，刚玩几天，不是太熟。

@snowish 我用了 nginx 做反代，xray 是路径分流的。服务器在北美，也只是坚持了两天。现在落地机做端口转发，把流量转到 443 ，就算换端口也是客户端换一下就好了。

@July1991 #86
@roding #92

如果是用 V2RAY 系的工具搭建，
可以在 config.json 的 routing-rules 尾部加入
----------------------------------
// 屏蔽中国 IP 和私有 IP
{
"type": "field",
"ip":
[
"geoip:cn",
"geoip:private"
],
"outboundTag": "cnblock"
}
----------------------------------

在 outbounds 尾部加入

----------------------------------
// 屏蔽中国 IP 和私有 IP
{
"protocol": "blackhole",
"settings":
{
"response":
{
"type": "http"
}
},
"tag": "cnblock"
}
----------------------------------

这个屏蔽回国流量，仅在使用科学时生效，不影响其他国内直连。
至于为什么要屏蔽回国流量，是以防不小心全局出国之后，部分流量出口转内销或国内某些大厂配合防火墙搞事（说的就是某些安全软件，会扫描机器是否开了代理，然后通过代理访问特定的 IP 或域名），从而避免被防火墙怀疑是代理服务器。

我的 vir 3.99 刀的腊鸡机，用 3 年了依旧坚挺

@zxbiao #94
已知 X-UI 的默认设置是没有屏蔽回国的流量的，而且 GitHub 的源码上次更新已经是 2022.4.28 ，release 最后更新是 2021.8.25 。

3 亿浏览外网的大陆人，10 多年来每人平均被墙耗费 1 天(配置代理、延迟、断网)。
1 条人命 3 万多天，方滨兴的一个想法上万人的生命陪葬。
楼上楼下的所有人，被 GFW 谋杀的时间有少于 5 天的吗？

我 ss+ipv6 随便跑

以下是我的 nginx conf 配置：

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
ssl_protocols TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-521;
server_name www.fuckfang.ri; //修改为你的域名
index index.html index.htm;
root /www/xray_web; //修改为你的 web 路径，或者随便
error_page 400 = /400.html;

# Config for 0-RTT in TLSv1.3
ssl_early_data on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000" always;

location /fuckfang/ //修改为你的路径
{
proxy_redirect off;
proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
proxy_http_version 1.1;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
# Config for 0-RTT in TLSv1.3
proxy_set_header Early-Data $ssl_early_data;
}
}

server {
listen xxxxx ssl http2; //这段 server 完全复制上面的，仅修改 xxxxx 端口号
listen [::]:xxxxx ssl http2;
ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
ssl_protocols TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-521;
server_name www.fuckfang.ri; //修改为你的域名
index index.html index.htm;
root /www/xray_web; //修改为你的 web 路径，或者随便
error_page 400 = /400.html;

# Config for 0-RTT in TLSv1.3
ssl_early_data on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000" always;

location /fuckfang/ //修改为你的路径
{
proxy_redirect off;
proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
proxy_http_version 1.1;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
# Config for 0-RTT in TLSv1.3
proxy_set_header Early-Data $ssl_early_data;
}
}

server {
listen 80;
listen [::]:80;
server_name www.fuckfang.ri; //修改为你的域名
return 301 https://$http_host$request_uri;
}

目前 ipv6 基本没有识别，可以裸奔 ss 协议，https 也不会封端口