1. 前言
参考本文能够实现以下几点需要:
- 通过wireguard建设隧道以及给linux内核增加FULLCONE模块,实现一条NAT1的虚伪IPLC。
- 因为wireguard自身会减速所有的流量,所以通过
netch配合虚伪IPLC局域网中转折的socks5代理服务达到在pc只减速游戏的成果。 - @#¥%……&*(
本文实现的形式次要是通过打隧道的形式实现一个虚伪的iplc,也就是说,如果您齐全依照我的教程走的话,您须要具备以下的前提:
- 一台提早尚可且具备公网ip的落地vps,毕竟是用于打游戏,提早绝对比拟重要,同时FULLCONE须要公网IP反对。
- 一台直达的服务器,倡议是局域网内的一台虚拟机或者一个树莓派。我这边是本人组了一台
pve服务器,而后开了个lxc。须要留神的是,当服务开启之后,该中转折的所有流量都会走wireguard。 - 当然还有肯定的linux常识,因为本教程在一些细节方面可能讲的并不是那么全面。
本文会依据不同的需要拆开老本体以及DLC两局部,实现本体就能够实现本文所述性能,然而DLC则提供了一些非凡的性能。比方udp2raw能够帮忙wireguard规避运营商给你时不时的一个断流打击。
2. 本体
2.1 装置wireguard
本文次要介绍ubuntu的装置形式,其余linux发行版敬请请参考官网教程或者google。
您须要在落地和直达机器上都装置wireguard,落地机器作为server而直达机器作为client。
su - rootapt update# ubuntu 18.04 及以上版本apt install wireguard resolvconf -y# ubuntu 16.04 及以下版本add-apt-repository ppa:wireguard/wireguardapt updateapt install wireguard resolvconf -y# 在装置实现之后倡议重启一下# reboot2.2 配置wireguard
在落地机器顺次输出下列命令:
# 开启ipv4流量转发echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.confsysctl -p# 创立并进入WireGuard文件夹mkdir -p /etc/wireguard && chmod 0777 /etc/wireguardcd /etc/wireguardumask 077# 生成服务器和客户端密钥对wg genkey | tee server_privatekey | wg pubkey > server_publickeywg genkey | tee client_privatekey | wg pubkey > client_publickey通过ifconfig查看主网卡名称,个别会为eth0或者ens3。
生成server配置文件/etc/wireguard/wg0.conf:
# 重要!如果名字不是eth0, 以下PostUp和PostDown处外面的eth0替换成本人服务器显示的名字# ListenPort为端口号,能够本人设置想应用的数字# 以下内容一次性粘贴执行,不要分行执行echo "[Interface] PrivateKey = $(cat server_privatekey) Address = 10.0.0.1/24 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE ListenPort = 52540 DNS = 8.8.8.8 MTU = 1200[Peer] PublicKey = $(cat client_publickey) AllowedIPs = 10.0.0.2/32 " > wg0.conf生成client配置文件/etc/wireguard/client.conf:
# Endpoint是本人服务器ip和服务端配置文件中设置的端口号,本人在本地编辑好再粘贴到SSH里# 以下内容一次性粘贴执行,不要分行执行echo "[Interface] PrivateKey = $(cat client_privatekey) Address = 10.0.0.2/24 DNS = 8.8.8.8 MTU = 1200[Peer] PublicKey = $(cat server_publickey) Endpoint = 1.2.3.4:52540 AllowedIPs = 0.0.0.0/0, ::0/0 PersistentKeepalive = 25 " > client.conf此时须要将clinet.conf的内容复制到直达机器的/etc/wireguard/wg0.conf外面。
而后在两台机器上别离启动wireguard,wireguard的局部命令如下:
# 启动WireGuardwg-quick up wg0# 进行WireGuardwg-quick down wg0# 查看WireGuard运行状态wg到此时,一个虚伪的IPLC了。
能够在直达机器执行如下命令进行测试:
curl ifconfig.me> 1.2.3.4 # 留神此处显示的应该是你的落地机器ipping 10.0.0.1# 失常应该是能够ping通的2.3 开启FULLCONE NAT
尽管此时IPLC曾经买通,然而此时的NAT类型并不是NAT1,而是NAT4:Symmetric NAT。
(能够通过pystun验证,非必须步骤)
这个起因是因为
TLDR: Linux内核树上未实现真正意义上的Full Cone NAT,Linux的 SNAT/MASQUERADE(以iptables的配置为例)均是Symmetric NAT。
所以,此时咱们要从linux的内核下手,实现FULLCONE。
装置残缺的内核:
apt install linux-image-$(uname -r)装置一些依赖:(个别须要的都装好了,不通的发行版可能需要不一样 ,缺什么装什么就好了)
apt install gcc autoconf autogen libtool pkg-config libgmp3-dev -y下载一些软件的源码:
cd ~mkdir fullconecd fullconegit clone git://git.netfilter.org/libmnlgit clone git://git.netfilter.org/libnftnl.gitgit clone git://git.netfilter.org/iptables.gitgit clone https://github.com/Chion82/netfilter-full-cone-nat.git2.3.1 编译libmnl
cd ~/fullcone/libmblsh autogen.sh./configuremakemake install而后:
whereis libmnl> libmnl: /usr/local/lib/libmnl.so /usr/local/lib/libmnl.la /usr/include/libmnlldd /usr/local/lib/libmnl.so2.3.2 编译libnftnl
cd ~/fullcone/libnftnlsh autogen.sh./configuremakemake install2.3.3 编译和长期启用netfilter-full-cone-nat
cd ~/fullcone/netfilter-full-cone-natmakeinsmod xt_FULLCONENAT.ko#如果编译模块报错,请装置kernel-devel,载入模块报错Unknown symbol in module ,先modprobe nf_nat 再载入模块。2.3.4 编译和替换iptables
cp ~/fullcone/netfilter-full-cone-nat/libipt_FULLCONENAT.c ~/fullcone/iptables/extensions/ln -sfv /usr/sbin/xtables-multi /usr/bin/iptables-xml./autogen.shPKG_CONFIG_PATH=/usr/local/lib/pkgconfigexport PKG_CONFIG_PATH./configuremakemake install#先敞开iptablessystemctl stop iptables#进入相应目录,并笼罩相干文件cd /usr/local/sbincp /usr/local/sbin/iptables /sbin/ cp /usr/local/sbin/iptables-restore /sbin/cp /usr/local/sbin/iptables-save /sbin/2.3.5 测验fullcone
iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT # 没有谬误lsmod | grep xt_FULLCONENAT # 有后果2.3.6 开启主动加载
mv ~/fullcone/netfilter-full-cone-nat/xt_FULLCONENAT.ko /lib/modules/$(uname -r)/depmod新建编辑/etc/modules-load.d/fullconenat.conf:
xt_FULLCONENAT验证:
rebootlsmod | grep xt_FULLCONENATps:
此处如果没有后果,可能是内核更新了,请从新执行
cd ~/fullcone/netfilter-full-cone-natmakemv ~/fullcone/netfilter-full-cone-nat/xt_FULLCONENAT.ko /lib/modules/$(uname -r)/depmod而后重启即可
2.4 批改wireguard配置
在落地机器批改/etc/wireguard/wg0.conf:
将postup 尾部的iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE批改为iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT
将postdown尾部的iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE批改为iptables -t nat -D POSTROUTING -o eth0 -j FULLCONENAT
重启落地机器的wireguard网卡:
wg-quick down wg0wg-quick up wg0此时咱们曾经实现了一个具备NAT1的虚伪的IPLC。
2.5 减速游戏
本文用到的游戏减速软件为netch,netch反对常见的的近程代理协定,具体在其github有提供。
至于那些@#¥%……&……的■■■的■■■■,本文暂且不表,各位自由发挥。
咱们只须要将这些服务搭载在局域网的直达机器上, 而后通过PC的netch软件连贯,就能够实现nat1的游戏减速了。
惟一须要留神的一点是:搭建的这个服务须要反对残缺的udp,否则之前的所有致力都徒劳了。
当然搭建单纯的socks5服务(比方:dante-server)也是能够的,然而因为自己遇到一些奇怪的问题,所以此处也就不贴教程了。
3. DLC
3.1 pystun
pystun是一个能够检测linux服务器nat类型的工具。
要装置pystun须要借助于python的包管理工具pip。
执行上面命令装置pip:
curl https://bootstrap.pypa.io/get-pip.py -o get-pip.pypython get-pip.py通过pip装置pystun:
pip install pystun3执行pystun3应该会失去如下后果:
NAT Type: Full ConeExternal IP: your ipExternal Port: Random Port其中NAT Type对应了你的机器NAT类型。具体NAT类型的别离敬请google。在本文中想要的到最终后果为NAT1,即FULLCONE。
3.2 udp2raw
因为wireguard应用udp传输,电信常常在我玩的热气腾腾的时候给我断流,所以我须要在wireguard里面套上一层udp2raw。
具体实现步骤如下:
首先返回下载地址下载udp2raw,而后在落地机器开启server:
#记得更改udp2raw的门路以及passwordnohup path/to/udp2raw -s -l0.0.0.0:9898 -r 127.0.0.1:52540 --raw-mode faketcp -a -k password >/root/app/logs/udp2raw.log 2>&1 &而后在直达机器开启client:
# 因为后续要更改wireguard的endpoint到直达机器的udp2raw,所以要先增加转发规定ip route add 1.2.3.4 via $(ip route | awk '$1=="default" {print $3}')# 记得批改udp2raw的门路、ip和passwordnohup path/to/udp2raw -c -r 1.2.3.4:9898 -l 127.0.0.1:52540 --raw-mode faketcp -k password >/root/udp2raw.log 2>&1 &批改直达机器的wireguard设置/etc/wireguard/wg0.conf
将Endpoint批改为127.0.0.1:52540
重启wireguard
wg-quick down wg0wg-quick up wg0至此实现了将wg假装为tcp的过程,对于丢包重大的敌人,还能够应用udp2raw作者开发的udpspeeder,具体应用办法请参考其github,对于udp2raw的一些具体用法也有介绍。
鸣谢
从DNAT到netfilter内核子系统,浅谈Linux的Full Cone NAT实现
Centos 7当网关启用Fullcone nat
Installing nftables from sources on Debian
netch
udp2raw-tunnel
WireGuard 搭建和应用折腾小记