VPN？

众所周知，GFW的存在，让我们不得不尝试使用手头能用的工具来绕过这个玩意。

如果你刚开始接触这一个技术，『VPN』想必就是听说得很多的单词。正如大家都叫『铅笔』而不是『石墨笔』一样，『VPN』也成为了所有科学上网工具的合称。一般人要问问有没有梯子，都会问『你有什么好用的VPN吗？』

但是本文提到的的VPN就正好与之相反，单指传统意义上的的VPN（包括但不限于PPTP，L2TP/IPSec，IKEv2/IPSec，SSTP，OpenVPN，WireGuard等技术）

2023年的今天，从一般来看，这些协议都基本上可以被精确识别，即使亲自在国外VPS上搭建了这些VPN，要么就连上之后很快断线（OpenVPN-UDP等），要么就是根本连不上（PPTP等）。常见的一些屏蔽措施有：

• 阻断GRE和TCP-1723出境，PPTP就挂了
• 阻断IP-50，UDP-500和UDP-4500出境，基于IPSec的（L2TP/IPSec，IKEv2/IPSec）就挂了
• DPI检查一下证书交换，OpenVPN挂了
• .......

虽然在这个列表里，WireGuard是一个比较特殊的存在，因为他相对较新，且理论上他的PresharedKey是通过额外的对称加密层实现的（想到了吗？对，SS就是类似的原理）有一定的混淆作用。但是如果你直接裸奔的话，简简单单一个Wireshark就可以判断出来这个是WireGuard流量，秒切：

图源：blog.salrashid.dev

VPN『御三家』

如果你去咕噜咕噜搜索国外大厂的VPN，搜索出来一堆VPN评测网站，仔细看看的话，大概率可以找到以下几个VPN：

• ExpressVPN
• NordVPN
• SurfShark

为了简洁起见，笔者直接把他们叫做御三家VPN了。有时候这个列表可以扩充到『御九家』，也就是在此基础上加上：

• PureVPN
• PIA VPN
• StrongVPN
• PrivateVPN
• VyprVPN
• IvacyVPN

基本上这些VPN都会出现在各个大推荐网站的首位，总有那么几个被标榜为『年度最佳VPN』『隐私保护最佳VPN』，当然还有一个最重要的是，都会多多少少标上『中国翻墙最佳VPN』『中国可用吗？』之类的标签

而对于怎么实现这一点的，各家的口径出奇地统一：

我们使用了xx混淆技术，让VPN和正常上网流量没区别，可以绕过防火墙的检测.....
我们拥有xx模式，可以让您随时随地连上VPN服务器....

具体来说，我所了解到的，各家的写出来的，列举几个：

• ExpressVPN：自研的Lightway协议，宣称的是自带混淆
• SurfShark：有一个Noborder模式，内部实现未知
• NordVPN：提供了混淆（obfuscated）服务器，内部实现未知
• PIA VPN：官方提供了Shadowsocks服务器，也可以自己添加Socks服务器作为前置代理
• IvacyVPN：自研的Ivacy Prime，内部实现未知
• VyprVPN：自研的Chameleon VPN，内部实现未知

顺带一提的是，有一些VPN的混淆名字很高级，实际有人调查过，是OpenVPN(TCP) + Stunnel的实现。能用肯定是能用的，但是效率多少有点惨不忍睹

『混淆流量，让他看起来和正常流量没有什么区别』是网上评论认为这些VPN『可以』翻墙的理由之一。诚然，对于GFW而言，混淆，是绝对有效果的，但是不一定保证是正向效果还是反向效果。比如以上OpenVPN+Stunnel的组合，理论上TLS之下众生平等，管你里面跑的是HTTP还是OpenVPN还是直接TCP传输裸文本，防火墙都看不出来。（此处暂不讨论GFW可能有的TLS in TLS检测方式）

但是啊，但是，凡事都有但是。如果GFW这么好骗过，那还叫功夫王么？

知己知彼，百战不殆

回顾一下GFW对出境流量的阻断方式，大致可以有：

• DNS污染：用抢答/劫持的方式，让用户获取不到域名所对应的正确的IP
• 端口阻断：阻断发往指定端口的流量
• 协议阻断：比如阻断TCP包，但是不阻断ICMP，让你可以ping通，但就是连不上
• IP阻断：直接阻断某个IP
• IP空路由：对于咕噜咕噜等大批量买IP的公司，直接把整段都空路由，基本上是在出省之前做的

而检测方式则可以有：

• 端口匹配：比如上文提到的500/4500（IPSec）等端口，检测到就断开
• 流量明文匹配：比如HTTP、Socks代理，检测到你访问某些网站就断开
• 基于DPI的协议检测：比如检测出来这是OpenVPN的握手包，给你阻断
• 大流量检测：某个IP长时间有大流量或者长连接（SSH Tunnel就是这样的例子），也有可能给你阻断

基本上八九不离十就是这些。要注意的是，阻断不等于立刻完全封禁某个IP，依照目前几年的情况来看，极有可能是间歇性的丢包，TCP RST，端口阻断，最后才是IP封禁

然后，发现问题在哪里了嘛？

各大VPN厂商宣传的混淆功能，对于前三个检测方式都有很好的规避效果，比如我443端口跑SSL/TLS流量，理论上来说确实可以规避前两点，然后再混淆一下，就可以规避第三点

一切都很美好....吗？

『世界之外的力量』

一切混淆，一切加密，都其实有一个大前提：GFW允许你连上这个服务器。既然连都连不上，你加密再高级，混淆再完美，又有什么用呢？GFW可不会因此而网开一面。

这一点，反而是众多VPN厂商都忽略了的：一旦某个IP被封禁，那么无论你用什么顶尖的混淆方法，都是徒劳无功的。

一个很明显的例子是：现在混淆都在强调『模仿成HTTPS流量』，那我们直接一步到位，直接传输HTTPS流量。现在你在浏览器里面输入google.com，标准HTTPS哦，很高级的混淆哦，但是你能打开咕噜咕噜吗？

不能，因为IP已经被封了，SNI也被阻断了

不仅如此....

我手头保留了一份SurfShark的订阅，感觉来说明这个情况是再清晰不过了。

注意，此处不是吃aff，我也没有啥佣金可收的

在用这家之前，我曾经买过大名鼎鼎的ExpressVPN和PureVPN，也就是分别用Lightway和WireGuard，不是连不上，就是连上了会断流（显示为已连接，但实际上没有任何数据传输），最后无一例外都是退款了事

SurfShark这份订阅的保留，除了我可以装在落地VPS上做地区切换（比如香港切日本）之外，还有一个原因是：他的『NoBorder』模式很有趣，值得深入研究

当然，深入研究这玩意之前，我们先来看另一个东西：

在SurfShark的后台界面，可以找到『手动配置』的配置文件下载地方：

这是他提供WireGuard配置下载的地方，注意，他给出了一个域名hk-hkg.prod.surfshark.com，如果用ping软件检查这个域名，你会发现：

恭喜你，这个域名已经被DNS污染了，国内机器根本拿不到实际的VPN服务器地址。既然找不到目标服务器，何谈连接，又何谈高级混淆呢？

『诶，』我听见你在问了，『上面不是有IP地址可以选择吗？这样就没办法被DNS污染了吧』

好，试试把这个官方给出的IP地址去ping这看：

很显然，因为这个IP已经被封禁了，什么数据都传不过去，那么又回到了上面的问题：混淆加密再高级也没个屁用

小结论之一

由于IP封禁的存在，这些VPN即使把混淆堆上天了也无法连接。

不可否认的是，混淆在一定程度上可以降低GFW对此服务器的怀疑，但是很多VPN又有另一个习惯：在同一台服务器上配置多种VPN的服务，比如一台机器既有OpenVPN又有WireGuard服务器，还可以有混淆服务器

这样做的话，怎么说呢，上帝给你关上了一扇门，顺手又开了三扇窗！

手动配置...

很多厂商在知识库里还提到过另一点：如果我们的VPN在中国连不上，或者是你iOS系统上没有下载到这个客户端，不妨尝试手动连接，云云。

但是手动配置有个额外的问题：一般用于手动连接的都是『正经客户端』，比如OpenVPN的官方客户端，WireGuard的官方客户端，又或者是在终端设备的系统设置里手动加入IKEv2配置然后连接。显然，这些客户端不具备混淆功能，因此运气不好被墙了，该连不上的还是连不上；运气好碰到个没有被墙的IP，该断流还是要断流

不过需要注意的是，GFW在不同地方的封锁力度似乎并不一样，有些评测博客说在他那里用中国电信4G卡可以连上IKEv2协议，但是我从来没有成功过。也有人说WireGuard完全被阻断了，但是我这还是可以勉强用一下的，因此具体情况我也没办法一概而论，但是大趋势可以说是会阻断的。

NoBorder，以及其他

SurfShark的NoBorder模式可以在使用WireGuard模式和指定的（短很多）的服务器列表里连上，这就很自然的引出来『这玩意是怎么实现的』这个问题。具体实现的闭源的，所以除了他们的开发人员之外并不知道内部细节。不过我观察了一下软件各个现象，大致从侧面推断出来可能有这些手段：

• 镜像域名（已知有：shark-china.com，uymgg1.com）以绕过主域名的DNS污染
• 特定的服务器列表（不会在首页的手配配置列表中出现，且只解析到这些域名）
• 经常更换这些服务器的IP，以绕过封锁
• 利用WireGuard的PresharedKey来实现一定的混淆效果
• 老久之前SurfShark自带Shadowsocks节点，现在虽然官方声明放弃使用，但是....有可能作为Noborder的一部分而继续存在？

再次注明，这些都是我个人的猜测，除了实际写出来的两个镜像域名之外，其他的信息可能有也可能没有，但是都会是实际有效的方式

打一枪换一个地方

ExpressVPN经久不衰，根据网上有人猜测，除了可能有点『红』之外，还有可能是他拥有的IP太多了，在划分出来的几个『适合CN用户』的服务器地点上轮换，今天换一批明天换一批，就赶在GFW封锁之前换掉，总会有那么几个IP可以撑一段时间的。SurfShark不确定是不是这样，但估计也会有类似的方法，不然也是撑不住的。

这就引出来很重要的一点：不是所有的VPN厂商都有类似的IP数量的，有的可能也就几百个，还是连号的，一封一个段就没了，显然此时不管你混淆技术再高级都是浮云了，毕竟还是那句话，连不上屁用没有！

一点『瞎想』

御九家之所以叫御九家，一个很重要的因素是，不管是什么评测网站，超过99%的可能，都会提到这几个VPN

形形色色的评测网站里找出来的各种推荐

这些链接几乎都有AFF（返利代码），也就是说推广这个的人是可以拿到分成的，要么是增加VPN使用时长，要么是直接现金返利。俗话说的好，无利不起早，这些评测网站是否有意而为之，那就难说了。虽然说这些VPN确实安全，确实可以保护隐私，但是在翻墙这个场合下，只要你翻不出去，那就是屁用没有。

夏天的时候，冰箱里不能放西瓜，因为会损失西瓜里的维生素
—— 你他妈夏天吃冰西瓜是为了维生素是吧

结论

如果你是需要重度科学上网的人，听我一句劝，要么别买，要么挑IP数量够多的买，要么和我下一篇文章一样套着用，毕竟鱼和熊掌不可兼得

我不会推荐任何一个VPN，因为我没有（也不会）收返利，也不看好这个方式来扶墙

至于是需要使劲换IP的力大飞砖，还是买机场或者用别的代理协议来暗渡陈仓，那就是你的选择了

（全文完）