finn的博客

如何低价地在VPS上搭建科学上网?

2025/12/27
3
0

注意:以下仅供学习使用,严禁用于任何的违法行为!!!

一、概述

对于个人VPS搭建要理解的网络知识:网络模型网络传输过程

网络请求路径:

主要是进行的步骤:

  1. 选取适合的VPS服务器

  2. 选取适合的协议和策略

  3. 解决IP污染

目的:

  • 搭建个人VPS能够进行科学上网

  • 可以正常解锁流媒体

二、理论计划

2.1 选取适配VPS:

基于经济、VPS的性能以及网络条件选取:

首推Rocknerd家的VPS,性价比极高:

参考配置

  • 年付10.6美金:

  • 年付18.6美金:

优势分析

  • 流量分别为1T以及1.5T(为实际的一般,因为上下行流量要抵消)

  • 年付价格分为70,130左右,相对于其他极其低廉且实惠

  • 相对比较稳定,老品牌值得信任

劣势分析

  • IP污染度较高,存在不能直连大陆网络的缺陷

  • 美国服务器相距国内较远,因此延迟较高

其余推荐

六六云:新用户首月5.5元香港服务器

优势分析:

  • 免备案的基础上延迟很好

  • IP质量相对较高

缺陷分析:

  • 只有首月是5.5元

2.2 协议的选择

协议名称

所属 OSI 层级

核心角色

VMess

应用层 (L7)

协议内容定义:规定了身份验证、指令格式、数据包如何封装。

WebSocket (WS)

应用层 (L7)

传输隧道:提供全双工通信能力,将 HTTP 协议升级为持久连接。

TLS

传输层与应用层之间 (L6)

加密安全锁:负责身份验证(证书)和数据流加密。

三个位置可以分别更替为别的协议:

位置

职能

可替换方案

替换后的技术影响(面试重点)

最内层:核心协议

身份校验与指令

VLESS、Trojan、Shadowsocks

VMess 握手重,VLESS 性能最强(无状态),Trojan 伪装性最强。

中间层:传输载体

数据包装与伪装

gRPC、HTTP/2、QUIC (Hysteria)

WS 兼容性好但延迟高;gRPC 在高并发微服务场景下表现更好;QUIC 在丢包严重的弱网环境(如移动端抢单)吊打 TCP。

最外层:安全保障

加密与混淆

Reality、Plain (不加密)

TLS 是标准,但 Reality 能实现“零指纹”,让你的服务器完全伪装成一个正常的第三方网站(如微软官网)。

另一种是Hysteria2=,其三个位置是不能随意更换的,三层是耦合度较高的:

位置

Hy2 的具体实现

为什么?

最内层:核心协议

Hysteria2 Auth/Cmd

这是 Hy2 的灵魂,定义了它如何验证你的密码、如何给流量分类。

中间层:传输载体

QUIC (UDP-based)

核心差异: Hy2 深度依赖 QUIC 协议。你不能把它换成 WebSocket,换了它就不叫 Hysteria 了。

最外层:安全保障

TLS 1.3 (内置)

QUIC 协议在标准设计上就强制包含了 TLS。它不像 TCP 那样可以“裸奔”,它是天生加密的。

由于博主技术有限,先以着开源的脚本直接搭建,所以自定义度会较弱

待补充:Vless+Visson+Reality

本例会使用到

  • VMess+WebSocket+TLS

  • Hy2+QUIC+TLS

2.3 IP污染解决方案

2.3.1 Cloudflare Wrap 代理(纯白嫖方案)

原理:和Cloudflare网络之间建立WireGuard建立隧道将数据加密为UDP进行网络传输,网络服务商会假性地识别主机为Wrap提供的IP,而不是本身的IP

2.3.2 DNS劫持(价格较贵):

通过建立的特殊的DNS,在访问特定的网络服务(比如奈飞),将使用干净的IP绑定后传输过去

2.4 大陆无法直连服务器解决

购买域名,通过Cloudflare进行域名管理,然后添加域名解析,解析到你的服务器,也就是说你访问域名,就是访问到Cloudflare,然后Cloudflare再访问你的服务器

优势:如果你直接访问外国服务器是不如通过Cloudflare自己的网络体系访问地更快,所以不仅能解决无法直连的问题,还可以有效地降低延迟等网络

三、实践部署

3.1 目标

以Rocknerd 10.88美金方案的VPS为例,搭建一个多协议的科学上网VPS。

3.2 准备工作

  1. 购买域名:

    1. 主要用于提供解析的位置,比如这里伪装访问这个域名,GFW觉得访问正常直接通过;

    2. 购买网址:spaceship,别的域名管理服务商也可以,比如阿里云等,可以选购xyz为后缀,前缀为纯数字价格较低

  2. cloudflare进行DNS解析

  3. 购买对应的VPS服务器,黑五优惠链接

  4. 下载免费的xshell远程SSH工具

  5. 下载免费的V2rayN代理工具

3.3 实现过程

  1. 通过xshell连接到远程服务器

  2. 配置cloudflare(先不要开启小云朵!!!)

  1. 执行mack-a 的开源脚本

wget -P /root -N --no-check-certificate "https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh" && chmod 700 /root/install.sh && /root/install.sh

  1. 选择 1.任意组合安装--》2.sing-box --》3.选择Vmess+wsh和VLESS+WS --》4.填写你配置好的!!!子域名!!!--》5.一直默认到如下图所示

  2. 当这个页面出现的时候,只需要配置其端口即可,别的仍然默认,配置下方注意中的端口

  1. 返回Cloudflare开启小云朵

  1. 粘贴完整生成的链接到V2ray

  1. 通过cloudflare公开的wrap服务实现奈飞等解锁:

  1. 执行开源脚本 2. 选择 4.打开 WARP (warp o) 3. 执行ip a 命令后发现多了一个wrap

# 安装 Cloudflare Warp wget -N https://gitlab.com/fscarmen/warp/-/raw/main/menu.sh && bash menu.sh

  1. (可选)由于通过选择4,创建的是全局代理可能导致网速以及延迟等变高,可以自行通过AI咨询在该代理安装的脚本下本地路由之类如何修改可以让我的wrap产生分流,在一般情况下不需要

注意:

  • 如果xshell连接时,报出Socket error Event: 32 Error: 10053. ,说明就是无法直连,那么在xshell的会话属性中,点击代理,填写本地已经连接的代理

  • 如果开启了步骤2中的小云朵,cloudflare会根据开放的端口去匹配,免费计划端口详情

    • HTTPS 端口: 443, 2053, 2083, 2087, 2096, 8443

    • 开不开启小云朵对比:由表知推荐开启

      特性

      开启小云朵 (Proxied 橙色)

      不开启 (DNS Only 灰色)

      工作模式

      反向代理模式。用户访问域名时,解析出的是 Cloudflare 的节点 IP。

      纯 DNS 解析模式。用户访问域名时,直接解析出你服务器的真实 IP。

      安全性

      隐藏真实 IP,防御 DDoS 攻击,可以使用 WAF 防火墙规则。

      真实 IP 暴露,容易被直接攻击,Cloudflare 无法提供防护。

      加速效果

      提供 CDN 缓存、图片优化、Brotli 压缩等加速功能。

      没有 CDN 加速,访问速度取决于用户与你服务器的连接质量。

      SSL/TLS

      支持 Cloudflare 提供的 SSL 证书,可实现 HTTPS 访问。

      需要你自己并在服务器上配置证书。

      端口限制

      有严格限制。只能使用特定的 HTTP/HTTPS 端口。

      无限制。可以使用任何非标准端口(如 SSH 的 22,或自定义端口)。

  • 对于连接不上网的问题:

    • 这时候往往你能登录微信等,但是发现浏览器无法使用,有可能是开启了本地代理,是基于电脑本身的,这个状态的修改就是V2rayN中的自动配置导致,大部分时间当你设置为清楚的时候,会自动修改,不过有时候不会,这时候你要在本地网络设置找到代理,看一看情况

  • 对于谷歌、奈飞等登录不上的问题:

    • 这往往是IP问题,比如提示something wrong

四、其余一些资料

1.流媒体测试脚本:
bash <(curl -L -s check.unlock.media)

!!!搭建好的VPS测真实情况!!!

再次声明: 严禁用于任何违法行为!!!以上内容仅供学习参考

感谢作者所有参考到的资料、使用到的开源脚本、wrap的免费服务,如果有问题欢迎发邮件到作者邮箱咨询或有不足之处也欢迎大家指出问题,谢谢大家!!!