芝麻开门-V2Ray Websocket模式新功能-自定义HTTP Header

v2ray最新版本2.41更新了个功能,Github说明是WebSocket now supports customized HTTP header,可以自定义HTTP头部。

我的理解是可以通过自定义header参数,让反代工具比如nginx,caddy,能够将正常的网页访问流量和V2Ray Websocket流量区分开

而自定义的header,就像芝麻开门的口令,没有携带正确参数的流量,会被引导到正常的网页,而带了正确的参数,就会被nginx送入内网的V2Ray。

加了TLS后,HTTP header是隐藏在TLS加密后面,无法被某墙探测

相比以前常用的二级目录或者二级域名的方式,更加合理隐蔽,不会有Bad Request错误,也不需要跳转错误页面

当然还是有缺点:

  • 因为是新功能,目前没有客户端支持,因此只能用内核来开启这个功能
  • 必须有一个主页,不然没意义,安装配置比较麻烦

从零开始安装爱国工具指南(十一)V2Ray进阶三、WebSockets模式详解

刚看到一个评论,问443端口被博客占用,无法用V2Ray监听443端口来实现TLS怎么解决。

V2Ray的VMess协议支持三种模式,TCP,mKCP,以及WebSockets模式。V2ray的ws模式使用标准的WebSocket 来传输数据,因此可以被nginx的反代,能轻松解决这问题。

个人比较推崇这种方式,按自己理解,这样V2Ray可以彻底隐藏到内网,就算主动嗅探都只能看到一个正常的https网站,而不是什么未知协议运行在奇怪的端口,因为未知而被GFW或者运营商干扰。

由于V2Ray的ws模式采用标准的Websocket来传输数据,甚至可以使用CDN加速并隐藏VPS真实IP,我还木有测试过,如果有朋友测试了欢迎在评论区留下言

从零开始部署FanWa11梯子指南(十)V2Ray进阶二、安装Let’s Encrypt证书开启TLS并自动更新证书

V2Ray支持绑定TLS证书,完整实现TLS,而不是SSR混淆的模拟TLS1.2流量。因此V2Ray在TCP模式下监听443端口,并绑定TLS证书的话,是能通过TLS测试的。

当然也有人说翻墙服务器开TLS是提供一个强特征,反倒不利于伪装。

从一个小白的角度来看,只要网络上有数据,就一定会有特征,与其费尽心思弄一个未知协议让GFW当未知流量给QOS或者掐掉,还不如制造一个明显的特征,除了丧心病狂的白名单模式,443端口的https流量估计不太容易被GFW墙掉吧。

当然这是我的理解,至于怎么选择,大家见仁见智了。

从零开始部署FanWa11梯子指南(八)V2Ray进阶一、图形化客户端V2RayN

好久没更新翻墙方面的博客,一直想写v2ray的详细配置,但是这个系列指南定位是让0基础的人都能按着步骤安装好,结果是怎么写都感觉过于复杂。不过最近有位作者出手写了一个图形化客户端V2RayN,能够比较完美的配置的V2Ray的各项参数,让这篇文章成为了可能。

关于V2Ray的优缺点以及服务器端安装,见之前的博客
从零开始部署FanWa11梯子指南(六)Fanwa11新神器,V2Ray初探
从零开始部署FanWa11梯子指南(七)进程守护神器Supervisor