mirror of https://github.com/wangyu-/udp2raw.git synced 2025-03-03 11:29:34 +08:00

254 lines
14 KiB
Raw Normal View History

2017-11-14 21:20:02 -08:00
# Udp2raw-tunnel
2017-11-19 12:40:53 +08:00
2017-08-16 10:20:01 -07:00
udp2raw tunnel通过raw socket给UDP包加上TCP或ICMP header进而绕过UDP屏蔽或QoS或在UDP不稳定的环境下提升稳定性。可以有效防止在使用kcptun或者finalspeed的情况下udp端口被运营商限速。
[udp2raw+kcptun step_by_step教程](kcptun_step_by_step.md)
[udp2raw+finalspeed step_by_step教程](finalspeed_step_by_step.md)
2017-08-09 05:15:03 -07:00
2018-02-22 04:02:02 +08:00
[udp2raw wiki](https://github.com/wangyu-/udp2raw-tunnel/wiki)
2017-10-30 08:41:54 -07:00
2020-08-17 16:40:28 -04:00
udp2raw不是加速器只是一个帮助你绕过UDP限制的工具。如果你需要UDP“加速器” (改善UDP丢包)请看UDPspeeder。
2017-10-30 08:41:54 -07:00
2017-08-09 05:15:03 -07:00
2017-08-16 04:42:06 -07:00
# 支持的平台
2020-08-17 16:40:28 -04:00
Linux主机有root权限或cap_net_raw capability.。可以是PC、android手机/平板、openwrt路由器、树莓派。主机上最好安装了iptables命令(apt/yum很容易安装)。
2017-08-16 04:37:39 -07:00
2017-11-19 12:40:53 +08:00
##### 对于windows和mac用户
2018-06-21 01:51:53 +08:00
2018-02-21 14:07:32 +08:00
2018-06-21 01:50:29 +08:00
<del>可以把udp2raw运行在虚拟机上(网络必须是桥接模式)。可以参考: https://github.com/wangyu-/udp2raw-tunnel/wiki/在windows-mac上运行udp2raw客户端带图形界面 </del>
2017-11-19 12:40:53 +08:00
##### 对于ios和游戏主机用户
2017-08-16 04:37:39 -07:00
2017-08-11 02:26:25 -07:00
# 功能特性
2020-08-17 16:35:17 -04:00
* 把udp流量伪装成tcp /icmp
* 模拟TCP3次握手
* 心跳保活、自动重连,连接恢复
2020-08-17 16:48:39 -04:00
* 加密, 防重放攻击
2017-08-07 13:58:42 +08:00
2017-08-06 00:43:44 -07:00
### 关键词
突破udp qos,突破udp屏蔽openvpn tcp over tcp problem,openvpn over icmp,udp to icmp tunnel,udp to tcp tunnel,udp via icmp,udp via tcp
# 简明操作说明
### 安装
### 运行
假设你有一个serverip为44.55.66.77有一个服务监听在udp 7777端口。 假设你本地的主机到44.55.66.77的UDP流量被屏蔽了或者被qos了
2018-07-20 14:42:03 +08:00
./udp2raw_amd64 -s -l0.0.0.0:4096 -r127.0.0.1:7777 -k "passwd" --raw-mode faketcp --cipher-mode xor -a
2017-08-06 00:43:44 -07:00
2017-08-16 06:23:03 -07:00
2018-07-20 14:42:03 +08:00
./udp2raw_amd64 -c -l0.0.0.0:3333 -r44.55.66.77:4096 -k "passwd" --raw-mode faketcp --cipher-mode xor -a
2017-08-06 00:43:44 -07:00
2017-12-15 02:34:56 -08:00
(以上例子需要用root账号运行。 用非root运行udp2raw需要一些额外的步骤具体方法请看 [这个](https://github.com/wangyu-/udp2raw-tunnel/wiki/run-udp2raw-as-non-root) 链接。用非root运行更安全)
2017-08-16 06:23:03 -07:00
###### Server端输出:
2017-08-16 06:23:22 -07:00
2017-08-16 06:23:03 -07:00
###### Client端输出:
2017-08-16 06:23:22 -07:00
2017-08-06 00:43:44 -07:00
2017-09-20 03:18:45 -07:00
### MTU设置(重要)
2017-09-20 03:19:27 -07:00
2017-09-20 03:18:45 -07:00
2017-08-16 04:32:09 -07:00
### 提醒
2017-11-28 23:00:00 -08:00
`--cipher-mode xor`表示仅使用简单的XOR加密这样可以节省CPU占用以免CPU成为速度瓶颈。如果你需要更强的加密可以去掉此选项使用默认的AES加密。加密相关的选项见后文的`--cipher-mode``--auth-mode`
2017-08-16 04:32:09 -07:00
2018-07-20 14:43:28 +08:00
`-a`选项会自动添加一条/几条iptables规则udp2raw必须和相应的iptables规则配合才能稳定工作一定要注意不要忘了`-a`(这是个常见错误)。 如果你不想让udp2raw自动添加iptables规则可以自己手动添加相应的iptables规则(看一下`-g`选项),然后以不带`-a`的方式运行udp2raw。
2017-09-05 23:55:49 -07:00
2017-08-06 00:43:44 -07:00
# 进阶操作说明
### 命令选项
2017-10-24 07:44:09 -07:00
git version:6e1df4b39f build date:Oct 24 2017 09:21:15
2017-08-06 00:43:44 -07:00
repository: https://github.com/wangyu-/udp2raw-tunnel
2018-06-21 01:50:29 +08:00
run as client : ./this_program -c -l local_listen_ip:local_port -r server_address:server_port [options]
run as server : ./this_program -s -l server_listen_ip:server_port -r remote_address:remote_port [options]
2017-08-06 00:43:44 -07:00
common options,these options must be same on both side:
--raw-mode <string> available values:faketcp(default),udp,icmp
2017-08-06 00:43:44 -07:00
-k,--key <string> password to gen symetric key,default:"secret key"
--cipher-mode <string> available values:aes128cbc(default),xor,none
--auth-mode <string> available values:hmac_sha1,md5(default),crc32,simple,none
2017-08-06 00:43:44 -07:00
-a,--auto-rule auto add (and delete) iptables rule
2017-08-26 06:36:35 -07:00
-g,--gen-rule generate iptables rule then exit,so that you can copy and
add it manually.overrides -a
2017-08-06 00:43:44 -07:00
--disable-anti-replay disable anti-replay,not suggested
client options:
--source-ip <ip> force source-ip for raw socket
--source-port <port> force source-port for raw socket,tcp/udp only
this option disables port changing while re-connecting
other options:
2017-08-26 06:36:35 -07:00
--conf-file <string> read options from a configuration file instead of command line.
check example.conf in repo for format
2017-10-24 07:44:09 -07:00
--fifo <string> use a fifo(named pipe) for sending commands to the running program,
check readme.md in repository for supported commands.
--log-level <number> 0:never 1:fatal 2:error 3:warn
2017-08-06 00:43:44 -07:00
4:info (default) 5:debug 6:trace
--log-position enable file name,function name,line number in log
--disable-color disable log color
--disable-bpf disable the kernel space filter,most time its not necessary
unless you suspect there is a bug
--sock-buf <number> buf size for socket,>=10 and <=10240,unit:kbyte,default:1024
2017-09-06 03:57:34 -07:00
--force-sock-buf bypass system limitation while setting sock-buf
2017-09-06 19:32:48 -05:00
--seq-mode <number> seq increase mode for faketcp:
2017-09-06 03:57:34 -07:00
0:static header,do not increase seq and ack_seq
1:increase seq for every packet,simply ack last seq
2:increase seq randomly, about every 3 packets,simply ack last seq
3:simulate an almost real seq/ack procedure(default)
4:similiar to 3,but do not consider TCP Option Window_Scale,
2017-10-24 07:44:09 -07:00
maybe useful when firewall doesnt support TCP Option
2017-08-26 06:36:35 -07:00
--lower-level <string> send packets at OSI level 2, format:'if_name#dest_mac_adress'
ie:'eth0#00:23:45:67:89:b9'.or try '--lower-level auto' to obtain
the parameter automatically,specify it manually if 'auto' failed
--gen-add generate iptables rule and add it permanently,then exit.overrides -g
--keep-rule monitor iptables and auto re-add if necessary.implys -a
--clear clear any iptables rules added by this program.overrides everything
2017-08-06 00:43:44 -07:00
-h,--help print this help message
2017-08-26 06:36:35 -07:00
2017-08-06 00:43:44 -07:00
2017-08-23 06:47:05 -07:00
2017-08-23 06:48:21 -07:00
### iptables 规则,`-a`和`-g`
2017-08-10 00:05:47 -07:00
用raw收发tcp包本质上绕过了linux内核的tcp协议栈。linux碰到raw socket发来的包会不认识如果一直收到不认识的包会回复大量RST造成不稳定或性能问题。所以强烈建议添加iptables规则屏蔽Linux内核的对指定端口的处理。用-a选项udp2raw会在启动的时候自动帮你加上Iptables规则退出的时候再自动删掉。如果长期使用可以用-g选项来生成相应的Iptables规则再自己手动添加这样规则不会在udp2raw退出时被删掉可以避免停掉udp2raw后内核向对端回复RST。
2017-08-06 00:43:44 -07:00
用raw收发udp包也类似只是内核回复的是icmp unreachable。而用raw 收发icmp内核会自动回复icmp echo。都需要相应的iptables规则。
2017-08-23 06:48:21 -07:00
### `--cipher-mode` 和 `--auth-mode`
2018-06-22 13:36:09 -05:00
2017-08-06 00:43:44 -07:00
2017-08-23 06:48:21 -07:00
### `--seq-mode`
2017-08-06 00:43:44 -07:00
facktcp模式并没有模拟tcp的全部。所以理论上有办法把faketcp和真正的tcp流量区分开来虽然大部分ISP不太可能做这种程度的包检测。seq-mode可以改变一些seq ack的行为。如果遇到了连接问题可以尝试更改。在我这边的移动线路用3种模式都没问题。
2017-08-26 07:01:51 -07:00
### `--keep-rule`
2017-10-24 07:45:29 -07:00
### `--fifo`
2017-10-24 07:56:59 -07:00
指定一个fifo(named pipe)来向运行中的程序发送命令,例如`--fifo fifo.file`
2017-08-17 23:17:16 -07:00
2017-10-24 07:56:59 -07:00
在client端,可以用`echo reconnect >fifo.file`来强制client换端口重连上层不断线.对Server目前没有效果。
2017-10-24 07:45:29 -07:00
2017-08-23 06:48:21 -07:00
### `--lower-level`
2017-08-17 23:17:16 -07:00
2017-08-17 23:18:14 -07:00
##### 格式
2017-08-18 21:37:46 -07:00
`if_name#dest_mac_adress`,例如 `eth0#00:23:45:67:89:b9``eth0`换成你的出口网卡名。`00:23:45:67:89:b9`换成网关的mac地址如果client和server在同一个局域网内可能不需要网关这时候直接用对方主机的mac地址这个属于罕见的应用场景可以忽略
2017-08-17 23:17:16 -07:00
2017-08-26 07:01:51 -07:00
可以用`--lower-level auto`自动获取参数,如果获取参数失败,再手动填写。
2017-08-17 23:18:14 -07:00
##### client端获得--lower-level参数的办法
2017-08-17 23:17:16 -07:00
在client 端,运行`traceroute <server_ip>`,记下第一跳的地址,这个就是`网关ip`。再运行`arp -s <网关ip>`可以同时查到出口网卡名和mac。
2017-08-17 23:29:26 -07:00
2017-08-28 17:30:32 -07:00
2017-08-28 17:33:28 -07:00
如果traceroute第一跳结果是`* * *`说明网关屏蔽了对traceroute的应答。需要用`ip route``route`查询网关:
2017-08-17 23:18:14 -07:00
##### server端获得--lower-level参数的办法
2017-08-17 23:17:16 -07:00
如果client有公网ip`traceroute <client_ip>`。下一步和client端的方法一样。
2017-08-17 23:31:38 -07:00
如果client没有公网ip`traceroute google.com``traceroute baidu.com`。下一步和client端的方法一样。
2017-08-17 23:17:16 -07:00
2017-08-21 08:07:06 -07:00
server端也可以用`--lower-level auto` 来尝试自动获得参数,如果无法连接再手动填写。
2017-08-17 23:18:14 -07:00
##### 注意
2017-08-17 23:17:16 -07:00
2017-08-18 21:40:03 -07:00
如果`arps -s`命令查询不到首先再试几次。如果还是查询不到那么可能是因为你用的是pppoe方式的拨号宽带查询不到是正常的。这种情况下`if_name`填pppoe产生的虚拟interface通常名字叫`pppXXXX`,从`ifconfig`命令的输出里找一下;`des_mac_adress``00:00:00:00:00:00`,例如`ppp0#00:00:00:00:00:00`
2017-08-18 21:34:37 -07:00
2017-08-23 06:47:05 -07:00
### `--conf-file`
2017-08-29 02:02:53 -07:00
为了避免将密码等私密信息暴露给`ps`命令,你也可以使用 `配置文件` 来存储参数。
2017-08-23 06:47:05 -07:00
# 你可以像这样添加注释
# 注意,只有整行注释才能在配置文件里使用
# 注释必须独占一行
-k passwd
--raw-mode faketcp
./udp2raw_amd64 --conf-file server.conf
2017-08-17 23:17:16 -07:00
2017-08-06 00:43:44 -07:00
# 性能测试
iperf3 的UDP模式有BUG所以这里用iperf3的tcp模式配合Openvpn测试udp2raw的性能。iperf3 udp issue ,https://github.com/esnet/iperf/issues/296
#### iperf3 命令:
iperf3 -c -P40
iperf3 -c -P40 -R
#### client主机
vultr 2.5美元每月套餐(single core 2.4ghz cpu,512m ram,日本东京机房),
2017-08-06 00:43:44 -07:00
#### server主机
bandwagonhost 3.99美元每年套餐(single core 2.0ghz cpu,128m ram,美国洛杉矶机房)
### 测试1
2017-08-06 00:43:44 -07:00
raw_mode: faketcp cipher_mode: xor  auth_mode: simple
测试中cpu被打满。其中有30%的cpu是被openvpn占的。 如果不用Openvpn中转实际达到100+Mb/S 应该没问题。
### 测试2
2017-08-06 00:43:44 -07:00
raw_mode: faketcp cipher_mode: aes128cbc  auth_mode: md5
2017-08-06 00:43:44 -07:00
# 应用
### 中转 kcptun
2017-08-06 08:28:11 -07:00
[udp2raw+kcptun step_by_step教程](kcptun_step_by_step.md)
2017-08-06 00:43:44 -07:00
### 中转 finalspeed
2017-08-06 08:28:11 -07:00
[udp2raw+finalspeed step_by_step教程](finalspeed_step_by_step.md)
2017-08-06 00:43:44 -07:00
2018-02-22 03:30:27 +08:00
# wiki
更多内容请看 wiki: