搞了台RackNerd的pure ssd vps,于是把快到期的HostDare上的数据迁移过来,看这几年用宝塔面板的还挺多,于是新服务器上安装了宝塔国际版aapanel,并做了优化,开始迁移站点,一顿操作猛如虎,几个网站顺利迁过来了,速度也还可以,临到最后一个博客弄过来后出问题了。

WP肯定是需要加速的,不然慢如狗,方法无非就几种:

1.Nginx开启fastcgi_cache缓存加速

2.memcached扩展

3.Redis Object Cache

配合插件单选或多选,网上铺天盖地的教程,也有达人测试了据说nginx fastcgi cache速度稍稍快一点点,本人实际全部测试过,还是要根据自身的需求来选择。

本人最终选择Redis + Redis Object Cache +WP Super Cache的方式加速方式,下面是问题及解决办法。

问题描述:

memcached的配置很简单、nginx fastcgi_cache、Redis Object Cache的配置也不难,实测在bt面板下网站启用ssl后,多个wordpress站点发现串站情况,特别是Redis下配置不合理大概率会串站,简而言之,一台服务器一个wp站点,一点问题都没有,只要开启另一个wp站点,启用redis插件,马上串站,有时候访问A站点,主题变成B站点主题,访问B站点,内容显示A站点,甚至有时候会碰到403,404。继续阅读

电信同城宽带免费升级至200M有段时间了,可是我的pc和移动设备的速度一直没上去,移动设备也就算了,台式机的下载带宽也只能达到100M,于是想着能否把N1刷个openwrt,作为旁路由,在不另外购置网络设备和电视盒子的情况下,彻底改变一下网络拓扑,尝试后的效果非常显著,无论是国内还是结合smartdns+trojan的翻墙速度,都能吃满带宽,非常赞。

 

设备清单:
电信光猫1台、斐讯K1无线路由器1台、Linksys EA6200无线路由器1台、华为WS5200无线路由器1台、斐讯N1一台(刷了yyf作为电视盒在使用)、斐讯T1一台(闲置)。

开工步骤:
一、T1刷最新yyf电视盒
N1电视盒子要刷openwrt作旁路由的话,卧室的电视盒子就没有了,于是拿出T1盒子,先降级,刷最新的yyf系统–斐讯盒子T1_YYFROM夏杰语音实用版,原系统确实太臃肿。刷好后突然发现为什么我不用t1看电视的原因,因为T1电源的问题,没法认移动硬盘,那就没法看下载下来的高清电影和电视剧了,怎么办?把T1带回乡镇的家里,乡镇家里的N1拿到市区家里,开弓没有回头箭,暂时就这个方案吧。(后续有更好的办法)

二、N1刷openwrt系统
工具:双公头USB线,U盘一个用以承载固件
软件:
1.balenaEtcher(写盘工具)
2.openwrt固件(N1_Openwrt_R20.10.20_k5.4.77-flippy-49+o.img)L大编译的适配N1的最新版固件
3.N1-ADBU盘启动(傻瓜包)
步骤:
1.首先使用balenaEtcher将固件写入准备好的U盘
2.u盘插入N1的usb接口,双公usb线连接电脑和N1的两端,启动ADBU盘启动bat,按提示使N1从u盘启动,加载至不动后接上键盘敲回车进入openwrt系统。
3.修改N1的ip address,保存后reboot
root@OpenWrt:~# vi /etc/config/network

4.解放U盘,将系统写入N1内部的emmc,切换到root目录,里面有个sh文件,运行后拔掉u盘,重新插拔电源重启即可。

三、配置软硬件
1.光猫改桥接模式,打10000号,让线务员改,改完我测试了一下,发现还是路由模式,于是找线务员要了超级管理员密码,自己改了桥接模式,发现路由器拨号获取到的还是内部地址。夜间再次打10000号,告知一位女客户,为什么我改了桥接模式还是没有获取到外网地址,我讲了1分钟需求后妹子果断帮我改为外部ip了,在此感谢一下。
2.光猫关闭DHCP,关闭wifi,网线接EA6200的wan口,由EA6200(我刷了梅林系统)负责拨号,开启DHCP,wifi关闭(挤在弱电箱信号不好还扰乱无线信道)。EA6200的口子都是全千兆的,K1(客厅)接入EAlan口,K1关闭DHCP,开WIFI,卧室华为ws5200接入EA6200 Lan口,跟K1一样,仅作为wifi。PC、T1接入ws5200。(ws5200这个垃圾无线路由口子倒是全千兆的)。
改造后的网络架构:

3.配置N1的openwrt系统,网关指向EA6200,各终端网关指向N1的ip.OVER!dns也指向N1,由smartdns来完成解析。用户体验非常棒!

四、N1-OpenWrt的配置另外写一篇,包括passwall+smartdns+trojan+策略+samba挂载usb移动硬盘局域网共享等。

前言:最近有小朋友问我,是否能在同一台VPS服务器上同时运行lnmp和v2ray服务,一方面提供web服务功能,另一方面提供FQ功能,可是无论是百度还是google,貌似都没有实用的、针对新手的、在lnmp下安装配置v2ray的教程,于是本人决定做个安装测试,最终测试成功,与各位分享,有这种需求的可以参考一下!
测试环境:CentOS7_X86_64
[root@69 ~]# uname -a
Linux 69.194.11.14.16clouds.com 4.11.8-1.el7.elrepo.x86_64 #1 SMP Thu Jun 29 10:01:10 EDT 2017 x86_64 x86_64 x86_64 GNU/Linux

本机环境:已安装LNMP(1.6版本) lnmp的安装步骤(略)
[root@69 ~]# lnmp status
+-------------------------------------------+
| Manager for LNMP, Written by Licess |
+-------------------------------------------+
| https://lnmp.org |
+-------------------------------------------+
nginx (pid 1439 1438 1433) is running...
php-fpm is runing!
SUCCESS! MySQL running (2367)

下面我们正式开始安装配置:
1.建立一个vhost(虚拟站点),注意,这个站点是真实存在的。
[root@69 ~]# lnmp vhost add
+-------------------------------------------+
| Manager for LNMP, Written by Licess |
+-------------------------------------------+
| https://lnmp.org |
+-------------------------------------------+
Please enter domain(example: www.lnmp.org): demo.syshy.net

按申请的域名填写,并选择申请SSL。

2.安装v2ray
[root@69 ~]# bash <(curl -L -s https://install.direct/go.sh)
注意:不要装那种集成多项功能的一键安装脚本。不要装那种一键安装脚本。不要装那种一键安装脚本。
此脚本会自动安装以下文件:
/usr/bin/v2ray/v2ray:V2Ray 程序
/etc/v2ray/confian>控制V2Ray的运行。
如果使用Linux并开启了systemd,可以使用journalctl -u v2ray查看V2Ray退出时的日志。

3.修改v2ray服务端配置文件/etc/v2ray/config.json

{
"log": {
"loglevel": "warning",
"access": "/var/log/v2ray/access.log",
"error": "/var/log/v2ray/error.log"
},

"inbounds": [
{
"port": 38187,
"listen":"127.0.0.1",
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "改成自己的,可以用客户端随机生成",
"alterId": 95 //要和客户端对应
}
]
},
"streamSettings": {
"network": "ws",
"wsSettings": {
"path": "/v2ray"
}
}
}
],
"outbounds": [
{
"protocol": "freedom",
"settings": {}
}
]
}

4.修改Nginx配置文件(安装完毕后往该域名目录内丢入一个WP),并开始配置nginx,注意,是修改对应该站点的站点配置文件。
在/usr/local/nginx/conf/vhost下找到与域名相同的文件夹,修改conf文件的配置。
[root@69 ~]# vi /usr/local/nginx/conf/vhost/demo.syshy.net.conf
有必要的话假如301跳转,强制访问http的请求至https(这个我没有做,网上教程比较多,添加两段代码就可以)
重点需要写入v2ray的配置信息:
在server段加入以下内容

location /v2ray {
proxy_redirect off;
proxy_pass http://127.0.0.1:38187;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
}

注意:38187是我的v2ray监听端口,一定要和v2ray配置文件中的端口对应

5.客户端配置

传输协议、加密方式等参数按图设置。
最后启动客户端,测试是否正常。

 

总结及注意点:

1.不要装那种集成多项功能的一键安装脚本。
2.修改完nginx配置文件后需要重启服务
lnmp nginx restart
3.修改完v2ray配置文件后需要重启服务,另外也可以看看v2ray的端口有没有在正常监听。
我习惯于:service v2ray restart
4.我自己采用ws加密方式,如果有cdn需求,可以加一个CF(cloudfare),不过会影响速度。
5.我手动安装了BBR魔改版,起到一定加速作用,最好也是手动安装,不要用一键脚本,存在一定风险;搬瓦工的线路似乎越来越慢最近,youtube 4k 压力很大,但是1080p问题不大,个人感觉还是GCP最快。
6.我是在bandwagon快到期的主机上测试安装,一般情况下还是不建议在生产机上安装,一旦BQ,会影响业务运行。

之前写过一篇只适合国人的VPS,一年下来,打了脸!

最适合国人的VPS

回过头来再审视一下:

经过这么多年来的实际使用经验,linode已经被国人玩烂了,丢包严重,东京的也是,而且要FGQ也各方面不行,所以我已在半年前destory了服务器,但是linode官方一天到晚给我发邮件,为此我特地开了个tickets,告诉他们哥已经人工摧毁vps了,不要再邮件骚扰我了,最近又有邮件给我,说我的账号有欺诈嫌疑,真的很狗血,不知道是回还是不回。反正我是不会用了。

真正稳定的还是bandwagon吧,用了一年49.99刀的套餐,没出什么差错,之前因为跑ssr被ban了,后来把ssr卸载了,没想到昨天去检测,ip又恢复正常了。

个人感觉还是bandwagon比较good,下面是当前有的套餐,有需要的小朋友可以看看:

https://bandwagonhost.com/aff.php?aff=31828

Linode东京1机房的SSR速度实在是太慢了,之前在搬瓦工那里的VPS,系统默认带Google BBR,看youtube 4k视频无压力,准备在Linode VPS上也安装,纠结到底是用BBR还是锐速,找了些资料。

锐速

参考资料:

http://bbs.kuaibo.com/thread-315336-1-1.html

http://www.tcpedge.com/features.html

锐速是一个依赖于内核的模块,其基本原理是将丢包进行评估,将预判到可能会产生丢包的数据包再发一次。所以可能会产生我们所见到的,锐速会加速VPS流量消耗。也就是我们所说的锐速多倍发包。在ACK到来之前会重发一次甚至更多。导致的结果就是重复发送。

BBR

参考资料:

https://emiria.io/post/TCP-BBR/

https://www.nanqinlang.com/controllor-bbr.html

https://www.nanqinlang.com/controllor-bbr.html

拥塞现象是指到达通信子网中某一部分的分组数量过多,使得该部分网络来不及处理,以致引起这部分乃至整个网络性能下降的现象,严重时甚至会导致网络通信业务陷入停顿,即出现死锁现象。这种现象跟公路网中经常所见的交通拥挤一样,当节假日公路网中车辆大量增加时,各种走向的车流相互干扰,使每辆车到达目的地的时间都相对增加(即延迟增加),甚至有时在某段公路上车辆因堵塞而无法开动(即发生局部死锁)。
拥塞控制就是针对此问题的控制技术/解决方案,但也不能说是解决,控制技术只能起到尽量避免/缓解拥塞的作用。

TCP-BBR技术呢,用了一种溢水原理的思想,来预判丢包率,调配发包速率。
假设你有一支较细的U形管,下面还有一堆不可溶的填塞物,你从一边开始大量灌水,如果另一边出水正常,你就可以继续加大灌水量,达到最大带宽。如果另一边发现水时断时有,就证明下面出现了随机拥堵,这时,你就要减小灌水量,等待水位落下。这时如果采用传统继续灌水时,也就会造成水溢出(丢包现象的产生)。所以这是真正的按需发包。当然,这一切是建立在系统预估的情况下。

总结

锐速属于多倍发包类型的算法,而BBR是基于溢水模型的。BBR设计的更为科学,而且正在走向一个完美的拥塞算法的路上。锐速是一种损人利己的算法,虽然效果是可以,但是会加剧骨干网的负担。造成很多不必要的流量浪费。至于两者的加速效果,请各位自行测试,没有绝对地哪一种快。

电信手机每个月的流量套餐总是不够用,套餐内3部手机,2.5G流量,每个月超出30-50元,对于屌丝来说,压力不小。

免流量的原理大体:获取电信商家的定量免流量相关信息,通过模拟其数据,骗过运营商以为是走的定向流量,达到省流量或免流量的目的。

具体实践:

1.安装配置SS&SSR

2.通过抓包软件获取混淆信息。

使用著名的抓包工具snmp,获取信息后配置SSR客户端混淆信息,连接SSR,全部流量走代理模式。

3.测试是否免流。

结论:下载几首歌,几个有声小说,微信发送视频等,查询套餐流量使用情况,测试成功。

 

 

 

先放两张油管的4K视频播放截图,带参数。

百度搜索SS或者SSR,是获取不到需要的信息的,如同VPN一样,因为SS&SSR的翻墙特性,这一关键词被屏蔽。But….我们可以搜索其中文名,酸酸乳,一个好听又好记的名字,就能获取大量信息。

什么是VPN:

VPN的正确理解是虚拟专用隧道,在很多人心目中就是用来翻墙的工具,其实不是。vpn最主要的功能,并不是用来翻墙,只是它可以达到翻墙的目的。vpn–虚拟专用网络,它的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络和高校的网络中应用很广泛。你接入vpn,其实就是接入了一个专有网络,你的网络访问都从这个出口出去,你和vpn之间的通信是否加密,取决于你连接vpn的方式或者协议。

什么是SS&SSR

SS:作者是clowwindy,大约两年前,他自己为了翻墙写了shadowsocks,简称ss或者叫影梭,后来他觉得这个东西非常好用,速度快,而且不会被封锁,他就把源码共享在了github上,然后就火了,但是后来作者被请去喝茶,删了代码,并且保证不再参与维护更新。现在这个好像是一个国外的大兄弟在维护。

SSR:在SS作者被喝茶之后,github上出现了一个叫breakwa11(破娃)的帐号,声称ss容易被防火墙检测到,所以在混淆和协议方面做了改进,更加不容易被检测到,而且兼容ss,改进后的项目叫shadowsocks-R,简称ssr,然后ss用户和ssr用户自然分成了两个派别,互相撕逼,直到前阵子,破娃被人肉出来,无奈之下删除了ssr的代码,并且解散了所有相关群组。

ss和ssr它的原理都是一样的,就是socks5代理,。socks代理只是简单的传递数据包,而不必关心是何种协议,所以socks代理比其他应用层代理要快的多。socks5代理是把你的网络数据请求通过一条连接你和代理服务器之间的通道,由服务器转发到目的地,这个过程中你是没有通过一条专用通道的,只是数据包的发出,然后被代理服务器收到,整个过程并没有额外的处理。通俗的说,现在你有一个代理服务器在香港,比如你现在想要访问google,你的电脑发出请求,流量通过socks5连接发到你在香港的服务器上,然后再由你在香港的服务器去访问google,再把访问结果传回你的电脑,这样就实现了翻墙。

我最早的socks5应用应该是15年前运用扫描到的IP用socks5代理做跳板,爆破密码,很多场合下,同一个IP不断尝试破解一个目标时,该目标会做出防御措施,封锁该源IP,在爆破场合下,必须用socks5代理不断变更源IP来进行暴力破解,当然socks5的具体应用远不止这些。
SS&SSR的安装
我用了秋水逸冰的一键安装脚本在VPS上成功部署,简单快捷,过程略。测试速度一个字:快,两个字:很快,三个字:非常快。就算不做加速处理,其速度也比收费VPN快很多倍,如果需要做加速处理,可以安装锐速补丁或者Google的BBR,我在banwagon的vps上安装了bbr,速度并没有感觉提升多少,感觉更多的是bbr优化的更多的是TCP的丢包,也可能是因为原本就很快,再快也感觉不出来,可是有一点,youtube上观看4K,我安装BBR加速的SSR(banwagon)会略卡,而linode原生SSR确一点也不卡,这也是为什么我在最适合国人的VPS上推荐linode的主要原因之一。
重点:

SS/酸酸

加密请使用 AEAD 加密,包括以下几个:

  1. aes-128-gcm
  2. aes-192-gcm
  3. aes-256-gcm
  4. chacha20-ietf-poly1305
  5. xchacha20-ietf-poly1305
  1. 对于移动设备来说,ARM v8 以后的 CPU 使用aes-gcm的效率要高于chacha20,因此更推荐使用aes-256-gcm
  2. 混淆请使用plain,即不使用混淆插件,或者使用http_simple

SSR/酸酸乳

  1. 加密请使用none
  2. 协议请使用chain_a
  3. 混淆请使用plain或者http_simple
能用plain没问题就用plain,当在plain情况下你察觉到网络有异样*,且你了解http_simple混淆参数的用途,再酌情使用http_simple

有很多萌新同学直接拿一键脚本搭建的,脚本要求设置参数的时候也许萌新们就直接一路回车默认过去或者随便选了,殊不知这可能就正是VPS被Q的原因

混淆为什么不选tls
这是有可能导致被Q的一个首要原因,因此我也放到第一位来讲,也许细心的同学们也发现了上述推荐配置中的混淆这一行都加粗了,是的,这非常重要

前段时间我与其他人讨论的时候,就发现了一个共同点,那就是被Q的人大多数都使用了tls1.2_ticket_auth混淆;而一些混淆plain的人,即使还在使用老旧甚至过时的协议,却安然无恙

很有理由猜测 GFW 已经掌握了 tls 混淆的特征

让我更确信了我的猜测的是,后来询问我被Q相关问题的人,大多数都用的是搬瓦工后台自带酸酸乳,因为我从没有用过搬瓦工,我询问了他们后才知道,搬瓦工的酸酸乳是强制tls1.2_ticket_auth混淆,嗯,真不愧是 GFW 最佳合作伙伴(而且搬瓦工自带酸酸居然没有 AEAD 加密)

后来,推特上也有人指出

“酸酸乳的tls凭据复用已经成为安全问题 不要用了”

而且,就 tls 混淆原本的用途来说,tls 混淆只是为了突破部分地区的网络环境才有的 QoS 限制,一般情况下根本不需要使用
破娃酱也在文档里说的很明白,一切因使用混淆而产生的看似是网络加速了的效果都是因为绕过了限制,混淆实际上会减慢你的网络速度

并且,如果你并不明白http(s)协议的具体细节,没有这方面的计算机网络知识,那么也不要轻易使用http_simple之类的混淆;如果没有必要,也不要使用80和443端口;这些在 GFW 眼里很可能会成为一种明显的特征,会成为“为什么我的VPS好好的就被Q了”的直接原因

加密这块到底是怎么回事
简单的来说,我们若干年前使用的非 AEAD 加密,都存在被主动探测到的风险(这一块如果感兴趣想了解,可以自行谷歌 AEAD 加密的相关科普博文)

因此,如果是酸酸,强烈推荐使用之前提到的那5种 AEAD 加密,为了防止今后(可能的)来自 GFW 的主动探测

而酸酸乳,虽然目前并没有使用到 AEAD 加密,但是破娃酱在设计协议的时候已经考虑到了主动探测问题并且针对这块进行了设计,因此目前来说还是相对安全的,前提是你使用的是chain_a或auth_aes128_md5或auth_aes128_sha1协议

对于酸酸乳,chain_a是目前最佳的协议;chain_b虽然说更难以被识别,但是仍是一个测试版协议,并且实际使用发现丢包现象莫名十分严重,并不能用;至于酸酸乳乳那些chain_c/d/e/f,可以看看这里

之前提到的推荐配置中,酸酸乳的加密为none的原因是,auth_chain系列协议已经自带了RC4加密,针对 UDP 部分也有加密及长度混淆,因此一般情况下不需要再进行额外的加密;如果你觉得RC4加密有安全隐患,再套一层其他加密也可。

总结:结合Shadowssock客户端,PC、cellphone都可以很愉快的在互联网上翱翔,多种模式,配置灵活。

多年来尝试过了太多的VPS,做个简单的总结,简洁明了,不逼逼,也不带任何推荐链接,所以也不做诸如截图之类的详细评测。

1.ramhost:openvz中最好的,没有之一,价格小贵。

2.linode:速度快,价格适中,最重要的是稳定,尤其是东京机房,那速度逆天了,比CN2,DC的都快,反正就是一个字,快。快照要收费。

3.banwagon:价格便宜,性能出众,针对中国用户优化线路,CN2,DC。略有丢包,可以优化。快照有条件免费。

4.vultr:网上都在推得主机,我很严肃的告诉你,不要入坑,毕竟国人选择这个商家都是看中其东京机房,但是基本上大部分IP都被GFW和谐,为此我摧毁了很多次来换IP,最终停止服务。

5.其他主机:没用过,不知道。

总结:国外VPS相对来说价格都比较合理,看需求选择,首选linode,如能选到linode的东京机房的话赶紧上车,其次banwagon,尤其是部分优化线路机房。

不知道在哪年海淘购入linksys ea6200官翻版本,属于第一版应该,当时该设备在整个无线路由设备中属于中高端设备,全千兆网口等,何耐这货无线发热严重,经常假死,懒得刷机,于是只能吃灰了。

近期闲来无事,把家里的斐讯K1刷了一下,以此为契机,翻出linksys,想刷个梅林玩玩。

操作步骤主要参考http://koolshare.cn/thread-49367-1-1.html,何耐在第三步刷入梅林过渡版本后死机,成砖。状态是路由器启动后能在30秒内ping通192.168.1.1,ttl返回100,接着time out.于是马云处购入usb-ttl设备,通过串口终端接入路由器CFE模式,在CFE模式下刷入原厂固件救砖。

接线办法:

打字太麻烦,直接截取改链接本人的回复了。

继续阅读

我使用了近15年的lunarpages虚拟主机无论是在价格上,还是性能上,都是不错的。4月21日前后收到账号被suspended的ticket,原因是因为系统扫描到有可能感染或者有漏洞的所谓exploited files,可是我看过所列文件,除了我的blog之外,其他都不在对外发布站点目录内,于是我回复的很强硬,大意是你们他妈的封我账号至少来个警告再说之类的。没想到一个礼拜过去了,没人应答…..顿时慌了。操起电话,打过去,TNND,全是语音提示,说不在工作时间,what the fuck…..

翻墙上google,发现一个有趣的问题,国外用户在webhostingtalk论坛发了题为:Lunarpages Review 0/10! Keep away from this hosting.的帖子,帖子地址,列举了LP的种种劣迹,没想到有LP的管理员介入,很有意思,所以我有了再不回复我也去广而告之的想法。特地在webhostingtalk注册了一个账号以备使用,哈哈。其实我很清楚,在成为LP的用户的同时默认就是同意了LP的服务条款,这里有一条就是一旦违反服务条款,只要LP认为你的hosting有存在类似adult内容,CPU占用过高,流量超标,服务器受感染风险等原因,他们可以无条件永久暂停你的账户,不管你里面放的啥重要资料,想要拿回来,难。

所以,我这情况他们不鸟我也在情理之中,在上一次续费环节上,我连续付了3年的价格,要到2020年到期,至于数据,也就我一个blog没备份数据,就是这个blog,写了很多年,虽然之前有不完全的mysql的数据库备份,可是附件,图片等就没了,实在不行就在阿里云上架我的blog算了,可是想想还是有点不甘心。

于是又另起一个ticket,这次我学乖了,我告诉他们我已经意识到我的这个事情的重要性,并且很诚恳的告诉他们因为中国的节假日的关系而没有及时处理该问题,我现在只需要他们回复我是否我的账号被永久性的suspended,就算永久被封也没关系,另外贴上了我的付款记录等等,言语诚恳,最后的最后还夸了他们几句,LP作为一个大型的互联网服务提供商,一向注重用户体验之流,并且我只想把数据弄回来等等。

奇迹发生了,他们回复了(老外也吃这套),他们重新给我发了欢迎邮件,我的cPanel active,这意味着我可以访问文件和数据库了,于是马上进去把相关文件删除,备份数据,回复ticket,让他们再次检查,最后support表明目前他们没有发现有问题的文件,不过他们会不定期扫描host等等,最重要的一点,我的账号解封了,这也是为什么我能继续写博客。