Trojan 是一个新兴的工具,主要是提供一种方式,在仅 TLS 的情况下达成网络隧道的建立。 Trojan 具有多种协议 TLS,可以避免主动/被动检测和网络运营商 QoS 限制。
1 、 Trojan 简介
Trojan 模仿了最常见的协议 HTTPS (TLS) 以欺骗网络运营商并达成规避网络运营商 QOS 限制。
Github 项目 [ 链接 ]
文档 [ 链接 ]
2 、 Trojan 使用
先到 Github 上下载对应服务器版本的 Release 应该不用多说了。
./trojan config.json.examples/trojan.service-examplecp -a ./examples/trojan.service-example /etc/systemd/system/trojan.service systemctl enable trojan systemctl start trojan
如果你需要降用户权限运行 Trojan,或者喜欢 [email protected] 的方式管理多配置文件,可以参考下方配置文件。
cat /etc/systemd/system/[email protected] [Unit] Description=trojan %i Documentation=man:trojan(1) https://trojan-gfw.github.io/trojan/config https://trojan-gfw.github.io/trojan/ After=network.target network-online.target nss-lookup.target mysql.service mariadb.service mysqld.service [Service] Type=simple StandardError=journal #User=trojan #Group=trojan AmbientCapabilities=CAP_NET_BIND_SERVICE ExecStart=/usr/bin/trojan/trojan /etc/trojan/%i.json ExecReload=/bin/kill -HUP $MAINPID Restart=on-failure RestartSec=1s [Install] WantedBy=multi-user.target
/usr/bin/trojan/trojan/etc/trojan/demoserver.json3 、 Trojan 配置
在官方的文档中其实有很详细的配置说明,参考 [ 链接 ]
对默认配置编辑就可以了,在此只提点几个重要的地方
3.1 、 Client 端 remote_addr 解析问题
默认 Trojan 首先是对域名进行地址转换为 IP,然后再直接访问这个 IP
但是如果这个域名支持 IPV6 解析,那转换后就使用 IPV6 进行访问了。
此时如果你的服务器没有监听 IPV6 端口,就会导致无法使用
3.2 、 Linux 下 Client 证书的问题
目前 Trojan Client 在 Linux 下需要手动指定 CA 路径,大多数 Linux 发行版的 CA 路径如下
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc. "/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7 "/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6 "/etc/ssl/ca-bundle.pem", // OpenSUSE "/etc/pki/tls/cacert.pem", // OpenELEC "/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139 "/system/etc/security/cacerts", // Android "/usr/local/share/certs", // FreeBSD "/etc/pki/tls/certs", // Fedora/RHEL "/etc/openssl/certs", // NetBSD
所以你如果使用的是 Linux 版,需要手动修改证书路径为
"cert": "/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem",
当发生该问题时,可以查看到关键错误日志字段如下 ( "log_level": 1 )
Client: SSL handshake failed with *.*.*.* : certificate verify failed Server: SSL handshake failed : tlsv1 alert unknown ca
3.3 、内网安全问题
默认 trojan 是可以访问服务端 127.0.0.1 相关的端口,所以建议封禁
默认 trojan 使用的用户权限也可以缩减到普通用户
(注意 4096 以下端口需要 root 权限放通)
4 、 Trojan-GO
使用 Go 实现的完整 Trojan 代理 Trojan-Go [ 链接 ]
有需求就有市场,原版 Trojan 更像是一个开发模型,很多常用的功能都不支持
所以支持这些功能的 Trojan-Go 就成为了替代品
首先下载相关文件
mkdir /opt/trojan-go cd /opt/trojan-go wget https://github.com/p4gefau1t/trojan-go/releases/download/v0.10.6/trojan-go-linux-amd64.zip unzip trojan-go-linux-amd64.zip
获得可执行文件后,我们额外还需要创建服务文件和配置文件,由于默认自带所以直接复制即可
ln -s /opt/trojan-go/trojan-go /usr/bin/trojan-go cp /opt/trojan-go/example/trojan-go.service /etc/systemd/system/ cp /opt/trojan-go/example/server.json /opt/trojan-go/config.json chmod -x /opt/trojan-go/example/server.json /opt/trojan-go/config.json ln -s /opt/trojan-go/config.json /etc/trojan-go/config.json
复制完毕后,默认的配置文件如下所示
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"remote_addr": "127.0.0.1",
"remote_port": 80,
"password": [
"your_password"
],
"ssl": {
"cert": "your_cert.crt",
"key": "your_key.key",
"sni": "your-domain-name.com"
},
"router": {
"enabled": true,
"block": [
"geoip:private"
],
"geoip": "/usr/share/trojan-go/geoip.dat",
"geosite": "/usr/share/trojan-go/geosite.dat"
}
}
修改为如下所示,注意对应字段参数含义
服务器 X.X.X.X:14430
密码 your_password1
SNI your-domain-name.com
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 14430,
"remote_addr": "127.0.0.1",
"remote_port": 80,
"log_level": 5,
"log_file": "",
"password": [
"your_password1",
"your_password2"
],
"disable_http_check": false,
"udp_timeout": 60,
"ssl": {
"verify": true,
"verify_hostname": true,
"cert": "your_cert.crt",
"key": "your_key.key",
"key_password": "",
"sni": "your-domain-name.com",
"prefer_server_cipher": false,
"reuse_session": true,
"fallback_addr": "",
"fallback_port": 80
"fingerprint": "",
},
"tcp": {
"no_delay": true,
"keep_alive": true,
"prefer_ipv4": false
},
"mux": {
"enabled": false,
"concurrency": 8,
"idle_timeout": 60
},
"router": {
"enabled": true,
"block": [
"geoip:private",
"full:localhost",
"geosite:category-ads-all"
],
"default_policy": "proxy",
"domain_strategy": "as_is",
"geoip": "/opt/trojan-go/geoip.dat",
"geosite": "/opt/trojan-go/geosite.dat"
}
}
sock5 127.0.0.1:1080{
"run_type": "client",
"local_addr": "127.0.0.1",
"local_port": 1080,
"remote_addr": "111.222.111.222",
"remote_port": 14330,
"log_level": 5,
"log_file": "",
"password": [
"your_password1"
],
"disable_http_check": false,
"udp_timeout": 60,
"ssl": {
"verify": true,
"verify_hostname": true,
"cert": "/etc/ssl/certs/ca-certificates.crt",
"sni": "your-domain-name.com",
"prefer_server_cipher": false,
"reuse_session": true,
"fingerprint": "chrome"
},
"tcp": {
"no_delay": true,
"keep_alive": true,
"prefer_ipv4": false
},
"router": {
"enabled": true,
"bypass": [
"geoip:private",
"full:localhost"
],
"block": [
"geosite:category-ads-all"
],
"default_policy": "proxy",
"domain_strategy": "as_is",
"geoip": "/opt/trojan-go/geoip.dat",
"geosite": "/opt/trojan-go/geosite.dat"
}
}
在客户端中,注意额外放行 本地 DNS 的地址,本例放在了 bypass 中,阻断 DNS 会导致连接失败。
5 、备注
无