#koolshare

简介

本項目在二零一七年六月十二日確立於台北，是「社會主義核心價值觀」基金會全權投資的項目，也是該基金贊助的第一個項目。

該項目由來已久，摸索過程歷經坎坷。從二十世紀一十年代開始的「無界」、Google App Engine 代理，到後生Shadowsocks；從閉源軟體，到後來的開元大流；從原本的一家獨大到現在雨後春筍般地快速生長。對我來說，就是從「要不要翻牆」到「需要翻牆」和「噢！該怎麼辦好」的過程。

該項目在硬件選用路由器方案之前，曾進行憑藉樹莓派運行透明代理的痛苦摸索；在軟件服務選擇使用租賃—自架並行之前，曾進行過自己搭建高可用跳牆網絡的摸索。

這些探索沒有浪費時間——相反，它們一方面為我指名了另一條正確的方向，另一方面也加深了我對該行為的理解，促使我學習、明白我犯錯的原因。

本文将介绍我购买NETGEAR R7000 路由器的由來，并简单描述购买、开箱和沒有痛苦地翻越中国國家防火墙（代理中国内地地区不可访问之服务）之过程。

缘起

在台湾作为交换学生的经历让我深感资讯渠道自由的重要性；其次，考虑到云服务的功能、可用性、国际化水平和成本方面的因素，我不得不尽量放弃一些境内的服务（例如百度网盘——它的iPad 客户端甚至不能容许在第三方软件中打开压缩包）。加上Resilio Sync 软件（一款基于BitTorrent 协定的文件分发软件）在境内大势已去，我最终决定只保留国内的腾讯微云、微软搭配OneDrive 服务的OneNote以及谷歌的GSuite。

台湾地区的网速通常很快（例如，我的大学图书馆提供了1000Mbps 的免费网络接入；我的宿舍提供了100Mbps 的互联网接入，且不需要PPPoE 等过程） ，并且没有设定针对境外Google、Facebook 等服务进行阻断的国家防火墙。而当回到境内，困扰着我的两个问题主要有两个：一是网速，二是封锁。在南京航空航天大学将军路校区，互联网接入的最大带宽为20Mbps（它们由中国电信、中国联通提供），而PPPoE 拨号的校园网和校办无线局域网「nuaa.portal」仅有5Mbps 左右的带宽；更加匪夷所思的，是我的ISP，中国电信关于不允许使用者保持在线的“出于安全考虑的”规定——你会被定时踢下线；若要获取在未来六小时内有效的PPPoE 拨号密码，必须进入一个由第三方公司提供的、充满广告与不一定对所有人来说都有意义的信息流的社交软件「掌上大学」来取得。除此之外，SIM卡还与该社交软件账号相互捆绑，不匹配或是未插卡则不可获得PPPoE 拨号密码。其次，关于当局对境外服务的一些封锁——在此不再赘述（你可以参考端媒体的报道）。

关于网速，须待到大多数人了解到「噢，我校网速很慢」或「天呐，中国电信不能这么将用户『引流』到一个关系不清的公司；我有权利不看那些广告，它负有保留我通过短信获得密码的义务」诸如此类的问题后才会有进展。本文所述的NETGEAR R7000，主要应解决封锁问题而生。

选择与采购

满足性能条件的，有华硕公司的AC68U、AC56U 和NETGEAR 公司的R7000、R6800、R6900、R8000 等一行设备；它们都受华硕merlin 系列固件的支持，而国内的koolshare.cn 还为它们发布了针对中国用户的开源固件。

我需要一台便于安置翻墙服务的路由器，最大的原因是并非设备都可以配置本地的代理服务；此外，若是将代理服务配置到每一台设备上，那么跨平台的维护将带来长期的、巨大的工作量。

所以，这样的路由器至少需要满足以下一点：

拥有足够应付带宽数据量的加、解密过程的处理器

这将一大群使用联发科技的MT7620 处理器的路由器、Netgear WNDR4300等路由器筛选去了。

此外，在减少我工作量的方面，我希望满足这一点：

拥有丰富的社区、讨论组资源

而进一步考虑经济因素、使用环境方面，我希望能够满足以下几点：

在估计能够正常工作至少四年的情况下，该项目投资不超过八百元人民币；

支持5GHz 频段与现行的IEEE 802.11ac 协定；

支持至少二十台无线设备在线；

支持1000Mbps 的有线连接；

以直流方式供电。

满足性能条件的，有华硕公司的AC68U、AC56U 和NETGEAR 公司的R7000、R6800、R6900、R8000 等一行设备；它们都受华硕merlin 系列固件的支持，而国内的koolshare.cn 还为它们发布了针对中国用户的开源固件。

我发现：相比其他的型号，人们对AC68U、R7000这两款路由器的翻墙功能实现的讨论比较激烈；而在这两款之中，人们对后者的讨论更多一些。 我没有考虑向后兼容802.11ac wave 2，因为在一方面，我只有20Mbps 的互联网接入使得它的无线带宽在工作期限（四年内）都不会成为瓶颈；另一方面，我手头上没有支持wave 2的设备。

于是我选择了NETGEAR R7000，并且在六月中旬在京东上以六百六十六元人民币购得。从台北飞回家之后，我便得到了这个大家伙。

开箱与配置调试

开箱过程千篇一律；请您参考“什么值得买”的公开内容。

而剩余的关键部分——从一个全新路由器到配置成带有透明代理的路由器，主要经过以下几步：

将路由器自带的NETGEAR 固件刷入为koolshare.cn 提供的Merlin 固件。

R6900、R7000 刷改版梅林，超详细，每步有图，来自 <http://koolshare.cn/thread-49247-1-1.html>2. 为Koolshare 版Merlin 固件安装Shadowsocks 插件

配置Shadowsocks Merlin 插件。

其中，第二步的操作方式随着国内形势的变化发生了演变，下文中，我将介绍目前的做法。

第一步，请按照网页所述分别刷入过渡版固件、正式固件即可。

关于第二步：原本在Koolshare 版固件内嵌的「应用中心」中可以直接下载的的「shadowsocks merlin」插件遭下架，且「就此封版，以后不再更新」。

现在你需要到这个网站下载他们编译好的软件包，并在「应用中心」中自己上传安装。

需要注意的是，本人在二零一七年十一月二十日的观察到——该插件的升级记录中“就此封板”之记录已经被删除，且插件程序已经开始了不断的更新。这是个好消息。

最后一步——配置shadowsocks merlin 插件，我将介绍我自己的的配置情况。

我的代理服务基于Shadowsocks、ShadowsocksR(evolution) 两个协定。这两个协议都是基于SOCKS5 和来自业界的众多加密协议和来自Tor Project（The Onion Router Project，洋葱路由器项目）的混淆协议以实现通过PSK（Pre-shared Key，预分享密钥）保护的流量传输。

所谓SOCKS5，是Socket Secure （套接字安全协定）的第五个版本，最早在RFC 1928 中被定义。在功能上，它被设计为可以转发TCP 和UDP 协议的流量，并工作在OSI 的Session Layer。

来自业界的众多加密协议的使用，是为了让经过ISP（Internet Service Provider，网络服务提供商）的流量失去原本用于触发封锁的特征，来绕过例如「请求头」中的特定域名、特定关键词的黑名单。

混淆协议的使用，是为了让代理过程的「不健康流量」看起来具有某种「健康流量」的特征，例如指向一个看起来正常的目的地或看起来像某些协议，以通过某些ISP 针对特定协议的白名单。

PSK，预分享密钥，就是在发送、接收两方间预先约定的一个密码。加、解密的过程都依照这个密码进行。我们常见的无线局域网使用的就是预分享密钥。

我的服务主要由一个匿名服务商，「*」提供。此外，我还有一个自己租用的服务器。服务商提供了超过二十个世界各地的服务。

因此我使用的shadowsocks merlin 插件的特性是「配置导入」和「均衡负载（看起来它内置了harproxy）」。其中，前一个可来协调我的服务器组：它可以直接导入json 编码的服务器配置文件，这减少了我的工作量；后一个可以减少维护的成本，实时监控的特性又同时提高了工作的可靠性。

到目前为止，这个系统运行正常。针对大部分的的设备，我都使用了「白名单模式」。这个模式意味着「除了指向国内的访问之外，其余的一切流量都将会被代理」。对于使用BitTorrent 协定下载的设备，我会将其「排除」；或在这台设备上另外配置运行一个位于设备端的试用我自己服务器的全局代理。而像Chromecast、Amazon Echo dot 这样的设备，则会被我配置为「全局模式」。

硬件本体的调试至此已经结束。我必须向koolshare、Votex、chuwimmy 等，支持开源精神与自由思想的软件开发表达感谢。虽然系统由我配置，但其中的系统架构、运行核心和程序代码由他们提出、编写、测试和开源；他们在赛博空间为人们重新建立起了信任和信念——你不必通过建立崇拜对某个「高位者」来获得程序二进制，你不必担心程序中夹带后门；你可以不用顾忌，只顾着去通过建立这个通道自由地获得信息。谢谢你们！

接下来的「附加部件」部分，我将会介绍我对选择代理服务器的看法，并介绍我针对宿舍夜间断电现象配置的NETGEAR R7000 不间断电源。

附加部件

你该如何选择代理服务

选择代理服务器时，挑选好的线路尤为重要。这其中的主要原因，是内地通往外部网络的通道（往往是海底光缆）带宽相比人口规模，实在太小了——中国拥有数亿网民，而通往海外的光缆总带宽不过比台湾本岛多不到一倍（与此同时，台湾的人口总数和上海市的人口总数相当）。除非你的服务器所处网络位置与内地沟通的路径的跃点尽可能少、不绕路并避开拥堵，否则网络体验将会很差——极小的带宽、可观的丢包几率和难以忍受的网络延迟。

因为我自己的维护精力有限，所以我决定租用第三方维护的代理服务器——花费金钱来节约时间并提供更多服务器「节点」的选择。至于「*」——是我试验过的、感觉还不错的一家服务商。

不间断电源——12V3.5A

目前该组件仍未实现。

需要注意的是，NETGEAR R7000 的正常待机工作功率约为8W。

解決一些疑难杂症

Q：路由器的代理插件弄壞了怎么办呢？

A：由于这个插件的所有操作（提交配置等）都通过页面的Javascript 进行；当Javascript 代码运行的方式不符合预期时，插件工作将会出现异常。你需要按照如下步骤操作：

在系統內勾選“重啓時候清除JFFS2 分區”，重啓；

在Software Center ，重新安裝Software Center 本体；

從GitHub 下載代理插件之安裝包，重新安装。

Acknowledgement

Across the Great Wall, we can reach every corner in the world.

Article by Raphael Yang, the Chief Internet Protocol Scientist.