xray-(x)tls-cloudflare-cdn-multiple-config-for-iran

راهنمایی برای راه‌اندازی و تنظیم فیلترشکن v2ray xray برای ایران / مناسب سرور برای مصارف شخصی

توجه: این راهنما مناسب کسانیست که کمی اطلاعات اولیه درباره‌ی مفاهیمی همچون سرور و کلادفلر دارند.

در ادامه تمام اقدامات لازم برای راه‌اندازی و تنظیم v2ray مبتنی بر xray-core رو منتشر میکنم. با تجربه‌ای که از ۵ ماه گذشته به دست آوردم این تنظیمات بهترین حالتیه که فعلا بعد از گذشته سه روز و با میانگین ترافیک خروجی ۴ گیگ در اوج ساعت مصرف با بیش از ۳۰۰ یوزر هنوز بسته نشده.

از مزایای این تنظیمات اینه که نیازی به پیدا کردن آی‌پی تمیز برای کلودفلر نداره، با یه اسکریپت ساده هم میشه ۶ کانفیگ متفاوت خودکار روی پورت ۴۴۳ و TLS ساخت. و همینطور خودکار یه camouflage website هم میسازه.

یک توصیه: با توجه به بررسی‌های انجام شده در یک هفته‌ی اول فروردین، امکان اتصال با VLESS+TCP+TLS_Vision برای تمام سیم‌کارت‌های همراه‌اول تست‌کنندگان وجود داشته. برای همین اگر تنها سیم‌کارت همراه‌اول دارید و برای استفاده روزمره‌ی خودتون و خانواده نیاز به فیلترشکن دارید، میتونید فقط اسکریپت ذکر شده در قدم چهار رو با نصب گواهی امنیتی letsencrypt انجام بدید و دیگه از تنظیمات کلودفر صرف‌نظر کنید.

قدم اول

ساخت سرور با آی‌پی تمیز

یکی از مزایای هتسنر اینه که ۲۰ ترابایت ترافیک رایگان روی هر vpc میده که خیلی مقرون‌به‌صرفه است. من سرور منطقه Falkenstein رو میگیرم با دو گیگ cpu و ram. لازم به ذکره که شانس پیدا کردن آی‌پی تمیز از سرورهای هلسینکی بیشتره. بعدش از یه سرور ایرانی یا از یه سیستم با نت همراه‌اول یا ایرانسل یا ثابت یه ping میگیرم تا اول مطمئن بشم که صفر درصد packet loss داشته باشه.

قدم دوم

دامنه

پیشنهادم اینه که دامنه‌ی کشورهای اروپایی ccTLD خریداری بشه. مثلا آلمان. دلیلش هم اینه که به نظرم چون سفارت‌خانه‌ها باید با کشورهاشون در تماس باشند بلاک کردن دامنه‌های کشورها هزینه‌ داره برای همین بسته شدش خیلی دور از ذهنه.

قدم سوم

کلادفلر

دامنه رو در کلادفلر وارد کنید و پس از ست کردن NS در رجیسترار شروع کنید به تنظیم دقیقا به شکل زیر

DNS

حتما یه زیردامنه با IPv4 بسازید مثل مورد زیر. فراموش نکنید که حتما در این مرحله پروکسی خاموش باشه.

این مورد رو باید برای رجیسترارتون بفرستید تا براتون ست کنه. البته جایی مثل goDaddy امکان ست کردن رو در پنل کاربر باز گذاشته.

SSL/TLS

مد گواهی رو هم روی Full بذارید.

این گزینه روشن باشه حتما

این گزینه حتما روی TLS 1.3 باشه که میتونم بگم یکی از کلیدی‌ترین تنظیماتیه که باید رعایت بشه

گزینه‌های زیر هم همگی روشن باشن

Security

برای جلوگیری از سواستفاده از فیلترشکن از کشورهای دیگه حتما ترافیک ورودی به سمت سرور رو برای غیر از ایران ببندید.

حتما این مورد زیر رو هم Essenially off بذارید.

موارد زیر هم من روشن گذاشتم

Network

گزینه‌های زیر روشن باشه.

مورد زیر رو هم Add Header بذارید.

بقیه موارد رو هم تغییر ندادم و همون تنظیمات پیشنهادی خود کلادفلر گذاشتم.

قدم چهارم

نصب با اسکریپت mack-a

لینک منبع اسکریپت ورژن انگلیسی هم داره این اسکریپت ولی من خودم اسکریپت چینی رو ران میکنم همیشه و با گوگل‌ترنسلیت ترجمه میکنم.

فایروال

پورت‌های ۲۲ و ۴۴۳ رو با ufw باز کنید.

اسکریپت

دستور زیر رو اجرا کنید:

run wget -P /root -N --no-check-certificate "https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh" && chmod 700 /root/install.sh && /root/install.sh

گزینه‌ی Xray-core رو انتخاب کنید.

از لیست حتما Install in any combination رو انتخاب کنید. از مزایای این اسکریپت اینه که روی یک پورت میتونید هر ۶ ترنسپورت+پرتکل زیر رو انتخاب کنید . VLESS + TCP [TLS/XTLS]

VLESS + WS [TLS]

Trojan + gRPC [TLS]

VMess + WS [TLS]

Trojan + TCP [TLS]

VLESS + gRPC [TLS]

پورت رو هم حتما 443 انتخاب کنید.

حتما با letsencrypt یه گواهی SSL برای رمزگذاری ترافیک بسازید که با cloudflare وریفای بشه.

زمانی که به مرحله‌ای رسیدید که از شما درباره‌ cloudflare CNAME پرسید که میشه گزینه‌ 6/17 حتما گزینه‌ دو رو که دامنه who.int هست انتخاب کنید.

به کلادفلر برگردید و حالت پروکسی رو روشن کنید (به رنگ نارنجی) در بخش DNS

این امکان وجود داره که اولویت alpn رو به h2 تغییر بدید که برای اپ‌های آیفون که خیلی‌شون امکان ادیت کد رو نمیدن به‌کار میاد. برای این کار پس از اینکه تمام مراحل نصب به اتمام رسید، واژه vasma رو در ترمینال تایپ کنید و از منو شماره ۱۴ رو انتخاب کنید و طبق راهنما پیش برید.

برای اینکه مطمئن بشید دامنه شما تمیزه و در کل امکان اتصال بهش هست میتونید از این پکیج برای اوبونتو استفاده کنید. لینک

قدم پنجم

تنظیمات روی اپ

در انتهای اسکریپت به شکل خودکار براتون لینک‌های مجزا و لینک اشتراک به‌همراه QR code ساخته میشه. دقت کنید که حتما uTLS روی Randomized باشه و alpn هم خالی نباشه و در صورت امکان روی h2 ست شده باشه.

نکته مهم: برای کانفیگ vless + tcp + xtls-vison حتما در بخش adress آی‌پی سرور رو قرار بدید. این کار رو برای Trojan + tcp هم انجام بدید تا متصل بشید.

نکته مهم دیگه: اگر احیانا کد بلاک شد حتما subdomain رو در قسمت SNI دستکاری کنید و به دلخواه تغییرش بدید. مثلا:

download.digitalrights.de -> iran.digitalrights.de