硬核：手把手簡易教程，幫牆內親友翻牆

我前年寫過一篇《回國翻牆（科學上網）101》（需要對各種術語、技術回爐的可以看看這篇文章），那時我在 Amazon 搞了一個虛擬服務器當機場，結果還沒等真用就被“牆”了。原來，這些大公司提供的 IP 網段是公開的，早就被 GFW 盯上了，不“牆”才怪呢。害得我還得花錢購買機場服務。

最近，推上盛傳中國要全麵封禁 VPN，包括機場。如果實施，客戶稍多一點的機場大概率挺不住，因為從 IP 數據流量上就有體現，而現在 AI 這麽強大，很輕鬆就會分析出哪些路由比較可疑。更不用說大量的機場本就是在 GFW 的眼皮子底下，被睜一眼閉一眼放過的，要嚴起來，分分鍾就會塌陷。

經過分析 GFW 封禁策略，我發現有一個方法很難被“牆”。解釋一下就是多點開花，就像癌症擴散了一樣，GFW 建牆就好比局部化療，對全身擴散的情況是沒有多大效果的 — 具體說來，就是經自己家的接入路由器（Router），用一個小 PC 來當機場，讓你的親友直接經此上網。

這種“分布式”的翻牆，GFW 沒精力去管，因為每個 IP 隻管很少量的流量，除非像北韓那樣變成局域網，否則封禁成本太高了。



下麵就具體分步介紹如何翻牆。你不需要有多少計算機知識，會用計算機就夠了。

（一）需要的硬件條件

1）家裏有 ISP 提供的寬帶網 – 現在大多數都是超過 100 Mb 的網速了，1 Gb 的都不少。我初略估算一下，實際上隻要超多 10 Mb 就可以讓一兩個近親使用無憂；20 Mb 以上他們就可以看 Youtube 短視頻了；50 Mb 就可以看 Netflix 高清電影了；100 Mb 就可以拓展到你的朋友使用了 – 但要警惕傳播太廣會占你的帶寬，對你自己上網也有影響。

2）家裏有一台不關機的 PC 機。我在本文裏用 Windows 11 為例，但 Mac/Linux 更方便。而且，如果你用了Mac/Linux，大概率不用在這裏聽我囉嗦了，直接自己就可以做了。如果家裏是常用筆記本，不希望總是開著，我建議買一個 Amazon 上 $200 刀左右的 mini-PC，Intel N100，8~16 MB內存，峰值耗電 12 W，平時運行也就 6 W，休閑時可能也就 2、3 W，比一個長明小地燈多不了多少耗電。

夠了，就這些。簡單吧？

還要花錢買什麽別的服務嗎？不用，$0 投入！

下麵開始手把手教程：熟手別嫌煩，但生手要注意：下麵有要輸入的東西是一個字符都不能錯，包括大小寫，不然可能得不到想要的結果。

（二）PC 端要幹的事

1）確認你的 Windows PC 正常運行，有管理員權限（有些公司的計算機在家裏運行沒有管理員權限的不行，個人的都沒有問題），有瀏覽器（推薦 Chrome），然後在瀏覽器中訪問這個站點：

https://whatismyipaddress.com/ 

你會看到：



如果看不到，大概率你的網絡不通。注意記下 IPv4 右邊的 4 個用小數點連接的數字，那就是我們要用到的路由器 router 的 IP 地址，是你訪問互聯網時用的自己的地址，也是將來親友用來做機場的地址。下麵假設你的 router 的 IP 地址是：11.22.33.44 – 在下麵的例子中你需要改用你的 router 的 IP 地址。

2）下載 Xray。開始真正設置機場 – 用 VLESS + Reality 方案（無證書、抗幹擾強）。這些術語你不必要懂，如果需要理解，就理解為最強盾牌吧。在瀏覽器裏打開這個頁麵：

https://github.com/XTLS/Xray-core/releases 

找到最新版本，下載：xray-windows-64.zip

這裏可能有點亂（open source community 的特點）：你打開上麵那個連接時，屏幕裏很多東西讓你眼花繚亂，你不要管它，隻在屏幕下方找：



的字樣，那個 Latest 前麵的數字就是最新版的版本號（你看到的可能略有不同），你按這個 Xray-core 就進入到下載頁麵。在下載頁麵往下翻，就會找到 xray-windows-64.zip。然後按那個 xray-windows-64.zip 就可以下載，下載後解壓到你的硬盤上（比如 C:\Xray，如果你用別的，下麵所有的有 C:\Xray 的地方都要記得修改）上即可。

3）生成 uuid。在命令行（Win + R → cmd，就是在按著有微軟圖標的鍵同時按 R 鍵，就會出現運行的小窗口，在裏麵輸入 cmd 後再按回車鍵），輸入 cd C:\Xray （進入 C:\Xray 子目錄，就是剛剛下載的 Xray 目錄裏），輸入：C:\Xray\xray.exe uuid

這就會生成一個 uuid，是一個長長的字符串，像這個一樣的，是將來定位你這台 PC 機的：

2cc31086-8040-4e91-9126-b90547158457

4）生成鑰匙對。在命令行運行（Win + R → cmd）C:\Xray\xray.exe x25519

就會生成一對鑰匙：Private key 和 Public key。注意，這個 Private key 不要給任何人（隻需留在本地 PC 上）！那個 Public key 是公鑰，將來是給你的親友，用來連接這個機場服務的。下麵假設 Public key （也叫密碼，password）是這樣的：

那個 x25519 是哪裏來的魔幻數？別管了，那是 Diffie-Hellman 用來安全建立加密通道的密鑰交換生成機製。想學就從 Diffie-Hellman 開始吧。

密鑰 Private key 和公鑰 Public key 都是一個40 幾位的字母數字混合串。

5） 現在編輯一個文本文件。用 Windows 自帶的 notepad 即可。在 C:\Xray 下，建一個 config.json 文件，把下列內容複製進去，並修改 uuid 和 Private key部分（保留雙引號）：

注意 shortIds 下的 “12345678” 可以修改成你喜歡的任何字符串，不過大概率不影響安全性。在下麵的敘述中假設用這個 “12345678” 作為 shortIds，如果你改了，記得修改所有出現 “12345678” 的地方。

6) 驗證一下是否一切正常。在命令行（cmd）裏運行：

如果沒有報錯，就說明一切順利（可能運行時需要管理員權限授權），你的 PC 以及成為機場了！

如果報錯，大概率前麵哪個地方做錯了，仔細檢查，重新來過。

注意，這個窗口要常開，VPN 才能用，用 Ctrl-C 可以中斷，但 VPN 就停了。而且，如果 PC 進入休眠狀態，這個 VPN 服務就也停了。所以，要當個敞開的機場，就得把 PC 的 Sleep 關掉，在 Widnows 裏的“設置-係統-電源”的“屏幕、睡眠和休眠超時”裏，把下圖的兩個休眠睡眠時間項都要關上，變成“從不”。

（三）路由器端要幹的事

這個可能有點繞，因為每家的路由器可能都不一樣，我無法給出圖示如何做。但這裏要做的東西很簡單，就是給路由器 router 放行，允許 TCP 443 端口的 traffic 可以通過。注意大多數 router 在缺省配置時是禁止 TCP 443 端口放行的。

下麵隻是一個例子，你需要有辦法連接到你的路由器管理 admin 界麵，並用 ISP 給的密碼登錄才可以進行相應的配置，其實隻有開放 TCP 433 port forwarding。比如這是我的路由器管理界麵（我的路由器內部 LAN 的 IP 地址是 192.168.1.254，有的是192.168.0.1，看 ISP 是如何給你配置的內部網絡了。我的 PC 內部 IP 地址是 192.168.1.12，選中“Firewall” 後，把路由器到這個 192.168.1.12 的內外 port 443 （HTTPS 協議的缺省 port）的所有 forwarding，並按“Apply”按鈕後保存改變，就可以了。



有些 ISP 為了“保護”用戶，禁止了 port 443 的改變，那你可以用 8443 來代替，不過記得所有出現的 port 443 的地方都要用 port 8443 代替。而且，因為 8443 不是常規 HTTPS traffic，所有 GFW 可以容易識別一些（但一般沒事）。

如何知道你的 PC 的內部 LAN 的 IP 地址？在命令行運行（Win + R → cmd），然後在命令行（那個彈出的黑窗口）輸入：

ipconfig

你會看到有這樣的輸出：

   IPv4 地址 . . . . . . . . . . . . : 192.168.1.12

   子網掩碼  . . . . . . . . . . . . : 255.255.255.0

這裏的 IPv4 後麵的數字就是 PC 的本地 IP 地址，我這裏是 192.168.1.12

注意這個地址是你的路由器分配的，可能會變。如果你的路由器功能強，你也會操作，可以把這台 PC 的 IP 地址改成靜態的（static），就不會變了。另外，如果這台 PC 經常開著，IP 地址也不會變（DHCP lease 會趨向於給以前用過的 IP）。

現在驗證一下路由器的 port forwarding對不對。你在外網（不是自己家的 WiFi 裏），用別人家的 PC，或自己手機流量（不能用 WiFi），在瀏覽器裏輸入：

如果出現“This Connection Is Not Private ”一類的報警，就可以了，說明網絡已經聯通了。如果瀏覽器空轉長時間不動，一定是網絡配置出現了問題，仔細檢查，重新來過。

（四）國內翻牆手機端要幹的事

這個取決於你用的哪個客戶端手機 app。比較好用的是 ShadowRocket，但要花幾塊錢買。我這裏用蘋果上免費的 V2Box 做例子，安卓、蘋果上都有，性能也不錯。

先告訴國內的朋友在手機上安裝 V2Box，在手機上就是 VPN 功能。



國內的朋友如果無法安裝這個 app：

• 在蘋果裏可以選擇 Stash（幾塊錢）、ShadowRocket（幾塊錢）、Sing-box（免費）...
• 在安卓裏可以選擇 v2rayNG ，SagerNet，Clash Meta for Android 等...

把下麵的 [uuid]、[IP] 地、[public-key] 和 [sid] 換成你的，發給你在國內的親友。這裏有點講究，強烈建議盡量不要用微信傳遞，你懂的，最好是用 Whatsapp、Telegram 一類的端到端加密通信。

如果隻有微信可用，可以這樣：你先親友聯係好，告訴他收到後馬上拷貝保存到本地，然後你把這個字符串切成幾半，每次送一段（最好用不同的微信），他收到後你有兩分鍾時間撤回（recall）這條信息。經過幾次傳送（最好拖延在幾天內），他收到全部的字符串後，再組裝成一個。特別是 [public-key] 、[uuid]不能在一起，打斷後再傳。

同時告訴親友，不要把這個字符串給任何不相關的人，因為得到它就可以用你的機場了。



替換後應該變成類似這個樣子的（用我假想的 uuid、IP 地址和 public key）：

告訴親友把這個字符串拷貝到剪裁板，然後打開他們手機裏的 V2Box （或者其他的 VPN app），在“配置”菜單裏按“+”號或類似的操作，選擇“Import from Clipboard（從剪貼板導入）”，如果無誤，點擊（或滑動）連接（Connect），就可以了。這時手機的狀態欄就會在網絡的後麵有一個方框圈上的 VPN 提示已經聯通了。

V2Box 本身缺省時不做聯通測試，所以在加入這個 VPN 時 V2Box 裏會出現一個小的紅色“timeout ”，不用管它。

平時這個聯通 VPN 的方式即可以通過這個 VPN app (如 V2Box），也可以通過手機自帶的配置，如蘋果的“設置-VPN”來實現。

現在在親友的手機（你的也可以，但必須是不用家裏 Wifi 連接上網的，而是用 4G/5G 流量的）上測試一下：在瀏覽器裏輸入：https://api.ipify.org 

這應該返回一個 IP 地址。如果顯示的是 11.22.33.44（換成你家路由器的 IP 地址），說明你確實在走“手機 → V2Ray → 互聯網 → 你家 Windows → 你家公網出網” ，好了大功告成。如果沒有意外的話，你已經成功地帶你親友翻牆了！恭喜！

試一試 Youtube、X、Google、Facebook、Netflix、Whatsapp、Telegram、Line、Instagram、ChatGPT、Gemini、Grok、Claude、…

如果沒有顯示你家路由器的 IP 地址，那就是出了問題，繼續查。對於用國內手機測試的情況，因為 https://api.ipify.org 也大概率需要翻牆，所以如果 VPN 成功會返回哪個 IP，否則就會變成返回垃圾或永久等待（被“牆”了），需要核查步驟，一定是哪裏搞錯了。

（五）進階

上麵是最基本的操作，下麵給出一些進階手段。

1）更安全和隱秘。現在你的親友是通過你的路由器 IP 訪問你的機場，相當於在互聯網裏暴露了你機場的 IP。這不是什麽大事，但如果你挑剔，也可以隱藏的。這就需要一個 DNS 名稱綁定：別怕這個術語，很簡單的。先用你的 Email （比如 Google 的賬戶）在https://www.duckdns.org 上注冊，注冊登錄後就可以加入你自己的域名與你的路由器 IP 的綁定了，然後就可以用那個名字來訪問，而不必用 IP 地址：



按圖，選一個那個係統沒有用過的域名（名字重了係統會報錯，你換一個再試），比如fanqiang1234。在 “current ip”裏輸入你的路由器 IP 地址。這樣，你的全域名就是 fanqiang1234.duckdns.org 了，用這個名字可以替換給你親友的那個長字符串中的 IP 地址，類似這樣的：

這個能稍微更安全一點 - 如果你改了，記得給你的親友，但親友不改，還用 IP 也可以。

2）自動化。你可以簡化每次開機要手動運行 Xray，用下麵步驟：在 C:\Xray 建一個 start.bat 文本文件：

按 Win + R → 輸入： shell:startup 然後把 start.bat 文件拖進去

這樣下次開機就會自動運行這個 Xray，啟動 VPN 機場了。

3）變化。你的路由器 IP 地址是國內親友可以用這個 VPN 的主要手段，不幸的是這個不一定是穩定的，一般是 ISP 動態分配的。但注意下麵可以解決問題：

• 如果親友反應 VPN 不好用了，首先檢查是不是路由器的 IP 地址被換了。記得這個網址吧？看一看是不是換了：https://whatismyipaddress.com/ 
• 如果的確是 IP 變了，告訴親友在 V2Box 裏修改 IP 為新的地址就可以了。如果你做了上麵的 DNS 域名綁定，連國內親友都不用修改任何東西，到https://www.duckdns.org 上直接改綁定中的 IP 地址為你的路由器新地址就行了。
• 其實，這種 IP 變化一般是很少的，特別是常開的路由器，ISP 一般不會變，都是 DHCP 協議控製，是相對穩定的。
• 如果你做了上麵的 DNS 域名綁定，還可以做一個 Windows 的 cron job，來自動周期檢查你的路由器 IP 是否有變動，如果變了可以在 cron job 裏自動修改。如：https://www.duckdns.org/update?domains=fanqiang1234 &token=[token]&ip=[IP] 其中 [token] 是在 duckdns 裏你綁定用的標識（在那個網站裏找），[IP] 是你的路由器新 IP 地址。不過，cron job 在此也是超綱了，如果你不知道那是什麽，就老老實實地手動吧，也不太麻煩。

對 Linux 老手，可以用 Windows 的 Powershell 來幹cron job 的事情，如：

這個提示看不懂也沒關係，隻是方便那些熟手們。

如果有能力，還可以建立具體的日誌服務（rotating log…)等，超綱不多說了。

每個人的環境可能略有不同，需要“動腦筋”解決問題，

（六）須知

1）當你打開這個 VPN 後，互聯網上有許多機器人就可以看到你的 PC 了，會進行掃描看是否有漏洞可鑽，不必理睬它們 – 這個協議還是很安全的。如果不放心，可以搞白名單，但在本文中超綱了，太麻煩。外界看到的就像你的路由器是一個 HTTPS 服務器。

2）如果你想看誰在訪問你，合法的和惡意的，可以再開一個 shell 來監視，這個也是超綱的。你也可以在 config.json 裏加上 logging：

注意 info 級別的 logging 量會很大，網上的 bot 太多了。嫌多可以把 info 改成 warning 或 error。

3）你可以在手機上在聯通 VPN 後（經流量，不是 Wifi）看看速度怎麽樣：https://fast.com 和你沒有聯通時做一個比較。很可能比沒有 VPN （經流量，不是 Wifi）還快，因為你家的寬帶可能很快，除非你的手機服務是 5G 的。

4）畢竟這是把你家的局域網打開了一個洞。如果你有重要數據，我還是不建議你冒這個險了。

希望你可以幫助親友愉快翻牆，安全上網。

這裏是 PDF 版：

https://drive.google.com/file/d/1UDooeUweOi3tPTxInmfY-pZQLqMzqCAe/view?usp=drive_link

一家之言，歡迎批評指正。