كيفية: إعداد شبكة VPN تعمل دائمًا - حتى في الصين

تزداد الرقابة خداعًا عامًا بعد عام. ما نجح صيف العام الماضي يُخنق أو يُسجل هذا الشتاء. الهدف من هذا الدليل والنص المرفق به بسيط: توقف عن لعب لعبة "واك-أ-مول". ابنِ وسيلة نقل تبدو وكأنها تصفح ويب من الخارج، لكنها تُدير نفقًا سريعًا وخاصًا تحتها. فقط باستخدام بروتوكول TLS، لا شيء يُرى هنا.

الفكرة في نفس واحد

• العميل ↔ الحافة (قفزة الدخول): VLESS + الواقع زيادة بروتوكول التحكم في الإرسالمن وجهة نظر السلك، فهو مجرد TLS 1.3 لموقع ويب عادي (SNI الذي اخترته).
• الحافة ↔ الخروج (قفزة الخروج): واير جارد زيادة بروتوكول بيانات المستخدم (UDP) للسرعة (ياااي).
• الخروج ↔ الإنترنت: NAT إلى الويب المفتوح.

يجعل الواقع ClientHello الخاص بك يبدو وكأنه متصفح شرعي ينتقل إلى موقع حقيقي (على سبيل المثال، google.com). ينهي مربع الحافة ذلك أثناء ربط جميع البيانات الصادرة بـ WireGuard، الذي يحمل حزمك إلى صندوق الخروج. ثم يتصل صندوق الخروج بالإنترنت. لا توقيعات براقة، ولا منافذ براقة. لا تستطيع الحكومات حجب ذلك دون أضرار جانبية، أي (تعطيل المواقع العادية).

[Device] --(TLS1.3/REALITY over TCP)--> [Edge/Entry]
                                 (WireGuard/UDP)
                          ----------------------------->
                                         [Egress/Exit] --(NAT)--> Internet

هذا ليس سحرًا، ولن يكون كذلك قطعاً التغلب على تحقيق مُستهدف، هذا هو هدف I2P (نوعًا ما). لكن مع الرقابة اليومية وصناديق DPI الصاخبة، فهو مُملٌّ بكل معنى الكلمة.

لمن هذا؟

• أنت بحاجة إلى موثوق الاتصال من خلال التصفية الثقيلة (على سبيل المثال، جدار الحماية العظيم) دون قضاء عطلات نهاية الأسبوع في تبديل التكوينات.
• انت تريد نص واحد الذي يتعامل مع IPv4/IPv6، والإعدادات الافتراضية السليمة، والإعداد المثالي، والنظيف تطهير قم بالتبديل عندما تصبح الأمور عالقة.
• أنت تفضل استخدام TCP على الحافة (من الصعب حظره دون كسر الويب العادي) و سرعة UDP حيث يكون الأمر آمنًا - بين خوادمك الخاصة.

ليست حالة الاستخدام الخاصة بك إذا كنت تريد VPN للمستهلك بنقرة واحدة أو إذا كنت لا تتحكم على الأقل في VPS للقفزة الأولى. يمكنك استخدام VPN تجاري كنقطة اتصال ثانية لكن اختر واحدًا يُعطيك إعدادات WireGuard بسيطة. إذا أصريت على NordVPN، فهو يعمل، ولكنه أكثر تعقيدًا.

ما تحصل عليه (الميزات)

• القفزة المزدوجة حسب التصميم: تمويه TCP على الحافة، وأداء WireGuard في الأسفل.
• الواقع:مصافحة TLS 1.3 الشبيهة بالمتصفح تجاه مضيف حقيقي (يجب أن يكون SNI اسم DNS فعليًا مع SAN صالح).
• أوضاع IPv4/IPv6: v4 فقط، أو المكدس المزدوج، أو v6 المفضل.
• خيار تقوية Systemd: يجري sing-box كشخص مخصص singbox مستخدم ذو قدرات محدودة.
• الوعي بـ nftables/iptables: يستخدم iptables بشكل افتراضي؛ يسجل الخادم الخلفي الذي تستخدمه حتى لا تتفاجأ على Ubuntu 24.04+.
• مسبار الصحة: أداة فحص صغيرة لتأكيد سلامة SNI وTLS 1.3 وتبادل المفاتيح.
• وضع التطهير: --purge يقوم بتدمير الخدمة والتكوينات والمستخدم والسجلات؛ --flush-iptables استعادة قواعد التثبيت المسبق بشكل اختياري.

نموذج التهديد (قصير وصادق)

• يتفوق على الترشيح الشامل (DPI يعتمد على بصمات VPN المعروفة، وحجب SNI/JA3 الضعيف، وحجب المنافذ الساذجة).
• لن يتغلب على اختراق نقطة النهاية المستهدفة أو تحليل قوي ومصمم خصيصًا لخوادمك المحددة.
• المسائل الأمنية التشغيلية: لا تقم بإعادة استخدام المربعات للخدمات غير ذات الصلة؛ حافظ على تحديث نظام التشغيل والنواة؛ قم بتثبيت الإصدارات عندما تستطيع.

متطلبات

• خادمان Linux (Ubuntu 22.04/24.04 يعملان بشكل رائع).
  • الحافة (المدخل)عنوان IP عام يمكن الوصول إليه من العميل (يجب أن يكون خادمًا افتراضيًا خاصًا في بلدك). عادةً لا تفرض الحكومات قيودًا شاملة على شركات الحوسبة السحابية.
  • الخروج:عنوان IP عام مع UDP مسموح به؛ هذا هو اختراق الإنترنت الخاص بك.
    يمكن أن تكون قفزة الخروج أيضًا عبارة عن تكوين WireGuard يوفره موفر VPN الخاص بك، على الرغم من أن القليل فقط يوفر تكوينات wg.
• القدرة على فتح المنافذ على مجموعات جدار الحماية/الأمان الخاصة بمزود الخدمة الخاص بك:
  • الحافة: أ بروتوكول التحكم في الإرسال منفذ للواقع (على سبيل المثال، 443 أو منفذ مرتفع غير واضح).
  • الخروج: أ بروتوكول بيانات المستخدم (UDP) منفذ لـ WireGuard (على سبيل المثال، 51820).
• أ SNI الحقيقي (اسم المضيف) موجود في شهادة SAN الخاصة بالموقع المستهدف (على سبيل المثال، google.com).
  هذا هو الموقع الذي تريد أن يبدو وكأنك تتصفحه.
  

البدء السريع (قفزتان، مطالبات بسيطة)

1) الخروج (القفزة الثانية)

هذا هو خادم WireGuard الخاص بك وNAT الخاص بالإنترنت.

# Example: listen on UDP 51820
wget https://raw.githubusercontent.com/abdessalllam/SuperSpeedVPN/refs/heads/main/installer.sh
chmod +x installer.sh
# ReadME for Links: https://github.com/abdessalllam/SuperSpeedVPN
sudo ./installer.sh --role 2nd --wg-port 51820 --silent 

# Example: listen on UDP 51820
wget https://raw.githubusercontent.com/abdessalllam/SuperSpeedVPN/refs/heads/main/installer.sh
chmod +x installer.sh
# ReadME for Links: https://github.com/abdessalllam/SuperSpeedVPN
sudo ./installer.sh --role 2nd --wg-port 51820 --silent 

ماذا يفعل:

• يقوم بتثبيت WG، وإعداد الخادم، وتمكين إعادة توجيه IPv4/IPv6، وقواعد جدار الحماية الأساسية، وNAT.
• تطبع حزمة صغيرة يمكنك نسخها إلى الحافة.

بعد الانتهاء، قم بالتحريك wg-link-bundle.tar.gz الملف إلى قفزتك الأولى ~ (/root/).

2) الحافة (القفزة الأولى)

هنا يتصل عميلك بـ REALITY عبر TCP. تستخدم الحافة WG كـ صادر.

# Example: TCP 443 for REALITY, SNI is a real hostname (must be DNS, not an IP)
wget https://raw.githubusercontent.com/abdessalllam/SuperSpeedVPN/refs/heads/main/installer.sh
chmod +x installer.sh
# ReadME for Links: https://github.com/abdessalllam/SuperSpeedVPN
# Use an SNI that's not blocked in your country
sudo ./installer.sh --role 1st --reality-port 443 --sni google.com
# The script will only allow domains that support TLS 1.3

# Example: TCP 443 for REALITY, SNI is a real hostname (must be DNS, not an IP)
wget https://raw.githubusercontent.com/abdessalllam/SuperSpeedVPN/refs/heads/main/installer.sh
chmod +x installer.sh
# ReadME for Links: https://github.com/abdessalllam/SuperSpeedVPN
# Use an SNI that's not blocked in your country
sudo ./installer.sh --role 1st --reality-port 443 --sni google.com
# The script will only allow domains that support TLS 1.3

ملحوظات:

• إذا لم تقدم هدف مصافحة، الافتراضي هو SNI:443.
• الحافة تربط خروجها بـ wg0، لذلك كل شيء يخرج من خلال قفزة الخروج.

3) العميل

استخدم أي عميل حديث يدعم VLESS + REALITY (مثل sing-box). يُخرج البرنامج النصي مقتطفًا جاهزًا للاستيراد.

كيفية الاستخدام مع مزود VPN كحلقة ثانية

1. قم بتخطي التثبيت الثاني لأنك لا تملك حق الوصول إلى الخادم الثاني.
2. احصل على مفاتيح تكوين WireGuard واستخدم خادم القفزة الأولى الخاص بك إذا طلب موفر VPN عنوان IP للجهاز.
3. إنشاء ملف Tar Gz باسم wg-link-bundle مع 3 ملفات h2_publickey مع مفتاح عام wg عادي، h1_privatekey مع مفتاح خاص عادي، vars مع التفاصيل التالية:

Get the following from your WG Config and create 3 files.
# h2_publickey file: 
EXAMPLEPUBLICKEYHGHD78HD

#h1_privatekey file: 
EXAMPLEPRIVATEKEYHGHD78HD

# vars file: 
WG_PORT=53133
WG_IF=wg0
WG_H1_V4=10.43.0.1/32
WG_H1_V6=fd00:43::1/128
WG_H2_V4=10.43.0.2/32 # From AllowedIPS list in your WG Config
WG_H2_V6=fd00:43::2/128 # From AllowedIPS list in your WG Config
H1_V4_POOL=10.43.0.0/24
H1_V6_POOL=fd00:43::/64
IPV6_MODE=dual # or ipv4only, dual means ipv4/ipv6
H2_ENDPOINT=IP:53133 # WG Config endpoint

Get the following from your WG Config and create 3 files.
# h2_publickey file: 
EXAMPLEPUBLICKEYHGHD78HD

#h1_privatekey file: 
EXAMPLEPRIVATEKEYHGHD78HD

# vars file: 
WG_PORT=53133
WG_IF=wg0
WG_H1_V4=10.43.0.1/32
WG_H1_V6=fd00:43::1/128
WG_H2_V4=10.43.0.2/32 # From AllowedIPS list in your WG Config
WG_H2_V6=fd00:43::2/128 # From AllowedIPS list in your WG Config
H1_V4_POOL=10.43.0.0/24
H1_V6_POOL=fd00:43::/64
IPV6_MODE=dual # or ipv4only, dual means ipv4/ipv6
H2_ENDPOINT=IP:53133 # WG Config endpoint

بعد ذلك، قم بتحميلهم إلى /root/ وتشغيل البرنامج النصي للقفزة الأولى.

التطهير وإعادة التثبيت (الزر الأحمر الكبير)

إذا كان هناك شيء غريب حدثأو أنك تريد فقط سجلاً نظيفًا:

# Remove sing-box service, configs, binary, logs, and singbox user
sudo bash installer.sh --purge

# Remove sing-box service, configs, binary, logs, and singbox user
sudo bash installer.sh --purge

ثم شغّل Quickstart مرة أخرى. روتين التطهير تلقائي؛ استخدمه كلما احتجت إلى إعادة الضبط.

أوضاع IPv6 (ومتى يجب الاهتمام بها)

• المكدس المزدوج (الافتراضي): أفضل إمكانية الوصول والأداء عندما يكون كل من الإصدارين v4 وv6 متاحين.
• الإصدار 4 فقط: يكون مفيدًا عندما تكون مسارات v6 غير مستقرة أو تؤدي إلى تشغيل عمليات "VPN" الخاصة بالموقع.
• v6-المفضل: ممتاز في المناطق التي تكون فيها مسارات v6 أقل ازدحامًا.

يحمي البرنامج النصي من واجهة WAN v6 الفارغة عند الإعداد accept_ra=2، حتى لا ينتهي بك الأمر بـ sysctls مكسورة.

التحقق من واقع واجهة جدار الحماية الخلفية

يعتمد Ubuntu 24.04 على جداول غير قابلة للتغيير حتى عندما تقوم بالتثبيت iptables-persistentيُسجِّل البرنامج النصي أيَّ واجهة خلفية نشطة قبل تطبيق قواعد الإغلاق. إذا كنتَ مُتزمِّتًا، فاستبدل مُحرِّر القواعد بـ "أصلي". nftأو احتفظ بـ iptables لسهولة النقل؛ فقط كن على دراية بطبقة الترجمة.

فحوصات الصحة (الثقة ولكن التحقق)

بعد التجهيز، قم بتشغيل المجس للتأكد من سلوك طبقة التمويه:

./installer.sh --probe --sni google.com

./installer.sh --probe --sni google.com

تريد أن ترى:

• تم التفاوض على TLS 1.3
• X25519 (أو أي مجموعة ECDH عاقلة أخرى)
• SNI مدرج في شهادة SAN

إذا فشل المجس، تأكد مرة أخرى من أن SNI الخاص بك هو اسم مضيف DNS ويمكن الوصول إليها، وأن منفذ الواقع الخاص بك مفتوح.

نصائح الأداء المهمة

• استخدم TCP BBR على كلا الخادمين: echo "net.core.default_qdisc=fq" | sudo tee /etc/sysctl.d/99-bbr.conf echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.d/99-bbr.conf sudo sysctl --system
• اختر منفذ WireGuard UDP هادئًا (ليس 51820 إذا كان مزود الخدمة الخاص بك يكتشفه).
• MTU بالحجم المناسب:إن الإعدادات الافتراضية لـ WG جيدة، ولكن إذا لاحظت تجزئة، قم بالتجربة (على سبيل المثال، 1280-1380).
• إصدارات الدبوس وتجنب curl | sh للإنتاج. قم بالتنزيل، والتحقق من مجموعات التحقق/التوقيعات، ثم التثبيت.

استكشاف الأخطاء وإصلاحها (المسار السريع)

• لا يمكن للعميل الاتصال بالحافة: هل هو الواقع بروتوكول التحكم في الإرسال هل المنفذ مفتوح على جدار حماية مزود الخدمة لديك؟ هل SNI اسم مضيف حقيقي، وليس عنوان IP؟
• لا يمكن للحافة الوصول إلى المخرج: تأكد من أن WG بروتوكول بيانات المستخدم (UDP) يمكن الوصول إليه من الحافة إلى المخرج. إذا كنت تستخدم منفذًا صاعدًا صارمًا، فجرب منفذًا مختلفًا أو فعّل تقنية UDP-over-UDP holepunching إذا كان مزود الخدمة يدعمها.
• إنه "متصل" ولكن لا يوجد إنترنت: انظر إلى NAT/إعادة التوجيه في المخرج. يجب أن يكون إعادة توجيه IP قيد التشغيل؛ ويجب أن توجد قواعد MASQUERADE.
• سلوك جغرافي/بث غريب: إذا كانت بعض المواقع حساسة بشأن IPv6، فقم بقلب الحافة مؤقتًا إلى الإصدار 4 فقط وإعادة الاختبار.
• يظهر منفذ WG مغلقًا من الخارج: بعض السحابات تحظر افتراضيًا. تحقق من مجموعات الأمان، وقوائم NACL، وجدار حماية المضيف، ثم ss -ulpn. قد لا استلم حركة المرور بسبب سياسات UDP الخاصة بموفر الخدمة.

لماذا يصمد هذا تحت الضغط؟

• التمويه بدلاً من المواجهة: من الأسهل اجتياز الفلتر إذا كنت تبدو بمظهر TLS عادي. الواقع يعتمد على ذلك.
• السيطرة على الأضرار: لا تفقد كل شيء إذا تم وضع علامة على عنوان IP الخارجي؛ قم بتبديل الخروج، واحتفظ بثبات الحافة/SNI.
• التبديلات التشغيلية: تجعل أوضاع IPv6/IPv4، والتطهير، وإعادة التشغيل التلقائية عملية الصيانة مملة - وهو ما تريده بالضبط.

يركز هذا الدليل على الخصوصية والموثوقية "عدم مخالفة القوانين".

إغلاق

الإعدادات الهشة تموت بألف جرح ورقي. هذا النظام ممل: TLS في الأعلى، وUDP في الأسفل، وإعدادات افتراضية نظيفة، وزر طوارئ عند الحاجة. اضبطه، وتحقق منه، ووثّق المنافذ/SNI التي اخترتها، ثم تابع حياتك. سيواصل الرقباء الابتكار؛ وكذلك نحن - لكننا سنفعل ذلك بطريقة كسولة وقابلة للصيانة.