trojan是近两年兴起的网络工具,项目官网 https://github.com/trojan-gfw。与强调加密和混淆的SS/SSR等工具不同,trojan将通信流量伪装成互联网上最常见的https流量,从而有效防止流量被检测和干扰。在敏感时期,基本上只有trojan和 v2ray伪装 能提供稳如狗的体验。

v2ray和trojan有如下区别及特点:

  1. v2ray是一个网络框架,功能齐全;trojan只是一个绕过防火墙的工具,轻量级、功能简单;

  2. v2ray和trojan都能实现https流量伪装;

  3. v2ray内核用go语言开发,trojan是c++实现,理论上trojan比v2ray性能更好

  4. v2ray名气大,使用的人多,客户端很好用;trojan关注和使用的人少,官方客户端简陋,生态完善度不高。

本教程先介绍trojan服务端的安装部署,然后以windows系统为例讲解客户端使用。下载客户端请访问:trojan客户端下载

准备事项

按照本教程部署trojan需要如下前提条件:

1. 有一台运行Linux的境外vps;购买vps可参考:一些VPS商家整理

2. 有一个域名;购买域名可参考:Namesilo购买域名详细教程 或从 适合国人的域名注册商推荐 选购;

3. 为域名申请一个证书;请参考 从Let’s Encrypt获取免费证书 或 从阿里云获取免费SSL证书(伪装域名用来做站推荐使用);

4. 通过ssh终端连接到vps;Windows系统请参考 Bitvise连接Linux服务器教程,mac用户请参考 Mac电脑连接Linux教程

注意:根据trojan的原理,理论上可以无需域名,对ip自签发证书也能配置和使用(v2ray同理)。这种情况下相当于对流量做了TLS加密,不如有域名的稳(虽然也能用)。

安装trojan服务端

本教程服务端系统是CentOS 7,其他系统的命令基本类似,请自行转换。

连到VPS后,终端输入如下命令安装trojan:

sudo bash -c "$(curl -fsSL https://raw.githubusercontent.com/trojan-gfw/trojan-quickstart/master/trojan-quickstart.sh)"

该命令会下载最新版的trojan并安装。安装完毕后,trojan配置文件路径是 /usr/local/etc/trojan/config.json,其初始内容为:

{
    "run_type": "server",
    "local_addr": "0.0.0.0",
    "local_port": 443,
    "remote_addr": "127.0.0.1",
    "remote_port": 80,
    "password": [
        "password1",
        "password2"
    ],
    "log_level": 1,
    "ssl": {
        "cert": "/path/to/certificate.crt",
        "key": "/path/to/private.key",
        "key_password": "",
        "cipher": "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384",
        "cipher_tls13": "TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384",
        "prefer_server_cipher": true,
        "alpn": [
            "http/1.1"
        ],
        "reuse_session": true,
        "session_ticket": false,
        "session_timeout": 600,
        "plain_http_response": "",
        "curves": "",
        "dhparam": ""
    },
    "tcp": {
        "prefer_ipv4": false,
        "no_delay": true,
        "keep_alive": true,
        "reuse_port": false,
        "fast_open": false,
        "fast_open_qlen": 20
    },
    "mysql": {
        "enabled": false,
        "server_addr": "127.0.0.1",
        "server_port": 3306,
        "database": "trojan",
        "username": "trojan",
        "password": ""
    }}

请重点关注配置文件中的如下参数:

  1.  local_port:监听的端口,默认是443,除非端口被墙,不建议改成其他端口;

  2.  remote_addrremote_port:非trojan协议时,将请求转发处理的地址和端口。可以是任意有效的ip/域名和端口号,默认是本机和80端口;

  3. password:密码。需要几个密码就填几行,最后一行结尾不能有逗号;

  4. certkey:域名的证书和密钥,Let’s Encrypt申请的证书可用 certbot certificates 查看证书路径;

  5. key_password:默认没有密码(如果证书文件有密码就要填上);

  6. alpn:建议填两行:http/1.1和h2,保持默认也没有问题。

根据自己的需求修改配置文件(大部分参数保持默认即可),保存,然后设置开机启动:systemctl enable trojan,并启动trojan: systemctl start trojan

检查trojan是否在运行:ss -lp | grep trojan,如果输出为空,可能的原因包括:

  1. config.json文件有语法错误:请注意是否少了逗号,有特殊字符等;

  2. 开启了selinux: setenforce 0关闭再启动 trojan。

软件运行没问题的话,最后一步是防火墙放行端口(如果开了防火墙的话):

firewall-cmd --permanent --add-service=https # 端口是443
firewall-cmd --permanent --add-port=端口号/tcp # 其他端口号
firewall-cmd --reload # 重新加载防火墙

trojan服务端注意事项

以下是一些注意事项:

1. 为了让伪装更正常,配置文件中的 remote_addr 和 remote_port 请认真填写。如果使用默认的 127.0.0.1 和 80,请运行以下命令安装Nginx并放行80端口:

yum install -y epel-release && yum install -y nginx
systemctl enable nginx; systemctl start nginx
firewall-cmd --permanent --add-service=http
firewall-cmd --reload

完成后打开浏览器输入域名,应该出现Nginx欢迎页。更换伪装网站页面只需上传文件到 /usr/share/nginx/html 目录即可。

2. remote_addr 和 remote_port也可以填其他ip/域名和端口。例如将所有请求转发到本站,remote_addr 填 tlanyan.me,remote_port 填443。做大死的行为是remote_addr填 facebook/google/twitter等敏感域名,GFW过来一看可能就直接把你的ip安排得明明白白。

3. 如果vps网页后台有防火墙(阿里云/谷歌云/aws买的服务器),请记得放行相应端口。

到此服务端应该已经安装好并运行正常,接下来是配置客户端使用。