Zero Trust 从入门到放弃

Zero Trust 从入门到放弃

借着RE大佬发布了Warp+ Panel然后薯条大佬进一步完善后,Surge群里又重新折腾起了将Cloudflare的Warp+及Zero Trust(Team)变成Wireguard配置的热潮。鉴于有部份朋友不会弄,用自己浅显的理解写了一个教程,希望能帮到大家。

🔔写在最前面的提醒:检查一下你的surge订阅情况,要开通MITM H2!!!并且开关已经打开,如图所示,另外,现在折腾的wireguard V6 需要最新的TF版。

再次说明:当时写教程用的TF版,和最新的商店版略微有点差别,但是基本的东西还是没变,所以教程截图就不更新了。有问题可以去我的频道https://t.me/GetsomeCats
或者surge讨论频道https://t.me/loveapps

IMG_3795.png
IMG_3769.jpeg

🔔再提醒:除了一开始要求的打开1.1.1.1 app链接一次并加入team后,就可以断开它的链接,后面只是点开这个app并不需要链接它,后续操作都是在surge运行的情况下进行!

第一步:去app store下载1.1.1.1 app:

下载地址

https://apps.apple.com/jp/app/1-1-1-1-faster-internet/id1423538627

第二步:去apps tore下载wireguard app

‎WireGuard

第三步:按照下面链接教程:注册和加入一个team(Zero Trust),并用1.1.1.1 app进行一次链接以生成数据,其后可以关闭并打开surge。

此教程不是我编写的,我是网上找到的,只是觉得写得很详细,所以就附上了。

Cloudflare WARP

第四步:在surge里面安装薯条的warp+ panel 模块

薯条这个模块写着支持Qx指的是这个模块可以在Q X下运行并生成wireguard配置,但是Qx不支持wireguard,所以没有surge就别折腾了。

模块地址:

https://raw.githubusercontent.com/VirgilClyne/Cloudflare/main/sgmodule/Cloudflare.1.1.1.1.sgmodule

第五步:surge 安装boxjs,并订阅薯条的boxjs:

https://raw.githubusercontent.com/VirgilClyne/Cloudflare/main/box/Cloudflare.boxjs.json

在薯条的boxjs里面关注cloudflare 1.1.1.1,本次只需要用到这一个。

IMG_3812.jpeg

如果你是surge老用户应该已经知道如何使用配置boxjs了。

🔔注意的一点就是新用户,boxjs我画红线的地方要和surge里面的http api 那里端口 密码一致。

IMG_3742.jpeg
IMG_3743.jpeg

第六步:打开wireguard app添加隧道-手动创建-生成密钥对,将生成的公钥和私钥都复制出来,保存在备忘录并做好备注公钥、私钥。本次教程中wireguard的唯一作用就是生成一对密钥。

IMG_3798.png
IMG_3799.png
IMG_3800.png

第七步:打开一次1.1.1.1 app ,surge会有一个提示公钥 设备注册ID等等,也可以进入surge的工具-日志拉到下面点开warp team response ,找到里面的设备注册ID,设备令牌数据,可以提前复制出来备用。

🔔提示:设备注册ID 格式为:t.xxxxxxxxxxxxxx要全部复制进去。

很多人最后发现出错很多时候就是私钥 公钥 设备ID没有复制完全。

IMG_3746.jpeg
IMG_3747.jpeg

第八步:打开boxjs 选择cloudflare 1.1.1.1

IMG_3768.jpeg
IMG_3813.jpeg

如上图所示打开总功能开关,选择更换公钥,然后在boxjs里面按照顺序填入之前wireguard app生成并复制出来的公钥 私钥,在surge日志里面找到的设备ID ,并保存即可。现在最新版的在上一步打开1.1.1.1 app的时候也会提示发现team配置,里面也有设备ID等信息,但是方便起见还是第七步的surge日志页面找到warp team response并查看和复制里面的信息比较方便。

第九步:打开1.1.1.1 app,进入设置 高级 链接选项拉到最底下的重置加密密钥

IMG_3801.jpeg
IMG_3802.png
IMG_3803.png
IMG_3804.jpeg
IMG_3805.png

正常情况下这时候surge会有个通知,通知内容一个是提示公钥是否一致,另外一个是生成配置,点击生成配置的通知会自动跳转到系统邮件app,里面就是生成的wireguard配置,按照里面内容,进入surge首页-代理服务器-添加代理-代理类型选择wire guard 填入里面相应字段即可。

IMG_3815.jpeg
IMG_3814.png

🔔说明一下:有些人按照教程生成的配置可能去ping的时候会不通,这是很正常的,服务器在美国呢,所以需要用代理链去拉warp才会快,目前香港只有HKT线路可以,然后其他地区就是日美新台了。

IMG_3789.jpeg
IMG_4047.jpeg

另外注意,拉warp的代理链最好是trojan协议的,部份机场的SS好像也可以,Vmess不行,其它的可以自行试验。

备注:有大佬说我这段是误人子弟,解释一下是因为拉warp代理链要通过UDP,但是有些机场的SS 似乎因为某些原因对UDP有限制,而trojan会好一点,请各位根据自己机场情况自行试验。

再说明:如果你按照本教程已经成功的生成了wireguard配置,但是ping的时候是failed,点一下https://www.cloudflare.com/cdn-cgi/trace 测试,(注意看一下这个测试网址是否走了你的warp策略组)

IMG_3772.png

显示warp=plus,那么就是成功了,还有就是用warp线路去看YouTube,如果能看就成功了,区域如果直连的可能显示为US,用其他地区代理链的会显示相应代理链,那么1.1.1.1 app可以打入冷宫了(卸载),因为你再次打开它会自动重置客户端公钥。

再次提醒:有些人会说最后面板上能显示出团队版 无限流量,但是显示无保护,这是因为脚本读取到了zero trust(team)的信息,但是测试网址没有走warp线路,如下图所示,这时候刷新一下面板然后去工具-最近请求里面看一下如下图所示的这三个测试网址走的是什么策略,把这个策略改成warp线路的,就好了。

IMG_3806.jpeg
IMG_3783.jpeg

🔔补充一点:用薯条面板生成的配置的endpoint是engage.nanocat.me:2408,这个是他的私有DNS服务器,里面包含了所有warp的endpoint可用IP,包括free的,有些IP段在国内是不通的,这也是有些人有时候直连ping不通的原因,当时正好分配到不能用的IP,如果这样时候可以试试把endpoint改为:

162.159.193.1~10:2408

或者162.159.195.1~10:2408,

注意不是上面的格式,而是从1~10中选一个去试

🔔最终格式应该是类似:

162.159.193.5:2408

或者

162.159.195.8:2408

这两个193、195段是Warp+服务的。

千万不要直接填成1~10然后问为什么不行🫠

2023年2月10日补充:

老刘于昨天更新了surge中的wireguard配置:

WireGuard 新增 Peer 参数 client-id,用于兼容 Cloudflare 或其他一些特殊的 WireGuard 实现。

例如:

peer = (public-key = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=, allowed-ips = "0.0.0.0/0, /0", endpoint = [2606:4700:d0a29f:c002]:2408, client-id = 83/12/235)

注:

  1. 该参数仅被 Cloudflare 用于负载均衡,不涉及防滥用问题
  2. 若使用 Surge 作为客户端连接 WARP 服务,请阅读并遵守 Cloudflare 的服务条款,合理使用。

如果使用最新的薯条面板抓出来的已经包含了client-id了(reserved参数即是)

根据示例自行添加进去即可,无其他变化

最后再次感谢各位大佬们凭借着热情写出来的东西,让我们这些小白用户有东西可以折腾!

顺便说一下想买机场的可以走我的aff,强烈推荐一线机场墙洞:https://dlercloud.com/auth/register?affid=126669

最后的最后:如果看到最后也按照步骤来了一遍发现还是搞不定,那么可以选择加入我的team:getsomecats,验证方式:gmail。

如果还是搞不定,那么下面这个应该能帮到你:

想玩设备 ID 又懒得再抓配置的,这里有一个配置:
Surge用配置:
[Proxy]
WARP = wireguard, section-name=Cloudflare, test-url=http://cp.cloudflare.com/generate_204

[WireGuard Cloudflare]
private-key = EMNcZrq0R/P87ZbJcJ8sX8qDfCMlL/Tlb6Ln/6S7+lE=
self-ip = 172.16.0.2
self-ip-v6 = 2606:4700:110:8a81:2af4:55c2:34cc:8058
dns-server = 162.159.36.1, 2606:4700:4700::1111
mtu = 1280
peer = (public-key = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=, allowed-ips = "0.0.0.0/0, ::/0", endpoint = engage.cloudflareclient.com:2408, client-id = 139/184/125)

注意:目前UI 界面无法添加client-id 参数,且通过 UI 界面编辑后无法保存,要使用代理链的,先添加好代理链后再在文本模式下编辑加入 client-id 参数。

将我的GetSomeCats Team 配置放出来供使用。也可以加入我的Team:Getsomecats,验证方式为:gmail

© 版权声明
THE END
喜欢就支持一下叭
点赞4 分享
评论 共1条
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片