硬核：手把手简易教程，帮墙内亲友翻墙

我前年写过一篇《回国翻墙（科学上网）101》（需要对各种术语、技术回炉的可以看看这篇文章），那时我在 Amazon 搞了一个虚拟服务器当机场，结果还没等真用就被“墙”了。原来，这些大公司提供的 IP 网段是公开的，早就被 GFW 盯上了，不“墙”才怪呢。害得我还得花钱购买机场服务。

最近，推上盛传中国要全面封禁 VPN，包括机场。如果实施，客户稍多一点的机场大概率挺不住，因为从 IP 数据流量上就有体现，而现在 AI 这么强大，很轻松就会分析出哪些路由比较可疑。更不用说大量的机场本就是在 GFW 的眼皮子底下，被睁一眼闭一眼放过的，要严起来，分分钟就会塌陷。

经过分析 GFW 封禁策略，我发现有一个方法很难被“墙”。解释一下就是多点开花，就像癌症扩散了一样，GFW 建墙就好比局部化疗，对全身扩散的情况是没有多大效果的 — 具体说来，就是经自己家的接入路由器（Router），用一个小 PC 来当机场，让你的亲友直接经此上网。

这种“分布式”的翻墙，GFW 没精力去管，因为每个 IP 只管很少量的流量，除非像北韩那样变成局域网，否则封禁成本太高了。

下面就具体分步介绍如何翻墙。你不需要有多少计算机知识，会用计算机就够了。

（一）需要的硬件条件

1）家里有 ISP 提供的宽带网 – 现在大多数都是超过 100 Mb 的网速了，1 Gb 的都不少。我初略估算一下，实际上只要超多 10 Mb 就可以让一两个近亲使用无忧；20 Mb 以上他们就可以看 Youtube 短视频了；50 Mb 就可以看 Netflix 高清电影了；100 Mb 就可以拓展到你的朋友使用了 – 但要警惕传播太广会占你的带宽，对你自己上网也有影响。

2）家里有一台不关机的 PC 机。我在本文里用 Windows 11 为例，但 Mac/Linux 更方便。而且，如果你用了Mac/Linux，大概率不用在这里听我啰嗦了，直接自己就可以做了。如果家里是常用笔记本，不希望总是开着，我建议买一个 Amazon 上 $200 刀左右的 mini-PC，Intel N100，8~16 MB内存，峰值耗电 12 W，平时运行也就 6 W，休闲时可能也就 2、3 W，比一个长明小地灯多不了多少耗电。

够了，就这些。简单吧？

还要花钱买什么别的服务吗？不用，$0 投入！

下面开始手把手教程：熟手别嫌烦，但生手要注意：下面有要输入的东西是一个字符都不能错，包括大小写，不然可能得不到想要的结果。

（二）PC 端要干的事

1）确认你的 Windows PC 正常运行，有管理员权限（有些公司的计算机在家里运行没有管理员权限的不行，个人的都没有问题），有浏览器（推荐 Chrome），然后在浏览器中访问这个站点：

https://whatismyipaddress.com/ 

你会看到：

如果看不到，大概率你的网络不通。注意记下 IPv4 右边的 4 个用小数点连接的数字，那就是我们要用到的路由器 router 的 IP 地址，是你访问互联网时用的自己的地址，也是将来亲友用来做机场的地址。下面假设你的 router 的 IP 地址是：11.22.33.44 – 在下面的例子中你需要改用你的 router 的 IP 地址。

2）下载 Xray。开始真正设置机场 – 用 VLESS + Reality 方案（无证书、抗干扰强）。这些术语你不必要懂，如果需要理解，就理解为最强盾牌吧。在浏览器里打开这个页面：

https://github.com/XTLS/Xray-core/releases 

找到最新版本，下载：xray-windows-64.zip

这里可能有点乱（open source community 的特点）：你打开上面那个连接时，屏幕里很多东西让你眼花缭乱，你不要管它，只在屏幕下方找：

的字样，那个 Latest 前面的数字就是最新版的版本号（你看到的可能略有不同），你按这个 Xray-core 就进入到下载页面。在下载页面往下翻，就会找到 xray-windows-64.zip。然后按那个 xray-windows-64.zip 就可以下载，下载后解压到你的硬盘上（比如 C:\Xray，如果你用别的，下面所有的有 C:\Xray 的地方都要记得修改）上即可。

3）生成 uuid。在命令行（Win + R → cmd，就是在按着有微软图标的键同时按 R 键，就会出现运行的小窗口，在里面输入 cmd 后再按回车键），输入 cd C:\Xray （进入 C:\Xray 子目录，就是刚刚下载的 Xray 目录里），输入：C:\Xray\xray.exe uuid

这就会生成一个 uuid，是一个长长的字符串，像这个一样的，是将来定位你这台 PC 机的：

2cc31086-8040-4e91-9126-b90547158457

4）生成钥匙对。在命令行运行（Win + R → cmd）C:\Xray\xray.exe x25519

就会生成一对钥匙：Private key 和 Public key。注意，这个 Private key 不要给任何人（只需留在本地 PC 上）！那个 Public key 是公钥，将来是给你的亲友，用来连接这个机场服务的。下面假设 Public key （也叫密码，password）是这样的：

那个 x25519 是哪里来的魔幻数？别管了，那是 Diffie-Hellman 用来安全建立加密通道的密钥交换生成机制。想学就从 Diffie-Hellman 开始吧。

密钥 Private key 和公钥 Public key 都是一个40 几位的字母数字混合串。

5） 现在编辑一个文本文件。用 Windows 自带的 notepad 即可。在 C:\Xray 下，建一个 config.json 文件，把下列内容复制进去，并修改 uuid 和 Private key部分（保留双引号）：

{
  "inbounds": [
    {
      "port": 443,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "这里填uuid",
            "flow": "xtls-rprx-vision"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "dest": "www.cloudflare.com:443",
          "serverNames": [
            "www.cloudflare.com"
          ],
          "privateKey": "这里填Private key",
          "shortIds": [
            "12345678"
          ]
        }
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom"
    }
  ]
}

注意 shortIds 下的 “12345678” 可以修改成你喜欢的任何字符串，不过大概率不影响安全性。在下面的叙述中假设用这个 “12345678” 作为 shortIds，如果你改了，记得修改所有出现 “12345678” 的地方。

6) 验证一下是否一切正常。在命令行（cmd）里运行：

如果没有报错，就说明一切顺利（可能运行时需要管理员权限授权），你的 PC 以及成为机场了！

如果报错，大概率前面哪个地方做错了，仔细检查，重新来过。

注意，这个窗口要常开，VPN 才能用，用 Ctrl-C 可以中断，但 VPN 就停了。而且，如果 PC 进入休眠状态，这个 VPN 服务就也停了。所以，要当个敞开的机场，就得把 PC 的 Sleep 关掉，在 Widnows 里的“设置-系统-电源”的“屏幕、睡眠和休眠超时”里，把下图的两个休眠睡眠时间项都要关上，变成“从不”。

（三）路由器端要干的事

这个可能有点绕，因为每家的路由器可能都不一样，我无法给出图示如何做。但这里要做的东西很简单，就是给路由器 router 放行，允许 TCP 443 端口的 traffic 可以通过。注意大多数 router 在缺省配置时是禁止 TCP 443 端口放行的。

下面只是一个例子，你需要有办法连接到你的路由器管理 admin 界面，并用 ISP 给的密码登录才可以进行相应的配置，其实只有开放 TCP 433 port forwarding。比如这是我的路由器管理界面（我的路由器内部 LAN 的 IP 地址是 192.168.1.254，有的是192.168.0.1，看 ISP 是如何给你配置的内部网络了。我的 PC 内部 IP 地址是 192.168.1.12，选中“Firewall” 后，把路由器到这个 192.168.1.12 的内外 port 443 （HTTPS 协议的缺省 port）的所有 forwarding，并按“Apply”按钮后保存改变，就可以了。

有些 ISP 为了“保护”用户，禁止了 port 443 的改变，那你可以用 8443 来代替，不过记得所有出现的 port 443 的地方都要用 port 8443 代替。而且，因为 8443 不是常规 HTTPS traffic，所有 GFW 可以容易识别一些（但一般没事）。

如何知道你的 PC 的内部 LAN 的 IP 地址？在命令行运行（Win + R → cmd），然后在命令行（那个弹出的黑窗口）输入：

ipconfig

你会看到有这样的输出：

   IPv4 地址 . . . . . . . . . . . . : 192.168.1.12

   子网掩码  . . . . . . . . . . . . : 255.255.255.0

这里的 IPv4 后面的数字就是 PC 的本地 IP 地址，我这里是 192.168.1.12

注意这个地址是你的路由器分配的，可能会变。如果你的路由器功能强，你也会操作，可以把这台 PC 的 IP 地址改成静态的（static），就不会变了。另外，如果这台 PC 经常开着，IP 地址也不会变（DHCP lease 会趋向于给以前用过的 IP）。

现在验证一下路由器的 port forwarding对不对。你在外网（不是自己家的 WiFi 里），用别人家的 PC，或自己手机流量（不能用 WiFi），在浏览器里输入：

如果出现“This Connection Is Not Private ”一类的报警，就可以了，说明网络已经联通了。如果浏览器空转长时间不动，一定是网络配置出现了问题，仔细检查，重新来过。

（四）国内翻墙手机端要干的事

这个取决于你用的哪个客户端手机 app。比较好用的是 ShadowRocket，但要花几块钱买。我这里用苹果上免费的 V2Box 做例子，安卓、苹果上都有，性能也不错。

先告诉国内的朋友在手机上安装 V2Box，在手机上就是 VPN 功能。

国内的朋友如果无法安装这个 app：

• 在苹果里可以选择 Stash（几块钱）、ShadowRocket（几块钱）、Sing-box（免费）...
• 在安卓里可以选择 v2rayNG ，SagerNet，Clash Meta for Android 等...

把下面的 [uuid]、[IP] 地、[public-key] 和 [sid] 换成你的，发给你在国内的亲友。这里有点讲究，强烈建议尽量不要用微信传递，你懂的，最好是用 Whatsapp、Telegram 一类的端到端加密通信。

如果只有微信可用，可以这样：你先亲友联系好，告诉他收到后马上拷贝保存到本地，然后你把这个字符串切成几半，每次送一段（最好用不同的微信），他收到后你有两分钟时间撤回（recall）这条信息。经过几次传送（最好拖延在几天内），他收到全部的字符串后，再组装成一个。特别是 [public-key] 、[uuid]不能在一起，打断后再传。

同时告诉亲友，不要把这个字符串给任何不相关的人，因为得到它就可以用你的机场了。

替换后应该变成类似这个样子的（用我假想的 uuid、IP 地址和 public key）：

告诉亲友把这个字符串拷贝到剪裁板，然后打开他们手机里的 V2Box （或者其他的 VPN app），在“配置”菜单里按“+”号或类似的操作，选择“Import from Clipboard（从剪贴板导入）”，如果无误，点击（或滑动）连接（Connect），就可以了。这时手机的状态栏就会在网络的后面有一个方框圈上的 VPN 提示已经联通了。

V2Box 本身缺省时不做联通测试，所以在加入这个 VPN 时 V2Box 里会出现一个小的红色“timeout ”，不用管它。

平时这个联通 VPN 的方式即可以通过这个 VPN app (如 V2Box），也可以通过手机自带的配置，如苹果的“设置-VPN”来实现。

现在在亲友的手机（你的也可以，但必须是不用家里 Wifi 连接上网的，而是用 4G/5G 流量的）上测试一下：在浏览器里输入：https://api.ipify.org 

这应该返回一个 IP 地址。如果显示的是 11.22.33.44（换成你家路由器的 IP 地址），说明你确实在走“手机 → V2Ray → 互联网 → 你家 Windows → 你家公网出网” ，好了大功告成。如果没有意外的话，你已经成功地带你亲友翻墙了！恭喜！

试一试 Youtube、X、Google、Facebook、Netflix、Whatsapp、Telegram、Line、Instagram、ChatGPT、Gemini、Grok、Claude、…

如果没有显示你家路由器的 IP 地址，那就是出了问题，继续查。对于用国内手机测试的情况，因为 https://api.ipify.org 也大概率需要翻墙，所以如果 VPN 成功会返回哪个 IP，否则就会变成返回垃圾或永久等待（被“墙”了），需要核查步骤，一定是哪里搞错了。

（五）进阶

上面是最基本的操作，下面给出一些进阶手段。

1）更安全和隐秘。现在你的亲友是通过你的路由器 IP 访问你的机场，相当于在互联网里暴露了你机场的 IP。这不是什么大事，但如果你挑剔，也可以隐藏的。这就需要一个 DNS 名称绑定：别怕这个术语，很简单的。先用你的 Email （比如 Google 的账户）在https://www.duckdns.org 上注册，注册登录后就可以加入你自己的域名与你的路由器 IP 的绑定了，然后就可以用那个名字来访问，而不必用 IP 地址：

按图，选一个那个系统没有用过的域名（名字重了系统会报错，你换一个再试），比如fanqiang1234。在 “current ip”里输入你的路由器 IP 地址。这样，你的全域名就是 fanqiang1234.duckdns.org 了，用这个名字可以替换给你亲友的那个长字符串中的 IP 地址，类似这样的：

这个能稍微更安全一点 - 如果你改了，记得给你的亲友，但亲友不改，还用 IP 也可以。

2）自动化。你可以简化每次开机要手动运行 Xray，用下面步骤：在 C:\Xray 建一个 start.bat 文本文件：

按 Win + R → 输入： shell:startup 然后把 start.bat 文件拖进去

这样下次开机就会自动运行这个 Xray，启动 VPN 机场了。

3）变化。你的路由器 IP 地址是国内亲友可以用这个 VPN 的主要手段，不幸的是这个不一定是稳定的，一般是 ISP 动态分配的。但注意下面可以解决问题：

• 如果亲友反应 VPN 不好用了，首先检查是不是路由器的 IP 地址被换了。记得这个网址吧？看一看是不是换了：https://whatismyipaddress.com/ 
• 如果的确是 IP 变了，告诉亲友在 V2Box 里修改 IP 为新的地址就可以了。如果你做了上面的 DNS 域名绑定，连国内亲友都不用修改任何东西，到https://www.duckdns.org 上直接改绑定中的 IP 地址为你的路由器新地址就行了。
• 其实，这种 IP 变化一般是很少的，特别是常开的路由器，ISP 一般不会变，都是 DHCP 协议控制，是相对稳定的。
• 如果你做了上面的 DNS 域名绑定，还可以做一个 Windows 的 cron job，来自动周期检查你的路由器 IP 是否有变动，如果变了可以在 cron job 里自动修改。如：https://www.duckdns.org/update?domains=fanqiang1234 &token=[token]&ip=[IP] 其中 [token] 是在 duckdns 里你绑定用的标识（在那个网站里找），[IP] 是你的路由器新 IP 地址。不过，cron job 在此也是超纲了，如果你不知道那是什么，就老老实实地手动吧，也不太麻烦。

对 Linux 老手，可以用 Windows 的 Powershell 来干cron job 的事情，如：

这个提示看不懂也没关系，只是方便那些熟手们。

如果有能力，还可以建立具体的日志服务（rotating log…)等，超纲不多说了。

每个人的环境可能略有不同，需要“动脑筋”解决问题，

（六）须知

1）当你打开这个 VPN 后，互联网上有许多机器人就可以看到你的 PC 了，会进行扫描看是否有漏洞可钻，不必理睬它们 – 这个协议还是很安全的。如果不放心，可以搞白名单，但在本文中超纲了，太麻烦。外界看到的就像你的路由器是一个 HTTPS 服务器。

2）如果你想看谁在访问你，合法的和恶意的，可以再开一个 shell 来监视，这个也是超纲的。你也可以在 config.json 里加上 logging：

注意 info 级别的 logging 量会很大，网上的 bot 太多了。嫌多可以把 info 改成 warning 或 error。

3）你可以在手机上在联通 VPN 后（经流量，不是 Wifi）看看速度怎么样：https://fast.com 和你没有联通时做一个比较。很可能比没有 VPN （经流量，不是 Wifi）还快，因为你家的宽带可能很快，除非你的手机服务是 5G 的。

4）毕竟这是把你家的局域网打开了一个洞。如果你有重要数据，我还是不建议你冒这个险了。

希望你可以帮助亲友愉快翻墙，安全上网。

这里是 PDF 版：

https://drive.google.com/file/d/1UDooeUweOi3tPTxInmfY-pZQLqMzqCAe/view?usp=drive_link

一家之言，欢迎批评指正。