“如何翻墙”系列:扫盲 VPN 翻墙——以 Hotspot Shield 为例

  临近国庆,GFW 封锁家具了。所以俺就多写点翻墙帖。《回顾六四》系列的下一篇打算在国庆假期发出。期待此系列的网友,请见谅 :(   在各种翻墙工具中,VPN 是一个大类。为了让大伙儿(尤其是“技术菜鸟”)了解这种翻墙方式,俺特地以“Hotspot Shield”为例,来普及 VPN 翻墙的方式。

  本文虽然是针对 Hotspot Shield 写的,但你一定善于【举一反三】。因为本文介绍的翻墙姿势,同样适用于其它类型的 VPN。

  VPN的学名叫虚拟专用网,洋文叫“Virtual Private Network”。维基百科的介绍在“这里”。本来这玩意儿主要是用于商业公司,为了让那些不在公司里的员工(比如出差在外的)能够方便地访问公司的内部网络。为了防止黑客冒充公司的员工,从外部访问公司的内部网络,VPN 软件都会提供强大的加密功能。而这个加密功能,也就让它顺便成为翻墙的利器。   使用 VPN 通常需要先安装客户端软件。当你运行 VPN 客户端,它会尝试联到 VPN 服务器(这点跟加密代理类似)。一旦和 VPN 服务器建立连接,VPN 客户端就会在你的系统中建立了一个虚拟局域网。而且,你的系统中也会多出一个虚拟网卡(在 Windows 下,可以用 ipconfig /all 命令,看到这多出来的网卡)。这样一来,你的系统中就有不止一块网卡。这就引出一个问题:那些访问网络的程序,它的数据流应该通过哪个网卡进出?

  为了解决此问题,VPN 客户端通常会修改你系统的路由表,让那些数据流,优先从虚拟的网卡进出。由于虚拟的网卡是通往 VPN 服务器的,当数据流到达 VPN 服务器之后,VPN 服务器再帮你把数据流转向到真正的目的地。

  前面说了,VPN 为了保证安全,都采用强加密的方式传输数据。这样一来,GFW 就无法分析你的网络数据流,进行敏感词过滤。所以,使用墙外的VPN服务器,无形中就能达到翻墙的效果。   由于 VPN 客户端会建立虚拟局域网并修改路由表,所以系统中所有涉及到网络的应用程序(比如:浏览器、邮件客户端、聊天工具)都会通过这个虚拟局域网来访问互联网。也就是说,你无需进行额外的配置,就可以让各种软件翻墙。这就是 VPN 翻墙同加密代理翻墙,最主要的区别。   VPN 的缺点主要有2个:   其一。很多 VPN 是通过客户端软件来建立虚拟局域网的。这些客户端软件通常都需要在系统中装驱动。因此,这类 VPN 的客户端软件都不是绿色软件,而且还需要管理员权限才能安装。这样一来,那些通过网吧上网的同学,就无福享用此类VPN了。像俺这样,非常偏爱绿色软件的,估计也不太喜欢这类 VPN。(某些基于 PPTP/L2TP/IPsec 的 VPN,由于无需安装客户端软件,没有此缺点)   其二。虽然 GFW 对 VPN 加密的数据流无可奈何。但是别忘了,GFW 还有另外的招数——域名封锁和 IP 封锁。如果某个 VPN 用的人太多,GFW会针对这个VPN的服务器进行域名封锁和 IP 封锁。让这 个VPN 彻底用不了。   在此顺便一下提醒各位:今天介绍的 HSS,虽然目前还能用,但是保不准哪天就失效了。不过捏,HSS 是非常老牌的 VPN(貌似有4、5年历史了),定期会出新版本。一旦 HSS 杯具了,你可以等它出新版本的时候,升级一下;也可以改用其它 VPN。
  如果你能翻墙,直接上官方网站(在“这里”),会下载到一个名叫 DM-XXX.exe 的东西,这货不是 HSS,而是 HSS 的下载器。拿到下载器之后,为了保险起见,可以先验证一下它的数字签名。验证无误,运行之。然后它会帮你下载到完整的 HSS 安装包(也带有数字签名)。   其它的 VPN 翻墙工具,通常都会在其官网提供“VPN 客户端”的下载安装包。再次罗嗦一下:不管你用的是那一款 VPN,尽量从【官网】下载安装包,比较保险(来路不明的安装包,或许有“病毒/木马”)。   前面说了,VPN 客户端都需要装驱动。因此,要使用管理员用户进行安装。安装界面第一步先选择中文,后续安装步骤比较傻瓜化,菜鸟用户也能搞定,俺就不浪费口水了。   安装好之后,到开始菜单里面,点击“Hotspot Shield Launch”,就启动了 HSS。启动之后,系统托盘会出现一个 HSS 的图标。如果能正常连接到 VPN 服务器,该图标会变为绿色。之后,你就可以尽情享受翻墙带来的乐趣。
  前面说了,一旦 VPN 装好,所有软件无需额外设置,都能够翻墙了。但是,这也引来新的问题。有些网友比较看重性能:希望能够不经过 VPN,直接访问国内的网站;只有国外的网站才走 VPN。这时候,前面提到的“路由表”就排上用场了。   如果你没有 IT 技术背景,听到“路由表”这么高深的词汇,估计心里发虚。不过没关系,天朝不乏热心的网友,已经帮大伙儿做好了傻瓜化的工具。不需要对路由表有深入的理解,便可搞定。

1. 首先,向大伙儿隆重介绍 chnroutes 开源项目(网站在“这里”)。该项目提供了预先定制好的路由表,能够做到国内网站自联,国外网站走VPN

2. 到该网站的“这里”,下载一个压缩包(名为 pre_created_for_win.zip)。只有8.5K,一眨眼就下载完。 3. 把压缩包解开,里面有4个文件,咱们只需要俩(vpnup.bat 和 vpndown.bat)。 4. 当你需要调整路由的时候,(以管理员身份)双击 vpnup.bat 5. 当你需要把路由表复原的时候,就(以管理员身份)双击 vpndown.bat (运行上述俩脚本,大约需要几分钟,快慢与否取决于你电脑的性能) 怎么样?是不是很简单?懂技术的网友,可以用 tracert 命令来验证路由表修改后的路由效果。   以下列举一些 VPN 翻墙的常见问题。这些问题,不光 HSS 会碰到,其它 VPN 工具也会碰到。   首先,再次检查你的 VPN 是否确实联通了。如果确实联通了,还是无法访问某些网站,那么非常有可能是因为你的 DNS 服务器没有正确设置。   如果你使用的是国内的 DNS 服务器(比如电信运营商默认提供给你的),那么,就存在“域名劫持”的风险。简而言之,就是说这些国内的 DNS 服务器里面,故意包含了错误的 DNS 记录(当然是针对那些敏感网站)。如此一来,如果你通过国内的 DNS 服务器进行查询,就会得到错误的 IP 地址。然后你尝试翻墙访问这些错误的 IP,自然是一无所获。

  除了“DNS劫持/域名劫持”,还有一种阴招叫做“DNS 污染”。详细介绍可以参见俺后来写的博文《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》。

  比如 HSS 就有流量限制。貌似每个月有几 GB。如果纯粹浏览网页,不看视频不下载大文件,应该是够用的。   万一你的流量超了,可以通过修改网卡的 MAC 地址来绕过。(不懂得修改 MAC 地址的同学,请自行 Google 一下)。好多 VPN 翻墙可以也可以用这招 :)
  今天提到的某些内容,会增加到俺写的翻墙扫盲教程——《如何翻墙》以及《常见翻墙问题答疑》。这两份文档,俺会不定期更新,力图做到与时俱进。
  另外,如果翻墙碰到困难或者有啥翻墙招数要跟俺分享,欢迎来信交流(program.think@gmail.com)。要记得用国外邮箱收发,以免被墙。另外,为了避免被误判为垃圾邮件,请在来信的标题中,体现出”翻墙”的字样。

俺博客上,和本文相关的帖子(需翻墙):

如何翻墙(传说中的扫盲教程,定期更新)
常见翻墙问题答疑(传说中的FAQ,定期更新)
获取翻墙软件方法大全(教你在无法翻墙的情况下拿到翻墙软件)
扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
扫盲 VPN Gate——分布式的 VPN 服务器
关于 TOR 的常见问题解答
双管齐下的赛风3
自由門——TOR 被封之后的另一个选择
新版本无界——赛风3失效后的另一个选择
戴“套”翻墻的方法
简单扫盲 I2P 的使用