“如何翻墙”系列:扫盲 VPN 翻墙——以 Hotspot Shield 为例

2011-09-30IT IT.翻墙 IT.软件介绍

  临近国庆,GFW 封锁家具了。所以俺就多写点翻墙帖。《回顾六四》系列的下一篇打算在国庆假期发出。期待此系列的网友,请见谅 :(

★为啥要介绍 Hotspot Shield?


  在各种翻墙工具中,VPN 是一个大类。为了让大伙儿(尤其是“技术菜鸟”)了解这种翻墙方式,俺特地以“Hotspot Shield”为例,来普及 VPN 翻墙的方式。
  本文虽然是针对 Hotspot Shield 写的,但你一定善于【举一反三】。因为本文介绍的翻墙姿势,同样适用于其它类型的 VPN。

★VPN 简介


  VPN的学名叫虚拟专用网,洋文叫“Virtual Private Network”。维基百科的介绍在“这里”。本来这玩意儿主要是用于商业公司,为了让那些不在公司里的员工(比如出差在外的)能够方便地访问公司的内部网络。为了防止黑客冒充公司的员工,从外部访问公司的内部网络,VPN 软件都会提供强大的加密功能。而这个加密功能,也就让它顺便成为翻墙的利器。

◇VPN 的翻墙原理


  使用 VPN 通常需要先安装客户端软件。当你运行 VPN 客户端,它会尝试联到 VPN 服务器(这点跟加密代理类似)。一旦和 VPN 服务器建立连接,VPN 客户端就会在你的系统中建立了一个虚拟局域网。而且,你的系统中也会多出一个虚拟网卡(在 Windows 下,可以用 ipconfig /all 命令,看到这多出来的网卡)。这样一来,你的系统中就有不止一块网卡。这就引出一个问题:那些访问网络的程序,它的数据流应该通过哪个网卡进出?
  为了解决此问题,VPN 客户端通常会修改你系统的路由表,让那些数据流,优先从虚拟的网卡进出。由于虚拟的网卡是通往 VPN 服务器的,当数据流到达 VPN 服务器之后,VPN 服务器再帮你把数据流转向到真正的目的地。
  前面说了,VPN 为了保证安全,都采用强加密的方式传输数据。这样一来,GFW 就无法分析你的网络数据流,进行敏感词过滤。所以,使用墙外的VPN服务器,无形中就能达到翻墙的效果。

◇VPN的优点


  由于 VPN 客户端会建立虚拟局域网并修改路由表,所以系统中所有涉及到网络的应用程序(比如:浏览器、邮件客户端、聊天工具)都会通过这个虚拟局域网来访问互联网。也就是说,你无需进行额外的配置,就可以让各种软件翻墙。这就是 VPN 翻墙同加密代理翻墙,最主要的区别。

◇VPN的缺点


  VPN 的缺点主要有2个:
  其一。很多 VPN 是通过客户端软件来建立虚拟局域网的。这些客户端软件通常都需要在系统中装驱动。因此,这类 VPN 的客户端软件都不是绿色软件,而且还需要管理员权限才能安装。这样一来,那些通过网吧上网的同学,就无福享用此类VPN了。像俺这样,非常偏爱绿色软件的,估计也不太喜欢这类 VPN。(某些基于 PPTP/L2TP/IPsec 的 VPN,由于无需安装客户端软件,没有此缺点)
  其二。虽然 GFW 对 VPN 加密的数据流无可奈何。但是别忘了,GFW 还有另外的招数——域名封锁和 IP 封锁。如果某个 VPN 用的人太多,GFW会针对这个VPN的服务器进行域名封锁和 IP 封锁。让这 个VPN 彻底用不了。

  在此顺便一下提醒各位:今天介绍的 HSS,虽然目前还能用,但是保不准哪天就失效了。不过捏,HSS 是非常老牌的 VPN(貌似有4、5年历史了),定期会出新版本。一旦 HSS 杯具了,你可以等它出新版本的时候,升级一下;也可以改用其它 VPN。

★如何获取?


  如果你能翻墙,直接上官方网站(在“这里”),会下载到一个名叫 DM-XXX.exe 的东西,这货不是 HSS,而是 HSS 的下载器。拿到下载器之后,为了保险起见,可以先验证一下它的数字签名。验证无误,运行之。然后它会帮你下载到完整的 HSS 安装包(也带有数字签名)。
  其它的 VPN 翻墙工具,通常都会在其官网提供“VPN 客户端”的下载安装包。再次罗嗦一下:不管你用的是那一款 VPN,尽量从【官网】下载安装包,比较保险(来路不明的安装包,或许有“病毒/木马”)。

★如何安装?


  前面说了,VPN 客户端都需要装驱动。因此,要使用管理员用户进行安装。安装界面第一步先选择中文,后续安装步骤比较傻瓜化,菜鸟用户也能搞定,俺就不浪费口水了。

★如何使用?


  安装好之后,到开始菜单里面,点击“Hotspot Shield Launch”,就启动了 HSS。启动之后,系统托盘会出现一个 HSS 的图标。如果能正常连接到 VPN 服务器,该图标会变为绿色。之后,你就可以尽情享受翻墙带来的乐趣。

★如何修改路由?


  前面说了,一旦 VPN 装好,所有软件无需额外设置,都能够翻墙了。但是,这也引来新的问题。有些网友比较看重性能:希望能够不经过 VPN,直接访问国内的网站;只有国外的网站才走 VPN。这时候,前面提到的“路由表”就排上用场了。
  如果你没有 IT 技术背景,听到“路由表”这么高深的词汇,估计心里发虚。不过没关系,天朝不乏热心的网友,已经帮大伙儿做好了傻瓜化的工具。不需要对路由表有深入的理解,便可搞定。
1. 首先,向大伙儿隆重介绍 chnroutes 开源项目(网站在“这里”)。该项目提供了预先定制好的路由表,能够做到国内网站自联,国外网站走VPN
2. 到该网站的“这里”,下载一个压缩包(名为 pre_created_for_win.zip)。只有8.5K,一眨眼就下载完。
3. 把压缩包解开,里面有4个文件,咱们只需要俩(vpnup.bat 和 vpndown.bat)。
4. 当你需要调整路由的时候,(以管理员身份)双击 vpnup.bat
5. 当你需要把路由表复原的时候,就(以管理员身份)双击 vpndown.bat
(运行上述俩脚本,大约需要几分钟,快慢与否取决于你电脑的性能)
怎么样?是不是很简单?懂技术的网友,可以用 tracert 命令来验证路由表修改后的路由效果。

★VPN 常见疑难问题解答


  以下列举一些 VPN 翻墙的常见问题。这些问题,不光 HSS 会碰到,其它 VPN 工具也会碰到。

◇用 VPN 翻墙后,某些网站(比如:推特)还是无法访问,咋办?


  首先,再次检查你的 VPN 是否确实联通了。如果确实联通了,还是无法访问某些网站,那么非常有可能是因为你的 DNS 服务器没有正确设置。
  如果你使用的是国内的 DNS 服务器(比如电信运营商默认提供给你的),那么,就存在“域名劫持”的风险。简而言之,就是说这些国内的 DNS 服务器里面,故意包含了错误的 DNS 记录(当然是针对那些敏感网站)。如此一来,如果你通过国内的 DNS 服务器进行查询,就会得到错误的 IP 地址。然后你尝试翻墙访问这些错误的 IP,自然是一无所获。
  除了“DNS劫持/域名劫持”,还有一种阴招叫做“DNS 污染”。详细介绍可以参见俺后来写的博文《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》。

◇VPN 是否有流量限制,咋解决?


  比如 HSS 就有流量限制。貌似每个月有几 GB。如果纯粹浏览网页,不看视频不下载大文件,应该是够用的。
  万一你的流量超了,可以通过修改网卡的 MAC 地址来绕过。(不懂得修改 MAC 地址的同学,请自行 Google 一下)。好多 VPN 翻墙可以也可以用这招 :)

★补充说明


  今天提到的某些内容,会增加到俺写的翻墙扫盲教程——《如何翻墙》以及《常见翻墙问题答疑》。这两份文档,俺会不定期更新,力图做到与时俱进。
  另外,如果翻墙碰到困难或者有啥翻墙招数要跟俺分享,欢迎来信交流(program.think@gmail.com)。要记得用国外邮箱收发,以免被墙。另外,为了避免被误判为垃圾邮件,请在来信的标题中,体现出"翻墙"的字样。

俺博客上,和本文相关的帖子(需翻墙):
如何翻墙(传说中的扫盲教程,定期更新)
常见翻墙问题答疑(传说中的FAQ,定期更新)
获取翻墙软件方法大全(教你在无法翻墙的情况下拿到翻墙软件)
扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
扫盲 VPN Gate——分布式的 VPN 服务器
关于 TOR 的常见问题解答
双管齐下的赛风3
自由門——TOR 被封之后的另一个选择
新版本无界——赛风3失效后的另一个选择
戴“套”翻墻的方法
简单扫盲 I2P 的使用