p4gefau1t / trojan-go Goto Github PK

大佬好
可否支持mysql或者api的方式用户管理和流量统计

kill 掉进程之后报错
unexpected fault address 0x0
fatal error: fault
[signal SIGBUS: bus error code=0x1 addr=0x0 pc=0x110021d0001761]

goroutine 1 [running, locked to thread]:
runtime.throw(0x5da897, 0x5)
/snap/go/5569/src/runtime/panic.go:1114 +0x54 fp=0x400005edb0 sp=0x400005ed80 pc=0x40a24
runtime.sigpanic()
/snap/go/5569/src/runtime/signal_unix.go:692 +0x424 fp=0x400005ede0 sp=0x400005edb0 pc=0x57184
go.starlark.net/starlark.init()
/home/p4gefau1t/go/pkg/mod/[email protected]/starlark/int.go:161 +0x58 fp=0x400005ee50 sp=0x400005edf0 pc=0x4770e8
runtime: unexpected return pc for runtime.doInit called from 0x0

因为VPS的内存小,想尽可能的优化内存占用,在Debian 7 X86下,trojan-go跑200M带宽占用了80%的CPU.
然后在Debian 8 X64试了下,发现X64版没有这个问题,占用只在20%左右.
这个是因为32位性能不如64位吗?

举个例子就是：
client➡️trojan-go➡️port-forward其他地区vps

原版在使用数据库的情况下将password设置为null即可仅使用数据库的密码

go版这样设置的话启动时会报错 提示无密码

这点文档里好像都没提过 不知道是不是我配置有问题

[DEBUG] 2020/04/18 13:44:46 github.com/p4gefau1t/trojan-go/proxy/client.DialTLSToServer:client.go:44 TLS handshaked cipher: TLS_AES_128_GCM_SHA256 resume: false
[ERROR] 2020/04/18 13:44:47 github.com/p4gefau1t/trojan-go/proxy/client.(*Client).handleSocksConn:client.go:165 failed to dail to remote server | failed to start websocket connection | x509: certificate signed by unknown authority

服务端配置好了证书

安全从业相关，搞事情需要用到全局～
不知道能否实现

因为tg群 显示 无法进入，
所以只能来这里询问问题

1、如何把运行命令，后台运行+开机自启

2、如何禁用日志，我看见服务器运行后，上网会出现info，请问可以禁用不显示吗？

在文档中看到 https://p4gefau1t.github.io/trojan-go/basic/config/

Trojan-Go将会测试这个HTTP服务器是否工作正常，如果不正常，Trojan-Go会拒绝启动。

问题是： 为什么需要独立服务器接管80端口，而trojan-go接管443端口？
不可以都由trojan-go来接管吗？

大佬有tg吗，方便交流
以下是别人go语言的实现，可以看看有没有值得学习地方
https://github.com/Dreamacro/clash/commit/b562f28c1be869337224a88d4342abbd169882a6
https://github.com/saito-mayumi/trojan-go

分别试验了trojan和trojan-go,
trojan在同时有ipv6和ipv4情况下，会按照设置内容绑定0.0.0.0:443
trojan-go在同时有ipv6和ipv4情况下，会绑定:::443，也即ipv6端口，ipv4没有绑定，端口仍然是空的未占用状态
已经使用netstat查看，不存在其他软件占用443端口，trojan和trojan-go没有同时启动，是分别试验的，配置除了trojan-go的一些特性以外，其他都是一样的

https://api.github.com/repos/p4gefau1t/trojan-go/releases/latest 获取不到信息

而其他项目 https://api.github.com/repos/trojan-gfw/trojan/releases/latest
都可以正常获取到最新的tag信息

不知道项目的push tag 有什么问题？ （好像是 pre-releases的原因）
这样无法获取到信息影响到安装脚本获取到最新的版本下载

顺便分享一下 一键脚本 https://github.com/jinwyp/one_click_script

go.mod 中对 v2ray 依赖的版本依然是老版本的 4.19.1

v2ray.com/core v4.19.1+incompatible

建议在最后添加如下 replace，替换为最新版

replace v2ray.com/core => github.com/v2ray/v2ray-core v4.23.1+incompatible

参考链接：
v2ray/v2ray-core#1983

如题，类似于SSR一样，可以限制单个密码的同时连接数量，

➜ trojan-go-darwin-amd64 sudo ./trojan-go-darwin-amd64 -cert request Password: [INFO] 2020/04/21 23:00:43 Trojan-Go v0.2.0 initializing [INFO] 2020/04/21 23:00:43 loading config file from /Users/btop/Downloads/trojan-go-darwin-amd64/config.json [ERROR] 2020/04/21 23:00:43 github.com/p4gefau1t/trojan-go/proxy.(*proxyOption).Handle:option.go:34 failed to read config file | open /Users/btop/Downloads/trojan-go-darwin-amd64/config.json: no such file or directory
下载的release版本,按照文档说明执行了一下 提示要找config.json

启动后，只发现 tcp 443 ，没有监听 udp 443

我本身的配置是ok的，使用websocket，可以正常访问，然后套了一个cdn，就不行了，我尝试调整cdn的模式，调整为回源，也可以访问，我在服务器上架一个简单的websocket服务器，可以通过cdn中转，可以设置为直接ws然后ws里面TLS加密之类的吗？(可否去掉最外层的SSL)

如果不出意外，我们将在未来引入类似Shadowsocks的SIP003的可插拔传输层的混淆插件支持。

shadowsocks/shadowsocks-org#28

引入的目的，是让Trojan协议不再局限于TLS和伪装HTTPS网站，而可以伪装其他流量和服务器。如MySQL流量和MySQL服务器，HTTP流量和HTTP服务器，以及其他土制协议等等。你甚至可以将Shadowsocks，v2ray等作为插件。

此选项是可选的。如果用户选择开启插件功能，Trojan-Go将不再使用TLS作为传输层，而是使用插件作为传输层，内容全部明文传输。由插件来加密和混淆明文，保证信道的安全性和隐蔽性。 开启插件功能后，除了TLS选项失效以外，其他Trojan-Go特性完全可用。其中包括服务端抵抗主动探测的特性。

注意，一旦选择开启插件传输，Trojan-Go将完全信任用户提供的插件的可靠性和安全性，Trojan-Go仅仅做鉴权和抵抗主动探测的工作，而不进行任何加密。

下面是一些解释和设想

最近v2ray已有讨论制订新协议的issue。除去其中的情绪化的部分，我认为讨论的意义还是比较深刻的。

v2ray/v2ray-core#2526

个人的观点是，TLS非常可能是未来穿透防火墙的主力军。但是鸡蛋不能放在一个篮子里。我们不能将战线完全收缩到TLS上，完全放弃其他协议。各类土制协议（不保证密码学安全，但是完全私有的协议）应该得到支持。保持代理协议的多样性，可以大大阻碍防火墙的维护人员，研究学习各类代理，以及部署相应的探测机制，增加审查的难度。因为，防火墙不可能探测和识别一个未公开的、它从来不知道的协议；即使公开，也因为协议数量众多，无法进行有效审查。

简而言之，做一个可能不太恰当的比喻，如果说TLS是正规军，正面对抗防火墙，那么土制协议如同游击队，满地开花。我们的目的，是通过农村包围城市，让防火墙淹没在人民战争的汪洋大海中。

基于以上的观点，Trojan-Go可能在未来引入类似Shadowsocks的可插拔传输层混淆插件。但与其有一些不同。由于Trojan协议本身并不进行加密，且基于Trojan本身的抵抗主动探测的精神来看，合格的插件需要满足下面几个原则：

1. 插件本身可以对传输内容进行加密，混淆和完整性校验，以及可以抵抗重放攻击

2. 服务端的插件，在检验到内容被篡改/遭到重放时，必须将此连接交由Trojan-Go处理而不是直接断开，Trojan-Go将此连接重定向到配置文件中预设的端口上

其中第二点的设计目的，与HTTPS站点伪装的目的类似。

为了方便理解，举一个例子。

1. 假设你的插件伪装的是MySQL流量。防火墙通过流量嗅探，发现你的MySQL流量大得异常，决定主动连接你的服务器进行主动探测。

2. 防火墙连接到你的服务器并发送探测载荷，你的Trojan-Go服务端插件，经过校验，发现这个异常连接不是代理流量，于是将这个连接交由Trojan-Go处理。

3. **Trojan-Go发现这个连接异常，将这个连接重定向到一个真正的MySQL服务器上。**于是，防火墙开始与一个真正的MySQL进行交互，发现其行为与真实MySQL服务器无异。

于是自始至终，防火墙无法判断你的服务器是否是Trojan-Go服务器。因为被动探测（流量嗅探）来看，你的流量是MySQL流量。主动探测来看，你的服务器行为就是MySQL的行为。

如果大家有更好的想法，建议或者意见，都可以在下方进行讨论。

trojan-go 在mySQL鉴权模式下，会无限创建与数据库的连接，导致数据库过载，拒绝新的连接。但 trojan-go 本身似乎一直在使用之前创建的连接，所以工作正常。

已确定是 trojan-go 的原因，因为重启 trojan-go 进程后数据库连接数立即恢复正常。
用的是 master 分支当前最新编译的版本。

便于扩展例如多用户管理, Dashboard 等配套设施?

用了一下午，数据库中流量统计并不准确。

./trojan-go-linux-amd64 -version
-ash: ./trojan-go-linux-amd64: not found

显示 not found ，执行权限都已经提供。

出现一个和原版类似的问题，就是远程对接的数据库，用过一段时间后就不能用

日志也不报错，就是停留在不能使用的那个时候

前端HTTPS也无法访问

已多次出现，不知道是什么原因

Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 conn proxy ends
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 user INVALID_HASH conn to 127.0.0.1:80 closed sent: 106.27 KiB recv: 1.53 KiB
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 conn proxy ends
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 user INVALID_HASH conn to 127.0.0.1:80 closed sent: 61.46 KiB recv: 1.09 KiB
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 conn proxy ends
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 user INVALID_HASH conn to 127.0.0.1:80 closed sent: 99.90 KiB recv: 1.05 KiB
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 conn proxy ends
Mar 22 07:23:12 debian trojan[72243]: [INFO]  2020/03/22 07:23:12 user INVALID_HASH conn to 127.0.0.1:80 closed sent: 135.31 KiB recv: 1.10 KiB
Mar 22 07:23:19 debian trojan[72243]: [INFO]  2020/03/22 07:23:19 buffered data has been written into the database
Mar 22 07:24:03 debian trojan[72243]: [ERROR] 2020/03/22 07:24:03 github.com/p4gefau1t/trojan-go/proxy.(*Server).handleConn:server.go:52 failed to read hash | EOF

config.json file is following:

{
"run_type": "client",
"local_addr": "127.0.0.1",
"local_port": 1080,
"remote_addr": "dj.itu.me",
"remote_port": 443,
"password": [
"1100981"
],
"ssl": {
"cert": "",
"sni": ""
}
}

tls.CipherSuites() 这个方法似乎是不存在的阿

比如

server:
-type server -local_port 1234 -password 1234 -cert xxxx -key xxxx

client:
-type client -local_port 1234 -password 1234 -remote_addr xxxx -remote_port 1234

这样可以脱离配置文件，一条命令搞定一切。

这是trojan-quickstart，虽然trojan-go有docker方式，但有些人可能还是想直接部署，其实我看你的example里也有trojan-go.service文件，一键脚本只需要把trojan-go压缩包下载下来，解压并放到合适位置，并把trojan-go.service文件放到systemd里即可。

我之前获取Let's Encrypt的 HTTPS 证书是通过acme.sh。
获取过程中需要提供阿里云的 Key 和 Secret。
https://github.com/acmesh-official/acme.sh

trojan-go 如何Let's Encrypt自动申请和更新HTTPS证书。
不需要配置类似的Key 和 Secret？

或者sip003那种插件，直接用ss客户端😆

windows QT5客户端全局模式下无法上传文件？

V2ray has a very powerful router, trojan-go also add router functionality recently.
See this link for specific detail about v2ray's router.
It would be nice that trojan-go support v2ray's router rules, for instance, domain:.
As a result, there is no need to use a converter between v2ray and trojan-go rules.
Anyway, thanks for developing such a nice client :).

domain: [ string ]

An array of domains. Available formats are:

Plaintext: If this string matches any part of the targeting domain, this rule takes effet. Example: rule "sina.com" matches targeting domain "sina.com", "sina.com.cn" and "www.sina.com", but not "sina.cn".
Regular expression: Begining with "regexp:", the rest is a regular expression. When the regexp matches targeting domain, this rule takes effect. Example: rule "regexp:\\.goo.*\\.com$" matches "www.google.com" and "fonts.googleapis.com", but not "google.com".
Subdomain (recommended): Begining with "domain:" and the rest is a domain. When the targeting domain is exactly the value, or is a subdomain of the value, this rule takes effect. Example: rule "domain:v2ray.com" matches "www.v2ray.com", "v2ray.com", but not "xv2ray.com".
Full domain: Begining with "full:" and the rest is a domain. When the targeting domain is exactly the value, the rule takes effect. Example: rule "domain:v2ray.com" matches "v2ray.com", but not "www.v2ray.com".
Pre-defined domain list: Begining with "geosite:" and the rest is a name, such as geosite:google or geosite:cn. See Pre-defined domain list for more detail.
Domains from file: Such as "ext:file:tag". The value must begin with ext: (lowercase), and followed by filename and tag. The file is placed in resource directory, and has the same format of geosite.dat. The tag must exist in the file.

建议添加支持自动申请cloudflare证书功能

希望日志可以配置等级

日志太多容易影响排错

我是用一台linux主机做透明网关, 配置如下

client.json

{
    "run_type": "nat",
    "local_addr": "0.0.0.0",
    "local_port": 7892,
    "remote_addr": "mydomain.com",
    "remote_port": 443,
    "password": [
        "mypassword"
    ],
    "ssl": {
        "sni": "mydomain.com"
    }
}

iptables转发配置

/sbin/ip rule add fwmark 1 table 100
/sbin/ip route add local 0.0.0.0/0 dev lo table 100

iptables -t mangle -N TROJAN
iptables -t mangle -A TROJAN -d 127.0.0.1/32 -j RETURN
iptables -t mangle -A TROJAN -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A TROJAN -d 255.255.255.255/32 -j RETURN
iptables -t mangle -A TROJAN -d 192.168.0.0/16 -j RETURN
iptables -t mangle -A TROJAN -p udp -j TPROXY --on-port 7892 --tproxy-mark 1
iptables -t mangle -A PREROUTING -p udp -j TROJAN

请问在这种配置下是否可以实现udp的透明代理(其实就是是否支持tproxy)?
我测试google voice语音电话可以拨打出去, 但是听不到对方声音, 类似的配置改成v2ray的dokodemo-door, 是正常的可以接听的.

在某些环境下，不如用户没有 root 权限的时候，不能依赖系统 dns

  "dns": [
    "1.1.1.1",
    "8.8.8.8"
  ]

trojan-go -daemon -client -api-addr 127.0.0.1:10086
trojan-go -api-addr 127.0.0.1:10086 -api list

rpc error: code = Unimplemented desc = unknown service trojan.api.TrojanServerService

ubuntu 20.04
raspberry pi 3b+ armv7l 32bit

本來使用trojan，試用trojan-go，將trojan的config file，cp去/etc/trojan-go的路徑，用trojan-go執行它，能成功，但當按照trojan-go文檔，加上websocket後，卻報錯了：

     Loaded: loaded (/lib/systemd/system/trojan-go.service; disabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Mon 2020-06-01 08:36:16 HKT; 2s ago
       Docs: https://github.com/p4gefau1t/trojan-go
    Process: 6936 ExecStart=/usr/bin/trojan-go/trojan-go -config /etc/trojan-go/config.json (code=exited, status=23)
   Main PID: 6936 (code=exited, status=23)

Jun 01 08:36:16 ubuntu systemd[1]: Started Trojan-Go - An unidentifiable mechanism that helps you bypass GFW.
Jun 01 08:36:16 ubuntu trojan-go[6936]: [INFO]  2020/06/01 08:36:16 Trojan-Go v0.5.1
Jun 01 08:36:16 ubuntu trojan-go[6936]: [INFO]  2020/06/01 08:36:16 Loading config file from /etc/trojan-go/config.json
Jun 01 08:36:16 ubuntu trojan-go[6936]: [ERROR] 2020/06/01 08:36:16 github.com/p4gefau1t/trojan-go/proxy.(*proxyOption).Handle:option.go:38 Failed to parse config file | inval>
Jun 01 08:36:16 ubuntu systemd[1]: trojan-go.service: Main process exited, code=exited, status=23/n/a
Jun 01 08:36:16 ubuntu systemd[1]: trojan-go.service: Failed with result ```

我使用的是說明文檔裡的範例：

https://p4gefau1t.github.io/trojan-go/advance/websocket/

最奇怪的是，當我在config.json裡刪除websocket的代碼，restart trojan-go service，仍然會報錯，我要把原本trojan的config.json，再cp一次去/etc/trojan-go，才能再次正常啟動。

以下為我原本trojan配置檔裡的內容：

{
    "run_type": "server",
    "local_addr": "::",
    "local_port": 443,
    "remote_addr": "::",
    "remote_port": 80,
    "password": [
        "password1",
        "password2"
    ],
    "log_level": 0,
    "ssl": {
        "cert": "/path/fullchain.cer",
        "key": "/path/cert.key",
        "key_password": "",
        "cipher": "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-SHA384",
        "cipher_tls13":"TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384",
        "prefer_server_cipher": true,
        "alpn": [
            "http/1.1",
            "h2"
        ],
        "reuse_session": true,
        "session_ticket": false,
        "session_timeout": 600,
        "plain_http_response": "",
        "curves": "secp384r1",
        "dhparam": "/etc/nginx/ssl/dhparam.pem"
    },
    "tcp": {
        "prefer_ipv4": false,
        "no_delay": true,
        "keep_alive": true,
        "reuse_port": false,
        "fast_open": true,
        "fast_open_qlen": 20
    },
    "mysql": {
        "enabled": false,
        "server_addr": "127.0.0.1",
        "server_port": 3306,
        "database": "trojan",
        "username": "trojan",
       "password": ""
    }
}

不知道問題出在那，令我用不了websocket，先說聲謝謝幫忙！

第一次使用，用的trojan-gfw的systemd例子用了，结果启动失败，查看日志才发现找不到配置项。所以能否让用户自定义配置路径呢？谢谢！

https://github.com/p4gefau1t/trojan-go/security/policy

For now, trojan-go use trojan-gfw compatible trojan:// uri to pass client-side configuration. I would like to suggest that trojan-go design an extension format to support trojan-go specific features. Here is my rough draft.

Current format

trojan://[password]@[host]:[port]?peer=[server_name]#[remark (url encoded)]

Draft

1. keep the trojan:// uri scheme
2. stay #peer= # at the end of the url
3. pass trojan-go specific arguments after "?" (just like http url)
4. separate arguments with "&"

trojan://[password]@[host]:[port]?wss=[bool]&mux=[bool]&peer=[server_name]#[remark (url encoded)]

Reference

https://github.com/trojan-gfw/trojan-url

简单看了一下代码，发现 ssl 自动那个不太自动。
是否可以实现像 caddy 那样的？提供域名就行，启动caddy后就自动获取证书了。

好像有些难度，我不了解 trojan 协议，能否这样改：

用 http 监听端口，用 certmagic 或者 autocert 获取证书，然后在 http.Handler 里面 hijack 拿到 connection， 再处理 trojan 协议。
这样再外层就是一个 http server, 不是现在的 trojan tcp server. 不知道是否可行。
@p4gefau1t

首先非常作者！

请问是否支持将服务端的outbound链接接入某个上游代理或者绑定给某个network interface呢？

可否给一个systemd的范例?方便开机自启动
谢谢大佬