2023年如何在内地顺畅的使用各种VPN

好久都没有像这样写文章了，之前频道的风格都是我用VPN的时候顺手测个速然后随手一发，除了刚开始建立频道那时候写过几篇专门的测评以外就没有再写过像这样的文章了（其实是懒），正好现在有空还没事干（吃饱了撑的），所以寻思看看能不能写一点我玩VPN这么久以来的一些经验。

事先说明一下，我从开频道之初的就有过说明，这些大牌VPN在体验上九成九都是不如各类机场的，因为机场可以说99%都是国人/华人开的，国人当然比老外更懂国人需求，同时也更懂内地的网络环境。内地由于特殊的网络环境，国际出口质量并不是那么好，那这个时候就需要有专门的优化线路去救，但海外大牌VPN都是面向全球用户的，并不像机场基本上只面对内地用户，因此也不能指望他们上线针对中国内地用户的特殊线路。以及加上高昂的售价还有动不动就要求年付甚至两年付三年付，因此我并不推荐内地用户以正价购买VPN作为主力翻墙手段。但这里有一个例外是AstrillVPN，这是我见过的海外大牌VPN中唯一有各种内地优化线路的，别家VPN不是M247全家桶就是Datacamp（CDN77）全家桶，但AstrillVPN这边画风就不一样了，一大堆的HKT、HGC甚至还有CN2，甚至还有标明中国优化节点，以至于我甚至觉得背后是国人在运营。购买AstrillVPN作为主力翻墙手段是可以的并且体验不会比一些机场差多少，但有个问题就是太贵了并且VIP节点还限制流量，加上VIP流量的套餐价格已经可以买到含专线的机场了，实在犯不着。所以这段话是表明我的核心观点：即同价格的情况下，VPN在体验上远远不如机场。VPN唯一的好处便只剩下九成九的运营商都是海外机构并且其使用的服务器提供商大概率也不会有中资直接控股的，因此不用担心被内地查水表。当然了，仅仅是提供商自身不会被查，但在内地的用户就不是这么回事的，实际上现在很多机场主本身也肉身在境外，所以也不用太担心这些问题。一句话：不作死便不会死

不扯蛋了，开始正文吧

1、无污染DNS很重要

不知是出于方便还是彰显品牌还是别的什么目的，很多大牌VPN会选择直接使用自己的主域名作为服务器地址，因此内地只需要污染那一个域名就几乎可以干掉一切

解决方案很简单，只需要搭配无污染DNS使用就能解决这个问题，使用NextDNS/Cloudflare/Google/OpenDNS等提供商提供的基于DoT/DoH/DoQ的无污染Public DNS服务就可以避免这个问题，推荐的方式是在内网使用AdGuardHome架设和一个整个内网都可以使用的无污染DNS，并将上游设置为这些上面提到的DNS。

AD：我在这里推荐一下NextDNS，虽然是付费服务，但绝对物有所值，土区年付只需要129TRY！并且有提供免费套餐，可以提供每个月30w次的请求，对于一般的家庭用户来说非常够用了，并且现在NextDNS会将来自中国内地的请求由香港节点回答（之前是韩国，并且体验很离谱），速度上是有保障的，我在广东的时候NextDNS的回答速度甚至快过Google和OpenDNS，体验真的很棒！还有诸如去广告、屏蔽木马病毒、保护隐私等功能，并且全部都会在免费套餐中提供，免费套餐和付费套餐唯一的区别便是免费版每月限制30w的请求数。所以，还等什么呢？点击链接 https://nextdns.io/?from=vgf8w2g7 立即开始体验！PS：虽然走我的邀请链接购买付费套餐我确实可以获得收益，但NextDNS官方并未联系过我，我推荐NextDNS是因为它确实不错而且不贵，值得一试，并且可以单独设置很多配置文件，付费版没有请求数限制，完全可以多人合租共享。所以各位去试一下吧，试一下免费套餐也好，我相信你会喜欢她的！

二、选对协议很重要

除开DNS污染的问题，协议可能是仅次于线路对VPN体验影响最大的一环。绝大部分的VPN都有提供手动选择VPN协议的选项，但也不一定全都有提供这个选项（点名批评Norton）

这里解释一下VPN协议需要怎么选，首先，如果有提供WireGuard协议（下文简称wg）的话肯定是首选wg，这是目前常见的VPN协议中用于翻墙的最稳的选择，配置简单，安全性高，速度也很快，缺点在于wg基于UDP，内地的部分地区的网络环境会劣化UDP，甚至有些时候压根没法用，会把包丢的一干二净。

其次是OpenVPN-UDP协议，这是使用最广泛的协议，在wg推出之前基本上是霸主级别，基本上没有VPN不使用OpenVPN。在保证了安全性的基础之上速度也还可以，稳定性看运营商，也还是能用的，和wg一样如果当地运营商会劣化UDP的话就会很难受。有些VPN软件中会直接显示OpenVPN，如果你看到了另外的选项是OpenVPN-TCP的话那不带TCP字样的即是OpenVPN-UDP。NordVPN会在协议选项之外的地方选择是否需要开启TCP，不开启则是UDP。还有就是在一些VPN软件中的协议选择中会直接显示UDP和TCP，不用怀疑这就是OpenVPN-UDP/TCP。

OpenVPN-TCP，是基于TCP的OpenVPN协议，但我在很多年前（起码10年前）就有看到过一种说法就是OpenVPN-TCP已经被GFW精确识别根本无法连接上，很多年前NordVPN会推荐来自当地有网络审查的地区的用户开启混淆和TCP，最开始我用的时候是可以用的，但后来就不能用了，到头来还是不如直接OpenVPN-UDP不加混淆，不过现在的NordVPN应该还是app压根没法用，手动配置也是看运气，2020年那会NordVPN会给内地用户准备专门的配置文件用于手动配置连接，但现在貌似很久没更新过了。

iKEv2/IPSec，这是一种由微软和思科联合开发的协议，手动配置麻烦，基于UDP协议，在内地还算可用，连上了稳定性就不错，速度也还过得去，顺带一提，我就没在Windows Phone和Blackberry 10上成功配置过iKEv2，死活连不上，用澳门卡开热点也是。

L2TP/IPSec，现在已经快看不到了，不知道现状怎么样了，但估摸着不太可用。

AnyConnect（下文简称ac），思科私有的VPN协议，应该没有哪家提供商提供这玩意，因为正规的ac需要思科的防火墙/VPN网关设备才可以搭建，虽然可以使用Oserv在普通的Linux服务器上搭建，但这应该不是思科授权行为，真要这么搞的话可能会被思科告侵权，一般用于外企更多，GFW不敢乱封，但速度就很离谱了。然后还有一堆的SSL VPN比如Juniper Pulse啥的我就不说了，不然能讲出好几页来。

三、手动配置很重要

其实无污染DNS在一定程度上并没有那么重要，因为其实现在很多VPN提供商的app就有内置无污染的DNS用于对抗内地的DNS污染，例如ProtonVPN就有会使用Quad9来解析（但还是没屌用，因为IP被墙了）

但由于VPN软件本身还需要去连接服务器去获取服务器信息，然后就会产生这个服务器被墙了的问题，PureVPN的解决方法是直接使用AWS CloudFront的CDN地址提供服务，对于全球顶级云服务的域名GFW还是不敢乱来的。但实际上很多时候用app就是连不上，还有就是不是所有的VPN提供商都有内置无污染DNS，而有些时候本地也没有无污染DNS，因此这个时候手动配置就会有奇效。同样的，手动配置也是首选wg协议，一般情况下VPN提供商的官网就会有提供配置信息，基本上下载完/复制就可以直接导入，如果VPN提供商提供的是服务器地址是域名的话，也可以使用类似于 ip.sb 这样的服务手动解析为IP之后再填入配置文件，只要IP本身没有被墙的话就基本上能连上。手动配置的好处是可以自己观察，可以看日志来分析到底因为什么导致的无法连接，还可以配置基于CIDR的分流，让VPN不要代理内网的IP段和别的不要走VPN的IP段（例如内地IP），而绝大部分VPN软件都不提供这项功能，常见的分流功能仅仅是基于软件的分流，Surfshark提供绕过IP的功能但不允许输入CIDR而只能输入单个确定的IP地址。基于软件的分流在手机上或许不错，但电脑上就不是那么回事了，总之就是手动配置可以提供更好的灵活性，对懂一点技术的人来说也可以获得更好的体验。如果有遇到app无法使用也无法打开官网获取新的配置文件的情况时也可以通过邮件来联系客服获取到可用的配置文件。

四、选择供应商是玄学

你没看错，供应商的选择其实是玄学，因为内地特殊的网络情况，可能某个VPN今天能用然后明天就不能用了，也有可能是就只有一个地区的节点可以用但其他的地区的节点别说用连连接都是问题（点名批评PureVPN），因此回到开头的那段话，如果可以的话，不要拿VPN当唯一的翻墙主力。这里也稍微说一下供应商的选择，首先是顶级品牌，大品牌意味着有技术，服务器够多，IP也够多，可以不用太担心某个IP被墙结果全都不能用的情况，但也要看情况，热门的VPN可能会被重点针对然后封IP，例如NordVPN，但不知为何同为一家人的Surfshark又表现尚可，不会出现完全没法连接的情况。也可以试着选择一些有实力但不是那么热门的VPN例如Windscribe、AstrillVPN，然后就是原本没有VPN服务的大厂所提供的VPN服务例如诺顿，但诺顿在电脑上的体验还可以，手机（起码在Android上）上就玄学，可能某次能连接成功然后之后就再也连不上了。以及这种VPN需要小心白标VPN（即外包），如果那个外包本身就是垃圾的话那找他们外包的VPN也是没法用的（例如卡巴斯基和比特梵德）。这方面其实全都是玄学，要讲的话是讲不完的，所以就先这样把

五、附录：一些大牌VPN背后的外包商和是否是一家人的情况（部分是猜测）

NordVPN和Surfshark是一家人（已经官宣《合并》），实际上Surfshark刚出来的时候我就觉得可能是NordVPN的副牌，因为无论是官网和广告的风格还是大批量的广告投放的路数都太过于眼熟，实在是太像了。此外我怀疑PrivateInternetAccess（下文简称PIA）和这两位也是一家的，因为我有一次查Surfshark的IP地址时，IP数据库反映这个IP地址是PIA的IP，还有就是有一次查Mullvad的IP的时候发现那个IP是NordVPN，以及NordVPN和Surfshark都是Datacamp全家桶的情况来看，我现在已经在怀疑这四家背后的公司都是CDN77

IPVanish和StrongVPN有可能是一家人。刚刚记错了以为IPVanish也是Datacamp全家桶，去查了下IP结果发现是一家叫NETPROTECT-SP的公司，看了下这是StrongVPN背后的公司，然后又查了几个地址，发现全都是AS54203（NETPROTECT-SP），通过这点就能判断这俩家或许是一家人，鉴于IPVanish是以及建立多年的老牌，我倾向于StrongVPN背后的公司收购IPVanish（印象中多年前有被收购相关的新闻），也有可能是是作为副牌推出，我第一次看见StrongVPN的时候还以为什么不入流小厂，很快就会死掉的，结果倒是前不久发现我很多年前找到的一家提供OpenVPN over Shadowsocks的一家叫ibVPN的提供商被StrongVPN收购了，这才感觉到这家不容小觑啊

HideMyAss（下文简称HMA）已经被Avast收购，同时AVG也被Avast收购，现在的AVG杀毒软件基本上的就是Avast的换皮版本，Avast SecureLine VPN和AVG Secure VPN也基本上是HMA的换皮版本，服务器什么的全都一样，不过HMA我记得会提供配置文件，但大小a是不提供的，不过话说回来我倒是有点好奇Avast SecureLine VPN以前的样子，不知道以前是自建自营还是外包，Avast SecureLine VPN中文名安全线VPN（这是真的官方中文名），是一个相当老的产品了，在Avast收购HMA很多年前就已经提供，在2011-2014年我小学沉迷于玩各种杀毒软件的时候（其实现在也沉迷）就发现当时的Avast高级版有内置安全线VPN这个功能，但我当时不懂还这是啥玩意，现在再来看，虽然安全线这个名字依然在（虽说官方已经不再使用这个中文译名了。。。），但已经和以前完全不是一个东西了

Avira Phantom VPN这玩意我压根就没连接成功过，我完全不知道它是自建自营还是外包，一无所知。但Avira公司本身已经被NortonLifeLock（下文简称NLL）收购，同时在此之前Avira也是收购了BullGuard（下文简称BG），BG也是有提供VPN服务的，但NLL收购Avira后放弃了继续经营BG，将BG整个产品线砍掉，并将现有订阅全部转换为NortonGO（基本上都是Norton for Gamers），倒是BG的看家本领Sentry主防技术被整合进了红伞，弥补了红伞主防不足的缺点

Norton Secure VPN个人感觉是自建自营，但规模感觉不是很大，从入口IP和出口IP是同一个就能看出来，并且我从没见过用AWS全家桶的VPN，考虑到ec2的流量价格，诺顿负责VPN产品的产品经理怕不是直接开了一堆Lightsail（大雾），但LS应该是没有香港的，就不知道他们这么搞得了。不扯了，说正事。NLL和Avast在2022年底合并为了一家新公司名为Gen Digital，也就是说我上面两段讲到的提供商和公司现在全都是一家人了。目前新公司两家依然是保持各家产品线与业务独立运营，NLL旗下的品牌和产品线有Norton、LifeLock、Avira、BG（已经被砍），Avast旗下品牌和产品线有：Avast、AVG、CCleaner、HMA

根据官网风格以及不知道哪来的感觉，还有就是套餐定价策略（例如都出过60刀/5年的VPN套餐），我总感觉IvacyVPN和PureVPN也是一家人

Kaspersky和Bitdefender的VPN业务是外包给了HotspotShield（以下简称HS），同时Dashlane的VPN服务也是HS提供的，有所不同的是卡巴斯基和比特梵德都是自己弄了个软件，但Dashlane是直接创建一个HS账号，我记得好像还有哪家的VPN也是外包来着，记不太清了，反正知道HS是垃圾就行了

这次就到这吧，希望各位能用的开心，玩的开心

在这里祝大家健康长寿，阖家幸福，诸事顺利，明天就能脱单，后天就能中500w的彩票

本文发布于tg频道 @VPNCeping 转载请注明出处