# Trojan-Go 从零到一 Trojan-Go 是一个基于 Trojan 协议的代理工具,它通过将流量伪装成正常的 HTTPS 流量,从而有效地规避网络审查。相比原版 Trojan,Trojan-Go 提供了更多高级功能,如多路复用、路由、WebSocket 支持等,性能优异且配置灵活。 - **项目地址**:[https://github.com/p4gefau1t/trojan-go](https://github.com/p4gefau1t/trojan-go) - **官方文档**:[https://p4gefau1t.github.io/trojan-go/](https://p4gefau1t.github.io/trojan-go/) # 一、准备工作 在开始之前,请确保你已具备以下条件: 1. 一台境外 VPS:拥有 root 或 sudo 权限,并已安装好一个主流的 Linux 发行版(如 Ubuntu, Debian, CentOS)。 2. 一个域名:并将该域名解析到你的 VPS 公网 IP 地址。本文将以 `your.domain.com` 为例。 3. 基础的 Linux 操作能力:熟悉使用 SSH 连接服务器及执行基本命令。 # 二、申请 SSL/TLS 证书 Trojan 协议的核心是使用真实的 TLS 加密来伪装流量。因此,一个有效的域名证书是必不可少的。我们推荐使用 `acme.sh` 自动申请和续签 Let's Encrypt 等免费证书。 ## 1. 安装 acme.sh ```bash # 安装 acme.sh 工具 curl https://get.acme.sh | sh -s # 如果提示 curl: command not found, 请先安装 curl # apt update && apt install curl -y (Debian/Ubuntu) # yum update && yum install curl -y (CentOS) # 创建软链接,方便全局调用 ln -s /root/.acme.sh/acme.sh /usr/local/bin/acme.sh # 注册 acme.sh 账户(邮箱会用于接收证书到期提醒) acme.sh --register-account -m my@example.com ``` ## 2. 安装依赖并开放端口 `acme.sh` 的 `standalone` 模式需要在 80 端口上启动一个临时验证服务器。 ```bash # 安装 socat,standalone 模式依赖它 apt update apt install socat -y # Debian/Ubuntu # yum install socat -y # CentOS # 确保防火墙开放 80 端口(用于证书申请)和 443 端口(Trojan-Go 服务) ufw allow 80 ufw allow 443 ufw reload ``` ## 3. 申请证书 我们使用 ECC 证书(`ec-256`),它具有更好的性能和更小的密钥体积。 ```bash # --standalone 模式会自动监听 80 端口完成验证 acme.sh --issue -d your.domain.com --standalone -k ec-256 ``` 证书签发失败怎么办? 默认的 CA 服务商可能因为各种原因无法成功签发。你可以尝试切换到其他 CA: ```bash # 切换到 Let’s Encrypt acme.sh --set-default-ca --server letsencrypt # 切换到 Buypass acme.sh --set-default-ca --server buypass # 切换到 ZeroSSL acme.sh --set-default-ca --server zerossl ``` 切换后,重新执行上面的申请命令即可。 ## 4. 安装证书到指定目录 为了方便管理,我们将证书和密钥统一部署到一个目录,例如 `/root/trojan/`。 这里为了方便可以放到 trojan 目录下。 ```bash # 创建目录 mkdir -p /root/trojan # 使用 --installcert 命令将证书文件复制到指定位置 # acme.sh 会在证书续签后自动将新证书部署到这里 acme.sh --installcert -d your.domain.com --ecc \ --key-file /root/trojan/server.key \ --fullchain-file /root/trojan/server.crt ``` 备选方案:使用自签名证书 如果你只是为了临时测试或在内网环境使用,可以快速生成自签名证书。**注意:客户端连接时需要禁用证书验证,安全性较低,不推荐在生产环境使用。** ```bash # 生成私钥 openssl ecparam -genkey -name prime256v1 -out /root/trojan/server.key # 生成证书(-subj 参数可以自定义,CN需要是你的域名) openssl req -new -x509 -days 36500 -key /root/trojan/server.key -out /root/trojan/server.crt -subj "/CN=your.domain.com" ``` # 三、下载并配置 Trojan-Go #### 1. 下载 Trojan-Go 前往 Trojan-Go 的 [GitHub Releases](https://github.com/p4gefau1t/trojan-go/releases) 页面,找到最新的版本,复制对应你服务器架构的 `linux-amd64` 版本下载链接。 ```bash # 进入一个临时目录 cd /tmp # 下载(请替换为最新的版本链接) wget https://github.com/p4gefau1t/trojan-go/releases/download/v0.10.6/trojan-go-linux-amd64.zip # 解压 unzip trojan-go-linux-amd64.zip # 将可执行文件移动到系统路径 mv trojan-go /usr/local/bin/ # 创建配置文件目录 mkdir -p /etc/trojan-go ``` #### 2. 编写配置文件 创建一个配置文件 `config.json`。 ```bash vim /etc/trojan-go/config.json ``` 将以下内容粘贴进去,并根据你的实际情况进行修改: ```json { "run_type": "server", "local_addr": "0.0.0.0", "local_port": 443, "remote_addr": "127.0.0.1", "remote_port": 80, "password": [ "your_strong_password" // 请修改为你自己的强密码 ], "ssl": { "cert": "/root/trojan/server.crt", // 证书路径 "key": "/root/trojan/server.key", // 私钥路径 "sni": "your.domain.com" // 你的域名 }, "router": { "enabled": true, "block": [ "geoip:private" ], "geoip": "/usr/local/bin/geoip.dat", "geosite": "/usr/local/bin/geosite.dat" } } ``` **配置文件关键参数解析:** - `run_type`: 运行类型,服务端设置为 `server`。 - `local_addr` & `local_port`: Trojan-Go 监听的地址和端口,`0.0.0.0:443` 表示监听所有网络接口的 443 端口。 - `remote_addr` & `remote_port`: **伪装目标地址**。当有非 Trojan 协议的流量(如直接用浏览器访问你的域名)访问 `443` 端口时,Trojan-Go 会将该流量转发到此地址。通常,我们会在本地 80 端口搭建一个简单的 Nginx 网站,来完美伪装成一个真实网站。`127.0.0.1:80` 是最常见的配置。 - `password`: 客户端连接时需要使用的密码,可以设置多个。 - `ssl`: TLS 相关配置。 - `cert` & `key`: 指向你刚刚申请并安装的证书和私钥文件。 - `sni`: Server Name Indication,客户端必须指定此域名才能成功连接。这里填写你的域名。 - `router`: Trojan-Go 内置的简易路由器,可以用来屏蔽特定流量(如BT、私网IP等),增强安全性。`geoip.dat` 和 `geosite.dat` 文件随 Trojan-Go 压缩包一起提供,记得将它们也移动到 `/usr/local/bin/`。 # 四、设置后台运行与开机自启(Systemd) 为了让 Trojan-Go 能在后台稳定运行,并且在服务器重启后自动启动,我们为它创建一个 Systemd 服务。 ```bash nano /etc/systemd/system/trojan-go.service ``` 将以下内容粘贴到文件中: ```ini [Unit] Description=Trojan-Go Documentation=https://github.com/p4gefau1t/trojan-go After=network.target nss-lookup.target [Service] User=root CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE NoNewPrivileges=true ExecStart=/usr/local/bin/trojan-go -config /etc/trojan-go/config.json Restart=on-failure RestartSec=10s LimitNOFILE=infinity [Install] WantedBy=multi-user.target ``` 现在,使用以下命令来管理 Trojan-Go 服务: ```bash # 重新加载 Systemd 配置 systemctl daemon-reload # 启动 Trojan-Go 服务 systemctl start trojan-go # 设置开机自启 systemctl enable trojan-go # 查看服务运行状态 systemctl status trojan-go ``` 如果状态显示 `active (running)`,则表示服务已成功启动。 # 五、客户端配置示例 在你的本地设备上,使用支持 Trojan 协议的客户端(如 V2RayN, Shadowrocket, Clash 等),并参考以下配置进行连接: - **地址/服务器 (Address/Server)**: `your.domain.com` - **端口 (Port)**: `443` - **密码 (Password)**: `your_strong_password` (你在服务端设置的密码) - **SNI/服务器名称指示 (SNI/Peer)**: `your.domain.com` - **允许不安全 (Allow Insecure)**: `false` 或 `关闭` (因为我们用的是可信证书) - **协议 (Protocol)**: `trojan`