@hxdyxd #8 发布于6/19/2026, 8:20:22 AM 通过国内运营商明文传输,带sni,不会被运营商清退吗 手机会分到一个内网IP,直通KFC日本鸡的内网。拓扑上中间没有其他环节。 所以不需要任何代理协议/加密,直接一个内网转发,就到日本了。
补丁一号: 全局 VPN (疑难杂症App兜底 ) 虽然很少见,但还是有些App网站会使用IP直连 (Speedtest.net 说的就是你!!) 大家都喜欢用Speedtest跑个测速,所以还是建议手机里同时保留两套配置: 1. 日常模式:如主帖正文中所介绍的 5GPN iOS 配置文件 2. 兜底模式:Iphone系统自带VPN功能。不需安装软件。使用 IKEv2 全局 VPN 配置文件 关键配置:全局 VPN 和日常 5GPN 配置共存 (随心一键开关) KFChost上按来源网段区分流量 日常 5GPN 和全局 VPN 进 KFC 后,来源地址不同,例如: 日常 5GPN 手机内网源:172.22.X.X 全局 VPN 地址池:10.80.0.0/24 而KFChost 上的路由只匹配 VPN 地址池: ip rule add from 10.80.0.0/24 table vpnexit ip route add default dev wg-exit table vpnexit 这意味着只有全局 VPN 进来的流量会走 VPN 出口逻辑,日常 DNS/SNI 分流不会被误伤。 全局 VPN 直接连 KFChost 的 IP、不依赖 DNS——所以哪怕 DNS 分流本身出了问题,VPN 仍然连得上。拓扑很简单:iPhone → 全局 VPN → KFChost → 当前落地。 *进阶配置—— VPN 出口跟随DNS选择的落地机切换。 set_exit() { target="$1" echo "$target" > /etc/kfc-mobile/active-default render_nginx_stream "$target" nginx -s reload ip rule replace from 10.80.0.0/24 table vpnexit priority 1080 ip route replace default dev wg-exit table vpnexit narrow_all_wg_peers case "$target" in homeres) wg set wg-exit peer "$落地1_KEY" allowed-ips 10.99.0.2/32,0.0.0.0/0 ;; bugus) wg set wg-exit peer "$落地2_KEY" allowed-ips 10.99.0.3/32,0.0.0.0/0 ;; bread_us) wg set wg-exit peer "$落地3_KEY" allowed-ips 10.99.0.4/32,0.0.0.0/0 ;; esac } 当然,如果嫌麻烦的话,就用cloudflare测速就好啦 补丁二号: Telegram ——独立 SOCKS5 通道 常用 App 里, 只有Telegram 比较特殊 它连接方式"自成体系",不像普通App那样主要靠域名访问, 而是会大量直连 IP:port, 所以不太适合只靠 5GPN 这套「DNS + SNI」透明代理来兜。 但是好在Telegram app内置了代理的设置接口。 解法: 只需要让Telegram 单独走一个固定的 SOCKS5 (手机 -> KFC 是内网,socks5完全够用) 具体做法也很简单:在 KFChost 上单独跑一个轻量 SOCKS5 (比如监听 8445), 然后在 Telegram 内置的代理设置中手动加 SOCKS5 代理。 由于5GPN组网路由的设置,连接公网IP会自动走内网,KFC鸡鸡上看到的会是内网IP进来,如果配防火墙,就配个仅允许该内网IP就可以啦。 这个入口和 5GPN 的落地切换是分开的:哪怕我把 5GPN 出口从 A 切到 B,Telegram 仍然固定连 KFChost 这个 SOCKS5。 *关键配置:全局 VPN 和Telegram代理共存 (依然可以随心一键开关) 补丁一号介绍了全局 VPN 模式。 如果 Telegram 开着内置 SOCKS5、手机又开了全局 VPN 就可能变成"Telegram 的代理流量又被 VPN 套了一层", 会冲突。 所以在 KFC 侧做兼容: Telegram 代理开关可常年保持开启, 连 KFC:8445。 手机开全局 VPN 时:Telegram 到 8445 的连接先进入 VPN,但 KFC鸡鸡上看到源是 VPN 池,比如 10.80.0.0/24。此时直接用本机接住即可。 KFC 上把 8445 做成 VPN-aware 防火墙允许:172.22.x.x (你手机蜂窝内网源); 10.80.0.0/24,全局 VPN 客户端池; 必要时再保留少量可信管理源。 8445 的出站可以有两种策略: 简单稳定版(推荐):Telegram 固定从 KFC 自身出口出去。 跟随切换版:Telegram 的 8445 出站也跟随当前选择的落地节点,但要单独给这个服务做 fwmark/策略路由,避免和 VPN 用户流量混在一起。 这样telegram内置代理就可以一直开着, 不用每次开关全局 VPN 都手动调整。 最终效果:日常透明分流时 Telegram 走独立 SOCKS5;全局 VPN 模式下还是连同一个 SOCKS5;WiFi / 蜂窝/全局VPN随便切换,都不用改设置; 如果不做跟随切换,当前落地坏掉时,Telegram 仍可在线, 能继续用 Bot 切出口。
手机会分到一个内网IP,直通KFC日本鸡的内网。拓扑上中间没有其他环节。
所以不需要任何代理协议/加密,直接一个内网转发,就到日本了。
@纳西妲 #6 “不是,而是”gpt味道太浓了,每次它这么说我都很抓狂
@uixg #11
如果换成香港,搞个三网优化机做出口
延迟很低,都不需要分流了
这要是用的多,估计要被运营商制裁
这个牛逼,
@hxdyxd #13 为什么会被制裁,我们花钱买了运营商的专网专线的,你不懂还是不要乱讲的好。基本原理都还没搞清楚,就开始发言了……
嘶,这么高级?
只有日本地区有这个5g啥的吗
@Jager #17
新玩意才刚出来的,目前是只有日本。
至于以后会不会有别的地区,那要问15楼了
@Mr-Runner #15 老板滴滴 啥时候出其他地区呢
补丁一号: 全局 VPN (疑难杂症App兜底 )
虽然很少见,但还是有些App网站会使用IP直连
(Speedtest.net 说的就是你!!)
大家都喜欢用Speedtest跑个测速,所以还是建议手机里同时保留两套配置:
关键配置:全局 VPN 和日常 5GPN 配置共存 (随心一键开关)
而KFChost 上的路由只匹配 VPN 地址池:
这意味着只有全局 VPN 进来的流量会走 VPN 出口逻辑,日常 DNS/SNI 分流不会被误伤。
*进阶配置—— VPN 出口跟随DNS选择的落地机切换。
补丁二号: Telegram ——独立 SOCKS5 通道
常用 App 里, 只有Telegram 比较特殊
它连接方式"自成体系",不像普通App那样主要靠域名访问, 而是会大量直连
IP:port, 所以不太适合只靠 5GPN 这套「DNS + SNI」透明代理来兜。但是好在Telegram app内置了代理的设置接口。
解法: 只需要让Telegram 单独走一个固定的 SOCKS5
(手机 -> KFC 是内网,socks5完全够用)
具体做法也很简单:在 KFChost 上单独跑一个轻量 SOCKS5 (比如监听
8445), 然后在 Telegram 内置的代理设置中手动加 SOCKS5 代理。由于5GPN组网路由的设置,连接公网IP会自动走内网,KFC鸡鸡上看到的会是内网IP进来,如果配防火墙,就配个仅允许该内网IP就可以啦。
这个入口和 5GPN 的落地切换是分开的:哪怕我把 5GPN 出口从 A 切到 B,Telegram 仍然固定连 KFChost 这个 SOCKS5。
*关键配置:全局 VPN 和Telegram代理共存 (依然可以随心一键开关)
补丁一号介绍了全局 VPN 模式。
如果 Telegram 开着内置 SOCKS5、手机又开了全局 VPN
就可能变成"Telegram 的代理流量又被 VPN 套了一层", 会冲突。
所以在 KFC 侧做兼容:
KFC 上把 8445 做成 VPN-aware
8445 的出站可以有两种策略:
这样telegram内置代理就可以一直开着, 不用每次开关全局 VPN 都手动调整。