家宽做中转，需要做回落吗

墙内连墙内直接 ss

@383394544
我用基于 tls 加密的 trojan-go 或者 vless 替换 ss 可以吗，因为打算使用这两个协议
对这方面还不太熟悉，谢谢指教！

不担心被 ISP 认定为 PCDN 限制上行吗？我朋友就用 NAS 偶尔看看视频，现在上行只有 1Mbps

走 tls 大概率能解除限速。

省流：不需要做回落
分析：做回落是为了伪装成一个正常的 web 网页，让人以为你是在访问网站，从而不会阻断你的访问
而家宽不会阻断你的访问，反而会因为网页而限制你的宽带使用，家宽只有 QOS 干扰
如果走 IPV4 回家不建议使用任何 tls 加密类型，因为需要尽可能避免类似网站的特征
但是你如果走 IPV6 回家，目前是没任何问题的，随便玩

@yangyang
这个其实我也不太清楚，之前自建 vps 用的 ss 协议，一直用的都是家宽做中转的....然后在客户端到中转服务器中间加了 stunnel ，中转服务器到 vps 都加了个 stunnel ，一直用下来都没啥问题....
最近想尝试下新协议，刚理解到回落这个机制，所以就有了这个发问

@totoro625
谢谢解答！我这边只有公网 ipv6 ，那应该是没啥问题

ss 就行，没必要太复杂

@titanium98118
我现在是这样的，在 vps 上已经搭建了 trojan-go 的服务端了，然后用 clash 客户端也是能正常使用，但是有点波动；

然后将客户端将流量指向了中转服务器，中转的服务器通过 iptables 转发给了 vps （ ipv6 转 ipv4 线路），测下来波动小了，但是考虑到 vps 那边做了回落，所以提出疑问中抓服务器是否需要做回落

然后 clash 客户端发出的流量应该是已经经过 tls 加密的了，所以不需要再加一道 ss 吧？我理解我这里再加一道 ss 才是变复杂了，不知道有没有理解错

@mawen0726 你要 iptables 就不用管回落，要 iptables 转发根本不需要在中转机上装任何代理服务端，那你回落要回到哪？最多就是直接回落到服务端上。前置 SS 虽然复杂点但能稍微提升墻内-中转机这段的安全程度，而且性能损耗可以忽略不计，甚至还能減轻终端 TLS 的解密开销，还能解锁更多玩法例如中转机二次分流、Outline 等。（ Outline 是国区 App Store 唯一能下载到的 SS 客户端）

@383394544 *直接回落到落地机服务端上

@mawen0726 而且假设你真的在家宽上“回落”到 HTTPS 网页，反而是没事找事，直接变成在家宽上提供 https 服务，那运营商可要找你麻烦了。

iptables 转发：客户端发起 Trojan TLS 连接 → 中转机原封不动把 TLS 包交给落地机 → 落地机解密 Trojan TLS 包进行代理
ss 转发：客户端发起 SS 连接 → 中转机解密 SS 封包将里面的内容再包进 Trojan TLS 里 → 落地机解密 Trojan TLS 包

看出你原先的问题里面的盲点了吗？

好神奇的名词回落，还以为用过的什么 tcp80 负载多协议，奇怪的是除了 ss ，其它的国产 xxx 没一个应用成功。。。

stunnel relay 没有啥分流的事情，手机端 sslsocks+sockstun ，电信中继 vps ，千万条道路通罗马

[client1]
CAfile = stunnel.pem
verifyChain = yes
;verify= 2
;verifyPeer = yes
;verify= 3
client = yes
accept = 0.0.0.0:1084
connect = ip:80
connect = ip:8443
checkHost = www.apple.com
checkHost = www.microsoft.com
checkHost = www.symantec.com

[TLS_proxy_listener]
accept = 1992
connect = 1084
CAfile = stunnel.pem

@datocp 回落很常见，例如国外应用 quic 连接不了的时候就会 fallback 到 tcp 上。在 Trojan 协议中，回落指的是如果没有用 Trojan 客户端和正确密码连接服务器，服务端就会提供 https 网页，本来是防主动探测用的。

一直用的 haproxy 提供的单端口复用，在 http 上跑了 tls 8443
应用的最多的是 iptables redir 通过多端口指向单端口，随机访问端口来减少流量累积问题发生。

@383394544
明白了，就是墙内流量，客户端到中转机用 ss 代替 tls ，然后由中转机对 ss 解密后再进行 tls 发给落地 vps
那好像可以用 xray 的桥接模式实现
我之前直接发 tls 给中转机，但是中转机又没有开发 443 端口，更容易让墙怀疑对吧？

@datocp
回落这个名词我是最近准备用 xray 学到的
https://xtls.github.io/document/level-1/fallbacks-lv1.html

@mawen0726 #17 差不多意思。中转机最好不要主动接收 tls 连接，直接 ss 反而没事，牆内互联不过 gfw 的用 ss 没问题。

@mawen0726 前置 ss 还有个好处，就是你可以随意更换落地 vps 的域名，而客户端的 ss 配置保持不变。就不用每换一次落地机改一次配置