readme-cn.md

overtls

overtls 是 SOCKS5 型代理軟件， 在軟件內部通過 TLS 實現數據傳輸，同時支持 TCP 和 UDP 流量轉發。

功能齊備且代碼精簡，核心功能總共也就大概 1200 行代碼。

OverTLS 相當於 SSRoT 去掉 SSR 和 SS, 唯獨保留 oT 的 Rust 實現，快如閃電，穩如老狗。

    fun isOverTLS() : Boolean =
        over_tls_enable && method == "none" && obfs == "plain" && protocol == "origin"

這段代碼翻譯成 人話 就是：如果 oT 啟用了，而且 加密方式爲 none、混淆爲 plain、協議爲 origin，那麼就是 OverTLS 啦。

原理

爲了能有效騙過 GFW，直接使用 TLS 作爲代理協議是最簡單的方法。 TLS 協議是互聯網的數據傳輸事实上的標準，所以 GFW 不能封鎖 TLS 協議，而且 TLS 協議是一種加密協議， 所以 GFW 不知道通過 TLS 協議傳輸的數據的內容。

我們可以利用這個特性，將客戶端和服務端的加密解密過程封裝成一個代理服務，這樣就可以在 GFW 的監視下，進行加密的 TCP 和 UDP 代理。

overtls 客戶端首先與 overtls 服務端建立 TLS 連接，然後 overtls 客戶端和 overtls 服務端之間的數據交換都是加密的。

我們只要約定 overtls 客戶端訪問某一特定資源 uri，就認爲是要進行代理，服務端會將含有這個 uri 的數據包轉發到指定的目標地址。

我們的代理目的就這樣達成了。

因此，overtls 服務端和 overtls 客戶端之間的數據交換是加密的，而 overtls 服務端和目標服務器之間的數據交換是"明文"的。

綜上所述，我們需要準備的東西有：

• 一個帶公網 IP 的 VPS 主機，必須自行購買，
• 一個域名，可以購買或申請免費的，並將該域名解析到 VPS 主機的 IP 上，
• 一對 https 證書/私鑰，證書可以自行購買，也可以在 Let's Encrypt 申請免費的，
• 一個 http 服務端軟件（如 nginx ），並提供用於僞裝用途的站點資源或者充當前置的 反向代理，

安裝

從 crates.io 安裝

如果你已經安裝了 Rust，你可以直接安裝 overtls。

cargo install overtls

預編譯二進制文件

可直接從源代碼編譯，也可以從 發布頁面 下載預編譯的二進制文件。

從源碼編譯

從源碼編譯，需要先安裝 Rust 編程語言環境，然後執行以下命令編譯軟件。

git clone https://github.com/shadowsocksr-live/overtls.git
cd overtls
cargo build --release
sudo cp target/release/overtls /usr/local/bin/

服務端一鍵安裝腳本

安裝前請準備好帶公網 IP 的 VPS 主機和 域名，並將該域名解析到此 主機 IP 上，然後執行以下命令， 按提示操作，如果一切順利，結果就將 overtls 服務端 和 nginx 前置代理安裝到你的主機上，並申請好了證書。

目前只支持 3 種 CPU 架構的 Linux 機器： x86_64、armv7 和 arm64。

sudo apt install -y wget # Debian/Ubuntu
sudo yum install -y wget # CentOS
wget https://raw.githubusercontent.com/shadowsocksr-live/overtls/master/install/overtls-install.sh
chmod +x overtls-install.sh
./overtls-install.sh
sudo systemctl start overtls

用法

服務端

overtls -r server -c config.json

客戶端

overtls -r client -c config.json

如果想查看日志信息，你可以在你当前的工作目录 (pwd) 里创建文件 .env 写入这些内容 RUST_LOG=overtls=trace 即可.

配置文件

{
    "tunnel_path": "/secret-tunnel-path/",

    "server_settings": {
        "certfile": "/etc/mysite_cert/fullchain.pem",
        "keyfile": "/etc/mysite_cert/privkey.pem",
        "forward_addr": "http://127.0.0.1:80",
        "listen_host": "0.0.0.0",
        "listen_port": 443
    },

    "client_settings": {
        "server_host": "123.45.67.89",
        "server_port": 443,
        "server_domain": "example.com",
        "listen_host": "127.0.0.1",
        "listen_port": 1080
    }
}

配置文件非常簡單。是 服務端 和 客戶端 通用的，

• 當程序以 服務端 身份運行時，server_settings 部分是有效的，而 client_settings 部分是被忽略的；
• 當程序以 客戶端 身份運行時，client_settings 部分是有效的，而 server_settings 部分是被忽略的。

certfile 和 keyfile 爲可選項，配正確後 軟件就變身 https 協議服務端，非翻牆流量直接轉發到 forward_addr 指向的目標。 若 certfile 和 keyfile 兩項配錯或乾脆不存在，則需要前置的 反向代理 如 nginx 協助方可工作。

如果 forward_addr 選項不存在，則默認值爲 http://127.0.0.1:80，即本機 nginx 監聽 http 的 80 端口。

注意 tunnel_path 配置項，請務必改成你自己獨有的複雜字符串，否則 GFW 立馬拿你祭旗。

tuunel_path 選項現在可以是字符串或字符串數組，如 ["/secret-tunnel-path/", "/another-secret-tunnel-path/"]。 Overtls 客戶端將選擇第一個使用。在服務端，它將用整個字符串數組来检查傳入請求.

爲方便測試，提供了 disable_tls 選項以具備停用 TLS 的能力；就是說，若該項存在且爲 true 時，本軟件將 明文(plain text) 傳輸流量；出於安全考慮，正式場合請勿使用。

本示例展示的是最少條目的配置文件，完整的配置文件可以參考 config.json。

自簽證書使用

如果你確實沒有 域名， 可以使用 openssl 生成自簽證書 來臨時連接服務端，以便你能處理你的緊急事務。

wget https://raw.githubusercontent.com/shadowsocksr-live/overtls/master/install/selfsign.sh
head selfsign.sh -n 25
chmod +x selfsign.sh
./selfsign.sh CN JiangSu ChangZhou MyGreatOrg Root_CA Server1 email@example.com example.com 123.45.67.89

注意：GFW 可能會因爲你使用了自簽證書而封鎖你的服務器。所以請不要長期用於正式場合。