Ubuntu 16.04下Shadowsocks服务器端安装及优化
前言
本教程旨在提供简明的Ubuntu 16.04下安装服务器端Shadowsocks。不同于Ubuntu 16.04之前的教程,本文抛弃initd,转而使用Ubuntu 16.04支持的Systemd管理Shadowsocks的启动与停止,显得更为便捷。优化部分包括BBR、TCP Fast Open以及吞吐量优化。
本教程仅适用于Ubuntu 16.04及之后的版本,基于Python 3,支持IPv6。
安装pip
本教程使用Python 3为载体,因Python 3对应的包管理器pip3并未预装,首先安装pip3:
sudo apt install python3-pip安装Shadowsocks
因Shadowsocks作者不再维护pip中的Shadowsocks(定格在了2.8.2),我们使用下面的命令来安装最新版的Shadowsocks:
pip3 install https://github.com/shadowsocks/shadowsocks/archive/master.zip安装完成后可以使用下面这个命令查看Shadowsocks版本:
sudo ssserver --version目前会显示“Shadowsocks 3.0.0”。
创建配置文件
创建Shadowsocks配置文件所在文件夹:
sudo mkdir /etc/shadowsocks然后创建配置文件:
sudo nano /etc/shadowsocks/config.json复制粘贴如下内容(注意修改密码“password”):
{
"server":"::",
"server_port":8388,
"local_address": "127.0.0.1",
"local_port":1080,
"password":"mypassword",
"timeout":300,
"method":"aes-256-cfb",
"fast_open": false
}然后按Ctrl + O保存文件,Ctrl + X退出。
测试Shadowsocks配置
首先记录下服务器的IP地址
ifconfig找到IPv4地址(和IPv6地址),如我的ifconfig输出为
eth0 Link encap:Ethernet HWaddr 46:91:89:4e:c1:52
inet addr:138.68.51.55 Bcast:138.68.63.255 Mask:255.255.240.0
inet6 addr: fe80::4491:89ff:fe4e:c152/64 Scope:Link
inet6 addr: 2604:a880:2:d0::3727:7001/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:102667 errors:0 dropped:0 overruns:0 frame:0
TX packets:7869 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:151166937 (151.1 MB) TX bytes:1151476 (1.1 MB)所以我的IPv4地址是138.68.51.55,IPv6地址是2604:a880:2:d0::3727:7001。
然后来测试下Shadowsocks能不能正常工作了:
ssserver -c /etc/shadowsocks/config.json在Shadowsocks客户端添加服务器,如果你使用的是我提供的那个配置文件的话,地址填写你的IPv4地址或IPv6地址,端口号为8388,加密方法为aes-256-cfb,密码为你设置的密码。然后设置客户端使用全局模式,浏览器登录Google试试应该能直接打开了。
这时浏览器登录http://ip138.com/就会显示Shadowsocks服务器的IP啦!
测试完毕,按Ctrl + C关闭Shadowsocks。
配置Systemd管理Shadowsocks
新建Shadowsocks管理文件
sudo nano /etc/systemd/system/shadowsocks-server.service复制粘贴:
[Unit]
Description=Shadowsocks Server
After=network.target
[Service]
ExecStart=/usr/local/bin/ssserver -c /etc/shadowsocks/config.json
Restart=on-abort
[Install]
WantedBy=multi-user.targetCtrl + O保存文件,Ctrl + X退出。
启动Shadowsocks:
sudo systemctl start shadowsocks-server设置开机启动Shadowsocks:
sudo systemctl enable shadowsocks-server至此,Shadowsock服务器端的基本配置已经全部完成了!
优化
这部分属于进阶操作,在你使用Shadowsocks时感觉到延迟较大,或吞吐量较低时,可以考虑对服务器端进行优化。
开启BBR
BBR系Google最新开发的TCP拥塞控制算法,目前有着较好的带宽提升效果,甚至不比老牌的锐速差。
升级Linux内核
BBR在Linux kernel 4.9引入。首先检查服务器kernel版本:
uname -r如果其显示版本在4.9.0之下,则需要升级Linux内核,否则请忽略下文。
更新包管理器:
sudo apt update查看可用的Linux内核版本:
sudo apt-cache showpkg linux-image找到一个你想要升级的Linux内核版本,如“linux-image-4.10.0-22-generic”:
sudo apt install linux-image-4.10.0-22-generic等待安装完成后重启服务器:
sudo reboot删除老的Linux内核:
sudo purge-old-kernels开启BBR
运行lsmod | grep bbr,如果结果中没有tcp_bbr,则先运行:
modprobe tcp_bbr
echo "tcp_bbr" >> /etc/modules-load.d/modules.conf运行:
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf运行:
sysctl -p保存生效。运行:
sysctl net.ipv4.tcp_available_congestion_control
sysctl net.ipv4.tcp_congestion_control若均有bbr,则开启BBR成功。
优化吞吐量
新建配置文件:
sudo nano /etc/sysctl.d/local.conf复制粘贴:
# max open files
fs.file-max = 51200
# max read buffer
net.core.rmem_max = 67108864
# max write buffer
net.core.wmem_max = 67108864
# default read buffer
net.core.rmem_default = 65536
# default write buffer
net.core.wmem_default = 65536
# max processor input queue
net.core.netdev_max_backlog = 4096
# max backlog
net.core.somaxconn = 4096
# resist SYN flood attacks
net.ipv4.tcp_syncookies = 1
# reuse timewait sockets when safe
net.ipv4.tcp_tw_reuse = 1
# turn off fast timewait sockets recycling
net.ipv4.tcp_tw_recycle = 0
# short FIN timeout
net.ipv4.tcp_fin_timeout = 30
# short keepalive time
net.ipv4.tcp_keepalive_time = 1200
# outbound port range
net.ipv4.ip_local_port_range = 10000 65000
# max SYN backlog
net.ipv4.tcp_max_syn_backlog = 4096
# max timewait sockets held by system simultaneously
net.ipv4.tcp_max_tw_buckets = 5000
# turn on TCP Fast Open on both client and server side
net.ipv4.tcp_fastopen = 3
# TCP receive buffer
net.ipv4.tcp_rmem = 4096 87380 67108864
# TCP write buffer
net.ipv4.tcp_wmem = 4096 65536 67108864
# turn on path MTU discovery
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_congestion_control = bbr运行:
sysctl --system编辑之前的shadowsocks-server.service文件:
sudo nano /etc/systemd/system/shadowsocks-server.service在ExecStart前插入一行,内容为:
ExecStartPre=/bin/sh -c 'ulimit -n 51200'即修改后的shadowsocks-server.service内容为:
[Unit]
Description=Shadowsocks Server
After=network.target
[Service]
ExecStartPre=/bin/sh -c 'ulimit -n 51200'
ExecStart=/usr/local/bin/ssserver -c /etc/shadowsocks/config.json
Restart=on-abort
[Install]
WantedBy=multi-user.targetCtrl + O保存文件,Ctrl + X退出。
重载shadowsocks-server.service:
sudo systemctl daemon-reload重启Shadowsocks:
sudo systemctl restart shadowsocks-server开启TCP Fast Open
TCP Fast Open可以降低Shadowsocks服务器和客户端的延迟。实际上在上一步已经开启了TCP Fast Open,现在只需要在Shadowsocks配置中启用TCP Fast Open。
编辑config.json:
sudo nano /etc/shadowsocks/config.json将fast_open的值由false修改为true。Ctrl + O保存文件,Ctrl + X退出。
重启Shadowsocks:
sudo systemctl restart shadowsocks-server注意:TCP Fast Open同时需要客户端的支持,即客户端Linux内核版本为3.7.1及以上;你可以在Shadowsocks客户端中启用TCP Fast Open。
至此,Shadowsock服务器端的优化已经全部完成了!
参考
- 怎么能更新到2.9.0呢? · Issue #622 · shadowsocks/shadowsocks
- Configuration via Config File · shadowsocks/shadowsocks Wiki
- apt - List all versions of a package - Ask Ubuntu
- How do I use apt-get to update to the latest kernel? - Ask Ubuntu
- RemoveOldKernels - Community Help Wiki
- 开启TCP BBR拥塞控制算法 · iMeiji/shadowsocks_install Wiki
- Optimizing Shadowsocks · shadowsocks/shadowsocks Wiki
- TCP Fast Open · shadowsocks/shadowsocks Wiki
贴主,您好,很荣幸能看见您的帖子,但是我有一些比较特殊的问题,想不明白,想问您咨询一下,同一个服务器中,可以同时开启SS服务端和客户端吗?如果我这台服务器安装了SS服务端,可以正常运行,但是我还想让这台服务器通过SS客户端连接到另外一台安装了SS的服务器,要怎么实现?可以联系我一下吗?345095552我的Q
你的这个特殊需求我也遇到过呀233333
其实不需要用到多个ss来作中继,比如你可以用socat直接透明转发流量,可以用cow来配置多级代理,搜一搜有很多参考实现的呢~
请问这个优化吞吐量部分很多都是net.ipv4。。。。那是否是只针对ipv4的进行了优化呢?如果是,怎样优化ipv6呢
我记得ubuntu/linux上这些网络策略虽然有ipv4前缀,但IPv6其实用到的就是IPv4的策略,即修改会同时对IPv4和IPv6生效。
请问, 当初安装pip的版本,就是2.8.2, 能用你这个地址的直接安装升级吗?
你好,这个是可以的,因为仍然是使用pip安装,还是处于pip的管理下
请问当我按下control O 后 终端出现这几个选项我该如何选择呢?
get help dos format append backup file
cancel mac format prepend to file
谢谢
每一个配置文件的步骤都有这样的问题
这个我没见过,但你应该是从windows复制文件到了服务器上,导致line end和Linux不匹配。这个一般选mac format(mac和linux是相同的line end)就好了。
謝謝不过似乎又有一个问题,就是第一步检查版本的时候
sudo: ssserver: command not found
执行apt install shadowsocks后现在是2.9.0.github那边更改了?
真是打扰了,我reset了服务器重新一步一步设置,但是无法启动● shadowsocks-server.service
Loaded: error (Reason: Invalid argument)
Active: inactive (dead)
Failed to start shadowsocks-server.service: Unit shadowsocks-server.service is not loaded properly: Invalid argument.
哈哈,小白还是不知道所谓惯例啊,能不能帮我看一下我在 GB 后面跟着的留言啊?那个确实出现了无法启动的情况,今天又试了多次
哈哈~一觉醒来看到你的幸苦尝试,谢谢你的反馈,确实是我的疏忽没有在最前面加上那个“惯例”的update命令~
问题已解决
希望楼主在第一步加上
apt-get update
不然无法install pip3
我查了一遍,怀疑是第一步的问题,所以我再次reset服务器,发现 Unable to locate package python3-pip,当时我用来网上的code安装的pip,这可能是上面的原因,请教一下,当我输入apt-get install为什么依旧是unable to locate呢
Traceback (most recent call last):
config = parse_json_in_str(f.read().decode('utf8'))File "/usr/local/lib/python3.5/dist-packages/shadowsocks/shell.py", line 239, in get_config
File "/usr/local/lib/python3.5/dist-packages/shadowsocks/shell.py", line 509, in parse_json_in_str
return json.loads(data, object_hook=_decode_dict)File "/usr/lib/python3.5/json/__init__.py", line 332, in loads
return cls(**kw).decode(s)File "/usr/lib/python3.5/json/decoder.py", line 339, in decode
obj, end = self.raw_decode(s, idx=_w(s, 0).end())File "/usr/lib/python3.5/json/decoder.py", line 355, in raw_decode
obj, end = self.scan_once(s, idx)json.decoder.JSONDecodeError: Invalid control character at: line 1 column 32 (char 31)
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
load_entry_point('shadowsocks==3.0.0', 'console_scripts', 'ssserver')()File "/usr/local/bin/ssserver", line 9, in <module>
File "/usr/local/lib/python3.5/dist-packages/shadowsocks/server.py", line 34, in main
config = shell.get_config(False)File "/usr/local/lib/python3.5/dist-packages/shadowsocks/shell.py", line 242, in get_config
e.message)AttributeError: 'JSONDecodeError' object has no attribute 'message'
这是测试ss能不能工作的结果。。。
您好,我按照您的教程遇到一个问题,就是ifconfig显示的IP是私网IP,这怎么办?
ifconfig显示的是私有IP是因为VPS提供商做了一层虚拟化,这样的话你就需要登录提供商提供的VPS管理面板,那里会显示你的VPS的实际公网IP~
请问楼主server那里直接填::就好吗,不用填具体ip吗?然后填::也可以用ipv4的ip连接吗
是的呢,只用填“::”就可以同时监听IPv4和IPv6了。
楼主你好,请问win版本的ss是不能开启TCP的吗
TCP fast open?Github讨论区那边似乎是说Windows平台都不支持的~
楼主,请问下,为什么配置完Systemd之后,使用sudo systemctl start shadowsocks-server命令没有办法打开shadowsocks,重启之后也没有自启动,
抱歉这些天太忙了,这个应该是service没有写正确,你可以用sudo systemctl status shadowsocks-server来看到当前的运行状态,正常情况下是绿色的active;否则的话你能看到最后报错的日志,想要看到更多日志就需要用journalctl命令了。
抱歉,接着这个问题问一下,Ubuntu17.10 64 遇到了同样的问题
报错日志:
shadowsocks-server.service
Loaded: error (Reason: Invalid argument)
Active: inactive (dead)
Feb 05 16:19:15 ubuntu-s-1vcpu-1gb-ams3-01 systemd[1]: shadowsocks-server.s
Feb 05 16:19:48 ubuntu-s-1vcpu-1gb-ams3-01 systemd[1]: shadowsocks-server.s
Feb 05 16:21:01 ubuntu-s-1vcpu-1gb-ams3-01 systemd[1]: shadowsocks-server.s
Feb 05 16:21:46 ubuntu-s-1vcpu-1gb-ams3-01 systemd[1]: shadowsocks-server.s
多谢大神
这个日志看不到诶,你用sudo journalctl -e -u shadowsocks-server.service把最新的几行日志贴出来看看。
目测是shadowsocks-server.service里有问题,或者config.json格式有问题。
Feb 06 17:06:18 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:06:18
Feb 06 17:06:23 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:06:23
Feb 06 17:06:27 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:06:27
Feb 06 17:06:54 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:06:54
Feb 06 17:06:56 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:06:56
Feb 06 17:07:58 ubuntu-s-1vcpu-1gb-ams3-01 ssserver[17056]: 2018-02-06 17:07:58
lines 979-1001/1001 (END)
虽然启动shadowsock的命令一直报错,但是却可以翻墙,原因未知。。。我觉得应该是systemed那一步出了问题
貌似你截的日志也太短了呢(用的ssh复制的命令行吧?),要不邮件发我你的联系方式私聊吧~或者既然你能用了,也可以不用在意这些细节。
这是我的邮件HEICLAUDIUS@gmail.com。
sudo systemctl start shadowsocks-server
Failed to start shadowsocks-server.service: Unit shadowsocks-server.service is not loaded properly: Invalid argument.
See system logs and 'systemctl status shadowsocks-server.service' for details.
希望能和楼主取得联系,我用linode vps装Shadowsocks & L2TP/IPSec,使用的教程是李笑来老师(http://lixiaolai.com/2017/02/26/how-to-write-a-good-tutorial/)这个方法,手机端都能用L2TP/IPSec连上VPN,唯独PC端既无法用L2TP/IPSec连上,也无法用SS连上,试了N多办法,楼主你的那些参数我也模仿着改了,还是不行!有可能的话,麻烦楼主帮我看下,谢谢!
不知你的PC网络环境?ss错误提示?你可以试试PC和手机在同一网络环境看看手机能不能连上(极端点,PC发射wifi信号手机连),另外PC上的ss客户端可以记录日志的,注意看看日志里的错误原因。
谢谢了我的哥。
博主您好,请教下,我买的搬瓦工AZ的 线路,在他的网站搭建的ss,之前一直正常,因为购买新的服务,他给了新的ip和ssh,root了密码后 就不能用了,提示connection closed by peer,多次折腾都不成功,请问怎么解决?谢谢。
你是说给了新的ip后ss就用不了了么....那肯定是因为给你换了新服务器呀,配置得重新来的。抱歉,不太明白你的意思呢
是的,就是您说的那样,换了新的IP地址,新的SSH端口,我重新输入的新的资料,但还是不行。是不是因为启用新的IP和SSH,引起了GFW察觉,导致我的电脑或者手机地址被墙呢了? 如果这样,换回搬瓦之前原来用过的的IP和SSH是不是能解决问题?谢谢!
你要是想确认是不是GFW的问题,直接ping服务器IP就好了,能ping通说明不是GFW的锅,那你就应该考虑是不是ss没有配置好,如防火墙设置、端口号、密码等;如果不能ping通那就是GFW封了这个IP地址,一般来说GFW会封一段IP网段(就是说跟你IP临近的小伙伴不守规矩,然后你躺枪了);这个时候可以去找搬瓦工的客服,让换个新IP(不太可能换成你指定的IP)。
搬瓦工是openvz的,真能优化内核?我记得几年前看过官方的优化指南,还有锐速啥的说明,都说openvz是不行的。
对于虚拟化这块我就不熟啦,不过刚才搜了下似乎SSR是可以用的,就是设置操作会麻烦一些
你好?
我在DO的vps上搭了个ss,但是偶尔会有无法连接的情况,在服务器上查看显示shadowsocks is stop,之后手动启动就可以了,这样是什么原因啊 ,shadowsocks为啥会自己停止运行啊?用的是秋水逸冰的一键安装脚本,另一个在搬瓦工上的就没这个问题,先谢谢了
你好,这个得去看shadowsocks和systemctl的日志才能看到原因的,这里我也不好猜测咯。理论上来说是不会自己停止的,看日志才能发现原因...
这个看日志的命令是什么啊……找过两个好像不好用……谢谢了
ss自己记录的日志在/var/log/shadowsocks.log,这个可能看不出问题所在。所以还需要看系统的日志,这个根据不同系统和不同的ss安装方式也不一样了,比如是用systemctl管理ss的话,日志就可以用命令journalctl -u shadowsocks得到。
重启之后日志出现了,显示的是这些东西
load_entry_point('shadowsocks==3.0.0', 'console_scripts', 'ssserver')()2017-07-20 17:27:56 INFO starting server at :::8388
Traceback (most recent call last):
File "/usr/local/bin/ssserver", line 9, in <module>
File "/usr/local/lib/python3.5/dist-packages/shadowsocks/server.py", line 74, in main
tcp_servers.append(tcprelay.TCPRelay(a_config, dns_resolver, False))File "/usr/local/lib/python3.5/dist-packages/shadowsocks/tcprelay.py", line 754, in init
server_socket.bind(sa)OSError: [Errno 98] Address already in use
貌似意思是8388端口已经被占用,可以用Linux相关的命令看8388端口是被哪个进程占用的,或者直接在config里换个端口号咯。
我发现开启 systemd 管理就不记录日志了,关闭后恢复正常
通过你的配置之后使用 sudo less /var/log/shadowsocks.log 命令查看日志,发现没有这个文件,是没有记录日志吗?
看了楼主的文章恍然大悟..终于解决了2个节点的Too many open files 问题。 感谢。