【已恢复】奶昔SSL VPN服务正式开放

nyarime

由于该协议的性能很糟糕，因此暂时下线此VPN服务。

为了提供稳定的国际互联服务，我们与Cloudflare合作并推出SSL VPN服务，以确保高可用的客制化需求。


有多模式（group）可供选择！每个账号可同时连接3台设备！
默认模式是全局模式，您的所有流量都会被代理！
Lan模式可支持您在 192.168.90.0/24 下联机，静态IP将由设备固定。

❓如何接入
使用兼容Cisco AnyConnect协议的SSLVPN程序，并确保您可以使用浏览器正常打开 https://vpn.naixi.net
* 此外您需要可用的奶昔账号（OIDC账号）进行登录。

📌Cisco AnyConnect
https://dl.naixi.net/sslvpn/client/anyconnect/
* 如果您使用移动设备，建议您前往Google Play或App Store获取。
* 使用AnyConnect时，请在偏好中勾选允许LAN连接，以免您在使用过程中无法访问自己局域网内资源！

📌OpenConnect
https://dl.naixi.net/sslvpn/client/openconnect/
* 您可以勾选Batch Mode，记住认证流程。下次就不需要再次认证啦！

💛服务器地址
填入 https://secure.naixi.net 即可。有部分设备不信任奶昔SSL签发的证书，因此可以取消强制证书验证。
官网：https://vpn.naixi.net

biubiu

顶一下{:5_150:}{:5_150:}{:5_150:}{:5_150:}{:5_150:}

biubiu

你看看~你看看~这就是顶一下的后果，扣我4点数，损失惨重啊{:5_158:}{:5_158:}

lc99520

损失惨重

fkeyou

好深奥的感觉

hui

woo 厉害了

Ambr1el

好厉害~

nekzero

想问奶昔大佬一下关于 ocserv 的分流问题 我使用的是 是CNMan的
ocserv-cn-no-route 但是分流不是很好 想问一下奶昔的sslvpn的分流是怎么做的

nyarime

nekzero 发表于 2025-5-10 15:01
想问奶昔大佬一下关于 ocserv 的分流问题 我使用的是 是CNMan的
ocserv-cn-no-route 但是分流不是很好 想问 ...

不是大佬，您客气了。我用的是ocserv二开的https://github.com/bjdgyc/anylink项目，暂停SSL VPN项目是因为移动端设备AnyConnect不支持no-router而导致全局代理所产生的空路由问题。众所周知，AnyConnect只能最高承载200条规则，且只有电脑版接受no-router（排除模式，不安全路由）。像iOS和Android都是仅接收router（安全路由，仅代理的IP段）
会导致服务器侧配了分流，但客户端那接受的是全局代理（所有流量通过隧道转发），最终导致在本该绕过的规则（直连）IP被代理掉，出现空路由的情况。一开始最精准的解决方案是让Apple用户用OpenConnect，但这无疑跟下载Shadowrocket难度相当，因此只能另想他法

刚开始最理想的解决方法就是通过APNIC获取中国的所有CIDR导入，这样可以精准排除中国大陆的IP地址。但遇到的问题是AnyConnect在超过200条后的规则无法下发，虽然移动端那边不支持no-router但还是可以除中国外的IP白名单来解决，就像有些高校的校园VPN就是白名单模式代理学校内网部分，而不是将公网资源设成no-router即不安全路由。既然要考虑AnyConnect客户端兼容，那就需要漏一些让cidr列表不超过200条。
因此我借CG-NAT的举个100.64.0.0/10举例，此时这个段里面有一部分是不连续的，但换一种想法，如果大部分中国IPv4中混入小部分的、非必要服务（如境外社交、流媒体、谷歌这类的搜索引擎外的）其实是可以接受的。
通过不断调整将IPv4的cidr优化到200条以内，我整理一份该项目的IP段数据目前是198行，您可以参考进行调整：
naixi-sslvpn-198cn.txt (2.88 KB, 下载次数: 0)

2025-5-10 15:20 上传

点击文件名下载附件
阅读权限: 20