[总结] nat机器到底怎么套cloudflare，全方位解读-shwish

转自：https://www.nodeseek.com/post-44-1
频道：@nodeseekc

众所周知，Nat机器由于大量用户公用一个ipv4，很容因很容易被照顾，因此通常需要借助使用cloudflare使用。但是很多新手对如如何套cloudflare一头雾水，即使是老手对于一些新的cloudflare特性也不是非常了解。还有一些朋友发现，其nat服务商的ipv6给的是Hurricane Electric的网络地址，早年cloudflare为了避免滥用“cf-he”接入方式完全禁止了HE的ipv6网段，因此失去了下面要讲的第一种方法的可能性，但这种情况下仍然可以成功利用cloudflare的，只是很多人不清楚，因此这里关于“套cloudflare”进行一下总结。

套cloudflare其实是一个很土的说法，其实就是利用cloudflare作为CDN，当发起一个http(s)请求的时候，先由cloudflare接受，然后转发到nat服务器。考虑到cloudflare作为网络基础设施，其被照顾的影响过于复杂因此很难直接照顾。

为什么nat机器不好套cloudflare呢，是很多人习惯了直接用vps的公网ipv4接入cloudflare，但是nat是没有ipv4的，无法直接接入。还有一些服务商提供了ipv6 only的服务器，直接没有ipv4地址，更需要特殊对待。针对不同的情况，有几种变通策略。

图文太多了，懒得搬了_(:з)∠)_

使用ipv6接入使用Origin Rules使用服务商域名forwarding + cloudflare接入使用Cloudflare允许的非标准端口接入

热议
推荐楼 sliver

解决xui、v2脚本连不上 ipv4 比如 github 的问题，网上老教程里比如 trex 2001:67c:2b0::4 是连不上的，上面这个截止这个月可以（上周装Gullo）

不然Github连不上，装点啥装不上，套 CF 先要有 Nginx 之类的，先把服务搭起来，搭服务先要安装，先
http://[ipv6]:端口 试试行不行

可以参考论坛大佬 scaleway星尘 Warp 配置 IPv4 的教程，关键字在自己搜，有好几篇，比较长

服务可以套CF

简单理解cf 域名→ip:80/443，NAT ipv4只有 xxx-xxx段 收不到；因此域名用 AAAA解析到ipv6

OpenVZ架构 开启 lkl bbr 科学

MJJ买 NAT 是为了科学，NAT机很多是 OpenVZ架构，不能开启 bbr，可以开启 rinetd-bbr ，参考 [OpenVZ架构一键开启BBR加速的方法](https://sobaigu.com/linux-bbr-openvz.html)
一般都不是纯ipv6，适用

#适用于多网卡（多IP）服务器，会为所有网卡（所有IP）提供加速：
wget https://github.com/tcp-nanqinlang/lkl-rinetd/releases/download/1.1.0/tcp_nanqinlang-rinetd-debianorubuntu-multiNIC.sh
bash tcp_nanqinlang-rinetd-debianorubuntu-multiNIC.sh
#如果提示only support OpenVZ !，则使用下面这个脚本
wget https://github.com/tcp-nanqinlang/lkl-rinetd/releases/download/1.1.0-nocheckvirt/tcp_nanqinlang-rinetd-debianorubuntu-nocheckvirt-multiNIC.sh
bash tcp_nanqinlang-rinetd-debianorubuntu-nocheckvirt-multiNIC.sh

推荐楼 ansheng 昨天14:05

图文太多了，懒得搬了_(:з)∠)_
---------------------------------------
我要引流了，都去源站看

推荐楼 flyby 昨天14:30

ipv6难道比cf差吗

4楼 shwish 昨天14:06

图文太多了，懒得搬了_(:з)∠)_
---------------------------------------
我要引流了，都去源站看 ...

就是这样，不过的确也懒得搬了，loc上不大爱看这种长文吧

5楼 c7J8 昨天14:07

图文太多了，懒得搬了_(:з)∠)_

????

6楼 ansheng 昨天14:07

就是这样，不过的确也懒得搬了，loc上不大爱看这种长文吧

是的，主要排版太麻烦了

7楼 jzelynn 昨天14:08

看半天文字以为有干货，没想到还是贴了链接

8楼 shwish 昨天14:08

我这种胎教肄业，文科，计算机小白，智商80的MJJ，自己摸索一番都会了

mjj都需要向你学习，我今天已经看到至少两个帖子问怎么操作的，很多人还回答不到点子上，这篇写的是比较全的

9楼 shwish 昨天14:10

????

文字是多啊，我一看就发愁，直接发链接又太水，所以选择半水一下

10楼 shwish 昨天14:11

看半天文字以为有干货，没想到还是贴了链接

链接也是干活哈哈哈，传递一下信息嘛，我看很多人最近买了nat机器，还有各种问问题的，算是有些用

12楼 shwish 昨天14:18

可以用这个功能，任意端口都可以，不需要有IPV6，有网就行。
https://www.cloudflare.com/zh-cn/products/t ...

嗯argo tunnel，原文最后一条有提到
这种接入方式不要求有公网地址，是类似于frp之内的内网穿透工具，我用过很好用

13楼 sliver 昨天14:23

mjj都需要向你学习，我今天已经看到至少两个帖子问怎么操作的，很多人还回答不到点子上，这篇写的是比较 ...

补充了一点内容，加进有效的 DNS64 作为第一步应该更合适？

然后MJJ买NAT机大多是用来科学的，OpenVZ 架构开启 BBR 应该有用

14楼 shwish 昨天14:30

补充了一点内容，加进有效的 DNS64 作为第一步应该更合适？

然后MJJ买NAT机大多是用来科学的，OpenVZ...

支持补充，dns64应该是ipv6 only的机器用比较合适，nat用的话，有ipv4的网站被赋予“假ipv6"地址后，都会挤到同一台服务器，其实不是很适合。
另外欢迎入驻呀

15楼 flyby 昨天14:30

ipv6难道比cf差吗

16楼 shwish 昨天14:34

ipv6难道比cf差吗

你的意思是直接使用ipv6的网速和cf比吗？

这个也分情况，从数据看大致而言白天cf好，晚上cf爆炸后v6好一些

主要是很多网络设施本身没有v6，能直接使用v6连接的话肯定不错的

另外套了cf后，域名是双栈解析的（只添加A记录也是），本地有ipv6的话甚至会有限使用ipv6链接cloudflare

17楼 flyby 昨天14:50

你的意思是直接使用ipv6的网速和cf比吗？

这个也分情况，从数据看大致而言白天cf好，晚上cf爆炸后v6好一 ...

就是这个意思
我现在能v6的都v6了

18楼 昔洛z 昨天16:53

开篇以为是技术分享

19楼 shwish 昨天21:20

开篇以为是技术分享

哈哈哈哈哈，我只做技术搬运工，这难道不是黑五买nat小鸡的及时雨吗

20楼 groots 昨天21:22

Origin Rules绑定了nginx监听的端口，服务器防火墙也把对应端口打开，然后把cf的绑定的ipv4，小云朵也打开了，检测域名+端口是不通，这是正常的吗？

22楼 groots 昨天21:31

几个问题：
1. 你开放的端口是服务商暴露给你的直连端口范围之内吗
2. 不用cf，你直接访问服务商宿主机公 ...

第一个问题，是直连范围内的。
第二个问题，直接公网ip+端口测试的国外TCP可用。国内tcp不可用，ping.pe也是国外成功国内不行。但是我开了小云朵国内国外的tcp都不可用了

23楼 zerone110 昨天21:33

中转一下就行

24楼 shwish 昨天21:39

第一个问题，是直连范围内的。
第二个问题，直接公网ip+端口测试的国外TCP可用。国内tcp不可用，ping.pe ...

那么cloudflare报错的错误码是多少，或者截个图看看
还有就是你的cloudflare的tls默认策略是？strict还是？服务器本地用的是自签名证书/cf的origin证书还是LETS？

25楼 groots 昨天21:43

那么cloudflare报错的错误码是多少，或者截个图看看
还有就是你的cloudflare的tls默认策略是？strict还是 ...

错误码在哪里看？tls的策略是Flexible，cf自签的

26楼 shwish 昨天21:46

错误码在哪里看？tls的策略是Flexible，cf自签的

就是你直接访问你的网址，http和https分别显示什么啊

27楼 groots 昨天21:47

就是你直接访问你的网址http和https分别显示什么啊

直接输域名不带端口400，带端口就连不上了

28楼 shwish 昨天21:48

400

那你通过ip访问就不会400？算了不在这里聊了，你加我电报@nodeseek

29楼 groots 昨天21:58

那你通过ip访问就不会400？算了不在这里聊了，你加我电报@nodeseek

谢谢大佬，原来origin rules配置net端口后是通过cf的443端口->宿主机端口13222->直连或者转发到内网端口。懂了懂了

30楼 妖言惑众 3小时前

那你通过ip访问就不会400？算了不在这里聊了，你加我电报@nodeseek

请教大佬，
gullo给我的端口是14000
cf设置了小云朵
cf origin rules转发到14000
cf的ssl是默认的（浏览器到服务器加密）
服务器上nginx监控的14000，然后反代到本地的14001(14000 -> 127.0.0.1:14001)
v2ray监听14001

但是shadowrocket连不上是什么原因呀

32楼 妖言惑众 2小时前

有点晚了，明天有空的话私信帮你看一下，好奇怪这个不是基本没啥坑的怎么实际一用遇到的问题这么多
要是 ...

大佬，一定叨扰你，因为我对一个东西如果想不通就睡不着觉

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。