• 作者: 作者
  • 时间:
  • 分类: 文章

很多刚折腾网络的小伙伴经常会有这样的困惑:代理软件里的TUN模式,和软路由里常说的旁路由网关模式,到底有啥本质区别? 是不是只是为了防止WebRTC泄露?其实两者的差异远比这复杂得多。今天我们就抛开晦涩的术语,用大白话把这两种模式的底层原理、优缺点以及适用场景彻底讲清楚。

一、 底层原理:流量是怎么被“劫持”的?

要理解区别,首先得看它们是如何把你的上网流量“抓”住并送出去的。

1. TUN模式:设备内部的“虚拟网卡” TUN模式的核心在于操作系统层面的虚拟网络设备。当你开启TUN模式时,代理软件会在你的设备(手机或电脑)里创建一张“看不见的网卡”(TUN接口)。

操作系统会认为这是一张真实的物理网卡。通过配置路由表,系统会把所有你想代理的流量引流到这张虚拟网卡上。代理软件监听这张网卡,读到数据包后,像拆快递一样拆开,根据规则决定是直连还是发往代理服务器。整个过程完全是在你当前的设备内部完成的闭环。

2. 旁路由模式:硬件层的“交警” 旁路由则完全不同,它通常是一个独立的物理设备(或者另一台虚拟机)。在这里,你的电脑、手机等设备被称为“主路由”下的客户端。

旁路由模式需要你做一件事:把你主设备的网关地址修改为旁路由的IP地址。这样一来,你的所有数据流量在发出时,不再直接发给光猫或主路由,而是先发给旁路由设备。旁路由这台“中转站”分析完流量后,处理好回包,再转发给真正的互联网。这是一个跨设备的、网络层级的流量接管。

二、 核心差异:不仅仅是WebRTC

很多人以为两者的区别只是WebRTC泄露(即对方通过WebRTC探测到了你的真实IP),但其实这只是表象,背后的技术差异非常大。

1. 流量处理层级不同

  • TUN模式工作在网络层(Layer 3),它处理的是IP数据包。由于它直接介入操作系统的网络栈,它能非常精细地控制每一个进程的流量,甚至能识别出是哪个App发出的请求。
  • 旁路由模式主要工作在网络边缘。虽然它也能处理IP层流量,但它是作为一个外部网关存在的。对于主设备来说,流量是发给了“路由器”,它不知道流量会被二次转发。

2. 兼容性与“透明度”

  • TUN模式的兼容性极好。因为它模拟的是一张网卡,对于设备上的任何软件(包括命令行工具、游戏、旧版软件)来说,流量就是正常发出的,完全无需软件自身支持代理。这就完美解决了某些不支持设置代理的尴尬。
  • 旁路由模式也是透明的,但它有一个痛点:配置繁琐。你需要手动去改每个设备的网关,或者在DHCP服务器上做手脚。而且,如果旁路由设备挂了,你的网络也就断了,容灾性不如TUN模式灵活。

3. WebRTC泄露的真实原因 关于WebRTC泄露,TUN模式之所以能防住,是因为它接管了全系统的流量包括UDP,WebRTC发出的探测包也被强制走了代理通道。旁路由模式同样能做到,因为它也是网关代理,UDP包照样会被抓走。真正会导致泄露的,通常是“分流规则没写好”或者使用了不支持UDP转发的代理协议,而不是模式本身的问题。相比之下,普通的系统代理模式才防不住WebRTC,因为它是应用层代理,接管不了底层的UDP探测。

三、 性能与资源损耗对比

  • TUN模式:由于是在本机进行处理,流量多了会占用你当前设备的CPU和内存。对于几年前的旧手机或性能羸弱的单板卡来说,开启TUN模式可能会导致设备发热、卡顿。
  • 旁路由模式:把脏活累活丢给了独立的设备(比如一台性能不错的软路由)。你的手机或电脑只负责发数据,不负责解密加密,因此本机几乎零额外损耗。如果你家里设备多(电视、Switch、手机都要代理),旁路由显然是最佳选择,一次配置,全家无忧。

四、 避坑指南与解决方案

如果你在使用这两种模式时遇到了问题,这里有几个排查思路:

  1. 如果你开了TUN模式,上网却全断了:通常是路由表冲突。TUN模式会创建路由表,如果你的路由表优先级设置错误,流量可能会被发往死胡同。解决方法是在代理软件里开启“Stack实现(如gVisor或System)”模式,避免修改系统路由表。

  2. WebRTC依然泄露:无论用哪种模式,请确保你的代理节点支持UDP转发(如Shadowsocks、Trojan或V2Ray+WebSocket)。如果节点不支持UDP,WebRTC的UDP包就会失败回落到直连,从而暴露真实IP。

  3. 部分APP无法联网:在TUN模式下,可能是因为开启了“仅代理模式”而非“全局模式”,或者分流失效;在旁路由模式下,检查DNS设置是否被劫持导致了污染,建议在旁路由上直接接管DNS(比如使用53端口转发或DHCP指定DNS)。

五、 总结:该怎么选?

  • 选TUN模式:如果你只有一台设备(比如只有一台公司电脑或个人手机),不想折腾额外的硬件,且想要最精细、最省事的代理体验,TUN模式是首选。

  • 选拌路由模式:如果你是极客玩家,家里有NAS、电视、游戏机、平板一堆设备需要代理,且有一台性能不错的24小时运行的机器(比如树莓派、旧电脑、软路由),那么搭建旁路由能让你拥有一劳永逸的透明网络环境。

技术从来没有绝对的优劣,只有适不适合你的场景。希望这篇解释能帮你理清思路,少走弯路!

标签: none

AI Skills Smart Station on Nick Launches

评论已关闭