[总结] nat机器到底怎么套cloudflare，全方位解读

共计 4488 个字符，预计需要花费 12 分钟才能阅读完成。

转自：https://www.nodeseek.com/post-44-1
频道：@nodeseekc
众所周知，Nat 机器由于大量用户公用一个 ipv4，很容因很容易被照顾，因此通常需要借助使用 cloudflare 使用。但是很多新手对如如何套 cloudflare 一头雾水，即使是老手对于一些新的 cloudflare 特性也不是非常了解。还有一些朋友发现，其 nat 服务商的 ipv6 给的是 Hurricane Electric 的网络地址，早年 cloudflare 为了避免滥用“cf-he”接入方式完全禁止了 HE 的 ipv6 网段，因此失去了下面要讲的第一种方法的可能性，但这种情况下仍然可以成功利用 cloudflare 的，只是很多人不清楚，因此这里关于“套 cloudflare”进行一下总结。
套 cloudflare 其实是一个很土的说法，其实就是利用 cloudflare 作为 CDN，当发起一个 http(s)请求的时候，先由 cloudflare 接受，然后转发到 nat 服务器。考虑到 cloudflare 作为网络基础设施，其被照顾的影响过于复杂因此很难直接照顾。
为什么 nat 机器不好套 cloudflare 呢，是很多人习惯了直接用 vps 的公网 ipv4 接入 cloudflare，但是 nat 是没有 ipv4 的，无法直接接入。还有一些服务商提供了 ipv6 only 的服务器，直接没有 ipv4 地址，更需要特殊对待。针对不同的情况，有几种变通策略。
图文太多了，懒得搬了_(:з)∠)_
使用 ipv6 接入使用 Origin Rules 使用服务商域名 forwarding + cloudflare 接入使用 Cloudflare 允许的非标准端口接入

我这种胎教肄业，文科，计算机小白，智商 80 的 MJJ，自己瞎摸索一番都会了
以下来自于论坛各位大佬的内容做笔记
——————————————————————
DNS64
ssh 端口、账号密码这些不同服务商不一样，对我这种小白第一步应该先教 DNS64，自己改 /etc/resolv.conf 或者直接
echo -e "nameserver 2a01:4f8:c2c:123f::1nnameserver 2a00:1098:2c::1nnameserver 2a01:4f9:c010:3f02::1" > /etc/resolv.conf 复制代码
解决 xui、v2 脚本连不上 ipv4 比如 github 的问题，网上老教程里比如 trex 2001:67c:2b0::4 是连不上的，上面这个截止这个月可以（上周装 Gullo）
不然 Github 连不上，装点啥装不上，套 CF 先要有 Nginx 之类的，先把服务搭起来，搭服务先要安装，先
http://[ipv6]: 端口 试试行不行
可以参考论坛大佬 scaleway 星尘 Warp 配置 IPv4 的教程，关键字在自己搜，有好几篇，比较长
服务可以套 CF
简单理解 cf 域名→ip:80/443，NAT ipv4 只有 xxx-xxx 段 收不到；因此域名用 AAAA 解析到 ipv6
OpenVZ 架构 开启 lkl bbr 科学
MJJ 买 NAT 是为了科学，NAT 机很多是 OpenVZ 架构，不能开启 bbr，可以开启 rinetd-bbr，参考 [OpenVZ 架构一键开启 BBR 加速的方法](https://sobaigu.com/linux-bbr-openvz.html)
一般都不是纯 ipv6，适用
# 适用于多网卡（多 IP）服务器，会为所有网卡（所有 IP）提供加速：
wget https://github.com/tcp-nanqinlang/lkl-rinetd/releases/download/1.1.0/tcp_nanqinlang-rinetd-debianorubuntu-multiNIC.sh
bash tcp_nanqinlang-rinetd-debianorubuntu-multiNIC.sh
# 如果提示 only support OpenVZ !，则使用下面这个脚本
wget https://github.com/tcp-nanqinlang/lkl-rinetd/releases/download/1.1.0-nocheckvirt/tcp_nanqinlang-rinetd-debianorubuntu-nocheckvirt-multiNIC.sh
bash tcp_nanqinlang-rinetd-debianorubuntu-nocheckvirt-multiNIC.sh 复制代码图文太多了，懒得搬了_(:з)∠)_
—————————————
我要引流了，都去源站看 ipv6 难道比 cf 差吗

就是这样，不过的确也懒得搬了，loc 上不大爱看这种长文吧

????

是的，主要排版太麻烦了看半天文字以为有干货，没想到还是贴了链接

mjj 都需要向你学习，我今天已经看到至少两个帖子问怎么操作的，很多人还回答不到点子上，这篇写的是比较全的

文字是多啊，我一看就发愁，直接发链接又太水，所以选择半水一下

链接也是干活哈哈哈，传递一下信息嘛，我看很多人最近买了 nat 机器，还有各种问问题的，算是有些用可以用这个功能，任意端口都可以，不需要有 IPV6，有网就行。
https://www.cloudflare.com/zh-cn/products/tunnel/

嗯 argo tunnel，原文最后一条有提到
这种接入方式不要求有公网地址，是类似于 frp 之内的内网穿透工具，我用过很好用

补充了一点内容，加进有效的 DNS64 作为第一步应该更合适？
然后 MJJ 买 NAT 机大多是用来科学的，OpenVZ 架构开启 BBR 应该有用

支持补充，dns64 应该是 ipv6 only 的机器用比较合适，nat 用的话，有 ipv4 的网站被赋予“假 ipv6" 地址后，都会挤到同一台服务器，其实不是很适合。
另外欢迎入驻呀 ipv6 难道比 cf 差吗

你的意思是直接使用 ipv6 的网速和 cf 比吗？
这个也分情况，从数据看大致而言白天 cf 好，晚上 cf 爆炸后 v6 好一些
主要是很多网络设施本身没有 v6，能直接使用 v6 连接的话肯定不错的
另外套了 cf 后，域名是双栈解析的（只添加 A 记录也是），本地有 ipv6 的话甚至会有限使用 ipv6 链接 cloudflare

就是这个意思
我现在能 v6 的都 v6 了开篇以为是技术分享

哈哈哈哈哈，我只做技术搬运工，这难道不是黑五买 nat 小鸡的及时雨吗 Origin Rules 绑定了 nginx 监听的端口，服务器防火墙也把对应端口打开，然后把 cf 的绑定的 ipv4，小云朵也打开了，检测域名 + 端口是不通，这是正常的吗？

几个问题：
1. 你开放的端口是服务商暴露给你的直连端口范围之内吗
2. 不用 cf，你直接访问服务商宿主机公网 ip+ 端口可以通吗，例如用 curl 或者 tcping
3. 上面那个第 2 条你看国内国外都试试，比如用 ping.pe 测一下服务商宿主机公网 ip+ 端口

第一个问题，是直连范围内的。
第二个问题，直接公网 ip+ 端口测试的国外 TCP 可用。国内 tcp 不可用，ping.pe 也是国外成功国内不行。但是我开了小云朵国内国外的 tcp 都不可用了中转一下就行

那么 cloudflare 报错的错误码是多少，或者截个图看看
还有就是你的 cloudflare 的 tls 默认策略是？strict 还是？服务器本地用的是自签名证书 /cf 的 origin 证书还是 LETS？

错误码在哪里看？tls 的策略是 Flexible，cf 自签的

就是你直接访问你的网址，http 和 https 分别显示什么啊

直接输域名不带端口 400，带端口就连不上了

那你通过 ip 访问就不会 400？算了不在这里聊了，你加我电报 @nodeseek

谢谢大佬，原来 origin rules 配置 net 端口后是通过 cf 的 443 端口 -> 宿主机端口 13222-> 直连或者转发到内网端口。懂了懂了