• 免客戶端 (Chrome 就是客戶端) • 設置簡單 • 基本免後期維護 • 牆內外流量按網域分流 • 牆內視頻網站速度不受影響 • 適用瀏覽所有網站 • 不用擔心中間人攻擊 • 反防火牆封鎖能力超強（無論是 GFW 還是公司防火牆）

（幾乎）完美替代 SSH

不少網友通過 SSH(Tunnelier/Entunnel) + Chrome + SwitchySharp + GFWList 來翻牆。WebVPN 省略了 SSH 那個部分。另外，使用 GFW 白名單來替代 GFWList 黑名單，進一步降低了維護的要求。

如果 GFW 分析 ssh 的翻牆流量，就會發現這些 ssh 流量有 http 的特徵，從而引發警報。隨著 GFW 完全封鎖 OpenVPN 後，開始將目標轉向 ssh，推特上已有傳聞 ssh 被封。

WebVPN 使用標準的 https 來封裝訪問牆外網站的 http 流量，在 GFW 看來這和普通的網站訪問流量是完全一樣的。這方面偽裝能力使 WebVPN 的生存能力大大高於 pptp/l2tp/ipsec/ssh/openvpn 等等協議特徵明顯的翻牆方式。

為什麼只是幾乎完美呢？因為現在 WebVPN 只適用於 PC，Mac 和 Linux 等桌面版的 Chrome。Android 的客戶端還沒有開發出來。iOS 客戶端的可行性暫時還不清楚。

5 分鐘翻牆圖解指南

從此設置困難不再是不翻牆的借口了。

首先準備好｢地下鐵路｣提供的 pac 文件 的 URL，其格式如下，當然具體內容是完全不一樣的。下面的圖解以此 URL 為例，用戶在設置時，請用｢地下鐵路｣提供的 URL 替代。

https://123.456.789.0:1234/info/abcdef.pac

(1) 安裝 Chrome 和 SwitchySharp （2分鐘）

這一步本來可以略過不提。但是，可能由於五毛搞鬼，SwithySharp 在 Chrome Web Store 上找不到了。所以需要翻牆後在 Google 上搜了。｢地下鐵路｣的伺服器上也保存了一份。

(2) 導入伺服器的證書 （1分鐘）

將｢地下鐵路｣提供的 URL 的一部分：

https://123.456.789.0:1234/info/

在 Safari （Mac） 或 IE （Windows）打開。

然後，通過下圖中的 3 步，將證書添加到 Mac 或 Windows 中，完成後再次打開這個 URL 不應該再有安全提示。

注意

• 這一步不可以用 Chrome 來做，因為 Chrome 不能添加證書。
• 每次伺服器更新後，這一步必須且只需要做一次。
• 需要這一步是因為｢地下鐵路｣沒有購買證書，這隻跟相關伺服器的認證有關，不會影響用戶的上網安全。

(3) SwitchySharp 設置（1分鐘）

將｢地下鐵路｣提供的完整的 pac 文件的 URL 貼入到 SwitchySharp 中，然後保存。格式如下：

https://123.456.789.0:1234/info/abcdef.pac

出於穩定性的考量，｢地下鐵路｣的 pac 文件是一個 GFW 白名單，並且已經設置好代理伺服器地址。

題外話，如果網友想要自己編寫 pac 文件，可以下載後更改，SwitchySharp 可以直接從硬碟上讀取。不過，這是 5 分鐘教程之外的內容了。

(4) 開始翻牆（1分鐘）

在 SwitchySharp 的菜單中，選擇剛才的那個翻牆設置。第一個先訪問一下 whatismyip.com，確認顯示的 ip 地址是伺服器的 ip 地址，而不是本地的 ip 地址。

如果使用｢地下鐵路｣的 WebVPN 服務，還需要輸入用戶名和密碼。

一切正常，恭喜你設置完成了。將來除非伺服器變化或者重裝 Chrome，用戶端不需要做任何設置的，完全感覺不到牆的存在。

常見的問題和原因

沒有錯誤信息，但就是不能翻牆

這通常是因為（1）pac 文件 URL 有錯（2）pac 文件中給的代理地址有錯 或者（3）pac 文件的語法有錯。這種情況下，Chrome 就會忽略代理設置，而直接連接網路。

排查問題時，在 Chrome 的網址列輸入如下 URL。Chrome 會列出當前使用的代理。

chrome://net-internals/#proxy

設置正確的話，Effective settings 和 Original settings 都應該是用戶在第 3 步輸入的那個 URL 。

pac 文件 URL 有錯

下圖中，Chrome 在 ｢Original settings｣ 一欄中沒有找到 pac 文件， 原因是第 3 步中輸入的 URL 有錯。

Chrome 不能讀入 pac 文件

下圖中，Chrome 找到了 pac 文件，但是沒有生效，原因很多，而且 Chrome 也不給出明確的信息。根據作者的經驗，有以下幾種可能：

• 第 2 步中證書沒有成功導入。
• pac 文件的語法有錯，Chrome 似乎不接受有些別處合規的 pac 語法。
• Chrome 只讀取一次 pac 文件，然後將規則和代理伺服器地址紀錄在緩存中，所以即使更正問題後，可能需要點擊幾次 Re-apply settings，Clear bad proxies 或者重啟 Chrome 。

代理伺服器證書有錯

｢地下鐵路｣將 pac 文件放在代理伺服器上，如果用戶將 pac 文件和代理伺服器分開，第 2 步的證書導入需要對 pac 文件伺服器和代理伺服器分別操作。

如果代理伺服器的證書有問題，Chrome 會給出如下錯誤信息。

其它節省流量的方法

由於白名單的流量消耗較黑名單要高一些，在瀏覽器中安裝下面的擴展，在提高網頁瀏覽速度的同時，也能節省不少流量。

屏蔽廣告： Adblock Plus ＋ Easylist ＋ Chinalist

在 Firefox 或 Chrome 中安裝 Adblock Plus (ABP) 擴展，並在 ABP 的控制台中加入 Easylist 和 Chinalist。這樣可以有效的過濾廣告大部分網站和網頁。

注意：下載擴展和 ChinaList 的時候可能需要打開全局翻牆的 VPN 。

屏蔽Flash： FlashControl 或 FlashBlock

在 Chrome 中安裝 FlashControl 或在 Firefox 中安裝 FlashBlock，可以達到屏蔽 Flash 的效果。需要打開