技术说明 TUN · 游戏模式 战舰世界 北美 · 中国移动
根因与解法

为什么挂 TUN 玩游戏,会卡在「登录中」

网页能开、游戏进不去。客户端版本也没动过——问题出在节点「怎么传 UDP」。而这背后,是一对天然的矛盾

向下滚动
本质 · THE ESSENCE

一句话讲透

游戏所需的 UDP,要的是「简单、粗暴、低延迟」
而翻墙所需的,是「隐匿、加密、混淆、伪装」
这两者天然冲突,无法兼得。
Game UDP wants to be raw, blunt, low-latency. Circumvention must be hidden, encrypted, obfuscated, disguised. The two are intrinsically at odds.
现象

客户在中国(移动)用 TUN/游戏模式玩《战舰世界》北美服,节点更新后所有节点都卡在「登录中」、报ネットワークエラー,但浏览网页一切正常

判断

能上网、进不去游戏 = UDP 出了问题。游戏走 UDP,网页/登录走 TCP;实测每条线路 TCP 都通(3/3),所以问题只出在「UDP 怎么被传过去」。

矛盾

游戏 UDP 要的是裸奔式直达、丢一两个包无所谓但绝不能卡;而代理为了过墙必须加密+混淆+走专线绕路——这层「伪装」恰恰会拖垮游戏的实时性。这就是上面那句话的核心。

两个坑

客户正好踩中两个最不适合游戏的节点:① AnyTLS 节点——它是 TCP 通道,游戏 UDP 被硬塞进 TCP 顺序传输,丢一个包后面全堵(队头阻塞),表现就是卡登录。② 日本 IPLC 节点——线路本身没问题,但出口在日本,离北美服务器太远。

关键事实

实测:从中国直连境外的游戏 UDP 会被墙限速/丢弃(直连探测 0 到达);而走 IPLC 专线的 UDP 能稳定通过(实测专线上有大量真实游戏 UDP 流量)。所以「直连/GLOBAL/HY2 直连」反而不适合打游戏。

解法

用「美国出口 + IPLC 专线」的 SS 节点:既是原生 UDP、又走专线稳定过墙、出口还靠近北美服务器。这个节点本来就在客户套餐里——他只是一直没试过,反而去试了上面两个最差的。

诚实边界

我们已证明 UDP 能稳定到达「出口服务器」;但还没证明游戏 UDP 能从出口一路打到北美再回来。所以让客户先用这个美国 IPLC 节点实测一局,就能最终定论;若仍卡登录,那更可能是出口 IP 被战舰北美区风控,届时我们上一条干净的北美游戏专线。

01 · 案例

中国移动用户、北美游戏、必须挂 TUN。

套餐
Extreme
客户端
Windows · VilaNet
运营商
中国移动
游戏
战舰世界 北美服
模式
TUN · 游戏模式(必须)
症状
卡「登录中」· ネットワークエラー

整个工单期间客户端版本始终没变——所以这不是 App 的 bug。是服务端的节点重组,把客户挪到了承载不了游戏流量的节点上。

02 · 判断依据

网页能开、游戏不行 —— 这是 UDP 的特征。

游戏对战流量走 UDP;登录/聊天/网页走 TCP。从中国侧实测,每条线路 TCP 都 3/3 通。所以不是连不上,而纯粹是 UDP 怎么被传过去

TCP · 登录 / 聊天 / 网页
✓ 正常

握手能完成。浏览、车库、聊天都能用——所有节点都行,包括那些对游戏不可用的节点。

UDP · 真正的对战
✕ 失败

实时数据包被塞进 TCP 流,或在过境时被丢弃。登录在等它们 → 无限「登录中」。

03 · 追踪数据包

出中国有三条路,只有一条能带游戏 UDP。

同样的 UDP 包尝试三条路到游戏服务器。客户试的是前两条——最差的两条。

试过 → 失败 解法 数据包
玩家 中国 · 移动 TUN 模式 游戏服务器 北美 UDP 对战 防火墙 ① AnyTLS — UDP 套 TCP 游戏 UDP 被塞进一条有序 TCP 流 · 单行道 队头阻塞 → 卡 / 不可玩 ② 直连 / GLOBAL / HY2 直连 境外高端口 UDP 被丢弃 · GLOBAL 域名还被 DNS 污染 在边界被丢弃 ③ IPLC 专线(美国出口)— 解法 香港中转 日本中转 绕过防火墙 · 专线承载 UDP · 出口靠近北美 送达 ✓
关键:客户死磕日本节点,但他玩的是北美游戏。正确答案是美国出口的 IPLC 专线 SS 节点——它本来就在 Extreme 套餐里,他却一直没选。
04 · 证据

是实测,不是猜测。

只读检查:节点配置、代理核心源码、出口抓包、以及从中国侧的探测。(本公开版已隐去网络标识。)

AnyTLS = UDP 套 TCP

代理核心对 AnyTLS 无条件启用 UDP-over-TCP(没有开关)。游戏 UDP 被迫挤进一条有序 TCP 流 → 队头阻塞。

源码验证 · sing-box AnyTLS 出站

IPLC 能承载 UDP ✓✓

853 / 1252

日本出口(20 秒抓到 853 个)和美国出口(18 秒 1252 进 / 5761 出)实测到真实游戏 UDP 包,经专线中转链路。专线没问题。

抓包 · 出口处

直连境外 UDP 被丢

0 / 0

两次直连境外 UDP 探测(用的是未占用端口):零到达。而 UDP/53 对照组成功。

注:数据中心探测点,非住宅网 —— 仅方向性参考

GLOBAL 域名被污染

某日本节点的 GLOBAL 域名在中国被解析到 GFW 黑洞 IP。域名版 GLOBAL 连都连不上;裸 IP 版 GLOBAL 没问题。

DNS 查询 · 中国探测点

节点类型

AnyTLS = tcp(仅 UoT)· SS = tcp,udp(原生)· HY2 = UDP 原生。「仅 App」之类只是显示标签,不是流量限制。

节点数据库

他试的是最差的两个

只试了日本 AnyTLS日本 SS-IPLC——传输方式错、地区也错。一个美国出口的 IPLC SS 节点一直在套餐里没用。

套餐节点分配
05 · 解法

三个层级 —— 从「马上回复」到「彻底补齐」。

第一层 — 立即 客服 · 客户

  • 换成美国出口的 IPLC SS 节点:原生 UDP + 专线稳定 + 出口靠近游戏服务器。UDP 承载已实测验证
  • 设置:TUN 开启stack=gvisor(默认),FakeIP 默认。测试时固定一个节点,别频繁切换。
  • 玩北美游戏请避开 AnyTLS 节点和日本节点。
  • 若换了美国 IPLC 节点仍卡登录 → 多半是出口 IP 信誉问题 → 升级到一条干净的北美游戏线路。

第二层 — 节点 运维

  • 把北美游戏用户引导到美国/加拿大 IPLC SS;游戏场景下降低日本和直连节点的优先级。
  • 把被污染的 GLOBAL 入口改成裸 IP,不要用域名。
  • 部署一条专用的干净北美游戏出口(原生 UDP SS / 带端口跳跃的 HY2 —— 绝不用 AnyTLS)。
  • 若向移动用户提供 HY2,启用端口跳跃 + 混淆

第三层 — App 产品 · 长期

  • 游戏模式下选了 AnyTLS / 直连节点时给出提示 —— 仅用户点击触发、限流,且不能与连接流程的通知抢占。
  • 游戏模式下做「地区 + 传输」感知的排序 —— 在副本上排序,按 key 映射回选择;绝不重排规范节点列表(会破坏选中索引 / 实时切换)。
  • GLOBAL 引导解析:服务端优先裸 IP;客户端 DoH 仅作短超时的 fail-open,并保留 TLS SNI。
06 · 已知 vs 待证

老实说说把握。

高 —— 传输机制

AnyTLS 是 UoT(队头阻塞)。IPLC 专线可证能承载 UDP(日本和美国都有实测抓包)。被测的直连路径会丢高端口 UDP。这些都是实测的。

中 —— 「是否完全解释了卡登录」

抓包证明 UDP 到达了出口处的服务器——但没证明游戏 UDP 完成了 出口 → 游戏服务器 → 返回 的全程。出口延迟更能解释「卡顿」而不是硬「卡登录」。

最强的未排除假设:(a) 游戏对出口 IP 的信誉风控(北美账号);(b) 出口之后的游戏路径故障。最终定论 = 用美国 IPLC 节点真打一局 + 抓一次「出口 → 游戏服务器」的 UDP 包。
07 · 节点评分

这个套餐能为北美游戏选哪些节点。

节点传输出口游戏 UDP结论
SS-US-IPLCSS · IPLC美国IPLC ✓(已验证)最佳 —— 选它
SS-US(裸 IP GLOBAL)SS · IPLC美国IPLC ✓不错的备选
SS-JP-IPLCSS · IPLC日本IPLC ✓UDP 行,地区不对
HY2-JP(直连)HY2 · 直连日本直连 —— 被限速移动上不稳
AnyTLS-JP(直连)AnyTLS · 直连日本UoT —— 队头阻塞游戏绝不用