Warp/Warp+借MASQUE复活？既要也要不如不要！

9 月 22 日，cloudflare 正式发布并更新了 warp 客户端，引入了对 MASQUE 的支持。这只是自 2024 年 7 月将 MASQUE 引入 zero trust 之后，全面推广到所有定价层级和隧道产品，谈不上什么“史诗级”更新，MASQUE 本身早有「文档（示例）」，作者也并非 cloudflare。MASQUE  让很多人一夜高潮，只能说傻逼、无良跳“大神”的太多，小白被忽悠着体验了下一秒真男人。9 月 25 日后，改用 MASQUE 的客户端同样大多数情况下无法连接，“伟哥”并不好使。不过，大善人如此努力，简单介绍下 MASQUE 和启用 MASQUE 协议客户端的用法。小白首先需要了解两点：

• MASQUE 不是 Cloudflare 的“独门绝技”，非常易于识别和屏蔽
• 在中国境内提供 CDN 服务的机构在需要时必须按监管部门要求提交用户数据

MASQUE

MASQUE（Media Application Substrate for QUIC Encryption）是基于 QUIC 的隧道技术，与 HTTP/3 使用相同的协议、端口，相比与目前 warp 使用的 wireguard 协议更难被阻断。与 wireguard 相同的是，底层基于 udp 设计，不同的是 MASQUE 使用标准的 443 端口，而非 wireguard 的 51820，运营商及监管机构的访问控制设备还无法做出快速调整和响应的前提下，改用 MASQUE 的 warp 得以顽强复活。但是，排除 GFW 更新，即便是边缘网络安全负责人，也不会允许类似流量从此畅通无阻。

Warp 及大量 VPN 选用 wireguard 的原因在于其简单易用、安全性、平台无关和连接快速，但 wireguard 并未正式纳入 IETF 标准，使用并未得到最广泛识别和接受的非标准 51820 端口，zero trust 将 wireguard 协议端口修改为 2048，仍然无法得到 ISP 或监管机构的认同。对于 VPN 用户而言，使用任何端口都没有问题，但全球中的公共 Wifi 及近万家  ISP，或者因无法识别 wireguard 流量而屏蔽，或者因识别 wireguard 才阻断。对于 cloudflare 这样的推广、应用的大厂，则是后者重点识别、跟踪的对象。

MASQUE（Media Application Substrate for QUIC Encryption） 同样基于 udp，使用并扩展了 HTTP/3 和 QUIC，采用标准的 443 端口，目的在于增强隐私安全性，通过 QUIC 协议快速建立连接，保护用户数据不被窥探。更为重要且和 warp 相关的是，QUIC 本身具有的数据包合并、多路复用等特性可以在高延迟、高丢包网络环境下获得更好的性能。握手过程中，不同上下文环境下的 QUIC 数据包可以合并到一个数据报（udp datagram）中，减少接收和系统等待频次。多路复用则允许 QUIC 在一个 UDP 连接中承载多个 HTTP 会话，最大程度利用网络资源。

启用 MASQUE 最简单的方式-Zero trust

登入 cloudflare 后，选择并打开 zero trust，在 zero trust 面板点击左侧导航栏的『Settings』 。在『Settings』设置面板中，点击『WARP Client』。

直接对『Default』策略进行配置。点击『Default』策略右侧的三个点，选择『Configure』。

在 Default 策略配置页面，在『Device tunnel protocol』中，改变隧道协议为『MASQUE』。弹出的对话框中点击『Confirm change』即可。

Zero trust 配置完成后，所有客户端升级为以下最新版本，无需任何额外配置即使用 MASQUE 协议连接。

Windows  | MacOS   | iOS | Android | Linux（使用包管理器安装或更新）

如果是通过 Apple app store 或 google play 中，也可以安装使用 Cloudflare One Agent，专用于 zero trust。

Warp/warp+客户端配置方法

不使用或未创建 cloudflare zero trust 账户的用户，需要将 warp 客户端升级为最新版本。如由历史版本直接升级，部分设备应在『设置』/『偏好设置』面板中，打开『高级』后勾选『是的，我想加入测试计划』后更新客户端。

Windows

在 %SystemDrive%\ProgramData\Cloudflare 文件夹下新建 mdm.xml 文件，内容如下所示，定义 cloudflare 客户端连接对端使用 MASQUE 协议。

<dict>
    <key>warp_tunnel_protocol</key>
    <string>masque</string>
</dict>

文件保存后，重启 warp 客户端，连接即可。多数情况下，实际连接成功率、连接速度与使用 wireguard 不会有任何直观区别。

其他平台

MacOS、Android、iOS 等平台下，只需更新 warp 为最新版本后，在『设置』面板中打开『高级』选项卡，找到、点击『连接选项』，将『Tunnel Protocol』设置为 MASQUE 。

Warp 借助 MASQUE 可以在国内短暂复活一段时间，复活期间的使用体验千差万别，QUIC 本身就不受运营商欢迎并且历来有所控制。高级用户可以保持跟踪续命，普通用户还是订阅 VPN 或机场是最佳选择，既要配置简单开箱即用、又要连接快速、还要稳定持续，这种产品只存在于不懂事的白嫖怪和滥用者的想象中。免费、稳定、快速、大厂品质保障等，交集一个字：“滚”！