自建 VPN 系列第 7 篇：WireGuard 握手正常但打不开网？我们为什么非要 CN2 GIA，附 DMIT 部署 & 缺货替代方案

前言
最近有不少朋友问我一个很奇怪的问题：WireGuard 客户端显示「上次握手时间」明明是正常的，说明 VPN 连接已经建立成功了，但不管是国内还是国外网站，全都打不开，这到底是怎么回事？
我自己也遇到了完全一样的问题：排查了半天，AllowedIPs 配置没问题，防火墙规则也没出错，服务器状态也正常，握手包能正常通，但是一打开网页就卡着不动，半天加载不出来。
后来我才搞明白这个现象的根源：小数据包和大数据包的通行能力是完全不一样的。WireGuard 的握手包只有几十字节，属于极小的控制包，哪怕网络拥堵到快断了，这种小数据包也能挤过去，所以客户端会显示握手正常；但一旦你要打开网页，传输的就是几百 KB 甚至几 MB 的业务数据包，这时候拥堵的网络就根本传不动这些大包，直接就卡成了白板。
那为什么会拥堵？其实就是你用的 VPS 线路太差了。普通的国际线路，一到国内晚高峰（20:00-23:00），全中国的用户都挤在同一条国际出口上，直接就堵成了停车场，这时候别说看视频，连打开个谷歌首页都要等半天。
之前我也想过调整 AllowedIPs 来解决国内网站走 VPN 的问题：把国内的 IP 段都排除掉，让国内流量直连，国外流量走 VPN。但试了之后才发现，这个问题根本没法完美解决 —— 国内和国外的 IP 段太多太杂，还有很多重叠的，你永远补不完，补到最后还会误杀很多国内的常用服务，反而得不偿失。
所以要从根源上解决这个问题，只有一个办法：找一条足够稳定、哪怕晚高峰也不会拥堵的高端线路，也就是我们常说的中国电信 CN2 GIA 线路。只有用了这种线路，才能保证不管什么时候，你的 VPN 连接都能流畅跑起来，不会再出现「握手正常但打不开网站」的奇葩问题。

一、先搞懂：三大主流 VPS 线路到底有什么区别？为什么我们非要 CN2 GIA？
很多新手朋友买 VPS 的时候，都会被商家宣传的「BGP」「CN2 GIA」「CMIN2」这些名词搞晕，不知道到底选哪个。其实这三个线路，就像是普通国道、省道、和 VIP 高速公路的区别，体验天差地别。

1. 普通国际 BGP：最基础的 “国道”
   普通国际 BGP 线路，就是最基础的互联网路由，没有针对国内运营商做任何专门的优化，所有用户的流量都挤在同一条国际出口上。
   延迟表现：国内到美国洛杉矶的延迟通常在 180-220ms 左右；
   晚高峰表现：一到晚上 20 点之后，拥堵非常严重，丢包率能到 5%-20%，打开网页动辄要等几十秒，甚至直接超时；
   适合场景：仅适合临时过渡用，或者对网络要求极低的场景，日常用的话体验非常差。
   这就是为什么之前的 Vultr 这种服务商，虽然价格便宜，但是我只把它当成备用过渡款，因为它的线路就是这种普通 BGP，只能凑合用，没法长期用。
2. CMIN2：移动用户的 “省道”
   CMIN2 是中国移动的国际优化线路，是针对移动用户的回国流量做了专门的优化，相当于移动用户的专属半 VIP 通道。
   延迟表现：移动用户用的话，延迟能降到 70-90ms，比普通 BGP 好很多；但电信用户用的话，其实还是走普通的优化路由，延迟大概 60-80ms，不如 CN2 GIA；
   晚高峰表现：比普通 BGP 好很多，但是还是会有轻微的拥堵，丢包率大概 1%-3%，日常浏览没问题，但是大流量下载或者看高清视频的话，还是会有点卡；
   适合场景：适合移动用户，或者预算有限、对稳定性要求不是极高的用户，性价比不错，但是不如 CN2 GIA 稳定。
   我们之前提到的 Racknerd、CloudCone 这些服务商的低价优化套餐，其实用的就是这种 CMIN2 或者 CN2 GT（半程 CN2 优化）线路，它们的价格刚好贴合我们的 20 美元预算，但是它们的电信线路并不是真正的 CN2 GIA，晚高峰的稳定性还是差了一点。
3. CN2 GIA：电信用户的 “VIP 高速公路”
   CN2 GIA 是中国电信的高端全程优化线路，是目前能拿到的最好的民用国际线路，没有之一。它就像是专门给你开了一条 VIP 专用高速公路，从你国内的省级节点开始，全程走电信的 CN2 高速骨干网，全程没有普通的拥堵节点。
   延迟表现：国内到美国洛杉矶的延迟能稳定在 30-60ms，沿海地区甚至能到 20ms 以内，和访问国内网站的延迟差不多；
   晚高峰表现：因为 CN2 GIA 有专门的 QoS 优先级，哪怕晚高峰全网拥堵，电信也会优先保证 GIA 用户的流量通行，晚高峰丢包率能做到低于 0.5%，几乎无感，不管是看 4K 视频、打游戏还是大文件下载，都完全不会卡；
   怎么识别真假 CN2 GIA：很简单，你做个路由追踪，如果所有的核心节点都是以 59.43 开头的，那就是真的 CN2 GIA；如果出现了 202.97 开头的节点，那就是假的，要么是 CN2 GT，要么是普通线路。
   这就是为什么我们非要找 CN2 GIA 线路的原因 —— 只有它能保证，不管什么时候，你的 VPN 都能流畅运行，不会再出现「握手正常但打不开网站」的问题。
   为什么在 20 美元预算内，只有 DMIT 和 ZgoCloud 才是真 CN2 GIA？
   很多商家都会宣传自己有 CN2 线路，但是大部分都是假的，要么是半程的 CN2 GT，要么是把 CMIN2 包装成 CN2 来忽悠人。而且真正的 CN2 GIA 成本非常高，大部分服务商的 CN2 GIA 套餐价格都远超我们的 20 美元预算。
   而我们筛选下来，在这个预算内能拿到真正 CN2 GIA 线路的，只有两家：
   DMIT：它的 Premium 网络就是自营的 CN2 GIA 线路，官方自己就明确标注了包含中国电信下一代承载网 CN2 GIA，而且是自营带宽，不是转售，线路质量非常有保障，之前的 12.98 美元 / 月的 LAX.AN5.Pro.TINY 套餐，就是这个线路，可惜现在缺货了（注：我大概等了2周左右，也没有等到补货）。
   ZgoCloud：它新出的洛杉矶三网优化套餐，就是电信走 CN2 GIA、联通走 9929 联通高端优化、移动走 CMIN2，刚好三个运营商的用户都能用到各自的高端线路，而且它的入门款年付才 58 美元，折算月付才 5 美元，远低于我们的预算，就能拿到真正的 CN2 GIA 线路，性价比拉满（注：低价套餐也经常缺货，我家是成都移动宽带，最后仍然选择了高价套餐，且等待了几天。）。
   其他的比如 Racknerd、CloudCone，虽然价格也贴合预算，但是它们的线路是 CMIN2 或者 CN2 GT，不是真正的全程 CN2 GIA，晚高峰的稳定性还是差了一点，所以只能作为备选。

二、注册账号（国内直接操作，不用翻墙）

1. 直接打开 DMIT 注册页面：https://www.dmit.io/register.php （国内不用翻墙就能直接打开，就算我 VPN 坏了也能访问）（如图2）

1. 输入我的邮箱，设置密码，完成滑块人机验证后，点击「注册」按钮（不用手机号，和 Vultr 注册一样简单）
2. 注册完成后，系统会自动登录我的账号，无需手动输入账号密码再次登录，后续只需完成邮箱验证即可（验证邮件会发送到我注册的邮箱，确保账号正常使用）（如图3）。

三、部署基础服务器（先创建有效订单，解决充值提示问题+全节点现状说明+替代服务商详解）
重点说明：DMIT 要求必须有「有效订单」（已部署的服务器），才能进行充值（否则提示“You must have at least one active order before you can add funds”），因此先部署服务器，再充值，和我之前 Vultr 流程略有调整，但操作完全一致。
全节点现状说明：目前 DMIT 核心节点均存在缺货或价格偏高的情况，完全贴合我观察到的现状，具体如下：

1. 洛杉矶节点：Premium、Eyeball、Tier 1 三种网络类型下所有实例均处于缺货状态，包括我能勉强接受的 LAX.AN5.Pro.TINY（Premium 网络，12.98美元/月），该节点 AN5 系列已告罄（如图6）；

1. 东京节点：所有网络类型、所有实例全部缺货，无任何可部署库存，与洛杉矶节点补货规律一致，短期难以有大量库存释放（如图4）；

1. 香港节点：仅 Eyeball 网络有部分实例有货，月付价格29.90美元，Premium 网络最便宜的套餐（39.90美元/月）也处于缺货状态，且即便有货，两个网络类型的价格均远超我能接受的12.98美元/月预算，性价比不足，不推荐选择（如图5）。
   补充说明：DMIT 洛杉矶节点低价套餐缺货，核心原因是全球硬件成本持续上涨，商家已暂停洛杉矶 AN5 系列售卖；同时商家计划对 AS3（LTS）平台进行扩容升级，未来该平台将作为核心高性价比产品线，有望维持类似12.98美元级别的低价，但目前暂未上线，具体上线时间待定。
   根据行业现状及 DMIT 官方公告，目前洛杉矶低价 Premium 套餐（12.98美元/月）短期（1-2个月内）大概率难以补货，仅偶尔会有少量用户退订的闲置库存释放，且补货后几分钟内就会被抢空；香港 Eyeball 套餐价格偏高，远超我的预算，不建议勉强选择，优先考虑以下高性价比替代服务商（均支持一键部署 WireGuard、支付宝/微信支付，操作流程与DMIT、Vultr 基本一致）。

四、适配我预算的解决方案（按优先级排序，重点优化替代服务商，贴合12.98美元预算预期）：

1. 方案一（优先推荐，贴合我的预算）：精准监控洛杉矶低价库存+设置到货通知，抢占少量补货库存。可打开 DMIT 库存监控页面（https://stock.qixi.me/），该页面会实时同步 DMIT 所有网络类型、所有实例的库存状态，无需手动刷新官网（如图7）。同时可关注 DMIT AS3（LTS）平台扩容动态，该平台上线后有望维持低价，可多留意官方公告。

1. 方案二（重点推荐，替代香港高价节点，优先选择）：选择同类型高性价比替代服务商（适配我的操作习惯，支持一键部署 WireGuard、支付宝/微信支付，价格贴合12.98美元预算，无需接受香港29.90美元高价），以下为3个主流、稳定的服务商，按性价比排序，均能满足日常使用需求，操作流程与 DMIT 基本一致，可直接参考本指南后续步骤操作：

补充说明：以下4个替代服务商，均无需翻墙即可访问官网，注册、部署服务器、充值、部署 WireGuard 的操作流程，与本指南中 DMIT 的操作完全一致，仅官网界面、套餐命名略有差异，可直接参考后续步骤操作，无需额外学习新流程。

2.1 ZgoCloud（zgovps）：目前有洛杉矶三网优化VPS补货，性价比极高，贴合我的预算预期。核心优势：机房位于美国洛杉矶，搭载中国高级优化网络（CN2 GIA+9929+CMIN2三线路优化），延迟30-60ms，与 DMIT 洛杉矶 Premium 网络体验基本一致，稳定性强，晚高峰不绕路、不丢包；支持一键部署 WireGuard（带 TLS 防封），无需 SSH 登录、不用跑脚本；支持支付宝/微信支付，国内直接访问官网，不用翻墙。推荐套餐：入门款年付仅58美元（折算月付约5美元），配置为1核（AMD EPYC）/1 GB内存/10G NVMe，日常浏览国外网站、谷歌搜索/翻译完全足够，若需更高配置，可选择月付12-15美元的进阶款，配置升级为1核2G内存、1T月流量，完全贴合我的预算，且价格比香港29.90美元低一半以上。
2.2 Racknerd：主流高性价比服务商，与 DMIT 定位接近，稳定性有保障。核心优势：洛杉矶节点有廉价优化线路套餐（类似 DMIT Premium 体验），偶尔有补货，月付价格12-15美元，贴合我的预算；支持一键部署 WireGuard，支持支付宝支付，国内可直接访问官网；线路为 CMIN2 优化，延迟60-80ms，晚高峰稳定性良好，比我之前 Vultr 新加坡节点体验好太多；目前有货的入门款套餐（1核2G内存、1T月流量），月付12.99美元，与我能勉强接受的DMIT 12.98美元价格基本持平，无需超预算。
2.3 CloudCone：小众但稳定的服务商，主打高性价比优化线路，适合临时过渡或长期使用。核心优势：洛杉矶优化线路套餐（类似 DMIT Eyeball 体验），月付价格13-16美元，偶尔有促销活动可低至12美元/月；支持一键部署 WireGuard（带防封配置），支持支付宝/微信支付，操作流程与 DMIT 完全一致；线路延迟70-90ms，日常浏览、办公完全满足，无明显卡顿，且价格远低于香港29.90美元，不用勉强接受高价。
2.4 备用过渡款：ColoCrossing（CC）：若上述3个服务商暂时无补货，可选择该服务商作为临时过渡，目前有货且价格稳定。核心优势：洛杉矶节点常规套餐，月付13美元左右，贴合我的预算；支持支付宝支付，国内可直接访问官网；线路为国际BGP普线，延迟180-220ms，虽速度不如优化线路，但日常浏览国外网站可满足，支持一键部署 WireGuard，操作简单，避免因等待补货影响使用。

3. 方案三（不推荐，仅作参考）：若短期内急需使用，且可临时接受大幅超预算，可考虑 DMIT 香港 Eyeball 网络有货实例（29.90美元/月），该节点三网优化，延迟30-70ms（电信30-60ms、联通20-40ms、移动40-70ms），稳定性良好，晚高峰基本不卡顿，支持一键部署 WireGuard 带 TLS 防封，完全能满足日常使用，但价格远超我的预算，且性价比远低于方案二的替代服务商，建议仅在所有替代服务商均无货时临时选择。