Apple Silicon 电脑上的 VPN 与 Surge 共存方案

时隔两年的又一次长期居家办公，不免又要长时间通过 VPN 访问公司内网，我个人的需求很简单，只有一条：

• 电脑上需要开启 Surge 无障碍上网，但同时对于公司内网域名要走 VPN，两者互不影响

之前参考 这篇博客 已经完成了整体的配置，具体思路就是使用 Surge 把公司内网流量转发到 Docker 容器，容器内部开启 OpenConnect 连 VPN。但是最近家里购置了一台 Mac Studio，Apple Silicon 什么都好，就是在一些特殊场景下兼容性堪忧，网络配置花了很久，所以在这里做个记录。

Surge 规则配置

[Proxy]
🚇 VPN = snell, localhost, 8388, psk=123, obfs=http, version=3

[Proxy Group]
💼 公司内网 = select, DIRECT, 🚇 VPN

[Rule]
AND,((DOMAIN-KEYWORD,内网域名), (NOT,((PROCESS-NAME,com.docker.vpnkit)))),💼 公司内网

这里有几个细节点：

• 对于公司内网域名，可以根据情况手动选择是直连还是走 VPN，这样在家里或者公司都可以复用同一套配置
• 规则这里一定要排除掉 com.docker.vpnkit 进程的请求，否则在 Surge 的增强模式下会出现死循环的情况

本地 VPN 服务配置

参考上面的博客，按照 openconnect-snell 里的说明起一个 Docker 实例就可以了——至少曾经可以这样。但是要想在 M1 上把实例跑起来，必须要重新发布一版 arm64 的镜像才行，具体来说就是要把原来的 Dockerfile 中引用的资源全部替换成 arm64 的，改动点见 diff。

这里有一个坑点，就是 snell-server 依赖了 glibc，但是网络上根本找不到适配 arm64 的 alpine linux 的较新的 glibc 发布包（定语这么多找不到也正常），最终只能借助 docker-glibc-builder 自己在本机编译了一份，然后手动拷贝到镜像中。另外就是要解决各种系统库找不到的问题，alpine 下报错信息少得可怜，解决这个问题花了好几个晚上。

总而言之，镜像发布之后，开启 VPN 就比较方便了，新建一个名字叫 runvpn.sh 的脚本，内容如下：

docker run -d --privileged -p 8388:8388 -p 8388:8388/udp -e PSK="123" -e OC_HOST="..." -e OC_AUTH_GROUP="common-vpn" -e OC_PASSWD="..." -e OC_AUTH_CODE="$1" -e OC_USER="..." --name=openconnect-snell yeatse/openconnect-snell

使用时只需要执行以下命令即可：

sh ./runvpn.sh <动态验证码>