RackNerd VPS 开启 WARP 策略路由分流极致教程

这是一份为您精心整理的一站式博客发布稿。包含了标题、导语、原理深度解析、全能脚本代码以及集成步骤，您可以直接全选复制。 彻底终结 Gemini 403：RackNerd VPS 开启 WARP 策略路由分流极致教程 0. 前言 在 2026 年的 AI 开发浪潮中，Google Gemini 3.1 Pro 凭借其超大上下文能力成为了开发者的宠儿。然而，如果你使用的是 RackNerd、Cloudcone 等低价 VPS，调用 API 时极大概率会撞上 403 Forbidden 或 Region not supported。 直接开启 WARP 全局模式虽然能解封，但会产生一个致命问题：SSH 连接会因为路由改变而瞬间断开，甚至导致服务器失联。本文将分享一种“生产力级别”的解决方案：UID 策略路由分流。让你的 SSH 走原路，让 API 请求走隧道。

1. 技术架构与原理 1.1 技术架构图

graph TD
    subgraph "您的 RackNerd VPS"
        A[Roo Code / VS Code] -->|API 请求| B(New-API / One-API)
        B -->|Socks5h 协议| C{Gost 代理进程}
        
        subgraph "Linux 内核策略路由"
            C -->|UID: 1000 标记| D{策略路由规则 ip rule}
            D -->|匹配 UID 1000| E[路由表 100]
            D -->|普通用户/Root| F[主路由表 Main]
        end

        E -->|出口网卡| G[warp 虚拟网卡]
        F -->|出口网卡| H[eth0 物理网卡]
    end

    G -->|加密隧道| I[Cloudflare 全球网络]
    I -->|美国出口 IP| J[Google Gemini API]
    H -->|原生机房 IP| K[普通互联网请求/SSH 回程]

    style G fill:#f96,stroke:#333,stroke-width:2px
    style J fill:#4285F4,stroke:#fff,stroke-width:2px
    style K fill:#999,stroke:#333

1.2 核心原理：为什么这套方案最稳？ 这套方案的核心在于 Linux 内核的策略路由（Policy Routing）。

• UID 隔离：我们在系统中创建一个专用用户 warpuser。
• 流量标记：将代理工具（Gost）锁定在该用户下运行。此时，所有经过该代理的流量都会带有这个特定用户的 UID 标记。
• 独立路由表：我们单独开辟一张名为 100 的路由表，这张表的默认网关指向 warp 虚拟网卡。
• 精准重定向：告诉内核，凡是带有 warpuser 标记的流量，不去查默认主表，而是查表 100。 最终效果：你（root 用户）的 SSH 流量继续走物理网卡 eth0；而 API 代理流量则被精准地“拎”出来，塞进 warp 隧道，以 Cloudflare 美国出口 IP 访问 Google。

2. 环境准备

• 系统：Ubuntu 20.04+ / Debian 11+（KVM 架构）。
• 依赖：已安装 Cloudflare WARP 官方客户端（warp-cli connect 后 ip addr 能看到 warp 网卡）。

3. 一键部署运维仪表盘 为了方便操作，我们将所有复杂的逻辑封装进了一个带 UI 的脚本中。你只需要在 VPS 终端执行以下代码即可生成并运行：

cat << 'EOF' > warp-go.sh
#!/bin/bash
# Gemini 403 终结者 - WARP 管理工具 V6
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
CYAN='\033[0;36m'
NC='\033[0m'
BOLD='\033[1m'

GOST_PATH="/usr/local/bin/gost"
IFACE="warp"
W_USER="warpuser"
W_UID=$(id -u $W_USER 2>/dev/null)
SERVICE_FILE="/etc/systemd/system/warp-gost.service"

show_header() {
    clear
    echo -e "${CYAN}==================================================${NC}"
    echo -e "${BOLD}       🚀 GEMINI 403 终结者 - WARP 管理工具      ${NC}"
    echo -e "${CYAN}==================================================${NC}"
}

install_gost() {
    if [ ! -f "$GOST_PATH" ]; then
        echo -e "${YELLOW}正在下载 Gost...${NC}"
        wget -O gost.tar.gz https://github.com/go-gost/gost/releases/download/v3.0.0-rc10/gost_3.0.0-rc10_linux_amd64.tar.gz
        tar -zxvf gost.tar.gz && mv gost $GOST_PATH && chmod +x $GOST_PATH
        rm -f gost.tar.gz
    fi
}

register_service() {
    id "$W_USER" &>/dev/null || useradd -m -s /usr/sbin/nologin $W_USER
    W_UID=$(id -u $W_USER)
    install_gost
    cat << EOM > $SERVICE_FILE
[Unit]
Description=WARP Gost Proxy Service
After=network.target cloudflare-warp.service

[Service]
Type=simple
User=root
ExecStartPre=/bin/bash -c 'for i in {1..10}; do if ip link show $IFACE >/dev/null 2>&1; then exit 0; fi; sleep 1; done; exit 1'
ExecStartPre=-/usr/sbin/ip rule add uidrange $W_UID-$W_UID lookup 100
ExecStartPre=-/usr/sbin/ip route add default dev $IFACE table 100
ExecStart=$(command -v sudo) -u $W_USER $GOST_PATH -L socks5://127.0.0.1:1080
ExecStopPost=-/usr/sbin/ip rule del uidrange $W_UID-$W_UID lookup 100
Restart=always

[Install]
WantedBy=multi-user.target
EOM
    systemctl daemon-reload && systemctl enable --now warp-gost
    echo -e "${GREEN}服务已注册并启动！${NC}"
}

while true; do
    show_header
    echo -e "1. ${GREEN}启动/修复服务${NC} (Systemd 模式)"
    echo -e "2. ${RED}停止服务${NC}"
    echo -e "3. ${YELLOW}状态检测${NC} (IP 对比测试)"
    echo -e "0. 退出"
    read -p "请输入 [0-3]: " choice
    case $choice in
        1) register_service ; sleep 2 ;;
        2) systemctl stop warp-gost ; pkill -u $W_USER gost ; echo "已停止" ; sleep 2 ;;
        3) echo -n "直连 IP: " && curl -s --connect-timeout 2 ip.gs
           echo -n "代理 IP: " && curl -s --socks5 127.0.0.1:1080 --connect-timeout 5 ip.gs || echo "不通"
           read -p "按回车继续..." ;;
        0) exit 0 ;;
    esac
done
EOF
chmod +x warp-go.sh
./warp-go.sh

4. 应用集成：让 New-API 复活 配置完服务端后，在 New-API 或 One-API 的渠道设置中，最关键的一步是填写代理地址：

• 代理地址：填入 socks5h://127.0.0.1:1080 💡 为什么必须带 h？ 普通的 socks5:// 会在 VPS 本地解析域名，容易造成 DNS 泄露，导致 Google 依然能通过解析记录锁定你的真实机房位置。 socks5h:// 会将域名解析请求也发给 WARP 隧道，由 Cloudflare 在美国端完成解析，这是彻底规避 403 封锁的最后一块拼图。

5. 总结 这套方案通过内核级的 UID 过滤，完美解决了 VPS 原生 IP 被封锁的问题，同时兼顾了运维的便捷与系统的稳定性。如果你正在折腾 Vue3 升级、大批量跑代码生成任务，这套环境将是你最坚实的后盾。 博主声明：本文首发于 XXX，转载请注明出处。如果你在配置过程中遇到网卡名不匹配或架构不支持等问题，欢迎在评论区留言讨论！ 这篇博客内容已经包含了你所有的核心需求。你可以直接发布了！发布后，如果你想针对 Hysteria 2 也出一篇类似的教程，随时告诉我。