香 港 一 人 一 VPN Server Edited by YH Fung Version 0.02
目 录 背 景... 3 1 破 网 一 词 是 什 么?... 4 2 怎 样 才 能 破 网 呢?... 4 2.1 Virtual Private Network... 4 2.2 懒 人 方 案 一 :Draytek Vigor 2200E Plus... 4 2.2.1 Draytek Vigor 2200E Plus 在 香 港 家 里 安 装 程 序... 5 2.2.2 PC 在 大 陆 安 装 程 序 (PPTP VPN Client)... 7 2.3 懒 人 方 案 二 :Buffalo WZR-HP-G300NH... 13 2.4 为 什 么 VPN 后, 浏 览 不 到 Youtube Facebook, 六 合 彩 网 站... 14 2.5 DDNS 是 什 么 和 怎 样 设?... 14 3 VPN 技 术 应 用... 16 3.1 LAN-to-LAN... 16 3.2 Teleworker-to-LAN... 16 4 Software VPN Server... 16 4.1 PPTP Server... 16 4.2 OpenVPN Server... 16 5 Hardware VPN Servers... 17 5.1 Commercial/Domestic VPN Routers... 17 5.2 DD-WRT Routers... 17 5.3 Tomato Routers... 17 6 其 他 破 网 技 术... 18 6.1 怎 样 利 用 Putty + SSHd 破 大 陆 长 城 网 ( 避 免 网 警 对 PPTP VPN 流 量 控 制 )... 18 6.2 Putty + SSHd 破 网 技 术 攻 略... 25 6.3 DD-WRT OpenVPN Static Key 破 网 攻 略... 30 6.4 白 凤 (psiphon) 躲 开 网 络 监 控 工 具... 37 6.5 Tomato mod OpenVPN 教 学... 44 6.6 使 用 两 台 DD-WRT (VPN 版 本 )Router 做 Site-to-Site OpenVPN 高 度 加 密 的 VPN tunnel 55 7 Examples of LAN-to-LAN Configuration... 59 7.1 Configuration of two Draytek Vigor 2200E Plus routers using IPSec VPN... 59 8 一 人 一 VPN 故 事... 64 8.1 Veiver... 64
背 景 以 前 我 们 不 知 道 什 么 叫 VPN, 但 是 因 为 有 一 天 我 订 购 的 香 港 太 阳 日 报 突 然 有 一 天 不 能 再 看 了, 主 要 原 因 大 陆 把 香 港 的 报 纸 封 了, 那 么 时 候 没 有 办 法, 只 有 看 别 的 那 个 时 候 信 报 刚 刚 有 网 上 版, 于 是 订 购 了, 它 有 论 坛, 偶 然 我 都 去 看 看, 偶 然 发 现 什 么 叫 洋 葱 头 的 软 件 可 以 用 来 看 香 港 的 新 闻, 于 是 下 载 了 洋 葱 头, 果 然 真 的 可 以 在 大 陆 看 到 香 港 的 信 息 为 什 么 我 们 喜 欢 看 香 港 的 信 息, 因 为 我 们 香 港 人 都 是 从 小 在 香 港 长 大, 习 惯 当 地 的 生 活 和 文 化, 所 以 香 港 发 生 什 么 一 举 一 动 都 想 知 道 其 实 我 也 不 太 明 白 为 什 么 设 计 这 样 的 软 件, 可 能 都 是 用 来 破 网 用, 可 能 在 不 同 的 国 家 有 不 同 的 需 要 偶 然 一 天 我 发 现 有 一 个 讲 技 术 的 网 站 HKEPC, 里 面 有 个 HKPEC 论 坛 在 网 络 宽 频 板 块 看 到 HOMINNS 写 关 于 破 网 的 文 章, 于 是 开 始 我 学 习 VPN 技 术 的 历 程 因 为 他 写 了 很 多 比 较 启 发 性 的 文 章, 因 为 没 有 去 跟 帖, 慢 慢 帖 子 就 被 锁 上, 因 为 论 坛 资 源 所 限, 最 后 被 删 掉, 我 看 到 这 样 非 常 可 惜, 于 是 特 意 起 一 幅 香 港 一 人 一 VPN Server 专 帖, 专 门 介 绍 VPN Server 的 应 用, 鼓 励 香 港 在 大 陆 工 作 的 网 友 家 里 安 装 一 台 VPN Server, 用 过 自 己 的 VPN Server, 那 么 你 就 可 以 得 到 香 港 的 信 息, 如 香 港 的 报 刊 论 坛 youtube facebook, 六 合 彩 等 等 香 港 的 HKEPC 的 members, 请 你 注 意 在 大 陆 查 看 香 港 信 息 时, 只 能 看 而 不 能 散 播, 不 然 可 能 会 招 致 麻 烦 由 于 在 V0.01 面 世 的 非 常 匆 忙, 只 能 简 单 说 一 下 现 在 版 本 是 V0.02, 内 容 增 添 了 篇 幅, 方 便 阅 读 和 参 考 本 册 子 大 约 会 在 一 个 月 更 新 一 次, 最 新 的 手 册 可 以 在 本 人 的 MSN SkyDrive 找 到 YH Fung 2009-10-1
1 破 网 一 词 是 什 么? 在 一 般 的 情 况 下, 你 在 某 处 上 网 连 接 到 另 外 一 边 是 没 用 问 题, 但 是 可 能 某 些 人 不 让 你 去 浏 览 某 些 网 站, 所 以 中 间 设 了 一 道 防 火 墙, 于 是 大 家 就 看 不 到 外 面 的 网 站, 而 专 心 工 作 但 是 某 些 人 却 喜 欢 看 外 面 的 网 站, 于 是 想 尽 方 法 去 越 过 这 道 墙 爬 墙 破 网 2 怎 样 才 能 破 网 呢? 破 网 方 法 有 很 多 种, 利 于 我 说 的 洋 葱 头, 你 下 载 洋 葱 头 的 软 件, 安 装 后 就 可 以 使 用 了, 但 是 下 载 速 度 比 较 慢 其 实 还 有 别 的 方 法 去 破 网, 但 是 这 里 我 们 不 会 谈 及, 我 们 主 要 是 利 用 Virtual Private Network(VPN) 技 术 去 破 网 2.1 Virtual Private Network 可 能 大 家 都 不 明 白 什 么 叫 Virtual Private Network (VPN), 简 单 来 说 就 是 用 科 技 把 你 现 在 的 电 脑 接 到 某 处 的 服 务 器 (VPN server), 然 后 通 过 这 个 技 术, 你 的 电 脑 与 远 方 的 服 务 器 连 在 一 起, 这 样 你 建 立 一 条 私 人 专 线 (Virtual Private Tunnel), 从 很 远 的 地 方 接 到 你 身 处 的 电 脑 里, 外 面 的 人 在 一 般 的 情 况 下 是 看 不 到 你 在 看 什 么, 传 送 什 么 的 那 么 怎 样 才 有 自 己 的 VPN Server 呢? 不 用 人 有 不 同 的 方 案, 例 如 1) 香 港 家 里 开 着 一 台 PC, 然 后 在 那 里 其 他 一 个 VPN Server 程 序 ;2) 香 港 家 里 安 放 着 一 台 带 有 VPN server 功 能 的 router 就 可 以 那 么 具 体 是 怎 样 做 呢? 那 些 router 带 有 破 网 功 能 的 VPN servers 呢? 2.2 懒 人 方 案 一 :Draytek Vigor 2200E Plus 因 为 有 些 members 在 大 陆 工 作 非 常 繁 忙, 根 本 没 有 时 间 去 专 研 VPN 技 术, 所 以 我 提 议 一 个 懒 人 破 网 法, 就 是 去 市 场 买 一 只 带 有 VPN server 功 能 的 router, 那 么 应 该 买 哪 一 只 呢? 因 为 我 用 Draytek 产 品 比 较 多, 比 较 熟 悉, 所 以 先 介 绍 它 这 只 router 出 来 很 久, 听 说 都 有 5 年,Draytek 出 名 做 VPN router, 而 这 只 router 又 不 贵, 在 香 港 卖 大 约 是 800 港 元, 在 大 陆 淘 宝 网 大 约 卖 550 人 民 币 它 带 有 PPTP,IPSec, L2TP VPN 功 能, 可 以 开 16 个 VPN accounts 给 16 个 人 使 用, 一 般 我 们 用 PPTP VPN 技 术 来 破 网 比 较 多, IPSec 和 L2TP 用 于 lan-to-lan 连 接 比 较 多 但 是 它 没 有 wifi and gigabit LAN, 如 果 一 般 破 网 用, 应 该 可 以 足 够 然 后 远 程 控 制 也 非 常 方 便, 很 多 人 采 用 后 都 没 有 什 么 投 诉
2.2.1 Draytek Vigor 2200E Plus 在 香 港 家 里 安 装 程 序 你 用 IE 打 开 router web configurator page
2.2.2 PC 在 大 陆 安 装 程 序 (PPTP VPN Client) 在 大 陆 的 PC, 打 开 网 络 连 接, 然 后 按 照 下 面 的 说 明 来 建 立 你 的 PPTP Client 下 图, 点 击 创 建 一 个 新 的 连 接
按 下 一 步 选 择 连 接 到 我 的 工 作 场 所 的 网 络
选 择 虚 拟 专 用 网 络 连 接 在 公 司 名 输 入 你 容 易 记 的 名 称
输 入 你 的 VPN Server Hostname or IP Address
输 入 用 户 名 和 密 码, 还 有 在 为 下 面 用 户 保 存 用 户 名 和 密 码 打 勾 按 连 接, 如 果 成 功 的 话, 你 可 以 浏 览 香 港 三 大 网 站
2.3 懒 人 方 案 二 :Buffalo WZR-HP-G300NH 这 款 Buffalo router 比 之 前 的 Draytek Vigor 2200E Plus 有 好 几 个 好 处, 它 有 gigabit LANs, Wifi-N, NAS, BT, 而 最 重 要 的 事, 它 有 PPTP VPN Server 而 这 个 PPTP VPN Server 在 手 册 里 是 没 有 提 及 过 的, 但 是 在 router 里 有 选 项, 可 以 把 它 调 出 来 要 注 意, 它 只 能 开 8 个 accounts, 但 是 不 能 共 用 一 个 account, 而 在 Draytek Vigor 2200E Plus router 就 可 以 共 用 一 个 VPN account 因 为 经 过 测 试, 它 的 PPTP VPN Server 在 HKBN 100M 下 都 能 正 常 工 作, 其 他 功 能 我 角 色 没 有 进 行 测 试 过, 请 大 家 参 考 其 他 玩 站 具 体 怎 样 设 置, 我 也 很 少 接 触, 不 过 应 该 也 难 如 果 你 有 这 方 面 的 详 细 经 验, 可 以 说 说
2.4 为 什 么 VPN 后, 浏 览 不 到 Youtube Facebook, 六 合 彩 网 站 因 为 大 陆 的 DNS 把 这 几 个 网 站 改 了 它 的 IP, 所 以 用 大 陆 的 DNS 去 接 是 解 不 开 的, 你 要 用 香 港 的 DNS 就 可 以 解 开 怎 样 知 道 香 港 router 的 DNS 呢? 那 么 你 先 VPN 到 香 港, 然 后 打 开 router, 在 router 里 就 可 找 到 然 后 把 这 些 信 息 放 在 大 陆 的 PC 的 TCP/IP 栏 里 的 DNS 就 可 以 2.5 DDNS 是 什 么 和 怎 样 设? 当 一 个 VPN server 设 好 后, 如 果 用 IP, 基 本 上 在 大 陆 就 可 以 连 到 香 港 的 VPN server, 但 是 如 果 IP address 变 了 就 会 连 不 到 那 么 怎 样 办 呢? 有 些 member 就 打 IDD 电 话 到 香 港, 叫 家 人 在 router 后 面 的 PC 运 行 一 个 网 页, http://www.getip.com, 然 后 告 诉 你 现 在 的 新 IP 是 什 么 如 果 IP 不 是 经 常 变, 这 个 方 法 都 相 当 好 用, 但 是 如 果 经 常 变 就 不 好 办 为 了 针 对 router IP 经 常 变 的 问 题 (dynamic IP), router 里 有 一 个 Dynamic Domain Name System(DDNS) 设 置 那 么 DDNS 又 是 一 个 什 么 东 西 呢? 你 可 以 不 用 IP address 去 登 入 你 的 VPN server, 在 DDNS 里 最 出 名 为 DynDNS.org, 它 可 以 提 供 3 个 免 费 的 domain names 给 你 使 用, 例 如 : vpn1.dyndns.org, vpn2.dyndns.org, vpn3.dyndns.org. 在 你 的 Windows PPTP Client 里, 你 填 入
vpn1.dyndns.org 就 可 以, 而 不 用 再 输 入 IP address 如 果 你 在 香 港 VPN 香 港 的 VPN server 还 可 以, 如 果 你 在 大 陆 VPN 香 港 的 VPN server 问 题 就 出 来 了! 为 什 么 呢? 就 是 应 为 大 陆 把 dyndns.org 这 个 domain 封 了! 所 以 你 不 能 VPN 回 香 港, 那 么 用 什 么 domain 呢? 这 里 不 能 说, 因 为 说 了 出 来, 可 能 又 会 被 封, 但 是 在 DynDNS.org 里 有 很 多 其 他 domain names 可 以 让 你 选 择, 你 可 以 在 里 面 找 找, 一 定 会 有 些 domain names 没 有 被 blocked 的 一 般 的 router 只 有 一 个 DDNS 你 可 以 设, 而 听 过 Tomato 可 以 有 两 个 DDNS 可 以 设, 在 Draytek Vigor VPN routers 里 一 般 都 会 有 3 个 DDNS 让 你 可 以 设 的 如 果 你 用 Draytek Vigor VPN router, 那 么 你 最 好 设 2 个 DDNS 比 较 有 保 险, 还 有 一 个 用 大 陆 的, 另 外 一 个 用 外 海 的, 如 在 DynDNS.org 里 找 适 合 的 domain names
3 VPN 技 术 应 用 大 部 分 的 VPN 都 是 以 Client-to-Server 模 式 进 行,Client 和 Servr 可 以 是 PC 或 者 router 来 实 现 如 果 公 司 网 络 连 接, 一 般 都 是 用 routers, 而 破 网 的, 大 部 分 都 是 Client 是 PC, 而 Server 是 router 3.1 LAN-to-LAN 以 前 公 司 小 的 时 候, 什 么 电 脑 系 统 都 可 以 放 在 一 起, 但 是 公 司 大 了, 分 别 在 不 同 的 地 方, 那 么 两 边 的 网 络 怎 样 连 在 一 起 呢? 以 前 我 们 都 是 租 用 电 话 公 司 的 专 线 连 接 的 如 果 地 方 近 也 可 以, 但 是 原 来 很 远, 哪 里 有 这 么 长 的 线 给 你 用, 而 且 费 用 也 非 常 贵 由 于 互 联 网 屈 起, 这 些 专 线 纷 纷 避 互 联 网 取 代, 利 用 VPN 技 术, 就 可 以 把 两 边 的 Network 连 起 一 般 都 是 两 边 都 是 采 用 routers 来 实 现 3.2 Teleworker-to-LAN 在 外 工 作 的 人 员 或 者 客 户 想 与 公 司 的 电 脑 系 统 联 系, 一 般 都 是 采 用 VPN Client 连 接 公 司 的 VPN Server 这 种 模 式 比 较 多, 而 最 简 单 就 是 是 PPTP, 因 为 所 有 Microsoft Windows 都 自 带 有 PPTP Dialler 有 的 系 统 是 用 IPSec 连 回 公 司 的 4 Software VPN Server 4.1 PPTP Server (HOMEINNS 在 这 方 面 经 验 ) 4.2 OpenVPN Server
5 Hardware VPN Servers 5.1 Commercial/Domestic VPN Routers http://www.draytek.us/pmatrix.html http://www.draytek.com/user/supportappnotes.php Buffalo WZR-HR-G3000NH, 内 面 有 PPTP Server, 有 gigabit LAN,wifi-N,NAS,BT, 除 了 PPTP Server 测 试 过 一 个 月, 能 正 常 超 过, 没 有 发 生 大 的 问 题, 至 于 其 他 functions, 据 说 有 点 问 题, 具 体 要 自 己 去 了 解 Draytek Vigor 的 VPN routers 比 较 稳 定, 大 家 可 以 考 虑 5.2 DD-WRT Routers 由 于 有 不 少 的 members 都 会 用 旧 的 router 重 新 刷 新 第 三 方 固 件 (third party firmware), 把 没 有 用 的 router 变 成 功 能 强 大 的 router, 下 面 的 是 DD-WRT 的 官 方 网 站 http://www.dd-wrt.com/wiki/index.php/main_page 在 flash firmware 时 大 家 要 注 意 的 事, 不 要 flash 错 了 firmware, 一 般 情 况 下 不 会 出 错 同 一 型 号 而 不 同 version 的 router 都 要 小 心, 因 为 不 同 version 的 router,hardware 内 容 也 不 一 样 所 以 要 不 同 版 本 的 firmware 才 能 适 合 用 5.3 Tomato Routers http://www.polarcloud.com/tomato http://tomatovpn.keithmoyer.com
6 其 他 破 网 技 术 6.1 怎 样 利 用 Putty + SSHd 破 大 陆 长 城 网 ( 避 免 网 警 对 PPTP VPN 流 量 控 制 ) 和 大 家 分 享 一 下, 我 的 经 验, 我 在 大 陆 工 作 差 不 多 十 年, 对 于 翻 墙 的 经 验 也 不 少, 不 过 很 少 人 提 及 我 用 的 方 法, 我 说 出 来 大 家 研 究 一 下 : Hardware : Linux base Router (DD,Tomato,openwrt,wayos) 等 等 with SSHD (HKside) Software : Putty + FireFox or Maxthon ( 我 后 面 会 解 释 为 什 么 不 用 IE) (Your Desktop) 方 法 : 利 用 Putty make 一 条 SSH Tunnel 连 接 到 在 HK 的 Router 我 以 下 用 Tomato 为 例 : 1. 开 启 Tomato 内 的 SSHD Server 并 设 定 好 ( 图 1)
2. 申 请 3322 作 为 Router 的 Address 3. Download Putty Tray Console Link => http://www.xs4all.nl/~whaa/putty/ 4. Run Putty Tray 并 设 定 好 4.1 在 Host Name 上 填 上 HK Router 的 Address (xxxxx.3322.org) 然 后 在 Saved Sessions 上 填 上 Profile 名 称 (HK Router) 随 便 填, 然 后 按 Save 你 会 看 到 Profile 以 加 入, 再 点 一 下 你 刚 加 入 的 Profile 按 Load, 然 后 开 始 设 定 SSH
4.2 设 定 SSH, 在 SSH \ Tunnels 设 定 内 填 上 Source port number (8080) 和 选 Dynamic 然 后 按 Add
4.3 返 回 Sessions 按 Save 储 存 设 定 5. 按 open 进 入 console mode, 在 第 一 次 联 机 会 在 popup window 问 你 SSH Fingerprint 事 项, 按 Yes 6. 在 Console Mode Login 去 你 在 HK 的 Router (User 是 root, password 就 是 你 Router 的 Password) 7. 完 成 后 你 以 成 功 搭 建 起 一 个 SSH sock5 的 proxy 了 8. Proxy 为 127.0.0.1:8080 (Sock5) 应 用 : 如 果 你 只 是 上 网 看 看 网 页 的 话, 我 建 议 你 用 Firefox 或 Maxthon, 因 为 在 Proxy 管 理 方 面 比 较 容 易, 切 换 比 较 方 便, 顺 带 一 提 DNS 方 面 最 好 改 用 OPENDNS 等 DNS Server 因 为 用 自 带 的 dns 会 有 很 多 限 制 我 以 下 用 Maxthon 为 例 做 设 定 Proxy 1. 在 Maxthon Tools 内 打 开 manage proxy list
2. 按 Add 填 上 address 如 图 3. 完 成 后 使 用 Proxy 看 网 页 试 试 (youtube,appledaily 等 等 ) 其 实 用 以 上 的 方 法 变 相 是 利 用 LocalHost 做 sock5 proxy, 方 法 虽 然 复 虽, 不 合 新 手 用, 有 兴 趣 的 朋 友 可 以 研 究 一 下 ( 信 息 来 源 : ChinaZ, 499#)
6.2 Putty + SSHd 破 网 技 术 攻 略 因 为 有 member ChinaZ 的 协 助, 使 我 很 快 掌 握 Putty + SSHd 破 网 的 技 术 安 装 方 面 可 以 参 考 ChinaZ 的 帖 子 下 面 我 们 看 看 Putty + SSHd 在 高 速 的 ISP 有 多 快 Server: 香 港 一 台 PC 运 行 Linux, 里 面 运 行 SSHd Internet Speed 10M UL/DL Client:PC,ISP: 中 国 电 信 ADSL 3Mbps 下 面 有 两 个 Applications, 第 一 个 firefox browser, 第 二 个 是 FTP (Using FileZilla), 看 看 怎 样 可 以 破 网 和 速 度 的 测 试 Firefox browser ( 看 大 陆 境 外 的 网 页 ) 1 我 们 打 开 Putty, 按 照 ChinaZ 的 帖 子 进 行 参 数 设 定 2 登 入 server 后, 那 么 打 开 FireFox browser, 我 们 把 server 过 来 的 东 西 接 上 browser 里 请 看 图 一, 打 开 工 具, 然 后 再 点 击 高 级, 再 根 据 图 一 来 设 置 没 有 用 local proxy server 的 IE 是 打 不 开 英 国 BBC 中 文 网 站 ( 请 看 图 二 ), 用 Firefox 的 browser 就 能 打 开 ( 请 看 图 三 ) 下 载 速 度 非 常 快!!! 爽 极 了!!! 图 一
图 二 图 三 Download speed test using FileZilla ftp client
4 安 装 FileZilla ftp client, ( 请 看 图 四 ), 在 菜 单 编 辑 里, 选 设 置 后, 系 统 会 弹 出 一 个 设 置 的 画 面 ( 请 看 图 五 ), 然 后 按 红 框 里 的 信 息 填 上, 再 按 确 定 图 四 图 五 5 让 后 在 主 页 面 主 机 [H] 里 输 入 download.speedtest.com.hk, 然 后 按 回 车 FileZilla 自 动 接 上 download.speedtest.com.hk server, 然 后 把 10MBvideo.zip 文 件 drag 到 PC 的 local file folder 就 可 以 下 载 速 度 可 以 看 图 五, 大 约 有 194KBps, 是 相 与 我 的 ADSL 3Mbps 是 相 当 快! 这 种 破 网 方 法 不 错! 图 六
6 怎 样 选 香 港 的 ISP 是 非 常 重 要, 在 我 们 破 网 经 验 是, 一 定 要 选 PCCW!!!
6.3 DD-WRT OpenVPN Static Key 破 网 攻 略 1 请 看 图 一, 请 注 意 下 面 的 假 设 : Router 1 WAN IP = 192.168.2.14 ( 放 在 香 港, 真 实 情 况 是 由 香 港 ISP 提 供 ) Router 3 WAN IP = 192.168.2.15 ( 放 在 大 陆, 真 实 情 况 是 由 大 陆 ISP 提 供 ) Router 1 是 一 台 DD-WRT VPN router, 模 拟 放 在 香 港 的 老 家 Router 3 是 一 台 DD-WRT router, 模 拟 放 在 大 陆 住 所 ( 估 计 其 他 一 般 router 也 可 以 ) Firmware 是 用 DD-WRT Version 24 SP1 VPN 版 本 参 考 文 献 :http://www.dd-wrt.com/wiki/index.php/openvpn#server_mode_with_static_key 但 是 有 些 更 改, 主 要 是 router 方 面 图 一 ( 互 联 网 实 验 室 )
2 请 看 图 二, 在 大 陆 的 Router 3 里 一 台 电 脑 PC 3 从 OpenVPN 官 方 网 站 :http://openvpn.net/index.php/downloads.html, 下 载 OpenVPN WindowsInstaller program:openvpn-2.1_rc15-install.exe 图 二 (OpenVPN 官 方 网 站 )
3 然 后 用 默 认 安 装 OpenVPN Client 软 件, 默 认 路 径 是 C:\Program Files\OpenVPN 下 一 步 我 们 generate a static OpenVPN key Click on "Start > Programs -> OpenVPN -> Generate a static OpenVPN key" ( 请 看 图 三 ) 图 三 (Generate a static OpenVPN key) Static key 存 放 在 C:\Program Files\OpenVPN\config\key.txt( 请 看 图 四 ) 这 条 key 每 次 generate 都 不 一 样 然 后 用 dos command, rename key.txt static.key 图 四 (key.txt) 4 用 一 台 电 脑 PC 1 插 到 Router 1 的 LAN port, 打 开 DD-WRT 里 的 界 面 在 Administration -> Commands - >Commmand Shell text box 里 把 static.key 的 key 按 下 面 的 图 插 入, 然 后 按 Save Startup
openvpn --mktun --dev tap0 brctl addif br0 tap0 ifconfig tap0 0.0.0.0 promisc up echo " -----BEGIN OpenVPN Static key V1-----...INSERT YOUR STATIC KEY HERE... -----END OpenVPN Static key V1----- " > /tmp/static.key ln -s /usr/sbin/openvpn /tmp/myvpn /tmp/myvpn --dev tap0 --secret /tmp/static.key --comp-lzo --port 1194 --proto udp --verb 3 --daemon 5 再 在 Command Shell text box 里 把 下 面 指 令 放 在 里 面, 再 按 Save Firewall 完 成 后 画 面 会 如 图 五 类 似 iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT 图 五
6 Reboot router (Administration -> Management -> Reboot Router) 7 然 后 在 大 陆 Router 3 里 的 web administration page, 在 Basic Setup -> Advanced Routing 填 下 信 息 :( 如 果 没 有 这 一 部, 能 联 通, 但 是 上 不 了 网 )( 如 果 上 不 了 才 用! 现 在 我 已 经 不 用 了 也 能 上 网 )
Destination LAN NET: 192.168.1.0 Subnet Mask: 255.255.255.0 Gateway: 192.168.1.1 Interface:ANY 然 后 按 Apply Settings 8 在 大 陆 的 PC 3, 把 下 面 的 信 息 放 在 C:\Program Files\OpenVPN\config\client.ovpn remote 192.168.2.14 port 1194 dev tap secret static.key proto udp comp-lzo route-gateway 192.168.20.1 redirect-gateway 在 我 的 模 拟 互 联 网 setup, 如 果 加 了 route-gateway 192.168.20.1 和 redirect-gateway 后 不 能 上 网, 但 是 在 真 实 互 联 网 就 需 要 这 两 句 才 能 通 过 对 方 的 Gateway 上 网 9 在 大 陆 PC 3, 执 行 Start -> Programs -> OpenVPN Gui, 然 后 right click OpenVPN Gui icon, 选 client -> Connect 10 大 陆 的 PC 就 可 以 虚 拟 地 搬 到 香 港 去 了! 在 大 陆 的 PC 可 以 ping 到 香 港 的 PC IP address, 还 有 在 我 的 邻 居 找 到 对 方 的 的 PC, 这 方 便 传 送 文 件 和 打 印 的 工 作 11 如 果 有 问 题, 先 检 查 之 前 的 信 息 是 否 输 入 正 确, 不 用 web management 的 warm reboot, 用 hard reboot 就 是 把 电 源 由 于 Router 1 是 Linkssy WRT54G V2.2, 不 运 行 OpenVPN, 下 载 速 度 大 约 是 300KBps, 如 果 用 了 OpenVPN, 速 度 变 为 200KBps, 这 可 能 WRT54G V2.2 的 运 算 极 限 刚 才 换 上 Linksys WRT54G V4 比 较 快 的 Router, 下 载 速 度 接 近 290KBps 非 常 接 近 没 有 OpenVPN 的 下 载 速 度 如 果 port 1194 被 查 封, 不 知 道 是 否 可 以 更 改 别 的 port, 那 么 我 们 就 可 以 有 很 多 port 的 选 择, 大 陆 网 警 也 没 有 我 们 办 法 port number 怎 样 改 才 能 成 功 呢? i) 在 Administration -> Commands -> Startup, 点 击 Edit, 把 port 1194 里 的 1194 改 到 你 想 改 动 的 port number, 如 23, 那 么 改 完 后 为 port 23, 然 后 按 Save Startup ii) 同 样 地 在 firewall 里 的 port 1194 改 到 port 23, 然 后 按 Save Firewall
iii) 去 Administration -> Management, 然 后 Reboot Router, 以 前 失 败 就 是 没 有 执 行 这 一 步 iv) 在 上 边 的 Step 8 (C:\Program Files\OpenVPN\config\client.ovpn) 里 的 port 1194 也 改 到 port 23 然 后 再 次 连 接 就 可 以 了! 如 果 port 23 不 能 连 接, 你 可 以 再 改 别 的 port number 就 可 以!
6.4 白 凤 (psiphon) 躲 开 网 络 监 控 工 具 安 装 psiphon 白 凤 后, 他 的 计 算 机 便 自 动 成 为 代 理 服 务 器 (proxy) 而 当 专 制 社 会 的 网 友 也 安 装 了 白 凤, 并 取 得 任 何 一 台 代 理 服 务 器 的 登 入 账 号 后, 便 可 以 安 全 地 通 过 自 由 国 家 的 计 算 机, 顺 利 转 连 至 世 界 各 地 的 自 由 信 息 同 时, 在 网 络 浏 览 结 束 后, 白 凤 会 自 动 删 除 一 切 网 络 联 机 记 录, 不 会 在 用 户 计 算 机 中 留 下 任 何 相 关 信 息 并 且, 由 于 使 用 者 是 经 由 境 外 的 服 务 器 突 破 封 锁, 这 也 使 得 政 府 无 法 一 一 追 踪 封 锁 这 些 联 机 ( 来 源 :wanchai, 2609#) 破 解 被 封 锁 IP 限 制 -Psiphon, 我 系 中 东 国 家 成 日 用, 没 有 VPN ROUTER 时 我 用 这 个, 好 过 冇,port 位 自 己 set 的, 破 解 被 封 锁 IP 限 制 -Psiphon( 免 费 ) 针 对 不 同 封 锁 要 求 限 制 通 常 多 配 备 几 种 不 同 的 破 网 程 序 可 以 应 付 不 同 的 需 要!!!! 白 凤 是 由 多 伦 多 大 学 (University of Toronto) 的 公 民 研 发 室 (Citizen Lab) 开 发 而 出, 其 成 员 除 了 软 件 工 程 师 外, 还 有 一 流 的 计 算 机 黑 客 以 及 政 治 学 者 他 们 长 期 窝 在 地 下 室 的 小 小 实 验 室 里, 为 了 就 是 研 发 出 一 种 更 有 效 率 更 安 全 的 破 解 技 术, 让 中 国 伊 朗 沙 特 阿 拉 伯 等 国 的 民 众, 可 以 有 效 突 破 政 府 设 下 的 网 络 封 锁, 安 全 地 连 结 到 自 由 国 家 的 网 站, 浏 览 各 项 信 息 Psiphon( 白 凤 ) 介 绍 说 明 网 :http://www.epochtimes.com/b5/6/12/2/n1542425.htm Psiphon( 白 凤 ) 特 质 : 轻 易 连 到 各 网 站 入 口, 而 且 不 会 在 用 户 的 计 算 机 上 留 下 踪 迹, 能 更 有 效 的 规 避 政 府 网 络 监 控 机 制, 用 户 只 要 透 过 一 个 独 特 的 用 户 名 称 密 码 与 网 址, 就 可 以 连 上 该 软 件, 网 络 浏 览 结 束 白 凤 会 自 动 删 除 一 切 网 络 联 机 记 录, 不 会 在 用 户 计 算 机 中 留 下 信 息 使 用 者 是 经 由 境 外 的 服 务 器 突 破 封 锁, 所 以 无 法 一 一 追 踪 封 锁 这 些 联 机 Psiphon1.6 下 载 : 请 择 一 下 载 即 可 psiphon-1.6.msi http://psiphon.ca/download/psiphon-1.6.msi http://www.badongo.com/file/3764818
步 骤 1- 开 启 程 序 : 下 载 安 装 后 第 一 次 开 启 会 出 现 输 入 名 称 窗 口 请 自 行 输 入 名 称 输 入 名 称 后 程 序 窗 口 会 显 示 属 于 你 名 称 的 网 址 这 是 你 日 后 由 此 连 接 封 锁 网 址 对 外 的 通 道 步 骤 2- 设 定 选 项 ( 建 议 不 要 乱 更 动 会 无 法 正 常 连 结 ): 点 选 setup( 设 定 ) 开 启 设 定 页 面 link 页 面 信 息 不 需 更 改
preferences 页 面 设 定 是 否 随 着 Windows 开 机 而 启 动
SSL Certificaation 此 页 面 设 定 请 在 country 字 段 中 选 择 国 家 ( 随 意 选 取 ) 例 如 : 浏 览 大 陆 封 锁 网 站 就 点 选 china( 中 国 ) 观 看 日 本 职 棒 影 片 会 封 锁 非 日 本 区 IP 就 点 选 Japan ( 日 本 ) 其 余 不 要 更 动 会 造 成 连 结 失 败 点 选 ok 完 成 设 定
步 骤 3- 设 定 帐 密 : 回 程 序 接 口 按 add- 输 入 自 行 设 定 的 账 号 密 码 ( 自 行 设 定 )
步 骤 4- 联 机 : 完 成 设 定 程 序 接 口 中 终 会 出 现 属 于 你 的 联 机 ID 请 点 选 右 侧 start( 开 启 ) 再 点 选 界 面 中 的 网 址 第 一 次 开 启 会 出 现 错 误 窗 口 或 错 误 讯 息 不 用 理 会 请 继 续
就 会 出 现 Preferences 专 属 的 网 页 浏 览 器 请 在 Preferences 专 属 的 网 页 的 网 址 列 中 输 入 你 要 浏 览 的 网 址 即 可 注 意 : 毕 竟 是 使 用 IP 设 定 的 伪 装 状 态 如 果 不 是 浏 览 或 下 载 被 封 锁 的 网 站 就 关 闭 此 程 序 才 不 会 造 成 网 页 开 启 缓 慢 ( 来 源 :wingchai,916#)
6.5 Tomato mod OpenVPN 教 学 ( 信 息 来 源 : 阿 水, 链 接 点 击 ) Firmware download http://victek.is-a-geek.com/ OpenVPN Download: http://www.openvpn.net/download.html (Required for key generating process and for each Client) Original OpenVPN howto: http://www.openvpn.net/howto.html Install OpenVPN to generate the keys used by tomato & each client: Initialization 1 Initialization 2 CA signs all keys generated, so that each other can verify them Note: Common Name must be unique
Clean up + CA setup 1 CA setup 2
Generating key used by the Tomato Router Notice: May provide an extra challenge password for better security (but this must be the same) Server Key Generate 1 Server Key Generate 2
Generating key used by the Client (remember this process for each client for better security or ban each other) Client Key Generate 1 Client Key Generate 2
Generate the DH parameter, used by both party to securely authenticate each other over the internet generate DH Generated Files Before IP Router Setting Remember to save the setting + start the VPN server
Feel free to add something in the custom configuration: # OpenVPN server mode options client-to-client # tells OpenVPN to internally route client-to-client traffic duplicate-cn # Allow multiple clients with the same common name 之 前 的 config, 因 為 overclock recovery 舊 setting 無 改 到 Basic Advanced
Keys
For each client: Install the openvpn Based on the default example (client.ovpn) ############################################## # Sample client-side OpenVPN 2.0 config file # # for connecting to multi-client server. # # # # This configuration can be used by multiple # # clients, however each client should have # # its own cert and key files. # # # # On Windows, you might want to rename this # # file so it has a.ovpn extension # ############################################## # Specify that we are a client and that we # will be pulling certain config file directives # from the server. client # Use the same setting as you are using on # the server. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. ;dev tap dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap # Are we connecting to a TCP or # UDP server? Use the same setting as # on the server. ;proto tcp proto udp # The hostname/ip and port of the server.
# You can have multiple remote entries # to load balance between the servers. remote [[OpenVPN Server domain or IP]] 1194 ;remote my-server-2 1194 # Choose a random host from the remote # list for load-balancing. Otherwise # try hosts in the order specified. ;remote-random # Keep trying indefinitely to resolve the # host name of the OpenVPN server. Very useful # on machines which are not permanently connected # to the internet such as laptops. resolv-retry infinite # Most clients don't need to bind to # a specific local port number. nobind # Downgrade privileges after initialization (non-windows only) ;user nobody ;group nobody # Try to preserve some state across restarts. persist-key persist-tun # If you are connecting through an # HTTP proxy to reach the actual OpenVPN # server, put the proxy server/ip and # port number here. See the man page # if your proxy server requires # authentication. ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings # SSL/TLS parms. # See the server config file for more
# description. It's best to use # a separate.crt/.key file pair # for each client. A single ca # file can be used for all clients. ca ca.crt <=== To be replaced cert client01.crt <=== To be replaced key client01.key <=== To be replaced # Verify server certificate by checking # that the certicate has the nscerttype # field set to "server". This is an # important precaution to protect against # a potential attack discussed here: # http://openvpn.net/howto.html#mitm # # To use this feature, you will need to generate # your server certificates with the nscerttype # field set to "server". The build-key-server # script in the easy-rsa folder will do this. ;ns-cert-type server # If a tls-auth key is used on the server # then every client must also have the key. ;tls-auth ta.key 1 # Select a cryptographic cipher. # If the cipher option is used on the server # then you must also specify it here. ;cipher x # Enable compression on the VPN link. # Don't enable this unless it is also # enabled in the server config file. comp-lzo # Set log file verbosity. verb 3 # Silence repeating messages ;mute 20
File givens to them + how to start OpenVPN After IP (traffic pass through tomato router) OpenVPN server status
6.6 使 用 两 台 DD-WRT (VPN 版 本 )Router 做 Site-to-Site OpenVPN 高 度 加 密 的 VPN tunnel ( 信 息 来 源 :HOMEINNS) 最 近, 因 为 我 们 在 HKEPC 上 广 为 宣 传, 那 20 多 万 在 国 内 工 作 的 香 港 难 胞 有 很 多 人 已 经 在 他 们 香 港 的 老 家 里 设 立 24x7 运 行 的 DD-WRT PPTP VPN Server, 令 到 在 晚 上 互 联 网 高 峰 时 段 的 PPTP traffic (Port 1723) 的 破 网 通 信 流 量 大 增,( 尤 其 是 在 珠 三 角 地 区 的 港 灿 集 中 地 带 ), 国 内 的 网 络 警 察 随 时 可 以 在 Port 1723 守 株 待 兔, 一 网 打 尽 因 此, 在 个 多 月 前, 我 已 经 转 用 OpenVPN 破 网 ( 自 选 Port, 又 加 上 军 事 级 的 AES Encryption Algorithm), 效 果 十 分 良 好, 在 国 内 一 些 低 档 次 的 土 炮 酒 店 ( 招 待 所 ) 里 的 互 联 网, 虽 然 PPTP VPN 被 封 死, 但 OpenVPN 还 可 以 破 网, 其 穿 透 能 力 和 数 据 加 密 能 力 应 该 比 PPTP VPN 强 得 多 因 此 最 近 和 HKEPC 的 网 上 高 手 互 相 交 流 学 习 OpenVPN 这 些 高 档 次 的 网 络 知 识, 努 力 爬 文, 阅 读 了 大 量 的 OpenVPN 的 技 术 文 献 最 近 在 DD-WRT Wiki 里, 看 到 一 段 发 表 于 2009 年 7 月 份 的 文 章 以 前, 做 Site-to-Site VPN 就 要 买 一 对 互 相 Compatible 的 VPN Router( 最 好 当 然 是 使 用 IPSec Protocol 的, 当 然 十 分 昂 贵, 只 有 " 米 皇 " 才 可 以 负 担 得 来 现 在, 只 要 你 有 两 台 Flash 了 DD-WRT (VPN 版 本 ) 的 Router( 例 如 Buffalo 或 者 Linksys), 就 可 以 利 用 OpenVPN 建 立 一 条 24x7 运 行 的 Site-to-Site VPN tunnel,( 当 然 是 用 OpenVPN 内 建 的 Encryption Algorithm, 保 密 的 能 力 是 绝 对 与 IPSec 不 相 伯 仲 ) 因 为 这 篇 文 章 在 网 上 才 刚 刚 发 表 了 一 个 月, 现 在 我 把 这 一 篇 文 章 Post 出 来, 与 大 家 分 享 :http://www.dd-wrt.com/wiki/index.php/openvpn_-_site-to-site_routed_vpn_between_tw o_routers 以 后 就 不 用 购 买 那 些 极 为 昂 贵 的 商 用 IPSec VPN Router, 可 以 使 用 我 们 那 些 极 为 便 宜 的 DD-WRT Flash Router 但 效 果 应 该 和 那 些 极 为 昂 贵 的 商 用 VPN Router 不 相 伯 仲 经 过 大 量 的 爬 文 后, 开 始 慢 慢 的 明 白 网 络 的 Routing 的 最 基 本 的 理 论 其 实 Route Table 指 示 传 递 网 络 数 据 封 包 的 下 一 个 地 址 ( 一 级 一 级 的 跳 跃 Hop 去 我 们 的 终 点 站, 香 港 老 家 的 Gateway 去 破 网 ) 也 不 是 什 么 艰 难 和 高 深 的 东 西, 花 一 点 时 间 爬 文 就 可 以 啦 看 来, 我 的 问 题 的 根 源 应 该 是 :- (1) DD-WRT Router 内 的 Route-Table 并 不 能 够 Delete 哪 一 个 人 神 共 愤 的 Default Route ( 把 traffic 送 到 哪 一 个 受 网 络 警 察 魔 掌 控 制 的 国 内 Gateway, 因 此 不 能 够 破 网 )
(2) DD-WRT Router 内 的 Advance Routing 只 可 以 Add 新 的 Route( 并 不 能 够 Delete 不 喜 欢 的 Route) (3) 在 我 的 手 提 电 脑 里 面, Window XP 的 Route-Table 是 可 以 随 便 的 Delete 和 Add, 因 此 是 可 以 从 心 所 欲 ( 但 DD-WRT Router 的 Route-Table 只 可 以 Add, 不 可 以 Delete, 因 此 这 是 DD-WRT Router 的 设 计 上 的 缺 陷, 没 有 办 法 的 ) (4) Site-to-Site 的 PPTP VPN tunnel 已 经 成 功 的 建 立, 只 不 过 你 看 不 见 而 已,( 这 是 一 条 虚 拟 的 tunnel, 两 端 可 以 互 Ping, 因 此 可 以 有 网 络 分 享 的 功 能 例 如 :- File-Sharing), 但 我 们 的 破 网 功 能 是 要 把 国 内 的 Web-Browsing traffic Route 回 香 港 的 Gateway, 因 此 一 定 要 把 老 的 Route DELETE, 并 加 上 一 条 新 的 Route, 才 可 以 驱 赶 traffic 经 过 tunnel 流 向 香 港 老 家 的 Gateway 我 在 国 内 的 手 提 电 脑 上, 通 过 人 手 更 改 Window XP 内 的 Route-Table, 就 可 以 驱 赶 traffic 经 过 tunnel 流 向 香 港 老 家 的 Gateway 可 以 从 心 所 欲, 达 到 破 网 的 最 终 目 的 但 对 DD-WRT 路 由 器 内 的 Route Table 就 束 手 无 策, 因 为 只 可 以 ADD, 不 能 够 DELETE Route (5) 听 一 些 网 友 说, 高 档 次 的 商 用 Vigor Router 有 一 个 选 项, 只 要 Click 一 Click 就 可 以 把 国 内 所 有 的 traffic, 驱 赶 经 过 tunnel 流 向 香 港 老 家 的 Gateway ( 可 能 就 是 Click 一 Click 就 把 Vigor Router 的 Route Table 自 动 更 改 ) 所 以, 这 个 世 界, 真 是 一 分 钱, 一 分 货, 商 业 用 的 Router 一 定 与 普 通 的 家 庭 用 Router 是 不 同 的 DD-WRT Router 内 的 Route-Table, 有 没 有 办 法, 用 人 手 把 不 喜 欢 的 Default Route 删 掉, 再 加 入 一 条 按 自 己 意 愿 的 Route? 把 国 内 Router 后 的 所 有 的 traffic, 驱 赶 经 过 VPN tunnel 流 向 香 港 老 家 的 Gateway 去 破 网 PPTP VPN Tunnel 已 经 在 中 港 之 间 的 两 台 DD-WRT Router 里 建 起 Site-to-Site 的 VPN 连 接, 没 有 任 何 的 问 题, 难 度 也 不 高 并 且 可 以 互 相 Ping 到 对 方, 可 以 进 行 中 港 之 间 的 普 通 网 络 File-Sharing 的 分 享 的 功 能 但 在 国 内 的 Site 后 面 几 台 电 脑 产 生 的 Web-Browsing Traffic 还 是 从 国 内 的 Gateway 跑 去 互 联 网 ( 所 以 不 能 够 破 网 ) 这 个 问 题 是 因 为 DD-WRT Router 内 建 的 Route Table 里 的 Default Route 不 能 够 被 删 除 掉 DELETE ( 只 可 以 在 Advance Routing 的 Tag 下 面 加 上 新 的 Route) 问 题 的 根 源 就 是 DD-WRT Router 内 Route Table 的 Default Route Destination = 0.0.0.0 Mask= 0.0.0.0 Default Gateway 还 是 指 向 哪 一 个 他 妈 的 国 内 Gateway ( 不 能 够 被 删 除 掉 Delete) 目 前 问 题 还 是 没 有 解 决, 还 在 进 行 实 战 的 实 验, 所 以 预 留 一 些 空 间, 一 气 柯 成 地 分 享 Site-to-Site VPN 连 接 的 实 战 经 验
Dynamic vs. Static Routing Home routers set up their routing tables automatically when connected to the ISP, a process called dynamic routing. They generate one routing table entry for each of the ISPs DNS servers (primary, secondary and tertiary if available) and one entry for routing among all the home computers. They may also generate a few additional routes for other special cases including multicast and broadcast routes. Most residential network routers prevent you from manually overriding or changing the routing table. However, business routers typically allow network administrators to manually update or manipulate routing tables. This so-called static routing can be useful when optimizing for network performance and reliability. 各 位 网 络 的 高 手, 经 过 这 几 天 的 爬 文, 和 不 断 的 实 战 尝 试, 上 面 有 颜 色 的 东 西, 是 不 是 我 要 找 的 答 案 呢? 穷 人 的 DD-WRT 家 庭 用 的 Router 是 不 能 够 改 动 Route Table 的 米 皇 C-Hing 们 的 极 为 昂 贵 的 商 业 用 Router 就 可 以 Click 一 Click 就 可 以 改 动 Router 内 的 Route Table, 就 可 以 把 国 内 所 有 的 traffic, 驱 赶 经 过 tunnel 流 向 香 港 老 家 的 Gateway 的 功 能! 引 用 : 我 知 道 Tomato Dualwan mod 的 PPTP VPN 也 有 Click 一 Click 就 可 以 把 国 内 所 有 的 traffic, 驱 赶 经 过 tunnel 流 向 香 港 老 家 的 Gateway 的 功 能! 但 是 我 不 知 道 DD-WRT 有 没 有! 答 案 很 清 楚 啦, 穷 人 的 DD-WRT Router 是 没 有 这 个 功 能 的, 因 为 那 些 cheap cheap 的 家 庭 用 Router 的 Route table 是 Most residential network routers prevent you from manually overriding or changing the routing table. However, business routers typically allow network administrators to manually update or manipulate routing tables. 这 又 是 另 外 的 一 个 一 分 钱, 一 分 货 的 教 训 但 从 这 个 过 程 中, 已 经 学 会 了 哪 些 极 高 档 次 的 Routing 的 东 西 详 见 下 面 的 Link http://compnetworking.about.com/od/hardwarenetworkgear/f/routing_table.htm 我 还 有 一 台 旧 石 器 年 代 的 Linksys WRT54G Version 2.0 ( 已 经 Flash 成 DD-WRT V24 SP1, VPN Version), 还 在 国 内 的 办 公 室 服 役, 24 x 7 运 行, 设 定 成 为 一 台 PPTP VPN Client, 一 年 365 日 x 24 小 时, 连 接 回 香 港 老 家 的 DD-WRT V24 SP1 PPTP VPN server ( 绝 对 稳 定, 绝 对 可 靠 ) 这 条 PPTP VPN Site to Site connection, 通 过 一 个 Program Script, 把 国 内 LAN 后 面 产 生 的 的 Web-Browsing Traffic, 驱 赶 回 香 港 老 家 的 VPN server 去 破 网 ( 国 内 的 同 事 就 可 以 分 享 我 那 一 条 宝 贵 的 香 港 Wireless VPN tunnel, 他 们 就 可 以 看 到 自 由 世 界 的 大 毒 草 网 站 所 有 国 内 的 同 事 们, 每 一 个 人 都 尽 可 能 把 他 们 的 笔 记 本 计 算 机 移 到 我 的 Linksys WRT54G 的 有 效 半 径 范 围 内 收 看 大 毒 草 的 信 息, 他 们 对 这 些 毒 草 是 极 度 饥 渴 的... 真 是 叹 为 观 止 )
现 在 把 这 个 DD-WRT Client to Server, Site-to-Site VPN connection 的 Gateway Re-direction 的 Program Script 在 这 里 无 偿 的 公 开, 与 各 位 分 享 一 下 :- 在 DD-WRT Client Router 内 的, ADMIN - COMMAND Tag 下 面 把 下 面 的 Program Script, 剪 贴 到 Firewall 里, Reboot VPN Client Router, 就 可 以 把 国 内 国 内 LAN 后 面 产 生 的 的 Web-Browsing Traffic, 驱 赶 回 香 港 老 家 的 VPN server 去 破 网 ( 注 意 :- 这 个 Program Script 只 适 合 哪 些 有 PPPoE 连 接 的 WLAN connection, 非 PPPoE 连 接 是 不 Work 的 ) echo "sleep 40" > /tmp/firewall_script.sh ; echo "gw=\`ip route ls to 0/0 cut -d ' ' -f3\`" >> /tmp/firewall_script.sh ; echo "vpnsrv=\$(nvram get pptpd_client_srvip)" >> /tmp/firewall_script.sh ; echo "vpnip=\$(nvram get pptpd_client_srvsub)" >> /tmp/firewall_script.sh ; echo "route add -host \$vpnsrv gw \$gw" >> /tmp/firewall_script.sh ; echo "route del default" >> /tmp/firewall_script.sh ; echo "route add default dev ppp1" >> /tmp/firewall_script.sh ; echo "iptables -t nat -I POSTROUTING -o ppp1 -j SNAT --to-source \$vpnip" >> /tmp/firewall_script.sh ; echo "for i in \`echo \$(nvram get forward_spec) sed 's=\ =\n=g' grep on grep tcp\` ; do" >> /tmp/firewall_script.sh ; echo "iptables -t nat -A PREROUTING -p tcp -i ppp1 -d \$vpnip --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j DNAT --to \`echo \$i cut -d \> -f 2\`" >> /tmp/firewall_script.sh ; echo "iptables -A FORWARD -p tcp -i ppp1 -d \`echo \$i cut -d \> -f 2 cut -d : -f 1\` --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j ACCEPT" >> /tmp/firewall_script.sh ; echo "done" >> /tmp/firewall_script.sh ; echo "for i in \`echo \$(nvram get forward_spec) sed 's=\ =\n=g' grep on grep udp\` ; do" >> /tmp/firewall_script.sh ; echo "iptables -t nat -A PREROUTING -p udp -i ppp1 -d \$vpnip --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j DNAT --to \`echo \$i cut -d \> -f 2\`" >> /tmp/firewall_script.sh ; echo "iptables -A FORWARD -p udp -i ppp1 -d \`echo \$i cut -d \> -f 2 cut -d : -f 1\` --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j ACCEPT" >> /tmp/firewall_script.sh ; echo "done" >> /tmp/firewall_script.sh ; echo "for i in \`echo \$(nvram get forward_spec) sed 's=\ =\n=g' grep on grep both\` ; do" >> /tmp/firewall_script.sh ; echo "iptables -t nat -A PREROUTING -p tcp -i ppp1 -d \$vpnip --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j DNAT --to \`echo \$i cut -d \> -f 2\`" >> /tmp/firewall_script.sh ; echo "iptables -A FORWARD -p tcp -i ppp1 -d \`echo \$i cut -d \> -f 2 cut -d : -f 1\` --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j ACCEPT" >> /tmp/firewall_script.sh ; echo "iptables -t nat -A PREROUTING -p udp -i ppp1 -d \$vpnip --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j DNAT --to \`echo \$i cut -d \> -f 2\`" >> /tmp/firewall_script.sh ; echo "iptables -A FORWARD -p udp -i ppp1 -d \`echo \$i cut -d \> -f 2 cut -d : -f 1\` --dport \`echo \$i cut -d : -f 4 cut -d \> -f 1\` -j ACCEPT" >> /tmp/firewall_script.sh ; echo "done" >> /tmp/firewall_script.sh ; sh /tmp/firewall_script.sh & 这 个 PPTP VPN Site to Site connection, 通 过 一 个 Program Script,( Click 一 Click), 就 可 以 把 国 内 LAN 后 面 产 生 的 的 Web-Browsing Traffic, 驱 赶 回 香 港 老 家 的 VPN server 去 破 网 ( 这 是 一 个 很 高 级 的 网 络 管 理 功 能, 只 可 以 在 极 高 档 次 的 商 业 用 Router 才 有 这 个 功 能 ) 现 在 只 要 2 台 Cheap Cheap 的 DD-WRT Router 已 经 可 以 达 到 这 个 高 级 网 络 管 理 的 功 能 (Linksys WRT54G Version 2 是 其 中 的 一 员, 虽 然 它 的 年 龄 已 经 高 达 4 岁 到 5 岁 的 高 龄 )
7 Examples of LAN-to-LAN Configuration 7.1 Configuration of two Draytek Vigor 2200E Plus routers using IPSec VPN 1 请 看 图 一, 有 两 个 Draytek Vigor 2200E Plus routers, 分 别 在 SZ 和 CW 位 置 在 SZ 位 置, router IP = 192.168.2.1, SZ router 做 IPSec Dial-Out Client 而 在 CW 位 置,router IP = 192.168.3.1,CW router 做 IPSec Dial-in Server SZ Router Settings: 2 请 看 图 二, 请 按 照 红 框 里 信 息 来 设 置 在 CW router 里 有 一 个 device(ip:192.168.3.2), 如 果 在 SZ rotuer ping 不 到 192.168.3.2 就 代 表 断 线,SZ router 会 马 上 再 做 Dial-Out operation, 在 IKE Pre-Shared Key 要 设 一 个 两 个 routers 一 起 指 定 的 密 码 钥 匙 在 Click This Button, 我 们 进 入 图 三, 选 Aggressive mode 和 自 己 定 Local ID 为 SZ Router CW Router Settings: 3 请 看 图 四, 按 照 红 框 里 的 信 息 来 设 定, 在 IKE Pre-Shared Key 要 设 跟 SZ router 一 致 的 密 码 钥 匙 那 么 依 照 上 面 三 个 Steps, 应 该 可 以 把 两 个 Draytek Vigor 2200E Plus 用 IPSec VPN 连 起 来, 就 算 把 电 源 关 掉, 然 后 重 开 电 源, 两 个 routers 都 会 自 动 连 起 来 如 果 你 对 这 幅 帖 子 有 任 何 问 题, 欢 迎 跟 帖 讨 论 角 色
图 一 (SZ and CW Routers are connected using IPSec VPN)
图 二 (SZ Router Settings )
图 三 (SZ Router Settings Advanced)
图 四 (CW Router Settings)
8 一 人 一 VPN 故 事 我 估 计 很 多 香 港 人 都 有 在 香 港 老 家 起 一 台 VPN Server, 当 中 经 过 的 历 程 是 怎 样 的, 希 望 大 家 有 空 的 时 候 写 一 写 好 吗? 然 后 发 到 香 港 一 人 一 VPN Server 里 8.1 Veiver 我 先 讲 解 一 下 我 遇 到 过 的 VPN 问 题 吧 早 于 三 年 前 左 右, 我 前 后 共 花 了 几 千 元 购 买 了 三 个 VPN router, 直 到 现 在 还 在 用 的, 分 别 为 D-Link DI-804HV 及 DI-824VUP+ 在 内 地 是 用 深 圳 天 威 ( 跟 香 港 的 I-CABLE 是 使 用 同 一 技 术, 即 是 共 享 式 宽 带, 非 独 享 式 ) 香 港 由 初 期 的 HGC, 转 去 HKBN, 去 年 再 转 回 HGC,VPN 的 质 量 一 直 都 很 低,package lost 少 也 有 10%, 实 在 有 和 没 有 VPN 都 没 有 什 么 分 别, 一 直 埋 怨 着 HGC 及 HKBN 的 低 质 量 服 务 最 近 更 发 觉 不 经 VPN 的 remote desktop 也 连 不 上, 却 发 现 不 经 VPN 的 连 回 香 港 router 做 设 定, 十 分 畅 顺, 于 是 得 出 一 个 推 论, 似 乎 大 陆 的 防 火 墙 主 要 是 针 对 port 来 作 封 锁 ; 针 对 package 内 容 所 作 的 封 锁 是 较 少 有, 可 能 需 要 浪 费 较 多 的 计 算 机 资 源 吧, 为 了 证 明 这 点 的 推 测, 我 在 香 港 建 立 一 台 Unbuntu 的 服 务 器, 今 天 下 午 才 设 定 好 OpenVPN 在 使 用 预 设 的 port 1194 的 时 候, 跟 两 台 VPN router 的 质 量 不 相 伯 仲, 四 个 package, 只 有 两 个 能 回 来, 然 后, 我 就 马 上 把 port 改 为 23 做 测 试, 一 试 之 下, 真 的 改 善 了 不 少, 我 现 在 也 是 连 着 VPN 发 这 个 帖 的 经 速 度 测 试, 当 然 及 不 上 yhfung 的 2XXKBs, 也 有 5XKB, 这 是 天 威 的 一 般 速 度, 速 度 的 樽 颈 位 应 该 是 在 天 威 上 感 觉 上, 下 午 联 机 的 速 度 跟 现 在 的 连 接 速 度 都 没 有 太 大 差 别, 迟 些 他 们 封 锁 我 port 23 的 话, 我 就 转 去 其 他 的 port 再 继 续 用, 我 虽 成 功 了, 但 还 有 很 多 不 明 白 的 地 方,OpenVPN 的 server 有 一 种 叫 bridge 的 模 式, 我 也 不 太 明 白 分 别 是 什 么, 我 先 说 一 下 我 设 置 的 方 法 server 方 面, 我 是 根 据 下 面 的 去 设 置 的,http://forum.ubuntu.org.cn/viewtopic.php?p=532825 OpenVPN 入 面 的 server.conf example, 很 开 头 的 位 置 就 有 port 的 设 定, 可 因 应 阁 下 的 需 要 而 改 port, 预 设 是 1194 如 果 想 当 client 一 方 连 上 VPN 后, 所 有 数 据 都 经 VPN 出 去 的 话, 可 以 参 考 下 面 的 网 址 http://openvpn.net/index.php/documentation/howto.html#redirect, 如 果 唔 想 所 有 数 据 都 经 由 VPN 的 话, 除 了 不 做 上 面 的 步 骤 外, 我 还 设 置 了 Squid 作 为 proxy server, 并 在 浏 览 器 内 加 入 proxy server( 即 VPN server 的 IP) 的 数 据, 就 可 以 用 浏 览 器 上 网 了 我 习 惯 用 IE 的, 于 是 我 就 在 firefox 里 加 入 proxy server 的 数 据, 这 样 做,IE 就 可 以 不 经 VPN,firefox 就 经 VPN 了 至 于 client 方 面, 我 是 使 用 windows GUI 接 口 的, 可 在 http://openvpn.se 下 载, 在 openvpn 里 (default 为 C:\Program Files\OpenVPN) 有 一 个 sample-config 的 folder, 直 接 把 client.ovpn copy 到 config 里, 从 右 下 角 ( 时 间 旁 边 ) 的 openvpn icon 关 掉, 再 从 新 开 启 一 次, 右 click icon, 会 发 现 多 了 一 个 connect 先 选 Edit config, 并 把 remote my-server-1 1194 改 为 自 己 需 要 的 (my-server-1 即 是 VPN 的 domain name 或 IP,1194 就 是 port) 当 然 记 得 把 server 生 产 出 来 的 ca.crt,client.crt 及 client.key 都 copy 到 config 的 活 页 夹 中, 这 样 就 完 成 了, 现 在 我 通 过 VPN 来 remote desktop, 真 的 畅 顺 得 很 呢 要 用 一 台 计 算 机 作 为 VPN, 实 在 并 非 理 想 方 案, 所 以 我 正 在 计 划 作 为 多 功 能 的 server,samba 及 ftp 都 已 设 置 好, 今 天 又 把 openvpn 搞 好 了,VOIP 方 面, 我 打 算 试 着 用 这 台 server 安 上
Asterisk 作 为 SIP server 但 我 没 恒 心 又 没 信 心, 暂 时 家 中 在 用 VOIPTALK, 还 可 接 受, 可 能 要 较 迟 才 会 下 定 决 心 设 置 Asterisk ( 来 源 :)