Redian新闻
>
dockstar上架设openVPN(适合新手)
avatar
dockstar上架设openVPN(适合新手)# Hardware - 计算机硬件
t*5
1
申请绿卡的时候,什么是你审稿的证据。
有editor给你发的邀请信,和你表示接受邀请的回信够了吗?
需要editor再出个证明什么的啊?
多谢。
avatar
D*A
2
刚买了不到一个周的ipad air,发现64G不够用,可以退货然后补差价换128G吗?我看
了bestbuy上面似乎没有介绍。要收restock fee吗?
avatar
c*y
3
首先感谢一下rock888的帮忙,和他的攻略。
最近刚把openVPN架设好,主要为了玩tmo。
我也是个新手,所以一下内容写的比较详细。
请高手指点一二。
一、重装ArchLinux_arm,
从今年10月起,archlinux有比较大的改变,比如使用systemd,
不再使用rc.d。pacman从7月的新版本有了新的内核,如果直接更
新会有glibc的错误,而且比较难于解决。
基于以上两点,重装Archlinux反而比较省事。
我是在PC的ubuntu上直接往U盘里装系统,插上dockstar即可
(注:dockstar已经有uboot了):
在ubuntu 下分区并格式化u盘。4GB的U盘一个主分区(ext3)、
一个swap分区。然后mount 主分区, 到分区根目录下运行:
wget http://archlinuxarm.org/os/ArchLinuxARM-armv5te-latest.tar.gz
tar -xzvf ArchLinuxARM-armv5te-*.tar.gz
rm ArchLinuxARM-armv5te-*.tar.gz
sync # Takes a while when using a flash drive
完了之后,直接插入dockstar启动即可。
之后安装了openntpd, samba, webmin等。因为使用了systemd,
deamon的启动和加载用以下命令:
systemctl start smbd.service nmbd.service
systemctl enable smbd.service nmbd.service
tip: wiki.archlinux.org上都注明systemd和rc.d的两套用法。
avatar
b*s
4
足够了,如果IO想看Editor的证明信再去淘。
avatar
r*y
5
当然不收
avatar
c*y
6
二、安装openvpn
这个比较简单:
pacman -S openvpn
建议使用webmin来配置openvpn的keys。 webmin本身不支持
openvpn,要安装第三方script。
一下命令安装openvpn_admin的module。
wget http://www.openit.it/downloads/OpenVPNadmin/openvpn-2.5.wbm.gz
/opt/webmin/install-module.pl openvpn-2.5.wbm.gz
之后就可以在webmin中看到Servers->OpenVPN+CA了。
avatar
z*e
7
14天之内可以退。
avatar
c*y
8
三、生成certification 和key,
openVPN的certification和key生产有点麻烦,不过使用起来
比较方便。后面会讲到windows和android的连接。
其实webmin目前还是只支持rc.d,对openVPN支持的也不好。
但是用来生产key很方便。
1)生成CA(Certification Authority)
到Servers->OpenVPN+CA,在New Certification Authority
中制定一个名字,和你的基本信息,
然后按save即可。主要这个CA的计算过程非常长,要耐心。
你可以可以把Key size(bit)改成1024,时间会缩短很多。
2)生成VPN服务端密钥
点击Certification Authority List,点击之前建立的CA,
点击右边的keys list,查看该CA下的密钥文件,一开始应该是空的,
然后开始生成Server端密钥。Key server选上server,不输入密码。
3)创建客户端密钥:
点击Webmin->OpenVPN+CA->Certification Authority List
创建的VPN CA中->Keys List. key server选client,
输入密码,并记住,将来连接要用到。点Save完成。
4) 生成VPN服务器和客户端配置文件
Webmin->OpenVPN+CA->VPN list, new vpn serve,
不改变任何东西,save即可,因为后面我们会手动设置。
点client list然后同样简单的生成一个client配置文件。
完了之后,你会在/etc/openvpn下看到: your_VPN.conf,
keys,client等目录。
avatar
D*A
9
太感谢了

【在 z****e 的大作中提到】
: 14天之内可以退。
avatar
c*y
10
四、配置openVPN
建议阅读并使用 openVPN的examples,
放在/usr/share/doc/openvpn/examples
我是用它的server.conf当模版的。里面还有firewall.sh和
openvpn_start.sh,描述了如何启动iptables和openvpn.
1、网络结构和基本概念:
我家的网络结构是:router的内网ip是192.168.1.1,
外网是xxxx.xxxx.com. dockstar的ip是192.168.1.3.
VPN会建立一个虚拟的网段(我设成10.8.0.0 255.255.255.0),
给自己分配10.8.0.1, 当外面有client连是
给client分配一个虚拟ip, 比如10.8.0.2.
所以如果不设置iptables,client只能访问10.8.0.0网段的ip.
iptables 能把进来的包转发给192.168.1.0的网段,等等。
avatar
c*y
11
2. 我的服务器配置文件(your_vpn.conf)是:
#dockstar内网ip, 可以不填
;local a.b.c.d
# VPN 端口,53?玩tmo的同学,你懂得
port 53
# TCP or UDP。缺省是UDP,我觉得TCP可靠点
proto tcp
dev tun
ca keys/your_vpn_ca/ca.crt
cert keys/your_vpn_ca/your_vpn_server.crt
#openvpn是加密传送的,这个是用于解密的key,只存放在服务器端
key keys/your_vpn_ca/your_vpn_server.key
dh keys/cset_vpn_ca/dh1024.pem
#虚拟的网段
server 10.8.0.0 255.255.255.0
# ipp.txt存放连接信息,当client断线之后,用于恢复到之前的连接结构
ifconfig-pool-persist ipp.txt
#把路由信息push到client上面,
#你的路由器的内网网段
push "route 192.168.1.0 255.255.255.0"
#用于翻墙,即把所有的包都通过服务器的网关转发
push "redirect-gateway def1"
#一下是dns设置
push "dhcp-option DNS 10.8.0.1" #my router
push "dhcp-option DNS 8.8.8.8" #google's dns
;push "dhcp-option DNS 8.8.4.4" #google's dns
;push "dhcp-option DNS 114.114.114.114" #Chines dns server
# 连接到同一个VPN的clients能互相看到对方
client-to-client
duplicate-cn
keepalive 10 120
#如果不制定,缺省使用BF-CBC
#不要用DES-CFB, 存在issue,不能正常连接
#推荐使用AES-256-CBC,或者AES-128-CBC
;cipher BF-CBC # Blowfish (default)
# 传输时压缩
comp-lzo
#不要uncomment,否则android系统连接是验证不通过。
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3
上面没提到的参数统统是要注释掉的
avatar
c*y
12
3. your_vpn_client.conf 改成:
client
proto tcp
dev tun
ca ca.crt
dh dh1024.pem
cert your_vpn_client.crt
key your_vpn_client.key
remote xxxx.xxxx.com 53
;cipher AES-256-CBC
verb 3
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
ns-cert-type server
redirect-gateway def1
avatar
c*y
13
五、服务器SNAT设置
首先开启Linux的内核路由,设置ipv4转发为1,即开启转发
1. vim /etc/sysctl.conf
2. net.ipv4.ip_forward = 1
3. sysctl -p
六、配置iptables
nano /etc/iptables/iptables.rule
改成一下内容
*filter
:INPUT ACCEPT [33439:7588681]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [11527:1594660]
COMMIT
*nat
:PREROUTING ACCEPT [384:124396]
:INPUT ACCEPT [384:124396]
:OUTPUT ACCEPT [6:456]
:POSTROUTING ACCEPT [6:456]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
然后启动iptables:
systemctl enable iptables
systemctl start iptables
avatar
c*y
14
七、启动VPN
systemctl enable [email protected]_vpn
然后reboot,done!
八、windows 连接,
安装openvpn GUI, 把your_vpn_client.conf, .crt,
. key, . ovpn, 和ca.crt拷贝到
C:\Program Files\OpenVPN\config
用管理员方式启动openvpn GUI, 然后在tray里找到,点connect即可。
注意,一定要用管理员方式运行,否则没有权限推送rout信息给client.
九、android手机连接。
下载安装openvpn。
把your_vpn_client.conf, .crt, . key, 和ca.crt拷贝到sd卡上,
点文件夹图标找到your_vpn_client.conf并选上。
OK! 连接上之后,顶上有个钥匙的标记。
打开ES file查看网络邻居,能找到家里的文件。打开doc文件没问题。
播放电影,要过好一会来能load好,看来网速还是不行啊。
不过竟然能直接看高清,虽然走走停停。
avatar
a*s
15
Thanks for the detailed instruction, I'll give it a try on my pogoplus pro.
avatar
l*t
16
thanks a lot!

【在 c*******y 的大作中提到】
: 七、启动VPN
: systemctl enable [email protected]_vpn
: 然后reboot,done!
: 八、windows 连接,
: 安装openvpn GUI, 把your_vpn_client.conf, .crt,
: . key, . ovpn, 和ca.crt拷贝到
: C:\Program Files\OpenVPN\config
: 用管理员方式启动openvpn GUI, 然后在tray里找到,点connect即可。
: 注意,一定要用管理员方式运行,否则没有权限推送rout信息给client.
: 九、android手机连接。

avatar
C*1
17
多谢。收藏了。
avatar
p*c
18
正好需要,太感谢了!!!!

【在 c*******y 的大作中提到】
: 首先感谢一下rock888的帮忙,和他的攻略。
: 最近刚把openVPN架设好,主要为了玩tmo。
: 我也是个新手,所以一下内容写的比较详细。
: 请高手指点一二。
: 一、重装ArchLinux_arm,
: 从今年10月起,archlinux有比较大的改变,比如使用systemd,
: 不再使用rc.d。pacman从7月的新版本有了新的内核,如果直接更
: 新会有glibc的错误,而且比较难于解决。
: 基于以上两点,重装Archlinux反而比较省事。
: 我是在PC的ubuntu上直接往U盘里装系统,插上dockstar即可

avatar
b*e
19
thanks
avatar
D*Z
20
赞,不过对于架设过openvpn的人来说,只需要一个重要信息点就是53端口
如果从没弄过,还是可能遇到各种各样问题。
怎么不发到pda和prepaid去?
avatar
c*y
21
都发了

【在 D*********Z 的大作中提到】
: 赞,不过对于架设过openvpn的人来说,只需要一个重要信息点就是53端口
: 如果从没弄过,还是可能遇到各种各样问题。
: 怎么不发到pda和prepaid去?

avatar
k*u
22
re
很全面啊

【在 c*******y 的大作中提到】
: 首先感谢一下rock888的帮忙,和他的攻略。
: 最近刚把openVPN架设好,主要为了玩tmo。
: 我也是个新手,所以一下内容写的比较详细。
: 请高手指点一二。
: 一、重装ArchLinux_arm,
: 从今年10月起,archlinux有比较大的改变,比如使用systemd,
: 不再使用rc.d。pacman从7月的新版本有了新的内核,如果直接更
: 新会有glibc的错误,而且比较难于解决。
: 基于以上两点,重装Archlinux反而比较省事。
: 我是在PC的ubuntu上直接往U盘里装系统,插上dockstar即可

avatar
d*i
23
首先谢谢你写的这么详细的步骤。不过你提到不做任何改变点save生成server 配置文
件,在我做这步的时候,好像通不过,说什么Netmask incorrect,然后就没有办法进
入到client配置文件的界面。

【在 c*******y 的大作中提到】
: 四、配置openVPN
: 建议阅读并使用 openVPN的examples,
: 放在/usr/share/doc/openvpn/examples
: 我是用它的server.conf当模版的。里面还有firewall.sh和
: openvpn_start.sh,描述了如何启动iptables和openvpn.
: 1、网络结构和基本概念:
: 我家的网络结构是:router的内网ip是192.168.1.1,
: 外网是xxxx.xxxx.com. dockstar的ip是192.168.1.3.
: VPN会建立一个虚拟的网段(我设成10.8.0.0 255.255.255.0),
: 给自己分配10.8.0.1, 当外面有client连是

avatar
r*t
24
uboot + ext3 没有问题?

【在 c*******y 的大作中提到】
: 首先感谢一下rock888的帮忙,和他的攻略。
: 最近刚把openVPN架设好,主要为了玩tmo。
: 我也是个新手,所以一下内容写的比较详细。
: 请高手指点一二。
: 一、重装ArchLinux_arm,
: 从今年10月起,archlinux有比较大的改变,比如使用systemd,
: 不再使用rc.d。pacman从7月的新版本有了新的内核,如果直接更
: 新会有glibc的错误,而且比较难于解决。
: 基于以上两点,重装Archlinux反而比较省事。
: 我是在PC的ubuntu上直接往U盘里装系统,插上dockstar即可

avatar
c*y
25
是用webmin,对吧
你贴个图看看

【在 d**i 的大作中提到】
: 首先谢谢你写的这么详细的步骤。不过你提到不做任何改变点save生成server 配置文
: 件,在我做这步的时候,好像通不过,说什么Netmask incorrect,然后就没有办法进
: 入到client配置文件的界面。

avatar
c*y
26
我就是用的ext3

【在 r****t 的大作中提到】
: uboot + ext3 没有问题?
avatar
s*m
27
(注:dockstar已经有uboot了):
What does this mean? did you do sth to add uboot to your dockstar?
i bought a dockstar two years ago. it already has uboot? or it needs some
work to have that functionality?
Thanks.

【在 c*******y 的大作中提到】
: 首先感谢一下rock888的帮忙,和他的攻略。
: 最近刚把openVPN架设好,主要为了玩tmo。
: 我也是个新手,所以一下内容写的比较详细。
: 请高手指点一二。
: 一、重装ArchLinux_arm,
: 从今年10月起,archlinux有比较大的改变,比如使用systemd,
: 不再使用rc.d。pacman从7月的新版本有了新的内核,如果直接更
: 新会有glibc的错误,而且比较难于解决。
: 基于以上两点,重装Archlinux反而比较省事。
: 我是在PC的ubuntu上直接往U盘里装系统,插上dockstar即可

avatar
c*y
28
我很久之前刷过并安装了archlinux,所以uboot早就已经刷入了机子。
我现在只是重新安装arch,所以不需要再刷一遍了。
你如果重来没有刷过,也就是原厂系统,那么你是没有jeff's uboot,
你需要先刷入uboot才能装arch或者debian

【在 s**m 的大作中提到】
: (注:dockstar已经有uboot了):
: What does this mean? did you do sth to add uboot to your dockstar?
: i bought a dockstar two years ago. it already has uboot? or it needs some
: work to have that functionality?
: Thanks.

avatar
h*w
29
首先非常感谢详细的安装指导,刚装好,还没有测试能否成功连接(在office安装,回
家试)
我也遇到了这个问题,见附件截图。所以第三步生成VPN服务器和客户端配置文件时啥
也不改不work
于是我将你服务器配置文件中的
#虚拟的网段
server 10.8.0.0 255.255.255.0
填入 Net IP assign (option server) 两个空格中即可
同样的,生成客户配置文件时也将你客户配置文件中的xxxx.xxxx.com 53填入相应位置
即可
反正后面要手动修改,怎么填都可以
还有你后面写的iptables.rule文件名好像不对,按照步骤来不能启动open vpn,错误信
息如下:
Job for iptables.service failed. See 'systemctl status iptables.service' and
'journalctl -xn' for details.
后来copy了一个iptables.rules(同样的内容)就可以启动了,没有给出错误信息。
btw,完全linux新手,不知道大部分修改的内容的意义,呵呵

【在 c*******y 的大作中提到】
: 是用webmin,对吧
: 你贴个图看看

avatar
h*w
30
再加一条,router上port forwarding将port 53 forward到dockstar对应的ip,
protocol选tcp即可,对应前面的设定。这样就完美适合新手了。
按照上面的修改之后可以从office链接家里的vpn了,很爽,呵呵
再次感谢楼主,还有什么详细的攻略可以分享?
相关阅读
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。