路由器及其他系统上使用 Cisco IPSec VPN client
在路由器上拨 VPN 当翻墙路由器由来已久,不过貌似都是 pptp 或者 ovpn 这类。pptp 和 ovpn 各有各的不靠谱,蛋疼的我于是决定在一个闲置的路由器上试试加载 Cisco VPN。Cisco VPN 的好处不用多说了。快啊。
在一个神秘的路由器上刷好 openwrt 后在 gui 后台网页安装好 vpnc 这个包,简直没难度。ssh 进路由器,因为压根 vpnc 就没 gui,进去后创建个 vpnc 的 profile:
/etc/vpnc/config.conf
IPSec gateway v4addr
IPSec ID ipsecclient
IPSec secret cisco123
Xauth username YOURUSERNAME
Xauth password YOURPASSWORD
然后紧张的时候就来了。。。拨号,执行: vpnc /etc/vpnc/config.conf
如无意外,VPN的 banner 会显示出来,那样 VPN 就算连好了。你可以试试先 ping 下 twitter.com 这些不和谐的网站看看。
如果你ping通了,恭喜你。剩下的基本没啥了。无非就是处理下 dns 、死亡检测和国内路由了。dns的trick在于,要让每次vpn连接后自动更新 /tmp/resolv.conf.auto,否则你懂的,域名会被污染。解决这问题去把 /etc/vpnc/vpnc-script 里的 /etc/resolv.conf 全部替换成 /tmp/resolv.conf.auto 即可。
及至此,还有死亡检测要处理,如果 VPN 断了必须让它自动连接。我的做法很简单,grep ifconfig 如果没有 tun0 就启动 vpnc。比较暴力,反正我平时也不用翻墙路由器,不用细究。当然你可以试试写更靠谱的脚本,写完了记得分享给噢。。。
最后就是国内路由了,接下来更加暴力,这是添加国内路由的脚本:
route add -net 1.0.0.0/8 gw $gw
route add -net 14.0.0.0/8 gw $gw
route add -net 27.0.0.0/8 gw $gw
route add -net 36.0.0.0/8 gw $gw
route add -net 39.0.0.0/8 gw $gw
route add -net 42.0.0.0/8 gw $gw
route add -net 49.0.0.0/8 gw $gw
route add -net 58.0.0.0/8 gw $gw
route add -net 59.0.0.0/8 gw $gw
route add -net 60.0.0.0/8 gw $gw
route add -net 61.0.0.0/8 gw $gw
route add -net 101.0.0.0/8 gw $gw
route add -net 103.0.0.0/8 gw $gw
route add -net 106.0.0.0/8 gw $gw
route add -net 110.0.0.0/8 gw $gw
route add -net 111.0.0.0/8 gw $gw
route add -net 112.0.0.0/8 gw $gw
route add -net 113.0.0.0/8 gw $gw
route add -net 114.0.0.0/8 gw $gw
route add -net 115.0.0.0/8 gw $gw
route add -net 116.0.0.0/8 gw $gw
route add -net 117.0.0.0/8 gw $gw
route add -net 118.0.0.0/8 gw $gw
route add -net 119.0.0.0/8 gw $gw
route add -net 120.0.0.0/8 gw $gw
route add -net 121.0.0.0/8 gw $gw
route add -net 122.0.0.0/8 gw $gw
route add -net 123.0.0.0/8 gw $gw
route add -net 124.0.0.0/8 gw $gw
route add -net 125.0.0.0/8 gw $gw
route add -net 134.0.0.0/8 gw $gw
route add -net 139.0.0.0/8 gw $gw
route add -net 140.0.0.0/8 gw $gw
route add -net 144.0.0.0/8 gw $gw
route add -net 150.0.0.0/8 gw $gw
route add -net 153.0.0.0/8 gw $gw
route add -net 157.0.0.0/8 gw $gw
route add -net 159.0.0.0/8 gw $gw
route add -net 161.0.0.0/8 gw $gw
route add -net 162.0.0.0/8 gw $gw
route add -net 163.0.0.0/8 gw $gw
route add -net 166.0.0.0/8 gw $gw
route add -net 167.0.0.0/8 gw $gw
route add -net 168.0.0.0/8 gw $gw
route add -net 171.0.0.0/8 gw $gw
route add -net 175.0.0.0/8 gw $gw
route add -net 180.0.0.0/8 gw $gw
route add -net 182.0.0.0/8 gw $gw
route add -net 183.0.0.0/8 gw $gw
route add -net 202.0.0.0/8 gw $gw
route add -net 203.0.0.0/8 gw $gw
route add -net 210.0.0.0/8 gw $gw
route add -net 211.0.0.0/8 gw $gw
route add -net 218.0.0.0/8 gw $gw
route add -net 219.0.0.0/8 gw $gw
route add -net 220.0.0.0/8 gw $gw
route add -net 221.0.0.0/8 gw $gw
route add -net 222.0.0.0/8 gw $gw
route add -net 223.0.0.0/8 gw $gw
这个很黄很暴力的路由需要细细品味,个中自有滋味。。。
更稳定的更安全的方案大家慢慢折腾吧,我这个到此为止能用就行。需要 Cisco VPN 的可以找我索要,当然潜规则是必须的。最后奉上超强路由器美图一张,谢谢。
原文:http://w3.owind.com/pub/page/2/
========
这几天研究出一个不错的玩意。全兼容 iPhone,Mac,WebOS,BlackBerry,Nokia 的 Cisco IPSec 客户端,so nice。
这样一个VPN的账户包含:服务器地址(Server),用户名(User),密码(Password),组(Group),组密码(Group Secret),如果你从我这获取到账户,设备设置如下。
iPhone 设置:
Server=server Account=User GroupName=Group Secret=Group Secret (其余默认)
iPhone上还可以支持X509验证,可以打开 On Demand 功能,这样可以按需连接。
BlackBerry 设置(both OS5 and OS6):
新建一个 VPN Profile,
Gateway Type 选择 Cisco Secure PIX Firewall VPN
Concentrator=server
Group name=Group
Group password=Group Secret
Username=User
User Password=Password
勾选 Save passphrase、Dynamically determine DNS、Enable extended authentication
IKE DH Group 选择 Group2
IKE cipher 选择 AES128
IKE hash 选择 Hmac MD5 128
勾选 Prefer Forward Secrecy
IPSec cryto and hash suit 选择 AES128-SHA1
其余默认,然后去 WiFi 设置那里,编辑当前使用的 WiFi Profile,在最底下有个 VPN,选择刚刚创建的 VPN profile,保存后 VPN 会被自动激活,每次 WiFi 启用都会自动打开VPN。
WebOS 设置:
VPN Server=Server
Profile Name随便写
Server name=Server
User=User
Password=Password
Group ID=Group
Group Secret=Group Secret
Domain默认
Encryption 选择 Secure
NAT Traversal 选择 NAT-T auto
保存即可。
Mac 设置:
和 iPhone 类似,不说了。
Windows 设置:
需要装 Cisco VPN 客户端,不推荐了。。
下载后安装
官网的客户端和 Windows 貌似有兼容问题,Cisco 估计也不管了。。推荐使用:http://www.shrew.net/download/vpn ,(必须用最新beta版本)小巧迅速。看上去有点专业,但实际很简单。如图:
其它的不用说了,添加好配置后连接时候会提示你输入用户密码。唯一的麻烦是没法保存用户密码。不过新建个 bat 文件,每次连接就点击它就行了,简单。
bat如下:
cd C:\Program Files\ShrewSoft\VPN Client\ start ipsecc.exe -r ****.gfw.io -u username -p passwd -a
Android 设置:
貌似没有 Cisco IPSec 支持。。(注:Android最新的4.x可以直接使用,2.x以上系统也可以借助软件设置)
Linux:
官方也有客户端
至于怎么获得账号,你懂的。。
觉得这扩展性那么强的系统不单单在按VPN的思路翻墙
俺这TOR第一次可以不用中继和代理直接连接了
以前聽說U盤可以變路由器!不知道真的假的》?
想入手一个路由器啊 推荐一个吧 要适合翻墙的更好
路由器我不熟,不过要是翻墙用,要支持刷DD-WRT
可以翻墙的路由器只要支持DD-WRT就行了~~没有别的要求????
据说刷了DD-WRT就有这个折腾了,当然你要VPN帐号
呵呵 VPN帐号还是有的 弄了个VPS来折腾ing 呵呵 假期就买个路由器去 呵呵