柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
主题 : 11|帖子 : 1625|积分 : 9160
本帖最后由 wananmin 于
16:40 编辑
||||||||||||
& &自从zf 开了gfw ，喜欢上脸谱，推他，有图，查个谷姐的童鞋都顿时失去了方向!各种ssh 各种代理总是不如意，买个vpn账号有觉得不值!
那么，今天，福利来了！
***路由器满足你大部分要求。傻瓜式操作，妈妈再也不用担心我不会科学上网了！！！
Screenshot_-17-51-26-582.png (1.94 MB, 下载次数: 73)
18:18 上传
安装完了就是这样的图标，没有图标重绘，好难看直接启动。
Screenshot_-15-49-27-253.png (62.61 KB, 下载次数: 79)
18:19 上传
要获得coloros的授权。
Screenshot_-15-49-30-604.png (276.42 KB, 下载次数: 82)
18:19 上传
确认信任就可以了。
Screenshot_-15-49-34-727.png (102.76 KB, 下载次数: 83)
18:20 上传
进去页面，相关设置，其实和平常用的功能差不多，最重要是自动配置。
Screenshot_-15-51-04-147.png (219.1 KB, 下载次数: 76)
18:21 上传
Screenshot_-15-51-14-640.png (265.3 KB, 下载次数: 92)
18:20 上传
也可以自行配置。打造自己的代理。
Screenshot_-15-49-52-167.png (157.83 KB, 下载次数: 80)
18:23 上传
Screenshot_-15-51-54-846.png (675.57 KB, 下载次数: 75)
18:23 上传
最狗血的一定下拉状态栏才能关闭。
Screenshot_-18-40-17-701.png (603.95 KB, 下载次数: 83)
18:42 上传
啦啦啦啦啦，可以上了
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(132.93 KB, 下载次数: 79)
18:42 上传
18:29 上传
点击文件名下载附件
下载积分: 加油 -1
8.42 MB, 下载次数: 124, 下载积分: 加油 -1
16:37 上传
点击文件名下载附件
下载积分: 加油 -1
8.79 MB, 下载次数: 53, 下载积分: 加油 -1
<p id="rate_650" onmouseover="showTip(this)" tip="很给力!&加油 + 1
<p id="rate_0" onmouseover="showTip(this)" tip="&加油 + 20
<p id="rate_181" onmouseover="showTip(this)" tip="很给力!&加油 + 1
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
主题 : 11|帖子 : 1625|积分 : 9160
沙发自己的
柴油, 积分 6992, 距离下一级还需 3008 积分
柴油, 积分 6992, 距离下一级还需 3008 积分
柴油, 积分 6992, 距离下一级还需 3008 积分
主题 : 30|帖子 : 1597|积分 : 6992
谢谢楼主分享啊
---来自一加社区手机客户端
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
主题 : 11|帖子 : 1625|积分 : 9160
{:4_87:}{:4_87:}
---来自一加社区手机客户端
润滑油, 积分 1753, 距离下一级还需 247 积分
润滑油, 积分 1753, 距离下一级还需 247 积分
润滑油, 积分 1753, 距离下一级还需 247 积分
主题 : 3|帖子 : 391|积分 : 1753
主题名是什么？
---来自一加社区手机客户端
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
主题 : 11|帖子 : 1625|积分 : 9160
schlussel 发表于
主题名是什么？
---来自一加社区手机客户端
---来自一加社区手机客户端
润滑油, 积分 1040, 距离下一级还需 960 积分
润滑油, 积分 1040, 距离下一级还需 960 积分
润滑油, 积分 1040, 距离下一级还需 960 积分
主题 : 4|帖子 : 304|积分 : 1040
---来自一加社区手机客户端
93#汽油, 积分 11176, 距离下一级还需 8824 积分
93#汽油, 积分 11176, 距离下一级还需 8824 积分
93#汽油, 积分 11176, 距离下一级还需 8824 积分
主题 : 7|帖子 : 742|积分 : 11176
收下了………
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
柴油, 积分 9160, 距离下一级还需 840 积分
主题 : 11|帖子 : 1625|积分 : 9160
饮恨 发表于
收下了………
---来自一加社区手机客户端
主题 : 459|帖子 : 20366|积分 : 54377
涨姿势了哦。顶起
羊年纪念勋章
圣诞节勋章
圣诞节专属勋章
元旦纪念勋章
马年纪念勋章 马上啥都有
一周年纪念勋章
一加一周年纪念勋章
一加手机1勋章
我是加油GG
祝加油GG男生节快乐
我是零点控
零点控勋章 只为感谢而来
在线小达人
社区上线100天纪念勋章
奥运会纪念勋章
奥运会期间活动专属勋章
猴年纪念勋章 猴年猴赛雷
我是加油MM
祝加油MM女生节快乐
植树节纪念勋章
二周年纪念勋章
一加二周年纪念勋章
深圳市万普拉斯科技有限公司 版权所有(如何让路由器科学上网
本文原创作者:. 欢迎转载，请注明出处和
本篇讲述如何让家中的路由器科学上网，参考本方案可以让你搭建翻墙环境时少遇一些坑。最终可以实现家中的电脑，手机，ipad等设备都能畅快上网。
以前我通过让路由器连接公司VPN来翻墙，于是受限于公司网络，连接速度很慢，有时候打开Google都要10s，最近终于忍受不了了。同事和我分享了他翻墙的方法，并且他家中的网络能非常畅快地上网，甚至有时候打开墙外网站比打开国内网站更快。心里痒痒，折腾了一个星期，终于让自己家的路由器也能畅快地上网了。
同事用的路由器是华硕的路由器，固件是koolshare的，而我家中的路由器是netgear wndr3800ch，用的固件是openwrt，实现翻墙的配套应用是shadowsocks+chinadns。同事家中的koolshare固件自带了shadowsocks+chinadns，可以让用户直接在路由器的局域网网站上设置， 而我家中的openwrt需要安装shadowsocks+chinadns+luci-app-shadowsocks+luci-app-chinadns，也能实现在局域网设置网站上进行相关设置就可以翻墙(不需要在命令行操作)，luci-app-*都是路由器网站的lua插件，它们会调用shadowsocks和chinadns。
折腾过程中遇到的最大的问题是系统和app之间，app和app之间的兼容性问题，因此选择正确的系统版本和app版本是能快速实现翻墙的前提。
选择可以刷openwrt或者koolshare的路由器
比如netgear wndr3800ch，在这个网站上可以查找openwrt支持的路由器:
选择时需要考虑是否支持挂载硬盘
准备ShadowSocks服务器
如果已有国外VPS的话，可以在VPS上安装ShadowSocks服务，现在已有一键安装脚本，可以参考:
但是需要注意: ShadowSocks服务有一个选项–fast-open，如果没有开启该选项，则路由器连接到服务器时会出现错误：
1getpeername transport endpoint is not connected
但是开启该选项要求Linux内核必须在3.7以上，所以如果VPS内核低于3.7，就升级内核把。我的VPS先前使用ubuntu，内核是2.6的，后来换成了centos，并用yum update命令从centos 6.4 升级到了 6.5，然后又升级了内核，可参考
如果使用一键安装脚本安装的ShadowSocks，在连接服务器时会做一次性验证，路由器连接Vps的ShadowSocks也需要开启一次性验证，否则连接会失败
安装好之后，可查看配置文件/etc/shadowsocks-libev/config.json，里面有ShadowSocks的各种配置。另外启动ShadowSocks服务的脚本是/etc/init.d/shadowsocks。
如果没有国外VPS的话，那么也没必要为了翻墙去买一个国外的VPS，直接买ShadowSocks服务，更划算。 可以在上购买，试用1个星期3G流量只需5块钱。
刷入正确版本的openwrt
我选择的openwrt版本是15.05，注意选择正确的版本很重要，否则很容易出现不兼容的问题，大家可以和我选择一样的版本。openwrt固件的下载地址是:
在该页面先选择路由器对应的cpu型号，wndr3800ch对应的cpu型号是ar71xx，进去后再选择generic，进去之后再查找路由器型号，wndr3800ch对应的固件的下载地址是
升级固件的下载地址是:
每个路由器的刷机方式会有所差异，大家可以自己Google如何刷如openwrt。
准备墙内ip名单
使用如下命令将墙内ip地址段保存到/etc/ignore.list, 这样翻墙时遇到这些ip就会直接连接，不走翻墙线路:
1wget -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/ignore.list
安装ipset等依赖软件
2opkg update
opkg install ip ipset libopenssl iptables-mod-tproxy
安装正确版本的shadowsocks, chinadns, luci-app-shadowsocks,luci-app-chinadns
shadowsocks使用的版本是spec_2.4.8，注意必须使用spec版本，非spec版本的shadowsocks不能和luci-app-shadowsocks配合使用，它会缺少/etc/init.d/shadowsocks。
可以在下述网站上查找对应cpu的shadowsocks:
我选择的shadowsocks的下载地址是:
chinadns使用的版本是1.3.2，可以在下述网站上查找cpu对应的chinadns:
我选择的chinadns的下载地址是:
luci-app-shadowsocks的下载地址是:
我选择的luci-app-shadowsocks的下载地址是:
luci-app-chinadns的下载地址是:
我选择的luci-app-chinadns的下载地址是:
下载这些app之后，将这些app使用winscp上传到路由器，然后使用opkg install命令安装这些应用。
开启shadowsocks和chinadns
使用如下命令开启shadowsocks和chinadns，这样luci-app-shadowsocks和luci-app-chinadns才可以调用shadowsocks和chinadns
2/etc/init.d/shadowsocks enable
/etc/init.d/chinadns enable
在路由器设置界面配置shadowsocks
现在打开路由器网站，在Services节点下就可以看到ShadowSocks和ChinaDns了，选择ShadowSocks后针对ShadowSocks进行配置,配置示意图如下图所示:
配置ShadowSocks服务器时，注意Onetime Authentication必须和服务器一致，cloudss上申请的体验服务器是不可以勾选Onetime Authentication的。
如果想让ShadowSocks辅助做Dns解析，可以勾选UDP Forward(本步骤是可选的，不勾选也能正常工作)，这样做的效果是将Dns解析请求通过ShadowSocks的隧道转发给ShadowSocks服务器，然后再让ShadowSocks服务器将Dns请求转发给你设置好的域名服务器(通过Forwarding Tunnel设置)，这样做的好处是你可以选择和你的ShadowSocks服务器最近的Dns服务器，这样Dns服务器解析的ip地址和你的ShadowSocks服务器最近，ShadowSocks服务器去做其他请求时会最快，这种方案也不用担心域名被污染。设置示意图如下图所示:
上面的设置只是让ShadowSocks支持做udp转发而已，为了使用这个udp转发，后续还要配置chinadns来使用这个udp转发。
接下来配置外网连接的直连ip规则(也就是说决定哪些ip直接连接服务器，不走代理)，在AccessControl配置段的Bypassed IP List里输入/etc/ignore.list，后续在chinadns里也会选择这个/etc/ignore.list，在chinadns里配置后，这边会显示ChinaDNS CHNRoute。配置示意图如下图所示:
还可以针对局域网配置，我的设置都是默认的
配置好之后，点击Save&Apply，等一会之后，在页面上方可以看到Running的状态，说明配置成功了，如下图所示:
在路由器设置界面配置chinadns
接下来再在路由器上配置chinadns，示意图如下图所示:
LocalPort是本地服务端口，CHNRoute File填写国内ip配置文件/etc/ignore.list，在Upstream Servers里配置上游Dns服务器，国内的Dns服务器和国外的Dns服务器需分别配置至少1个，114.114.114.114是国内比较稳定的dns服务器，8.8.4.4是国外比较稳定的Google Dns服务器，然后我还配置了一个本地的Dns服务: 127.0.0.1:25353，其实这个是在ShadowSocks里配置的Dns转发服务，实际上会转发到Shadows Socks服务器，然后再转发到ShadowSocks服务器最近的Dns服务器进行Dns解析
设置好之后点击Save & Apply之后，过一会就能看到ChinaDNS is running的提示语，就说明配置成功了。
将路由器的Dns解析请求转发给ChinaDns
选择菜单栏Network的DHCP and DNS， 然后进行下述配置:
通过设置DNS forwardings，将局域网的dns请求都转发给ChinaDNS，这里注意设置的端口必须和ChinaDNS的端口一样
接下来操作Reslove and HostFiles, 将resolve file的解析忽略，勾选 Ignore resolve file 和 Ignore Hosts files
上Google看看能不能畅快的搜索吧!!!!
网络连接主要分两个步骤，第1步Dns解析将域名解析为ip，第2步客户端连接到ip对应的服务器。
国外网站被墙的原因是国家在这两个步骤上搞了鬼，国外网站的很多域名被国内的Dns服务器污染，所以dns解析时将域名指定到虚假ip，所以不能正常打开国外网站，还有一种情况是，政府网络检测到你连接的ip是那些他不让你访问的ip后，就直接断掉你的连接。
那么翻墙的原理也是针对这两种手段进行反制，我们在路由器上进行翻墙时，通过将路由器的DNS转发给ChinaDNS，ChinaDNS解析Dns时，会既利用国内的DNS服务器进行解析，也会利用国外的DNS服务器进行解析，如果是国内域名，则用国内ip，如果是国外域名则用国外ip。我们在配置ChinaDns有一个双向过滤选项，如果勾选的话，当国外DNS服务器返回的查询结果是国内IP，或者当国内DNS服务器返回的查询结果是国外IP，则过滤掉这个结果（较为严格的模式）；去掉勾选的话只是过滤国内DNS的国外IP结果。
连接到国外ip时，通过iptables将国外ip的访问请求都转发给ShadowSocks，然后由路由器上的ShadowSocks请求服务器的shadowsocks，再由服务器的shadowsocks去请求你想访问的国外网站，路由器上的ShadowSocks和服务器的shadowsocks通信的内容是加密的，所以政府也不好断掉连接。
我们在路由器网站上设置ShadowSocks时，会操作Access Control，决定哪些ip直接连接，那些IP必须转发，在网站上设置后，会将这些参数传递给脚本/etc/init.d/shadowsocks，然后shadowsocks脚本会调用ss-rule进行设置，ss-rule其实就是一个Shell脚本(这个脚本执行完就退出，和ss-redir不一样)，它会利用ipset为/etc/ignore.list建立ip段集合，我们可以通过如下命令查看建好的ip集合
ss-rule一共会建立5个ip段集合:
6Name: ss_spec_lan_no #局域网禁止访问的ip段集合
Name: ss_spec_lan_bp #局域网可以直连的ip段集合
Name: ss_spec_lan_fw #局域网需要转发的ip段集合
Name: ss_spec_wan_sp #局域网或者是shadowsocks服务器等ip段集合
Name: ss_spec_wan_bp #外网需要直连的ip段集合 这个集合非常大
Name: ss_spec_wan_fw #外网需要转发的ip段集合
ss-rule 还会调用iptables为nat表建立转发规则，我们可以使用如下命令查看:
1iptables -t nat --list
我们针对外网代理看一下是如何建立转发的:
38#NAT table的 PREROUTING链
Chain PREROUTING (policy ACCEPT)
prot opt source
destination
SS_SPEC_LAN_AC
delegate_prerouting
#NAT table的 OUTPUT链
Chain OUTPUT (policy ACCEPT)
prot opt source
destination
SS_SPEC_WAN_AC
Chain SS_SPEC_LAN_AC (1 references)
prot opt source
destination
#### 如果源地址在局域网内要放过的ip段集合ss_spec_lan_bp里，则直接访问
match-set ss_spec_lan_bp src
#### 如果源地址在局域网内要转发的ip段集合ss_spec_lan_fw里，则直接使用规则SS_SPEC_WAN_FW
SS_SPEC_WAN_FW
match-set ss_spec_lan_fw src
#### 其他情况则使用规则SS_SPEC_WAN_AC
SS_SPEC_WAN_AC
match-set ss_spec_lan_no src
SS_SPEC_WAN_AC
外网访问控制规则链条
Chain SS_SPEC_WAN_AC (3 references)
prot opt source
destination
##### 如果目标地址在要转发的ip段集合里ss_spec_wan_fw就使用规则链SS_SPEC_WAN_FW
SS_SPEC_WAN_FW
match-set ss_spec_wan_fw dst
##### 如果目标地址在要直连的ip段集合里ss_spec_wan_bp就直接访问
match-set ss_spec_wan_bp dst
##### 其他情况 则应用规则链SS_SPEC_WAN_FW
SS_SPEC_WAN_FW
外网转发控制规则链条
Chain SS_SPEC_WAN_FW (3 references)
prot opt source
destination
如果是局域网或者是shadowsocks服务器，则直接访问
match-set ss_spec_wan_sp dst
##### 其他地址的访问则转发到1080端口
redir ports 1080
通过看上述iptables我们现在就可以知道转发的原理了。
遇到问题时如何定位
首先使用dig或者nslookup确定dns解析是否有问题，如:
1nslookup .hk 192.168.1.1
dig命令更强大，可以指定dns服务器的ip，端口和协议，通过这些命令可以定位chinadns是否能正常工作，也可以确定它是否使用了我们为它设置的上游服务器，以及它是否能为整个局域网提供dns服务
shadowsocks转发问题
在路由器和服务器可以通过ps命令查看ss-redir命令的详细参数，可以干掉配置时自动启动的shadowsocks进程，然后再根据命令参数手动执行ss-redir命令和ss-server进程，注意不要添加-f参数，不然会以daemon形式运行，执行ss-redir命令时添加-v参数，这样在路由器和服务器上都可以看到详细的请求记录，我们就知道到底哪个环节出了问题
折腾过程中遇到的那些坑
postinst script returned status 127 或者 prerm script returned status 127
因为低版本的openwrt固件的/lib/functions.sh缺少这两个函数 postinst prerm，必须选择正确的openwrt版本
ash chinadns
not found 或者
ash shadowsocks
这是因为使用的openwrt固件版本是snapshot版本，最新的openwrt固件去掉了libUclib.so，所以导致无法启动chinadns和shadowsocks，必须选择正确的openwrt版本
安装shadowsocks后缺少脚本/etc/init.d/shadowsocks脚本
必须选择正确的shadowsocks版本，spec版本的shadowsocks才会携带/etc/init.d/shadowsocks脚本，也才能与luci-app-shadowsocks兼容
getpeername transport endpoint is not connected
因为shadowsocks没有开启fastopen, 若要开启fastopen，要求linux内核必须是3.7.0以上，所以我的VPS重装了centos，并且升级到6.8，然后再升级了内核，
要想让路由器科学上网，选择openwrt,shadowsocks,chinadns,luci-app-chinadns,luci-app-shadowsocks时一定要选择相互兼容的版本，否则非常麻烦。
本次折腾过程中，学习到了路由器翻墙原理，简单总结翻墙原理如下所示:
通过chinadns将域名解析到正确的ip，如果是国外ip则走shadowosocks隧道去访问，如果是国内ip则直接访问，这是通过操作iptables实现的。
为了区分ip是国内的还是国外的，我们需要为chinadns和shadowsocks提供中国ip段集合的列表，在操作iptable时，需要使用ipset管理大量ip地址段
感谢您的支持，我会继续努力的!
赏个5毛，支持我把3119人阅读
openwrt（9）
要科学上网，首先要搞清楚墙的主要阻碍：
1、DNS污染 就是把本来有的域名解析成不存在，或者解析成错误的IP。（破解这个其实很重要，后面我搞了很久都搞不定，其实跟这个有关系。）
2、IP封印，这个只能靠vpn之类的来连接了。
3、对VPN进行干扰，这个确实存在，国内PPTP，L2TP之类的经常不稳定，不过我不知道原理，也不知道怎么搞定。估计国人开发出shadowsocks协议，就是为了应付这个吧？有空要试试
（查询资料）路由器上科学上网的的两种方案实现：
一、根据IP分流的方案。这种方案出现的较早（可能当时在路由器上根据域名分流的技术还没成熟？）
1） &可能是最早的方案，国外IP走VPN，国内走本地。简单直接，问题也多。（openwrt使用参考http://www.geekfan.net/10492/)
2）&&维护需要番茄的IP列表，有手工的方法，也有根据gfwlist(/p/autoproxy-gfwlist/)或者smarthosts（/p/smarthosts/）（/p/huhamhire-hosts/）等。openwrt下用可参考/p/openwrt-smarthosts-autoddvpn/。
3） 这个反其道行之，国内IP白名单走本地通道，其他走vpn。现在觉得这个方案&#20284;乎比较靠谱，因为折腾太多域名什么的也不知道路由器CPU能吃得消吗。国内IPv4地址基本已经全部分完，不会有啥变化了；就算有变化也有权威的列表可以查询，墙屏蔽的域名列表没人常年维护。我应用在720n上失败，不知道什么原因，有空还要再试试。
二、根据域名分流的方案
这个其实原理都差不多，因为dnsmasq这个本地DNS解析转发软件从2.66版之后开始支持ipset，ipset是iptables的增强功能，我的理解就是可以定义一个ip地址集，对这个地址集的可以进行统一的路由设置。这个方案的原理就是根据需要番茄的域名列表建立一个的ipset，然后对这个ipset设置vpn路由。这种方案的好处是对域名进行分流，不受ip地址变化的限制（有些网站ip地址随时可以变化，我试过twitter的域名几乎每次解析都不太一样)。二是（据说）ipset设置路由效率要比一条条设置要高。相关的文档：
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：26153次
排名：千里之外
原创：11篇
(9)(1)(1)(4)}