OpenVPN+CA认证+chnroutes+GuizmOVPN For IPAD/IPHONE HOWTO

OpenVPN+CA认证+chnroutes+GuizmOVPN For IPAD/IPHONE HOWTO

Author: tonnyom[AT]gmail.com
Date: 2011-11-04

=#==#= 环境 =#==#=

OS: CentOS5.5 VPS
IPAD IOS4
Soft: lzo-2.04
openvpn-2.2.1
GuizmOVPN

=#==#= 简介 =#==#=

http://openvpn.net/
一个用于创建虚拟专用网络加密通道的软件包

http://code.google.com/p/chnroutes/
一个兲朝网络路由表
1)节约流量
2)不影响国内访问速度
3)Fuck G.F.W!!!

http://www.guizmovpn.com/
GuizmOVPN is an OpenVPN GUI for iPhone/iPad, designed to be easy to setup, configure and run.

=#==#= Base =#==#=

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
cd /etc/yum.repos.d/
wget http://mirrors.163.com/.help/CentOS5-Base-163.repo
yum makecache
yum update

yum install -y ntp openssl-devel gcc

=#==#= OpenVPN =#==#=

mkdir -p /opt/{appz,openvpn}
cd /opt/appz
wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.04.tar.gz
wget http://swupdate.openvpn.org/community/releases/openvpn-2.2.1.tar.gz
tar zxf lzo-2.04.tar.gz
tar zxf openvpn-2.2.1.tar.gz

cd lzo-2.04
./configure
make && make install
cd ../openvpn-2.2.1
./configure
make && make install

=#==#= CA =#==#=

cd /opt/openvpn
cp -Rpf /opt/appz/openvpn-2.2.1/easy-rsa/* .
cd 2.0/ && vi vars #自定义里面的各个参数 不解释

初始化变量
. vars

清空Keys目录
./clean-all

创建CA证书 keys目录下生成ca.crt(根证书文件) ca.key(根证书私钥文件)
./build-ca

生成服务器端证书 keys目录下生成server.crt(证书文件) server.key(私钥文件) server.csr(证书请求文件)
./build-key-server server

生成客户端证书 keys目录下生成vpnuser1.crt(证书文件) vpnuser1.key(私钥文件) vpnuser1.csr(证书请求文件)
./build-key vpnuser1

=#==#==#==#==#==#==#==#==#==#=
FAQ:
1)生成多个客户端证书
. vars
./build-key vpnuser2
./build-key vpnuser3
在进入 Common Name (eg, your name or your server’s hostname) []: 的输入时 每个证书输入的名字必须不同.

2)注销客户端证书
./revoke-full vpnuser1
最后会在keys目录下生成crl.pem,这个文件里面包含了吊销证书的名单.
成功注销某个证书之后,可以打开keys/index.txt文件,可以看到被注销的证书前面,已标记为R.
=#==#==#==#==#==#==#==#==#==#=

生成Diffie Hellman参数
./build-dh

=#==#= OpenVPN Server配置 =#==#=

mkdir -p /opt/openvpn/2.0/conf
cd /opt/openvpn/2.0/conf
vi server.conf

=#==#==#==#==#==#==#==#==#==#=
local server-ip
port 1194
proto udp
dev tun
ca /opt/openvpn/2.0/keys/ca.crt
cert /opt/openvpn/2.0/keys/server.crt
key /opt/openvpn/2.0/keys/server.key
dh /opt/openvpn/2.0/keys/dh1024.pem
server 10.10.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DNS 8.8.8.8"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3
=#==#==#==#==#==#==#==#==#==#=

=#==#= NAT 配置 =#==#=

vi sysctl.conf

=#==#==#==#==#==#==#==#==#==#=
sysctl -w net.ipv4.ip_forward=1
=#==#==#==#==#==#==#==#==#==#=

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -j SNAT --to-source server-ip
/etc/init.d/iptables save
/etc/init.d/iptables restart

/usr/local/sbin/openvpn --config /opt/openvpn/2.0/conf/server.conf &


=#==#= IPAD/IPHONE =#==#=

注: IPAD/IPHONE必须越狱


一, 下载VPN客户端所需证书(ca.crt vpnuser1.csr vpnuser1.crt vpnuser1.key)

二, 下载http://chnroutes.googlecode.com/files/routes.txt

三, 编辑VPN客户端配置文件myvpn.ovpn 加入chnroutes.txt

=#==#==#==#==#==#==#==#==#==#=
max-routes 1200
client
dev tun
proto udp
remote server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vpnuser1.crt
key vpnuser1.key
ns-cert-type server
comp-lzo
route-method exe
route-delay 2
verb 3
route 1.12.0.0 255.252.0.0 net_gateway 5
route 1.24.0.0 255.248.0.0 net_gateway 5
route 1.45.0.0 255.255.0.0 net_gateway 5
....................
....................
=#==#==#==#==#==#==#==#==#==#=

四, IPAD/IPHONE配置

1) 登陆Cydia 搜索"GuizmOVPN" 安装

2) 使用i-FunBox连接你的IPad/iPhone 进入Raw File System/User/Documents/Configurations目录 新建个myvpn目录

3) 把编辑好的VPN客户端配置文件和CA证书放入到myvpn目录中

4) 进入GuizmOVPN 选中已经添加的VPN配置文件 然后连接即可


peace of world,enjoy it,over!

WRT54G DD-WRT刷机注意事项

经过鉴定,针对WRT54G-v6.0 的DD-WRT V24SP2 分支中的micro版本,是不会支持SSHD的.

这里面有2个因素:

第一,DD-WRT 各个版本的比较?

micro版本相对mini,std等版本来说,就是针对2M FLASH而作的,所以很多功能鉴于空间限制,是不会支持的.

以下是官方WIKI的解释

http://www.dd-wrt.com/wiki/index.php/Supported_Devices#Note_on_devices_with_2MB_flash

Note on devices with 2MB flash

On devices with only 2MB flash memory, only the micro version of DD-WRT is supported. This is a stripped-down firmware with only the basic features to fit in the limited space. Users should not expect to be able to install additional software packages on such devices. Because of the limited features of the micro version, users are strongly recommended to avoid buying devices with only 2 MB of flash memory.
The 2MB flash support is for Broadcom based routers only, all other platforms requires at least 4MB flash!

Despite the limitations of micro version compared to the full version, if you already own a device with 2 MB of flash memory, installing the micro DD-WRT version is likely to add additional functionality that your device's original firmware did not support.

以下是各个Fireware版本的功能区分

http://www.dd-wrt.com/wiki/index.php/What_is_DD-WRT%3F#V24_pre_sp2_K24_.28Broadcom_only.29


第二,为什么WRT54G-v6.0 只有micro版本可用,反而老型号可以刷其他版本呢?

那是因为可恶的资本家们考虑到DD-WRT这种第三方固件过于强悍,导致了很多返修案例的出现,影响到了产品信誉.所以决定从v5.0开始,所以后续的WRT54G 版本中,RAM和FLASH硬件空间都减一半,这就导致了最多只有2M FLASH,DD-WRT 也就只有micro版本可以刷机,很多功能就这样被限制住了.

网上Google一下就可以看到这个历史渊源了,wtf 可恶的资本家们!


结论:
有些时候不能够仅仅依靠以往的经验就推断出某个肯定的结论,如果不是查阅了相关的FAQ,WIKI,以及各种搜索信息,如果不是长期关心各类WRT54G 设备版本号,肯定不会知道其中的奥妙.实践出真理还是有其必要性的,同时此文也希望可以给那些Google到这里的其他用户提个醒,在购买时一定要多长个心眼.

VirtualBox On Debian 5.0 HOWTO

VirtualBox On Debian 5.0 HOWTO

Author:
=========================================
Tonnyomgmail.com http://tonnyom.blogspot.com

版权声明:可以任意转载,转载时请务必以文字形式标明文章原始出处和作者信息及本声明.

INTRODUCTION:
=========================================
VirtualBox 是一款功能强大的虚拟机软件,最给力的VirtualBox 也是开源世界中的一员.

PLATFORM:
=========================================
Debian GNU/Linux 5.0 32bit

PURPOSE:
=========================================
快速在Debian 系统上部署VirtualBox 应用环境


X-server 安装及配置
=========================================
#apt-get update
#apt-get upgrade

#apt-get install xutils xbase-clients xfonts-base xfonts-75dpi xfonts-100dpi xterm
#apt-get install xorg xdm xfs
#apt-get install fluxbox

1. vi /etc/X11/xdm/xdm-config

使用"!" 注销掉"DisplayManager.requestPort: 0"

2. vi /etc/X11/xdm/Xaccess and uncomment the line

去除这一行"#* #any host can get a login window" 的"#"

3. vi /etc/X11/fs/config

使用"#" 注销掉"no-listen = tcp"

#/etc/init.d/xfs restart
#/etc/init.d/xdm restart


VNC 安装
=========================================
apt-get install vnc4server


VirtualBox 安装以及配置
=========================================
#aptitude install virtualbox-ose virtualbox-ose-modules-$(uname -r)

#invoke-rc.d udev reload \\ 设备加载
#modprobe vboxdrv \\ 模块加载

1. vi /etc/default/virtualbox-ose

修改"LOAD_VBOXDRV_MODULE=0" 为"LOAD_VBOXDRV_MODULE=1

2. useradd -d /home/vmuser -s /bin/bash vmuser
chown vmuser:vboxusers /home/vmuser/
adduser vmuser vboxusers

3. #cat /home/vmuser/.profile
export LANG=en_US
export LC_ALL=en_US


远程客户机(Windows):

运行 vnc-4_1_3-x86_win32_viewer.exe

输入: you-vncserver-ip:5901

进入xterm 窗口,输入以下命令:

$vnc4server \\ 启动VirtualBox
$vncserver -kill your-vnvserver-ip:1 \\ 关闭VirtualBox


Reference:
=========================================
http://www.virtualbox.org/
http://wiki.debian.org/VirtualBox#Lenny
http://www.realvnc.com/products/free/4.1/winvnc.html

=========================================
Life So Hard,Just Run Or Die!
=========================================

纳税与诚信

Twitter 上某些人认为纳税的与否 与一个人诚信有关 真真可笑之极

公民纳税其实是一种权利与义务的表现形式,试问某些人的你有过投票选举的权利吗?
有过言论自由的权利吗?有过上街表达自己意愿的权利吗?有过监督权力的权利吗?有过不需要翻墙就可以上Twitter的权利吗?

权利与义务是相等的,我相信除了5毛之外,没人会否认吧.

那我倒是要问了,纳税后都是给了谁的?纳税后用来干了什么呢?纳税后自己得到了什么呢?然后再问问自己,我为什么还要纳税?这和教育孩子是否诚信有5毛的关系啊.

如果连这些都想不明白,那我只能够表示,某些人已成功继承中华民族5000年来奴性的优良传统

SecureCRT下的Debian终端中文化(第二版)

考虑到 上一篇 有提及到SecureCRT方面的配置.实际上是可以使用默认配置的,同时这个版本应该看上去使得各个环节清晰明了.故再次记录下

1,Debian 配置
#dpkg-reconfigure locales \\ 安装中文包
#locale -a
C
POSIX
en_US.utf8
zh_CN
zh_CN.gb18030
zh_CN.gb2312
zh_CN.gbk
zh_CN.utf8

#cat >> /etc/profile
export LANG=zh_CN.gb2312
export LC_ALL=zh_CN.gb2312

2,SecureCRT 默认配置
Session Options -> Appearance -> Normal font 默认为"Fixedsys"(因为该字体支持GB2312字符集,所以统一都配置这个字符集,就再不会出现乱码情况)
Session Options -> Appearance -> Character encoding 默认为"Default"

3,检查
#env
#echo $LANG
#touch 中文测试

都正常的话 就表示配置成功

5,lftp 配置
#cat .lftprc
set ftp:charset "gb2312" \\ FTP Server 编码
set file:charset "gb2312" \\ Local System编码

孔子有什么好祭拜的?

所谓几千年来的儒家学说与只有几百年的现代宪法和法律比起来,他们的区别在于:

一个虚虚假假,一个真真实实.
一个尊卑有分,一个人权平等.
一个道德至上,一个规则无情.
一个中庸之道,一个积极向上.
一个维护统治,一个追求公平.

到如今,儒家这种害人的学说还被P民们所追捧,也难怪在天朝被强拆的人宁愿选择自焚,也不是选择去当个杨佳.

SecureCRT下的Debian终端中文化

近期有个在Debian终端下中文化的需求,由于一般常用 SecureCRT 作为SSH Client工具,最重要的是目前网络找到的教程似乎都不靠谱.所以特意在这边也提及一下,有需要的同学也许可以从Google 找到这里.

1,Debian 配置

#dpkg-reconfigure locales \\ 安装中文包
#locale -a
C
POSIX
en_US.utf8
zh_CN
zh_CN.gb18030
zh_CN.gb2312
zh_CN.gbk
zh_CN.utf8
#cat >> /etc/profile
export LANG=zh_CN.utf8
export LC_ALL=zh_CN.utf8

2,SecureCRT 配置

Session Options -> Appearance -> Normal font 设置为一个中文字体 比如"宋体"
Session Options -> Appearance -> Character encoding 设置为 " UTF-8"

3,

干掉所有的login session
重启SecureCRT
重新登录

4,检查

#env
#echo $LANG
#touch 中文测试

都正常的话 就表示配置成功

5,lftp 配置(补充)

lftp 是linux系统的下载利器啊,考虑到debian 已经被我调教了一番,这块肯定也要强力support才行.

#cat .lftprc
set ftp:charset "gbk" \\ FTP Server 编码
set file:charset "UTF-8" \\ Local System编码

韩寒：主子，奴才和狗(转)

韩寒：主子，奴才和狗(游行的意义) - 转

在9月18日这个敏感的时刻，我有的朋友开始研究要不要游行。当然，游的主体可以是反日保钓救船长。终于，在一个很多论坛里连“游行”两个字都打不出来的国家里，我们有行可以游了。那么，要不要参加这次命题一日游呢？

首先，我认为在现代中国社会中，分为三个阶级，那就是主子，奴才和狗，而我们往往一人饰两角，至于饰演哪两个角色，我想不会有人觉得他在演主子吧。前一阵子，主子需要奴才去附和和伺候，但是现如今，主子需要狗去吼两声，因为在狗的逻辑里，无论主子怎么对待它，只要有外人来犯，狗总是该看家护院的。

当弄明白了这个以后，回头想想就容易多了。但是，在这三个阶级以内，好在我还有选择做花花草草的权力。我的选择依据是，对于相关部门，小事和大事他们的区别就是抗议一次和抗议十一次，有特权有能力的地方尚未出力，除了把人家日本大使变成了应召男郎以外，我们相关部门情绪稳定，并不见什么实际决心，别说武力上，连经济上都不敢有所动作。他们韬光养晦，所以我也韬光养晦。毕竟，我等做狗也罢，但要做一条戏狗，情以何堪。

纵观事态发展，领导的内心似乎并不愤怒，领导只是觉得窝囊，那自然，我们也只能跟着觉得窝囊，你哪有上街去表达窝囊的，那岂不是更窝囊。领导没面子的时候，我们给他们长脸，但领导有面子的时候，我们被他们掌嘴。我被欺负，我不能游，你被欺负，你让我游，我又情以何堪。你也别说这种民族国土大事应该是我们一起被欺负了，就算政府不作为，你活的一塌糊涂，也应该挺身而出。我自然可以挺身而出，但我的第一主题就是要求政府去作为，第二主题才是控诉来犯者，因为领土问题从来都不是老百姓能解决的和该去解决的，尤其是在我国，老百姓自己都没有一寸土地，，所有的一切，都是问政府租的，所以，理论上，这事对我来说，就是我的房东在和别人就一块在地上的瓦而争执，这块瓦的确是风大的时候从房东的房顶上掉下来的，但房东也不敢去捡，因为可能要和隔壁人家打架。那我等租客在里面搅和什么呢。无土地者要去为他人争取土地，无尊严者要去为他人捍卫尊严，这样的人多少钱一斤？一斤多少个？

但毕竟，这样的游行安全，好玩，显得很酷，关键是游完以后还能正常工作学习，甚至还有助于未来发展，毕竟也算不容易，所以大学生和老百姓抱着尝鲜唱黑脸的角度去游一游无妨。到时候政府唱一个白脸，.说不定能有所见效。况且现在去游行玩的人相比起以前游行玩的人也有着些许不同，以前是彻底的国政不分，被卖数钱，现如今很多青年终于能够将所谓爱国这件事情想的更明白，他们虽然依然愤怒，但开始反思自己为何每次都是那么窝囊和被动，回头也能更客观的看待国家和政府的关系，这也算是一个进步。对于任何国家来说，国家就是一个女人，执政者就是占有她的男人，有幸福美满的，有相处和睦的，有家庭暴力的，有关系紧张的，有离婚再嫁的，有不能改嫁的，但无论如何，你爱一个女人总不能连她的男人也一起爱了去。

最后，这些都不重要，最重要的是，我，如果今天能为唐福珍谢朝平而游行，那么明天我就一定会为钓鱼岛和奥运火炬而游行。但这又是一个悖论，往往你能够为唐福珍谢朝平游行的时候，你往往就不会有钓鱼岛奥运火炬之类的事，而且更不会有唐福珍谢朝平之类的事出现。一个对内不能和平游行的民族，他的对外任何游行是完全没有价值的，那只是一场集体舞。


BTW:被和谐的好文必转,支持韩寒!

希望何在?

昨天看方舟子访谈 其中就谈到了天朝永远不缺那些个冷嘲热讽,幸灾乐祸,落井下石的货色

当时就感想挺多,这个国家还有没有希望了?

方舟子给出了答案说,他相信这些人仅仅是小部分,不代表大多数. 好吧,我承认他对未来看得很乐观.

随后节目结束了,出现了一份当期天朝最畅销书排行榜

当看到郭敬明这样的货色都可以排第一,韩寒排第二. 好吧,我承认我对未来看得很悲观.


这个国家不是缺少有勇气的人,而是站出来的太少.
这个国家不是缺少聪明的人,而是当傻逼的人太多.
这个国家到底还有没有希望了?

网购记

由于最近搬家的缘故,需要倒腾些不少东西,因此也正式开始了大家电网购的道路,之前网购也就是小打小闹,买点游戏点卡什么的.但我这人也比较喜欢折腾,喜欢比较,所以就对网上排名前几的B2C逐一进行了一次体验.以下就是我的一点网购心得(排名不分前后,具体看我评价即可):

1, 京东网 ★★★☆☆

价格: 部分有优势,但打折幅度的产品数量并不是很多
服务: 还可以,属于中等水平,但尽管反馈比较及时,可就是解决不了问题
物流: 太差了,网上的产品库存数据居然和库房数据会不一致,以至于常常定了货,却常常不能够及时发货.这个用户体验真的让人很糟糕.
综合: 作为国内数一数二的B2C,其实是有点让我失望的.

2, 卓越亚马逊 ★★★★☆

价格: 很有优势,基本上和网上B2C相比,没有高于,只有相等或者低于.当然也可能我并不是很专业做统计,不能够一概而论.但作为我自己所有网购的产品而言,只有在这家店看到过网购最低价.
服务: 非常专业,但缺少点人情味,所有客服咨询或者反馈都是邮件往来,基本没有电话交流过.不过这也是外资企业标准化流程的一种体现.
物流: 非常满意,库存充足,发货迅速,没啥好说的了
综合: 都说外资企业在天朝都会水土不服,竞争不过本土企业.但看得出,排除一些体制和文化因素,本土企业要做大,还有很长的路要走.

3, 易讯 ★★★☆☆

价格: 一般般,产品定价策略没有什么很特别的地方
服务: 一般般,反馈时间不是很及时,可能也和人少有关系,毕竟和京东,亚马逊比起来,还是属于"小弟弟"
物流: 作为一家上海本地B2C,1天2次的发货频率是比较有优势的.但如果易讯的目标是做一家全国性质的B2C的话,还需要投入很多很多
综合: 适合买些小东小西,买大家电之类的,还没有感觉到任何优势.

4, 新蛋 ☆☆☆☆☆

价格: 贵
服务: 看价格
物流: 看价格
综合: 新蛋是我看到过B2C公司里面,产品价格最没有优势的了,作为一家网购公司,如果这个都拼不过别人,我凭什么在你这边买东西.所以最后在新蛋的网购,我基本都放弃了.