OpenVPN Site-to-Site VPN between Asus Merlin And Ubnt EdgeRouter

前言 Network Topology RT-AC68U 使用PPPoE拨号上网,但是分配的IP是100.64.204.111, 看着像公网IP实际却是Carrier-grade NAT. 现在需要将RT-AC68U与一台在公网的EdgeRouter使用OpenVPN Site-to-Site连接起来,并在RT-AC68U端实现policy-based routing。 需要让RT-AC68U下的所有设备能访问EdgeRouter LAN的网络,并根据需求透过VPS访问指定互联网。 本实验参考下列文章: Set up OpenVPN Site-to-Site on UBNT EdgeRouter Lite EdgeRouter OpenVPN Connectivity Monitor EdgeRouter 策略路由实现分析 EdgeRouter Policy Based Routing Using DNSMASQ IPSET Incoming search terms:asus merlinmerlin openvpn policy basedasus openvpnbeen1nnboxz65countryljyleft1i1nervous8xdofficesn8openvpn pbr iptables tagsrunningafxshout6uxsum1tuthoughsh1Link to this post!

使用WireGuard为阿里云专有网络主机提供外网访问

前言 我的阿里云服务器网络处于混合过度模式,逐步从经典网络往专有网络迁移。 之前每台经典网络主机都申请了公网IP和带宽,实际上对于大多数主机的业务而言,并不需要对外提供网络服务,只需要能访问外网即可。 所以这次新加的主机部分都没有去加弹性公网IP。 于是带来了问题:内网主机如何访问外网? 阿里云的dnat方案太贵了。不考虑。 尝试过本地配置网关,但是实验证明,阿里云的VPC交换机不是一个纯粹的二层交换,也许是设计有问题,也许是刻意阻止用户自己拿一台能访问公网的主机当内网网关。 所以这次使用WireGuard实现网络架构调整。 阿里云的经典网络主机里加了几条默认的路由:

前两个都好说,第三个是运营商级的NAT网络地址,之前在 OpenVPN Site-to-Site VPN between Asus Merlin And Ubnt EdgeRouter 里提过贵州电信的光纤网络对外就是这个地址段。 WireGuard的配置过程参考之前的文章,此处不多解释,只贴配置。 Incoming search terms:edgerouter wiregaurdwireguard vps部署WireGuard 全球 网centos7 wireguarddebian9 wireguardError: Package: 1:wireguard-dkms-0 0 20180910-1 el7 noarch (jdoss-wireguard) Requires: dkmsError: Package: 1:wireguard-dkms-0 0 20181018-1 el7 noarch (jdoss-wireguard) Requires: dkPackage: 1:wireguard-dkms-0 0 20181018-1 el7 noarch (jdoss-wireguard) … Continue reading “使用WireGuard为阿里云专有网络主机提供外网访问”

基于SNIProxy的路由端网络流量定制分发方案

标题感觉很高大上,其实写得乱七八糟。 前序文章: SNIProxy Bind Outgoing Interface Build SNIProxy Debian Package for EdgeRouter Ubnt EdgeRouter Lite 和 EdgeRouter X 上安装使用SNIProxy 不急,上边三篇可能会在本文内提及。 首先,sniproxy不解释了,但是如标题所属,sniproxy的版本不支持我要的功能,所以我就fork然后改了。 具体思路参考上述第一个链接。 接下来,直接进入正题。 按之前的玩法,我使用路由表来控制流量。这是一个很典型,也很正确的做法;但是也是一个很不好用的玩法。 参考文章:Set up OpenVPN Site-to-Site on UBNT EdgeRouter Lite, EdgeOS PPTP VPN客户端配置 PS:我维护了一份自己的路由表,地址在 https://ip.rst.im/blocks/sskaje 为了让定制化程度高一些,我配了一个Socks代理,实际上是在vpn对端配置的,本地路由做了个DNAT,转发过去了。这样我就可以用firefox+foxyproxy实现本地定制化规则。 参考文章:UBNT VPN + Socks5 代理 和 Set up dante-server on Ubuntu 后来考虑到上述用起来麻烦,又趁着回老家的时候,在家里的ac68u merlin上实践了下WPAD,不过没有在自己家里的edgerouter上搞。 参考文章:Setup WPAD on Asus … Continue reading “基于SNIProxy的路由端网络流量定制分发方案”