水月日记

设置dd-wrt(TT)的DNS走VPN（vpncup.com），实现翻墙

一、必要条件：

1、可以直接连接外网的网络环境（如家里通过路由器上网）

2、注册一个免费VPN（地址附后）

3、一个能刷DD-WRT的路由器（本案例用wrt54gs）

4、你能访问以下干净的DNS服务器（本案例用8.8.8.8）
Google DNS，或者OpenDNS等其他没有被污染的DNS。
Google DNS为：
8.8.8.8
8.8.4.4
OpenDNS为：
208.67.222.222
208.67.220.220

二、动手步骤
1、刷好你的路由器（本例用Firmware: DD-WRT V24_FINAL-VINT (05/20/08) std ），保证能正常上网，并且设置
Network Address Server Settings (DHCP)
Static DNS 1:8.8.8.8
如图：
 

2、注册一个免费VPN（这是我的邀请注册地址：http://goo.gl/QIRJU），月免费流量500M足够了。
得到用户名：username
密码：password

3、按这个地址http://goo.gl/uT1W，测试是否注册成功
注意，这一步不是必须的，但建议你先在你的Windows里测试一下是否成功注册了免费的VPN。如果成功，请继续，否则返回第2步。

4、设置PPTP
依次点Services>>PPTP，启用PPTP Client如图：

这里需要注意的是PPTP主机请用IP设置，不要象图中那样设置FQDN，否则之后会断线
MPPE Encryption的值设置为：

用户名、密码就是你在第2步注册得到的username、password
•Remote Subnet 与Remote Subnet Mask是你PPTP拨上之后的VPN子网与屏蔽，请依据自己的环境设置，必要的话可以先用计算机尝试连上PPTP, 观察取得的VPN IP/Netmask是多少，假如是取得172.16.1.2, 则通常设置成Remote Subnet 172.16.1.0 Remote Subnet Mask 255.255.255.0即可，以此类推。 (注意：这两个参数不用设定也是可以连上PPTP, 但是无法调整正确的路由表，造成无法顺利运作，请务必弄清楚这两个数值，如果设定错的话会运行失败的) 
重点：这里要重启路由器。

5、重启路由器后Telnet进dd-wrt，或者web界面Command处执行 DD-WRT命令让特定地址走VPN：
ip route add 8.8.8.8 via 10.20.0.1（vpn网关，这里要按你的设置而定，本例中我的Remote Subnet是10.20.0.0，见上图）
表示访问8.8.8.8走VPN
如图：
 
这里要解释一下，方便理解：
基于大家都知道的原因，某党对一些特定域名进行了劫持，使得此区域内的人民无法访问这些网站。因为dns解析本身不是一个加密的传输过程，所以劫持域名是很easy的。我家用的路由器刷成了ddwrt，这样一来我就可以配置ddwrt，让它自动拨号到某一墙外的vpn server，然后通过指定路由表来保证对dns的访问是通过vpn的。
以上引用了http://www.xhuang.net/201003/lin ... hijacking_by_ddwrt/
但不知道是不是原作者。

6、指定另外一个（一些）走VPN的IP地址，即被墙了的地址。
这里举例一下，YouTube是个著名的视频门户，但一般我们国内是无法正常访问的，类似的还有Twitter(微薄), blogspot(博客), facebook(SNS), flickr(图片),Xmarks(书签同步), dropbox(文件同步)……
方法：在dd-wrt下root@DD-WRT:~# nslookup www.youtube.com8.8.8.8
用google的dns解析出IP地址，如图：
 
于是，按第5步的方法，追加命令ip route add 72.14.213.190 via 10.20.0.1

7、如果不能正常访问，可以在Windows CMD下清除DNS缓存
ipconfig/flushdns

8、要是VPN中途断线，ROUTE会失效，请等VPN重新连接好以后（验证方法ping 10.20.0.1--本例的网关，能ping能就是已经连接上了），然后重新做第5和6步即可。

后记：没想到引起一些网友的共鸣，有点感动。有点小遗憾就是在DD-WRT里我还没学会设置永久路由，哪位网友会的麻烦跟帖回复一下。谢谢

使用openvpn连接的方法：
一、使用带openvpn+jffs的dd-wrt，设置好wan口能够连接外网。
二、准备好jffs如图：
在ddwrt的Administration->Management下面找jffs支持，如果有则打开 

如果没有的话，可能是以下原因, 你需要升级你的ddwrt： 
参考官方说明：http://www.dd-wrt.com/wiki/index.php/Jffs 
webgui启用jffs的方式要注意顺序： 
1.        进入Administration. 
2.        下拉，找到 JFFS2 设定 
3.        Enable JFFS. 
4.        Click Save. 
5.        等几秒之后再按 Apply. 
6.        再等几秒，然后选取Clean JFFS. 
7.        这时不要按"Save", 直接按"Apply"即可 
8.        (这时候router会开始准备jffs空间) 
9.        然后把 "Clean JFFS" 设置关掉。 
10.        按 "Save". 
11.        重开router一次 
或者也可以ssh进去用指令打开，最后重启一次：

三、创建openvpn备置、password应答及ca证书文件
重启之后ssh或者telnet进入ddwrt（别问我用户名和密码是什么）
C:\Users\Dosar>telnet 192.168.1.1
DD-WRT v24-sp2 mega (c) 2011 NewMedia-NET GmbH
Release: 02/17/11 (SVN revision: 16214)

DD-WRT login: root
Password:
==========================================================

____  ___    __        ______ _____         ____  _  _
| _ \| _ \   \ \      / /  _ \_   _| __   _|___ \| || |
|| | || ||____\ \ /\ / /| |_) || |   \ \ / / __) | || |_
||_| ||_||_____\ V  V / |  _ < | |    \ V / / __/|__   _|
|___/|___/      \_/\_/  |_| \_\|_|     \_/ |_____|  |_|

                       DD-WRT v24-sp2
                   http://www.dd-wrt.com

==========================================================


BusyBox v1.13.4 (2011-02-17 02:43:54 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

root@DD-WRT:~#
# mkdir /jffs/openvpn
# cd /jffs/openvpn
# vi openvpn.conf
进入简易文本编辑模式，按字母i后可以粘贴以下内容（你可以一行一行复制粘贴），然后依次按esc键>>英文冒号>>wq
vpncup.com的openvpn.conf ，内容范例如下：

用同样的方法创建password应答文件/jffs/openvpn/password.txt，内容范例如下：

用同样的方法创建vpncup.com的ca证书/jffs/openvpn/ca.crt

假如你嫌麻烦，可以在路由器的web界面，Administration>>Commands文件框中输入类似以下内容，然后点run按钮，一样的效果：

依次类推。
好了，现在三个自定义文件创建好了。分别是：
/jffs/openvpn/openvpn.conf
/jffs/openvpn/password.txt
/jffs/openvpn/ca.crt

四、如何放置脚本到jffs
切换到/jffs/openvpn目录，下载三个files： 
# cd /jffs/openvpn
# wget http://autoddvpn.googlecode.com/svn/trunk/openvpn/jffs/run.sh
# for i in vpnup vpndown; do wget http://autoddvpn.googlecode.com/svn/trunk/$i.sh;done;
# chmod a+x *.sh
这时记得ls -l /jffs/openvpn/看一下是否档案确实下载下来了，并且都是可执行的。 

五、设置开机自动执行指令
在路由器的web界面，Administration>>Commands文件框中输入类似以下内容

按“Save Startup”保存。
通常CA有效期限都是10年，也就是3650 days
但是ddwrt一开机是1970年，如果来不及网络校时，这时候openvpn会无法通过SSL/TLS Verify
于是我做一个workaround来解决：
统一一开机直接设定当前日期为20100729纪念今天autoddvpn的作者找到这个问题。
之后如果有设定NTP的自然会校时回来。

六、重开机之后检查 autoddvpn.log
root@DD-WRT:/tmp# tail -f /tmp/autoddvpn.log 
[INFO#357] 01/Jan/1970:00:00:17 log starts
[INFO#357] 01/Jan/1970:00:00:17 modifying /tmp/openvpncl/route-up.sh
[INFO#357] 01/Jan/1970:00:00:17 /tmp/openvpncl/route-up.sh not exists, sleep 10sec.
[INFO#357] 01/Jan/1970:00:00:28 /tmp/openvpncl/route-up.sh not exists, sleep 10sec.
[INFO#357] 28/Jul/2010:03:10:48 /tmp/openvpncl/route-up.sh modified
[INFO#357] 28/Jul/2010:03:10:48 modifying /tmp/openvpncl/route-down.sh
[INFO#357] 28/Jul/2010:03:10:48 /tmp/openvpncl/route-down.sh modified
[INFO#357] 28/Jul/2010:03:10:48 ALL DONE. Let's wait for VPN being connected.
[INFO#687] 28/Jul/2010:03:11:14 vpnup.sh started
[INFO#687] 28/Jul/2010:03:11:37 vpnup.sh ended

至此，你应该可以自动翻墙了。

目前为止，autoddvpn方案只有发布了dd的版本，但细看代码，发现pptp也是有tt选项的，而且原作者也曾说过希望有人给出tt的方案。这几天研究以后得到以下内容，使得autoddvpn可以在tt下支持openvpn了。拿出来共享。

前期准备
1、路由器刷好TT固件，推荐使用tomatovpn-1.27vpn3.6，及外网连接。
2、注册一个免费的VPN，方法请移步隔壁帖子一楼。
http://www.right.com.cn/forum/viewthread.php?tid=45348

使用openvpn连接的方法：

一、设置好wan口能够连接外网，并配置openvpn如下图，其他默认。
 
 
openvpn配置内容如下：

记得点保存。

二、准备好jffs如图：
 
记得点保存。

三、创建password应答及ca证书文件
---注意，如果你不是初学者，这步的细节可以忽略，你只要创建好这两个文件就可以了。

ssh或者telnet进入tt（别问我用户名和密码是什么）
C:\Users\Dosar>telnet 192.168.1.1
WRT54GS login: root
Password:


Tomato v1.27vpn3.6


BusyBox v1.14.4 (2010-01-31 21:34:54 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
接下来输入以下指令：
# mkdir /jffs/openvpn
# cd /jffs/openvpn
# vi password.txt
按字母i后可以进入简易文本编辑模式，复制粘贴以下内容（你可以一行一行复制粘贴），然后依次按Esc键>>英文冒号>>wq
回车后便可以保存了，好了，现在password应答文件/jffs/openvpn/password.txt创建好了。
内容范例如下：

用同样的方法创建vpncup.com的ca证书/jffs/openvpn/ca.crt。注意，该文件对vpncup.com来说是通用（免费、付费用户）的，如果你不是这个服务商，那要根据自己的实际情况而定。

好了，现在两个自定义文件创建好了。分别是：
/jffs/openvpn/password.txt
/jffs/openvpn/ca.crt

四、如何放置脚本到jffs
切换到/jffs/openvpn目录，下载两个files： 
# cd /jffs/openvpn
# for i in vpnup vpndown; do wget http://autoddvpn.googlecode.com/svn/trunk/$i.sh;done;
# chmod a+x *.sh
这时记得ls -l /jffs/openvpn/看一下是否档案确实下载下来了，并且都是可执行的。

五、修改vpnup.sh、vpndown.sh两个文件
先删除第一步中openvpn配置中的前两行，然后连接vpn就可以查询vpn的tun设备编号：
方法是telnet/ssh下输入
# route -n
你就会看到类似这样的输出：
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.8.9     128.0.0.0       UG    0      0        0 tun11
128.0.0.0       192.168.8.9     128.0.0.0       UG    0      0        0 tun11
0.0.0.0         192.168.8.9     0.0.0.0         UG    0      0        0 tun11
得到“tun11”
还是用vi就可以实现修改vpnup.sh、vpndown.sh两个文件，方法不再赘述了。
在这两个文件中找到：

把tun0改为tun11即可。
修改完以后应该是这样的：

注意：恢复第一步中openvpn配置中的前两行，这两行控制autoddvpn的启动与终止。

六、重开机之后检查 autoddvpn.log
root@DD-WRT:/tmp# tail -f /tmp/autoddvpn.log 
[INFO#357] 01/Jan/1970:00:00:17 log starts
[INFO#357] 01/Jan/1970:00:00:17 modifying /tmp/openvpncl/route-up.sh
[INFO#357] 01/Jan/1970:00:00:17 /tmp/openvpncl/route-up.sh not exists, sleep 10sec.
[INFO#357] 01/Jan/1970:00:00:28 /tmp/openvpncl/route-up.sh not exists, sleep 10sec.
[INFO#357] 28/Jul/2010:03:10:48 /tmp/openvpncl/route-up.sh modified
[INFO#357] 28/Jul/2010:03:10:48 modifying /tmp/openvpncl/route-down.sh
[INFO#357] 28/Jul/2010:03:10:48 /tmp/openvpncl/route-down.sh modified
[INFO#357] 28/Jul/2010:03:10:48 ALL DONE. Let's wait for VPN being connected.
[INFO#687] 28/Jul/2010:03:11:14 vpnup.sh started
[INFO#687] 28/Jul/2010:03:11:37 vpnup.sh ended

至此，你应该可以自动翻墙了。访问国内是直连的，访问国外是走VPN的。当然了，如果有些国外网站是你经常连上，而你很肯定这网站不需要翻墙，并且直连效果会更好的。像这种情况就需要自定义直连。可以参阅这里http://code.google.com/p/autoddvpn/wiki/ExRoute。