http:///https//wiki.microduino.cn/index.php?action=history&feed=atom&title=%E9%A1%B9%E7%9B%AE%E5%8D%81%E5%85%AB--%E4%BE%BF%E6%90%BA%E5%BC%8F%E7%BD%91%E7%BB%9C%E9%9A%90%E7%A7%81%E4%BF%9D%E6%8A%A4%E5%99%A8%28%E5%86%85%E9%83%A8%E5%85%A8%E5%B1%80VPN%29%2F%E5%85%AC%E5%8F%B8%E5%86%85%E7%BD%91%E7%A1%AC%E4%BB%B6%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E6%9C%BA 2026-06-05T23:43:11Z 本wiki的该页面的版本历史 MediaWiki 1.30.0 https//wiki.microduino.cn/index.php?title=%E9%A1%B9%E7%9B%AE%E5%8D%81%E5%85%AB--%E4%BE%BF%E6%90%BA%E5%BC%8F%E7%BD%91%E7%BB%9C%E9%9A%90%E7%A7%81%E4%BF%9D%E6%8A%A4%E5%99%A8(%E5%86%85%E9%83%A8%E5%85%A8%E5%B1%80VPN)/%E5%85%AC%E5%8F%B8%E5%86%85%E7%BD%91%E7%A1%AC%E4%BB%B6%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E6%9C%BA&diff=12211&oldid=prev 2015-12-27T08:18:35Z

<p>Created page with &quot;网络隐私/内网穿透本质上使用VPN即可实现，但真实应用中，绝大部分VPN软件(OpenVPN除外)不支持路由推送，抑或路由本身难以维护。使...&quot;</p> <p><b>新页面</b></p><div>网络隐私/内网穿透本质上使用VPN即可实现，但真实应用中，绝大部分VPN软件(OpenVPN除外)不支持路由推送，抑或路由本身难以维护。使用全局VPN会严重影响本地浏览反应速度（例如在线视频）。<br /> <br /> ==背景介绍==<br /> 这里以某国内著名IT企业应用背景为例，公司能够访问国内各视频网站，但是限制京东、淘宝等购物网站。我们希望通过特定路由器突破限制的同时不影响其它访问。<br /> <br /> 具体实现时，有如下几点需要考虑：<br /> * 国内各大云服务器商均按流量收费，因此希望有且仅有必要的访问才走服务器中转;<br /> * 京东、淘宝的IP列表不可能搜集齐全，而且可能旗下某些非购物型网站可以访问；<br /> * 使用第三方CDN加速，第三方CDN同时为其它厂商服务，其它厂商服务不受影响，此部分希望不通过VPN。<br /> <br /> <br /> 便携式网络隐私保护器/公司内网硬件访问控制机与其原理相同，不再详述。<br /> <br /> ==技术实现==<br /> <br /> 整理上述需求，我们希望实现按域名路由。dnsmasq 在 2.66 版之后加入了对 ipset 的支持，可将指定域名的 IP 解析后自动加入某一 ipset 中。<br /> 再配置路由规则，使该 ipset 中的 IP 走 VPN 即可。使用关键字dnsmasq ipset即可搜索出一堆相关文章。<br /> <br /> <br /> 不过官方版本的dnsmasq不能满足第三种需求，以facebook为例，其使用了akamai的CDN服务，但是微软也使用akamai为其提供windows更新服务。<br /> facebook使用akamai的域名有fbcdn-profile-a.akamaihd.net、fbcdn-sphotos-a-a.akamaihd.net、fbcdn-sphotos-f-a.akamaihd.net、fbcdn-sphotos-g-a.akamaihd.net等，<br /> 对于众多的域名我们可以一一列下，但是难免会有遗漏，不难发现所有域名均以fbcdn开头，如果dnsmasq支持正则表达式，则可以通过^fbcdn-[a-z\-]+\.akamaihd\.net$一条<br /> 匹配上述4条。可惜dnsmasq官方并没有支持正则表达式，不过有网友已经提供并开源https://github.com/cuckoohello/dnsmasq-regex，在microwrt官方repo中也提供支持<br /> 正则表达式的dnsmasq包方便广大玩家使用。<br /> <br /> <br /> VPN方面选择比较常用的openvpn，其它VPN与此配置类似。OpenVPN服务器端的安装配置请自行Google。<br /> <br /> ==安装配置==<br /> <br /> 首先安装支持正则表达式版本的dnsmasq,microwrt玩家可从microwrt官方repo中获取。<br /> 各位首先在/etc/opkg.conf文件末尾加入如下一行：<br /> <br /> src/gz microwrt http://repo.microduino.cn/microwrt/<br /> <br /> 并且移除option check_signature 1，然后运行<br /> <br /> opkg update &amp;&amp; opkg install dnsmasq-full<br /> <br /> 这里使用OpenVPN因此还需安装openvpn软件<br /> <br /> opkg install openvpn-openssl<br /> <br /> 配置dnsmasq，这里以taobao为例,在/etc/dnsmasq.conf末尾添加如下几行,其中最后一行添加了正则表达式的示例<br /> <br /> ipset=/taobao.com/vpn<br /> ipset=/tmall.com/vpn<br /> ipset=/:^fbcdn-[a-z\-]+\.akamaihd\.net$:/vpn<br /> <br /> 修改完毕后，重启dnsmasq。然后在/etc/firewall.user文件末尾添加iptables配置，使得dnsmasq解析后加入ipset vpn的ip列表走特定路由表<br /> <br /> ipset create vpn iphash -exist<br /> iptables -t mangle -I PREROUTING -m set --match-set vpn dst -j MARK --set-mark 1<br /> <br /> 最后进行openvpn的配置，在一般的openvpn配置文件末尾添加下列几行<br /> <br /> script-security 2<br /> route-noexec<br /> up /etc/openvpn/updown.d/up.sh<br /> down /etc/openvpn/updown.d/down.sh<br /> <br /> 这几行的目的是不使用openvpn服务器端推送的路由配置，执行up.sh脚本中的程序，up.sh脚本内容如下：<br /> <br /> #!/bin/sh<br /> ip route add default via $route_vpn_gateway dev $dev table 100<br /> ip rule add fwmark 1 priority 1984 table 100<br /> <br /> 这里可以看出我们添加了新的路由表100，该路由表中添加VPN服务器的默认路由，第二行使得通过iptables标记的目的地址位于ipset vpn列表中访问均走<br /> 路由表100。<br /> <br /> 至此我们即实现有且仅有taobao、tmall的访问经过VPN绕行，其它访问均从本地。<br /> <br /> <br /> 关于文中具体的技术细节，请自行度娘dnsmasq ipset。</div>

Shengkai_81@163.com