利用 OpenWrt 實(shí)現(xiàn)無線路由器驗(yàn)證 H3C SS 智能翻墻n發(fā)表于 2015-11-30 | 分類于 工具 | n前言nn 今年防火墻貌似強(qiáng)大了不少，之前一直使

利用 OpenWrt 實(shí)現(xiàn)無線路由器驗(yàn)證 H3C SS 智能翻墻n發(fā)表于 2015-11-30 | 分類于 工具 | n前言nn 今年防火墻貌似強(qiáng)大了不少，之前一直使用起來挺穩(wěn)定的 GreenVPN 在校園網(wǎng)的環(huán)境下變得越來越難連接得上，上個(gè)月一怒之下在 DigitalOcean 買了個(gè) San Francisco 的 VPS，幸好兩年前的我機(jī)智地申請了 Github 的教育優(yōu)惠大禮包，免費(fèi)得到 50$ 的優(yōu)惠卷，掐指算一下，應(yīng)該能免費(fèi)使用十個(gè)月的服務(wù)~n 配合 Shadowsocks，自己持續(xù)用了一段時(shí)間，感覺是挺不錯(cuò)的，網(wǎng)絡(luò)異常穩(wěn)定，網(wǎng)速也能接近校園網(wǎng)峰值。但是，有一點(diǎn)不太滿意，就是 iOS 系統(tǒng)上是沒有 SS 客戶端的（補(bǔ)充：利用 iOS9 新特性的 Surge 軟件是可以走 SS 代理的），有時(shí)候躺在床上突然想 Google 一下，除非祈禱 iPhone 能連得上 GreenVPN，不然還得爬下來打開電腦，麻煩死了。n 于是，上周末突然萌發(fā)了一個(gè)想法：改造升級(jí)一下自己一年多前在宿舍搭建的無線路由，使它能支持 SS 代理，那么連上 Wifi 的終端無需做任何設(shè)置就可以自由地訪問國外的世界。想想都覺得興奮，所以趁有時(shí)間趕緊弄，一開始原以為只需要在無線路由器上裝一個(gè) SS 客戶端即可，但動(dòng)手過程中發(fā)現(xiàn)它是不提供類似于 PC 上 SS 客戶端所提供的 PAC 模式功能，也就是說，倘若要區(qū)分對待國內(nèi)與國外網(wǎng)站的訪問方式，轉(zhuǎn)發(fā)規(guī)則還得自己想辦法實(shí)現(xiàn)。n原理簡介nn 根據(jù)網(wǎng)上的「GFW分析報(bào)告」，了解到 GFW 屏蔽的方式主要有 DNS 劫持，域名封鎖、IP 封鎖、關(guān)鍵字審查、暫時(shí)訪問限制以及流量限制等等方式，而自己在解決 SS 代理區(qū)分國內(nèi)外網(wǎng)站的問題下，需要解決的問題便是如何避免 DNS 劫持與 IP 封鎖 。n 對于 DNS 劫持問題，在 SourceForge 的一個(gè)名為 「OpenWrt-dist」 的項(xiàng)目上，用戶 aa65535 提供了六種在 OpenWrt 系統(tǒng)上能防止 DNS 劫持的方案，而我所選擇的方案大致上是符合其中方案四的思路的：使用 dnsmasq 搭配 SS 的 UDP 轉(zhuǎn)發(fā)功能（ ss-tunnel ）進(jìn)行 DNS 查詢。n 對于 IP 封鎖問題，我選擇的方案是配置 iptables 防火墻來轉(zhuǎn)發(fā) IP 地址，對局域網(wǎng)，亞洲以及 VPS 服務(wù)器的 IP 地址不作任何特殊處理，而對于其他 IP 地址的請求，轉(zhuǎn)發(fā)到 SS 透明代理功能（ ss-redir ）所監(jiān)聽的端口，經(jīng)由 SS 進(jìn)行加密訪問。n 由于之前身邊有些朋友會(huì)偶爾問我搭建驗(yàn)證 H3C 無線路由的方法，所以在這一篇博客中，順便在開頭講一下無線路由驗(yàn)證 H3C 的步驟，以供參考。n準(zhǔn)備清單nn 一臺(tái)已刷 OpenWrt 的無線路由器；n 一臺(tái)搭載 Windows 操作系統(tǒng)的 PC；n 一臺(tái)已開啟 ShadowSocks 服務(wù)端程序的國外 VPS 服務(wù)器。nn 補(bǔ)充說明：我所使用的路由器為 TP-LINK 旗下的