OpenWRT 18.06.4, ASUS_RT-N13U_B1, OpenConnect, Cisco VPN 翻牆


https://wp.me/ph3BR-2xS

 

————-

2020-FEB-03 update, copy this router spec, RAM/FLASH size https://openwrt.org/toh/hwdata/asus/asus_rt-n13u_b1

CPU, ramips, Ralink RT3052, (被聯發科收購了) http://www.witimes.com/ralink-rt3052-profile/

RAM 64MB (16/32bit SDRAM)

FLASH 8MB, (8/16bit NOR, or 8bit NAND)

————-

 

 

 

 

————-

OpenVPN 最終被中國的長城給封閉過濾了, 記得對上一次出差是2017年4月到深圳, 如常連美洲的伺服器, OUTLOOK 收發 EMAIL, 順道實驗一次看 YOUTUBE, 果然不到10分種就被永久封閉了, 明顯是當地的 ISP 已經固樁好了過濾設備, 只要偵測到 OpenVPN 的連線特徵就給你喀嚓, 因而此恨綿綿無絕期, 國內的用詞就是 “被牆了", 切換到 Cisco VPN, 還通暢. 同時很多買來就內建好OpenVPN的路由器, 例如 ASUS RT-AC68U之類, 賣得很貴卻變成無用武之地. 很多外國企業都是用 Cisco VPN 的網通設備, 當然在中國的廠區辦公室都一樣, 所以大部分的出差使用者都要使用 Cisco AnyConnect Secure Mobility Client 連線到總部或國外總部, 如果要看看 AnyConnect 長啥樣, 以前有些紀錄如下,

https://xiaolaba.wordpress.com/2014/07/29/cisco-anyconnect-auto-login-video-clip/

https://xiaolaba.wordpress.com/2014/07/21/win32-visual-c-%e6%89%be-dialog-%e8%a3%a1%e9%9d%a2%e7%9a%84-%e4%b8%80%e5%80%8b-button-%e7%9a%84-handle/

OpenVPN 被牆封閉, 那 Cisco VPN 呢 ? 答案是到了 2019年7月, 依然活得很好, 不然外商都必須申請出牆, 否則就只能夠撤資退出中國, 因為沒有了外連國際的網路, 等於割脈自殺, 除了心在淌血, 腕脈也在淌血, 很快就見上帝或見魔鬼.

如果缺錢錢買不起那些狠貴的 Cisco VPN 的網通設備, 今日還是有能力嘗試使用 Cisco VPN, 自己用便宜的路由器搭建一個類似的兼容的機器, 總體的架構理解如下,

 

 

伺服器端 : 實驗硬件選用 ASUS_RT-N13U_B1, 原廠的韌體很糟糕, 買來用不到半年常斷死, 送修不果, 2016年改成 OpenVPN 伺服器, 今天已經不值錢,, 韌體15.05.1刷成更新的開源的 OpenWrt 18.06.4, 軟件用內帶的 OpenConnect, 一個開源的伺服器軟件, 直接在 OpenWrt 內可以選用安裝的軟件.

伺服器裝設地點 : 設在可以看 YOUTUBE / GOOGLE 的地方

伺服器控制端: PC, 軟件 putty, WinSCP, firefox或其他瀏覽器也可

使用者端 : PC 用 Download Cisco AnyConnect latest version, 不過要註冊成為他們的客戶, 或者自己網上搜尋別人公開的. 也可以用免費開源的 OpenConnect GUI Cilent. iOS / Android 手機可以到 app store / play store 下載, 免費 搜尋關鍵字 AnyConnect 還有 OpenConnect.

 

 

裝設好 ROUTER 後, 聯線到 ROUTER, 最好用 Serial port, 登入就可以管理修改設定, 不需要考慮聯線逾時的斷線重連的問題. 改裝的參考資訊 https://openwrt.org/toh/asus/rt-n13u. 改裝後的樣式, 幾元錢的 USB – SERIAL CABLE 都可以, 只會用到 TXD / RXD / GND 三條線, 通訊設定 N81, 57600 BAUD, 如果不幸碰到盜版的 PL2303驅動ERROR 10, 這裡有解決方法. 或直接下載其中之一的網路流存的2009年舊板驅動程式可以用.

 

更新 ROUTER 韌體後, 成功登入就這樣, 版本 OpenWrt 18.06.4, 記得改密碼, 只允許 SSH 本地登入, 否則容易被駭客入侵.

 

機器備妥, 確保可以上網瀏覽任意網站, 就是時候安裝伺服器的軟體, 如用 Serial port 控制台安裝 OpenConnect, 則輸入,


opkg update
opkg install luci-app-ocserv
opkg install luci-app-ddns

chmod +x /root/ocservup.sh

 

用 OpenWrt 圖形介面 Luci 來安裝 OpenConnect 也可以, 畫面如下, 看搜比較麻煩.

 

安裝設定好 OpenConnect (Cisco VPN 等同功效), 用 https 連接本地 IP 的測試, 例如 https://192.168.66.1 

或者用 AnyConnect 軟件, 記得不要選 block untrunsted server.

也可以用 OpenConnect GUI client 試驗, 連好了那把鎖會由紅色變綠色.

 

 

本地測是為了證明 OpenConnect 伺服器已經運作正常, 就可以開始設定 firewall port forwarding, 把它指到接受 INTERNET 上的接入, 需要時間整理, 還沒搞定.

如用 Serial port 控制台管理伺服器, 停止/啟動/應用的命令如下, 畫面如下


/etc/init.d/ocserv stop

/etc/init.d/ocserv enable

/etc/init.d/ocserv start

 

WinSCP 的使用, 是為了容易管理, 瀏覽伺服器的檔案 / 修改 / 搬移, 純粹就是操作地電腦的視窗一般, 當然必須用 WIFI 或者 LAN 連結到 Cisco VPN 那個機器, 這裡就是那個實驗品 ASUS RT-N13U 並刷成 OpenWrt 的韌體的.

 

只允許 LAN 連線Luci管理介面登入, REF, https://openwrt.org/docs/guide-user/services/webserver/uhttpd

https://openwrt.org/docs/guide-user/luci/luci.secure

設定檔 /etc/config/uhttpd

例如, 關閉所有預設的, 只允許 https, LAN 192.168.66.1:443


#list listen_http '192.168.66.1:80'
list listen_https '192.168.66.1:443'
#list listen_http '0.0.0.0:80'
#list listen_http '[::]:80'
#list listen_https '0.0.0.0:443'
#list listen_https '[::]:443'

修改完畢, 重新啟動管理的介面, 執行 /etc/init.d/uhttpd restart

LAN 接入, 瀏覽器 打開 https://192.168.66.1

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.