Posts

WiFiSong WS151 机器是多年前在论坛上清货捡的，12元一个。 配置：AR9331，8M 闪存，64M 内存 原始固件使用的就是OpenWrt，另外做了一个界面。但是保留了原始luci的界面，找到原始界面地址如下： http://192.168.21.1:6050/cgi-bin/luci/ 登陆信息 账号：admin 密码：admin123654 进入后，可以使用WR741N V4的固件在线升级。然后就随便操作了。

使用与兼容性 在HPET出现之前设计的操作系统不能使用HPET，因此将使用其他计时器设备。较新的操作系统往往可以使用较新与较旧的计时器。一些硬件同时有较新与较旧的计时器。事实上，目前的南桥芯片大多数也都同时支持传统的PIT、PIC、高级可编程中断控制器（APIC）和RTC设备，无论操作系统是否使用，从而有助于非常现代的PC运行旧款操作系统。 已知下列操作系统无法使用HPET：Windows XP SP2、 Windows Server 2003及更早的Windows版本，Linux内核2.6以前。 已知下列操作系统可以使用HPET：Windows XP SP3、Windows Server 2008、Windows Server 2008 R2、Windows Vista、 Windows 7、基于x86的OS X、使用2.6或更高内核的Linux操作系统以及FreeBSD。 Linux内核也可以使用HPET作为其时钟源。Red Hat MRG第二版的文档指，TSC是首选时钟源——因为它的开销低很多，而HPET作为后备时钟源。一个千万次事件计数的基准测试显示，TSC花费约0.6秒，而HPET花费略微超过12秒，ACPI电源管理计时器花费约24秒。 稳定时间戳计数器（Constant Time Stamp Counter, TSC） 现代Intel和AMD处理器提供了一个稳定时间戳计数器（Constant Time Stamp Counter, TSC）。这个稳定的TSC的计数频率不会随着CPU核心更改频率而改变，例如，节电策略导致的cpu主频降低不会影响TSC计数。一个CPU具有稳定的TSC频率对于使用TSC作为系统的时钟源是非常重要的。 要查看CPU是否具有稳定的时间戳计数器（constant TSC）需要检查cpuinfo中是否有constant_tsc标志： cat /proc/cpuinfo | grep constant_tsc 如果上述命令没有任何输出，则表明cpu缺少稳定的TSC特性，需要采用其他时钟源。 时钟硬件和计时准确性 时间戳计数器（TSC）时钟源是当前一代 CPU 上最精确的一种。当操作系统支持 TSC 并且 TSC 可靠时，它是跟踪系统时间更好的方式。有多种方式会使 TSC 无法提供准确的计时源，这会让它不可靠。旧的系统能有一种基于 CPU 温度变化的 TSC 时钟，这让它不能用于计时。尝试在一些就的多核 CPU 上使用 TSC 可能在多个核心之间给出不一致的时间报告。这可能导致时间倒退，这个程序会检查这种问题。并且即使最新的系统，在非常激进的节能配置下也可能无法提供准确的 TSC 计时。 更新的操作系统可能检查已知的 TSC 问题并且当它们被发现时切换到一种更慢、更稳定的时钟源。如果你的系统支持 TSC 时间但是并不默认使用它，很可能是由于某种充分的理由才禁用它。某些操作系统可能无法正确地检测所有可能的问题，或者即便在知道 TSC 不精确的情况下也允许使用 TSC。 ...

如果以前使用时都正常，最近才出现问题的。那么一般有两点需要检查 1、如果使用的是自签名证书，那么检查一下证书是否到期； 2、如果是第三方签发的证书，那么需要把证书链中的所有CA都独立建立证书文件放在/etc/ipsec.d/cacerts目录中 3、Windows系统最好添加一项注册表项，如下： 添加一条注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\DisableIKENameEkuCheck 类型为 DWORD，值为1

修改文件 /etc/strongswan.d/charon.conf max_packet = 15000 或者 max_packet = 20000 然后重启ipsec服务

WireGuard® 是一个非常简单，快速和现代的 VPN，它利用了 最先进的 密码学 。它旨在比 IPsec 更快 ， 更简单，更精简，更有用，同时避免巨大的头痛。它比 OpenVPN 的性能要高得多。WireGuard 被设计为一个通用 VPN，用于在嵌入式接口和超级计算机上运行，适用于许多不同的情况。它最初是为 Linux 内核发布的，现在是跨平台（Windows，macOS，BSD，iOS，Android）并且可以广泛部署。它目前正在进行大量开发，但它已经被认为是业内最安全，最易于使用和最简单的 VPN 解决方案。 从 2020 年 1 月开始，它已经并入了 Linux 内核的 5.6 版本，这意味着大多数 Linux 发行版的用户将拥有一个开箱即用的 WireGuard。 WireGuard是跨平台的，几乎可以在任何操作系统运行，包括Linux，Windows，Android和macOS。 Wireguard是对等VPN，它不使用C/S客户端/服务器模型。根据配置，对等方可以充当传统的服务器或客户端。 它充当隧道，在每个对等设备上创建虚拟网络接口来工作。对等方通过交换和验证公钥，类似于使用SSH公钥模式来相互认证。 公钥与隧道中允许的IP地址列表进行映射。VPN流量封装在UDP中。 WireGuard 优点 简单易用 WireGuard 旨在像 SSH 一样易于配置和部署。VPN 连接只需通过交换非常简单的公钥即可实现 - 就像交换 SSH 密钥一样 - 其余所有内容都由 WireGuard 透明地处理。它甚至能够在 IP 地址之间漫游，就像 Mosh 一样。无需管理连接、关注状态、管理守护程序或担心后台的内容。WireGuard 提供了一个非常基本但功能强大的界面。 加密健全 WireGuard 使用最先进的密码学，如 噪声协议框架，Curve25519，ChaCha20，Poly1305，BLAKE2，SipHash24，HKDF 和安全可信结构。 它做出了保守合理的选择，并经过密码学家的审查。 最小攻击面 WireGuard 在设计时考虑了易于实现和简单性。它意味着在很少的代码行中轻松实现，并且易于审计安全漏洞。与 *Swan/IPsec 或 OpenVPN/OpenSSL 等庞然大物相比，即使对于大型安全专家团队来说，审计庞大的代码库也是一项艰巨的任务，WireGuard 意味着可以由单个人进行全面审查。 高性能 极高速的加密原语和 WireGuard 存在于 Linux 内核中的事实相结合，意味着安全网络可以非常高速。它适用于智能手机等小型嵌入式设备和满载骨干路由器。 ...

前往 homebrew-core/Formula · Homebrew 官方仓库 找到要下载的软件，可以点击 Find 按钮输入名字查找。 点击找到的文件后再点击 History 按钮来查找历史版本。 选中想要的版本，然后点击 … | View file 查看文件。 右键点 Raw 按钮，复制链接地址。 打开 RAW文件， 将这个rb原文件下载下来。 替换/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core/Formula/ 下的文件。 再次执行brew install 官方仓库地址：https://github.com/Homebrew/homebrew-core/tree/master/Formula 网上经常说的直接 brew install 某个 rb的网址是不行的，会报错，类似下面这样： Installation of tmux from a GitHub commit URL is unsupported! `brew extract tmux` to a stable tap on GitHub instead.

这是因为Windows 10 连接IKEv2后，默认启用了 splittunneling 选项。我们只要把 splittunneling 关闭即可。 操作如下： 1、使用管理员身份运行PowerShell； 2、输入命令： get-vpnconnection Name : test_IKEv2 ServerAddress : vpn.xxx.net AllUserConnection : False Guid : {A0E89525-9E64-43DE-8ECC-5E2DFC067C0D} TunnelType : Ikev2 AuthenticationMethod : {MachineCertificate} EncryptionLevel : Required L2tpIPsecAuth : UseWinlogonCredential : False EapConfigXmlStream : ConnectionStatus : Connected RememberCredential : True SplitTunneling : True DnsSuffix : IdleDisconnectSeconds : 0 然后找到对应那个vpn连接名，比如我这里是"test_IKEv2"； 3、然后输入命令： set-vpnconnection "test_IKEv2" -splittunneling $false 记得把双引号里面的内容自行替换掉，不要照抄。 4、最后再输入： get-vpnconnection Name : test_IKEv2 ServerAddress : vpn.xxx.net AllUserConnection : False Guid : {A0E89525-9E64-43DE-8ECC-5E2DFC067C0D} TunnelType : Ikev2 AuthenticationMethod : {MachineCertificate} EncryptionLevel : Required L2tpIPsecAuth : UseWinlogonCredential : False EapConfigXmlStream : ConnectionStatus : Connected RememberCredential : True SplitTunneling : False DnsSuffix : IdleDisconnectSeconds : 0 检查看split tunneling那一项是不是False，不是的话再试一次。像这样就成功了。

上一文讲到 IKEv2的配置，当时使用的是Windows 7作为客户端。然而使用Windows 10作客户端时，拨号时会产生“策略匹配错误”，在事件管理器里面查询，会得到一个13868的错误号。 这是因为Windows客户端提出了一个弱Diffie-Hellman（DH）组（1024位MODP）。除非用户明确配置，否则strongSwan不再使用该组。 解决方法： 在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 底下新增： 名称："NegotiateDH2048_AES256" 类型："REG_DWORD" 值："1" 保存退出即可。

一、软件安装 ipsec 与 l2tp，一般常见的操作系统都直接支持，不需要额外安装软件。所以在选择上优先考虑。 在Debian 10下面安装非常容易，执行以下命令: apt-get install strongswan xl2tpd strongswan-pki 二、软件配置 StrongSwan 的配置主要为 ipsec.conf、strongswan.conf； xl2tpd 的配置主要为 xl2tpd.conf、options.xl2tpd； 以下为四个配置文件样例： 1、ipsec.conf config setup uniqueids=no charondebug="cfg 2, dmn 2, ike 2, net 0" conn %default dpdaction=clear dpddelay=300s rekey=no left=%defaultroute leftfirewall=yes right=%any ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 auto=add ####################################### # L2TP Connections ####################################### conn L2TP-IKEv1-PSK type=transport keyexchange=ikev1 authby=secret leftprotoport=udp/l2tp left=%any right=%any rekey=no forceencaps=yes ####################################### # PSK Connections ####################################### # Cisco IPSec conn IKEv1-PSK-XAuth keyexchange=ikev1 leftid=@lostend.com leftauth=psk rightauth=psk rightauth2=xauth leftsubnet=0.0.0.0/0 rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.0/24 ####################################### # Certificate Connections ####################################### conn windows7 keyexchange=ikev2 rekey=no leftauth=pubkey leftid=@lostend.com leftsubnet=0.0.0.0/0 leftcert=server.cert.pem right=%any rightauth=rsa rightsourceip=10.0.0.0/24 rightsendcert=never eap_identity=%any include /var/lib/strongswan/ipsec.conf.inc 2、strongswan.conf ...

一、ftp 服务器的选择 上文我们配置好了LDAP服务，既然配置了这个服务，想要用的自然是它的统一认证功能。那么，安装FTP服务器自然优先选择支持LDAP认证的软件了。 vsftpd 本身并不支持 LDAP 认证，而是通过 PAM 认证提供和 LDAP 的整合。PAM？如果搞砸了，Linux 登录都会出现困难。所以首先将 vsftpd 排除。 Pure-FTPd 本身支持 LDAP 认证，在 Debian 中，甚至有 pure-ftpd-ldap 包是专门支持 LDAP 认证的 Pure-FTPd 编译。PureFTPd 其现有的 LDAP 支持比较弱。 要求 LDAP 的用户帐号必须包含 posixAccount 作为 objectClass 也就是说必须在 LDAP 中指定用户的用户ID和组ID（数字形式） 必须在 LDAP 中设定用户主目录 为了安全计，往往需要将所有登录帐号映射为一个低权限的系统帐号。Pure-FTPd 的LDAP认证在以前的版本是不能实现的，但是在新版本中，pureftpd.schema里面的FTPuid and FTPgid 属性已经支持这个功能。 有了这个功能，那么对于我来说已经够用了。 ProFTPD 对 LDAP 的支持相当的完善，几乎堪称完美。但是自己对ProFTPD不太熟悉，而且ProFTPD相对来说漏洞较多发，所以弃用。 二、Pure-ftpd的安装配置 在Debian 中安装非常容易，执行以下命令安装。 apt-get install pure-ftpd-ldap 修改配置文件： 创建文件/etc/pure-ftpd/conf/ChrootEveryone ，其中只包含字符串yes ： echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone 这将使PureFTPd在其主目录中的每个虚拟用户都chroot，因此他将无法浏览其主目录之外的目录和文件。 还要创建文件/etc/pure-ftpd/conf/CreateHomeDir ，它再次只包含字符串yes ： echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir 这将使PureFTPd在用户登录并且主目录不存在时创建用户的主目录。 ...