RouterOS connect Linode use Gre over IPsec

  Site to Site 建立的VPN 标准情况下需要预先协商哪些网段经过VPN,所以每次有任何一侧需要增加网段而改动配置都会导致VPN 中断,这个在生产环境里会很难接受。而对于个人用户来说Site to Site VPN 又很难利用另一侧的网络出口访问Internet。本文的思路是在两端使用非本地网段的回环接口地址建立IPSEC VPN,然后使用这两个地址来建立GRE 通道,随后相关路由指向GRE 通道地址即可。

RouterOS:<GRE Tunnel:5.5.5.1/30><Loopback: 1.1.1.1/32>-------
                                                           |IPSEC|
Linode:  <GRE Tunnel:5.5.5.2/30><Loopback:2.2.2.2/32>-------

Linux 部分,系统是Debian Jessie

安装所需软件

$ sudo apt-get install strongswan

建立回环地址,建立GRE 通道

/etc/network/interfaces
auto lo lo:1
iface lo inet loopback

iface lo:1 inet static ##本地添加一个2.2.2.2/32 的回环地址,用于建立VPN的感兴趣流
        address 2.2.2.2
        netmask 255.255.255.255

auto tun0 ##GRE 通道设置##
iface tun0 inet tunnel
        address 5.5.5.2 ##本地通道地址##
        netmask 255.255.255.252
        mode gre
        endpoint 1.1.1.1 ##对端用于建立通道的地址,即对端VPN的感兴趣流地址##
        dstaddr 5.5.5.1 ##对端通道地址##
        local 2.2.2.2 ##本地用于建立通道的地址,即本地VPN的感兴趣流地址##
        ttl 64
        mtu 1476
        up ifconfig tun0 multicast ##通道生效后启用多播,用于路由协议##

打开本机的ipv4 转发:

echo net.ipv4.ip_forward = 1 >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf

允许Aggressive 模式,因为Aggressive 模式并不安全,默认是关闭的

/etc/strongswan.d/charon.conf
i_dont_care_about_security_and_use_aggressive_mode_psk = yes

IPSEC 配置

/etc/ipsec.conf
config setup ##基本配置##
        interfaces="ipsec0=eth0"
        klipsdebug=none
        plutodebug=all
        uniqueids=yes

conn %default ##所有VPN的通用配置##
        keyingtries=0
        authby=rsasig

conn ros ##与RouterOS建立VPN 的配置##
        aggressive=yes ##使用暴力模式##
        left=<your.linode.ip.address> ##本机公网地址##
        leftsubnet=2.2.2.2/32 ##本机用于建立感兴趣流的回环地址##
        right=%any ##对端来源地址,由于对端是动态地址,所以此处设置any##
        rightid=@<your.fqdn.name> ##对端的fqdn 验证##
        rightsubnet=1.1.1.1/32 ##对端用于建立感兴趣流的回环地址##
        keyexchange=ike ##VPN协议##
        authby=secret ##ike阶段验证方式,使用presharekey##
        auth=esp ##使用的协议##
        ike=3des-sha1-modp1024 ##ike阶段参数,即p1##
        esp=3des-md5-modp1024 ##esp阶段参数,即p2##
        pfs=no ##不使用pfs##
        type=tunnel ##类型##
        auto=start ##start表示strongswan开启后即连接此VPN##
/etc/ipsec.secrets
: PSK <your.preshare.key> ##presharekey 设置##

如果想让RouterOS 通过GRE 通道上网,需要增加iptables 规则

/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o eth0 -j MASQUERADE ##此处地址为RouterOS 侧的内网地址,按需配置##

RouterOS 部分

GRE 通道

/interface gre
add !keepalive local-address=1.1.1.1 mtu=1476 name=gre-linode remote-address=2.2.2.2

增加回环口,GRE通道地址

/ip address
add address=1.1.1.1 interface=loopback network=1.1.1.0
add address=5.5.5.1/30 interface=gre-linode network=5.5.5.0

针对回环口与GRE 通道口的src-nat设置

以下条目记得移动到masquerade 条目之上

/ip firewall nat
add chain=srcnat dst-address=2.2.2.2 src-address=1.1.1.1
add chain=srcnat dst-address=5.5.5.2 src-address=5.5.5.1

IPSEC VPN 设置

/ip ipsec peer
add address=<your.linode.ip.address>/32 enc-algorithm=3des exchange-mode=aggressive generate-policy=port-override local-address=0.0.0.0 my-id=fqdn:<your.fqdn.name> nat-traversal=no secret=<your.preshare.key>

/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=1h name=linode pfs-group=none

/ip ipsec policy
add dst-address=2.2.2.2/32 proposal=linode sa-dst-address=<your.linode.ip.address> sa-src-address=0.0.0.0 src-address=1.1.1.1/32 tunnel=yes

使用GRE 通道访问Internet,需要修改MSS 值

/ip firewall mangle
add action=change-mss chain=postrouting new-mss=1300 out-interface=gre-linode protocol=tcp tcp-flags=syn

有关使用GRE 通道上网

  最简单就是加一条默认路由,把所有流量扔给Linode 侧的GRE 通道地址就可以了。如果想拿来翻墙区分国内国外流量,本文不做讨论,请用“freedomroutes.domestic”“routeros” 等关键词搜索即可。

LONDON UNDERGROUND

AUNE B1 HEADPHONE AMP

本文为给我全中文圈最靠谱的数码音频网站大数毛网站Soomal 写的AUNE B1 的试用报告。

一、包装
AUNE B1 包装中规中矩。黑色、带有纹路黑色厚纸盒,盒盖有一层海绵用于防震,内盒除了放置AUNE B1 本体外,有一个小格用于放置仅有的两个配件:30cm 左右长度的USB 充电线以及10cm 不到的对录线。
AUNE B1

二、外观及做工
AUNE B1

AUNE B1 周身没有可见的螺丝,黑色拉丝铝合金机身,衬有两块黑色仿皮的背面在我看来要比带有两块透明玻璃暴露出内部分立元件的正面更加带感。左侧集中了所有的功能开关:POWER、CLASS A、GAIN,右侧则只有一个较小的圆形电量显示按钮和一个电量指示灯。拨动开关、按钮的说明都使用白色细字体丝印在机身上,虽然丝印长时间使用后会有剥落的可能,不过B1 略为突出的圆润三角边带倒是一定程度上避免因为与其他设备摩擦造成文字褪色或意外剥落。
AUNE B1

背面两块仿皮是黏贴在机壳的凹槽中的,所以放置在桌面上时并没有预期的防滑作用,不过由此带来的视觉差异以及手感倒是在各类全部用冰冷金属包裹好无美感可言的砖类音频设备中算是一个耐看的设备。

右侧那个较小的圆形按钮按下去可以通过指示灯的闪烁频次来判断电量,这里值得一提的是电量显示指示灯以及电源指示灯都使用了发光柔和的led灯,不像一些厂商的产品恨不得把那些指示灯做成手电。

左侧是3个拨动开关,略靠中间的是电源开关,另两个更靠上方位置的开关用于调节增益和输出电流。两个功能开关的作用简单直观,唯一要注意的是根据官方说明书所说CLASS A 这个调整电流大小的开关一定要在关机状态下调整,个人观点是从电路上做一些额外处理是完全可以实现开机状态下拨动此开关无效,AUNE 如果能在这上面做一点改动或许会让用户使用时更加舒心一点。另一个略为不舒服的地方是3个拨动开关用手指轻轻按拨是会有点摇晃的,虽然不至于影响实际使用不过这类小缺陷与拿到整机时的第一观感略有差距的感觉让人稍稍有点失望。

正面除了厂牌、型号、序列号、认证标志外,大约1/3 的空间都留给了两个透明玻璃下的三极管分立元件,整齐、干净、对称的分立元件三极管还是很容易刺到Geek 和宅男们的G 点的。
AUNE B1

B1 的顶部中间是一个有斜角的圆形电位器,阻尼手感也算适中,不过在后来实际使用中发现这个电位器在低音量的时候只有右边声道会有声音,慢慢提高音量后左声道才会有声但仍然与右声道略有差异,继续提高音量后这种差异便消失了。这个现象据说在小型电位器里经常会发生,不过有差异的那个音量并不是正常的听音音量,所以并不影响正常的设备使用。
AUNE B1

电位器的左右分别是两个标准的3.5mm 耳机插孔,用于音源输入和耳机输出。实际拔插手感也属适中,插头插入后也觉得稳固可靠。

底部只有一个USB 口用于充电。B1 由于全分立甲类的设计需要更多的电源供应所以使用了4000mAh 的大容量锂电池,这也导致实际充电时间接近7个小时。要知道如果把电流放在+档B1 的播放时间大约5小时不到,-档虽然可以接近10小时的播放时间但是这个充电时间还是略为长了点。在后期使用中我用电流表读取到B1 的充电电流只有0.73A,加入能提高到1A 输入也会较好的改善B1 的使用体验,不知道AUNE 会不会考虑之后版本有所修改。

三、音源
AUNE B1

说音质前先聊下音源,我常用的播放器有3个:iPod Shuffle,iPod Classic,06MX。一开始我其实很想把Shuffle 绑在B1 上面,这样B1 体积上来看和一般的砖类播放器就没太大区别了,不过由于Shuffle 实在是小了点绑上去后操作反而不怎么方便就被放弃了。iPod Classic 用了一根从某品牌的电源线绑带上拆下来的皮筋和B1 绑在了一起,操作方便,重量也能接受,所以不出意外这个组合会作为长期维持下去。虽然在试听过程中数码多的编辑们都建议用更好的音源来代替iPod Classic,不过考虑实用性最后我也只是试听了下用06MX 做音源,并不想让这两块砖长期绑在一起冒充凶器。
AUNE B1

连接音源用的对录线一开始我是用原配线,不过后来还是从hifidiy 的网站上买了根与数码多评测时所用相同的卡达斯2x21AWG,只是接插头用了直插而不是90度转角的那种。

四、耳机和电流
手边耳塞只有一副半残的Air 和Vsonic VSD 3S,实际和B1 配合上总是觉得与06MX 直推差别并不大,虽然06MX 和B1 的声音风根并不竟相同,但在iPod Classic 作为音源的情况下,B1 和06MX 都可以很好的把这两幅耳塞应有的水准表现出来,所以除了一开始的一点时间外后期测试我使用的全部是大耳机。

大耳机常用的3副外形正好是大、中、小来分布的,AKG 702、Sony MDR 7506、Harman/Kardon HARKAR-CL。虽然702 和7506 的阻抗都是62欧,不过AKG 家的玩意总是有人说难推。而个人实际使用感受上702 其实倒不是难推,而是对应于各款耳放702 的表现不会像很多耳机那样有明显不同的回放表现,而是在一个较为平淡的基础上根据各类耳放的不同体现出某一个突出的点。
AUNE B1

AUNE B1

AUNE B1

电流方面我建议不考虑续航的话无论大小耳机、耳塞都放在+档,声音明显会有更好的表现。而增益按钮对于iPod Classic 和我手上这些并非大阻抗的耳机来说没有太大的使用必要。

五、音质
作为一个没怎么受过专业或非专业音乐训练的人来说让我在这里分高中低频来讲解实在是过于为难了,所以我从实际使用体验上来讲讲B1 下3副耳机的前后表现差别,顺便和06MX 也做一点简单的对比描述。

首先B1 在中低音量下有极其出色的表现,很多音频回放设备在较高音量的时候都能听个很热闹的响动,但是音量一低各设备表现就变的天差地别。

B1 最大的卖点无疑是全分立甲类放大器,实际上B1 的甲类风格也确实很明显,在一开始与 06MX 搭配和后面长期的iPod Classic 搭配时都很容易感受到与原有播放器明显区别的声音风格。

B1 对于人声和主要配器这个频段上的控制力到位,感觉上很从容。像7506 这样声场极窄的耳机在B1 推动下有极其明显的改观;而702 虽然人声仍旧清汤挂水略显平淡,但是宽阔的声场让人声为主的歌曲变的更加耐听。像杨小琳那盘风骚之极的《禧乐》,或者江蕙演唱会上那首完全靠人声做器乐配音的《再会啦心爱的无缘的人》在B1 推动下展现出来的靡靡之音除了动听外更有些许的感动。702 之前是在06MX 和三号耳放这样的组合下的,三号过于直白的粗糙表现让702 虽然有声场、有细节,但是人声和动听相去甚远,听个张楚、李志什么的还马马虎虎,拿来听杨小琳和江蕙更是好无乐趣可言。B1 柔和的听感和那种甲类下细微的颗粒感是我在便携设备上听到的最好的人声回放设备。

但是,B1 比较难把某些刺激的现场表现的到位,比如Babymetal…… B1 不是动态控制不好,而是不够大,所以那些需要爆棚效果的音轨总觉得差那么一口气。

六、随便说两句
B1 的做工算是同类产品里属于上乘的水准,总体设计也算是不错。体积和重量在砖类产品里并不算大,续航时间也算是可以接受,但是充电速度对实际使用体验打了不小的折扣。音质表现可以说是便携类产品里有突出表现的一款,可搭配的耳机可以说是大小通吃,实际零售价也算是适中,实际上用上“性价比高”这个tag 也不算过分。

试用者名称:kDolphin

Sync your webdav with Dropbox

这篇东西写出来完全是充数用的,唯一算是干货的两条命令在Drobpox 官方网站上就有,所以如果你跟着连接去看一下,以下文章其实可以不用看。

这件事起因是我很久很久以前和另外4个人一起买了Omnifocus Family Package,虽然我们没有任何血缘或者一般性关系。由于没有什么特殊关系直接导致了某一天OmniGroup 发了封信告诉我们License 超过5个人在用,你们这个Family 太大了。作为一个和其他购买者并没有血缘或者一般性关系的个体我最后还是去单独买了一份个人的License 高高兴兴的用起了Omnifocus 这个据很多人说是GTD 神器的软件。

GTD 这个东西有一本(很多本)书专门教你怎么实施,但是我一本都没有看过。Omnifocus 在我手里一直是作为一个Todo 类软件使用的,不管你是不是按照GTD 的方式来干,在List 上打钩这件事情其实才是这类软件真正吸引人的地方吧我想。某一天我换了台电脑后就忘记安装Omnifocus 这玩意了,在没有这东西的辅助下我的生活和工作一如既往的有效率或者拖拉没有任何改变。于是这个花了我100多刀的软件(family 的钱,personal 的钱,iOS 的钱)很长时间没有出现在我的电脑或者手机上了。

就在昨天我觉得把这个花了我老多刀的软件重新安装一下拿来用用,因为最近老板给我的事蛮多的,如果不列个List 拿出来勾掉的话在项目结束前没有任何成就感的加成我怕我会把甲方那群人得罪光。Omnifocus 装完以后就像所有已经赚过我钱的软件一样马上提示有Omnifocus 2 更新,据说新版本会给我更加舒爽的体验虽然我只是想自己列一个List 然后打勾而已。Omnigroup 那帮人告诉我因为我花了老多刀买了前一代,所以可以用很便宜的20 刀买第二版,作为一个不更新会死星人毫不犹豫的又掏了20 刀更新到了第二版打勾勾。

我知道以上几段看起来和标题完全没有任何关系,其实也确实没有关系,但是我觉得如果不写上面这些的话这篇Blog 实在太短了,Blog 太短是没有人会来看的,不过Blog 如果写长了来看的人会更少,其实Blog 现在已经没有人看了,所以写这么多的事实是今天我比较有空。

Omnifocus 的Mac 和iOS 版是通过Omnigroup 提供的服务器来同步的,作为一个受迫害妄想症轻度患者觉得这样把提升快感的List 放在别人那里管着实在很不安全,万一我想打勾勾提升快感的时候忽然服务器坏了怎么办呢,所以在第一代的时候我就自己建了一个webdav 给Omnigroup 系列的软件用于同步数据用。作为数据只在一个点存在就莫名睡不着觉星人来说不给服务器上的内容提供另一个后备点实在是非常之不爽,于是我就想到了万能的Dropbox。

Dropbox 不知道从什么时候起官方提供了Linux 支持,并且可以不用安装Gui 客户端,只需要安装Cli 的就能工作正常:

如果你是32位Linux:

$ cd ~ && wget -O - "https://www.dropbox.com/download?plat=lnx.x86" | tar xzf -

如果你是64位Linux:

$ cd ~ && wget -O - "https://www.dropbox.com/download?plat=lnx.x86_64" | tar xzf -

安装完毕以后运行:”~/.dropbox-dist/dropboxd”,会给你一个Url,把它复制到你的浏览器上通过Dropbox 授权,你的Linux 版本Dropbox 就安装完毕了。

记得下载一个Python 脚本:dropbox.py,把它随便扔在服务器哪一个bin 目录下面给它运行权限方便使用。

还记得我在服务器上安装Dropbox 只是想同步一下webdav 目录里的内容对吧,并不是想把所有的Dropbox 里的数据都搞到服务器上去浪费空间,所以建议和我一样想法的伙计们可以用这条命令“dropbox.py exclude add <目录> <目录>”把不需要同步的目录排除出去,实际上我只留了一个叫做webdav 的目录在服务器上同步。最后把这个Dropbox 下的webdav 目录用于你的Webdav 存储目录就行了。

另:做这件事情的时候忽然想起来不如把网站所有需要备份的目录都通过“ln -s”在Dropbox 目录下作了软连接,Dropbox 乖乖的把这些玩意都做备份去了。

Installing TL-WDN5200 Drivers in Rasperry Pi Debian

搞定在Raspberry Pi 2上使用TP-Link 的TL-WDN5200 无线网卡,以下内容全部是命令行su 下实现,如果你使用Gui 界面可以忽略最后配置连接的部分。

安装Linux-header

wget http://www.niksula.hut.fi/~mhiienka/Rpi/linux-headers-rpi/linux-headers-3.18.9-v7%2b_3.18.9-v7%2b-2_armhf.deb

or

wget http://www.niksula.hut.fi/~mhiienka/Rpi/linux-headers-rpi/linux-headers-`uname -r_uname -r-2_armhf.deb sudo dpkg -i linux-headers-uname -r_uname -r`-2_armhf.deb

dpkg -i linux-headers-3.18.9-v7+_3.18.9-v7+-2_armhf.deb

apt-get install -f

下载驱动源代码,编译安装

git clone https://github.com/chenhaiq/mt7610u_wifi_sta_v3002_dpo_20130916.git

cd mt7610u_wifi_sta_v3002_dpo_20130916

make

make install

mkdir /etc/Wireless/RT2870STA

cp RT2870STA.dat  /etc/Wireless/RT2870STA/RT2870STA.dat

reboot

安装wpa支持套件

aptitude install wpasupplicant

搜索Wifi SSID,获取SSID 名字和加密方式

iwlist scan

生成WPA 用的PSK

wpa_passphrase SSID "WifiPassword"

network={
	ssid="SSID"
	#psk="WifiPassword"
	psk=a7ab17a799f1d0837b29c8776d7164f323e5537af62cad05bd023ce021840bea
}

编辑网络配置

vim /etc/network/interfaces
auto ra0
iface ra0 inet dhcp
        wpa-ssid SSID
        wpa-psk a7ab17a799f1d0837b29c8776d7164f323e5537af62cad05bd023ce021840bea

启动无线网卡

ifup ra0