请教下：手机可无缝翻墙，但PC却不行

[GoogleCodeExporter]

1. 我在家里配了一台，利用 ADSL，手机及PC皆能完美翻墙。

2. 
在办公室的一台，一直以来也可完美翻墙，但近几天突然出��
�：手机可无缝翻墙，但PC却不行。

请教下，什么问题呢?

Original issue reported on code.google.com by e...@uceng.com on 14 Jul 2014 at 2:15

[GoogleCodeExporter]

请检查下pc的dns是否指向了路由器

Original comment by autovpn2014 on 14 Jul 2014 at 2:37

• Changed state: Accepted

[GoogleCodeExporter]

之前的汇报有误，真实情况如下：

1. 我的dns之前都是留空状态，未作任何设置，翻墙正常。
2. 我将dns指向路由器IP：192.168.100.1后，依然无法翻墙。
3. 
我再次检查了家里和办公室的网络，发现两边的PC及手机都无
法翻墙。

此情况为突然出现。请问如何检查故障原因。
谢谢。

Original comment by e...@uceng.com on 14 Jul 2014 at 6:21

[GoogleCodeExporter]

我按照你的指引：https://code.google.com/p/autovpn-for-openwrt/wiki/Dnsma
sq_Patched 之"6.验证排错"部分仔细检查多遍。

1. 
目前，新配的路由器使用你的该程序脚本后，翻墙效果一般��
�持在10分钟到8小时之间。之后就无法翻了。
2. 
之前的路由器经用你的此项目后，完美运行了几个月了。我��
�有对路由器做任何配置更改，突然间就无法翻墙了。
3. 基于以上原因怀疑，是不是GFW采用了新的封堵方式呢？

4. 使用 "nslookup google.com 127.0.0.1"  "nslookup facebook.com 127.0.0.1" 
后，第一次执行会返回正确结果，但过几分钟后，结果就立��
�被污染了。

你的这个方案是所有翻墙方案中最优雅及最简洁的，使用起��
�非常爽。但目前似乎有了新问题。期待检测及改进。

我在深圳。家里使用100M电信光纤，Office使用移动光纤。

Original comment by e...@uceng.com on 14 Jul 2014 at 9:03

[GoogleCodeExporter]

[deleted comment]

[GoogleCodeExporter]

请贴一下下面命令的输出：

ps w|grep dnsmasq

ls /etc/autovpn/

ifconfig

ip route

Original comment by autovpn2014 on 15 Jul 2014 at 1:38

[GoogleCodeExporter]

1. root@OpenWrt:~# ps w|grep dnsmasq
 4045 root      1220 S    /usr/sbin/dnsmasq --conf-dir /etc/autovpn -C /var/etc/dnsmasq.conf
 9645 root      1356 S    grep dnsmasq

2. root@OpenWrt:~# ls /etc/autovpn/
vpn.conf

3. root@OpenWrt:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr A8:15:4D:FE:67:F9
          inet addr:192.168.100.1  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::aa15:4dff:fefe:67f9/64 Scope:Link
          inet6 addr: fdfe:f584:4438::1/60 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:456090 errors:0 dropped:0 overruns:0 frame:0
          TX packets:456759 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:46517485 (44.3 MiB)  TX bytes:351682342 (335.3 MiB)

eth0      Link encap:Ethernet  HWaddr A8:15:4D:FE:67:F9
          inet6 addr: fe80::aa15:4dff:fefe:67f9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:507447 errors:0 dropped:15 overruns:0 frame:0
          TX packets:504811 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:361786871 (345.0 MiB)  TX bytes:62235160 (59.3 MiB)
          Interrupt:4

eth0.1    Link encap:Ethernet  HWaddr A8:15:4D:FE:67:F9
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2421 errors:0 dropped:1 overruns:0 frame:0
          TX packets:7447 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:335870 (327.9 KiB)  TX bytes:1352300 (1.2 MiB)

eth0.2    Link encap:Ethernet  HWaddr A8:15:4D:FE:67:F9
          inet6 addr: fe80::aa15:4dff:fefe:67f9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:504950 errors:0 dropped:0 overruns:0 frame:0
          TX packets:497337 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:352310236 (335.9 MiB)  TX bytes:58861564 (56.1 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:747 errors:0 dropped:0 overruns:0 frame:0
          TX packets:747 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:53827 (52.5 KiB)  TX bytes:53827 (52.5 KiB)

pppoe-wan Link encap:Point-to-Point Protocol
          inet addr:116.30.202.218  P-t-P:116.30.200.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:467966 errors:0 dropped:0 overruns:0 frame:0
          TX packets:460409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:346842546 (330.7 MiB)  TX bytes:47624397 (45.4 MiB)

wlan0     Link encap:Ethernet  HWaddr A8:15:4D:FE:67:FA
          inet6 addr: fe80::aa15:4dff:fefe:67fa/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13429 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18549 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1799387 (1.7 MiB)  TX bytes:7972978 (7.6 MiB)

wlan1     Link encap:Ethernet  HWaddr A8:15:4D:FE:67:FB
          inet6 addr: fe80::aa15:4dff:fefe:67fb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:440209 errors:0 dropped:0 overruns:0 frame:0
          TX packets:450785 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:50733246 (48.3 MiB)  TX bytes:354450779 (338.0 MiB)

4. root@OpenWrt:~# ip route
default via 116.30.200.1 dev pppoe-wan  proto static
116.30.200.1 dev pppoe-wan  proto kernel  scope link  src 116.30.202.218
192.168.100.0/24 dev br-lan  proto kernel  scope link  src 192.168.100.1

Original comment by e...@uceng.com on 15 Jul 2014 at 7:00

[GoogleCodeExporter]

没有看到你的vpn接口，请检查一下你的 pvpn 
连接是否正常，ssh服务器是否正常，可以通过以下命令测试
ssh root@<you ssh server >

Original comment by autovpn2014 on 15 Jul 2014 at 7:24

[GoogleCodeExporter]

[deleted comment]

[GoogleCodeExporter]

提示输入密码，默认是不是使用id_isa.pub连接，也就是说正常�
��况下应该无须输入密码就能直接连接上，对么？

Original comment by e...@uceng.com on 15 Jul 2014 at 7:37

[GoogleCodeExporter]

是的，如果做好了公钥验证是无需输入密码的，pvpn必需使用�
��钥验证

Original comment by autovpn2014 on 15 Jul 2014 at 7:45

[GoogleCodeExporter]

如果在路由器192.168.100.1本地输入执行 ssh@119.9.77.209 
应该无需输入密码利用公钥即可登陆的话，那么我这边的问��
�可能就在此处了。

我严格按照以下指引配置的：
. /etc/autovpn.conf
mkdir /root/.ssh
dropbearkey -t rsa -s 1024 -f $SSH_KEY|grep -v "Public key portion 
is:\|Fingerprint" >$SSH_KEY_PUB
cat /root/.ssh/id_rsa.pub |ssh -p $SSH_PORT root@$SSH_SERVER "mkdir ~/.ssh;cat 
>>~/.ssh/authorized_keys"

且是在完全干净新刷的路由器上配置的。

Original comment by e...@uceng.com on 15 Jul 2014 at 8:53

[GoogleCodeExporter]

这样配置之后不行吗？
不行的话把下面结果贴一下
cat /etc/autovpn.conf
cat /root/.ssh/id_rsa.pub

Original comment by autovpn2014 on 15 Jul 2014 at 9:21

[GoogleCodeExporter]

1. root@OpenWrt:~# cat /etc/autovpn.conf
SSH_SERVER=119.9.77.209
SSH_PORT=22
SSH_KEY=/root/.ssh/id_rsa
SSH_KEY_PUB=/root/.ssh/id_rsa.pub
DEV=`ifconfig |grep -e "tun[0-9]\|pvpn"|cut -d" " -f 1`
ROUTES=/tmp/routes.txt

2.  cat /root/.ssh/id_rsa.pub
ssh-rsa 
AAAAB3NzaC1yc2EAAAADAQABAAAAgQCZJ0rOv/bmnJbe58+nJfScNDJQ+aViX+3IZffTkwIx5sPWcJcj
VpZEm5y7ijV8/sPc3GAPtQowNHDwOX8laxn0khaEqdx5oH93mLeidfX+sGgLfLvWJDKdh7e2eDRBt2Hy
m/SQlphYNbiYyrDjOOLp6tBjckVHF1yh9GL60zjf3Q== root@OpenWrt

Original comment by e...@uceng.com on 15 Jul 2014 at 9:26

[GoogleCodeExporter]

1. root@OpenWrt:~# cat /etc/autovpn.conf
SSH_SERVER=119.9.77.209
SSH_PORT=22
SSH_KEY=/root/.ssh/id_rsa
SSH_KEY_PUB=/root/.ssh/id_rsa.pub
DEV=`ifconfig |grep -e "tun[0-9]\|pvpn"|cut -d" " -f 1`
ROUTES=/tmp/routes.txt

2.  cat /root/.ssh/id_rsa.pub
ssh-rsa 
AAAAB3NzaC1yc2EAAAADAQABAAAAgQCZJ0rOv/bmnJbe58+nJfScNDJQ+aViX+3IZffTkwIx5sPWcJcj
VpZEm5y7ijV8/sPc3GAPtQowNHDwOX8laxn0khaEqdx5oH93mLeidfX+sGgLfLvWJDKdh7e2eDRBt2Hy
m/SQlphYNbiYyrDjOOLp6tBjckVHF1yh9GL60zjf3Q== root@OpenWrt

Original comment by e...@uceng.com on 15 Jul 2014 at 9:27

[GoogleCodeExporter]

***指引文件***
. /etc/autovpn.conf
mkdir /root/.ssh
dropbearkey -t rsa -s 1024 -f $SSH_KEY|grep -v "Public key portion 
is:\|Fingerprint" >$SSH_KEY_PUB
cat /root/.ssh/id_rsa.pub |ssh -p $SSH_PORT root@$SSH_SERVER "mkdir ~/.ssh;cat 
>>~/.ssh/authorized_keys"

我完全按照以上指引配置，但每次使用 ssh@119.9.77.209 
时都还是要求输入密码，而不能自动登陆。

Original comment by e...@uceng.com on 15 Jul 2014 at 9:29

[GoogleCodeExporter]

在你的服务器上执行
chmod 600 ~/.ssh/authorized_keys

然后确保服务器/etc/ssh/sshd_config文件里有以下行
PubkeyAuthentication yes

Original comment by autovpn2014 on 15 Jul 2014 at 9:33

[GoogleCodeExporter]

1. 服务器上已执行 chmod 600 ~/.ssh/authorized_keys
2. 服务器上 /etc/ssh/sshd_config文件里有以下行 PubkeyAuthentication 
yes

无法 ssh@119.9.77.209 自动登陆。呵呵。

你的这个工程是目前为止最为优雅和最为简洁的 Anti-GFW 
项目，很难想象没有这个项目的帮助，我的工作将多么不便��
�

因为自己从事互联网方面的工作，在这个项目的帮助下，我��
�我的同事都受益良多。不过我是产品经理，不是职业程序员�
��

我整整两天在反复调试；我不是伸手党，呵呵。但始终没有��
�目前这个故障消除。

Original comment by e...@uceng.com on 15 Jul 2014 at 9:46

[GoogleCodeExporter]

在你的帮助下，目前问题应该已经定位到：ssh@119.9.77.209 
不能实现自动握手，而仍然需要密码。

我准备晚上彻夜再战。

因为我的整个团队都依赖你的这个工程项目无缝翻墙。之前��
�用 
autoddvpn，但需要不间断维护ip表。使用拨号pptp方式的话，国��
�的部分网站资源要么打不开，要么很慢。

Original comment by e...@uceng.com on 15 Jul 2014 at 9:51

[GoogleCodeExporter]

很荣幸能在工作给你们带来便利。

还可能的问题：
1. openwrt下 /root/.ssh/id_rsa 文件要只允许root 
用户访用所以建议在服务器和openwrt下再进行以下操作
chown -R root:root /root/.ssh/
chmod -R 600 /root/.ssh/

2.建议在openwrt 下执行 ssh -vvvv root@<ssh server> 
，可以有详细连接过程信息输出。
服务器端sshd_config里 把LogLevel 改为DEBUG ，然后tail -f 
/var/log/auth.log，此时在openwrt 
上进行ssh连接，服务器上就会有服务器端的debug日志，通过日
志更好确定问题。

Original comment by autovpn2014 on 15 Jul 2014 at 10:24

[GoogleCodeExporter]

求援。
1. 
我昨夜通宵再战，尝试使用了各种方法，还是未解决故障。
2. 今日下午两点，再战，还是无法成功。

可否请你帮手诊断一下原因。感谢！我们整个团队都完全习��
�了你的这个工程所带来的巨大便利，对之前的各种VPN方案(aut
oddvpn, tomato+autoddvpn, smarthosts, 拨号vpn, 
gae,etc.)都已经觉得无法忍受。所谓吃了最好的美味，再吃任��
�其它东西都形同嚼蜡。

可否控制我的计算机帮我查看一下故障原因。
远程连接控制我的计算机：
https://secure.logmein.com/g?f_00_szyx0k3vkszqk2zz1353fb85y8co714nqzjkj
(建议ie连接)

如可，我下面列出我的环境配置：

openwrt:
192.168.1.1 
username:root 
password:temptemp

ssh-server:
119.9.77.209
username:root 
password:temptemp

感谢。

# Putty 在计算机 taskbar 处。
# 若需vpn, 计算机右下角可点击连接。

Original comment by e...@uceng.com on 16 Jul 2014 at 8:49

[GoogleCodeExporter]

[deleted comment]

[GoogleCodeExporter]

您如果信得过我，我需要连接到你的路由器和ssh服务器，如��
�方便可以把这些信息发到autovpn2014@gmail.com

Original comment by autovpn2014 on 16 Jul 2014 at 9:26

[GoogleCodeExporter]

[deleted comment]

[GoogleCodeExporter]

那请把 ssh server 和路由器用户密码信息发到我的邮箱吧

Original comment by autovpn2014 on 16 Jul 2014 at 9:30

[GoogleCodeExporter]

Of Course, I trust you.

Original comment by e...@uceng.com on 16 Jul 2014 at 9:31

[GoogleCodeExporter]

可否列出如何排除此故障。

Original comment by e...@uceng.com on 16 Jul 2014 at 10:31

[GoogleCodeExporter]

另，我这边路由器仍然无法自动翻墙。是否可在你的文档列��
�故障解决办法。

Original comment by e...@uceng.com on 16 Jul 2014 at 10:39

[GoogleCodeExporter]

你的服务器端没有安装 ppp 包，然后.ssh文件权限有点问题

Original comment by autovpn2014 on 16 Jul 2014 at 10:48

[GoogleCodeExporter]

重启一下路由器，pc手机的 dns 
可以使用自动获取或者手动指定到路由器的ip，然后清一下dns
缓存 运行里执行:ipconfig /flushdns 
;手机端后台的app进程杀一下，WIFI网络断开一下重新连接。

Original comment by autovpn2014 on 16 Jul 2014 at 10:52

[GoogleCodeExporter]

我在按你的指引重刷openwrt，并新配auvpn-for-openwrt自动翻墙。

1. 你的服务器端没有安装 ppp 包
   解决：我按你的要求在服务端安装了 ppp 包.

2. 然后.ssh文件权限有点问题
   解决：这样么？ openwrt端需要么？

   在服务器和openwrt下再进行以下操作
   chown -R root:root /root/.ssh/
   chmod -R 600 /root/.ssh/

   执行以上2条后，可正常翻墙么?

之前的路由器，按照"重启一下路由器，pc手机的 dns 
可以使用自动获取或者手动指定到路由器的ip，然后清一下dns
缓存 运行里执行:ipconfig /flushdns 
;手机端后台的app进程杀一下，WIFI网络断开一下重新连接。"��
�无法翻墙。

感谢。

Original comment by e...@uceng.com on 16 Jul 2014 at 11:42

[GoogleCodeExporter]

.ssh权限(包括openwrt 
和服务器)之前写的有点问题，正确的是这样的
chmod 700 /root/.ssh/
chmod 600 /root/.ssh/*

如果还不能翻墙，按快速部署的步骤检查下 openwrt 
的防火墙配置，服务器端的snat配置

Original comment by autovpn2014 on 16 Jul 2014 at 11:50

[GoogleCodeExporter]

我重新配置了很多次，每次都使用干净RESET后的新刷的openwrt��
�但之前的故障依旧。
我已安装 ppp in ssh-server
我已设置 .ssh权限  in openwrt & ssh-server
我已检查 openwrt 的防火墙配置
我已检查 服务器端的snat配置

Help.

Original comment by e...@uceng.com on 16 Jul 2014 at 1:49

[GoogleCodeExporter]

1. 重启openwrt防火墙时，提示无法定位 
ipset，我安装ipset成功。再重启，无错误。
2. 
若有可能，可否看下我桌面的文档，严格按照你的项目及指��
�记录。应该无错。

Original comment by e...@uceng.com on 16 Jul 2014 at 1:54

[GoogleCodeExporter]

我现在在配公司的路由器，所有步骤都跟你的官方文档。但��
�行以下语句时，出错：

root@SG:~# iptables -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
iptables: No chain/target/match by that name.

Original comment by e...@uceng.com on 17 Jul 2014 at 2:20

[GoogleCodeExporter]

这台ssh-server在digitalocian新加坡机房。
因为语句出错我只能使用： sudo iptables -t nat -A POSTROUTING -s 
10.0.0.0/8 -o eth0 -j MASQUERADE
(在此台机器上，eth0是对的，因为只有eth0和lo)

我执行检查时，以下为结果：
root@SG:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.5.0/24       anywhere
MASQUERADE  all  --  10.0.0.0/8           anywhere
MASQUERADE  all  --  10.0.0.0/8           anywhere

Original comment by e...@uceng.com on 17 Jul 2014 at 2:23

[GoogleCodeExporter]

在ssh-server服务端，是ubuntu, 我完整执行了以下步骤：

$ sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE 
$ sudo iptables-save > /etc/iptables-rules

$ nano /etc/network/interfaces
  pre-up iptables-restore < /etc/iptables-rules             # 最末添加此行

$ sudo apt-get install ppp

$ chmod 700 /root/.ssh/
$ chmod 600 /root/.ssh/*

$ echo "net.ipv4.ip_forward=1" >>/etc/sysctl.conf
$ sysctl -p

在openwrt客户端我完整按照你的文档配置。除了以上错误外，
ssh@我的服务器ip
似乎仍然无法成功登录。尚需输入密码。
且无法翻墙。呵呵。

Original comment by e...@uceng.com on 17 Jul 2014 at 2:29

[GoogleCodeExporter]

MASQUERADE  all  --  192.168.5.0/24       anywhere 
这一行是我配的pptp vpn.

Original comment by e...@uceng.com on 17 Jul 2014 at 2:30

[GoogleCodeExporter]

真的是太奇怪了。哈哈。

Original comment by e...@uceng.com on 17 Jul 2014 at 2:32

[GoogleCodeExporter]

ssh 登陆测试使用下面命令
ssh -i /root/.ssh/id_rsa root@ssh-server

我文档里iptables 语句有错我去改正。

服务器端配置应该没问题，重启下openwrt路由器试试

Original comment by autovpn2014 on 17 Jul 2014 at 2:41

[GoogleCodeExporter]

root@OpenWrt:~# ssh -i /root/.ssh/id_rsa root@ssh-server
ssh: Couldn't set SO_PRIORITY (Bad file descriptor)
ssh: Exited: Error resolving 'ssh-server' port '22'. Name or service not known

Original comment by e...@uceng.com on 17 Jul 2014 at 2:44

[GoogleCodeExporter]

我写错了。

Original comment by e...@uceng.com on 17 Jul 2014 at 2:45

[GoogleCodeExporter]

root@OpenWrt:~# ssh -i /root/.ssh/id_rsa root@128.199.144.31
Linux SG 2.6.32-41-server #94-Ubuntu SMP Fri Jul 6 18:15:07 UTC 2012 x86_64 
GNU/Linux
Ubuntu 10.04.4 LTS

Welcome to the Ubuntu Server!
 * Documentation:  http://www.ubuntu.com/server/doc
Last login: Thu Jul 17 14:37:22 2014 from 120.197.114.42

Original comment by e...@uceng.com on 17 Jul 2014 at 2:46

[GoogleCodeExporter]

那说明ssh密钥验证没问题了，如果还没有翻墙要杀掉 openwrt 
上的所有ssh进程，然后执行autopvpn.sh，操作有些多，不如直接
重启路由器。路由器重启过后应该会自动在1-2分钟键立vpn，��
�过ifconfig 
可以看到pvpnx的接口说明vpn正常了。这时在路由器上ping 
8.8.8.8 
如果可以通，不能翻墙请检查openwrt的firewall.user，如果不能通
请检查服务器上的iptables配置，现在可以按照文档里的命令去
服务器执行了。执行前先清空再在的防火墙规则

Original comment by autovpn2014 on 17 Jul 2014 at 2:52

[GoogleCodeExporter]

哈哈。问题出在本地防火墙语句上。
我使用你原来的语句来回了好多遍，始终不能翻墙。又不好��
�思老打扰你，最终折腾了3小时，实在忍不住给你反馈了一下
。

没想到使用了你更正后的语句，一翻成功。

看着自己打开Google, Youtube, Twitter 的流畅体验，太高兴了。

呵呵。

万分感谢。

Original comment by e...@uceng.com on 17 Jul 2014 at 2:58

[GoogleCodeExporter]

Welcome to the Real World

Original comment by autovpn2014 on 17 Jul 2014 at 3:06