push "redirect-gateway def1"

去掉。

连接成功之后，相当于win 2003有了两块网卡，只要在win 2003的“路由和远程访问里”设置一些静态路由就可以了。至于添加哪些IP，我是这样做的，ping 一下常用网站的IP（比如上面的twitter啊，youtube之类，把C段或者B段都加作走VPN），如下图所示：

现在好了，通过vpn连到这台win 2003就可以被封锁的走vpn，而不封锁的直接走本地连接啦~吼吼。还有一点需要注意，网关的IP是你机器分到的IP的上一个IP，我机器分到的IP是10.8.253.6，网关IP是10.8.253.5，这个要是加错了，就不成鸟。。。其实win xp也是可以设置的，只不过要用命令行。

纪念Google.com被强，敏感词敏感词敏感词敏感词！！！

© 2010, kangzj. 版权所有.

© kangzj for Kangzj, 2010. | http://kangzj.net/win2003-pptp-openvpn-route/ | 30 条评论 | Add to del.icio.us
Post tags: google, OpenVPN, twitter, vpn, Windows 2003, youtube, 路由

1. 在OpenVPN配置文件中增加

OpenVPN在连接成功之后会自动增加一些路由，把默认网关改成VPN的，使所有流量都从VPN走。OpenVPN提供了在配置文件中添加路由的功能，我们可以增加一些本地路由，使本地流量不走VPN，既节省了流量（如果限流量的话），又提高了上网的速度。

打开sample.ovpn配置文件，在文件末尾添加即可，如果添加的路由数目超过100条，则要加一句 max-routes ，如下所示：

max-routes 1000
route 58.17.0.0 255.255.0.0 net_gateway
route 58.18.0.0 255.254.0.0 net_gateway
route 58.20.0.0 255.255.0.0 net_gateway
route 58.24.0.0 255.254.0.0 net_gateway
route 58.30.12.136 255.255.255.255 net_gateway
route 58.32.232.0 255.255.252.0 net_gateway
route 58.53.208.0 255.255.240.0 net_gateway
route 58.59.1.15 255.255.255.255 net_gateway
route 58.59.1.16 255.255.255.254 net_gateway
route 58.59.128.0 255.255.128.0 net_gateway
route 58.60.8.0 255.255.248.0 net_gateway
route 58.60.112.239 255.255.255.255 net_gateway
route 58.61.32.0 255.255.254.0 net_gateway
route 58.61.34.0 255.255.255.0 net_gateway
………………

这样，OpenVPN连接成功之后就会添加这些路由，达到本地地址走本地接口的目的。

附：教育网freeip.txt 中国IP地址分配列表

2. 利用route add命令添加

route add是dos命令，用以添加路由的，只要我们执行下就OK了，命令格式如下：

route add 110.6.0.0 mask 255.254.0.0 %gw% metric 5
route add 110.16.0.0 mask 255.252.0.0 %gw% metric 5
route add 110.40.0.0 mask 255.252.0.0 %gw% metric 5
route add 110.48.0.0 mask 255.255.0.0 %gw% metric 5
route add 110.51.0.0 mask 255.255.0.0 %gw% metric 5
route add 110.52.0.0 mask 255.254.0.0 %gw% metric 5
route add 110.56.0.0 mask 255.248.0.0 %gw% metric 5
route add 110.64.0.0 mask 255.254.0.0 %gw% metric 5
route add 110.72.0.0 mask 255.254.0.0 %gw% metric 5

………………………

这种方法对其它各类的VPN应该是通用的。

附：国内IP地址路由

3. 第三种方式chnroutes

在OpenVPN中调用.bat批处理文件来添加路由，我实验的不太成功，有兴趣的可以参照：http://code.google.com/p/chnroutes 。

© 2010, kangzj. 版权所有.

© kangzj for Kangzj, 2010. | http://kangzj.net/how-to-add-local-route-for-openvpn/ | 15 条评论 | Add to del.icio.us
Post tags: OpenVPN, route, vpn, 本地路由, 路由

SSH方式：

通过SSH连接，在本地与远程服务器之间建立一个加密的管道（Tunnel），SSH客户端监听本地端口，形成SOCKET5代理。由于IE对SOCKET5代理不好，大家一般都是用FireFox。直接将FireFox设置Socket5代理就是可以正常使用的。但是这样，上国内网站也会绕道国外，影响速度。好在FireFox有大量优秀的插件，FoxyProxy和AutoProxy是很常用的通过URL筛选决定是否通过代理访问网站的插件，后者用的尤其多。

VPN方式：

VPN其实也是在本地与远程服务器之间建立了一个加密的通道，但是，与SSH不同的是，VPN客户端会虚拟一个网卡出来（这个虚拟的网卡连接的就是刚才说的那个加密通道），然后修改路由，使流量从加密通道走，达到凸墙的目的。当然，VPN也存在跟SSH相同的问题，如果访问国内网站，会绕道国外，速度很慢。聪明的人们又想出了办法：连接了VPN的电脑相当于有两块网卡，只要让国内流量从真实网卡走而国际流量从虚拟网卡走，这个问题就解决了。实际的操作就是手工加入国内IP的路由，让这部分流量直接走本地连接来搞定。

在解决绕道的问题上，大家可以看出SSH方式和VPN方式的不同了，SSH方式可以在URL的级别上筛选网址走加密通道，而VPN方式只能筛选IP。

举个例子，假设xxx是某强屏蔽的关键字，SSH代理+AutoProxy可以做到使http://www.abc.com/xxx走代理，而http://www.abc.com/yyy不走代理，这是VPN方式力所不及的。当然，VPN方式也有它得天独厚的好处，就是不用对应用软件进行任何设置即可使用，这对一些根本没法设置代理的应用软件是莫大的福音，这也是SSH方式力所不及的。

最后介绍几个SSH和VPN项目：

SSH帐号(支持IPv6) – http://sshchina.com

VPN (PPTP/L2TP/OpenVPN)帐号 – http://vpnchina.net

教育网IPv6 OpenVPN帐号 – http://eduVPN.com

PPTP VPN： http://pptp.us

yegle的OpenVPN：http://yegle.net/openvpn/

pptp/l2tp vpn: http://www.vpn38.net

© 2010, kangzj. 版权所有.

© kangzj for Kangzj, 2010. | http://kangzj.net/difference-between-s-s-h-v-p-n/ | 113 条评论 | Add to del.icio.us
Post tags: OpenVPN, ssh, vpn, 凸墙

检测是否开启了tun：

lsmod | grep tun

modprobe tun

1个1个输完后，如果提示kernel出错，就代表没有开启，或者压根就没有编译进去。

——zhihao daigou.in

或者：

SSH登陆VPS，我的系统是32的CentOS 5.4。
OpenVPN需要TUN支持，大多数VPS默认都没有开启，你可以用这个命令检测：cat /dev/net/tun
如果返回信息为：cat: /dev/net/tun: File descriptor in bad state 说明正常，否则发个ticket给VPS公司让他们帮忙开吧。
另外如果你需要连上OpenVPN后能访问互联网，还需要iptables_nat模块支持，用这个命令检测：iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
如果返回信息为：iptables: Unknown error 4294967295 说明正常，否则同样需要发个ticket让VPS公司帮忙开通。

——Black-Xstar

服务器编译安装配置及客户端配置与一般VPN相同，不再赘述，CentOS用户可以看这篇文章：

《CentOS5下安装OpenVPN》：http://www.my-china.org.cn/Linux/226/

这里仅说明不同的地方，第三部分OpenVPN访问外网的设置请按以下操作：

打开转发：

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/sysctl -w net.ipv4.ip_forward=1

配置iptables转发规则（注意加黑的部分，加在rc.local里，保证重启之后还有效）：

/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

UPDATE（by 猫大）：再需要注意的是，虽然openvpn服务监听的是*:1194，但是如果设置的UDP方式，则只能用你的主IP来连接，其它IP连接不上。

注：本文方法在BurstNET VPS中测试成功。

© 2009, kangzj. 版权所有.

© kangzj for Kangzj, 2009. | http://kangzj.net/setup-openvpn-on-openvz-vps/ | 68 条评论 | Add to del.icio.us
Post tags: BurstNET, centos, iptables, OpenVPN, OpenVZ, vpn, vps

    用VPN+NAT再结合路由可以实现很方便的代理功能，适用于有一台能方便连接Internet的电脑，其他不在同一子网内的电脑能够连接到这台机器但不能完全访问Internet。比如好些学校的校园网，访问国外资源需要付流量费，此时可以找一台能够“出国”的服务器并采用此方案。

  Windows 2003作为代理服务器时的配置方法如下：
    1.关闭防火墙，用“管理工具”中的“服务”将“Windows Firewall/Internet Connection Sharing (ICS)”设置为“禁止”状态，否则没法启用路由和远程访问。
    2.打开“管理工具”中的“路由和远程访问”配置界面，选中“路由和远程访问”节点下的“XX(本地)”(如果没有，则需要用“添加服务器”创建一个)，用“操作”菜单下的“配置并启动路由和远程访问”，打开安装向导。
通常情况下只有一块网卡(否则就不需要VPN了)，选择“自定义配置”并继续，选中“VPN访问”和”NAT和基本防火墙”并继续，完成安装向导。
    3.会弹出对话框说已经完成安装，询问是否启动服务，选择“是”。
    4.可选步骤：选中“XX(本地)”，点右键打开“属性”对话框，在“IP”标签下的“IP地址指派”中选中“静态地址池”，并添加用于VPN连接的私有地址范围，比如10.1.0.1-32。
    5.打开“管理工具”中的“计算机管理”，选中“系统工具”->“本地用户和”->“用户”，双击允许进行VPN连接的用户，在用户属性的对话框中选择“拨入”标签，选中“远程访问权限（拨入或 VPN）”下的允许访问。
    6.此时VPN功能已经配置好了，后面将讲述如何建立VPN连接。
    选中“XX(本地)”->“IP路由选择”->“NAT/基本防火墙”，点击右键并“新增接口”，选择用来连接外部网络的接口，通常是“本地连接”，在弹出的对话框中选择“公共接口连接到Internet”，并选上“在此接口上启用NAT”，确定。（千万不要把本地再加上接口，否则上不了，原理我不太清楚，达人指教！）
    此时已经完成了NAT的配置。

    客户端的配置，以Windows XP为例：

    1.创建VPN连接：在“网上邻居”的“属性”界面，打开“新建连接向导”，选择“连接到我的工作场所的网络”，再选择“虚拟专用网络连接”(既VPN)，随便输入一个名字作为公司名(比如VPN，它是作为VPN连接的名字)，如果之前有其它的拨号连接根据情况选择是否自动拨入，输入上面配置了VPN服务的服务器地址，完成向导。
    2.双击刚创建的VPN连接，在连接对话框中输入刚才配置的有拨入权限的用户名和密码，并连接。可能某些协议在VPN上不支持，会弹出警告对话框，“接受”即可。
    到此为止，已经可以用Windows 2003作为代理来上网了，赶紧打开浏览器畅游Internet吧:-)

© 2008 – 2009, kangzj. 版权所有.

© kangzj for Kangzj, 2008. | http://kangzj.net/windows-2003-vpn-nat/ | 4 条评论 | Add to del.icio.us
Post tags: 2003, nat, vpn, windows