海运的博客

Openwrt下转守护进程runit使用

发布时间:February 11, 2015 // 分类:OpenWrt // No Comments

类似于s6,不过runit在openwrt busybox中自带,需编译openwrt固件时选择。
runsvdir用以扫描指定目录子目录下run脚本并使用runsv启动为守护进程:

runsvdir -P /etc/config/service/

一个openconnect启动脚本示例,注意启动的程序一定要以非守护进程启动且以exec命令执行:

cat /etc/config/service/openconnect/run 
exec 2>&1
exec openconnect -c user-cert.pem -k user-key.pem -s /etc/config/vpnc --no-cert-check www.haiyun.me

如果run目录存在finish脚本,run执行的程序退出后runsv会执行finish并传递程序退出code给finish参数1,然后再重新执行run启动程序,我们可以使用finish判断当网络不通时程序退出状态,避免程序持续启动退出导致死循环:

#!/bin/sh
if [ $1 -eq 255 ]
then
  sleep 5
else
  exit
fi

控制启动的程序,更多见http://smarden.org/runit/sv.8.html

sv status /etc/config/service/openconnect/
sv stop /etc/config/service/openconnect/
sv start /etc/config/service/openconnect/
sv restart /etc/config/service/openconnect/

也可以用runit管理ssh动态隧道转发实现类似于autossh的功能,ssh连接时使用超时控制,超时后ssh关闭runsv会自动重启ssh。
更多示例:
http://smarden.org/runit/runscripts.html

openwrt下openconnect使用dnsmasq ipset自动路由

发布时间:February 11, 2015 // 分类:OpenWrt // 1 Comment

dnsmasq需安装full版本有ipset功能,配置:

#特定域名使用指定dns解析
server=/www.haiyun.me/8.8.8.8
#解析的域名ip保存到ipset 
ipset=/www.haiyun.me/vpn

新建策略路由表:

echo "200 vpn" >> /etc/iproute2/rt_tables

新建iphash及目标IP匹配iphash的使用iptables mark,然后再根据mark加入策略路由表选择默认路由,可以加入开机启动:

ipset create vpn hash:ip
#mark路由转发的目标ip在ipset的数据包
iptables -t mangle -A POSTROUTING -m set --match-set vpn dst -j MARK --set-mark 8
#mark路由本机发出的数据包
iptables -t mangle -A OUTPUT -m set --match-set vpn dst -j MARK --set-mark 8
#SNAT
iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o tun0 -j MASQUERADE
#本机
iptables -t nat -A POSTROUTING  -o tun0 -j MASQUERADE

openconnect连接后执行的脚本,设置IP及路由上面iptables mark的数据走vpn:

#!/bin/bash
if [ -z "$reason" ]; then
  logger -t openconnect "this script must be called from vpnc" 1>&2
  exit 1
fi
connect() {
  #设置vpn ip及开启虚拟网卡
  ip addr add $INTERNAL_IP4_ADDRESS dev $TUNDEV
  ip lin set $TUNDEV up
  ip rou add $INTERNAL_IP4_NETADDR/$INTERNAL_IP4_NETMASKLEN dev $TUNDEV
  #dns服务器走vpn
  ip rou add 8.8.8.8 dev $TUNDEV
  #mark的数据走vpn
  ip rul add fwmark 8 table vpn
  #路由表默认路由走vpn
  ip rou add default dev $TUNDEV table vpn
}
disconnect() {
  #openconnect vpn断开后删除路由等操作
  ip rou del 8.8.8.8 dev $TUNDEV
  ip rou del $INTERNAL_IP4_NETADDR/$INTERNAL_IP4_NETMASKLEN dev $TUNDEV
  ip lin set $TUNDEV down
  ip rul del fwmark 8 table vpn
  ip rou del default dev $TUNDEV table vpn
}

case "$reason" in
  pre-init)
  logger -t openconnect "pre-init"
  ;;
  connect)
  logger -t openconnect "connect"
  connect
  ;;
  disconnect)
  logger -t openconnect "disonnect"
  disconnect
  ;;
  reconnect)
  logger -t openconnect "reconnect"
  ;;
  *)
  logger -t openconnect "unknown reason '$reason'. Maybe vpnc-script is out of date" 1>&2
  exit 1
  ;;
esac

exit 0

openconnect连接,服务器为cisco AnyConnect vpn或ocserv

openconnect -c user-cert.pem -k user-key.pem -s /etc/config/vpnc --no-cert-check www.haiyun.me

Openwrt无线管理工具/命令

发布时间:February 9, 2015 // 分类:OpenWrt // No Comments

查看连接Openwrt路由的无线客户端:

iwinfo wlan0 assoclist
iw dev wlan0 station dump

查看分配的DHCP客户端IP:

 cat /tmp/dhcp.leases 

扫描无线路由器/AP:

iwinfo wlan0 scan

查看Openwrt路由无线信息:

iwinfo wlan0 info
wlan0     ESSID: "OpenWrt"
          Access Point: 00:1F:A3:65:55:8E
          Mode: Master  Channel: 5 (2.432 GHz)
          Tx-Power: 20 dBm  Link Quality: 30/70
          Signal: -80 dBm  Noise: unknown
          Bit Rate: 32.5 MBit/s
          Encryption: WPA2 PSK (CCMP)
          Type: nl80211  HW Mode(s): 802.11bg
          Hardware: unknown [Generic MAC80211]
          TX power offset: unknown
          Frequency offset: unknown
          Supports VAPs: no  PHY name: phy0

重启无线:

wifi down && sleep 5 && wifi

一个bash脚本,输出当前无线客户端IP/MAC/名称/速率:

#!/bin/bash
echo -e "# IP address\tname\tMAC address\ttx bit\trx bit"
for interface in `iw dev | grep Interface | cut -f 2 -s -d" "`
do
  maclist=(`iw dev $interface station dump | grep Station | cut -f 2 -s -d" "`)
  txlist=(`iw dev wlan0 station dump|grep 'tx bitrate'|awk '{print $3$4}'`)
  rxlist=(`iw dev wlan0 station dump|grep 'rx bitrate'|awk '{print $3$4}'`)
  len=${#maclist[@]}
  for ((i=0;i<$len;i++))
  do
    mac=${maclist[$i]}
    tx=${txlist[$i]}
    rx=${rxlist[$i]}
    ip="UNKN"
    host=""
    ip=`cat /tmp/dhcp.leases | cut -f 2,3,4 -s -d" " | grep $mac | cut -f 2 -s -d" "`
    host=`cat /tmp/dhcp.leases | cut -f 2,3,4 -s -d" " | grep $mac | cut -f 3 -s -d" "`
    echo -e "$ip\t$host\t$mac\t$tx\t$rx"|awk '{printf "%-15s %-25s %-15s %-10s %-10s\n",$1,$2,$3,$4,$5}'
  done
done

http://wiki.openwrt.org/doc/faq/faq.wireless
http://wiki.openwrt.org/doc/howto/wireless.utilities

编译Openwrt固件安装软件内核版本不一致问题解决

发布时间:February 5, 2015 // 分类:OpenWrt // No Comments

最近将使用近3年Openwrt Backfire 10.03固件升级到了最新版本Barrier Breaker 14.07,编译后使用opkg安装官方源提供的软件出现了内核版本不一致的问题:

Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for openconnect:
 *     kernel (= 3.10.49-1-3051dee8f07064b727e9d57fbfeb05ec) * 
 * opkg_install_cmd: Cannot install package openconnect.

安装的openwrt kernel版本,内核大版本一样,就后面md5不一样:

opkg info kernel
Package: kernel
Version: 3.10.49-1-eac88df3cb49b94d68ac3bc78be57f95
Depends: libc
Status: install hold installed
Architecture: x86
Installed-Time: 1423195057

看看md5版本号是怎么生成的:

grep vermagic include/kernel-defaults.mk
$(SH_FUNC) grep '=[ym]' $(LINUX_DIR)/.config | LC_ALL=C sort | md5s > $(LINUX_DIR)/.vermagic

在编译前指定内核版本号:

#查看Openwrt官方源内核版本:
wget http://downloads.openwrt.org/barrier_breaker/14.07/x86/generic/packages/base/Packages.gz
zgrep -m 1 "Depends: kernel (=.*)$" Packages.gz | sed -e 's/.*-\(.*\))/\1/' > .vermagic
#取而代之
sed -i -e 's/^\(.\).*vermagic$/\1cp $(TOPDIR)\/.vermagic $(LINUX_DIR)\/.vermagic/' include/kernel-defaults.mk

编译后指定内核版本:

sed -i 's/eac88df3cb49b94d68ac3bc78be57f95/3051dee8f07064b727e9d57fbfeb05ec/' /usr/lib/opkg/status

以上解决方法和opkg --force-depends无区别,会造成不稳定因素,最好的解决方法是使用官方提供的固件,如果非要自己编译固件的话使用官方软件相同版本的源码编译,如Barrier Breaker 14.07 r42625:

svn co svn://svn.openwrt.org/openwrt/branches/barrier_breaker -r 42625 

就算使用同一版本源码编译内核md5版本号也不一致,除非使用官方提供的.config,可以使用前面的两种方法修改内核版本号。
Openwrt版本历史及版本号:
http://en.wikipedia.org/wiki/OpenWrt
http://wiki.openwrt.org/about/history#barrier_breaker

VMware测试编译的OpenWRT固件

发布时间:February 5, 2015 // 分类:OpenWrt // No Comments

路由刷机有风险,编译后可先使用x86版本的固件使用vmware测试,平台选择x86,目标image选择vmdk。
vmware新建虚拟机使用已存在的磁盘,硬盘一定要选择IDE格式,不要选择SCSI。
OpenWRT官方提供的x86固件自Barrier Breaker 14.07版本没有提供vmdk格式,转换方法:

yum install qemu-img
wget http://downloads.openwrt.org/barrier_breaker/14.07/x86/generic/openwrt-x86-generic-combined-ext4.img.gz
gunzip openwrt-x86-generic-combined-ext4.img.gz
qemu-img convert -f raw openwrt-x86-generic-combined-ext4.img  -O vmdk openwrt-x86-generic-combined-ext4.vmdk
分类
最新文章
最近回复
  • bubble: 现在linux 4.9以上的内核有个bbr的参数,用这个bbr比用锐速效果更好,可参考我的博文...
  • wang: openwrt 只有 tmp/etc/miniupnpd.conf 修改后又重置了,其他路径找...
  • wbq: 可以了 只是https透明代理如何做呢?
  • wbq: 你的这个配置需要浏览器设置代理ip+port, 现在假设不设置,只配置客户端网关为Nginx那...
  • wbq: 您好,想用Nginx做个透明代理,客户端机器配置下网关(即Nginx那台机器),客户端dns配...
  • ccc: 可以提供易调用openssl常用函数吗?
  • 夜未央: 在centos7 下面 貌似转换不了。有人遇到过么????
  • brian: 博主你好,请教一个问题。我使用fprobe进行将交换机流量转换成netflow时是没有问题的,...
  • 吴昊: 学习了,感谢博主分享
  • dabral: Are there any other security restrictions in pl...