Terry Wang (@terrywang)

Sydney, Australia

The below is an off-site archive of all tweets posted by @terrywang ever

February 22nd, 2016

The Walking Dead S06E10 - I kernel panicked watching the episode end. Good job, Rick ;-D

via Hotot for Chrome

好吧 Android 有原生的 strongSwan VPN 客户端,连接没有系统自带 VPN 客户端的各种问题,一切正常!导入给客户端签发的证书后连接都不用输入密码,太棒了!感觉自己可以做 VPN 商(非奸商)了,哈哈! pic.twitter.com/xLu68A87Zq

via Twitter for Android

CyanogenMod 12.1 的 TCP stack 貌似有问题,经常连接/断开 IPsec 会导致 DNS 解析不能 ping 同一个 VPN 子网里的主机出错(没有可用缓冲区空间,两边的 TCP 都做过所有能做的优化),重启就好。两台 Windows 7 之间就没问题。

via Hotot for Chrome

Ubuntu 14.04 LTS + IPsec (strongswan) Android 客户端连接过闲置一段时间后会被断开,暂未知道如何保持连接,得看一下文档。搞定后写篇靠谱的安装配置文放在 blog 或 wiki 上造福众生吧 flic.kr/p/DpWHU2

via Hotot for Chrome

Android 系统上用的验证方式是 IPsec XAUTH PSK 也就是说 key exchange 是 IKEv1 验证时 phase 1 是 PSK phase 2 是 XAUTH 客户端上不用装证书所以应该没用到,安全性不如用证书的好 -_-z

via Hotot for Chrome

用 strongswan 搭 IPsec 整个过程最坑的地方是客户端配置,不同操作系统用不同的验证方式 。如 Windows 7 导入 PKCS12 格式证书和创建连接改类型为 IKEv2 验证 EAP-MSCHAPv2 就折腾掉20分钟,视窗系统毕竟还是不太会用 ;-D

via Hotot for Chrome

IPsec VPN 配置时用到 iptables 给客户端网段做 NAT 有静态 IP 一定记得用 SNAT 而非 MASQUERADE (不久前提到过,每个包匹配时都有额外开销)。允许 ESP 包 UDP 端口 500 ISAKMP/IKE 和 4500 NAT-T 即可。

via Hotot for Chrome

在 Ubuntu 上用 strongswan (没有从源码编译)搭了个 IPsec VPN 参考了三篇文章,俩英文一中文,没有一篇是完全正确的,只能比对着一步步来,坑爹。其实服务端安装配置不难,尤其是对熟悉 IPsec 协议和 iptables 且有过证书签发经验的人,一次成功。

via Hotot for Chrome