杨杨得亿

1.5、VyOS配置

二、制作步骤

2.1、安装docker和docker-compose

bash <(curl -sL kejilion.sh) docker install

2.2、创建vyos目录

mkdir vyos && cd vyos

2.3、下载VyOS镜像

wget https://pan.yydy.link:2023/d/share/vyos/LTS/vyos-1.4.3-generic-amd64.iso

2.4、创建挂载目录

mkdir rootfs

2.5、挂载VyOS镜像

sudo mount -o loop vyos-1.4.3-generic-amd64.iso rootfs

2.6、安装 squashfs-tools工具包

sudo apt-get install -y squashfs-tools

2.7、创建`.squashfs`文件解压目录

mkdir unsquashfs

2.8、将压缩的文件系统镜像解压到`unsquashfs`目录

sudo unsquashfs -f -d unsquashfs/ rootfs/live/filesystem.squashfs

2.9、生成docker镜像

sudo tar -C unsquashfs -c . | docker import - vyos-1.4.3-generic-amd64:latest

制作过程大约2分钟左右，与个人Linux系统硬件配置有关

2.10、卸载挂机目录

sudo umount rootfs

2.11、查看docker镜像

docker images

2.12、启动docker容器测试

docker run -d --rm --name vyos --hostname vyos --privileged -v /lib/modules:/lib/modules --net=bridge vyos-1.4.3-generic-amd64:latest /sbin/init

2.13、进入容器

docker exec -ti vyos su - vyos

三、镜像复用

3.1、打包镜像

将刚刚制作好的vyos-1.4.3版本docker镜像打包下载下来，可以在其他Linux系统使用，直接导入加载即可，简单方便。

docker save -o vyos-1.4.3.tar vyos-1.4.3-generic-amd64:latest

3.2、加载镜像

docker load -i vyos-1.4.3.tar

3.3、查看镜像

docker images

【VyOS-开源篇-39】- VyOS 部署 OpenVPN Web UI

Sun, 21 Sep 2025 00:39:44 CST

文章介绍：使用 VyOS Stream Q2 版本部署OpenVPN Web ui 系统。

一、VyOS

1.1、VyOS镜像

官方下载

博主共享盘

1.2、VyOS安装

1.3、VyOS配置

GitHub GavinTan/openvpn

二、项目链接

Docker GavinTan/openvpn

Blog GavinTan

三、部署指导

3.1、基础配置

如果需要使用mfa功能，一定要配置ntp和time-zone

configureset container registry d.yydy.link:2023set interfaces ethernet eth0 address '192.168.1.195/24'set protocols static route 0.0.0.0/0 next-hop 192.168.1.254set service ntp server ntp.aliyun.comset service ntp server ntp.tencent.comset service ntp server time.hicloud.comset system name-server '192.168.1.254'set system time-zone 'Asia/Shanghai'commitsave

3.2、拉取镜像

add container image yyxx/openvpn:latest

3.3、查看镜像

show container image

3.4、创建持久化文件目录

sudo mkdir -p /config/podman/openvpn/data && cd /config/podman/openvpn/data

3.5、初始化生成证书及配置文件

sudo podman run -v /config/podman/openvpn/data:/data --rm yyxx/openvpn --init

3.6、启动容器

configureset container name ovpn-web allow-host-networksset container name ovpn-web capability 'net-raw'set container name ovpn-web capability 'net-admin'set container name ovpn-web capability 'sys-admin'set container name ovpn-web cpu-quota '1'set container name ovpn-web device tun destination '/dev/net/tun'set container name ovpn-web device tun source '/dev/net/tun'set container name ovpn-web environment ADMIN_PASSWORD value 'admin'set container name ovpn-web environment ADMIN_USERNAME value 'admin'set container name ovpn-web environment ENV_UPDATE_CONFIG value 'false'set container name ovpn-web environment OVPN_GATEWAY value 'false'set container name ovpn-web host-name 'ovpn-web'set container name ovpn-web image 'd.yydy.link:2023/yyxx/openvpn:latest'set container name ovpn-web memory '1024'set container name ovpn-web restart 'always'set container name ovpn-web shared-memory '128'set container name ovpn-web volume data destination '/data'set container name ovpn-web volume data source '/config/podman/openvpn/data'set container name ovpn-web volume localtim destination '/etc/localtime'set container name ovpn-web volume localtim mode 'ro'set container name ovpn-web volume localtim source '/etc/localtime'commitsave

允许容器ovpn-web使用主机网络
给容器ovpn-web添加网络原始套接字权限
给容器ovpn-web添加网络管理权限
给容器ovpn-web添加系统管理权限
限制容器ovpn-web使用1个CPU核心
将主机的tun设备映射到容器，路径为/dev/net/tun
指定tun设备的源路径为/dev/net/tun
设容器内管理员密码为admin
设容器内管理员用户名为admin
禁用容器配置自动更新
禁用容器作为OpenVPN网关
设容器主机名为ovpn-web
指定容器使用的镜像为d.yydy.link:2023/yyxx/openvpn:latest
限制容器内存使用为1024MB
设容器总是自动重启
分配128MB共享内存给容器
将主机的/config/podman/openvpn/data目录挂载到容器的/data目录
将主机的/etc/localtime文件挂载到容器的/etc/localtime
设置localtime挂载为只读模式
指定localtime的源路径为/etc/localtime

3.7、查看容器启动是否成功

run show container

3.8、查看端口占用

业务端口：udp1194；管理端口：8833

sudo ss -atunlp |grep openvpn

3.9、查看接口配置

run show interfaces

四、登录管理后台

默认账号密码：admin （可在上面的set中设定，不设定，后台只能改密码，不能改账号名。）

4.1、修改配置文件

修改以下参数，使得一个用户对应一个客户端证书，这样后期我们可以通过CCD控制客户端接收哪些路由信息（经测试，支持下发3685条明细路由），所以这里要注释掉。

log /data/openvpn.logifconfig-pool-persist /data/ipp.txt

修改后需要重启服务

4.2、创建客户端

4.3、CCD其他命令参考

4.3.1、核心基础配置（客户端身份与隧道段）

配置	说明
`ifconfig-push 10.8.0.30 255.255.255.0`	为客户端分配固定IPv4虚拟IP
`ifconfig-push-remote 10.8.0.1`	强制指定客户端IPv4虚拟网卡的网关（服务器IP）
`ifconfig-ipv6-push 2001:db8:1::10 2001:db8:1::1`	为客户端分配固定IPv6虚拟IP
`ifconfig-ipv6-push-remote 2001:db8:1::1`	强制指定客户端IPv6虚拟网卡的网关（服务器IPv6）

4.3.2、网络与路由配置（流量转发与访问范围）

4.3.2.1、路由声明与推送

配置	说明
`iroute 192.168.50.0 255.255.255.0`	声明客户端身后的分支机构网段（类似full mesh），在指定客户端的CCD中配置，另外还需要在服务器上配置该客户端身后的分支机构网段全局路由下发给其他分支机构
`push "route 192.168.20.0 255.255.255.0"`	向客户端推送IPv4路由（允许访问指定子网）
`push "route 192.168.20.0 255.255.255.0 net_gateway"`	向客户端推送IPv4路由，指定走本地网关
`push "route 192.168.20.0 255.255.255.0 vpn_gateway"`	向客户端推送IPv4路由，指定走VPN隧道
`push "route-ipv6 2001:db8:2::/64"`	向客户端推送IPv6路由（允许访问指定IPv6子网）
`push "allow-pull-fqdn"`	允许客户端接受服务器推送的域名形式路由

4.3.2.2、路由优化与控制

配置	说明
`push "route-delay 2 10"`	延迟路由添加（解决路由生效慢问题）
`push "route-noexec"`	仅推送路由信息，不自动添加到客户端路由表

4.3.2.3、隧道与MTU优化

配置	说明
`tun-mtu-push 1400`	调整TUN设备的MTU值（适配网络路径）
`mssfix-push 1300`	调整TCP MSS值（减少分片问题）
`push "mtu-disc yes"`	启用客户端启用路径MTU发现（自动适配MTU）

4.3.3、认证与安全配置（加密与身份验证）

4.3.3.1、加密与算法

配置	说明
`push "cipher AES-256-GCM"`	指定客户端使用的加密算法
`push "auth SHA512"`	指定客户端使用的认证算法
`push "tls-version-min 1.2"`	限制客户端最低TLS版本（增强安全性）
`push "key-direction 1"`	指定TLS-auth密钥方向（与服务器匹配）

4.3.3.2、证书与认证控制

配置	说明
`push "remote-cert-tls client"`	要求客户端验证服务器证书（双向认证）
`push "client-cert-not-required"`	允许客户端无需证书，仅用密码认证
`push "auth-nocache"`	客户端不缓存证书密码（增强安全性）
`push "password-retry 3"`	密码输入错误时的重试次数

4.3.4、连接管理配置（保活、重连与传输优化）

4.3.4.1、连接保活与检测

配置	说明
`push "ping 10"`	客户端与服务器的心跳检测间隔（秒）
`push "ping-restart 60"`	心跳超时后重启连接的时间（秒）
`push "ping-timer-rem"`	由客户端主动发送心跳包（默认服务器主动）
`push "explicit-exit-notify 2"`	客户端断开时向服务器发送退出通知（重试次数）

4.3.4.2、连接稳定性优化

配置	说明
`push "persist-tun"`	断开重连时保持TUN/TAP设备不关闭
`push "persist-key"`	断开重连时保持私钥不重新加载
`push "fast-io"`	启用快速I/O模式（提升传输性能）
`push "sndbuf 393216"`	调整客户端发送缓冲区大小（字节）
`push "rcvbuf 393216"`	调整客户端接收缓冲区大小（字节）

4.3.4.3、接行为控制

配置	说明
`push "client"`	显式指定客户端为“客户端模式”
`push "nobind"`	客户端不绑定固定本地端口（随机端口）
`push "bind"`	强制客户端绑定固定本地端口（与nobind互斥）
`push "remote-random"`	客户端随机选择remote列表中的服务器
`push "remote-random-hostname"`	客户端随机解析remote中的域名（多IP负载均衡）
`push "socks-proxy 192.168.1.100 1080"`	客户端通过Socks代理连接VPN服务器
`push "socks-proxy-retry"`	Socks代理不可用时自动重试

4.3.5、流量与访问控制（权限与转发策略）

配置	说明
`push "redirect-gateway def1 bypass-dhcp"`	强制客户端全局流量走VPN
`push "block-outside-dns"`	禁止客户端使用VPN外的DNS（防止DNS泄露）
`push "client-to-client"`	允许该客户端与其他客户端直接通信
`push "no-client-to-client"`	禁止该客户端与其他客户端通信（覆盖全局配置）

4.3.6、DNS与名称解析（域名与地址解析）

配置	说明
`push "dhcp-option DNS 8.8.8.8"`	为客户端指定DNS服务器
`push "dhcp-option DOMAIN yydy.link"`	为客户端指定DNS搜索域
`push "dhcp-option WINS 192.168.1.100"`	为Windows客户端指定WINS服务器

4.3.7、脚本与扩展配置（自动化与日志）

4.3.7.1、脚本执行控制

配置	说明
`push "script-security 2"`	允许客户端执行用户定义的脚本
`push "up /etc/openvpn/up.sh"`	客户端连接成功后执行的脚本
`push "down /etc/openvpn/down.sh"`	客户端断开后执行的脚本
`push "client-connect /etc/openvpn/connect.sh"`	客户端连接时触发的服务器端脚本

4.3.7.2、日志与调试

配置	说明
`push "verb 4"`	调整客户端日志详细程度（1-9，越大越详细）
`push "mute 10"`	限制重复日志输出次数（超过10次不再显示）
`push "status /var/log/openvpn-client.status"`	客户端将连接状态写入日志文件

4.3.8、自定义标识配置（环境变量与描述信息）

配置	说明
`setenv FRIENDLY_NAME "VyOS OpenVPN"`	客户端显示名称（供管理工具识别）
`setenv DEPARTMENT "IT部门"`	客户端所属部门
`setenv PURPOSE "远程办公-开发测试"`	客户端用途描述
`setenv LOCATION "北京办公室"`	客户端物理位置
`setenv CONTACT "张三"`	客户端负责人
`setenv LANGUAGE "zh-CN"`	客户端UI显示语言

4.4、创建用户

五、用户首次使用

5.1、用户自主获取ovpn配置文件

用户如果在内网，通过浏览器打开http://192.168.1.195：8833，用户如果在外网，建议配置nginx发布https加密访问，其次在加一层访问过滤。

5.2、扫码获取动态TOTP令牌数字

5.3、连接登录

5.4、管理后台首页

5.5、历史记录

六、已知问题解决方案

6.1、mfa验证码错误

许多 MFA 系统使用基于时间的一次性密码（TOTP）协议，该协议依赖于客户端与服务器之间的时间同步。如果设备时间与服务器时间相差超过一定阈值，通常为 1 分钟，生成的验证码将被视为无效。

配置完成后，需要重启openvpn服务。

6.1.1、VyOS解决方案

set service ntp server ntp.aliyun.comset service ntp server ntp.tencent.comset service ntp server time.hicloud.comset system time-zone 'Asia/Shanghai'

6.1.2、传统Linux解决方案

sudo apt updatesudo apt install ntpdatesudo timedatectl set-timezone Asia/Shanghaisudo timedatectl set-ntp truesudo systemctl stop systemd-timesyncd.servicesudo ntpdate ntp.aliyun.comsudo ntpdate ntp.tencent.comsudo ntpdate time.hicloud.comsudo systemctl start systemd-timesyncd.servicesudo systemctl enable systemd-timesyncd.servicetimedatectl statusdate

【VyOS-开源篇-38】- VyOS OVPN Client 对接 iKuai OVPN Server 组网

Sun, 14 Sep 2025 11:24:00 CST

文章介绍：iKuai 软路由启动 OpenVPN 服务端，VyOS 配置 OpenVPN 客户端拨号，实现简单组网，采用账号密码加证书认证方式实现。

一、VyOS

1.1、VyOS镜像

官方下载

博主共享盘

1.2、VyOS安装

1.3、VyOS基础

二、iKuai配置OpenVPN

2.1、启动OpenVPN服务端

2.2、创建OpenVPN用户

三、VyOS配置OpenVPN

3.1、配置CA证书

证书内容不需要（-----BEGIN CERTIFICATE-----，-----END CERTIFICATE-----）

set pki ca ikuai-ca certificate '这里填iKuai服务端OpenVPN的CA证书内容'

set pki ca ikuai-ca certificate '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'

3.2、OpenVPN接口配置

set interfaces openvpn vtun56789 authentication password '账号'set interfaces openvpn vtun56789 authentication username '密码'set interfaces openvpn vtun56789 description 'iKuai-OpenVPN'set interfaces openvpn vtun56789 mode 'client'set interfaces openvpn vtun56789 openvpn-option '--nobind'set interfaces openvpn vtun56789 openvpn-option '--script-security 2'set interfaces openvpn vtun56789 openvpn-option '--allow-compression yes'set interfaces openvpn vtun56789 openvpn-option '--auth-nocache'set interfaces openvpn vtun56789 openvpn-option '--cipher AES-256-GCM'set interfaces openvpn vtun56789 openvpn-option '--tun-mtu 1400'set interfaces openvpn vtun56789 openvpn-option '--mssfix 1300'set interfaces openvpn vtun56789 persistent-tunnelset interfaces openvpn vtun56789 protocol 'udp'set interfaces openvpn vtun56789 remote-host '拨号地址'set interfaces openvpn vtun56789 remote-port '56789'set interfaces openvpn vtun56789 tls ca-certificate 'ikuai-ca'set interfaces openvpn vtun56789 use-lzo-compression

set interfaces openvpn vtun56789 authentication password '账号'：配置客户端用于身份认证的密码
set interfaces openvpn vtun56789 authentication username '密码'：配置客户端用于身份认证的用户名
set interfaces openvpn vtun56789 description 'iKuai-OpenVPN'：为接口添加描述，标识其对应目标服务端地址
set interfaces openvpn vtun56789 mode 'client'：定义接口工作模式为OpenVPN客户端
set interfaces openvpn vtun56789 openvpn-option '--nobind'：禁用客户端绑定固定本地端口，由系统自动分配临时端口
set interfaces openvpn vtun56789 openvpn-option '--script-security 2'：设置脚本安全级别为2，允许执行内置脚本及用户脚本（无外部程序调用权限）
set interfaces openvpn vtun56789 openvpn-option '--allow-compression yes'：允许对传输数据进行双向压缩
set interfaces openvpn vtun56789 openvpn-option '--auth-nocache'：禁用认证信息（用户名/密码）缓存，重连时需重新提交
set interfaces openvpn vtun56789 openvpn-option '--cipher AES-256-GCM'：指定客户端与服务端数据通道的加密算法为AES-256-GCM
set interfaces openvpn vtun56789 openvpn-option '--tun-mtu 1400'：设置客户端TUN设备的MTU为1400字节
set interfaces openvpn vtun56789 openvpn-option '--mssfix 1300'：限制TCP最大分段大小为1300字节，避免数据包分片
set interfaces openvpn vtun56789 persistent-tunnel：启用隧道持久化，空闲时不主动断开VPN连接
set interfaces openvpn vtun56789 protocol 'udp'：使用UDP协议与OpenVPN服务端通信
set interfaces openvpn vtun56789 remote-host '拨号地址'：指定目标OpenVPN服务端的域名/IP地址
set interfaces openvpn vtun56789 remote-port '56789'：指定目标OpenVPN服务端的监听端口
set interfaces openvpn vtun56789 tls ca-certificate 'ikuai-ca'：指定用于验证服务端证书的根CA证书
set interfaces openvpn vtun56789 use-lzo-compression：启用LZO数据压缩功能，优化VPN数据传输效率

四、连接状态查询

【VyOS-开源篇-37】- VyOS OVPN Server 对接 iKuai OVPN Client 组网

Sun, 14 Sep 2025 09:38:05 CST

文章介绍：VyOS 配置 OpenVPN 服务端模式，iKuai 软路由 OpenVPN 客户端拨号连接，实现简单组网，采用账号密码加证书认证方式实现。

一、VyOS

1.1、VyOS镜像

官方下载

博主共享盘

1.2、VyOS安装

1.3、VyOS基础

演示站：Cisco Secure Client

二、VyOS配置OpenVPN

2.1、生成ca证书

run generate pki ca install ca

2.2、生成服务端证书和密钥

run generate pki certificate sign ca install server-cert-key

2.3、生成客户端证书和密钥

run generate pki certificate sign ca install client-cert-key

2.4、创建checkpsw.sh

sudo nano /config/auth/checkpsw.sh

#!/bin/sh############################################################ checkpsw.sh (C) 2004 Mathias Sundman ## This script will authenticate OpenVPN users against# a plain text file. The passfile should simply contain# one row per user with the username first followed by# one or more space(s) or tab(s) and then the password.###########################################################PASSFILE="/config/auth/openvpn_user_passwd.txt"LOG_FILE="/config/auth/openvpn.log"TIME_STAMP=`date "+%Y-%m-%d %T"`if [ ! -r "${PASSFILE}" ]; then  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}  exit 1fiCORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`if [ "${CORRECT_PASSWORD}" = "" ]; then  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}  exit 1fiif [ "${password}" = "${CORRECT_PASSWORD}" ]; then  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}  exit 0fiecho "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}exit 1

2.5、赋权checkpsw.sh

sudo chmod +x /config/auth/checkpsw.sh

2.6、创建密码本

密码本格式是，一行一个用户，中间用空格隔开密码

sudo nano /config/auth/openvpn_user_passwd.txt

2.7、赋权密码本

sudo chmod 664 /config/auth/openvpn_user_passwd.txt

2.8、创建拨号日志文件

sudo touch /config/auth/openvpn.log

2.9、OpenVPN接口

set interfaces openvpn vtun11996 description 'OpenVPN-Server'set interfaces openvpn vtun11996 local-host '123.123.123.123'set interfaces openvpn vtun11996 local-port '11996'set interfaces openvpn vtun11996 mode 'server'set interfaces openvpn vtun11996 openvpn-option '--script-security 3'set interfaces openvpn vtun11996 openvpn-option '--persist-key'set interfaces openvpn vtun11996 openvpn-option '--duplicate-cn'set interfaces openvpn vtun11996 openvpn-option '--auth-user-pass-verify /config/auth/checkpsw.sh via-env'set interfaces openvpn vtun11996 openvpn-option '--username-as-common-name'set interfaces openvpn vtun11996 openvpn-option '--cipher AES-256-GCM'set interfaces openvpn vtun11996 openvpn-option '--tun-mtu 1500'set interfaces openvpn vtun11996 openvpn-option '--mssfix 1300'set interfaces openvpn vtun11996 persistent-tunnelset interfaces openvpn vtun11996 protocol 'udp'set interfaces openvpn vtun11996 server client ikuai ip '100.64.168.2'set interfaces openvpn vtun11996 server client ikuai push-route '192.168.65.0/24'set interfaces openvpn vtun11996 server client-ip-pool start '100.64.168.2'set interfaces openvpn vtun11996 server client-ip-pool stop '100.64.168.254'set interfaces openvpn vtun11996 server client-ip-pool subnet-mask '255.255.255.0'set interfaces openvpn vtun11996 server max-connections '250'set interfaces openvpn vtun11996 server subnet '100.64.168.0/24'set interfaces openvpn vtun11996 server topology 'subnet'set interfaces openvpn vtun11996 tls ca-certificate 'ca'set interfaces openvpn vtun11996 tls certificate 'server-cert-key'set interfaces openvpn vtun11996 use-lzo-compression

set interfaces openvpn vtun11996 description 'OpenVPN-Server'：为接口添加描述，标识其为OpenVPN服务端
set interfaces openvpn vtun11996 local-host '123.123.123.123'：绑定服务端监听的本地IP地址
set interfaces openvpn vtun11996 local-port '11996'：设置服务端监听的UDP端口
set interfaces openvpn vtun11996 mode 'server'：定义接口工作模式为服务端
set interfaces openvpn vtun11996 openvpn-option '--script-security 3'：设置脚本安全级别为3，允许执行带外部调用的脚本
set interfaces openvpn vtun11996 openvpn-option '--persist-key'：启用密钥持久化，重连时无需重新读取私钥
set interfaces openvpn vtun11996 openvpn-option '--duplicate-cn'：允许相同通用名称的客户端同时连接
set interfaces openvpn vtun11996 openvpn-option '--auth-user-pass-verify /config/auth/checkpsw.sh via-env'：通过指定脚本验证客户端账号密码，信息通过环境变量传递
set interfaces openvpn vtun11996 openvpn-option '--username-as-common-name'：将客户端用户名作为TLS认证的通用名称
set interfaces openvpn vtun11996 openvpn-option '--cipher AES-256-GCM'：指定数据通道加密算法为AES-256-GCM
set interfaces openvpn vtun11996 openvpn-option '--tun-mtu 1500'：设置TUN设备的MTU为1500字节
set interfaces openvpn vtun11996 openvpn-option '--mssfix 1300'：限制TCP最大分段大小为1300字节，避免分片
set interfaces openvpn vtun11996 persistent-tunnel：启用隧道持久化，空闲时不主动断开连接
set interfaces openvpn vtun11996 protocol 'udp'：使用UDP协议传输VPN数据
set interfaces openvpn vtun11996 server client ikuai ip '100.64.168.2'：为标识为ikuai的客户端分配固定IP
set interfaces openvpn vtun11996 server client ikuai push-route '192.168.65.0/24'：向ikuai客户端推送192.168.65.0/24网段的路由
set interfaces openvpn vtun11996 server client-ip-pool start '100.64.168.2'：定义客户端动态IP池的起始地址
set interfaces openvpn vtun11996 server client-ip-pool stop '100.64.168.254'：定义客户端动态IP池的结束地址
set interfaces openvpn vtun11996 server client-ip-pool subnet-mask '255.255.255.0'：指定IP池的子网掩码
set interfaces openvpn vtun11996 server max-connections '250'：限制最大并发客户端连接数为250
set interfaces openvpn vtun11996 server subnet '100.64.168.0/24'：定义VPN客户端所属的统一子网
set interfaces openvpn vtun11996 server topology 'subnet'：配置VPN网络拓扑为子网模式，客户端共处同一子网
set interfaces openvpn vtun11996 tls ca-certificate 'ca'：指定用于TLS认证的根证书
set interfaces openvpn vtun11996 tls certificate 'server-cert-key'：指定服务端的TLS证书和私钥
set interfaces openvpn vtun11996 use-lzo-compression：启用LZO数据压缩，优化传输效率

三、iKuai配置OpenVPN

3.1、CA证书获取

因为是vyos作为服务端，所以要先从vyos上获取ca证书。

show configuration commands |grep 'ca certificate'

3.2、客户端证书获取

因为是vyos作为服务端，所以要先从vyos上获取刚刚创建的客户端证书。

show conf com |grep client-cert-key

3.3、iKuai填写CA证书模板

-----BEGIN CERTIFICATE-----这里填刚刚从vyos里面show出来的内容，只需要单引号里面的内容。-----END CERTIFICATE-----

3.4、iKuai填写客户端证书模板

-----BEGIN CERTIFICATE-----这里填刚刚从vyos里面show出来的内容，只需要单引号里面的内容。-----END CERTIFICATE-----

3.5、iKuai填写客户端私钥模板

-----BEGIN RSA PRIVATE KEY-----这里填刚刚从vyos里面show出来的内容，只需要单引号里面的内容。-----END RSA PRIVATE KEY-----

3.6、iKuai完整配置

四、连接状态查询

4.1、VyOS查看

show openvpn server

4.2、iKuai查看

4.3、iKuai路由表查看

可以通过VyOS的OpenVPN服务端分配固定IP地址给客户端使用，其次可以通过VyOS服务端控制传递那些路由给指定客户端，可以理解为是一个CCD功能。

4.4、爱快traceroute测试

OpenConnect GUI macOS（免安装版）使用教程

Sat, 30 Aug 2025 01:29:24 CST

文章介绍：macOS电脑使用免安装版 OpenConnect GUI 的详细步骤

1、解压缩

通过解压后得到：OpenConnect-GUI.app

2、双击app

3、进入安全性与隐私：点击仍要打开

4、进入通知：点击允许通知

5、创建连接

6、填写相关信息

7、连接成功

可点击：Disconnect 关闭连接

OpenConnect GUI macOS（安装版）使用教程

Fri, 29 Aug 2025 22:06:14 CST

文章介绍：macOS电脑安装使用 OpenConnect GUI 的详细步骤

1、双击安装dmg

2、点击跳过检查

3、拖转至Applications执行安装

4、进入软件列表查看

安装完成后，进入软件列表查看

5、打开OpenConnect GUI 软件

6、允许root权限，点击：OK

7、创建连接

8、填写相关信息

9、允许创建虚拟网卡

正常不需要这一步，如果拨号发现连接不上，查看日志显示，无法创建虚拟网卡tun时，在执行下面的命令，app路径根据自己存放的路径填写，sudo xattr -r -d com.apple.quarantine 这个是默认的。

sudo xattr -r -d com.apple.quarantine  /Applications/openconnect-gui.app

10、连接成功

可点击：Disconnect 关闭连接

OpenConnect Linux 使用教程

Mon, 18 Aug 2025 23:22:37 CST

文章介绍：Linux 连接 OpenConnect 详细步骤

1、安装OpenConnect

sudo apt update && sudo apt install -y openconnect

2、获取证书指纹

注意：把拨号地址改成你自己的域名加端口，或者IP加端口。

openssl s_client -connect 拨号地址 | openssl x509 -pubkey | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

3、创建密码本

sudo mkdir -p /etc/openconnect

sudo nano /etc/openconnect/password.txt

4、创建VPN服务

sudo nano /etc/systemd/system/vpn-anyconnect.service

[Unit]Description=AnyConnect VPN via openconnectAfter=network.target[Service]Type=simpleExecStart=/bin/sh -c 'cat /etc/openconnect/password.txt | /usr/sbin/openconnect \  --protocol=anyconnect \  --servercert pin-sha256:28wNKAUiJBRbbJw/n3dyI3MOwf6fGgTLeRLzfRKCXlc= \  --user=用户名 \  --authgroup=用户组 \  --passwd-on-stdin \  拨号地址'ExecReload=/bin/kill -HUP $MAINPIDKillMode=processRestart=alwaysRestartSec=5[Install]WantedBy=multi-user.target

5、应用服务

# 重新加载 systemd 配置sudo systemctl daemon-reload# 启动服务（会自动读取密码并连接）sudo systemctl start vpn-anyconnect# 查看服务状态（确认是否成功）sudo systemctl status vpn-anyconnect# 开机自启动（确保每次开机都能自动链接）sudo systemctl enable vpn-anyconnect

搭建 Cisco Secure Client 下载导航页

Mon, 18 Aug 2025 17:04:40 CST

文章介绍：部署 Cisco Secure Client 下载导航页，支持Docker，Windows，Linux系统。

一、项目地址

Github 项目地址，欢迎点个Star

默认端口：9907，默认账号密码：admin，管理后台：http://localhost:9907/login

二、Docker部署

2.1、创建docker目录

sudo mkdir -p /root/docker/cisco-client-portal

2.2、进入目录

cd /root/docker/cisco-client-portal

2.3、拉取镜像

sudo docker pull yangpin/cisco-client-portal:1.1

sudo docker pull d.yydy.link:2023/yangpin/cisco-client-portal:1.1

2.4、创建docker-compose.yaml

nano docker-compose.yaml

services:  cisco-client-portal:    image: yangpin/cisco-client-portal:1.1    container_name: cisco-client-portal    ports:      - "9907:9907"    restart: unless-stopped    volumes:      - ./data.json:/app/data.json    environment:      - TZ=Asia/Shanghai

2.5、下载初始文件data.json

wget https://raw.githubusercontent.com/yangpin97/cisco-client-portal/refs/heads/main/data.json

wget https://g.yydy.link:2023/https://raw.githubusercontent.com/yangpin97/cisco-client-portal/refs/heads/main/data.json

2.6、启动容器

docker compose up -d

【VyOS-开源篇-36】- IPv6 拨号连接 WireGuard

Sat, 26 Jul 2025 22:51:20 CST

文章介绍：使用VyOS Stream Q2 版本部署wg-easy，通过DDNS技术动态更新ipv6，然后通过拨IPv6访问家里内网资源。

一、VyOS

1.1、VyOS镜像

官方下载：VyOS Stream 1.5-2025-Q2

博主共享盘

1.2、VyOS安装

1.3、VyOS配置

二、wg-easy

GitHub 地址

官方地址

部署指导

三、VyOS配置

3.1、VyOS基本配置

set firewall global-options all-ping 'enable'set firewall global-options broadcast-ping 'disable'set firewall global-options directed-broadcast 'enable'set firewall global-options ip-src-route 'disable'set firewall global-options ipv6-receive-redirects 'disable'set firewall global-options ipv6-src-route 'disable'set firewall global-options log-martians 'enable'set firewall global-options receive-redirects 'disable'set firewall global-options send-redirects 'enable'set firewall global-options source-validation 'disable'set firewall global-options state-policy established action 'accept'set firewall global-options syn-cookies 'enable'set firewall global-options twa-hazards-protection 'disable'set interfaces ethernet eth0 address '10.97.97.6/24'set interfaces ethernet eth0 address 'dhcpv6'set interfaces ethernet eth0 dhcpv6-options pd 0 interface eth0 address '1'set interfaces ethernet eth0 dhcpv6-options pd 0 interface eth0 sla-id '0'set interfaces ethernet eth0 dhcpv6-options pd 0 length '64'set interfaces ethernet eth0 ipv6 address autoconfset nat source rule 100 outbound-interface name 'eth0'set nat source rule 100 translation address 'masquerade'set protocols static route 0.0.0.0/0 next-hop 10.97.97.1set system name-server '10.97.97.1'

3.2、DDNS配置

set service dns dynamic name DDNS-CF-v6 address interface 'eth0'set service dns dynamic name DDNS-CF-v6 host-name 'wg-ipv6.yydy.link'set service dns dynamic name DDNS-CF-v6 ip-version 'ipv6'set service dns dynamic name DDNS-CF-v6 password '你的全局DNS  token'set service dns dynamic name DDNS-CF-v6 protocol 'cloudflare'set service dns dynamic name DDNS-CF-v6 zone 'yydy.link'

3.3、WG-EASY配置

3.3.1、拉取镜像

sudo podman pull ghcr.io/wg-easy/wg-easy:15.1

3.3.2、创建外置数据存储位置

sudo mkdir -p /config/podman/wg-easy

3.3.3、启动wg-easy

set container name wg-easy allow-host-networksset container name wg-easy capability 'net-admin'set container name wg-easy capability 'net-raw'set container name wg-easy capability 'sys-admin'set container name wg-easy environment DISABLE_IPV6 value 'true'set container name wg-easy environment INSECURE value 'true'set container name wg-easy host-name 'wg-easy'set container name wg-easy image 'ghcr.io/wg-easy/wg-easy:15.1'set container name wg-easy restart 'always'set container name wg-easy volume modules destination '/lib/modules'set container name wg-easy volume modules mode roset container name wg-easy volume modules source '/lib/modules'set container name wg-easy volume wa-easy destination '/etc/wireguard'set container name wg-easy volume wa-easy source '/config/podman/wg-easy'

3.3.4、查看端口监听状态

sudo ss -atunlp |grep 182

四、设置wg-easy

4.1、首次登录

登录地址：http://vyos-eth0-ipv4:51821

4.2、Web配置

4.3、创建客户端

4.4、手机扫码登录

4.5、用户显示在线

【VyOS-开源篇-35】- IPv6 拨号连接 AnyLink SSLVPN

Sat, 19 Jul 2025 17:13:04 CST

文章介绍：使用 VyOS Stream 版本部署 AnyLink SSLVPN，使用动态 DDNS 技术配合 IPv6 实现客户端拨号，然后访问内网 IPv4 资源。

一、VyOS

1.1、VyOS镜像

官方下载

博主共享盘

1.2、VyOS安装

1.3、VyOS配置

【Vyos-开源篇-21】- VyOS 部署 AnyLink SSLVPN 多种网络模式详解

1.4、本期IPv6相关配置

1.4.1、光猫开启RA

1.4.2、VyOS配置DHCPv6获取IPv6

set interfaces ethernet eth0 address '10.97.97.6/24'set interfaces ethernet eth0 address 'dhcpv6'set interfaces ethernet eth0 dhcpv6-options pd 0 interface eth0 address '1'set interfaces ethernet eth0 dhcpv6-options pd 0 interface eth0 sla-id '0'set interfaces ethernet eth0 dhcpv6-options pd 0 length '64'set interfaces ethernet eth0 ipv6 address autoconf

1.4.3、VyOS配置CloudFlare DDNS

set service dns dynamic name DDNS-CF-v6 address interface 'eth0'set service dns dynamic name DDNS-CF-v6 host-name '二级域名'set service dns dynamic name DDNS-CF-v6 ip-version 'ipv6'set service dns dynamic name DDNS-CF-v6 password 'DNS的API token'set service dns dynamic name DDNS-CF-v6 protocol 'cloudflare'set service dns dynamic name DDNS-CF-v6 zone '主域名'

1.4.4、SNAT配置

将AnyLink的虚拟IP转换成eth0口地址上网

set nat source rule 100 outbound-interface name 'eth0'set nat source rule 100 source address 192.168.90.0/24set nat source rule 100 translation address 'masquerade'

1.4.5、VyOS 结果截图

二、AnyLink

三、拨号测试

【VyOS-开源篇-34】- VyOS+EasyTier 打造无公网快速组网

Sat, 05 Jul 2025 17:19:40 CST

文章介绍：使用VyOS Stream稳定版结合当前非常火热的一款开源去中心化组网软件EasyTier，完成点到点，点到多点，完全无公网IP实现高效稳定快速组网，助力企业构建自己的一张SDWAN网络。

一、EasyTier

1.1、官网

EasyTier 一个简单、安全、去中心化的异地组网方案

1.2、GitHub

EasyTier

1.3、菜鸟教程

EasyTier 菜鸟教程

二、VyOS

2.1、VyOS镜像

官方下载

博主共享盘

2.2、VyOS安装

2.3、VyOS配置

Ubuntu部署飞将，点击直达：一分钟搭建飞将！企业级零信任VPN

三、组网案例

3.1、组网需求

需要总部和分支内网实现路由互通，但是总部和分支出口防火墙都不具备公网IP，全是大内网地址，无法使用传统IPSec自建组网。

3.2、规划拓扑

3.3、架构说明

1、总部和分支各部署一台VyOS软路由旁挂各自出口防火墙。

2、总部和分支的VyOS首先通过EasyTier先打通，然后再基于俩边互通的100.64.0.1和100.64.0.2建立SDWAN隧道。

3、SDWAN隧道可以选择：GRE、OpenVPN、WireGuard、IPSec VPN、VXLAN等。

4、基于建立的SDWAN隧道，采用动态路由协议，将各自站点内网路由进行发布。

5、最后只需要再俩边的防火墙配置静态路由到VyOS即可实现路由互通。

四、组网配置

4.1、总部VyOS

4.1.1、基础配置

set interfaces ethernet eth0 address '192.168.6.222/24'set protocols static route 0.0.0.0/0 next-hop 192.168.6.254set system name-server '223.5.5.5'set system name-server '114.114.114.114'

4.1.2、创建et配置目录

sudo mkidr -p /config/easytier

4.1.3、进入配置目录

cd /config/easytier

4.1.4、下载配置文件

sudo wget https://ghfast.top/https://github.com/EasyTier/EasyTier/releases/download/v2.3.2/easytier-linux-x86_64-v2.3.2.zip

4.1.5、解压配置文件

sudo unzip easytier-linux-x86_64-v2.3.2.zip

4.1.6、进入配置目录

cd easytier-linux-x86_64

4.1.7、执行组网命令

sudo nohup ./easytier-core -i 100.64.0.1 --network-name yydy --network-secret sdwan -p tcp://public.easytier.top:11010 -p tcp://et.sh.suhoan.cn:11010 -p tcp://sh.993555.xyz:11010 --hostname=zongbu-vyos &

sudo: 以管理员权限运行命令。
nohup: 让程序在后台运行。
./easytier-core: 运行 easytier-core 主程序。
-i 100.64.0.1: 指定总部VyOS设备的EasyTier虚拟网卡的 IP 地址。总部V有OS设备将分配 100.64.0.1。
--network-name yydy: 指定要加入的 虚拟网络名称。只有网络名称相同的设备才能互相通信。
--network-secret sdwan: 指定虚拟网络的 密码/密钥 (sdwan)。只有知道这个密码的设备才能加入 yydy 这个网络，保证安全性。
-p tcp://public.easytier.top:11010
-p tcp://et.sh.suhoan.cn:11010
-p tcp://sh.993555.xyz:11010:
- -p: 用于指定连接和中转的 中继服务器 或 打洞服务器。
- tcp://: 使用 TCP 协议连接。
--hostname=zongbu-vyos: 总部VyOS设备在easytier虚拟网络中的 主机名。
&：字符结合nohup命令让easytier程序在 后台运行。

4.1.8、创建GRE隧道

set interfaces tunnel tun1000 address '100.68.0.1/30'set interfaces tunnel tun1000 description to-fenzhiset interfaces tunnel tun1000 encapsulation 'gre'set interfaces tunnel tun1000 remote '100.64.0.2'set interfaces tunnel tun1000 source-address '100.64.0.1'

4.1.9、组网BGP配置

set policy prefix-list LAN rule 10 action 'permit'set policy prefix-list LAN rule 10 prefix '192.168.6.0/24'set policy route-map LAN rule 10 action 'permit'set policy route-map LAN rule 10 match ip address prefix-list 'LAN'set policy route-map LAN rule 20 action 'deny'set protocols bgp address-family ipv4-unicast redistribute connected route-map 'LAN'set protocols bgp neighbor 100.68.0.2 address-family ipv4-unicast prefix-list export 'LAN'set protocols bgp neighbor 100.68.0.2 address-family ipv4-unicast soft-reconfiguration inboundset protocols bgp neighbor 100.68.0.2 remote-as '65000'set protocols bgp neighbor 100.68.0.2 update-source '100.68.0.1'set protocols bgp parameters router-id '100.68.0.1'set protocols bgp system-as '65000'

4.2、分支 VyOS

4.2.1、基础配置

set interfaces ethernet eth0 address '10.97.97.222/24'set protocols static route 0.0.0.0/0 next-hop 10.97.97.1set system name-server '223.5.5.5'set system name-server '114.114.114.114'

4.2.2、创建et配置目录

sudo mkidr -p /config/easytier

4.2.3、进入配置目录

cd /config/easytier

4.2.4、下载配置文件

sudo wget https://ghfast.top/https://github.com/EasyTier/EasyTier/releases/download/v2.3.2/easytier-linux-x86_64-v2.3.2.zip

4.2.5、解压配置文件

sudo unzip easytier-linux-x86_64-v2.3.2.zip

4.2.6、进入配置目录

cd easytier-linux-x86_64

4.2.7、执行组网命令

sudo nohup ./easytier-core -i 100.64.0.2 --network-name yydy --network-secret sdwan -p tcp://public.easytier.top:11010 -p tcp://et.sh.suhoan.cn:11010 -p tcp://sh.993555.xyz:11010 --hostname=fenzhi-vyos &

4.2.8、创建GRE隧道

set interfaces tunnel tun1000 address '100.68.0.2/30'set interfaces tunnel tun1000 description to-zongbuset interfaces tunnel tun1000 encapsulation 'gre'set interfaces tunnel tun1000 remote '100.64.0.1'set interfaces tunnel tun1000 source-address '100.64.0.2'

4.2.9、组网BGP配置

set policy prefix-list LAN rule 10 action 'permit'set policy prefix-list LAN rule 10 prefix '10.97.97.0/24'set policy route-map LAN rule 10 action 'permit'set policy route-map LAN rule 10 match ip address prefix-list 'LAN'set policy route-map LAN rule 20 action 'deny'set protocols bgp address-family ipv4-unicast redistribute connected route-map 'LAN'set protocols bgp neighbor 100.68.0.1 address-family ipv4-unicast prefix-list export 'LAN'set protocols bgp neighbor 100.68.0.1 address-family ipv4-unicast soft-reconfiguration inboundset protocols bgp neighbor 100.68.0.1 remote-as '65000'set protocols bgp neighbor 100.68.0.1 update-source '100.68.0.2'set protocols bgp parameters router-id '100.68.0.2'set protocols bgp system-as '65000'

五、EasyTier状态查询

5.1、进入easytier配置目录

cd /config/easytier/easytier-linux-x86_64

5.2、执行查询命令

sudo ./easytier-cli peer

六、组网业务查询

6.1、iperf3打流

6.1.1、总部iperf3服务端

sudo iperf3 -s

6.1.2、分支iperf3客户端

sudo iperf3 -c 100.64.0.1 -i 1 -t 20

6.2、BGP路由表

6.2.1、总部VyOS

run show bgp summary

run show ip route bgp

6.2.2、分支VyOS

run show bgp summary

run show ip route bgp

七、设置EasyTier开机自启动

7.1、编辑VyOS开机脚本文件

sudo nano /config/scripts/vyos-postconfig-bootup.script

7.2、添加启动ET命令

7.2.1、总部

cd /config/easytier/easytier-linux-x86_64/sudo nohup ./easytier-core -i 100.64.0.1 --network-name yydy --network-secret sdwan -p tcp://public.easytier.top:11010 -p tcp://et.sh.suhoan.cn:11010 -p tcp://sh.993555.xyz:11010 --hostname=zongbu-vyos &

7.2.2、分支

cd /config/easytier/easytier-linux-x86_64/sudo nohup ./easytier-core -i 100.64.0.2 --network-name yydy --network-secret sdwan -p tcp://public.easytier.top:11010 -p tcp://et.sh.suhoan.cn:11010 -p tcp://sh.993555.xyz:11010 --hostname=fenzhi-vyos &

【VyOS-开源篇-33】- VyOS 一键部署飞将SSLVPN

Sat, 03 May 2025 15:46:23 CST

文章介绍：使用当前稳定版VyOS Stream通过一键安装脚本部署飞将SSLVPN，飞将SSLVPN是一款符合企业级远程办公和安全访问的零信任解决方案。支持远程办公、网络管理、权限管理、应用管理、日志审计、内网穿透等实用功能。部署简单，轻松运维，无需公网IP一键连接内网应用。全终端支持（飞将支持macOS和Windows的自研客户端，客户端支持记住密码，支持自主修改密码），且完全兼容思科AnyConnect客户端和OpenConnect客户端。社区版支持对接AD域作为认证源，其他详细信息，请参阅官网介绍。

一、Web展示-自研客户端展示

二、飞将科技

1、官网：飞将一站式IT办公平台
2、官方GitHub：飞将
3、官方部署文档：使用指南
4、社区版，专业版，企业版：版本对比
5、项目进度：研发规划
6、技术论坛：BBS知识库
7、在线演示平台：点击参观，默认账号：admin，默认密码：admin123!@#
8、微信讨论组：

9、QQ 讨论组：

三、部署准备

1、安装好vyos软路由
2、获取免费授权key，微信搜索：飞将互联（点击产品授权-点击获取授权）
3、公网IP（如果没有，飞将提供免费的内网穿透服务）
4、下载好飞将客户端（macOS和Windows），或者Cisco AnyConnect，或者OpenConnect

四、客户端下载

4.1、飞将客户端

飞将 Windows 客户端

飞将 macOS 客户端

飞将 Andriod 客户端（开发中...）

飞将 iOS 客户端（开发中...）

飞将 Linux 客户端（开发中...）

4.2、Cisco AnyConnect和OpenConnect客户端

Cisco AnyConnect和OpenConnect 全平台客户端

五、安装VyOS

5.1、官方下载VyOS-Stream版本

VyOS Stream 1.5-2025-Q1

5.2、博主资源站下载VyOS-Stream版本

VyOS Stream 1.5-2025-Q1

下面是VMware安装VyOS教程，如果其他虚拟化系统例如PVE，Hyper-V等不会安装，可以加QQ群或者微信群联系我们。

【Vyos-开源篇-2】- vyos软路由基础配置

六、VyOS基础配置

configureset interfaces ethernet eth0 address '192.168.1.100/24'set nat source rule 100 outbound-interface name 'eth0'set nat source rule 100 translation address 'masquerade'set protocols static route 0.0.0.0/0 next-hop 192.168.1.1set system time-zone Asia/Shanghaiset system name-server '223.5.5.5'set system name-server '223.6.6.6'commitsave

七、部署飞将SSLVPN

7.1、执行一键安装脚本

curl -sL fjvyos.yydy.link -o /tmp/fj.sh && vbash /tmp/fj.sh

八、WEB管理平台使用

关于Web平台的配置使用请参考本篇：一分钟搭建飞将！企业级零信任VPN，点击直达

【VyOS-开源篇-32】- 家庭软路由 VyOS 完整配置

Sun, 06 Apr 2025 16:59:44 CST

文章介绍：近期很多小伙伴在玩VyOS，在部署的过程中遇到最多的问题就是怎么配置NAT，怎么配置接口IP，怎么配置PPPOE拨号，怎么配置DHCP，怎么配置IPv6，怎么配置防火墙等等，今天休息花一点时间整理一版，关于VyOS在家里使用，配置一个WAN口eth0用来PPPOE拨号，获取IPv4+IPv6上网，配置一个LAN口，使用桥接模式把eth1，eth2，eth3接口绑定到br0，并配置DHCP给内网终端上网使用。

一、网络拓扑

运营商光猫是桥接模式，不负责拨号，只提供光转电功能。
VyOS 的 WAN 口是 eth0 口连接光猫，配置 PPPOE 拨号上网。
VyOS 的 LAN 口是 br0，br0 绑定 eth1，eth2，eth3 并配置dhcpv4。

二、接口调优配置

set interfaces ethernet eth0 offload groset interfaces ethernet eth0 offload gsoset interfaces ethernet eth0 offload hw-tc-offloadset interfaces ethernet eth0 offload lroset interfaces ethernet eth0 offload rfsset interfaces ethernet eth0 offload rpsset interfaces ethernet eth0 offload sgset interfaces ethernet eth0 offload tsoset interfaces ethernet eth0 ring-buffer rx '4096'set interfaces ethernet eth0 ring-buffer tx '4096'set interfaces ethernet eth1 offload groset interfaces ethernet eth1 offload gsoset interfaces ethernet eth1 offload hw-tc-offloadset interfaces ethernet eth1 offload lroset interfaces ethernet eth1 offload rfsset interfaces ethernet eth1 offload rpsset interfaces ethernet eth1 offload sgset interfaces ethernet eth1 offload tsoset interfaces ethernet eth1 ring-buffer rx '4096'set interfaces ethernet eth1 ring-buffer tx '4096'set interfaces ethernet eth2 offload groset interfaces ethernet eth2 offload gsoset interfaces ethernet eth2 offload hw-tc-offloadset interfaces ethernet eth2 offload lroset interfaces ethernet eth2 offload rfsset interfaces ethernet eth2 offload rpsset interfaces ethernet eth2 offload sgset interfaces ethernet eth2 offload tsoset interfaces ethernet eth2 ring-buffer rx '4096'set interfaces ethernet eth2 ring-buffer tx '4096'set interfaces ethernet eth3 offload groset interfaces ethernet eth3 offload gsoset interfaces ethernet eth3 offload hw-tc-offloadset interfaces ethernet eth3 offload lroset interfaces ethernet eth3 offload rfsset interfaces ethernet eth3 offload rpsset interfaces ethernet eth3 offload sgset interfaces ethernet eth3 offload tsoset interfaces ethernet eth3 ring-buffer rx '4096'set interfaces ethernet eth3 ring-buffer tx '4096'

接口配置含义，使用场景，配置作用

一、Offload 功能配置
Offload 的核心思想：将网络协议栈的部分计算任务（如分片、合并、校验等）从 CPU 转移到网卡硬件处理，从而降低 CPU 负载并提升网络性能。

GRO (Generic Receive Offload)

作用：在接收方向，将多个小数据包合并成更大的数据包，减少 CPU 处理数据包的开销。
适用场景：高吞吐量接收（如文件传输、视频流）。
注意：可能增加延迟，不适合低延迟敏感场景。

GSO (Generic Segmentation Offload)

作用：在发送方向，将大数据包的分段操作延迟到网卡硬件处理，减少 CPU 分段负担。
适用场景：发送大量数据（如 HTTP 大文件响应）。
依赖：需要网卡支持 TSO/UFO 等具体协议卸载。

hw-tc-offload (Hardware Traffic Control Offload)

作用：将流量分类、队列调度、限速等 QoS 任务卸载到网卡硬件。
典型用途：结合 TC（Traffic Control）实现硬件加速的流量整形。
限制：依赖网卡厂商对 eBPF 或特定 QoS 功能的支持。

LRO (Large Receive Offload)

作用：类似 GRO，但更激进地合并数据包（可能跨 TCP 流）。
风险：可能导致协议栈异常（如 NAT 或隧道场景），建议在虚拟化或复杂网络中谨慎启用。

RFS (Receive Flow Steer)

作用：根据数据流的哈希值，将中断请求定向到处理该流的 CPU 核心，提升 CPU 缓存利用率。
依赖：需与 RPS 配合使用，且需要内核配置支持。

RPS (Receive Packet Steering)

作用：通过软件将数据包处理分散到多个 CPU 核心，提高多核系统的并行处理能力。
适用场景：单队列网卡在高负载下的多核负载均衡。

SG (Scatter/Gather)

作用：允许网卡直接读写分散在内存中的数据块（DMA 分散/聚集），减少内存复制。
优势：提升大数据块（如巨帧）传输效率。

TSO (TCP Segmentation Offload)

作用：由网卡将大 TCP 数据包自动分段为 MTU 兼容的大小，降低 CPU 分段压力。
典型用途：高速 TCP 传输（如 iSCSI、NFS）。

二、Ring Buffer 配置
set interfaces ethernet eth0 ring-buffer rx '4096'

作用：设置接收环形缓冲区大小为 4096。增大缓冲区可应对突发流量高峰，减少丢包。
代价：增加内存占用，可能引入更高延迟。

set interfaces ethernet eth0 ring-buffer tx '4096'

作用：设置发送环形缓冲区大小。提升网卡在拥塞时的暂存能力。

三、配置注意事项

硬件兼容性：并非所有网卡均支持全部卸载功能（如虚拟网卡或低端硬件）。
延迟敏感场景：GRO/LRO 可能增加延迟，需在吞吐量和延迟之间权衡。
虚拟化环境：LRO 可能导致 Guest OS 网络异常，建议禁用。

四、典型应用场景

高吞吐服务器：启用 GRO/GSO/TSO + 大 Ring Buffer。
低延迟交易系统：禁用 LRO/GRO，减小 Ring Buffer。
边缘路由器 QoS：启用 hw-tc-offload 实现硬件加速流量控制。

三、WAN口配置

set interfaces pppoe pppoe0 authentication password 'password'set interfaces pppoe pppoe0 authentication username 'username'set interfaces pppoe pppoe0 description 'ISP-WAN'set interfaces pppoe pppoe0 dhcpv6-options pd 0 interface br0 address '1'set interfaces pppoe pppoe0 dhcpv6-options pd 0 interface br0 sla-id '0'set interfaces pppoe pppoe0 dhcpv6-options pd 0 length '64'#set interfaces pppoe pppoe0 dhcpv6-options pd 0 length '56'set interfaces pppoe pppoe0 ip adjust-mss 'clamp-mss-to-pmtu'set interfaces pppoe pppoe0 ipv6 address autoconfset interfaces pppoe pppoe0 ipv6 adjust-mss 'clamp-mss-to-pmtu'set interfaces pppoe pppoe0 mtu '1492'set interfaces pppoe pppoe0 source-interface 'eth0'

WAN口配置含义，配置作用，注意事项

一、基础 PPPoE 拨号配置

认证信息

set interfaces pppoe pppoe0 authentication password 'password'set interfaces pppoe pppoe0 authentication username 'username'

作用：设置 PPPoE 拨号所需的用户名和密码（由 ISP 提供）。

接口描述

set interfaces pppoe pppoe0 description 'ISP-WAN'

作用：为接口添加注释，标记为互联网服务提供商（ISP）的广域网接口，便于管理。

源接口绑定

set interfaces pppoe pppoe0 source-interface 'eth0'

作用：指定 PPPoE 拨号使用的物理接口（eth0 需连接到 ISP 调制解调器或光纤终端）。

MTU 设置

set interfaces pppoe pppoe0 mtu '1492'

作用：设置 PPPoE 接口的 MTU（最大传输单元）为 1492 字节（默认以太网 MTU 1500 减去 PPPoE 头部 8 字节）。
必要性：避免因 MTU 不匹配导致的数据包分片或丢弃。

二、TCP/IP 优化配置

MSS 钳制（IPv4/IPv6）

set interfaces pppoe pppoe0 ip adjust-mss 'clamp-mss-to-pmtu'set interfaces pppoe pppoe0 ipv6 adjust-mss 'clamp-mss-to-pmtu'

作用：自动调整 TCP 协议的 最大报文段长度（MSS），使其适配 PPPoE 的 MTU。
意义：防止 TCP 握手时协商的 MSS 超过实际路径 MTU（PMTU），避免数据分片和性能下降。
典型值：MSS = MTU - 40（IPv4）或 60（IPv6）字节头部。

三、IPv6 配置

IPv6 地址自动获取

set interfaces pppoe pppoe0 ipv6 address autoconf

作用：通过 SLAAC（无状态地址自动配置）获取 IPv6 全局单播地址。
依赖：ISP 需支持 IPv6 并广播 RA（路由通告）消息。

DHCPv6 前缀委派（Prefix Delegation）

set interfaces pppoe pppoe0 dhcpv6-options pd 0 interface br0 address '1'set interfaces pppoe pppoe0 dhcpv6-options pd 0 interface br0 sla-id '0'set interfaces pppoe pppoe0 dhcpv6-options pd 0 length '64'

功能解析：
- pd 0：定义一个前缀委派实例（ID 为 0）。
- length '64'：向 ISP 请求的 IPv6 前缀长度（如 /56 或 /64），具体是56还是64需要自行测试。
- interface br0：将获取的前缀分配给内部接口 br0（桥接或 LAN 接口）。
- address '1'：使用请求到的前缀的第 1 个子网（例如，若 ISP 分配前缀 2001:db8::/56，则子网为 2001:db8:0:1::/64）。
- sla-id '0'：站点级聚合标识符（Site-Level Aggregation Identifier），用于子网划分。

四、配置注意事项

ISP 兼容性：
- 确认 ISP 支持 PPPoE 协议，且提供的认证方式为 PAP/CHAP。
- 验证 ISP 是否分配了 IPv6 前缀（DHCPv6-PD）。

IPv6 连通性验证：

show interfaces pppoe pppoe0  # 检查 PPPoE 状态ping6 ipv6.google.com        # 测试 IPv6 连通性

故障排查：
- 使用 monitor interface pppoe0 实时查看 PPPoE 连接状态。
- 检查日志：show log | match pppoe0

四、LAN口配置

set interfaces bridge br0 address '192.168.1.1/24'set interfaces bridge br0 description 'LAN'set interfaces bridge br0 member interface eth1set interfaces bridge br0 member interface eth2set interfaces bridge br0 member interface eth3set interfaces bridge br0 offload groset interfaces bridge br0 offload gsoset interfaces bridge br0 offload hw-tc-offloadset interfaces bridge br0 offload lroset interfaces bridge br0 offload rfsset interfaces bridge br0 offload rpsset interfaces bridge br0 offload sgset interfaces bridge br0 offload tsoset interfaces bridge br0 ring-buffer rx '4096'set interfaces bridge br0 ring-buffer tx '4096'set interfaces bridge br0 aging '300'set interfaces bridge br0 hello-time '2'set interfaces bridge br0 max-age '20'set interfaces bridge br0 priority '32768'set interfaces bridge br0 stp

LAN口配置含义，配置作用

一、基础桥接配置

IP 地址分配

set interfaces bridge br0 address '192.168.1.1/24'

作用：指定br0的 IP 地址是：192.168.1.1/24。

接口描述

set interfaces bridge br0 description 'LAN'

作用：标记桥接接口为局域网（LAN），便于管理。

成员接口绑定

set interfaces bridge br0 member interface eth1set interfaces bridge br0 member interface eth2set interfaces bridge br0 member interface eth3

作用：将物理接口 eth1、eth2、eth3 加入桥接组 br0，实现二层交换功能。
典型用途：将多个物理接口合并为一个逻辑接口，用于连接交换机、AP 或其他设备。

二、生成树协议（STP）配置

基础参数

set interfaces bridge br0 aging '300'set interfaces bridge br0 hello-time '2'set interfaces bridge br0 max-age '20'set interfaces bridge br0 priority '32768'set interfaces bridge br0 stp

功能解析：
- stp：启用 IEEE 802.1D 生成树协议，防止网络环路。
- aging 300：MAC 地址表老化时间为 300 秒（默认 300）。
- hello-time 2：每隔 2 秒发送 BPDU 协议报文。
- max-age 20：BPDU 报文的最大存活时间为 20 秒（超时后重新计算拓扑）。
- priority 32768：桥接优先级为 32768（默认值），数值越小优先级越高。
典型用途：在多桥接设备（如多个交换机）的网络中避免环路。

五、SNAT配置

set nat source rule 100 outbound-interface name 'pppoe0'set nat source rule 100 source address '192.168.1.0/24'set nat source rule 100 translation address 'masquerade'

SNAT配置含义，配置作用，验证命令

一、指定出接口

定义规则编号与出站接口

set nat source rule 100 outbound-interface name 'pppoe0'

作用：
- rule 100：定义 NAT 规则的优先级（数值越小优先级越高）。
- outbound-interface name 'pppoe0'：指定该规则仅作用于从 pppoe0 接口出站的流量（即 PPPoE 拨号获得的公网接口）。

匹配源地址范围

set nat source rule 100 source address '192.168.1.0/24'

作用：
匹配来自内网 192.168.1.0/24 网段的所有流量（如 LAN 设备），仅对这些流量执行 NAT 转换。

启用动态地址伪装

set nat source rule 100 translation address 'masquerade'

作用：
将匹配流量的源 IP 地址动态伪装为 pppoe0 接口的公网 IP 地址，实现 源地址转换（SNAT）。
- 动态适配：masquerade 自动识别 pppoe0 接口的当前公网 IP（适用于动态 IP 环境，如 PPPoE 拨号场景）。
- 端口复用：通过 PAT（端口地址转换）允许多个内网设备共享单一公网 IP。

二、查看详情

验证命令：

show nat source translations detail  # 查看源地址转换（SNAT/Masquerade）的活跃会话详情show nat destination translations detail  # 查看目的地址转换（DNAT/端口转发）的活跃会话详情

六、DHCPv4配置

set service dhcp-server dynamic-dns-updateset service dhcp-server hostfile-updateset service dhcp-server listen-interface 'br0'set service dhcp-server shared-network-name br0 authoritativeset service dhcp-server shared-network-name br0 option ntp-server '192.168.1.1'set service dhcp-server shared-network-name br0 option time-zone 'Asia/Shanghai'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 lease '86400'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 option default-router '192.168.1.1'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 option name-server '192.168.1.1'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 range 100 start '192.168.1.100'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 range 100 stop '192.168.1.200'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 subnet-id 1

dhcpv4配置含义，配置作用，检查命令

一、基础服务配置

动态 DNS 更新

set service dhcp-server dynamic-dns-update

作用：允许 DHCP 服务器在客户端获取 IP 后，自动更新 DNS 记录（如将主机名映射到分配的 IP）。
依赖：需 DNS 服务器（如 BIND）支持动态更新，并配置 TSIG 密钥认证。

主机文件更新

set service dhcp-server hostfile-update

作用：将 DHCP 分配的 IP 与主机名写入本地 /etc/hosts 文件，实现局域网内主机名解析。
限制：仅影响 VyOS 路由器自身，不广播到其他设备。

监听接口

set service dhcp-server listen-interface 'br0'

作用：限制 DHCP 服务仅在桥接接口 br0 上响应请求，防止意外干扰其他网络接口。
必要性：确保 DHCP 服务仅在内网（LAN）提供，避免 WAN 接口暴露服务。

二、共享网络定义

权威模式

set service dhcp-server shared-network-name br0 authoritative

作用：声明此 DHCP 服务器为 br0 网络的唯一权威服务器，可强制回收非法分配的 IP 并响应 DHCP 请求。
场景：防止网络中其他 DHCP 服务器（如错误配置的设备）造成 IP 冲突。

全局选项

set service dhcp-server shared-network-name br0 option ntp-server '192.168.1.1'set service dhcp-server shared-network-name br0 option time-zone 'Asia/Shanghai'

功能：
- NTP 服务器：为客户端指定时间同步服务器（通常指向路由器自身或公共 NTP）。
- 时区：向客户端传递时区信息（部分操作系统支持自动配置时区）。

三、子网配置

子网范围与租期

set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 lease '86400'

作用：定义 DHCP 作用域为 192.168.1.0/24，租期 24 小时（86400 秒）。
租期建议：
- 长租期：适合设备数量少且稳定的网络（如家庭）。
- 短租期：适合 IP 紧张或设备频繁变动的环境（如公共 Wi-Fi）。

关键网络参数

set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 option default-router '192.168.1.1'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 option name-server '192.168.1.1'

功能：
- 默认网关：客户端流量通过 192.168.1.1（通常为路由器 LAN 接口）路由。
- DNS 服务器：客户端使用 192.168.1.1 解析域名（需路由器运行 DNS 转发或独立 DNS 服务）。

IP 地址池

set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 range 100 start '192.168.1.100'set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 range 100 stop '192.168.1.200'

作用：分配从 192.168.1.100 到 192.168.1.200 的 IP 地址（共 101 个可用地址）。
保留地址：
- 192.168.1.1：通常预留给路由器 LAN 接口。
- 192.168.1.255：广播地址（不可分配）。

四、验证命令

show dhcp server statistics           # 查看 DHCP 服务状态show dhcp server leases               # 查看已分配的 IP 租约show dhcp server dynamic-dns updates  # 检查动态 DNS 更新记录

七、IP MAC 绑定

set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo ip-address 192.168.1.66set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo mac-address 11:22:33:44:55:66set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo option routers 192.168.1.254set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo option domain-name-servers 192.168.1.254

IP地址和MAC地址绑定配置含义，配置作用，检查命令

set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo ip-address 192.168.1.66
- 这条命令为 oppo 设备配置了静态 IP 地址 192.168.1.66。
- 这个 IP 地址将分配给 MAC 地址为 11:22:33:44:55:66 的设备。
set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo mac-address 11:22:33:44:55:66
- 这条命令为设备 oppo 配置了 MAC 地址 11:22:33:44:55:66。
- 这使得设备 oppo 每次请求 DHCP 地址时，都会根据这个 MAC 地址获得相同的 IP 地址，即 192.168.1.66。
set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo option routers 192.168.1.254
- 这条命令为设备 oppo 设置了 DHCP 选项：默认网关（路由器）为 192.168.1.254。
- 这个网关将会被分配给设备 oppo。
set service dhcp-server shared-network-name br0 subnet 192.168.1.0/24 static-mapping oppo option domain-name-servers 192.168.1.254
- 这条命令为设备 oppo 设置了 DHCP 选项：DNS 服务器为 192.168.1.254。
- 这个 DNS 服务器将会被分配给设备 oppo，设备将使用该 DNS 服务器进行域名解析。

八、IPv6路由通告（RA）配置

set service router-advert interface br0 link-mtu '1490'set service router-advert interface br0 prefix ::/64 valid-lifetime '172800'set service router-advert interface pppoe0

IPv6路由通告（RA）配置含义，配置作用

set service router-advert interface br0 link-mtu '1490'
- 在接口 br0 的 RA（路由器通告）中声明链路 MTU 值为 1490 字节，供客户端自动配置 IPv6 MTU。
set service router-advert interface br0 prefix ::/64 valid-lifetime '172800'
- 通过 RA 向客户端通告 IPv6 前缀 ::/64，并设置该前缀的有效生命周期为 172800 秒（2天）。
set service router-advert interface pppoe0
- 在接口 pppoe0 上启用路由器通告服务（需结合其他参数配置 IPv6 前缀或参数）。

九、系统DNS配置

set service dns forwarding allow-from '192.168.1.0/24'set service dns forwarding cache-size '10000'set service dns forwarding dnssec 'off'set service dns forwarding listen-address '192.168.1.1'set service dns forwarding name-server 223.6.6.6set service dns forwarding name-server 223.5.5.5set service dns forwarding no-serve-rfc1918set service dns forwarding system

set service dns forwarding allow-from '192.168.1.0/24'
允许来自 192.168.1.0/24 网络的客户端使用 DNS 转发服务。
set service dns forwarding cache-size '10000'
设置 DNS 查询缓存大小为 10000 条记录。
set service dns forwarding dnssec 'off'
关闭 DNSSEC 验证功能。
set service dns forwarding listen-address '192.168.1.1'
在本地地址 192.168.1.1 上监听 DNS 请求。
set service dns forwarding name-server 223.6.6.6
设置上游 DNS 服务器为 223.6.6.6（阿里公共 DNS）。
set service dns forwarding name-server 223.5.5.5
设置另一个上游 DNS 服务器为 223.5.5.5（阿里公共 DNS）。
set service dns forwarding no-serve-rfc1918
拒绝解析 RFC1918 私有地址段的 DNS 查询请求。
set service dns forwarding system
使用系统默认的 DNS 设置作为备用上游解析器。

十、系统NTP配置

set service ntp allow-client address '127.0.0.0/8'set service ntp allow-client address '169.254.0.0/16'set service ntp allow-client address '10.0.0.0/8'set service ntp allow-client address '172.16.0.0/12'set service ntp allow-client address '192.168.0.0/16'set service ntp allow-client address '::1/128'set service ntp allow-client address 'fe80::/10'set service ntp server ntp.aliyun.comset service ntp server ntp.tencent.com

set service ntp allow-client address '127.0.0.0/8'
允许本地回环地址段的客户端访问 NTP 服务。
set service ntp allow-client address '169.254.0.0/16'
允许链路本地地址段的客户端访问 NTP 服务。
set service ntp allow-client address '10.0.0.0/8'
允许私有网络段 10.0.0.0/8 的客户端访问 NTP 服务。
set service ntp allow-client address '172.16.0.0/12'
允许私有网络段 172.16.0.0/12 的客户端访问 NTP 服务。
set service ntp allow-client address '192.168.0.0/16'
允许私有网络段 192.168.0.0/16 的客户端访问 NTP 服务。
set service ntp allow-client address '::1/128'
允许 IPv6 回环地址的客户端访问 NTP 服务。
set service ntp allow-client address 'fe80::/10'
允许 IPv6 链路本地地址段的客户端访问 NTP 服务。
set service ntp server ntp.aliyun.com
设置阿里云的 NTP 服务器为时间同步源。
set service ntp server ntp.tencent.com
设置腾讯云的 NTP 服务器为时间同步源。

十一、防火墙配置

11.1、全局配置

set firewall global-options all-ping 'enable'set firewall global-options broadcast-ping 'disable'set firewall global-options ip-src-route 'disable'set firewall global-options ipv6-receive-redirects 'disable'set firewall global-options ipv6-src-route 'disable'set firewall global-options log-martians 'enable'set firewall global-options receive-redirects 'disable'set firewall global-options send-redirects 'enable'set firewall global-options source-validation 'disable'set firewall global-options syn-cookies 'enable'set firewall global-options twa-hazards-protection 'disable'

set firewall global-options all-ping 'enable'
允许响应所有接口上的 ICMP Echo 请求（ping）。
set firewall global-options broadcast-ping 'disable'
禁止响应广播地址的 ping 请求，防止 Smurf 攻击。
set firewall global-options ip-src-route 'disable'
禁用 IPv4 源路由功能，防止绕过正常路由路径。
set firewall global-options ipv6-receive-redirects 'disable'
禁用接收 IPv6 重定向报文，防止中间人攻击。
set firewall global-options ipv6-src-route 'disable'
禁用 IPv6 源路由功能，提高安全性。
set firewall global-options log-martians 'enable'
记录来自非法或不可路由地址（Martians）的包。
set firewall global-options receive-redirects 'disable'
禁用接收 IPv4 ICMP 重定向，防止篡改路由。
set firewall global-options send-redirects 'enable'
允许发送 ICMP 重定向，适用于需要引导客户端更优路径的场景。
set firewall global-options source-validation 'disable'
禁用反向路径源地址验证。
set firewall global-options syn-cookies 'enable'
启用 SYN cookies，防止 SYN Flood 攻击。
set firewall global-options twa-hazards-protection 'disable'
禁用 TCP 窗口调整相关的安全防护机制（适用于高性能或特定应用环境）。

11.2、IPv4防火墙配置

set firewall ipv4 name LAN-LOCAL default-action 'accept'set firewall ipv4 name LAN-WAN   default-action 'accept'set firewall ipv4 name LOCAL-LAN default-action 'accept'set firewall ipv4 name LOCAL-WAN default-action 'accept'set firewall ipv4 name WAN-LAN default-action 'drop'set firewall ipv4 name WAN-LAN rule 10 action 'accept'set firewall ipv4 name WAN-LAN rule 10 state 'established'set firewall ipv4 name WAN-LAN rule 10 state 'related'set firewall ipv4 name WAN-LAN rule 100 action 'accept'set firewall ipv4 name WAN-LAN rule 100 destination address '192.168.1.0/24'set firewall ipv4 name WAN-LAN rule 100 logset firewall ipv4 name WAN-LAN rule 100 protocol 'tcp_udp'set firewall ipv4 name WAN-LOCAL default-action 'drop'set firewall ipv4 name WAN-LOCAL rule 10 action 'accept'set firewall ipv4 name WAN-LOCAL rule 10 state 'established'set firewall ipv4 name WAN-LOCAL rule 10 state 'related'set firewall ipv4 name WAN-LOCAL rule 100 action 'accept'set firewall ipv4 name WAN-LOCAL rule 100 protocol 'icmp'

set firewall ipv4 name LAN-LOCAL default-action 'accept'
允许 LAN 到本地系统的所有 IPv4 流量。
set firewall ipv4 name LAN-WAN default-action 'accept'
允许 LAN 到 WAN 的所有 IPv4 流量。
set firewall ipv4 name LOCAL-LAN default-action 'accept'
允许本地系统到 LAN 的所有 IPv4 流量。
set firewall ipv4 name LOCAL-WAN default-action 'accept'
允许本地系统到 WAN 的所有 IPv4 流量。
set firewall ipv4 name WAN-LAN default-action 'drop'
默认丢弃来自 WAN 到 LAN 的 IPv4 流量。
set firewall ipv4 name WAN-LAN rule 10 action 'accept'
允许符合状态规则的流量。
set firewall ipv4 name WAN-LAN rule 10 state 'established'
允许已建立连接的流量。
set firewall ipv4 name WAN-LAN rule 10 state 'related'
允许与现有连接相关的流量。
set firewall ipv4 name WAN-LAN rule 100 action 'accept'
允许特定流量进入 LAN。
set firewall ipv4 name WAN-LAN rule 100 destination address '192.168.1.0/24'
指定允许的目标地址段为 192.168.1.0/24。
set firewall ipv4 name WAN-LAN rule 100 log
记录该规则匹配到的流量日志。
set firewall ipv4 name WAN-LAN rule 100 protocol 'tcp_udp'
规则适用于 TCP 和 UDP 协议。
set firewall ipv4 name WAN-LOCAL default-action 'drop'
默认丢弃来自 WAN 到本地系统的 IPv4 流量。
set firewall ipv4 name WAN-LOCAL rule 10 action 'accept'
允许符合状态规则的流量。
set firewall ipv4 name WAN-LOCAL rule 10 state 'established'
允许已建立连接的流量。
set firewall ipv4 name WAN-LOCAL rule 10 state 'related'
允许与现有连接相关的流量。
set firewall ipv4 name WAN-LOCAL rule 100 action 'accept'
允许特定协议的流量。
set firewall ipv4 name WAN-LOCAL rule 100 protocol 'icmp'
允许 ICMP 协议（如 ping）从 WAN 到本地系统。

11.3、IPv6防火墙配置

set firewall ipv6 name LAN-LOCAL-6 default-action 'accept'set firewall ipv6 name LAN-WAN-6 default-action 'accept'set firewall ipv6 name LOCAL-LAN-6 default-action 'accept'set firewall ipv6 name LOCAL-WAN-6 default-action 'accept'set firewall ipv6 name WAN-LAN-6 default-action 'drop'set firewall ipv6 name WAN-LAN-6 rule 10 action 'accept'set firewall ipv6 name WAN-LAN-6 rule 10 state 'established'set firewall ipv6 name WAN-LAN-6 rule 10 state 'related'set firewall ipv6 name WAN-LOCAL-6 default-action 'drop'set firewall ipv6 name WAN-LOCAL-6 rule 10 action 'accept'set firewall ipv6 name WAN-LOCAL-6 rule 10 state 'related'set firewall ipv6 name WAN-LOCAL-6 rule 10 state 'established'set firewall ipv6 name WAN-LOCAL-6 rule 20 action 'accept'set firewall ipv6 name WAN-LOCAL-6 rule 20 protocol 'ipv6-icmp'set firewall ipv6 name WAN-LOCAL-6 rule 30 action 'accept'set firewall ipv6 name WAN-LOCAL-6 rule 30 destination port '546'set firewall ipv6 name WAN-LOCAL-6 rule 30 protocol 'udp'set firewall ipv6 name WAN-LOCAL-6 rule 30 source port '547'

set firewall ipv6 name LAN-LOCAL-6 default-action 'accept'
允许 LAN 到本地系统的所有 IPv6 流量。
set firewall ipv6 name LAN-WAN-6 default-action 'accept'
允许 LAN 到 WAN 的所有 IPv6 流量。
set firewall ipv6 name LOCAL-LAN-6 default-action 'accept'
允许本地系统到 LAN 的所有 IPv6 流量。
set firewall ipv6 name LOCAL-WAN-6 default-action 'accept'
允许本地系统到 WAN 的所有 IPv6 流量。
set firewall ipv6 name WAN-LAN-6 default-action 'drop'
默认丢弃来自 WAN 到 LAN 的 IPv6 流量。
set firewall ipv6 name WAN-LAN-6 rule 10 action 'accept'
允许符合状态规则的 IPv6 流量。
set firewall ipv6 name WAN-LAN-6 rule 10 state 'established'
允许已建立的 IPv6 连接。
set firewall ipv6 name WAN-LAN-6 rule 10 state 'related'
允许与现有连接相关的 IPv6 流量。
set firewall ipv6 name WAN-LOCAL-6 default-action 'drop'
默认丢弃来自 WAN 到本地系统的 IPv6 流量。
set firewall ipv6 name WAN-LOCAL-6 rule 10 action 'accept'
允许符合状态规则的 IPv6 流量。
set firewall ipv6 name WAN-LOCAL-6 rule 10 state 'related'
允许与现有连接相关的 IPv6 流量。
set firewall ipv6 name WAN-LOCAL-6 rule 10 state 'established'
允许已建立的 IPv6 连接。
set firewall ipv6 name WAN-LOCAL-6 rule 20 action 'accept'
允许 IPv6 ICMP 协议流量。
set firewall ipv6 name WAN-LOCAL-6 rule 20 protocol 'ipv6-icmp'
匹配 IPv6 的 ICMP 协议（如邻居发现、ping 等）。
set firewall ipv6 name WAN-LOCAL-6 rule 30 action 'accept'
允许 DHCPv6 客户端请求。
set firewall ipv6 name WAN-LOCAL-6 rule 30 destination port '546'
目标端口为 546（DHCPv6 客户端端口）。
set firewall ipv6 name WAN-LOCAL-6 rule 30 protocol 'udp'
协议为 UDP。
set firewall ipv6 name WAN-LOCAL-6 rule 30 source port '547'
源端口为 547（DHCPv6 服务器端口）。

11.4、接口调用防火墙

set firewall zone LAN from LOCAL firewall ipv6-name 'LOCAL-LAN-6'set firewall zone LAN from LOCAL firewall name 'LOCAL-LAN'set firewall zone LAN from WAN firewall ipv6-name 'WAN-LAN-6'set firewall zone LAN from WAN firewall name 'WAN-LAN'set firewall zone LAN member interface 'br0'set firewall zone LOCAL from LAN firewall ipv6-name 'LAN-LOCAL-6'set firewall zone LOCAL from LAN firewall name 'LAN-LOCAL'set firewall zone LOCAL from WAN firewall ipv6-name 'WAN-LOCAL-6'set firewall zone LOCAL from WAN firewall name 'WAN-LOCAL'set firewall zone LOCAL local-zoneset firewall zone WAN from LAN firewall ipv6-name 'LAN-WAN-6'set firewall zone WAN from LAN firewall name 'LAN-WAN'set firewall zone WAN from LOCAL firewall ipv6-name 'LOCAL-WAN-6'set firewall zone WAN from LOCAL firewall name 'LOCAL-WAN'set firewall zone WAN member interface 'pppoe0'

防火墙区域配置说明

区域定义与接口绑定

LAN 区域绑定接口：br0
LOCAL 区域为本地系统（local-zone）
WAN 区域绑定接口：pppoe0

区域间防火墙策略（含 IPv4 和 IPv6）

LAN 来源：

从 LOCAL 到 LAN：
- IPv4 使用规则集：LOCAL-LAN
- IPv6 使用规则集：LOCAL-LAN-6
从 WAN 到 LAN：
- IPv4 使用规则集：WAN-LAN
- IPv6 使用规则集：WAN-LAN-6

LOCAL 来源：

从 LAN 到 LOCAL：
- IPv4 使用规则集：LAN-LOCAL
- IPv6 使用规则集：LAN-LOCAL-6
从 WAN 到 LOCAL：
- IPv4 使用规则集：WAN-LOCAL
- IPv6 使用规则集：WAN-LOCAL-6

WAN 来源：

从 LAN 到 WAN：
- IPv4 使用规则集：LAN-WAN
- IPv6 使用规则集：LAN-WAN-6
从 LOCAL 到 WAN：
- IPv4 使用规则集：LOCAL-WAN
- IPv6 使用规则集：LOCAL-WAN-6

十二、动态DDNS配置

12.1、cloudflare

set service dns dynamic name DDNS-CF-v4 address interface 'pppoe0'set service dns dynamic name DDNS-CF-v4 host-name 'ddns.example.com'set service dns dynamic name DDNS-CF-v4 ip-version 'ipv4'set service dns dynamic name DDNS-CF-v4 password 'token'set service dns dynamic name DDNS-CF-v4 protocol 'cloudflare'set service dns dynamic name DDNS-CF-v4 zone 'example.com'set service dns dynamic name DDNS-CF-v6 address interface 'pppoe0'set service dns dynamic name DDNS-CF-v6 host-name 'ddns6.example.com'set service dns dynamic name DDNS-CF-v6 ip-version 'ipv6'set service dns dynamic name DDNS-CF-v6 password 'token'set service dns dynamic name DDNS-CF-v6 protocol 'cloudflare'set service dns dynamic name DDNS-CF-v6 zone 'example.com'

Cloudflare DDNS（IPv4 版）配置

set service dns dynamic name DDNS-CF-v4 address interface 'pppoe0'
指定使用 pppoe0 接口上的 IPv4 地址作为 DDNS 更新时的目标地址。
set service dns dynamic name DDNS-CF-v4 host-name 'ddns.example.com'
设置要更新的完整域名为 ddns.example.com，也就是 Cloudflare 上需要动态更新的记录名称。
set service dns dynamic name DDNS-CF-v4 ip-version 'ipv4'
指明此 DDNS 更新使用 IPv4 地址。
set service dns dynamic name DDNS-CF-v4 password 'token'
提供 Cloudflare API 认证的凭据（通常是 API token），用于验证 DDNS 更新请求。
set service dns dynamic name DDNS-CF-v4 protocol 'cloudflare'
指定采用 Cloudflare 专用的 DDNS 更新协议。
set service dns dynamic name DDNS-CF-v4 zone 'example.com'
指定该记录所属的 DNS 区域（Zone）为 example.com。

Cloudflare DDNS（IPv6 版）配置

set service dns dynamic name DDNS-CF-v6 address interface 'pppoe0'
指定使用 pppoe0 接口上的 IPv6 地址作为 DDNS 更新时的目标地址。
set service dns dynamic name DDNS-CF-v6 host-name 'ddns6.example.com'
设置要更新的 IPv6 记录的完整域名为 ddns6.example.com。
set service dns dynamic name DDNS-CF-v6 ip-version 'ipv6'
指明此 DDNS 更新使用 IPv6 地址。
set service dns dynamic name DDNS-CF-v6 password 'token'
提供 Cloudflare API 的认证 token。
set service dns dynamic name DDNS-CF-v6 protocol 'cloudflare'
采用 Cloudflare 协议更新 IPv6 记录。
set service dns dynamic name DDNS-CF-v6 zone 'example.com'
指定该记录所属的 DNS 区域为 example.com。

12.2、dnspod

set service dns dynamic name DNSPOD-v4 address interface 'pppoe0'set service dns dynamic name DNSPOD-v4 host-name 'ddns.example.com'set service dns dynamic name DNSPOD-v4 password 'token'set service dns dynamic name DNSPOD-v4 protocol 'dyndns2'set service dns dynamic name DNSPOD-v4 server 'dnsapi.cn'set service dns dynamic name DNSPOD-v4 username 'id'

DNSPOD DDNS（IPv4 版）配置

set service dns dynamic name DNSPOD-v4 address interface 'pppoe0'
指定使用 pppoe0 接口上的 IPv4 地址用于 DNSPOD 的 DDNS 更新。
set service dns dynamic name DNSPOD-v4 host-name 'ddns.example.com'
设置要更新的域名为 ddns.example.com。
set service dns dynamic name DNSPOD-v4 password 'token'
设置认证密码或令牌，此处用于 DNSPOD 的身份验证。
set service dns dynamic name DNSPOD-v4 protocol 'dyndns2'
指定使用 dyndns2 协议（常见的 DDNS 协议）进行更新。
set service dns dynamic name DNSPOD-v4 server 'dnsapi.cn'
指定 DNSPOD 的 DDNS 更新服务器地址为 dnsapi.cn。
set service dns dynamic name DNSPOD-v4 username 'id'
指定用于认证的用户名（通常为账户 ID），配合密码一起完成身份验证。

Ubuntu 部署 L2TP Server

Sun, 30 Mar 2025 19:45:11 CST

文章介绍：使用Ubuntu 22.04 部署 L2TP Server，用于爱快软路由拨号。

一、更新系统软件包

sudo apt update

二、安装必要依赖

sudo apt install xl2tpd ppp strongswan iptables-persistent -y

三、修改IPSec配置

sudo nano /etc/ipsec.conf

粘贴以下配置到ipsec.conf中

config setup    charondebug="ike 4, cfg 4, net 4, enc 4, lib 4, knl 4"    uniqueids=no    strictcrlpolicy=noconn %default    ike=aes256-sha1-modp2048,aes256-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024!    esp=aes256-sha1,aes128-sha1,3des-sha1!    keyexchange=ikev1    rekey=no    aggressive=no    fragmentation=yes    forceencaps=yes    dpddelay=30    dpdtimeout=120    dpdaction=clearconn l2tp-psk    auto=add    authby=secret    type=transport    left=0.0.0.0    leftprotoport=udp/1701    right=%any    rightprotoport=udp/%any    leftauth=psk    rightauth=psk    ikelifetime=24h    keylife=8h    keyingtries=0

四、修改共享密钥

sudo nano /etc/ipsec.secrets

Adc@12345就是共享密钥

%any  %any  : PSK "Adc@12345"

五、修改L2TP配置

sudo nano /etc/xl2tpd/xl2tpd.conf

粘贴以下配置到xl2tpd.conf中

[global]ipsec saref = yeslisten-addr = 0.0.0.0[lns default]ip range = 100.64.0.2-100.64.0.254local ip = 100.64.0.1require chap = yesrefuse pap = yesrequire authentication = yesname = l2tpdpppoptfile = /etc/ppp/options.xl2tpdlength bit = yes

六、修改PPP配置

sudo nano /etc/ppp/options.xl2tpd

粘贴以下配置到options.xl2tpd中

require-mschap-v2ipcp-accept-localipcp-accept-remotems-dns 8.8.8.8ms-dns 1.1.1.1asyncmap 0authcrtsctslockhide-passwordmodemproxyarplcp-echo-interval 30lcp-echo-failure 4

七、创建用户分配固定IP

7.1、创建用户名密码文件

sudo touch /etc/ppp/chap-secrets && sudo chmod 600 /etc/ppp/chap-secrets && sudo nano /etc/ppp/chap-secrets

贴入以下配置：(每个值之间使用TAB键隔开，不要使用空格键)

l2tp002 l2tpd   l2tp@vpn    100.64.0.2l2tp003 l2tpd   l2tp@vpn    100.64.0.3l2tp004 l2tpd   l2tp@vpn    100.64.0.4l2tp005 l2tpd   l2tp@vpn    100.64.0.5l2tp006 l2tpd   l2tp@vpn    100.64.0.6l2tp007 l2tpd   l2tp@vpn    100.64.0.7l2tp008 l2tpd   l2tp@vpn    100.64.0.8l2tp009 l2tpd   l2tp@vpn    100.64.0.9l2tp010 l2tpd   l2tp@vpn    100.64.0.10l2tp011 l2tpd   l2tp@vpn    100.64.0.11

7.2、格式化用户密码文件

sudo sed -i 's/ /\t/g' /etc/ppp/chap-secrets

八、配置SNAT规则

8.1、执行一对一NAT

sudo iptables -t nat -A POSTROUTING -s 100.64.0.2 -o eth0 -j SNAT --to-source 22.176.141.4sudo iptables -t nat -A POSTROUTING -s 100.64.0.3 -o eth0 -j SNAT --to-source 22.176.141.4sudo iptables -t nat -A POSTROUTING -s 100.64.0.4 -o eth0 -j SNAT --to-source 22.176.141.5sudo iptables -t nat -A POSTROUTING -s 100.64.0.5 -o eth0 -j SNAT --to-source 22.176.141.5sudo iptables -t nat -A POSTROUTING -s 100.64.0.6 -o eth0 -j SNAT --to-source 22.176.141.6sudo iptables -t nat -A POSTROUTING -s 100.64.0.7 -o eth0 -j SNAT --to-source 22.176.141.6sudo iptables -t nat -A POSTROUTING -s 100.64.0.8 -o eth0 -j SNAT --to-source 22.176.141.7sudo iptables -t nat -A POSTROUTING -s 100.64.0.9 -o eth0 -j SNAT --to-source 22.176.141.7sudo iptables -t nat -A POSTROUTING -s 100.64.0.10 -o eth0 -j SNAT --to-source 22.176.141.8sudo iptables -t nat -A POSTROUTING -s 100.64.0.11 -o eth0 -j SNAT --to-source 22.176.141.8

8.2、保存NAT配置

sudo netfilter-persistent save

8.3、查看NAT规则

sudo iptables -t nat -L POSTROUTING -n

九、启动IP转发

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

十、关闭防火墙

sudo ufw disable

十一、服务配置

11.1、开机自启动

sudo systemctl enable strongswan-startersudo systemctl enable xl2tpd

11.2、停止服务

sudo systemctl stop strongswan-startersudo systemctl stop xl2tpd

11.3、启动服务

sudo systemctl start strongswan-startersleep 3sudo systemctl start xl2tpd

十二、爱快拨号

【Vyos-开源篇-31】- VyOS 部署 Ntopng 流量分析器

Sat, 29 Mar 2025 11:02:25 CST

文章介绍：使用官方VyOS Stream版本镜像，用容器部署Ntopng，Ntopng是一个基于网页的高速通信分析器和流量收集器。

一、VyOS镜像

官方链接下载：VyOS Stream

博主共享盘下载：VyOS Stream

二、VyOS安装

【Vyos-开源篇-1】- VMware安装VyOS软路由

三、VyOS配置

【Vyos-开源篇-2】- VyOS软路由基础配置

configureset interfaces ethernet eth0 address '10.225.97.7/24'set nat source rule 1000 outbound-interface name 'eth0'set nat source rule 1000 translation address 'masquerade'set protocols static route 0.0.0.0/0 next-hop 10.225.97.1set service ssh port '22'set system name-server '223.5.5.5'set system name-server '223.6.6.6'commitsave

四、部署Ntopng

4.1、创建容器镜像临时存储目录

sudo mkdir -p /config/podman/image && sudo chmod 777 /config/podman/image

4.2、拉取镜像

sudo export TMPDIR=/config/podman/image podman pull dockerhub.yydy.link:2023/ntop/ntopng:latest

4.3、创建Ntopng数据存储目录

sudo mkdir -p /config/ntopng

4.4、启动容器

configureset container name ntopng allow-host-networksset container name ntopng capability 'net-admin'set container name ntopng capability 'net-raw'set container name ntopng capability 'sys-admin'set container name ntopng environment TZ value 'Asia/Shanghai'set container name ntopng host-name 'ntopng'set container name ntopng image 'ntop/ntopng:latest'set container name ntopng restart 'always'set container name ntopng volume data destination '/var/lib/ntopng'set container name ntopng volume data source '/config/ntopng'commitsave

4.5、查看容器状态

run show container

五、登录Ntopng

【Vyos-开源篇-30】- VyOS 部署飞将 SSLVPN

Mon, 17 Mar 2025 21:38:48 CST

文章介绍：使用当前稳定版VyOS Stream部署飞将SSLVPN，飞将SSLVPN是一款符合企业级远程办公和安全访问的零信任解决方案。支持远程办公、网络管理、权限管理、应用管理、日志审计、内网穿透等实用功能。部署简单，轻松运维，无需公网IP一键连接内网应用。全终端支持（飞将支持macOS和Windows的自研客户端，客户端支持记住密码，支持自主修改密码），且完全兼容思科AnyConnect客户端和OpenConnect客户端。社区版支持对接AD域作为认证源，其他详细信息，请参阅官网介绍。

Ubuntu部署飞将，点击直达：一分钟搭建飞将！企业级零信任VPN

一、Web展示-自研客户端展示

二、飞将科技

1、官网：飞将一站式IT办公平台
2、官方GitHub：飞将
3、官方部署文档：使用指南
4、社区版，专业版，企业版：版本对比
5、项目进度：研发规划
6、技术论坛：BBS知识库
7、在线演示平台：点击参观，默认账号：admin，默认密码：admin123!@#
8、微信讨论组：

9、QQ 讨论组：

三、部署准备

1、安装好vyos软路由
2、获取免费授权key，微信搜索：飞将互联（点击产品授权-点击获取授权）
3、公网IP（如果没有，飞将提供免费的内网穿透服务）
4、下载好飞将客户端（macOS和Windows），或者Cisco AnyConnect，或者OpenConnect

四、客户端下载

4.1、飞将客户端

飞将 Windows 客户端

飞将 macOS 客户端

飞将 Andriod 客户端（开发中...）

飞将 iOS 客户端（开发中...）

飞将 Linux 客户端（开发中...）

4.2、Cisco AnyConnect和OpenConnect客户端

Cisco AnyConnect和OpenConnect 全平台客户端

五、安装VyOS

5.1、官方下载VyOS-Stream版本

VyOS Stream 1.5-2025-Q1

5.2、博主资源站下载VyOS-Stream版本

VyOS Stream 1.5-2025-Q1

下面是VMware安装VyOS教程，如果其他虚拟化系统例如PVE，Hyper-V等不会安装，可以加QQ群或者微信群联系我们。

【Vyos-开源篇-2】- vyos软路由基础配置

六、VyOS基础配置

configureset interfaces ethernet eth0 address '192.168.1.100/24'set nat source rule 100 outbound-interface name 'eth0'set nat source rule 100 translation address 'masquerade'set protocols static route 0.0.0.0/0 next-hop 192.168.1.1set system name-server '223.5.5.5'set system name-server '223.6.6.6'commitsave

七、部署飞将SSLVPN

7.1、安装MongoDB数据库

根据飞将官方部署文档解释，需要有一个MongoDB数据库来存储飞将SSLVPN的后台数据以及用户数据，MongoDB数据库可以使用现有的，如果没有就新建一个，例如本篇采用vyos的container部署一个MongoDB数据库。

7.2、创建数据库初始化文件

sudo mkdir -p /config/podman/feijiang && sudo nano /config/podman/feijiang/init-mongo.js

填入以下数据（nano编辑器保存内容，先按Ctrl+O，在按ENTER，然后在按Ctrl+X即可保存退出）

// init-mongo.jsdb.getSiblingDB("admin").auth("root", "root");db = db.getSiblingDB("feijiang");db.createUser({  user: "feijiang",  pwd: "feijiang_mongo_password",  roles: [{ role: "readWrite", db: "feijiang" }]});db.dummy.insertOne({ status: "init" });

7.3、创建数据存储路径

sudo mkdir -p /config/podman/feijiang/mongo

7.4、下载MongoDB镜像

sudo podman pull dockerhub.yydy.link:2023/library/mongo:4.4

sudo podman pull docker.1ms.run/library/mongo:4.4

7.5、启动MongoDB容器

configureset container name mongodb allow-host-networksset container name mongodb allow-host-pidset container name mongodb capability 'net-admin'set container name mongodb capability 'net-raw'set container name mongodb capability 'sys-admin'set container name mongodb environment MONGO_INITDB_ROOT_PASSWORD value 'root'set container name mongodb environment MONGO_INITDB_ROOT_USERNAME value 'root'set container name mongodb host-name 'mongodb'set container name mongodb image 'library/mongo:4.4'set container name mongodb port 27017 destination '27017'set container name mongodb port 27017 protocol 'tcp'set container name mongodb port 27017 source '27017'set container name mongodb volume db destination '/data/db'set container name mongodb volume db source '/config/podman/feijiang/mongo'set container name mongodb volume init destination '/docker-entrypoint-initdb.d/init-mongo.js'set container name mongodb volume init source '/config/podman/feijiang/init-mongo.js'commitsave

7.6、下载飞将服务端镜像

sudo wget -O /config/podman/feijiang/feijiang.tar.gz \     https://pan.yydy.link:2023/d/share/feijiang/feijiang-server-installer-1.0.0-linux-amd64.tar.gz

7.7、解压缩

cd /config/podman/feijiang && sudo tar -xzf feijiang.tar.gz -C ./ --strip-components=1

7.8、修改环境变量

以下都是必须要修改的地方，其他参数可以根据实际情况修改。

sudo nano .env

7.8.1、修改授权码（必改）

将专属您的授权码替换到配置文件中，例如下面的配置模式

7.8.2、修改MongoDB 挂载路径，数据库持久化目录（必改）

MONGO_VOLUME_PATH=/config/podman/feijiang/mongo

7.8.3、关闭iptables_nat（必改）

VPN_IPTABLES_NAT=false

7.9、启动飞将服务

sudo nohup ./feijiang-admin > /tmp/feijiang-admin.log &sudo nohup ./feijiang-vpn > /tmp/feijiang-vpn.log &

7.10、配置开机自启动

sudo nano /config/scripts/vyos-postconfig-bootup.script

#进入飞将服务端目录cd /config/podman/feijiang#后台运行飞将管理进程sudo nohup ./feijiang-admin > /tmp/feijiang-admin.log &#后台运行飞将VPN进程sudo nohup ./feijiang-vpn > /tmp/feijiang-vpn.log &

八、WEB管理平台使用

关于Web平台的配置使用请参考本篇：一分钟搭建飞将！企业级零信任VPN，点击直达

【Vyos-开源篇-29】- VyOS 部署 squid 实现 http 代理

Sat, 22 Feb 2025 21:40:11 CST

文章介绍：使用官方vyos-1.5版本镜像，简单实现http代理能力，方案一可以使用vyos内置的set命令配置webproxy，方案二可以使用container部署squid。

一、VyOS镜像

官方 GitHub 滚动版下载

https://ghfast.yydy.link:2023/https://github.com/vyos/vyos-nightly-build/releases

二、set设置webproxy

参考链接

2.1、命令行set

set service webproxy cache-size '1024'set service webproxy listen-address 0.0.0.0 disable-transparentset service webproxy mem-cache-size '1024'

1. cache-size '1024'：磁盘缓存 1GB，提高访问速度。
2. listen-address 0.0.0.0 disable-transparent：监听所有 IP，关闭透明代理模式。
3. mem-cache-size '1024'：内存缓存 1GB，减少磁盘读写，加快网页加载。

2.2、底层修改squid.conf

配置允许所有用户连接代理

sudo sed -i '/^[^#]*http_access deny all/s/deny/allow/' /etc/squid/squid.conf

三、container部署squid

3.1、配置registry

set container registry dockerhub.yydy.link:2023

3.2、拉取镜像

run add container image sameersbn/squid

3.3、创建缓存目录

sudo mkdir -p /config/podman/squid/cache

3.4、启动容器

set container name squid allow-host-networksset container name squid capability 'net-admin'set container name squid capability 'sys-admin'set container name squid capability 'net-raw'set container name squid host-name 'vyos-squid'set container name squid image 'sameersbn/squid'set container name squid restart 'always'set container name squid volume cache destination '/var/spool/squid'set container name squid volume cache source '/config/podman/squid/cache'commit

1. allow-host-networks：允许容器使用宿主机的网络（与 VyOS 共享网络）。
2. capability 'net-admin'：授予容器管理网络的权限，比如修改防火墙规则、路由等。
3. capability 'sys-admin'：授予容器管理系统的权限，比如挂载文件系统等。
4. capability 'net-raw'：允许容器发送和接收原始网络数据包。
5. host-name 'vyos-squid'：设置容器的主机名为 vyos-squid。
6. image 'sameersbn/squid'：使用 sameersbn/squid 这个 Squid 代理的 Docker 镜像。
7. restart 'always'：设置容器崩溃或重启时自动重启，确保代理服务持续运行。
8. destination '/var/spool/squid' 容器内部路径，Squid 在容器内存储缓存的目录。
9. source '/config/podman/squid/cache'宿主机路径，VyOS 本机上的目录，实际存储 Squid 缓存数据。

3.5、拷贝默认配置至本地

sudo podman cp squid:/etc/squid/squid.conf /config/podman/squid

3.6、修改squid.conf

配置允许所有用户连接代理

sudo sed -i '/^[^#]*http_access deny all/s/deny/allow/' /config/podman/squid/squid.conf

3.7、映射配置文件

set container name squid volume conf destination '/etc/squid/squid.conf'set container name squid volume conf source '/config/podman/squid/squid.conf'commitsave

1. destination '/etc/squid/squid.conf'容器内部路径，Squid 在容器内使用的配置文件路径。
2. source '/config/podman/squid/squid.conf'宿主机路径，VyOS 本机上的 Squid 配置文件。

3.8、重启容器

run restart container squid

四、windows使用

一分钟搭建飞将！企业级零信任VPN

Sat, 04 Jan 2025 12:39:21 CST

文章介绍：飞将SSLVPN是一款符合企业级远程办公和安全访问的零信任解决方案。支持远程办公、网络管理、权限管理、应用管理、日志审计、内网穿透等实用功能。部署简单，轻松运维，无需公网IP一键连接内网应用。全终端支持（飞将支持macOS和Windows的自研客户端，客户端支持记住密码，支持自主修改密码），且完全兼容思科AnyConnect客户端和OpenConnect客户端。社区版支持对接AD域作为认证源，其他详细信息，请参阅官网介绍。

一、项目来源

1、官网：飞将一站式IT办公平台
2、官方GitHub：飞将
3、官方部署文档：使用指南
4、社区版，专业版，企业版：版本对比
5、项目进度：研发规划
6、技术论坛：BBS知识库
7、在线演示平台：点击参观，默认账号：admin，默认密码：admin123!@#
8、微信讨论组：

9、QQ 讨论组：

二、部署准备

1、安装好docker和docker-compose的linux服务器（NAS，飞牛等环境需要自行验证，本篇介绍Ubuntu系统部署）
2、获取免费授权key，微信搜索：飞将互联（点击产品授权-点击获取授权）
3、公网IP（如果没有，飞将提供免费的内网穿透服务）
4、下载好飞将客户端，或者Cisco AnyConnect，或者OpenConnect

三、客户端下载

3.1、飞将客户端

飞将 Windows 客户端

飞将 macOS 客户端

飞将 Andriod 客户端（开发中...）

飞将 iOS 客户端（开发中...）

飞将 Linux 客户端（开发中...）

3.2、Cisco AnyConnect和OpenConnect客户端

Cisco AnyConnect和OpenConnect 全平台客户端

四、正式部署

4.1、安装docker

Liunx-脚本】VPS 脚本大全

4.2、下载飞将服务端

sudo wget https://pan.yydy.link:2023/d/share/feijiang/feijiang-server-installer-1.0.0-linux-amd64.tar.gz

4.3、解压缩到opt目录

sudo tar -xzf feijiang-server-installer-1.0.0-linux-amd64.tar.gz -C /opt

4.4、进入配置目录

cd /opt/feijiang-server-installer-1.0.0-linux-amd64

4.5、修改环境变量

4.5.1、编辑.env配置文件

nano .env

4.5.2、修改授权码

将专属您的授权码替换到配置文件中，例如下面的配置模式

4.5.3、启动服务

sudo docker-compose up -d

4.6、登录web管理平台

1、登录地址：http://server-ip:8080
2、默认账号：admin
3、默认密码：admin123!@#

五、Web功能介绍

5.1、角色管理

定义飞将系统管理员的角色，支持授权：首页、身份管理、VPN管理、应用管理、终端管理、日志审计。

5.2、用户管理

定义飞将系统管理员的账号，支持绑定各种角色以达到飞将系统管理的分权能力（支持冻结，解冻管理员账号）。

5.3、实名认证

实名认证主要用于管理员可以修改各项飞将系统参数使用，例如下面的内网穿透。

5.4、内网穿透

飞将社区版提供2个端口和1兆带宽的免费内网穿透服务，可以用于测试用户快速体验，微企访问内网使用。

1、服务名称：管理员用来区分映射
2、协议类型：支持TCP和UDP
3、内网地址：当映射飞将服务时，填写：127.0.0.1；当映射内网服务器时，请填写内网IP地址
4、内网端口：请填写服务的端口号
5、带宽权重：0比10占比，社区版免费1兆带宽
6、失效时间：此条映射何时失效

5.5、修改管理员密码

5.6、飞将系统页面调整

5.7、首页

展示：VPN账号数，VPN地址占用数，在线VPN用户会话量，VPN用户在线比例，活跃用户走势图。

5.8、身份管理

5.8.1、分组管理

点击：组内账号，可以新增用户，也可以添加已有用户。

5.8.2、账号管理

社区版支持20个活跃账号，如果超过20个账号，可以将不活跃的账号冻结，冻结后的账号不占用20个活跃账号并发。

1、账号名称：用户终端登录使用，建议英文+数字格式
2、登录密码：可以统一填写，飞将客户端支持用户自主修改密码
3、所属分组：一个用户只能属于一个分组
4、真实姓名：用于日志审计
5、电子邮箱：用于终端接收VPN账号开通信息，且支持邮箱登录VPN
6、手机号码：按需填写，填写后支持用户手机号码登录VPN
7、失效时间：不选默认永久使用，填写后支持到期后账号自动冻结

5.8.3、身份源设置

用于对接AD域，使用域控账号登录VPN，按照信息填写AD参数即可。

5.9、VPN管理

5.9.1、访问策略

5.9.1.1、基础信息

1、策略名称：区分策略
2、策略类型：默认策略（当用户未分组时，匹配默认策略）；分组策略（对指定用户组生效）；账号策略（针对单个用户账号生效）
3、运行模式：兼容模式（支持飞将客户端+Cisco Anyconnect客户端+OpenConnect客户端）；安全增强模式（仅支持飞将客户端）

5.9.1.2、DNS设置

填写内网DNS服务器IP，当没有内网DNS时留空。

5.9.1.3、路由设置

下发内网网段路由，排除指定网段或者IP。

5.9.1.4、访问控制

控制对下发的网段中的IP访问权限，允许或者拒绝（如果是黑名单策略，最下面一条配置全允许，白名单模式相反）。

5.9.2、在线会话

显示当前在线用户。

5.9.3、分配地址

给终端固定IP地址。

5.9.4、其他设置

配置Cisco AnyConnect客户端登录时显示的消息。

5.10、应用管理

应用管理功能只支持飞将客户端使用，其他客户端不支持。

5.10.1、应用分类

应用分类用于在飞将客户端页面显示，用户可以看到自己授权的应用分类或者Web应用。

5.10.2、Web应用

5.10.2.1、基础信息

1、应用名称：用于区分应用
2、应用图标：支持用户自定义显示LOGO
3、访问地址：内网业务访问地址（也支持外网模式）
4、所属类别：属于那类应用
5、应用排序：定义客户端显示位置靠前或者靠后

5.10.2.2、安全策略

支持对Web应用配置：网页明水印，禁止复制文本，禁止鼠标右键，禁止开发者工具，禁止复制到外部浏览器打开。

六、飞将客户端连接测试

6.1、修改网关地址

网关地址写你的服务器公网IP地址，或者端口映射后的公网IP，如果是使用飞将的内网穿透，请填写飞将提供的公网IP和端口（飞将VPN端口默认TCP8560）。

6.2、登录VPN

登录VPN后自动检测本地环境是内网还是外网，外网环境自动连接VPN。

七、终端管理

7.1、终端列表

显示当前在线的用户信息。

7.2、授权记录

显示已授权的用户，可以禁用授权，禁止此终端使用。

八、日志审计

8.1、VPN日志

显示用户连接和退出日志，显示用户访问日志。

8.2、终端登录日志

显示用户连接VPN成功和失败的日志，可以通过这里判断是否有暴力破解的账号。

8.3、后台系统日志

显示各管理员登录飞将系统的日志，以及管理员的操作日志。

九、访问内网

9.1、内网配置回程路由

如果需要以源IP100.64.0.0/20访问内网，需要在内网添加目标地址去100.64.0.0/20下一跳丢给飞将服务器IP。

9.2、飞将服务器配置NAT

如果需要以飞将服务器源IP地址访问内网，需要修改飞将配置文件，开启NAT功能，将源IP100.64.0.0/20转换成飞将服务器IP。

9.2.1、进去配置目录

cd /opt/feijiang-server-installer-1.0.0-linux-amd64

9.2.2、修改.env配置

sudo nano .env

9.2.3、查看iptables表

iptables -t nat -L -n -v |grep MAS

【Vyos-开源篇-28】- VyOS 部署 OpenVPN-Web-GUI

Sat, 07 Dec 2024 11:51:22 CST

文章介绍：本篇介绍使用vyos1.5官方滚动版部署OpenVPN Web GUI管理系统，支持在线编辑openvpn服务端配置，编辑openvpn客户端配置（企业版），创建CA和服务端证书（企业版），查看用户在线情况，批量添加用户，查看用户登录日志等功能。

一、项目来源

SSLVPN Web-GUI 官方系统介绍+部署指导

开发者官方博客

Linuxcc OpenVPN Web-GUI（B站视频）

官方QQ群（进群密码：openvpn）

二、部署准备

2.1、vyos镜像

vyos-1.5-rolling-202412060007-generic-amd64.iso（官方下载）

vyos-1.5-rolling-202412060007-generic-amd64.iso（博主加速站下载）

2.2、OpenVPN Web-GUI系统文件

说明：VyOS版是博主修改只能适用于VyOS安装的，其他linux系统请下载官方社区版（如果使用非vyos系统安装，本教程不适用，请查看作者B站教学视频）。

linuxcc_openvpn_web_gui_v2.4（VyOS版）

linuxcc_openvpn_web_gui_v2.4（官方社区版）

2.3、OpenVPN客户端

Windows 新版本

Windows 旧版本

macOS

Linux

Android

iOS

三、安装vyos

3.1、VMware 安装 VyOS 指导

VMware 安装 VyOS 指导

3.2、VyOS 基础配置指导

VyOS 基础配置指导

3.3、登录vyos

ssh -l vyos -p 22 10.225.97.9

3.4、vyos基础配置

configureset interfaces ethernet eth0 address '10.225.97.9/24'set nat destination rule 100 destination address '10.225.97.9'set nat destination rule 100 destination port '80'set nat destination rule 100 protocol 'tcp'set nat destination rule 100 translation address '100.64.100.2'set nat destination rule 100 translation port '80'set nat destination rule 101 destination address '10.225.97.9'set nat destination rule 101 destination port '1194'set nat destination rule 101 protocol 'tcp_udp'set nat destination rule 101 translation address '100.64.100.2'set nat destination rule 101 translation port '1194'set nat source rule 1000 outbound-interface name 'eth0'set nat source rule 1000 translation address 'masquerade'set protocols static route 0.0.0.0/0 next-hop 10.225.97.6set service ssh disable-host-validationset service ssh port '22'set system host-name 'vyos'set system login banner post-login 'VyOS OpenVPN Web GUI'set system login user vyos authentication plaintext-password 'vyos'set system name-server 10.225.97.6commitsave

3.5、添加openvpn虚拟IP回程路由

这里配置的100.68.100.0/24要和下面的5.4.1步骤中写的IP段一致

set protocols static route 100.68.100.0/24 next-hop 100.64.100.2commitsave

3.6、调优vyos参数

因为当前版本部署的openvpn使用的是tun模式，所以需要先开启vyos的tun，在VyOS系统中，可以将模块名称写入 /etc/modules 文件，以便在系统启动时自动加载

sudo echo "tun" | sudo tee -a /etc/modules

查看是否添加成功

sudo cat /etc/modules

开启tun

sudo modprobe tun

查看是否开启成功

sudo lsmod | grep tun

四、部署openvpn-web-gui

4.1、创建openvpn目录

sudo mkdir -p /config/openvpn && cd /config/openvpn

4.2、下载openvpn-web-gui系统文件

sudo wget https://pan.yydy.link:2023/d/share/openvpn/openvpn-web-gui/linuxcc_openvpn_web_gui_v2.4.tar

4.3、解压文件

sudo tar -xf linuxcc_openvpn_web_gui_v2.4.tar

4.4、进入配置目录

cd linuxcc_openvpn_web_gui_v2.4

4.5、修改bash.sh

修改bash.sh里面的server-ip，改成vyos的eth0接口ip地址

sudo sed -i 's/server-ip/10.225.97.9/' base.sh

4.6、执行安装脚本

通过博主的配置部署完，openvpn-server的ip是100.64.100.2；openvpn-db的ip是100.64.100.3

sudo bash install-Linuxcc-OpenVPN-Web-GUI.sh

五、登录WEB-GUI

登录地址：http://10.225.97.9

admin@linuxcc.cn

5.1、修改管理账号

5.2、注销登录

5.3、重新登录，修改管理员密码

用新的邮箱登录，密码还是：123456

5.4、修改VPN主配置

5.4.1、修改用户虚拟IP段

这个网段需要和步骤3.5写的静态路由保持一致。

server 100.68.100.0 255.255.255.0

5.4.2、全局路由走隧道

push "redirect-gateway def1 bypass-dhcp"

5.4.3、指定路由走隧道

push "route 10.0.0.0 255.0.0.0"push "route 172.16.0.0 255.240.0.0"push "route 192.168.0.0 255.255.0.0"

5.4.4、指定路由走隧道

push "route 10.0.0.0 255.0.0.0 vpn_gateway"

5.4.5、指定路由走本地

push "route 10.10.10.0 255.0.0.0 net_gateway"

5.4.6、下发DNS

push "dhcp-option DNS 10.225.97.6"push "dhcp-option DNS 10.225.97.7"

5.5、创建用户

5.6、下载客户端配置文件

5.7、修改客户端配置文件

setenv FRIENDLY_NAME "VyOS OpenVPN"

含义：
- 自定义环境变量设置，用于为当前 OpenVPN 客户端或服务实例分配一个名称。
- 它主要用于方便用户区分多个 OpenVPN 服务，或者在 OpenVPN 日志中作为标识来帮助管理员识别不同的配置。

remote yydy.link 29999

含义：
- 指定 OpenVPN 客户端要连接的远程服务器的域名或 IP 地址，以及对应的端口号。
- yydy.link 是远程服务器的域名（可以替换为具体的 IP 地址）。
- 29999 是 OpenVPN 服务器监听的端口号（因为我做了端口映射，29999是我的公网端口，内网端口默认还是1194，请注意！）。
高级配置：如果服务器支持多个地址，你可以指定多个 remote 选项，OpenVPN 会依次尝试连接：
```
remote main.yydy.link 19999remote backup.yydy.link 29999
```

setenv FRIENDLY_NAME "VyOS OpenVPN"clientdev tunproto tcpremote yydy.link 29999resolv-retry infinitenobindkey-direction 1persist-keypersist-tunremote-cert-tls servercipher AES-256-GCMverb 3auth-nocacheauth-user-passreneg-sec 0-----BEGIN CERTIFICATE-----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-----END CERTIFICATE----------BEGIN OpenVPN Static key V1-----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-----END OpenVPN Static key V1-----

六、连接测试

【Vyos-开源篇-27】- VyOS 配置 OpenVPN 支持移动终端拨号

Mon, 25 Nov 2024 18:00:50 CST

文章介绍：使用官方vyos-1.5 滚动版搭建openvpn服务，支持分支vyos拨号组网，支持移动终端例如win电脑，手机等设备拨号连接内网。

一、参考资料

vyos.io/openvpn/server

二、VyOS 镜像下载

GitHub最新滚动版releases

GitHub原站下载

GitHub博客加速站下载

三、安装 VyOS

3.1、安装

如果你不会使用VMware安装vyos系统，请先查看如下教程。

Namesilo最便宜的域名一年不到15元（申请后托管cloudflare）

3.2、基础配置

set interfaces ethernet eth0 address '10.225.97.8/24'set protocols static route 0.0.0.0/0 next-hop 10.225.97.6set service ssh port '22'set system name-server '223.5.5.5'set system name-server '223.6.6.6'set nat source rule 100 outbound-interface name 'eth0'set nat source rule 100 source address '100.64.168.0/24'set nat source rule 100 translation address 'masquerade'

四、配置OpenVPN

4.1、生成ca证书

run generate pki ca install ca

4.2、生成服务端证书和密钥

run generate pki certificate sign ca install server-cert-key

4.3、生成DH

run generate pki dh install dh

4.4、生成客户端证书和密钥

run generate pki certificate sign ca install client-cert-key

4.5、配置openvpn接口

set interfaces openvpn vtun5500 description 'OpenVPN-Server'set interfaces openvpn vtun5500 encryption data-ciphers 'aes256'set interfaces openvpn vtun5500 hash 'sha512'set interfaces openvpn vtun5500 local-host '10.225.97.8'set interfaces openvpn vtun5500 local-port '5500'set interfaces openvpn vtun5500 mode 'server'set interfaces openvpn vtun5500 openvpn-option '--script-security 3'set interfaces openvpn vtun5500 openvpn-option '--persist-key'set interfaces openvpn vtun5500 openvpn-option '--persist-tun'set interfaces openvpn vtun5500 openvpn-option '--duplicate-cn'set interfaces openvpn vtun5500 openvpn-option '--push redirect-gateway'set interfaces openvpn vtun5500 openvpn-option '--auth-user-pass-verify /config/auth/checkpsw.sh via-env'set interfaces openvpn vtun5500 openvpn-option '--username-as-common-name'set interfaces openvpn vtun5500 persistent-tunnelset interfaces openvpn vtun5500 protocol 'udp'set interfaces openvpn vtun5500 server client-ip-pool start '100.64.168.2'set interfaces openvpn vtun5500 server client-ip-pool stop '100.64.168.254'set interfaces openvpn vtun5500 server client-ip-pool subnet-mask '255.255.255.0'set interfaces openvpn vtun5500 server domain-name 'vyos.yydy.link'set interfaces openvpn vtun5500 server max-connections '250'set interfaces openvpn vtun5500 server name-server '223.5.5.5'set interfaces openvpn vtun5500 server name-server '223.6.6.6'set interfaces openvpn vtun5500 server subnet '100.64.168.0/24'set interfaces openvpn vtun5500 server topology 'subnet'set interfaces openvpn vtun5500 tls ca-certificate 'ca'set interfaces openvpn vtun5500 tls certificate 'server-cert-key'set interfaces openvpn vtun5500 tls dh-params 'dh'set interfaces openvpn vtun5500 use-lzo-compression

set interfaces openvpn vtun5500 description 'OpenVPN-Server'

描述：为 OpenVPN 接口 vtun5500 设置一个描述性名称，这样可以方便后续的管理和识别。
作用：在配置输出和管理界面中显示这个接口的描述。

set interfaces openvpn vtun5500 encryption data-ciphers 'aes256'

描述：设置 OpenVPN 连接的数据加密算法。
作用：这里指定加密算法 aes256，提供 256 位的 AES 加密，以增强数据安全性。

set interfaces openvpn vtun5500 hash 'sha512'

描述：设置 OpenVPN 连接的哈希算法。
作用：指定使用 sha512 作为数据认证和验证的哈希算法。相比于 sha1 和 md5，sha512 提供更高的安全性。

set interfaces openvpn vtun5500 local-host '10.225.97.8'

描述：设置 OpenVPN 服务器的本地 IP 地址。
作用：指定 OpenVPN 服务监听的本地 IP 地址，这个地址将作为客户端连接到 OpenVPN 服务器的源 IP。

set interfaces openvpn vtun5500 local-port '5500'

描述：设置 OpenVPN 服务器监听的本地端口。
作用：指定 OpenVPN 服务监听的端口（5500），客户端连接到这个端口来建立 OpenVPN 连接。

set interfaces openvpn vtun5500 mode 'server'

描述：设置 OpenVPN 模式为 server。
作用：启用 OpenVPN 服务器模式，这样客户端可以通过服务器与 OpenVPN 网段通信。

set interfaces openvpn vtun5500 openvpn-option '--script-security 3'

描述：设置 OpenVPN 脚本安全级别。
作用：脚本安全级别 3 表示允许脚本从 OpenVPN 服务读取环境变量和调用外部脚本，但不允许直接调用脚本脚本。

set interfaces openvpn vtun5500 openvpn-option '--persist-key'

描述：设置 OpenVPN 客户端和服务器之间的持久密钥。
作用：保持密钥即使重启也不会丢失。

set interfaces openvpn vtun5500 openvpn-option '--persist-tun'

描述：设置 OpenVPN 客户端和服务器之间的持久网桥。
作用：保持 VPN 隧道即使重启也不会丢失。

set interfaces openvpn vtun5500 openvpn-option '--comp-lzo'

描述：启用 LZO 压缩。
作用：启用数据流量压缩，可以提高数据传输速度，但影响安全性。

set interfaces openvpn vtun5500 openvpn-option '--duplicate-cn'

描述：允许一个客户端同时拥有多个 OpenVPN 连接。
作用：支持同一用户多连接。

set interfaces openvpn vtun5500 openvpn-option '--push redirect-gateway'

描述：推送重定向网关选项。
作用：在客户端连接时，自动将所有流量通过 VPN 通道转发到服务器。

set interfaces openvpn vtun5500 openvpn-option '--auth-user-pass-verify /config/auth/checkpsw.sh via-env'

描述：验证用户凭据的脚本路径。
作用：设置用户验证脚本，用于验证用户名和密码。

set interfaces openvpn vtun5500 openvpn-option '--username-as-common-name'

描述：使用用户名作为 OpenVPN 公用名称。
作用：通过客户端的用户名来生成公用名称。

set interfaces openvpn vtun5500 persistent-tunnel

描述：设置 OpenVPN 的持久性隧道。
作用：确保连接即使在网络中断情况下也不会丢失。

set interfaces openvpn vtun5500 protocol 'udp'

描述：设置 OpenVPN 协议。
作用：使用 udp 协议可以支持更高的流量处理和较低的延迟，但稳定性稍差于 tcp。

set interfaces openvpn vtun5500 server client-ip-pool start '100.64.168.2'

描述：设置 OpenVPN 客户端 IP 池的起始地址。
作用：指定客户端的 IP 地址池范围的起始地址。

set interfaces openvpn vtun5500 server client-ip-pool stop '100.64.168.254'

描述：设置 OpenVPN 客户端 IP 池的结束地址。
作用：指定客户端的 IP 地址池范围的结束地址。

set interfaces openvpn vtun5500 server client-ip-pool subnet-mask '255.255.255.0'

描述：设置 OpenVPN 客户端 IP 池的子网掩码。
作用：指定客户端 IP 地址池的子网掩码。

set interfaces openvpn vtun5500 server domain-name 'vyos.yydy.link'

描述：设置 OpenVPN 服务器的域名。
作用：通过这个域名可以方便访问客户端连接。

set interfaces openvpn vtun5500 server max-connections '250'

描述：设置 OpenVPN 服务器的最大连接数。
作用：限制同时允许的客户端连接数。

set interfaces openvpn vtun5500 server name-server '223.5.5.5'

描述：设置 OpenVPN 服务器的 DNS 服务器。
作用：为客户端提供 DNS 服务，允许客户端通过 VPN 使用特定 DNS 服务器。

set interfaces openvpn vtun5500 server name-server '223.6.6.6'

描述：设置第二个 OpenVPN 服务器的 DNS 服务器。
作用：如果第一个 DNS 服务器不可用，则使用备用 DNS 服务器。

set interfaces openvpn vtun5500 server subnet '100.64.168.0/24'

描述：设置 OpenVPN 服务器的子网。
作用：定义客户端 IP 地址的网络范围。

set interfaces openvpn vtun5500 server topology 'subnet'

描述：设置 OpenVPN 的拓扑结构。
作用：选择 subnet 选项，使客户端通过 VPN 可以访问整个子网。

set interfaces openvpn vtun5500 tls ca-certificate 'ca'

描述：设置 OpenVPN 服务器的 CA 证书。
作用：为 OpenVPN 服务提供证书认证，验证客户端和服务器的身份。

set interfaces openvpn vtun5500 tls certificate 'server-cert-key'

描述：设置 OpenVPN 服务器的证书和密钥。
作用：用于身份验证 OpenVPN 服务器。

set interfaces openvpn vtun5500 tls dh-params 'dh'

描述：设置 OpenVPN Diffie-Hellman 参数。
作用：增强 OpenVPN 连接的加密安全性。

set interfaces openvpn vtun5500 use-lzo-compression

描述：启用 LZO 压缩。
作用：减少数据包大小，提高数据传输效率，但可能对数据安全性产生影响。

五、创建用户名密码验证脚本

5.1、创建checkpsw.sh

sudo nano /config/auth/checkpsw.sh

#!/bin/sh############################################################ checkpsw.sh (C) 2004 Mathias Sundman ## This script will authenticate OpenVPN users against# a plain text file. The passfile should simply contain# one row per user with the username first followed by# one or more space(s) or tab(s) and then the password.###########################################################PASSFILE="/config/auth/openvpn_user_passwd.txt"LOG_FILE="/config/auth/openvpn.log"TIME_STAMP=`date "+%Y-%m-%d %T"`if [ ! -r "${PASSFILE}" ]; then  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}  exit 1fiCORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`if [ "${CORRECT_PASSWORD}" = "" ]; then  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}  exit 1fiif [ "${password}" = "${CORRECT_PASSWORD}" ]; then  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}  exit 0fiecho "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}exit 1

5.2、赋权checkpsw.sh

sudo chmod +x /config/auth/checkpsw.sh

5.3、创建密码本

密码本格式是，一行一个用户，中间用空格隔开密码

sudo nano /config/auth/openvpn_user_passwd.txt

5.4、赋权密码本

sudo chmod 664 /config/auth/openvpn_user_passwd.txt

5.5、创建拨号日志文件

sudo nano /config/auth/openvpn.log

六、生成客户端配置

6.1、创建生成移动端配置脚本

sudo nano vyos_ovpn.sh

6.2、贴入配置

#!/bin/vbashsource /opt/vyatta/etc/functions/script-template# 输出配置文件的名称OUTPUT_FILE="vyos.ovpn"# 提取服务器的配置SERVER_IP=$(run show conf com | grep "vtun" | grep "local-host" | awk -F"'" '{print $2}')PORT=$(run show conf com | grep "vtun" | grep "local-port" | awk -F"'" '{print $2}')PROTOCOL=$(run show conf com | grep "vtun" | grep "protocol" | awk -F"'" '{print $2}')# 提取证书和密钥内容CA_CERT=$(run show conf com | grep "ca ca certificate" | awk -F"'" '{print $2}')CLIENT_CERT=$(run show conf com | grep "client-cert-key certificate" | awk -F"'" '{print $2}')CLIENT_KEY=$(run show conf com | grep "client-cert-key private key" | awk -F"'" '{print $2}')# 检查是否成功提取证书和密钥内容if [[ -z "$CA_CERT" || -z "$CLIENT_CERT" || -z "$CLIENT_KEY" ]]; then    echo "Error: Unable to fetch certificate or key information from VyOS configuration."    exit 1fi# 格式化证书内容，每行限制为64个字符format_cert() {    echo "$1" | fold -w 64}# 写入OpenVPN配置文件cat > $OUTPUT_FILE <-----BEGIN CERTIFICATE-----$(format_cert "$CA_CERT")-----END CERTIFICATE----------BEGIN CERTIFICATE-----$(format_cert "$CLIENT_CERT")-----END CERTIFICATE----------BEGIN PRIVATE KEY-----$(format_cert "$CLIENT_KEY")-----END PRIVATE KEY-----EOFecho "OpenVPN configuration file '$OUTPUT_FILE' has been created successfully."

6.3、赋权vyos_ovpn.sh

sudo chmod +x vyos_ovpn.sh

6.4、执行脚本获取vyos.ovpn

sudo bash vyos_ovpn.sh

6.5、移动终端配置文件

setenv FRIENDLY_NAME "VyOS SSL VPN"clientdev tunproto udpremote 10.225.97.8 5500resolv-retry infiniteauth-user-passnobindpersist-keypersist-tunremote-cert-tls servercomp-lzoauth SHA512cipher AES-256-CBCverb 3key-direction 1-----BEGIN CERTIFICATE-----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-----END CERTIFICATE----------BEGIN CERTIFICATE-----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-----END CERTIFICATE----------BEGIN PRIVATE KEY-----MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDX22oOliBIBunIChT0FLd9j876f84gbNVC5LdXR8X8/sTyw5V2EUpVI7XFa3oZLvbk2HlVRYKa2W4jURLJjAXqiYhs5+qFwFY7uL5pw0Yn6Y3Loqf8cGKhC1nYgO5v6YlGiTuzE/xBr+Xxol5Th77zpzVtbwAPFhVsZdVtPIdqb7/ClovIO+/4ReIRQiFRx+LMzp0Z8neCzED9QYgQbIvKM6Tvb8Pr49n+0WpUQt652MP44iBC/iYn6kiKwUygQyIB58r3QpQNR5igVmYQLCcEznKarv0aIK8tK9OIVP8y2InxKRY0gGddEbbhcILJBeaKd7hXE8//stxHDb03kZ29AgMBAAECggEAFn3bl3D/pJmpzuj0BXnKI8hyB+p8wyar8wgrbWoCYIn4YhZMksya6vOpW0yHYKvi2HYQ8HhpczKgNgha1YrkS+uwPi7NIkooAhmOJ62L+BkvJ+6HI/fe4wpwfm1yytDx95pRkOeOc5a9NjgVrYz5seA0ojY8cpX5vf1/Z140+vtAZ6Mr9BNowrfpWLeJyBShns4wct7HTMFj2j9Psgj5s+5wj0oPOhXHPuBi7vqnLY0Y4o2OUNOTRMIqTMn/NSyFAAx2jkUZouXhs5/A/O2UoNN0HeqCF7FlwWpPRNv7/HXUH7OaVyVaaTizYdAdUPG0fQoA5MPCUY6JWQO8LrxRUQKBgQDvxrDu8v0gcqwup3Wj63y/AKfuVIPd6L/fKhkZZ/X3hu9CSfmzUcyhtAfJsIpR6B+VreHE22K1H2GDS0HkDGe+Y7y0o0ufQP2gVcYmDQOLjXEUs4B6Sw+khQ80ZORyAYiMuYqTEbUZgqrsuq2qiw4bCkcKpr7O8WRMtlQnS3EPrQKBgQDmdmgbXciphb5v63BEnmOX9Uh/Siul//QyrYXMtpcJCwnPTsYXy1dSgnQCwIveAJ7gKUOPakXhNJEqbm597iYnTjmvYpHrMQ65kDWi0OStCH0+XH9YaT997BqvHvgRsEsL/vmPnqFe+4vtdKv9lnys926j5Ow6149t0HicTk9IUQKBgBNgSwwENtBYc/GRNsB4VyxYMTnhOobEOD0gecbDz+ygytTghX0oLxEiKz7xNTxJNcQyuPvffqqETqz9d+Wl2vxXsvgl+gZ0igpa5BhPFOpCE9FIcClxx2HUHtZtEMjlttMoazpXQ/s7w/Q9YatWcV1eBz+lGeY/O4u3cDV8szZBAoGAcVg6y3rMfdNxXcoFZTog8VOJXFE2NmYzy9jbvVrv3Vq4cGTluD4hrErMk63vHDhh6w1gVOCHjcM0whGd9gFyclJevItWCL4P5+Os/W6PiSprrof/eZQJzfyZAxfQGaMCxduZEbGK3BQLNbX0ALxKhScMGz8zj50ExZWKPBWnmIECgYEA5xXlobbW/g72lYuagT8f+TmrSnf91S9wx2xJHfgMfP3/KkFStbg8AJgk1+cSNt17rdWt2t1ZNq7V2aBK1fMFUnFk0ayzd3MqAB9Dcw8wvd/KOX30tvKsZOT6hOt0PizotCo2ylO9+d31O7UXNX+yUNhY392unDZBtAzpETp2iSE=-----END PRIVATE KEY-----

6.6、vyos客户端配置文件

set pki ca ca certificate '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'set pki certificate client-cert-key certificate 'MIIDuTCCAqGgAwIBAgIUJR69F7L56dUFqGtwBGf9fDyHh2owDQYJKoZIhvcNAQELBQAwWzELMAkGA1UEBhMCQ04xETAPBgNVBAgMCFNoYW5naGFpMREwDwYDVQQHDAhTaGFuZ2hhaTENMAsGA1UECgwEWVlEWTEXMBUGA1UEAwwOdnlvcy55eWR5LmxpbmswHhcNMjQxMTI1MDY0NjExWhcNMzQxMTIzMDY0NjExWjBbMQswCQYDVQQGEwJDTjERMA8GA1UECAwIU2hhbmdoYWkxETAPBgNVBAcMCFNoYW5naGFpMQ0wCwYDVQQKDARZWURZMRcwFQYDVQQDDA52eW9zLnl5ZHkubGluazCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANfbag6WIEgG6cgKFPQUt32Pzvp/ziBs1ULkt1dHxfz+xPLDlXYRSlUjtcVrehku9uTYeVVFgprZbiNREsmMBeqJiGzn6oXAVju4vmnDRifpjcuip/xwYqELWdiA7m/piUaJO7MT/EGv5fGiXlOHvvOnNW1vAA8WFWxl1W08h2pvv8KWi8g77/hF4hFCIVHH4szOnRnyd4LMQP1BiBBsi8ozpO9vw+vj2f7RalRC3rnYw/jiIEL+JifqSIrBTKBDIgHnyvdClA1HmKBWZhAsJwTOcpqu/Rogry0r04hU/zLYifEpFjSAZ10RtuFwgskF5op3uFcTz/+y3EcNvTeRnb0CAwEAAaN1MHMwDAYDVR0TAQH/BAIwADAOBgNVHQ8BAf8EBAMCB4AwEwYDVR0lBAwwCgYIKwYBBQUHAwIwHQYDVR0OBBYEFBIUgY7hXM3uj/RHNdYz1PvZFs2YMB8GA1UdIwQYMBaAFBMOfWfT3fuT4Htr0WHcsUAz4CphMA0GCSqGSIb3DQEBCwUAA4IBAQAy/OKxBM3Q+MGTDQdgCT5Edpivd38dl6ZYLuMNIH2fozxxZzpVnKqjjM47sI1q32eU2V0f/iOf3tONUO0KWwx6hKcrMuPXmsPmbcMNzwId3z5U8DxWSH+2yS4XGY3lOxB/hd3ELtJd6KO//BV+EBzsodz+tIMKrxkoKETsYKQTieqJvjRelO5l1p0isBqJZY92GhAxSpr6O7QE81j5WfN5GdgZcw1e7HE+Dh0tZuugkb3OBmxbAKXkBmB0wsETn18JO/qhJoekKg2B7eWABv/KR6lhfxQ/FlJp7MV61jMcRNmJLYE1p5zb8PMD+FDAardN4+zgpnVRkNgzat5zcIi0'set pki certificate client-cert-key private key 'MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDX22oOliBIBunIChT0FLd9j876f84gbNVC5LdXR8X8/sTyw5V2EUpVI7XFa3oZLvbk2HlVRYKa2W4jURLJjAXqiYhs5+qFwFY7uL5pw0Yn6Y3Loqf8cGKhC1nYgO5v6YlGiTuzE/xBr+Xxol5Th77zpzVtbwAPFhVsZdVtPIdqb7/ClovIO+/4ReIRQiFRx+LMzp0Z8neCzED9QYgQbIvKM6Tvb8Pr49n+0WpUQt652MP44iBC/iYn6kiKwUygQyIB58r3QpQNR5igVmYQLCcEznKarv0aIK8tK9OIVP8y2InxKRY0gGddEbbhcILJBeaKd7hXE8//stxHDb03kZ29AgMBAAECggEAFn3bl3D/pJmpzuj0BXnKI8hyB+p8wyar8wgrbWoCYIn4YhZMksya6vOpW0yHYKvi2HYQ8HhpczKgNgha1YrkS+uwPi7NIkooAhmOJ62L+BkvJ+6HI/fe4wpwfm1yytDx95pRkOeOc5a9NjgVrYz5seA0ojY8cpX5vf1/Z140+vtAZ6Mr9BNowrfpWLeJyBShns4wct7HTMFj2j9Psgj5s+5wj0oPOhXHPuBi7vqnLY0Y4o2OUNOTRMIqTMn/NSyFAAx2jkUZouXhs5/A/O2UoNN0HeqCF7FlwWpPRNv7/HXUH7OaVyVaaTizYdAdUPG0fQoA5MPCUY6JWQO8LrxRUQKBgQDvxrDu8v0gcqwup3Wj63y/AKfuVIPd6L/fKhkZZ/X3hu9CSfmzUcyhtAfJsIpR6B+VreHE22K1H2GDS0HkDGe+Y7y0o0ufQP2gVcYmDQOLjXEUs4B6Sw+khQ80ZORyAYiMuYqTEbUZgqrsuq2qiw4bCkcKpr7O8WRMtlQnS3EPrQKBgQDmdmgbXciphb5v63BEnmOX9Uh/Siul//QyrYXMtpcJCwnPTsYXy1dSgnQCwIveAJ7gKUOPakXhNJEqbm597iYnTjmvYpHrMQ65kDWi0OStCH0+XH9YaT997BqvHvgRsEsL/vmPnqFe+4vtdKv9lnys926j5Ow6149t0HicTk9IUQKBgBNgSwwENtBYc/GRNsB4VyxYMTnhOobEOD0gecbDz+ygytTghX0oLxEiKz7xNTxJNcQyuPvffqqETqz9d+Wl2vxXsvgl+gZ0igpa5BhPFOpCE9FIcClxx2HUHtZtEMjlttMoazpXQ/s7w/Q9YatWcV1eBz+lGeY/O4u3cDV8szZBAoGAcVg6y3rMfdNxXcoFZTog8VOJXFE2NmYzy9jbvVrv3Vq4cGTluD4hrErMk63vHDhh6w1gVOCHjcM0whGd9gFyclJevItWCL4P5+Os/W6PiSprrof/eZQJzfyZAxfQGaMCxduZEbGK3BQLNbX0ALxKhScMGz8zj50ExZWKPBWnmIECgYEA5xXlobbW/g72lYuagT8f+TmrSnf91S9wx2xJHfgMfP3/KkFStbg8AJgk1+cSNt17rdWt2t1ZNq7V2aBK1fMFUnFk0ayzd3MqAB9Dcw8wvd/KOX30tvKsZOT6hOt0PizotCo2ylO9+d31O7UXNX+yUNhY392unDZBtAzpETp2iSE='set interfaces openvpn vtun5500 authentication password 'vyos'set interfaces openvpn vtun5500 authentication username 'vyos'set interfaces openvpn vtun5500 encryption data-ciphers 'aes256'set interfaces openvpn vtun5500 hash 'sha512'set interfaces openvpn vtun5500 mode 'client'set interfaces openvpn vtun5500 persistent-tunnelset interfaces openvpn vtun5500 protocol 'udp'set interfaces openvpn vtun5500 remote-host '10.225.97.8'set interfaces openvpn vtun5500 remote-port '5500'set interfaces openvpn vtun5500 tls ca-certificate 'ca'set interfaces openvpn vtun5500 tls certificate 'client-cert-key'set interfaces openvpn vtun5500 use-lzo-compression

七、连接测试

7.1、windows连接测试

7.2、vyos客户端测试

【Vyos-开源篇-26】- VyOS+Container+Frrouting 国内外ipv4路由分流

Sun, 03 Nov 2024 17:31:38 CST

文章介绍：开源篇25是介绍独立部署BGPServer服务器的方式实现VyOS+Frrouting路由分流，本篇讲解使用VyOS自身的容器功能，利用Container在VyOS本地部署Frrouting容器，容器使用network模式，与VyOS本身的veth接口建立iBGP邻居，实现国内外ipv4路由分流功能。

一、逻辑拓扑

拓扑分析

实线方框是VyOS，ETH0接光猫，ETH1接海外出口，ETH2接内网电脑。
虚线方框是Container启动的FRR，FRR的eth0@if13连接到VyOS的veth0虚拟接口上。
FRR运行BGPServer的配置，宣告国内网段和默认路由给VyOS。
VyOS运行BGP与FRR建立iBGP邻居，学习FRR宣告的路由，通过community-list设置next-hop，实现国内外ipv4路由分流。

二、FRR配置

2.1、创建FRR外部配置文件夹

sudo mkdir -p /config/podman/frrouting

2.2、下载daemons文件

sudo wget --no-check-certificate -P /config/podman/frrouting https://pan.yydy.link:2023/d/share/frr/vyosfrr/daemons

2.3、下载frr.conf文件

sudo wget --no-check-certificate -P /config/podman/frrouting https://pan.yydy.link:2023/d/share/frr/vyosfrr/frr.conf

2.3、下载vtysh.conf文件

sudo wget --no-check-certificate -P /config/podman/frrouting https://pan.yydy.link:2023/d/share/frr/vyosfrr/vtysh.conf

三、VyOS配置

3.1、拉取镜像

sudo podman pull d.yydy.link:2023/frrouting/frr:latest

sudo podman pull docker.io/frrouting/frr:latest

3.2、FRR容器配置

configureset container name bgpserver capability 'net-admin'set container name bgpserver capability 'sys-admin'set container name bgpserver capability 'net-raw'set container name bgpserver host-name 'bgpserver'set container name bgpserver image 'frrouting/frr:latest'set container name bgpserver network bgpnet address '192.168.255.2'set container name bgpserver restart 'always'set container name bgpserver volume daemons destination '/etc/frr/daemons'set container name bgpserver volume daemons source '/config/podman/frrouting/daemons'set container name bgpserver volume frrconf destination '/etc/frr/frr.conf'set container name bgpserver volume frrconf source '/config/podman/frrouting/frr.conf'set container name bgpserver volume vtyshconf destination '/etc/frr/vtysh.conf'set container name bgpserver volume vtyshconf source '/config/podman/frrouting/vtysh.conf'set container network bgpnet no-name-serverset container network bgpnet prefix '192.168.255.0/24'commitsave

3.3、BGP配置

configureset policy community-list china-route rule 1000 action 'permit'set policy community-list china-route rule 1000 regex '65000:999'set policy community-list default-route rule 1000 action 'permit'set policy community-list default-route rule 1000 regex '65000:777'set policy route-map smart-route rule 100 action 'permit'set policy route-map smart-route rule 100 match community community-list 'default-route'set policy route-map smart-route rule 100 set ip-next-hop '10.225.97.6'set policy route-map smart-route rule 200 action 'permit'set policy route-map smart-route rule 200 match community community-list 'china-route'set policy route-map smart-route rule 200 set ip-next-hop '10.225.97.1'set policy route-map smart-route rule 1000 action 'deny'set policy route-map smart-route rule 1000 description 'block_route'set protocols bgp neighbor 192.168.255.2 address-family ipv4-unicast route-map import 'smart-route'set protocols bgp neighbor 192.168.255.2 address-family ipv4-unicast soft-reconfiguration inboundset protocols bgp neighbor 192.168.255.2 remote-as '65000'set protocols bgp neighbor 192.168.255.2 update-source '192.168.255.1'set protocols bgp system-as '65000'set protocols bgp timers holdtime '15'set protocols bgp timers keepalive '3'commitsave

3.4、其他配置

configureset interfaces ethernet eth0 address '10.225.97.10/24'set protocols static route 0.0.0.0/0 next-hop 10.225.97.1 distance '230'set service ssh port '22'set system host-name 'vyos'set system login banner post-login 'vyos'set system login user vyos authentication plaintext-password 'vyos'set system name-server '10.225.97.6'commitsave

四、查看相关信息

4.1、查看FRR日志

monitor log container bgpserver

4.2、查看bgp建立状态

show ip bgp summary

4.3、查看接收的路由信息

show ip bgp neighbors 192.168.255.2 received-routes

4.4、查看中国路由表

show ip bgp community-list china-route

4.5、查看路由表

show ip route

五、自动更新BGP路由

脚本实现拉取github上小编用Actions创建的中国ipv4路由自动更新程序，实现获取最新中国的apnic地址池，然后通过软重启方式，不间断业务，更新最新路由表。

5.1、进入FRR外部配置文件夹

cd /config/podman/frrouting

5.2、下载FRR自动更新脚本

sudo wget --no-check-certificate -P /config/podman/frrouting https://pan.yydy.link:2023/d/share/script/frrouter-update.sh

5.3、赋予脚本执行权限

sudo chmod +x frrouter-update.sh

5.4、配置定时执行cron

0 ：第 0 分钟（那分）
22 ：第 22 小时 (晚上 10 点)（那时）
*：那天 (不限制)
*：那月 (不限制)
6 ：星期六 (0 和 7 都代表周日，1-6 代表周一到周六)（那日）

configureset system task-scheduler task bgp-update crontab-spec '0 22 * * 6'set system task-scheduler task bgp-update executable path '/config/podman/frrouting/frrouter-update.sh'commitsave

5.5、手动执行测试

sudo bash frrouter-update.sh

【Vyos-开源篇-25】- VyOS+FRRouting 国内外ipv4路由分流

Sat, 26 Oct 2024 20:28:09 CST

文章介绍：上一篇讲解使用FRRouting搭建BGPServer服务器，本篇将讲解VyOS如何配置BGP对接FRR，实现国内外ipv4路由分流功能。

一、网络架构

架构说明

VyOS Router ：作为公司出口主路由，ipv4路由分流从这里来实现。
MS-PE ：MPLS VPN骨干网的主接入POP。
BS-PE ：MPLS VPN骨干网的备份接入POP。
MBS ：MPLS VPN骨干网上的主BGPServer服务器，用于给VyOS Router学习国内ipv4路由的服务器。
BBS ：MPLS VPN骨干网上的备份BGPServer服务器，用于给VyOS Router学习国内ipv4路由的服务器。
HK-OS-PE ：香港机房出口。
USA-OS-PE ：美国机房出口。

二、VyOS Router配置

set interfaces ethernet eth0 address '10.225.97.9/24'set interfaces ethernet eth0 offload groset interfaces ethernet eth0 offload gsoset interfaces ethernet eth0 offload sgset interfaces ethernet eth0 offload tsoset policy community-list china-route rule 1000 action 'permit'set policy community-list china-route rule 1000 regex '65000:999'set policy community-list default-route rule 1000 action 'permit'set policy community-list default-route rule 1000 regex '65000:777'set policy route-map BBS rule 100 action 'permit'set policy route-map BBS rule 100 description 'to-main-out'set policy route-map BBS rule 100 match community community-list 'default-route'set policy route-map BBS rule 100 set ip-next-hop '10.225.97.6'set policy route-map BBS rule 100 set local-preference '50'set policy route-map BBS rule 200 action 'permit'set policy route-map BBS rule 200 match community community-list 'china-route'set policy route-map BBS rule 200 set ip-next-hop '10.225.97.1'set policy route-map BBS rule 200 set local-preference '50'set policy route-map BBS rule 1000 action 'deny'set policy route-map BBS rule 1000 description 'block_route'set policy route-map MBS rule 100 action 'permit'set policy route-map MBS rule 100 description 'to-backup-out'set policy route-map MBS rule 100 match community community-list 'default-route'set policy route-map MBS rule 100 set ip-next-hop '10.225.97.6'set policy route-map MBS rule 200 action 'permit'set policy route-map MBS rule 200 match community community-list 'china-route'set policy route-map MBS rule 200 set ip-next-hop '10.225.97.1'set policy route-map MBS rule 1000 action 'deny'set policy route-map MBS rule 1000 description 'block_route'set protocols bgp neighbor 192.168.6.200 peer-group 'BBS'set protocols bgp neighbor 192.168.65.65 peer-group 'MBS'set protocols bgp parameters router-id '10.225.97.9'set protocols bgp peer-group BBS address-family ipv4-unicast route-map import 'BBS'set protocols bgp peer-group BBS address-family ipv4-unicast soft-reconfiguration inboundset protocols bgp peer-group BBS remote-as '65000'set protocols bgp peer-group BBS update-source '10.225.97.9'set protocols bgp peer-group MBS address-family ipv4-unicast route-map import 'MBS'set protocols bgp peer-group MBS address-family ipv4-unicast soft-reconfiguration inboundset protocols bgp peer-group MBS remote-as '65000'set protocols bgp peer-group MBS update-source '10.225.97.9'set protocols bgp system-as '65000'set protocols bgp timers holdtime '15'set protocols bgp timers keepalive '3'set protocols static route 0.0.0.0/0 next-hop 10.225.97.1 distance '230'set protocols static route 192.168.6.200/32 next-hop 10.225.97.6set protocols static route 192.168.65.65/32 next-hop 10.225.97.6set service ntp server time1.vyos.netset service ntp server time2.vyos.netset service ntp server time3.vyos.netset service ssh port '22'set system config-management commit-revisions '100'set system console device ttyS0 speed '115200'set system host-name 'vyos'set system login banner post-login 'vyos'set system login user vyos authentication encrypted-password '$6$rounds=656000$z9DDX9RZQiQgus/X$ov27PBJ4PAX0rmZC2v4j.lIVBva6bCBVcQJtJc77RQYViEEe5aUY3Pcref3v29SJiQ1iwHbuAEBlUP9eb6Vdq/'set system login user vyos authentication plaintext-password ''set system syslog global facility all level 'info'set system syslog global facility local7 level 'debug'

三、BGPServer配置

3.1、MBS

frr version 10.1.1frr defaults traditionalhostname master-bgpserverlog syslog informationalno ip forwardingno ipv6 forwardingservice integrated-vtysh-config!router bgp 65000 no bgp ebgp-requires-policy no bgp default ipv4-unicast no bgp network import-check timers bgp 3 15 neighbor 10.225.97.9 remote-as 65000 neighbor 10.225.97.9 update-source 192.168.65.65 ! address-family ipv4 unicast  network 0.0.0.0/0 route-map default-route  network 1.0.1.0/24 route-map china-route   .....  network 223.255.252.0/23 route-map china-route   neighbor 10.225.97.9 activate exit-address-familyexit!access-list 10 seq 10 permit any!bgp community-list expanded china-route seq 999 permit 65000:999bgp community-list expanded default-route seq 777 permit 65000:777!route-map china-route permit 999 set community 65000:999 additiveexit!route-map default-route permit 777 set community 65000:777 additiveexit!

3.2、BBS

frr version 10.1.1frr defaults traditionalhostname master-bgpserverlog syslog informationalno ip forwardingno ipv6 forwardingservice integrated-vtysh-config!router bgp 65000 no bgp ebgp-requires-policy no bgp default ipv4-unicast no bgp network import-check timers bgp 3 15 neighbor 10.225.97.9 remote-as 65000 neighbor 10.225.97.9 update-source 192.168.6.200 ! address-family ipv4 unicast  network 0.0.0.0/0 route-map default-route  network 1.0.1.0/24 route-map china-route   .....  network 223.255.252.0/23 route-map china-route   neighbor 10.225.97.9 activate exit-address-familyexit!access-list 10 seq 10 permit any!bgp community-list expanded china-route seq 999 permit 65000:999bgp community-list expanded default-route seq 777 permit 65000:777!route-map china-route permit 999 set community 65000:999 additiveexit!route-map default-route permit 777 set community 65000:777 additiveexit!

四、BGP建立状态

4.1、BGP建立状态

vyos@vyos:~$ show bgp summary

4.2、路由条目

vyos@vyos:~$ show ip route

4.3、查看分流情况

show ip route 223.5.5.5

show ip route 8.8.8.8

FRRouting 搭建智能路由分流服务器（BGPServer）

Sat, 26 Oct 2024 00:49:23 CST

文章介绍：使用Ubuntu安装FRRouting，采用FRR的动态路由协议BGP，搭建智能路由分流服务器，简称BGPServer（缩写BS），主BGPServer简称MBS，备份BGPServer简称BBS。

一、Ubuntu安装FRR

1.1、更新软件包并安装FRR

sudo apt update

sudo apt install -y frr frr-pythontools

1.2、启动FRR服务

sudo systemctl start frr

1.3、配置FRR开机自启动

sudo systemctl enable frr

1.4、查看FRR服务状态

sudo systemctl status frr

二、搭建BGPServer

2.1、开启BGPD功能

sudo nano /etc/frr/daemons

2.2、重启FRR服务生效BGPD

sudo systemctl restart frr

2.3、备份原始frr.conf文件

sudo mv /etc/frr/frr.conf /etc/frr/frr-backup.conf

2.4、下载智能frr.conf文件

sudo wget -P /etc/frr/ https://pan.yydy.link:2023/d/share/frr/200/frr.conf

sudo wget -P /etc/frr/ https://pan.yydy.link:2023/d/share/frr/201/frr.conf

2.5、重启FRR服务生效配置

sudo systemctl restart frr

2.6、查看bgp状态

2.6.1、进入FRR

vtysh

2.6.2、查看bgp建立状态

show ip bgp summary

三、配置FRR

3.1、进入FRR

root@master-bgpserver:~# vtyshHello, this is FRRouting (version 10.1.1).Copyright 1996-2005 Kunihiro Ishiguro, et al.master-bgpserver#

3.2、进入配置模式

master-bgpserver# configure terminal

3.3、添加新邻居

master-bgpserver(config)# router bgp 65000master-bgpserver(config-router)# neighbor 10.225.97.15 remote-as 65000master-bgpserver(config-router)# neighbor 10.225.97.15 update-source 10.225.97.200master-bgpserver(config-router)# address-family ipv4 unicastmaster-bgpserver(config-router-af)# neighbor 10.225.97.15 activatemaster-bgpserver(config-router-af)# endmaster-bgpserver# wrNote: this version of vtysh never writes vtysh.confBuilding Configuration...Integrated configuration saved to /etc/frr/frr.conf[OK]master-bgpserver#

【HUAWEI-Datacom-HCIA】- EASY-IP NAT 实验 - DHCP 实验

Thu, 26 Sep 2024 18:31:13 CST

文章介绍：通过eNSP部署一台AR路由器，作为企业出口路由器配置NAT上网，启用DHCP Server功能给终端用户下发IP。一个云用于桥接本地网卡上网，充当运营商的光猫。一台交换机用于区分不通用户的VLAN，俩台PC测试ping公网百度

一、eNSP下载

HUAWEI eNSP

二、实验拓扑

三、云桥接配置

3.1、添加环回网卡

详细请按照如下步骤，首先CMD输入：hdwwiz

hdwwiz

ncpa.cpl

重命名：ensp

3.2、网卡桥接

如下图所示，选择自己上网的网卡，无线或者有线，然后共享网络给环回网卡ensp

查看ensp环回网卡的ip地址，此ip是我们AR1的默认路由网关

四、设备配置

4.1、云配置

4.2、AR1

# sysname AR1#dhcp enable#acl number 2000   rule 5 permit source 192.168.10.0 0.0.0.255  rule 10 permit source 192.168.20.0 0.0.0.255 #interface GigabitEthernet0/0/0 description to-Cloud ip address 192.168.137.2 255.255.255.0  nat outbound 2000#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/1.10 dot1q termination vid 10 ip address 192.168.10.1 255.255.255.0  arp broadcast enable dhcp select interface dhcp server dns-list 223.5.5.5 223.6.6.6 #interface GigabitEthernet0/0/1.20 dot1q termination vid 20 ip address 192.168.20.1 255.255.255.0  arp broadcast enable dhcp select interface dhcp server dns-list 223.5.5.5 223.6.6.6 #ip route-static 0.0.0.0 0.0.0.0 192.168.137.1#

4.3、SW1

#sysname SW1#vlan batch 10 20#interface Ethernet0/0/1 description to-PC1 port link-type access port default vlan 10#interface Ethernet0/0/2 description to-PC2 port link-type access port default vlan 20#interface GigabitEthernet0/0/1 description to-AR1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 20#

4.4、PC

五、PC测试ping百度域名

5.1、查看PC的ip地址获取情况

5.2、ping测试

六、通信过程

1、PC1和PC2通过AR1路由器下发的DHCP获取到IP地址
2、PC1和PC2访问百度域名的流量，通过SW1交换机抵达AR1路由器，进过AR1的G0/0/0接口时，匹配上ACL 2000，out方向命令nat，将192.168.10.0/24和192.168.20.0/24内网地址NAT成192.168.137.2出去上网

七、DHCP全局模式

7.1、AR1配置

# sysname AR1#dhcp enable#acl number 2000   rule 5 permit source 192.168.10.0 0.0.0.255  rule 10 permit source 192.168.20.0 0.0.0.255 #ip pool vlan20 gateway-list 192.168.20.20  network 192.168.20.0 mask 255.255.255.0  excluded-ip-address 192.168.20.30 192.168.20.254  dns-list 114.114.114.114 114.114.115.115 #ip pool vlan10 gateway-list 192.168.10.10  network 192.168.10.0 mask 255.255.255.0  excluded-ip-address 192.168.10.20 192.168.10.254  dns-list 114.114.114.114 114.114.115.115 #interface GigabitEthernet0/0/0 ip address 192.168.137.2 255.255.255.0  nat outbound 2000#interface GigabitEthernet0/0/1.10 dot1q termination vid 10 ip address 192.168.10.1 255.255.255.0  arp broadcast enable dhcp select global#interface GigabitEthernet0/0/1.20 dot1q termination vid 20 ip address 192.168.20.1 255.255.255.0  arp broadcast enable dhcp select global#ip route-static 0.0.0.0 0.0.0.0 192.168.137.1#

7.2、PC重新获取IP地址

ipconfig /renew

【HUAWEI-Datacom-HCIA】- ACL基础与高级配置实验

Tue, 24 Sep 2024 00:38:11 CST

文章介绍：使用华为eNSP部署三台PC，一台交换机，演练基础和高级ACL配置，验证ACL结果。

一、eNSP下载

HUAWEI eNSP

二、基础ACL

PC1到PC2和PC3都不通，反向也不通。

2.1、实验拓扑

2.2、SW1配置

#sysname SW1#acl number 2000 rule 5 deny source 10.1.1.1 0#interface GigabitEthernet0/0/1 description to-PC1 traffic-filter inbound acl 2000#interface GigabitEthernet0/0/2 description to-PC2#interface GigabitEthernet0/0/3 description to-PC3#

2.3、实验验证

三、高级ACL

PC2到PC1可以通，PC3到PC1不通。

3.1、实验拓扑

3.2、SW1配置

#sysname SW1#acl number 3000 rule 5 deny ip source 10.1.1.1 0 destination 10.1.1.3 0#interface GigabitEthernet0/0/1 description to-PC1 traffic-filter inbound acl 3000#interface GigabitEthernet0/0/2 description to-PC2#interface GigabitEthernet0/0/3 description to-PC3#

3.3、实验验证

四、拓展

入向ACL为了更加精准可以采用高级ACL 3000-3999，出向因为目标已经精准所以可以采用基础ACL 2000-2999

【HUAWEI-Datacom-HCIA】- 链路聚合实验

Mon, 23 Sep 2024 23:51:53 CST

文章介绍：使用eNSP配置演练链路聚合实验。

一、eNSP下载

HUAWEI eNSP

二、实验一

2.1、实验拓扑

2.2、SW1配置

#sysname SW1#interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 mode lacp-static#interface GigabitEthernet0/0/23 description to-SW2-G0/0/23 eth-trunk 1#interface GigabitEthernet0/0/24 description to-SW2-G0/0/24 eth-trunk 1#

2.3、SW2配置

#sysname SW2#interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 mode lacp-static#interface GigabitEthernet0/0/23 description to-SW1-G0/0/23 eth-trunk 1#interface GigabitEthernet0/0/24 description to-SW1-G0/0/24 eth-trunk 1#

2.4、查看状态

display eth-trunk 1

三、实验二

3.1、实验拓扑

3.2、SW3配置

#sysname SW3#vlan batch 10#interface Vlanif10 ip address 10.10.10.1 255.255.255.0#interface Eth-Trunk1 port link-type access port default vlan 10 mode lacp-static load-balance src-ip#interface GigabitEthernet0/0/23 description to-AR1-G0/0/1 eth-trunk 1#interface GigabitEthernet0/0/24 description to-AR1-G0/0/2 eth-trunk 1#

3.3、AR1配置

# sysname AR1#interface Eth-Trunk1 undo portswitch ip address 10.10.10.2 255.255.255.0  mode lacp-static load-balance src-ip#interface GigabitEthernet0/0/1 description to-SW3-G0/0/23 eth-trunk 1#interface GigabitEthernet0/0/2 description to-SW3-G0/0/24 eth-trunk 1#

3.4、查看状态

display eth-trunk 1

3.5、连通性测试

3.6、故障测试

【Vyos-开源篇-24】- Docker/Podman 部署 AnyLink SSLVPN详细指南

Sat, 21 Sep 2024 00:22:57 CST

文章介绍：开源篇21中介绍vyos使用二进制模式部署AnyLink，附带解释了多种网络模式的配置方式，本期介绍使用vyos内置容器命令，使用docker的方式部署，vyos中原生安装的是podman与docker类似，docker安装anylink采用docker run命令，podman则是podman run。

Podman 和 Docker 是两种用于管理容器的工具，虽然它们在功能上有许多相似之处，但也有一些重要的区别：

架构设计：
- Docker：采用客户端-服务端架构，即有一个守护进程（dockerd），客户端通过 Docker API 与守护进程通信来管理容器。这意味着 Docker 需要守护进程持续运行来支持容器操作。
- Podman：无守护进程。Podman 是一个“无守护进程”的容器管理工具，用户直接与容器交互，而不需要运行任何后台守护进程，这使得它更轻量化，适合没有长期运行的服务需求的场景。
权限管理：
- Docker：默认需要 root 权限运行，虽然也可以通过 rootless mode 实现无 root 权限运行，但实现上复杂，且可能有一些功能限制。
- Podman：天然支持无 root 运行（rootless containers），安全性更高，特别适合多用户环境中不希望赋予 root 权限的情况。
容器与 Pod 支持：
- Docker：主要管理单个容器，虽然可以通过 Docker Compose 等工具管理多个容器的编排，但每个容器是独立运行的。
- Podman：直接支持 Kubernetes 风格的 Pod，允许多个容器在同一个 Pod 中运行，共享网络和存储空间。这使得 Podman 更容易与 Kubernetes 环境集成。
兼容性：
- Docker：与 Docker API 和 Docker Compose 生态紧密集成，有广泛的社区支持和插件生态。
- Podman：与 Docker 兼容，几乎所有的 Docker 命令在 Podman 中也能正常使用（如 podman run 类似于 docker run）。此外，Podman 还可以生成 Kubernetes 的 YAML 配置，便于迁移到 Kubernetes。
镜像管理：
- Docker：依赖 Docker Hub 作为默认的镜像仓库，使用 docker pull 从 Docker Hub 拉取镜像。
- Podman：也可以使用 Docker Hub，但支持使用 containers/image 库来与多种镜像仓库交互，更灵活。
运行环境：
- Docker：需要安装 Docker 守护进程才能运行容器。
- Podman：由于无守护进程设计，可以更灵活地在没有 Docker 守护进程的环境中运行。

总结来说，Podman 和 Docker 都能管理容器，但 Podman 更加轻量、安全，特别适合需要无守护进程和无 root 权限的场景，而 Docker 则因其成熟的生态系统和 API 兼容性在广泛的场景中依然非常受欢迎。

一、项目来源

1.1、Gitee-bjdgyc

bjdgyc/anylink

1.2、GitHub-bjdgyc

bjdgyc/anylink

二、部署准备

2.1、vyos镜像

vyos-1.5-rolling-202408250024-generic-amd64.iso

2.2、anylink服务端

anylink-0.12.2-linux-amd64.tar.gz

2.3、一个域名（可选）

最新版本v0.12.2支持不用域名连接，可以直接用IP+端口模式连接，如果是企业使用建议用域名，并申请安全证书。

ClouDNS，每个账户提供一个免费的二级域名（申请后托管cloudflare）

2.4、一个公网IP（可选）

如果你安装AnyLink只是在内网使用可以没有公网IP，如果你要从公网拨号访问内网，则需要公网IP，如果你的公司出口没有公网IP，你可以选择使用FRP，NPS等内网穿透工具，本期不做介绍。

2.5、VPN客户端

2.5.1、Cisco Secure Client

下面的链接由博主提供免费Cisco官网的最新客户端软件，和免费开源的OpenConnect客户端下载地址，以及使用指导。

点我下载：Cisco Secure Client

2.5.2、AnyLink Client

该软件是GitHub一位项目开发者专门为AnyLink开发的客户端（仅支持Windwos，macOS，Linux）。

github-主页-anylink-client

点我下载：AnyLink Client

2.6、TOTP动态令牌

AnyLink SSLVPN支持用户名密码+六位数字动态令牌认证。

2.6.1、安卓动态令牌

Andoid

2.6.2、苹果动态令牌

iOS

2.7、SSH工具

MobaXterm

三、安装VyOS

3.1、安装

如果你不会使用VMware安装vyos系统，请先查看如下教程。