Mikrotik 路由接入 IPv6 网络

开启路由器 IPv6 网络 由于之前设置好了电信光猫的桥接模式,路由器是直接通过 PPPoE 协议接入电信网络,所以可以直接启用 IPv6 网络。 首先开启 MikroTik ROS 的 ipv6 包。 打开 PPPoE profile 中的 ipv6 支持。 确定 ipv6 转发开启。 配置 IPv6 DHCP Client 获取前缀。 配置 IPv6 DHCP Server 分发地址。 为内网接口分配 IPv6 地址 DNS Google 的 IPv6 公共 DNS 2001:4860:4860::8888 2001:4860:4860::8844 问题 PMTU 黑洞 接上 IPv6 后发现知乎、简书、网易云音乐等 SSL 协议连接无法访问。参考了几篇文章后发现是路由器 MTU 设置问题。 以下是引用的文章说明 [1] 终端设备在发包时,也可以设置 DF ( Don’t Fragment )标记来告诉路由器不要分片。这时中间路由器会丢掉超过 MTU 的包,回复一条 ICMP Fragmentation Needed 消息。发送者收到这个包后,下次就会发小一点的包,这个过程叫做 PMTU Discovery 。现实中可以看到 HTTPS ( TLS )的流量大都是带 DF 标记的。...

September 9, 2022 · 1 min · lyincc

使用 WireGuard 组网

WireGuard 是一个超轻量内核级 VPN 组网工具。支持基于不对称加密的 UDP 连接组网,实现了最基础的 VPN 网络设施。 依赖 WireGuard 已经合入 Linux 内核,但是在 Linux 5.6 以上版本才有。 以树莓派中的 Archlinux 为例,安装依赖。 pacman -S linux-rpi linux-rpi-headers wireguard-dkms wireguard-tools 之后还需要加载模块 密钥交互 生成私钥 wg genkey > private 生成公钥 wg pubkey < private 手动创建 创建网络设备 ip link add wg0 type wireguard ip addr add 10.192.0.1/24 dev wg0 wg set wg0 private-key ./private ip link set wg0 up 脚本创建 有个不错的脚本。 # 生成wg1和wg2的公钥私钥配对 wg genkey | tee wg1-prikey | wg pubkey > wg1-pubkey wg genkey | tee wg2-prikey | wg pubkey > wg2-pubkey ​ # 分别赋值 WG1_PRIKEY=`cat wg1-prikey` WG1_PUBKEY=`cat wg1-pubkey` WG2_PRIKEY=`cat wg2-prikey` WG2_PUBKEY=`cat wg2-pubkey` # 此例中以wg1作为服务端,所以endpoint配置成wg1的 WG1_IP=10....

May 18, 2022 · 1 min · lyincc

frp 代理服务架设

https://github.com/fatedier/frp frp 用法很多,这里主要用做内网穿透。 内网穿透 首先需要一个中转服务器,用于公开内网服务。 中转服务器配置 [common] bind_port = 4700 服务端配置 [common] server_addr = x.x.x.x server_port = 7000 [rdp] type = stcp sk = xxx local_ip = 127.0.0.1 local_port = 3389 客户机配置 [common] server_addr = x.x.x.x server_port = 7000 [rdp_visitor] type = stcp role = visitor server_name = rdp sk = xxx bind_addr = 127.0.0.1 bind_port = 6000 Docker docker run --restart=always --network host -d -v /etc/frp/frps.ini:/etc/frp/frps.ini --name frps snowdreamtech/frps docker run --restart=always --network host -d -v /etc/frp/frpc....

May 15, 2022 · 1 min · lyincc

电信光猫 - 改桥接模式

为什么要改桥接 电信给的光猫太烂,路由性能太差。 配置 设备是 华为 HS8145C。 一般光猫会有两套 WEB 后台,一个是给用户的, 一个是给内部配置的。 改桥接需要进入内部后台,一般在 8080 端口,如 http://192.168.1.1:8080/。 以前的光猫需要破解超级管理员密码才能用,参考 电信光猫 - 烽火 HG2201T 敏感信息泄露。 后来改的人多了,电信直接把权限降到普通用户就能改了,省去了破解的麻烦。 通过配置向导,直接就可以修改。 非常简单!

May 15, 2022 · 1 min · lyincc

Windows 包过滤技术

包过滤技术 Windows 经过微软多年迭代,为开发者提供了多种网络包过滤技术,包括 user-mode 和 kernel-mode 的不同系统层级下的过滤技术。 Raw Socket 微软在 Winsock 2 后提供了原始套接字(Raw Socket)功能,和 Linux 类似,原始套接字可以在用户态接受所有经过 Winsock 的 IP 协议数据包。但是这种方法只能进行监听,而不能过滤和拦截。并且对于不经过 Winsock 的网络流量,不能被这个层次侦听。如通过传输驱动程序接口(TDI,Transport Driver Interface)通信的流量。 Winsock DLL 如果需要在 Winsock 层次实现过滤和,可以选择修改系统 Winsock DLL 文件,或者动态 HOOK Winsock 相关函数。但是同样的,无法接触到 Winsock 之外的网络流量。 LSP / SPI 在 Winsock 2 中,微软除了提供了 Socket API 还通过分层服务提供者(LSP,Layered Service Provider)提供了一个 Winsock 服务提供接口(SPI,Service Provider Interface),通过 LSP 可以向其他应用程序提供包传输和名称解析等服务。其他程序可以通过 ws2_32.dll 和 LSP 程序进行通信。 通过 LSP 提供的分层协议、基础协议来替换 Winsock 的默认协议,并用协议链重组重新串联数据包通道。这样就可以通过 LSP 实现 Winsock 包流量过滤和拦截。 Windows 2000 Packet Filtering Interface 微软在 Windows 2000 中提供了一个特别的网络包过滤接口,可以实现 IP 和端口的过滤。...

November 19, 2021 · 1 min · lyincc