基础太差。。。很多东西理解起来也困难。

原先就是看了这篇文档以为很简单，结果还是有很多特定环境的限制，包括 ipv4+ipv6 环境，服务器不支持 ip6tables -t nat ，需要禁用 AAAA 查询，还包括 iproute2 的一些无底坑，这些坑在官方文档中都没有任何提及。
OpenWrt VPN 按域名路由
https://blog.sorz.org/p/openwrt-outwall/

redsocks2 原先在 openwrt 下面配置成功过，可是 vps 。。。反正在透明代理这块基本上网上能找到的实例，命令打一遍最终没效果，也不知道坑在哪里。。。

所以最终用 softether vpn ，这东东无比的强大，它本身就有虚拟网卡实现，最终基本甚至没用到任何的虚拟 L3 路由功能。目前实现的效果就是 就近访问日本 vps ， vps 中一部分 youtube 流量中转的是美国 vps 上的流量，所以跟你想要实现的效果差不多。自己多试几遍吧，回头看看还是挺简单的，但是可扩展效果比透明代理好多了。实例虽然是用 dnsmasq ipset 特定域名，其实可以实现建立 ipset -N outwall4 nethash ，然后直接写路由表。

vpn 采用 softether vpn server
服务器端
创建虚拟 HUB server/管理虚拟 HUB/并添加用于客户端连接用的 管理用户
本地网桥设置 /将虚拟 HUB server 选择创建的类型 新 tap 设备的桥接，并输入设备名称 soft1
ifconfig tap_soft1 192.168.60.100
ifconfig tap_soft1 mtu 1392
添加 ipv6 地址，只是为了以后不需要改动服务器配置所以固定一个地址
ip address add fe80::4ac:20ff:fe9c:1000/128 dev tap_soft1
#ip address del fe80::4ac:20ff:fe9c:1000/128 dev tap_soft1

客户端
创建虚拟 HUB client/管理虚拟 HUB/管理级联连接 创建到服务器端的连接
本地网桥设置 /将虚拟 HUB client 选择创建的类型 新 tap 设备的桥接，并输入设备名称 soft1
ifconfig tap_soft1 192.168.60.200
ifconfig tap_soft1 mtu 1392
#ip address add fe80::4ac:20ff:fe9c:2000/128 dev tap_soft1
#ip address del fe80::4ac:20ff:fe9c:2000/128 dev tap_soft1

如果能互相 ping 通 vpn 连接已经没有任何问题。
ping 192.168.60.100
ping6 -I tap_soft1 fe80::4ac:20ff:fe9c:1000


* 2015 年 12 月 14 日星期一
- [bash] iptables iproute2 and multiple routes
http://aftermanict.blogspot.it/2015/11/bash-iptables-iproute2-and-multiple.html
- 今天按这篇文档一路设置下来第一次用 fwmark 成功设置路由，由于服务器并没有 ip6table_nat 模块，所以仅能使用 iptable_nat
- 另外似乎设置的 set-mark 3 和原先的 QOS 标记有冲突，只有在 iptables -t mangle -F 清空原先的标记时才有效果，应该是能解决的
- 这次设置最成功的地方在于不会有 vpn 客户端拔号时出现因为接口的问题而无法访问网络
- 另外第一次注意到 iptabes 的全局 ACCEPT 并不是万能的，像此例必须指定特定接口的 MASQUERADE 才可以成功。
/etc/sysctl.conf
net.ipv4.conf.default.rp_filter = 2
net.ipv4.conf.all.rp_filter = 2
net.ipv4.ip_forward = 1

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 >| $f ; done

iptables -I OUTPUT -o eth0 -p udp --dport 53 -m string --hex-string "|07|youtube|03|com|00001c|" --algo bm -j DROP

dnsmasq.conf
ipset=/youtube.com/outwall4,outwall6

iptables-restore /da/fw
ipset destroy outwall6
ipset -N outwall6 iphash family inet6
ipset destroy outwall4
ipset -N outwall4 iphash

##echo "200 outwall" >> /etc/iproute2/rt_tables
ipset -L outwall4 >/tmp/outwall4.tmp
for i in `sed -n "7,$ p" /tmp/outwall4.tmp`;do echo $i;ipset -D outwall4 $i;done
kill -HUP $(pidof dnsmasq)
nslookup www.youtube.com
nslookup m.youtube.com
nslookup youtube.com
#ipset 需要 dnsmasq 通过本地像 192.168.40.253:53 进行查询，直接外部 dns 服务器会没结果
ipset -L outwall4
iptables -t mangle -D PREROUTING -m mark --mark 0x0/0xff00 -m set --match-set outwall4 dst -j MARK --set-xmark 0xfe00/0xff00
iptables -t mangle -D OUTPUT -m mark --mark 0x0/0xff00 -m set --match-set outwall4 dst -j MARK --set-xmark 0xfe00/0xff00
iptables -t mangle -I PREROUTING 2 -m mark --mark 0x0/0xff00 -m set --match-set outwall4 dst -j MARK --set-xmark 0xfe00/0xff00
iptables -t mangle -I OUTPUT -m mark --mark 0x0/0xff00 -m set --match-set outwall4 dst -j MARK --set-xmark 0xfe00/0xff00
##ip route add 192.168.40.0/24 via 192.168.30.254 dev tap_soft
ip route flush table outwall
ip route add default via 192.168.30.254 dev tap_soft table outwall
#ip route add 192.168.40.0/24 via 192.168.30.254 dev tap_soft table outwall
ip rule del table outwall
ip rule add fwmark 0xfe00/0xff00 table outwall prio 1
#ip rule add from 192.168.50.0/24 table outwall prio 1
ip route flush cache

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o vpns+ -j MASQUERADE
iptables -t nat -A POSTROUTING -o tap_soft -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


- 调整了原先的 qos 标记为 0x00/0xff ，路由标记为 0xfe00/0xff00,如果标记为 0xff00/0xff00 则变为 or 标记。注意使用 iptables -I 将规则放在最前面。有关 iptables xmark 的描述看不懂，有人说可以把不同的 mask 看成是 subnet 。
- qos-scripts currently uses the last 8 bits to mark traffic e.g.-j MARK --set-xmark 0x44/0xff
whereas multi-wan uses the next 8 bits (0xff00) to mask its marks:

http://ww2.sinaimg.cn/large/0060lm7Tgw1ez3lyv5dxgj30ty0nln42.jpg
http://ww4.sinaimg.cn/large/0060lm7Tgw1ez3m3qfm0xj30i00glq5o.jpg

自己申请一个装一下吧，很快的，由于是 tcp 加速，一些本来网络就慢的像 ocserv 就必须屏蔽掉 udp 端口，这个效果好像跟 netspeeder 相反，以前搬瓦工的空间虽然 tcp 受限可是 udp 依然很快，说不清是软件问题还是空间问题，但是有一点可以肯定它不会像 netspeeder 会导致很多网络问题。
目前怀疑假如电信在客户端做了发包限速，那么装这种多倍发包可能有效果。至于跟 tc 的配合，服务器上也装了个动态限速实现，所有 output 方向 rate 200kbps ceil 500kbps ，看 youtube 最大的感受，缓冲稳定，缓冲条很长时并不会以最大速度缓冲，而是停滞，以前没装过锐速的好像是一直缓冲到底，然后继续缓冲。也就是全程以一种极低的速率开始缓冲。
无法做更多的测试，我用的网络好像有问题，即便看 720p 有极高的缓冲速率，切换成 1080p 就开始掉速率。
10mbps 100 人用带宽太低了，以前在公司时考虑再三最后动态限制高速用户，即时插入 connbytes 5 秒抓取平均速率 100kb/s 的用户，最高的一次限制 10 个 ip ，也就是 10 人用掉了 1000kb 还有 90 人还有 500kb 的剩余带宽可用。。。我想真正有点效果的是 sfq 算法。 burst 在磊科的固件宣传得更多，这个东东应该是专门测试过的，不知道什么原因一直没用过，可能有某种环境特定限制。如果还想再榨取用户带宽，可以分别对 tcp 80 443 和其它端口做 iptables limit 限速，用户能感受到 80 443 的快慢，却无法体会到其它端口的快慢。 limit 最大特点流量随着发包限制动态变化，通常用户不会觉得是服务器端的问题。

是 10MB/s 还是 10mbps 。 10mbps 带 100 难度还是极高的。以前公司一根 1.4MB/s 的专线网络繁忙时剩余带宽只有 30kb/s ，过小的带宽难于平均。 tc 负载均衡不知道什么东东没听说过，网上流传的小包没怎么测试过，应该 tomato 那个 /etc/qos 那 5 句 tc 更正宗。
锐速效果显著，但要随便就跑光上行就没什么必要再装了，可能有反作用。这东西按描述是多倍发包解决一路上的丢包问题，现在用电信的网络就出现过流量反复波动从快到慢，又从慢到快的效果，不知道是否有做了 iptables limit 匹配每秒数据包通过，其实自己装一下就是了，目前测试下来基本没网络异常情况，免费版有 20mbps 限制，关键多人环境流量不知道是否会浪费更多。

曾经给机房买过 60 套 i5 ，价格是参考易迅价格。集团采购部比较坑，非得指定供应商。当时供应商就反复要求换这换那，去过电脑城的朋友都知道，一定得坚持不换。但是最后还是说给换上更好的风扇，哈哈没经验的我竟然答应了。本来是盒装 cpu 4 针可调速原装风扇，变成 3 针永远那转速的好像是九州风神，真正的问题是盒装 cpu 变成散装 cpu 是有差价的，虽然用起来都一样。。。

stunnel 有个 socks vpn 透明代理实现，可以说所有的透明代理实例都没配置成功过。

参考别人的 vpn 分流，差不多花了半个月才解决，很多文档转载转载再转载，很多关键步骤都遗漏了，这篇文档的 systl.conf 和 MASQUERADE 也是零星散步在网络论坛讨论中。
http://aftermanict.blogspot.it/2015/11/bash-iptables-iproute2-and-multiple.html

这些都是 atheros 芯片的特有命令，没戏的。好久不用 tomato 了，建议使用 openwrt 好点，因为有时候一些特殊的命令可能会被精简掉。对于信号判断现在脑袋没一点印象，一般到 /usr/bin /usr/sbin 看看有没有带 wl iwpriv wirelss 之类的命令看是否有客户端信号强度输出，然后再根据 SNR 值判断一下就可以了。

这是针对 ddwrt build 14929 之前版本的，之后的就不存在 iwpriv 命令了，而且这些都是 athroes 芯片特有的命令，基本原理差不多，通过 SNR 判断客户端信号强度，然后将客户端加入黑名单然后踢除。

openwrt 通用的踢除命令在 hostpad-utils 包里。

#!/bin/sh
nvram get ath0_maclist > /tmp/ath0_maclist
cat /tmp/ath0_maclist
#for i in `arp -a | cut -d ' ' -f4`;
for i in `wl_atheros $(nvram get ath0_ifname) assoclist | cut -d" " -f2`;
do
ALL_count=$(wl_atheros rssi $i | cut -d"-" -f2)
if [ $ALL_count -gt 10 ] ;then #设置 rssi 多少则条件成立
mac=$i
sed -i "s/$/ $mac/g" /tmp/ath0_maclist
echo "$i rssi: -$ALL_count";
#iwpriv ath0 kickmac $i
fi
done
#rc restart #start stop
cat /tmp/ath0_maclist

这个只能简单提示一下了，上次笔记本坏了，硬盘至今没拆出来。

atheros 芯片可以参考这个页面命令
http://madwifi-project.org/wiki/UserDocs/iwpriv


其中搜索得最久的是有关 broadcom 和 ralink 的如何踢除，有个叫 hostapd-utils 包含了一个工具可以实现。

今天 xx 大会，听主播报道开放，自由差不多要吐了，还扯上白日梦。从上到下一片欺骗声，欢呼。

无底洞，一个小部门一年就烧掉 100 多万推广，每天 9:00-13:00 2 千多就烧下线。以前的一条规则就是让点爆竞争对手让它网站提前下线。烧不起，还得烧残酷的竞争，养肥了百度让多少小公司出局。

这这这。。。。。。。。。。。。。。。。。。。。。。硬盘都能格式化，还是别找你修了，太恐怖了。

这叫礼上往来，哪天你万一需要别人帮助呢。喜欢互相帮助，终归不吃亏。在大型集团公司，网管的人缘最好了。。。

tplink 也不知道怎么回事 2009 年前的固件 tp 641 之前的型号根本不会出现无线消失的情况，而且这些固件还支持 wget 登录重启。当时花了 300 多买了个 wa 801 v1,其实跟之前的 tp 841 v3 差不多。。。依然无线随机消失，无线一消失，同事连带前面的路由都一起断电。。。。后来有个 wa 701 v1 刷了 ddwrt 以后最长的一次 uptime 差不多 35 天，但是依然无法解决这个无线随机消失的情况，最后干脆 cron 定时 reboot ，一天一重启终于安逸了。发现新版本都有类似问题， tplink 终于变成不敢买的型号。

UBNT 的 unfi LR v3 版固件更严重 1 天 N 次消失。 2013 年 9 月份-2015 年 5 月份在这么长的时间官方都没解决这个问题，从最初的崇拜到无底的失望。 UBNT 是有名气，可是从他们发布的固件来看完全把用户当测试小白，无线是拿来办公的，不是每天没事在排错，排得自己连基本的判断能力都没了，太会忽攸了。。。对 atheros 芯片有选择恐惧症，而且相对 mtk 芯片它无法使用 linux 的内存回复命令，内存越用越少总有一天会死机。

后来一个小办公室要推荐，给买了个磊科 ni360 broadcom 5338 刷 tomato ，稳定是稳定 60 多天都没问题，就就是无线性能不怎么样。

目前可能便宜的方案就是 mtk 7620 系列吧。像联想 Y1 之类的。用惯便宜的，，，。用过一个 79 块的如意云 1 刷的 asus rtn14 固件直接解决了 qos+12 带机。

你这种情况，随便增加一台设备都能当做备用方案。看领导预算了，贵的可以选择 asus 系列的，它家的 tomato 翻版 qos+无线性能还是非常好的。便宜的基本可以随便买了。主要看是否要选择双频。

http://www.hostloc.com/thread-299684-1-1.html

这帖不知道在讨论什么，钱收了，责任是别人的。你们就慢慢等着恢复数据吧，一天两天，一年两年，还不如消失了算了。见惯了踢皮球，没见过这么不把用户当回事的。

才这么点带机量，这种设备完全足够，别相信什么商用，都是广告。其实前面再加一台带 QOS 流控功能的路由就够了， tp 自带的流控太差劲了，其它的商用也好不到哪去。

这种人不叫老板，哪种才算，老板巴不得什么事都不干，只管进帐。当然秘书去沟通了，哈。。。

解决了你有办事能力，当然好处就不知道。解决不了显得你不称职，虽然不关自己屁事。偶也最讨厌跟人打交道，所以最后都是抗下不管，吃定领导。最小情况看起来能退 3 个月租，没法当面沟通还影响人家打牌，你想牌桌上输钱给他吗。。。

linux 是有内存回复命令的，但是要注意在进行回复之前，最好将自己架设的服务先停止待回复过再启动。用 cron 每天调用就是了
1 17 * * * /fr.sh

vps 现阶段想买 vps 的话，建议 vultr 日本，不过不知道为什么其他朋友反应不爽，我这里浙江电信 24 小时稳定看 720p ，看起来 1080p 问题也不是很大，速度就不用讲了绝对比搬瓦工爽。不过看起来我要求低了点，只要有 300KB/s 就 ok 了。 vultr 现阶段出乎意料的好，没意外的话以后就选择 vultr 了。

/fr.sh
/vpnserver.sh stop
sync;sleep 3;echo 3 > /proc/sys/vm/drop_caches;sleep 3;echo 0 > /proc/sys/vm/drop_caches
/vpnserver.sh start