標題: [操作疑難] 新手請教openwrt wireguard & openconnect選擇 [打印本頁]

---

作者: sparrow    時間: 2019-1-9 13:33     標題: 新手請教openwrt wireguard & openconnect選擇

小弟係新手, 想用VPN, 咁就FLASH 咗openwrt. 但係發覺好多VPN選擇, 做咗下功課, 鎖定wireguard & openconnect, 好似新D安全D簡單D.
網上唔多呢兩隻對比, 請教下各位的經驗:
1. 邊個穩定D?
2. 邊個SETUP簡單D?
3. 邊個佔用ROUTER資源少D?
我隻ROUTER係小米MINI, MT7620A, 16M+128M. 個VPN主要用來ANDROID手機連接公共WIFI時用. 或者有無網站可以推介下等我自己爬文.
thanks.

---

作者: 雯雯    時間: 2019-1-9 17:52



openconnect簡單穩定, 可以既話2個都裝.

---

作者: kofz    時間: 2019-1-9 18:38



    唔係大陸用就

Pptp/ovpn

簡單易用

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

---

作者: 321    時間: 2019-1-9 18:39

你只router CPU太弱，用以上VPN throughout會好慢，建議用shadowsock,你只router大約做到40mbps

---

作者: solexkey    時間: 2019-1-9 18:49

我嘅玩法
行simple-obfs
ss + openconnect 實行共用443 port

---

作者: 321    時間: 2019-1-9 19:33

回覆 5# solexkey

可唔可以講下點共用port 443?

---

作者: solexkey    時間: 2019-1-9 19:47

本帖最後由 solexkey 於 2019-1-9 19:57 編輯

回覆 6# 321

之前我出過post

Shadowsocks安裝和配置simple-obfs服務端
https://www.hkepc.com/forum/viewthread.php?tid=2418427
運用failover功能
文中用ss+web-server 共用 80 port做例子, 我試吓試吓發覺ss+openconnect 共用 443 port都掂

---

作者: sparrow    時間: 2019-1-9 22:15

唔該晒咁多位。相當多選擇，要花D時間消化。不過真係一件好事，證明投入openwrt係啱嘅。再次感謝open source社區的努力。

---

作者: sparrow    時間: 2019-1-9 22:18



謝師兄，我會試下shadowsock。咁如果用版內提到嘅newifi 3 又夠唔夠力行wireguard or openconnect?
https://www.hkepc.com/forum/view ... &extra=page%3D2

---

作者: sparrow    時間: 2019-1-9 22:21



師兄，#4師兄提到我隻router cpu 唔夠力。咁用你個方案我隻 router夠唔夠力? 用緊小米mini, mt7620a。

---

作者: solexkey    時間: 2019-1-9 22:53

本帖最後由 solexkey 於 2019-1-9 23:07 編輯


Newifi  3 使用中,
Ofca apps Android
ss  跑到約50 , openconnect 跑到約20

Wireguard未有時間研究無法評論, 睇吓有無其他巴打分享吓

---

作者: solexkey    時間: 2019-1-9 23:02

本帖最後由 solexkey 於 2019-1-10 12:15 編輯


之前7620方案用過相若級數嘅YK-L1C

印象中
OFCA apps Android
SS 跑到約20-30, openconnect 跑到約10

其實視乎對速度嘅要求,我喺日本連番嚟睇大台直播串流同本地睇一樣咁流暢

---

作者: 321    時間: 2019-1-10 11:45

回覆 9# sparrow
呢隻快過粒mt7620 3-4倍,應該夠做

---

作者: sparrow    時間: 2019-1-13 21:46

多謝兩位師兄嘅意見。我會先試下wireguard，因為官方教程好似相對簡單。
另外，若要 翻牆 係咪 只能用SS 唔用得wireguard?

---

作者: semson    時間: 2019-1-15 13:28



    C-Hing，成功后請包膠throughput。我都考慮緊wiregaurd，openvpn太複習。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

---

作者: solexkey    時間: 2019-1-17 10:21

本帖最後由 solexkey 於 2019-1-17 13:30 編輯

啱啱試咗wireguard..

速度喺wireguard嘅強項， 當然亦有缺點嘅

7620方案做server, openwrt 18.06.1
android + wireguard apps
ofca apps, 速度都跑到50, 算喺唔錯

下一步研究ss+wireguard共用443 port

Setting up a wireguard server running on an OpenWRT router
https://casept.github.io/post/wireguard-server-on-openwrt-router/

---

作者: semson    時間: 2019-1-17 23:32



師兄成功后請包膠。
mt7620有50M真係好西利。

---

作者: solexkey    時間: 2019-1-17 23:51

本帖最後由 solexkey 於 2019-1-18 00:35 編輯


wireguard其中一個缺點就喺ss+wireguard似乎唔喺咁易做到一port共用,已經初步試咗暫時唔成功但屬意料中事

之前ss+openconnect就好快搞到一port共用

---

作者: cyruschan112    時間: 2019-1-18 00:46

用過舊router 同raspberry Pi 3 裝openwrt +openconnect
其實唔難
raspberry Pi 3 可以跑到唔記得20 or 40 @ BB100

---

作者: sparrow    時間: 2019-1-18 12:19

其實同 16# 師兄一樣, 不過係咁意包膠下
server: mt7620, 16+128, openwrt 18.06.1
client: android 8.1手機, wireguard app, ofca speedtest app
經vpn後, 屋企hgc 100M, DL行到大約50M, 圖書館5G wifi, 大約8M, 一般上網好夠用, 唔覺慢.

---

作者: sparrow    時間: 2019-1-18 12:32

另外, 我完全係新手, 結果搞咗3晚先掂, 以下係參考過的網站, 俾有需要的師兄參考.
https://casept.github.io/post/wireguard-server-on-openwrt-router/
https://forum.openwrt.org/t/solv ... g-for-noobies/21562
https://www.wireguard.com/#conceptual-overview

第一條link最好用(即16#師兄條link), 跟住做應可90%解決, 第二條輔助下(後面有成功個案的luci sample), 第三條係wireguard官網的conceptual overview, 睇睇先對理解D field都好有幫助.

---

作者: sparrow    時間: 2019-1-18 12:38

另外, 大家用咩方法確定traffic 真係經vpn tunnel出? 我而家只係用browser去ip chicken睇個ip喳.

---

作者: sparrow    時間: 2019-1-18 12:46

回覆 16# solexkey

回覆 18# solexkey

師兄, 初步來睇, 你覺得wireguard有咩缺點? openconnect有咩優點? 俾D意見我參考下, 唔該.

---

作者: 321    時間: 2019-1-18 13:17

回復 16 #solexkey

請教下Wiredguard是否有加密？如何可以做到咁高效率？

---

作者: solexkey    時間: 2019-1-18 14:00

本帖最後由 solexkey 於 2019-1-18 18:11 編輯

Wireguard o既加密原生定咗無得揀, 加上opensource假以時日要揾出特徵其實只喺時間問題, 設定又要將兩邊peers嘅key交差咁port入去對方嘅setup到,唔肯定使用上每個peer是否要用不同key或者LAN segment

另外留意到wireguard 只能 走udp,聽聞有網友試過某d port 嘅udp traffic 突然有一日發現被block

當然要留意同明白wireguard嘅concept唔喺client/server， 而喺peer，先睇官方concept原文有助明白設定

ss o既client setup 最方便,唔涉及任何key/certs, 只要記得server相關parameter，就算你身在外地突然要setup一部手機都可以

---

作者: solexkey    時間: 2019-1-18 14:17

本帖最後由 solexkey 於 2019-1-18 14:30 編輯

openconnect 缺點喺慢,優點喺可以同ss一port共用, 而且少d人用，少d被關注

我覺得要嚟包底喺唔錯

---

作者: mccafe    時間: 2019-1-18 14:37

我之前試過在兩部router(openwrt,Edgeos) set過wireguard做site to site vpn。係比較容易和速度快。不過我覺得最大問題係wireguard冇偽裝，而家大陸開始多人用。人地一做野做好快對付你，而且Android app冇得分流！

---

作者: kirafung    時間: 2019-1-18 14:44

我都淘緊部newwifi3 , 到時再玩

---

作者: solexkey    時間: 2019-1-18 14:55

本帖最後由 solexkey 於 2019-1-18 18:18 編輯

Wireguard做site-to-site(只涉及兩個peers)暫時嚟講喺唔錯嘅選擇,例如要喺外哋睇大台免費機頂盒

尤其兩邊都喺用家用router

---

作者: sparrow    時間: 2019-1-18 16:09



呢個可解答到部份問題:
https://www.wireguard.com/protocol/
所有的protocol我一樣都唔識. 當初留意到WG係因為呢條news:
https://www.phoronix.com/scan.ph ... nus-Likes-WireGuard

---

作者: sparrow    時間: 2019-1-18 16:15

咁樣睇來, 要翻牆都係要研究下SS or openconnect

---

作者: solexkey    時間: 2019-1-18 20:01

本帖最後由 solexkey 於 2019-1-19 16:59 編輯

試咗個site-to-site wireguard
H記100, 一個peer 喺7620 router, 另一個喺peer喺 TP-link 舊款 N  router，兩隻都喺行openwrt 18.06.1

PC 用LAN線連 7620 router 當client

IE, ofca speed test web page
http://speedtest.ofca.gov.hk/speedtest.html

翻墻前 跑到 DL 9x Mbps UL 7x Mbps
翻墻後 跑到 DL 4x Mbps UL 4x Mbps

留意wireguard 當client setup只喺完成tunneling, default gateway 走 wireguard tunnel要自己加static route

---

作者: semson    時間: 2019-1-18 21:15

vpn我並不只是用黎返墻，事實上我很少上大陸。係用黎做site to site，同埋經public WiFi 上網時用黎保護私隱，wiregaurd似乎好啱。而家重新編緊個openwrt，希望順利。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

---

作者: semson    時間: 2019-1-18 21:17

用緊wiregaurd嘅師兄，請問有冇得set Internet traffic 不走 VPN? OpenVPN是ok的 ，但though put真心慢。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

---

作者: solexkey    時間: 2019-1-19 20:31

本帖最後由 solexkey 於 2019-1-19 20:38 編輯

WireGuard VPN: What You Need to Know
https://restoreprivacy.com/wireguard/

我暫時都只喺打算攞嚟喺外地睇本地電視串流

---

作者: sparrow    時間: 2019-1-20 11:09

回覆 34# semson

android app 喺 edit interface到有個功能exclude application，唔知係咪你講緊嘅分流?
利申：我未用過。

---

作者: sparrow    時間: 2019-1-20 11:23

回覆 35# solexkey

多謝資訊。睇完。privacy 比較唔關心，而家個世界好難走得甩，而且自家router VPN好D掛? 反而安全方面先重要，睇佢提供的encryption好似好安全咁?真係唔識。而且速度真係殺晒（暫時）。 會keep住留意佢來緊發展成點。
openconnect on the way.

---

作者: semson    時間: 2019-1-20 15:23

我理解係，如果wiregauard個server係自己host，並沒有privacy問題。你連其他人既 server就可能有。

---

作者: twfcc    時間: 2019-1-20 16:23

wireguard翻牆得係依家GFW見佢未大規模流行，未對佢特徵檢查，佢都係特徵明顯嘅，有足夠流量板模話封就封

https://lists.zx2c4.com/pipermail/wireguard/2016-July/000184.html

本嚟設計唔係用嚟翻牆，可以當係簡化版嘅OPENVPN，翻牆用返shadowsocks/v2ray/brook呢啲好啲

如果唔係移動裝置冇乜支援，呢個由俄羅斯hacker寫嘅GoVPN可以試試

http://www.cypherpunks.ru/govpn/index.html

---

作者: z1022    時間: 2019-1-21 15:33



C-Hinb
有冇link.
唔記得邊度講過.
Tks

---

作者: solexkey    時間: 2019-1-21 16:18



Post #7
https://www.hkepc.com/forum/redi ... 14&pid=38085685

---

作者: mc16888    時間: 2019-1-21 16:19

回覆 34# semson

可以, 下面條LINK, Split Tunneling

https://emanuelduss.ch/2018/09/wireguard-vpn-road-warrior-setup/

---

作者: z1022    時間: 2019-1-21 16:25

本帖最後由 z1022 於 2019-1-21 16:26 編輯

DELETE

---

作者: z1022    時間: 2019-1-21 16:26



係唔係ss-server config file  改 "server_port" 做 443 就 ok.   我 OPENCONNECT 用 PORT 443
THANKS

---

作者: solexkey    時間: 2019-1-21 16:30

本帖最後由 solexkey 於 2019-1-21 16:34 編輯


唔喺咁簡單
以我用Plugin 為例, ss configuration file 嘅server_port 用443
Obfs會用443, ss會自己用一個無用嘅random port
Openconnect 要用其他吉嘅port 例如8443

---

作者: z1022    時間: 2019-1-21 16:53


Sorry, 唔明 " ss會自己用一個無用嘅random port"

---

作者: solexkey    時間: 2019-1-21 17:01

本帖最後由 solexkey 於 2019-1-21 17:03 編輯

回覆 46# z1022

Obfs 行plug in mode情況下，config file 嘅server_port例如443會assign 俾obfs

ss-server會被assign一個random port 做listening port ; ss-server  同obfs之間會自動協調

---

作者: z1022    時間: 2019-1-21 17:15


Thanks

---

作者: rmhc    時間: 2019-1-21 18:05

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: semson    時間: 2019-1-21 18:55



    唔該師兄。openwrt已編好，呢幾日試一試佢。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)