时隔4年,又升级了爬墙工具

这次算是个小升级,服务器这边没变化,卸载了个DNS服务,不用了。

而客户端这边,买了个软路由,换成了clash,不用原生v2ray了。

clash玩法就比较多了,规则匹配ip匹配等等,而且有了个新设备,选择性就更大了。目前我用的是比较简单的GFWList白名单方案,虽然GFWList很多年没更新了,可以先观察几个月看看有没有必要升级。

总的思路就是:原来的硬路由当主路由,只保留NAT、路由、DHCP、DNS、Wifi热点、交换机的功能,加解密的功能则由软路由来完成。

然后我又看到一个巧妙的利用clash fakeip的做法:https://blog.lv5.moe/p/use-dns-to-create-split-routing-for-different-domain-or-ip-ranges,很有启发,在它的基础上,我形成的解决方案就是把新软路由当作旁路由来处理,正常流量不经过软路由,只有需要翻墙的流量才经过软路由。也就是说,就算万一软路由死机了、断电了,也完全不影响正常上网。

所以我目前的方案是:DHCP分发的网关、DNS还是主路由地址。主路由的DNS根据GFWList来分发,如果在GFWList里面,转发给旁路由的clash,直接返回一个fakeip;然后主路由添加一个路由规则,fakeip段的数据包转发给旁路由,旁路由添加一个iptables规则,把fakeip段的包转到clash端口……

如果软路由比较稳定,那么可以考虑主DNS也挪到旁路由里,搭配china dns使用:中国的网站直接返回真实IP通过主路由访问,境外的网站返回fakeip通过旁路由的clash,由clash里面的规则进一步判定需要不需要走vmass协议出去……

好了,记录一下配置:

主路由:

  • dns:配置和原来一样,GWFList里面的每个域名都要配一个dns地址,只是从原来的vps的地址换成了旁路由的地址,并且不用通过ipset打标签了。
  • 路由表:原来是通过命令 route add -net 198.18.0.1/16 gw 192.168.x.x设置,后来发现就算加到rc.local里面自动运行也不能保证在重启的时候加上路由表,后来发现openwrt应该在/etc/config/network里面设置静态路由表。等我设好之后,发现在管理网页“网络”-》“静态路由”里面就可以设置……而我之前是在“状态”-》“路由表”里面找,没有看到设置的地方……

旁路由:

  • clash:打开redir端口和dns端口(测试期间可以开socks5端口,以后考虑要不要把redir端口换成tproxy);我这不需要网页控制,所以关闭RESTful web API接口;打开dns,打开fake-ip模式;配置好proxy,目前因为转过来的肯定都要走proxy,所以把rules都删掉了,只留一个MATCH,PROXY。然后因为用的原生clash,没有用luci-app-clash,也没有用openclash,所以还要自己写启动脚本放到/etc/init.d/下面……
  • iptable:在启动里面增加一行:iptables -t nat -A PREROUTING -p tcp -d 198.18.0.0/16 -j REDIRECT –to-port xxxx(clash的redir端口)。如果以后要改成tproxy模式,这里肯定也得改,可以参考这里

SELinux的几个问题

今天还是发现了几个问题,都是和SElinux打开了有关的。记录一下:

1 wordpress邮件发不出去。立马考虑是不是SELinux的问题,临时关掉之后好了,确定了问题,搜了一下,把httpd_can_sendmail打开就可以了。下面两行语句,第一行是看看SELinux的相关属性的状态的,第二行是打开。


1
2
sestatus -b | grep -i sendmail
setsebool -P httpd_can_sendmail 1

2 顺手看了看Php的日志,发现有个插件写cache失败了。立马猜到,相关文件并不是httpd_sys_rw_content_t,而只是httpd_sys_content_t。之前我只是把wp-content的backup-db设成可写,没有按照wp的惯例把整个wp-content设成可写。不过考虑到插件啦、主题啦、uploads目录啦都在wp-content里面,还是把整个wp-content都设可写了


1
chcon -t httpd_sys_rw_content_t wp-content -R

3 这是之前的问题了,这篇Blog也说到了,nginx或者php要能发出网络请求,这是因为v2ray的websock方案需要把流量转发到本地的v2ray端口(没错,转发给本地的另外一个端口也需要),以及Glype项目也需要。


1
setsebool -P httpd_can_network_connect 1

v2ray+tls+websock

趁着放假把v2ray+tls+websock,以及路由器设好了,记录一下:

服务器装v2ray,重点是inbound用vmess,streamSettings的network是ws,Settings设好path,outbounds是freeedom。

服务器配置tls和websock,由于服务器已经有nginx了, 所以直接在对应的ssl的网站设置里面加一个location的设置,把流量转发给v2ray的端口就好了。

服务器这样子就配置好了。

客户端这边呢,电脑正常v2ray,不管是mac还是windows都没有问题。路由器倒是折腾了好久。

路由器存储空间小(还没有内存大……),对v2ray来说太小了,怎么办。upx压缩,去掉多余依赖。于是决定路由器只放一个upx压缩过的v2ray+必要配置。为了减少对v2ctl的依赖,在路由器中就不能用json格式的配置文件了,而是用pb格式的,每次都要在电脑上写好json之后用v2ctl转成pb格式,再上传上路由器使用。

一开始用的mips版的v2ray,报cpu不匹配错误,可是我明明查的是我的路由器就是mips的,不是mipsle的啊。死马当活马医,下个mipsle版,倒是没有报这个错误了,报了个别的错误,什么括号不匹配。什么鬼,这不是编译过的吗……上网一搜,这是v2ray的标准大小端不一致的报错。好吧,果然还是mips,那是怎么回事呢?再搜,哦,好吧,我的路由器不支持硬件浮点……再一看,嗯,人家有v2ray_softfloat。

然后发现不能用……好吧,先用代理模式试试。开了1080 socks代理。查看端口,发现端口的确开了,一链接报一堆错。看一眼,x509证书错误……网上说什么的都有,试了好多次,发现必须要在客户端配置上allowInsecure:true才好。但是电脑版就不需要,难道是Let’s Encrypt的问题?我的路由器不支持这个证书(我的固件版本的确比较旧了)?但是我wget没有问题啊……先不管了。(现在想想,可能是我在同一台机器上配多个域名证书的原因)

然后就开始搞透明代理方案了。outbound没问题了,inbound协议改成dokodemo-door,然后修改iptables,把流量转过去对应端口。满心欢喜试了一下,失败……嗯,不知道为什么,尽管是端口转发,v2ray也不能监听在127.0.0.1上。改了这个就好了。

于是就差最后一步了,就是DNS。这个用的还是老方案,就是dnsmasq用gfw的配置识别,普通域名直接ISP的DNS解释,否则走别的DNS解释,然后用ipset打标签,iptabls转发走透明代理。之前看了一下,为了防止 DNS 投毒,现在有dns over https了,我觉得这个方案比之前我在服务器上架一个奇怪端口的DNS服务强一些,考虑采用。实际上在尝试的时候才发现,我的路由器固件版本太低,opkg包里面就没有https_dns_proxy。去openwrt的网站上看了一下,我目前的固件是15.x.x的,最新版是18.x.x……去下一个固件刷一下吧,发现下不到了,虽然支持列表里面我的路由器是支持的,但是人家在文档里面说了,从19年1月开始不提供固件下载,只提供源代码……

ar71xx is source only → build your own image

Use ath79 instead, if available

If ath79 is not available for your device, then port it to ath79

If you are not able to port it yourself, find someone who is able to do it.
Support the developer by providing the needed information for porting and by testing development builds.

If all that does not work, nail your device on the wall of your living room (as souvenir), use it as paperweight, or just dump it into the appropriate recycling channels.

人家都那么说了,我有什么办法呢……老老实实用旧版本吧,懒得折腾了,又不是不能用(振声)。于是照旧在vps里面搭了个DNS服务器。收工!

与墙斗,其乐无穷

最近墙高得厉害,用了好几年的ss都挂了,得开发新的梯子。

但是发现古早的方法反而好使。用了一天ssh,然后也不好使了。用了最简单的socks5,发现好使,但是没敢使劲用,毕竟没有加密,是裸奔的啊。

我的想法很简单,干脆就全部走https好了,又加密又有伪装。客户端做一个socks代理(电脑),或者端口转发(路由器),然后把流量通过https协议转发给服务器,服务器再把流量发出去,彻底的伪装。

但是首先得解决临时梯子的问题,搜了下,发现gost挺好用的,而且Shadowrocket小火箭就支持其中的两种(HTTPS和Socks5 over TLS),随便搭了一下,观察了两天。可以。

然后我就后知后觉地发现了v2ray,其中v2ray+tls+http混淆和我的思路一模一样,完美。

在尝试的过程中,开关了几个Linode节点,然后就发现可以选CentOS 8了……前两天还没有呢。于是干脆来个大升级,把服务器升成CentOS 8了。以前装的老软件都不要了,什么VPN之类的也不要了,SS估计也留不住了。现在就只有mysql + php + nginx,加上gost和未来的v2ray。

不过由于CentOS 8刚刚发布,Let’s Encrypt还没有对应的版本……不过我也不着急,过两个月总有了吧。

这中间有几个坑,一个是我自己的www目录nginx老报没有权限的错,可是明明已经chown了。后来发现是SELinux的问题。既然这东西设计出来就用起来吧,网上的解决方案都是关掉关掉,折腾了一圈,把www目录下的type都设对了,wp-content下的type都可写了。安全性和方便性还是不能兼得,要么整个wp都可写,要么就是升级wp的时候临时disable掉SELinux,我选择了后者,毕竟升级wp的情况不多。然后还有一个问题就是Glype,要求php能对外发请求,所以又把httpd对外发请求的策略改了一下。

于是这个blog消沉5年后又有一次更新。

CentOS6.X Openswan 和 Juniper 防火墻的VPN隧道模式的連接

最近BOSS給了我一個已經停產了的Juniper防火墻給我玩,讓我試試用它連VPN,加上路由表就可以自動翻墻了……

主要參考這篇文章……

家裏面的網絡,是192.168.A.0/24,VPS那邊,給它分配了一個網絡,是192.168.B.0/24。

VPS那邊,/etc/ipsec.conf加一個conn

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
conn Juniper-VPN
ike=3des-md5
esp=3des-md5
authby=secret
left=VPS公網IP
leftsubnet=0.0.0.0/0
leftnexthop=%defaultroute
right=%any
rightsubnet=192.168.A.0/24
rightid=隨便來個email
rightnexthop=%defaultroute
compress=no
forceencaps=yes
auto=start
aggrmode=yes
dpddelay=40
dpdtimeout=130
dpdaction=clear

要注意的是,剛才提到的那篇參考文章有一些錯誤,left和right好像不太一致。還有就是,因爲要翻墻路由出去,所以leftsubnet要0.0.0.0/0,之前填192.168.B.0/24,無論如何出不去,和BOSS一起查了半天,在iptables裏面設置各種條件看計數,BOSS還去翻iptables的源碼來看……

還有就是要設上ip轉發:

1
iptables -t nat -A POSTROUTING -s 192.168.A.0/24 -j MASQUERADE

最後,給VPS加上一個192.168.B.1的地址:
vim /etc/sysconfig/network-scripts/ifcfg-eth0:0

1
2
3
4
5
DEVICE=eth0:0
ONBOOT=yes
NETWORK=192.168.B.0
NETMASK=255.255.255.0
IPADDR=192.168.B.1

VPS那邊設上這些就可以了。

Juniper那邊,按照之前提到的參考文章設置就可以,主要就是VPNs->AutoKey Advanced->Gateway裏面,Local ID要填上VPS那邊/etc/ipsec.conf文件裏面,rightid那裏的email。

不過我的做法和那篇文章有點區別:
1 Network > Routing > Virtual Routers ,新建一個新的虛擬路由表,我起名叫vpn-vr
2 Network > Zones,新建一個區段,叫VPN,虛擬路由就選vpn-vr
3 Network > Interfaces,新建一個Loopback IF,就叫1oopback.1好了,隨便填一個内網IP,掩碼是32,建好后,編輯,Interface Mode選Route
4 etwork > Interfaces,新建一個Tunnel IF,叫tunnel.1,區段選VPN,下面選Unnumbered,interface選1oopback.1
5 VPNs > AutoKey Advanced > Gateway,New,Name隨便填,選Static IP Address,後面填VPS公網IP(可以填域名),然後點Advanced,Preshared Key填架VPN的時候留的PSK,Local ID填VPN的rightid那裏的email,Mode (Initiator)選Aggressive,把Enable NAT-Traversal、UDP Checksum都勾上,然後Return,OK
6 VPNs > AutoKey IKE,New,名字隨便填,選Remote Gateway和Predefined,然後選第五步新建的Gateway的名字,點Advanced,Bind to裏面選Tunnel Interface,右邊選tunnel.1,鈎上Proxy-ID, Local IP / Netmask填192.168.A.0/24,Remote IP / Netmask填0.0.0.0/0。鈎上VPN Monitor、Optimized和Rekey,Source Interface選Trust,Destination IP填192.168.B.1
7 Policy > Policies ,把Trust到VPN,VPN到Trust都設置為允許
8 Network > Routing > Routing Entries,把需要走VPN的子網在trust-vr表裏面指向vpn-vr,再在vpn-vr裏面把子網們指向tunnel.1

需要説明的是,因爲我的ISP過濾了ESP包,所以需要打開NAT-Traversal,把ESP包封到UDP裏面,可以先試試第5步Mode (Initiator)選Main,不勾Enable NAT-Traversal和UDP Checksum。目前Cent-OS 6自帶的openswan有bug,用Aggressive模式,開NAT-T的話,連接的時候,openswan的日誌會報這麽一種錯:
next payload type of ISAKMP Nonce Payload has an unknown value: 130。我找來找去,各種試,最後實在沒有辦法,去openswan的官方網站,找到這麽一個連接:https://download.openswan.org/openswan/binaries/rhel/6/。從https://download.openswan.org/openswan/binaries/rhel/6/openswan-2.6.38dr2-9.el6.x86_64.rpm安裝,結果就好了……

Tags: ,

香港要加油!

轉自《紐約時報》中文網,作者:张洁平

摊牌(二):通向普选的巴别塔

“欢迎来到香港的心脏。”

蔡东豪一个箭步跨到马路中央。红灯亮起的时候,这里有几秒钟的静止。就在这几秒钟里,这个50岁的精电国际行政总裁完成了对身处之地最贴切的描述:“中环是世界上唯一一个地方,你站在马路中间,前后左右十分钟的步行半径,就可以迅速找齐一个投资公司所需的全部人马。”

这样的效率不仅确保了香港作为世界三大金融中心之一不可撼动的地位,也营造出一个功能复合与密集程度堪称举世无双的城市空间。

香 港中环是跨国银行和金融机构首选的地区总部所在地,平均每一秒钟就​​有350万美元的外汇交易在这个全球密度最高、租金最贵的摩天大楼群中发生;这里是 香港的政治中心,政府总部、立法会、终审法院、解放军驻港部队的所在地;这里也是公共交通的中心枢纽,有4条地铁线、142条巴士线、9条渡轮航线一刻不 停从这里出发或者穿过,去往包括机场在内的这座城市的各个角落。

然而,密集的高效也往往意味着脆弱。封住几个交通要塞,就可能令这区区几平方公里的“心脏”瘫痪。这正是最近几年在香港流行的意象:“占领中环”。

作 为政治与商业权力的中心​​,抗议运动对于中环而言,本不是陌生事。从60年代反天星小轮加价、70年代保钓运动,一直到1989年,香港百万人上街声援 天安门学生的示威游行,都在中环的各个广场发生。2011年10月,香港左翼人士受“占领华尔街”启发,发起反资本主义的“占领中环”行动,他们在汇丰银 行总行楼下的公共空间安营扎寨了11个月,直至被警方清场。尽管这场行动的诉求在香港极为小众,但“占领中环”的意象却由此深入人心。

反资 本主义的左翼青年被赶走半年之后,另一场截然不同的“占领中环”运动拉开序幕。这次“占领中环”以民主普选为核心诉求,发起人强调,​​如果北京不让香港 落实一个“符合国际标准”的“真普选”,就发动占领中环。与此前所有在中环发生的游行示威不同,这一场“占中”不只是要占据具有象征性的局部空间,彰显群 体意志;更首次提出要阻塞交通要道、令空间运转瘫痪,进而对整个中环区域实现真正的“占领”。

一、

“在香港,只要有近1万人聚集在中环,即使纯是静坐,阻塞交通要道,就足以瘫痪香港。”早在2010年4月14日,香港大学法律学院副教授戴耀廷已经在报章专栏中构想了这样的图景。当时,这只是他理论推演的一部分。

这个构想的背景是2010年的香港政改商讨。这一年,在争取民主普选的道路上走了近30年的香港民主派,正陷入前所未有的危机与分裂。

回 归之后,受制于基本法的政制安排,香港民主派尽管在体制外占据主流,却无法在体制内赢得多数议席。十多年下来,“永远的反对派”身份既给了他们在体制外运 作的道德光环,也消耗着他们实际的政治实力。2007年,全国人大决定2017年香港行政长官选举可以首次由代议制选举改为一人一票普选制。这个在民主派 看来“迟到”了10年的承诺,却带给他们更大的分化。

可以相信北京吗?北京有诚意带给香港“真普选”吗?还只是按照他们的喜好筛选过候选人之后,再让香港市民一人一票的“假普选”?或者,问得再直接一点,北京一向不喜欢的民主派人士,能够不受制度性排挤,有平等入闸参选的机会吗?

这 些问题成了通向2017普选道路上,每一轮政改讨论都必然争拗的焦点。而北京从不清楚表态。2012年的特首和立法会改选,是2017前最后一次面对争拗 的机会。根据全国人大的规定,普选的具体方案在程序上需要由特区政府提出,立法会2/3票数通过,报全国人大批准。因此,2012年选出的特首,将直接负 责带领特区政府提出2017普选方案,2012年选出的的第五届立法会,则对这一普选方案有直接的表决权。因此2012的两次选举格外引人注目,而启动这 一年选举咨询的2010年,香港政​​府则称之为政改的“起锚期”。

以争普选为最重要目标的民主派,到了2010年的“起锚期”,意见已经 分化为相当典型的两派:一派认为,没有北京对2017是“没有筛选”的“真普选”的最终承诺,一切所谓“循序渐进”的“改革”都是妥协、背叛;另一派则认 为,在争取对“真普选”终极承诺的同时,也必须珍视每一次阶段性改革的机会,给普选铺一条“改良”之路。前者被视为“激进民主派”,典型的政党代表如 2006年成立的社会民主连线;后者则被视为“温和民主派”,典型代表如最老牌的民主党。

面向2012选举,这两派采取的也是截然不同的应 对。激进派不追求2012选举的细节设计,而将全部能量投入在逼迫北京承诺未来的“真普选”。他们的方式是发起立法会“五区总辞”,即在议会内每个选区派 出一名议员辞职而后重新参加补选,在民间则以“实现真普选”为议题号召市民投票支持,试图造成“变相公投”的效果,向中央宣示民意。此法在民间引起巨大争 议,不光招致建制派与北京的严厉抨击,也遭到“温和民主派”的杯葛,最终效果冷淡。而另一方面,温和派的民主党则在关键时刻选择了谈判。他们自1989年 与北京决裂以来,首次愿意与京官在中联办“闭门会谈”,游说北京接受民主派提出的改良方案,最终收获阶段性成果──在2012的选举中改良了港府提案,增 加了立法会民主直选的议席;但2017年香港是否能最终走向无筛选的“真普选”,北京却不置可否。

按理来说,这已经是香港政改路上难得的进 步——水火不容的双方愿意各让一步,求得共识,促成进展;但吊诡的是,这“进步”却没有给民主派加分,反而令它元气大伤。一方面,力主谈判的民主党被部分 激进派强烈指责为“背叛”、“卖港”,激进派甚至为此专门成立政治团体“人民力量”,四处狙击民主党,造成民主派空前的大分裂;另一方面,民主派内讧不 断,但无论激进或者温和路线,都未能争取到北京对“真普选”的实质承诺或表态,令支持者普遍感到失望。

其结果是,2012年的立法会选举虽然增加了直选成份,但民主派的议席比例却并没有增加,只是勉强保住了1/3议席。从直选议席的得票来看,民主派的支持率亦首次跌破多年来稳定的六成。

对民主派来说,这一役无疑是惨痛的教训。回归之后15年,他们的政治实力和威望已经下滑到无法消化与北京的“妥协”,同时也缺乏创意和足够的支持讲“抗争”。而2012一过,下一站,便是2017。

到 此刻,局势已经变得清楚:特区政府提出的普选方案,民主派握有立法会中三分之一的否决票数,北京则有最终不批准方案的权力。如果民主派与北京无法达成共 识,那普选便无路可走。然而,经过2010,民主派与北京之间的博弈空间已消耗殆尽,民主派的支持者不会再买“妥协”的账,而无所顾忌的“抗争”又可能葬 送唯一的机会。

在岭南大学文化研究系副教授罗永生看来,民主派面前已经没有“改良”的空间:“以前争普选被否决,可以说我们退后,我们等, 但没人会说民主已经失败。可是2017说了要有‘普选’,这次就是要出来给一个方案,说这个就是我理解的、我要的民主,已经没有退路了。如果不成,就是失 败。”正是这“最后一战”的死局,把所有人的神经都绷到最紧张而又无力的状态。

还有什么路可以走?还有什么方法,可以在“拉倒”之前,重新 造出谈判的空间?和很多学者、评论人一样,戴耀廷也在报章专栏里给出自己的分析和提议。在写于2010年的两篇专栏文章《社会行动的八种方法》、《下一波 社会行动:胁之以势》中,他认为,香港当下的政治生态,旧有的“温和”或者“激进”行动模式都已失效,需要更进一步的“胁之以势”:即用更有破坏性的行动 对执政者产生真实威胁,在这个基础上,重新获得“谈判”或“说理”的筹码。什么样的行动才能构成“威胁”呢?他受2010年泰国红衫军在曼谷市中心静坐抗 议的启发,产生了前述的构想:“10000人聚集中环”的非暴力行动。

接受采访时他对我说:“最初就是想要划一条底线,这个底线要比普选‘拉倒’更低,要是一个更加无法收场的局面。谁也不想这件事发生,那么理性的各方应该做的,就是比底线好,而不是向着底线去。在这个过程里逼着大家去找到共识。”

谁也没想到,这在当时看来是狂想、也完全无人问津的言论,三年后,竟成了这座城市的中心意象。

二、

在 香港,如果你关心公共事务,也许会在各类公众论坛中见过戴教授。这是个温吞到不太容易被记住的形象:圆圆的脸,随意的西装衬衫,说话时身体前倾,眼睛在圆 圆的镜片后闪光,耐心而腼腆的表情,是再典型不过的大学老师模样。他的发言条理清晰,但少有警句或生动故事,不温不火,听久了也容易困倦。

戴 耀廷的专业成绩很好。80年代末在香港大学法律系就读时,他曾是基本法起草咨询委员会里两名学生代表之一;1989年毕业后,他做过民主派大佬李柱铭的议 员助理。无论是早期参与议会实践,或是后来回到学院教书,香港与中国的宪政改革、参与式民主一直是他研究的核心议题,学术成果亦普遍受认可。香港中学教材 中,关于“法治”的十六字定义便来自戴耀廷:“有法可依﹑有法必依﹑以法限权﹑以法达义”。除了定期撰写评论专栏、参加一些松散的支持普选的学者联盟,他 并不常出现在行动者的队伍里,即使有,也是在后排。

所以2013年1月16日,他在《信报》发表《公民抗命的最大杀伤力武器》,着实让很多 人跌破眼镜。相比三年前提出“万人聚集中环”的“非暴力行动”,戴耀廷在这篇文章里更进一步提出“公民抗命”,他称之为“杀伤力更大的武器”,并详细列出 计划:“以现在的形式看,北京政府会让香港有真普选的机会并不大”……到争取真普选的“最后时刻”,要有“包括意见领袖在内”的“一万人以上”,“违 法”、“非暴力”、“长期”地“占领中环要道”,“瘫痪香港的政经中心,迫使北京政府改变立场”。行动违法,行动者明了这一点仍坚持进行,以贯彻法治的最 高理念“以法达义”;但如果被捕,不抗辩,甘愿坐牢,是为“公民抗命”。

“这就是‘占领中环’,”他说。

整篇文章几乎没有使用修饰性词语,读来却惊心动魄、图穷匕现。与三年前相比,这已经不只是理论推演,而更像是吹响号角的行动宣言了。

仿佛是一时不知说什么好,舆论静默了整整一个星期。

一星期后,戴耀廷的电话突然频繁响起,从此再没有安静过。采访邀约如雪片纷至,旧雨新知也络绎登门,他们说,戴耀廷在香港抛出了一枚“深水炸弹”。

戴 耀廷却对这炸了锅的反响有点懵:“我完全没想过会有这么大反应,两三年前我就说了中环的事,一直都是没人理的……”在两个星期后的又一篇专栏中(2013 年1月30日《非暴力公民抗命“占领中环”》),他甚至写:“很对不起,写了‘占领中环’一文,令大家都不能再回避香港民主宪政转型的问题,谨此致歉。但 我也是在博弈中,别无选择。”他坦言自己是学者,不是社会活动家,运动究竟应该怎样搞并不很清楚,更希望有“具公信力和组织力的领袖带领这个运动”。

走 上门来的记者,问题步步紧逼:怎么“占领”?谁来领导?在2013年2月3日的《明报》上,戴耀廷被“逼”出了这样的回答:理想的领袖应该德高望​​重, 可以缩小民主派内部的分歧,又不要太有明星光环,以免参加者激情多于理性,“比如朱耀明牧师、陈健民教授都是理想人选”,自己会参与,但“一定不是组织 者”。

朱耀明是在看报纸时,见到自己名字的。“啊?我一看,有没有搞错?戴耀廷没给我打电话啊。我明明已经退休了。”去年5月在接受采访时他又气又笑地对我说。雪白的头发在风里扬起来,线条硬朗的脸上依然能看到年轻时的英俊。

香 港人都亲切地叫他“朱牧”。作为一名数十年来一直走在民主、​​人权行动第一线的基督教牧师,朱耀明在民主派中备受尊敬。1989年天安门事件之后,朱耀 明曾参与策划营救中国民主运动人士的“黄雀行动”,协助超过400名流亡者经香港获得欧美国家政治庇护;他也一直积极于香港本地的民主运动,在港英时期争 取在立法局引入直选议席的“八八直选”,回归后创立泛民主派的“民主发展网络”……30年下来,用他的话说,“真是什么都做过了”,却又是“一事无成”: 六四事件看不到平反的希望,香港的民主之路也从来不由港人说了算……谈不上心灰意懒,但08年一场大病之后,朱耀明终于决定退休。谁知偏在此刻,碰上晚辈 点将——戴耀廷结婚时,朱耀明还是他的证婚人——偏偏还用了“公民抗命”这四个字。

“什么都试过了,唯有这个还没做过,”70岁的朱耀明笑起来,他的嗓音深沉而充满蛊惑力,现在又添了些伤感:“在我的年纪,这可能是最后一次争民主的运动。公民抗命是我唯一还没有做过的事。陈健民和戴耀廷我都熟悉,作为他们的长辈,我想我愿意陪他们走这段路。”

尽管在戴耀廷这里,“占领中环”作为一场运动的开始充满巧合,用他自己的话说:“完全不是一种有计划的情况下出现的,可以说是政治的意外情况”;但对于被他点名的朱耀明和陈健民来说,决定加入则来自更主动​​而清晰的人生选择。

朱耀明在参与社会运动、政治运动的个人生命史中看到了“公民抗命”的意义所在;而香港中文大学社会学系的副教授陈健民,则以社会学者的眼光,在“一国两制”与民主香港的历史棋盘中看到“占领中环”的位置,进而定位了自己的角色。

“2010 年你已经可以看到整个社会激进化的趋势了,如果这次政改失败,下一次改革的时间就要等到2022年——按照我理解,这代人,不可能等到2022年,”陈健 民讲起自己的焦虑时说,“接下来会怎样?中间人的声音越来越弱,极左和极右都是一些法西斯的声音在斗。你要看到自己的家这样撕裂吗?到了这点,我一下子有 很清楚的这种感觉,觉得不能看着我住的这个家,下一步走向我不想看到的方向。我作为一个社会学者,是往前看的,我看到未来让我担心的状态,所以现在就要选 择,在这个时候,我应该做什么事情。”

最初在报纸上看到戴耀廷的“檄文”,陈健民也被这认识了十年的老友吓了一跳:“戴耀廷一向温和到极 点,想不到会提出这么有冲击性的方案,完全超乎我想像。”在巴黎出差时,他接到朱耀明的电话,才得知自己被点了名做“占中”召集人。“在放下电话的那一 刻,我已经决定了加入,”陈健民接受采访时说,“仿佛听到召唤。”他并未怎么犹豫的决定,反倒让朱耀明有些惊讶了。

在香港,和朱耀明死硬抗争派的形象不同,陈健民一向是民主派里坚持与北京沟通与商谈的代表。2010年他是和民主党一起与北京谈判的主力成员,也曾在报纸上与“激进派”论战,并因此不被许多社会运动的中坚分子信任。

他 从不讳言,2003年之后,每个月都有“北方来的人”向他收风(探听香港的局势消息),官员也好、学者也罢,他几乎是来者不拒。“我不想北京听到的全都是 传统左派的声音,说民主派勾结境外势力这种,这不是事实,只会加深双方的不信任,我才一直努力去说,为什么香港需要民主改革,为什么让香港民主也不会威胁 到中国……”

在香港的民主派中,恐怕少有人比陈健民更了解中国大陆。作为耶鲁大学著名转型民主研究学者Juan Linz的门徒,他从90年代开始在广东研究公民社会,做民间组织调研与培训,熟悉最草根状态的中国;他也曾做过中国民政部的高级顾问,深谙“体制”的含 义,善于在游戏规则之内争得最多的空间。他的普通话说得非常好,除了几年一度回身参与香港政改的讨论,十多年来,他主要的学术精力都放在大陆:“我的研究 都在大陆,花时间建立中心,培训的对象也是大陆NGO,用微博比用Facebook都多……我以为自己怎么样也不会舍下在大陆的工作。”

但 也就是2010年之后,令戴耀廷焦虑的快速变化的香港时局,同样困扰着陈健民。就在2013年戴耀廷发出“占领中环”倡议之前,陈健民和他的香港朋友们也 公开宣布,不再接待来自北京的“中间人”,全面停止与中央对话。“谈了10年,口都干了,没有什么好谈的了。”而直至他决定加入“占领中环”,在大陆的工 作也逐渐切割和一一移交,以免给同事带来麻烦。“就是一下子的决定。我一下子知道我的家,现在面临最关键的时候。我什么都可以放弃,”陈健民说。

他 明白“占中”需要在此时此刻发生,而对自己角色的选择,则异常冷静:“今天的香港仍然同时需要温和路线和激进路线,两条路线都需要的时候,我只会考虑,自 己在某个环境下做什么产生的影响最大。今天我跳进戴耀廷这个‘激进’计划中,以我以前那么温和主张对话的形象(突然改变)一定会产生很大影响,会造成一种 压力,帮助这条路线建立得更好。我还是期待有人去谈判,可是这次我不能做了。”戴耀廷和陈健民都深知,温和的人走出来,站在激进一边,才可以让原本温和、 激进相对立的光谱重新洗牌,形成新的政治空间。“我们守住这个激进的位置,可以让更激进的人变得边缘。而我们和他们不同的是,即便我们不谈判,也至少不会 去攻击谈判的温和派……”陈健民说。

“公民抗命”、自我牺牲的激进定位,是理性选择的结果,而非就势而为——这正是“占领中环”运动从一开始,就不同于其它街头运动的地方。而这种策略理性和运动本身召唤出的激情所形成的内在张力,贯穿了整场运动始终。

2013 年3月27日,在《公民抗命的最大杀伤力武器》发表两个多月后,戴耀廷、陈健民、朱耀明三个人首次以“占中三子”的身份,宣布共同发起“让爱与和平占领中 环”运动。“让爱与和平”五个字是陈健民提议加上的,他说:“对不起,我们一定要用这个很肉麻的字眼。我们就是那么土,主流社会才觉得我们这群人不是乱来 的。我们最后一定要占领的不只是中环,是占领整个主流社会,整个主流社会支持我们才有意义。这也真的是这场运动的起点:对香港的爱。”

2013 年4月开始至2014年5月,香港大学民意研究中心所做的五次调查显示,支持以“占领中环”手段追求真普选的民意稳定在25%左右,而香港浸会大学政改调 查所得的支持率数字则在38%(两个调查所得的反对“占领中环”的比率均超过50%)。香港中文大学新闻与传播学院教授陈韬文接受采访时认为:“占中牵涉 到一种非法的手段,非法之后又接受法律惩罚的公民抗命,在香港政治文化里算是非常激进。这种情况下,超过25%甚至30%的支持率已经相当高,反映出香港 人对民主的诉求是很心急,或许已经到了最后的阶段。”

三、

然而,来自两边的抨击从未停止。以北京控制的《文汇报》与《大公 报》为阵地,连篇累牍的社论批评占中是“假和平、真暴力”,“境外势力资金支持”、“勾结台独势力”,要将香港“引向动乱”。保守派成立民间团体“帮港出 声”,认为占中教唆青年人犯罪,牺牲香港法治精神,是疯狂的举动,要替“沉默的大多数”出声反对。另一边,更激进的立场则从一开始就攻击“占中”是“投降 主义”、“只想谈判,没有打算真的占领”……有激进派成立“占中后援会”,称“会全力参与占中”,“怕占中运动当中有人会受了不应该接受的妥协,出卖港 人,中止行动”,更要“监察占中”。

“到底什么时候占领啊?”过去这一年半时间里,几乎每一个来访的人都会问戴耀廷这问题。到后来,甚至发展成打招呼的开场白。

戴耀廷的标准答案有两个,一个是“占中是为了不占中”:是要透过对抗产生未来的紧张,让大家回到谈判桌上,一旦中央、特区政府和香港人达成共识,在2017实行真普选,占中便无须进行;而如若真要发生,答案则是:当“最后时刻”到来,如果没有“真普选”,我们就占领中环。

这句好像法庭戏对白的话,结论清晰,但两个前提都暧昧不明。

第 一个前提“最后时刻”,“占中三子”认为,是香港政府拿出最终普选方案交给立法会表决的时刻。但这个时间并不确定,可能是2014年底,也可能是2015 年初。而现实中,随着北京与香港之间的摩擦越来越大,社会情绪愈演愈烈,是否一定要以此作为运动的起点,占中的组织者内部也存在巨大争议。

前 提二更值得深究。界定一个普选方案是“真”是“假”并不像PX项目开工还是停工、服贸协定通过还是撤回这么直接明确。在没有普选的时候,上街游行喊出“我 们要普选”很简单;而到了真正要一条一条设计普选方案时,“真普选”就无法只停留在政治口号,而必须落实在方案的每一个细节,作为具体的判断准则:普选 “真”或者“假”的标准是什么?谁说了算?其中有没有模糊的空间?如果有的话,有多少?最终承受这个结果的人,又可以接受多少?

正是这些问题,具体化了“占领中环”运动的细节——“占领”之前,必须先“商讨”。

发 起人戴耀廷强调,“占领中环”不是目的,而是最终万不得已的选择,反而是决定要不要占领的前提——这些不确定的因素,才是运动存在的意义:香港该不该有民 主?该有什么样的民主?这民主应该落实为什么样的普选方案?而如果争取民主的过程要付出代价,你愿不愿意?愿意付出多少?这些问题没有标准答案,而要每个 人为自己做出思考和选择。戴耀廷说:“不同的人在‘占中’看到不同的事情,有人只有兴趣讨论怎样占领,催促占领,但对我来说,前期去做一个公民教育、创造 一个好的环境才是更重要的。让大家在这个过程里更深地去想我们要一个什么样的香港,让人民的运动在这个环境自发地产生,或者不需要出现……这本身正是一个 ‘民主文化’建立的过程。到最后无论‘占领’本身成功与否,其实香港已经因其而改变。”

民众要怎样集体讨论复杂的普选方案问题,并形成一定 的民意共识?借用自己喜欢的美国学者Bruce Ackerman和James Fishkin提出的“商讨日”(Deliberation Day)概念,戴耀廷给“占中”的开头与结局之间,设计出一整套环节,就叫“商讨日”(简称D-Day)。

两位美国学者所针对的问题是,在 不少现行的民主体制中,公民对于重要的公共议题通常缺乏全面了解,只凭借对政客的大致印象投票,以致选举很容易被媒体宣传左右。他们引入民主协商的环节, 设计一整套严格的商讨方法,令参与者在获得均衡全面资讯的基础上讨论议题,从而形成经过深思熟虑的民意,并将这种改善后的民主形式称为 deliberative democracy(商讨式民主)。

戴耀廷将这套方法借用到孕育民主过程中的香港,希望民众透过理性讨论,首先对普选议题全面了解,进而共同参与制定2017年特首选举的方案。

在 跨度一年的时间中,“占领中环”运动分别在2013年6月、9月和2014年5月举办了三次大型商讨。三次商讨日的讨论主题循序递进,由“占领中环运动的 核心议题是什么?”进入到“如何令占中运动有效达成争普选目标?你心目中特首选举方案的原则是什么?”再到最后一次,“选出你心目中的普选方案”。每次商 讨都持续4-5个小时,讨论前会分发参考资料,讨论开始时先邀请中立人士在大会阐述议题、简介资讯、明确目标,而后以10至15人为单位分小组讨论,最后 聚合意见。

在商讨的基础原则上,戴耀廷也邀请了学术机构做出设定。比如香港大学民意研究计划通过民调,发现市民对普选应该“符合国际标准” 的认可度远远高于《基本法》(满分10分中,前者为8.4分,后者为4.6分);这令占中运动确认:普选“符合国际标准”将是他们的底线诉求。2014年 3月,香港大学法学院召集世界各国的法学专家,共同对普选的“国际标准”做了具体的界定,并据此对已在香港社会公开发表的29个普选建议方案公开审议,选 出其中“符合国际标准”的15个。“占领中环”的第三次商讨日便以这15个方案做基础讨论,并当场票选出支持率最高的前三名。

戴耀廷希望以 “占中商讨”为平台,可以得出有共识、有说服力的民间版普选方案,并交由整个社会公投,获得民意授权,作为最终与北京抗争或是谈判的基础。为此,他对程序 的逻辑孜孜以求。然而,一个动态的、高度政治化的、正被巨大焦虑笼罩着的社会毕竟不是无菌环境的实验室。具体实践下来,现实与理想的实际差距之大,令“占 中”饱受争议,几乎陷入要收官的境地。

“占中”的初衷是尽力弥合民主派中温和力量与激进力量的矛盾:一边以“公民抗命”的底牌吸纳激进派, 一边以理性商讨的过程团结温和派,同时争取主流社会支持。来自主流社会的参与和支持越大,“占中”平台所选出的民间普选方案就越温和,和北京越有谈判的空 间,而不致于让普选进入彻底的死胡同──与彻底的“激进派”不同,“占中三子”从来就没有放弃谈判的可能。

然而,在全力动员之下,三次商讨 日的出席人数却从来没有达到戴耀廷的预期。第一次700人,第二次1500人,第三次2500人,与戴耀廷“万人商讨”的计划相去甚远。而且商讨日的参与 者绝大部份是占中运动的坚定支持者,而不是戴耀廷最初设想的,可以尽可能包容不同光谱与立场的人参与讨论。商讨者的均质化可能导致商讨结果的均质化——问 题在2014年5月6日的第三次商讨日后爆发了。

这一次商讨日的参加者经过讨论,初选出3个普选方案,在6月22日交由全港市民公投,三者 选其一,使之成为谈判桌上“占领中环”运动向北京的最终开价。而“3个普选方案出线”的设置,是经过精心计划的。陈健民解释:“各派别提出五花八门的普选 方案,其实主要就是三大类,公民提名、多轨制提名,以及扩大提名委员会的民主成份;我们本来希望各类方案都可入选到最后三强,让光谱阔一点,有更强代表 性,也可以令622有更好投票率。”

在3类普选方案中,公民直接提名行政长官候选人是最激进的一种,不仅中联办主任张晓明等官员多次明确表 态“公民提名不可接受”,且香港大律师公会也在政改咨询意见书中反对该类方案,认为它违反基本法中要求“一个有广泛代表性的提名委员会按民主程序提名后普 选”的规定;多轨制提名的激进程度次之,扩大提委会民主成份的方案则是民主派中最温和的提案,被认为是走“中间路线”,亦是民主派与北京可以谈判的底线, 代表性的方案有前政务司司长陈方安生所提的“香港2020”,以及公民党汤家骅方案。

然而5月6日初选结果,前3名出线的方案都是“公民提 名”。温和方案无一例外落选,且票数很低。这一结果再次引爆了温和派与激进派的分裂,温和派质疑“占中”运动被激进派绑架,要把政制发展推向死胡同,陈方 安生公开表示:“投票非香港全部市民的合理缩影,亦不能反映社会各种不同政治取向”;激进派则攻击温和派不尊重民意,拒绝认清现实。

争扰之中,6月22日的公投显得前景黯淡。试图通天的巴别塔,最后倒塌于修建者自己的无法交流、分崩离析。这个寓言随时可能发生在筹备了一年多的“占领中环”身上。

5月28日,陈健民在接受电台访问时甚至表示,做好了失败的准备:“我们三个人讨论过,如果622投票连10万人都没有,我觉得是失败。我们应该出来向社会道歉,承认我们对这个运动没有领导力,大家要重新想想下一步怎样走下去。”

四、

谁也没有想到,两个星期后,国务院发布了对香港问题的白皮书。

白 皮书对“全面管治权”、“维护国家安全”的强硬表态激起了香港社会巨大的反弹。其中针对2017普选,白皮书首次将“爱国者治港”的要求写入正式文件,明 确了在普选的谈判桌上,北京的底线就是候选人必须“爱国爱港”。至于“爱国爱港”的具体意涵,参与白皮书起草者、北京大学法学院教授强世功认为,可以参照 全国人大法律委员会主任委员乔晓阳的说法:“不与中央对抗”。这依然是个含糊的概念,但民主派人士均相信,这一条“底线”,足以将北京通过制度设置,将不 喜欢的人排除在候选人的门槛之外,而违背了普选应该“普及”、“平等”的国际标准。

接近四分五裂的民主派立刻团结在了来自北京的压力之下,而原本不被看好的622投票,则成了在阴影之中港人表达不满的重要象征。

天 主教香港教区枢机陈日君6月14日至20日发起了“毅行争普选”的活动,82岁高龄的他由每天早上8点走到晚上8点,行遍香港角落,走足7天84小时,呼 吁市民支持普选及622投票。陈日君的义举引起社会震动,“占领中环”等37个民间团体随即加入,将白天的行程扩展到晚上,变为7天7夜不间断毅行争普 选。与此同时,设在香港大学民意研究计划的电子投票系统从6月15日测试期间就开始受到黑客强力攻击,一度彻底瘫痪,“占中”只得紧急筹款,在全港各地区 增设实体票站,并将投票日期设置为从6月20日延长至6月29日。

白皮书的强硬、黑客攻击的傲慢与曾被誉为“香港良心”的陈日君的坚持,刺激了许多一直以来的沉默者。

Doris 是在企业工作的普通职员,平时很少关心政治,“你知不知道,政治、宗教、足球,这三样东西在香港是朋友聚会的话题毒药,都不讲的,讲了容易吵架。香港人每 天很累啦,上班要讨好老板,OT没有人工,回家要凑仔功课,好不容易聚会,当然不会聊政治!但是现在不一样了,白皮书的嘴脸,好难看。我好担心香港。”她 几乎没有参加过什么游行,而第一次参加,就是通宵的毅行争普选队伍。凌晨1点在深水埗她跟我讲这些话,说6月22日,一定会带全家人出来投票。

6月20日当天,电子公投系统恢复,开放投票仅12小时,就有超过40万人投票,远远超出了所有人的预期。截至6月23日,已经有超过70万香港市民参与了投票。

国务院港澳办、中央政府驻港联络办、香港特区政府分别发表声明,强调投票没有法律基础,是完全无效的。

而民间流传最广的回应,来自香港著名音乐人、作家林夕。他在报纸专栏中写道:“既然不可能通过,去投票,有意思吗?有,预知被宰的羊,临刑前也要大声喊救命,才死得有尊严,才能向世界警告豺狼有多恐怖。那一票,是要表白冤情:‘我是被谋杀,不是自杀,我死不甘心。’”

投票结果将在6月30日最后出炉。无论结果如何,超过70万人对一个中央不可能接受的方案给予民意授权,这已经将北京与香港民主派之间的压力逼至顶点。

CentOS6.X下的L2TP/IPSEC VPN的架設

前兩天才把VPN給搞起來,結果一升級64位内核之後,要把所有的軟件都更新到64位的,把源換好,一陣子亂yum update之後,VPN就不出所料挂了……

於是,嘗試這種配,各種亂搞,從openswan.org下各種版本來編譯,都無法恢復了……

於是一怒之下開了個新的系統,乾乾淨淨地搞。

首先當然是安裝openswan了

1
yum install openswan

配置/etc/ipsec.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
version 2.0
config setup
  protostack=netkey
  nat_traversal=yes
  virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
  oe=off

conn L2TP-PSK-NAT
  rightsubnet=vhost:%priv
  also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
  authby=secret
  pfs=no
  auto=add
  keyingtries=3
  rekey=no
  ikelifetime=8h
  keylife=1h
  type=transport
  left=公網IP
  leftprotoport=17/%any #這裡,網上大多都說是17/1701,不過不知道哪個版本后的xl2tpd之後,光1701已經不夠了,有空看看源代碼,還需要什麽端口。。。
  right=%any
  rightprotoport=17/%any
  #下面三行專門給苹果系列產品的優化
  dpddelay=40
  dpdtimeout=130
  dpdaction=clear

/etc/ipsec.secrets裏面的内容不用改了,因爲裏面是包含/etc/ipsec.d/下面的所有secrets文件,所以我在/etc/ipsec.d/下面建了一個vpn.secrets

1
YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"

之後就是設置ipv4轉發,運行以下命令:

1
2
3
4
5
for each in /proc/sys/net/ipv4/conf/*
do
  echo 0 > $each/accept_redirects
  echo 0 > $each/send_redirects
done

修改/etc/sysctl.conf中的net.ipv4.ip_forward,如果沒有就新增吧

1
net.ipv4.ip_forward=1

运行如下命令刷新:

1
sysctl -p

然後就可以把ipsec啓起來了:

1
service ipsec start

然後檢查一下ipsec的狀態

1
ipsec verify

我這邊的結果是這樣的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.32/K3.14.5-x86_64-linode42 (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]

然後安裝xl2tpd……

1
yum install xl2tpd

咦?找不到這個包…………好吧……加個源……

1
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

如果是32位,就把上面的x86_64換成i386好了。如果上面的地址不對了,就看fedora epel的faq好了……在這裡:https://fedoraproject.org/wiki/EPEL/FAQ/zh-cn#How_can_I_install_the_packages_from_the_EPEL_software_repository.3F

再來!

1
yum install xl2tpd
1
yum install ppp

編輯/etc/xl2tpd/xl2tpd.conf如下:

1
2
3
4
5
6
7
8
9
10
11
12
[global]
ipsec saref = no #因爲我上面的ipsec verify的SAref kernel support是N/A,所以這裡就是no了……

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
length bit = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd

編輯/etc/ppp/options.xl2tpd,如果沒有就建立一個吧。你也可以放在你喜歡的地方起一個你喜歡的名字,只要和上面那配置文件裏面的pppoptfile一致就好

1
2
3
4
5
6
7
8
9
10
11
12
13
14
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

上面的ms-dns我用的是google的DNS……
然後編輯/etc/ppp/chap-secrets,這個用來加VPN賬戶,一行一個賬戶:

1
2
# user server password ip
test l2tpd testpassword *

test是用戶名,自己起,第二項必須是l2tpd,第三項是密碼,第4項是限制這個VPN必須從哪裏連上來,*代表那裏都可以
重啓服務:

1
service xl2tpd restart

這樣子應該就能連上來的,只是因爲沒有設置IP轉發,連上來之後不能訪問外網……不過我發現我win7連上來沒有問題,但是我的苹果手機就一直不行,看xl2tpd的日誌,發現根本就沒有把包發給xl2tpd,看/var/log/secure,發現一直這樣子循環:
Jun 25 07:29:52 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
Jun 25 07:29:52 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: sending notification INVALID_PAYLOAD_TYPE to x.x.x.x:3936
Jun 25 07:29:55 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
Jun 25 07:29:55 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: sending notification INVALID_PAYLOAD_TYPE to x.x.x.x:3936
Jun 25 07:29:59 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
Jun 25 07:29:59 li600-141 pluto[2685]: “L2TP-PSK-NAT”[1] x.x.x.x #1: sending notification INVALID_PAYLOAD_TYPE to x.x.x.x:3936

搜了半天,也沒有有用的信息……依稀感覺是版本的問題……

好吧,那換一個版本。从http://mirror.centos.org/centos/6/updates/x86_64/Packages/ 來看,openswan有兩個版本,我用的是高版本,不行的話就換一個咯。

先卸載舊版本:

1
rpm -e openswan

然後從http://mirror.centos.org/centos/6/updates/x86_64/Packages/openswan-2.6.32-27.2.el6_5.x86_64.rpm安裝另外一個版本。

記得恢復一下ipsec.conf。

然後。。我的苹果。。就連上去了。。。

記得設上轉發哦:
iptables -t nat -A POSTROUTING -s 10.1.2.0/255.255.255.0 -o eth0 -j MASQUERADE

1
iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j MASQUERADE

爲了讓每次服務器重起VPN服務都能順利運行,所以有必要將一些重啓后就丟失的配置寫進啓動自動運行腳本/etc/rc.local裏面(在exit之前):

1
2
3
4
5
6
for each in /proc/sys/net/ipv4/conf/*
do
  echo 0 > $each/accept_redirects
  echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart

保存iptables的設置不用寫在rc裏面,設置好之後,service iptables save,就能把配置保存下來啦。

當然了,別忘記chkcfg on,把ipsec和xl2tpd都加上去吧……

Tags: ,

Linode又升級了

Linode最近又改了Plan,還推出了10$/mo的服務……我還是看云風的這篇文章才知道的……

所以我也把我的vps降到了10$的服務了。

爲了干這事,還得把内核換成64位的。換了之後,發現vpn不能用了,於是各種嘗試,還自己編各種版本的openswan,都不行,於是乾脆重裝系統……又全部搗鼓一邊……終于好了……

記一下。

Tags: ,

餘額寳真是款逆天的產品

上週阿裏巴巴的餘額寳推出來沒兩天,我就從各個渠道都看到了它的介紹了。

於是我就小小地充了1000塊錢玩玩。到目前爲止已經有9個收益日了,縂收益1.41元,年化收益率超過了5%,也就是說,超過了一年定期,而且流動性比一年定期要好很多。

不過也許不能拿它和定期比,畢竟定期是固定收益,而這個不但收益是不保證的,甚至有極小的概率不保本。

好吧。意義不在這裡。畢竟只是款中槼中矩的貨幣基金理財產品而已。意義在於,它是阿裏巴巴的支付寳推出的。支付寳向著銀行有邁進了一步。之前因爲政策問題,支付寳不能付給用戶利息,雖然說支付寳可以因此獲得一定的利潤(獨吞收益),但是推出餘額寳之後,用戶粘性更高了,應該會有更多的用戶放更多的錢進來(例如我)。

如果只是作為一款理財工具,那麽其實餘額寳和別的貨幣基金沒有太大的優勢,都是隔日確定份額獲得收益,贖回也得隔日。但是,餘額寳是1份起賣,比起別的基金動則5万10万起售門檻低了不少,另外,如果你不把餘額寳裏面的錢提出來,而是在阿裏巴巴係内部消費掉(例如淘寶、天貓),那是能馬上消費掉的,這流動性打敗了所有的理財產品。這才是餘額寳逆天之処。

不過,由於我在淘寶、天貓裏消費大部分情況是用的信用卡,只有少部分商傢不肯出信用卡的手續費才會使用儲蓄卡,餘額寳這種流動性的優點其實也不是那麽大。説白了,餘額寳餘額寳,只是用來儅“餘額”的。不小心充多了錢啦,或者別人給你打的錢,或者是退貨之類的,也就是説,餘額寳更多的用處,應該是在因各種原因導致支付寳裏面有錢,可以很方便的獲取一點收益,而不是急急忙忙提回銀行卡……

現在的孩子真累

今天下班回家聽到旁邊有個人在打電話,是一個英語教育機構的老師的彙報電話,聼起來是小班教學。

說他們班預計是4個孩子,有一個孩子因爲時間關係應該不會來了,然後剩下三個孩子,兩個女孩子一個5年級一個6年級,情況好一些,一個“從四級五級六級都考過來了”;另外一個女孩子“只考了四級,跳過五六級來考七級”;但是那個男孩子的“課程肯定是跟不上的”。“前臺也跟他媽媽說了,但是他媽媽非要報這個班”,“他自己是很抗拒的”,“他已經報了三個奧數三個英語班了”……

我在想,這何苦呢……