自己做了一个Openwrt镜像，主要是用来自用，目前本站是Cloudflare的CDN，如果速度可以接受，就直接拿去用，会长期更新，目前主要是X86_64和MT7620、MT7621，理论上我只想保留最新一版，但是有部分版本只要我老路由还在使用就会暂时保留，需要知道有哪些版本可以到下面网址去查看，每天定时同步。如果速度ok，且你用的是最新版，有需要可留言你要的CPU类型，我可以抽时间增加，一定要最新版，不想保留多余版本，维护太麻烦，后续老版本一定时间之后我都会清理掉。https://down.0066.in/openwrt/releases/当前最新版本号 21.02.3，请务必对应Openwrt的版本和你路由器的CPU架构使用，特别是大版本不同的不要混用。除非源地址路径有变动，后续我可能不一定能及时更新本文，所以最新版本号请到上面网址查询。最新版都支持https了，如果是老版不支持https的请先安装wget和ca-certificates后再更换源地址。opkg update && opkg install wget ca-certificatesmkdir /ro

本篇旨在制作openwrt下iptables geoip模块所用到的数据库文件。2022/02/22更新 之前的内容已经失效，正好最近需要，重新更新了本篇，同时制作好的geoip数据库也继续同步更新，有需要的可以自行下载。另外，make的最后一步可能会提示“make[3]: * /lib/modules/5.13.19-3-pve/build: 沒有此一檔案或目錄。 停止。”出错，无需理会，直接进行下一步。apt update && apt install libxtables-dev xtables-addons-common libtext-csv-xs-perl pkg-config -y wget https://inai.de/files/xtables-addons/xtables-addons-3.18.tar.xz tar xf xtables-addons-3.18.tar.xz cd xtables-addons-3.18/ ./configure make -j$(nproc --all) cd geoip ./xt_geoip_dl ./xt

在接触过ngrok、frp等内网穿透软件之后，偶然发现了Zerotier，用过之后发现它简直就是内网穿透之神，部署简单而且不需要什么资源占用，在某些情景下你甚至不需要安装任何软件或手机app。简单列举几个使用Zerotier的情景。远程管理使用Zerotier之前大多数情况下，我们需要远程管理的要么就是家里或者公司的电脑，又或者是在某个机房的服务器，无论是Windows的RDP、MacOS的VNC、Linux的SSH等等，而除了机房有独立IP的服务器之外，大多数这些使用环境都是在内网或者动态IP，通常为了省事，我都是在有图形界面的服务器或电脑上安装Teamviewer，这个几乎是最简便的方案，无论在哪里用Teamviewer都不需要烦什么端口映射、动态域名等等，弊端也不是没有，比如经常检测你在什么商业环境，几分钟就给你断线等等。使用Zerotier之后在路由器上部署Zerotier，设置好推送的路由，无论是在公司还是在家里，直接访问内网，如192.168.1.123:3389等，所有远程管理都像是在内网操作。文件共享使用Zerotier之前老派一点可以用ftp、sftp等来传输大型数据

为什么用stunnel来做翻墙，基本上我目前都是使用v2ray，但家里路由器性能不太好，用来跑v2ray除了慢也不稳定，在工作的外地有一台自己的nas同时也是路由器，日常都跑着v2ray，所以就考虑其他软件来替代一下家里路由器的v2ray，经过各种测试之后，stunnel的综合性能和稳定性还可以，于是用zerotier做了内网穿透，用stunnel来加密外网的socks5代理，再配合kumasocks配合来做透明代理。zerotier非必须，如果有公网IP的话可以做动态域名，然后做端口转发也可实现同样的功能。先说下基本的使用环境：nas上跑了docker、openwrt路由等，题外话：目前本站就运行在这个nas的debian docker上，通过外网反代，同样是用zerotier做内网穿透。内网IP：172.16.22.2通过zerotier推送了静态路由，家里的openwrt路由器可以直接访问这个内网IP。在debian docker上安装stunnel4.apt update && apt install stunnel4 -y生成证书cd /etc/stunnel

现在是特殊时期，各种代理的封锁疯狂程度已经可以比得上每年的6月了，我自用的v2ray也被墙了，使用的是mkcp+tls，思前想后，最关键还是没有防探测的意识，单纯依赖软件实在太难以防得住。当然，有人会说如果用tls+nginx反代就不会有问题，这种方式确实是比较不容易被封，但是问题是这种方式速度不够快，特别是电信这种坑爹出国的各种限速，根本无法满足个人看youtube 1080p的需求。痛定思痛，重新换了ip复活，为了不再浪费gfw的资源，节省一点纳税人的钱，也节省一点自己换ip的成本，部署了防探测到服务器，具体防探测防封锁的效果目前暂时还在验证中，如果有一天仍然被墙了，我会上来报告一下，如果没有，说明它仍然有效。补充说明一下目前我使用的代理方式，由于新版v2ray(4.22.1)的mkcp有些问题，我现在使用v2ray的tcp+kcptun，实测效果不输mkcp，唯一缺点可能就是带宽有些浪费，流量小的慎用。大体的思路其实很多人都有提过，就是不对外开放端口，靠防火墙来给自己开一条私有通道。除了你自己，别人无法访问这个端口，也就让gfw没有探测的条件。本次实现环境服务器和客户端均为Deb