dipplum.com

背景

ssh除了可以提供远程登录服务之外，还可以建立主机之间的网络隧道，尤其是可以提供SOCKS代理（传说中的ssh -D）。但用ssh命令建立的隧道可能会受网络的影响而中断，不能为用户提供持续的服务。autossh正好是解决上述问题的工具：为用户提供可靠的ssh隧道服务。

在使用autossh之前，我的做法是：首先，做一个shell脚本检查相应的ssh进程是否存在，如不存在，则重新启动ssh隧道；然后，将上述脚本加入系统crontab，定时执行，例如1分钟1次。但是，用shell脚本检查有一个缺点：有时候，ssh进程虽然并没有退出，但ssh隧道已经不能正常转发报文了，shell脚本难以发现这类情况。为了避免ssh进程存在、隧道假死的问题，可以采用定时重启ssh进程并重新建立ssh隧道的方法。但重启间隔不好设置：间隔过短，导致ssh隧道用户频频掉线，影响用户使用；间隔过长，一旦隧道假死，在重启ssh服务之前会有较长的服务中断间隔。

autossh对ssh隧道的监控则更加有效。首先，在开始执行时，autossh首先创建ssh子进程，建立隧道。同时autossh作为父进程，随时监控ssh进程是否退出，一旦退出则立即启动新的ssh隧道。autossh这种做法比crontab定时检查在失效恢复速度上更具有优势。其次，autossh还会定期检查ssh隧道是否能够正确传输数据，如发现隧道假死，也会强制重启ssh，建立新的ssh隧道。 Read more…

最近用VPN翻墙比较流行, 我也赶了一下潮流: 买了一个Linode的VPS, 安装了最新的Ubuntu Lucid (10.04), 并在上面配置了L2TP服务器.

以下虽然是在10.04上的配置过程, 但应该对其他版本的Ubuntu同样适用.

2010-09-01: Ubuntu ppa没有karmic上的openswan包, 只能自己编译了, 或是下载我预编译的版本, 参照后面说明.

1. 安装OpenSWAN

L2TP(Layer 2 Tunneling Protocol)顾名思义, 是2层隧道协议. 这个协议的认证方式不是非常安全, 因此实际使用中, 往往将L2TP和IPsec结合, 客户端和服务器之间, 首先通过IPsec生成安全信道, 之后再进行L2TP协议的交互.

因此, 安装L2TP服务器, 首先需要安装IPsec软件. 目前在Linux下, 有FreeSWAN, OpenSWAN, StrongSWAN三款IPsec协议的实现. 这里我用的是OpenSWAN.

目前Ubuntu Lucid中官方自带的OpenSWAN版本是2.6.23. 可惜的是, 这个版本的OpenSWAN有bug, 无法和L2TP服务器配合使用, 必须至少升级到2.6.24以后. 因此需要安装Ubuntu提供的非官方OpenSWAN升级版. Read more…