header image

折腾香橙派

这里说的香橙派并不是食物,而是树莓派的国产模仿版。都属于ARM平台开发版,当然,装上Linux之后就是一台小电脑了,可以发挥的地方很多,就看你怎么利用了。

我是由于Xbox One网络实在太糟糕,而它又不支持VPN,所以必须要通过代理网关来转发,我又不想买新的路由器,所以便宜小巧的香橙派就成了我的首选了。

香橙派比树莓派价格更便宜,配置也更给力,就是不知道耐不耐用了。官方网站上都有详细介绍,我购买的是Orange Pi PC这一款,使用后发现系统在Micro SD卡上还是太慢(即使是UHS-I,当然,很可能香橙派根本不支持UHS总线,只能用更慢的总线模式读取),所以如果对速度有要求的场合(比如说做电视盒子)还是买Orange Pi PlusOrange Pi 2这些板载eMMC Flash ROM的版本。

没玩过树莓派,不知道树莓派的系统支持怎么样,但是香橙派的系统是非常丰富的,官网上可以看到AndroidLubuntuUbuntu with MATEFedoraDebianRaspbianOpenSUSEKali LinuxArch Linux等等系统,进论坛还能找到GentooOpenWRT等系统,总有一款适合你。最终我在中文论坛上找了一款Ubuntu 15.10 with MATEMATE是一个轻量级的桌面,自然没有Ubuntu官配的Unity那样的体验了,不过我要的是丰富软件包,并不用桌面。

然而在一切开始之前,却遇到了一个问题,居然不能用USB OTG那个接口供电,只好又重新买了变压器,这才用上。

下面我的操作都是在Ubuntu上进行的,Windows下的话工具有所不同,在官网和论坛上都有说了,就不另外说了。

系统安装

在树莓派官网和论坛上都有详细的步骤,这里就不细说了。就是把下载得到的系统包先解压出来,得到类似ubuntu_wily3.4.39_CN.img这样的磁盘镜像文件,然后写入到SD卡上。注意Ubuntu会自动挂载移动磁盘,所以必须先卸载(不能直接在文件管理器里卸载,这样会直接把设备都卸载掉了,必须用命令,这里我的SD卡是/dev/sdc):

sudo umount /dev/sdc*

然后就是写入系统:

sudo dd if=ubuntu_wilu3.4.39_CN.img of=/dev/sdc oflag=direct bs=4M

如果4M的块无法启动,要改成1M重新写入。

然后就会在文件管理器里见到两个新的分区了,挂载BOOT分区,然后根据需要把对应的屏幕分辨率的文件重命名为script.binuImage是内核,因为我用的是Orange Pi PC所以不用改了,如果是Orange Pi Plus要把uImage-OPI-PLUS重命名为uImageOrange Pi 2也不用改)。我选择的是1080p60的分辨率:

mv script.bin.OPI-PC_1080p60 script.bin

如果无法启动,在另一个linux分区下的boot目录里还有更多的内核文件,根据需要移动到BOOT分区并重命名就行了。

启动并配置

插上HDMI、鼠标键盘、网线和电源,然后按下开机按钮,香橙派就这么启动了。进到桌面后,登录名和密码都是orangepi,后面可以自己改。我下的系统SSH服务器默认是启用的,所以也可以不登录桌面,直接SSH过去操作。

首先要重新设定分区的大小,否则就没法利用SD卡的所有空间了:

sudo fs_resize

重启之后就可以了。

配置本来没啥好说的,虽然桌面环境不同,但本质都是Ubuntu,所以算是大同小异。但还是有一样得说一说,就是软件源。国内的镜像基本都没有ARM的源,包括官方的中国镜像(实际是指向阿里云的镜像)。不过最终还是发现中国科技大学的镜像有ARM的源。参考电脑上的source.list,把/etc/apt/source.list改为如下内容:

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily main restricted
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily main restricted

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates main restricted
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates main restricted

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily universe
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily universe
deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates universe
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates universe

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily multiverse
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily multiverse
deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates multiverse
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-updates multiverse

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-backports main restricted universe multiverse
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-backports main restricted universe multiverse

deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security main restricted
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security main restricted
deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security universe
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security universe
deb http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security multiverse
deb-src http://mirrors.ustc.edu.cn/ubuntu-ports/ wily-security multiverse

deb http://archive.canonical.com/ubuntu wily partner
deb-src http://archive.canonical.com/ubuntu wily partner

然后就是照例的更新升级:

sudo apt-get update
sudo apt-get dist-upgrade

然后就是装各种需要的软件了,这个就不细说了。

编译安装shadowsocks-libev

这才是今日的重点,shadowsocks-libev是一个C语言版本的shadowsocks,依赖少功能强,比起原版的Python版本的更好用。

在它的README.md中已经详细介绍了安装方法了,这里就简单说一下(GitHub页面上显示的就是README.md格式化后的内容)。

工具和依赖

直接从软件源安装(在服务器上安装时发现还需要fakeroot这个包,不过我下载的这个系统已经有了):

sudo apt-get install git build-essential autoconf libtool libssl-dev gawk debhelper dh-systemd init-system-helpers pkg-config

下载源码

直接从GitHub仓库克隆就行了:

git clone https://github.com/shadowsocks/shadowsocks-libev.git

编译成软件包

shadowsocks-libev的开发者非常贴心,根本不用做复杂的配置工作,直接进入源码目录后一条命令就编译打包成deb了:

cd shadowsocks-libev
dpkg-buildpackage -us -uc -i

安装

deb打包在源码的上级目录,出来安装就行了:

cd ..
sudo dpkg -i shadowsocks-libev*.deb

配置shadowsocks-libev

安装好后默认启用的是服务器端ss-server,我们需要的是作为代理的客户端ss-local和作为网关的ss-redir。所以还需要一些工作。

配置文件

装好后应该在/etc/shadowsocks-libev/下有个config.json的配置文件,我们不管它,我们来分别建立用于ss-localss-redir的配置文件,分别命名为local.jsonredir.json

cd /etc/shadowsocks-libev
sudo touch local.json redir.json

然后根据需要修改如下内容保存到两个文件里:

{
  "server": "1.2.3.4",
  "server_port": 8388,
  "local_adress": "0.0.0.0",
  "local_port": 1080,
  "password": "givemefive",
  "method": "rc4-md5"
}

修改说明:

  1. server:是服务器的IP地址,把1.2.3.4改成实际的值。
  2. server_port:是服务器监听的端口,把8388改成实际的值。
  3. local_address:这里可以不用改,0.0.0.0表示监听香橙派的所有IP,其他场合配置中没有这项是因为那些只需要监听本机的IP(也就是127.0.0.1),而我的香橙派的不是给它自己用的,是提供给局域网里的其他主机用的,所以要监听所有IP。redir.json中可以配置为127.0.0.1或者删除此项。
  4. local_port:这里是要监听的香橙派的端口,注意local.jsonredir.json要设置不同的端口以免冲突,我设置的分别是108023232
  5. password:服务器的密码。
  6. method:加密方法,根据需要修改。

配置服务

以下所有服务的配置都是基于systemd,只适用于Ubuntu 15.04以后版本(其他系统的支持情况请参见维基百科systemd)。

首先要停止默认的ss-server

sudo systemctl disable shadowsocks-libev

然后配置ss-local使用local.json

sudo systemctl enable shadowsocks-libev-local@local

同样地配置ss-redir

sudo systemctl enable shadowsocks-libev-redir@redir

@后面的字符就是配置文件的文件名.json前的部分。由此可见我们可以建立多个配置文件同时连接多个不同服务器,只要监听的本地端口不冲突就行了。这只有systemd才能做到,过去的System V就必须建立多个初始化脚本不同的才行。

当然别忘了启动服务:

sudo systemctl start shadowsocks-libev-local@local
sudo systemctl start shadowsocks-libev-redir@redir

设置转发

ss-local现在已经可以使用了,比如我监听的是1080的端口,我只要在Firefox中使用Autoproxy插件设置SOCKS5代理的为香橙派的IP和1080端口,然后订阅gfwlist就可以自动根据访问的网站使用或者不使用代理了。

但我的终极目标是给Xbox One用,所以还需要设置转发才行。这里就要用到Linux内置的iptables功能了(可能需要安装iptables软件包)。

感谢好心人,这里已经有了一份配置方法了。因为给Xbox One用不需要考虑过滤国内流量,所以直接参照最开始的部分配置就行了。

下面所有的命令都需要root权限,所以先切换为root:

sudo su

首先要新建一个链SHADOWSOCKS:

iptables -t nat -N SHADOWSOCKS

然后添加shadowsocks服务器的IP到不转发的规则里(将1.2.3.4修改为实际的值):

iptables -t nat -A SHADOWSOCKS -d 1.2.3.4 -j RETURN

然后添加为私有网络保留的IP地址段到不转发规则里:

iptables -t nat -A SHADOWSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 240.0.0.0/4 -j RETURN

转发到ss-redir监听的23232端口:

iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT --to-ports 23232
iptables -t nat -A SHADOWSOCKS -p udp -j REDIRECT --to-ports 23232

还要应用转发规则到PREROUTING链:

iptables -t nat -A PREROUTING -p tcp -j SHADOWSOCKS
iptables -t nat -A PREROUTING -p udp -j SHADOWSOCKS

因为iptables规则重启后会丢失,所以我们还要保存下来让他开机自动应用,不用麻烦,安装一个软件包就解决了:

sudo apt-get install iptables-persistent

安装过程中会询问是否保存当前规则,确定就行了。

规则保存在/etc/iptables/rule.v4(因为我们用的是IPv4的iptables)。如果以后修改了规则,需要手动保存,用下面的命令就行了。注意这条命令必须先切换到root(sudo su)之后才能运行,在命令前加sudo是不行的。

iptables-save > /etc/iptables/rule.v4

Xbox One以及其他设置

设置好了转发之后,我们只要在Xbox One或者其他需要转发的设备上修改网络设置就行了。先查看通过DHCP自动获取的网络参数,然后手动设置参数,保持其他参数不变,把网关修改成香橙派的IP就行了。

比如:

  • IP地址(IP address):192.168.11.36(不变)
  • 子网掩码(netmask):255.255.255.0(不变)
  • 网关(gateway):192.168.11.1(改成香橙派IP
  • 主要DNS(primary DNS):192.168.11.1(不变)
  • 次要DNS(secondary DNS):8.8.8.8(不变)

总结

由于shadowsocks的特性,连接是按需建立的,并不是VPNSSH tunnel那样需要持续保持连接的,所以可以让它一直运行而不用担心连接断开。

如果更进一步,还可以在香橙派上建立DNS服务和DHCP服务,代替无线路由器的功能,给不同的设备分配不同的网络参数(比如给电脑就分配路由器为网关,给Xbox One就分配香橙派为网关)。或者给香橙派插上无线网卡(2和Plus的话自带无线网卡),作为AP使用,让连上香橙派AP的使用转发,连上无线路由器的不转发(本来我是想这样搞的,无奈香橙派的内核不支持我的USB无线网卡)。玩法是多种多样的,就看你能不能想到了。

总之,妈妈再也不用担心我玩Xbox One无法下载更新了。

赞赏

微信赞赏支付宝赞赏

  1. 楼主,本人是小白,看了分享后,不是很明白,想请教一下。
    1. 香橙派的作用,仅为转发?
    2. 需要先在VPS上搭建好ss服务。
    3. ##{4.6 配置服务}中,提及的命令是在本地运行,还是ssh到服务器端运行?
    4. 手头上只有Mac,与PC (WIN10),可以用虚拟机运行ubuntu,进行以上操作?
    5. 文中提及WIN也是有教程的,请问我该搜索什么关键字?能提供参考链接?

    谢谢!

    1. 抱歉一直没有看评论……

      1. 是的,我只是用它来做转发,你可以发掘它的更多用处。
      2. 是的,SS需要在VPS上运行server,在本地(香橙派)上运行local或者redir。
      3. 这篇文章里讲的都是香橙派上的设置,没有涉及VPS的。
      4. 操作系统不限,只不过在Linux(Ubuntu)下更方便点。OS X(或者叫macOS?)也是有相关的工具的,毕竟是类Unix系统(或者说本来就是以Unix为基础的)。除了第1节系统安装之外,其他的都是远程(SSH)到香橙派上操作的,所以你用什么操作系统无所谓。
      5. 香橙派的官网上有说明。

回复

your email will keep secret. (* required).

你可以使用这些HTML标签和属性:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> .

This site uses Akismet to reduce spam. Learn how your comment data is processed.