如何亲手打造一个无所不能的telegram?

 来自: https://twitter.com/Hayami_kiraa/status/1532587996335132672

如何亲手打造一个无所不能的telegram?开个 thread 分享一下,我是怎么把电报用到极致的。 利用电报,我可以看书、观影、听歌、看新闻、和朋友聊天;作为创作者,我可以写字、发视频、上传播客、记录灵感。

 Image 

1. 写博客: channel是我目前遇到对创作者最友好的容器。没有审查、支持外链、流程简单、发布友好、支持音频文字视频图片等多种媒介。 我在电报开设中文原创博客一年半(t.me/hayami_kiraa),已有1w+订阅量。虽然其他平台有更多的follower,但显然,这是比公众号10w+订阅量更开心的事情。
 
2. 记录灵感: 对于创作者来说,没有什么比灵光一现的灵感更宝贵的东西了。 在电报,你可以随时随把它们记录下来。比如我的《日常人间草稿》,里面记录了很多奇妙无穷的见闻和稀奇古怪的想法。有一些后来写成了 blog,有一些做成了线下企画,有一些就是埋下了种子,在日后意想不到的地方开花结果。
Image 
 
3)看电影 :电报真是一个伟大的发明。在电报上,如果你要看视频,你不用费尽心思寻找资源,不用经历荒诞不经的删减,不用忍受愚蠢的广告弹窗。 我用电报看完了 normal people 全集未删减版。前几天在 channel 里,看到有读者同好做了 NHK 纪实72小时的资源整合。要知道,后者的资源真的非常难找。
 
4)听歌 :我还会用电报听歌,比如你可以在这个 channel 里找到 my little airport 所有的歌曲。 并且,你所要做的只是轻轻点击一下播放就好了。  
 
Image 
5)读书: 如何快速找到想要的电子书,并且完成到 kindle 的推送?感谢 zlibrary 和 telegram,你只需要2个bot,5s就能漂亮地完成它! 订阅1 library bot,输入书名,然后发送给Ebook sender bot,就能在 kindle 上看到了。 如此高效! 
 Image
6)看新闻 :在电报上,你可以看豆瓣精选、知乎日报,也可以看纽约时报、端传媒、中国数字时代、简中赛博坟场、404文库…… 且因为强大而惊艳的instant view,一切都在0.1s内就能完成,你不需要浪费时间打开和跳转网站。 让电报成为你的 RSS 工具!
 
 
7)时至今日,我在赛博空间说话的场景大部分在电报完成。不管是否有对方微信,不管是陌生网友还是close friends。 我有时候甚至觉得,把微信拿来比较,都是对于电报的一种巨大侮辱。 因为除了在聊天体验上吊打微信,电报它远远不止一个 IM 工具。它是RSS,是流媒体,是部落格,它可以是一切。

Image
 

 

Pi-hole 搭建去广告 DNS 服务器

来自:https://www.ruanx.net/pi-hole/

  在 PC 上,屏蔽浏览器广告可以用 Adblock 之类的插件,但手机上各种 APP 总有层出不穷的广告。我们可以用树莓派搭建一个自己的 DNS 服务器,把广告域名解析进黑洞,于是眼不见心不烦了。

 

安装 Pi-hole

  首先,由于 Git 基本上是被墙了的状态,我们没法直接用官方提供的那句指令来安装。我本地有 v2ray,先把它设置为允许局域网连接,然后我们在树莓派上走代理。采用 proxychains:

apt install proxychains
nano /etc/proxychains.conf
▲ 安装并配置 proxychains

  在 [ProxyList] 里面加入 socks5 代理地址。最后如下:

[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks5 	192.168.0.105 10808     # 笔记本电脑上的 socks5

  运行 proxychains curl www.google.com 成功获取网站内容,说明我们 proxychains 配置成功了。接下来下载安装脚本并运行:

proxychains curl -sSL https://install.pi-hole.net -o install-pi-hole.sh
chmod +x install-pi-hole.sh
proxychains ./install-pi-hole.sh

  期间所有的配置按 recommended 做即可。把 web UI 打开,方便我们之后的管理。最后就成功了,图如下:

▲ 成功安装。图源:少数派

  我安装完成之后的图与上面的不太一样,还提供了初始的 admin 密码,这里我们先记下来。另外,web UI 默认起在 80 端口,仅允许通过 IP 或者 http://pi.hole 访问;但我 80 端口是被 nginx 占用的,因此暂且起不来 web UI.

  解决方法是,由于 Pi-hole 是用 lighthttpd 起的 web UI 服务,我们只需要把端口号改成别的,再反代就行了。改端口的指令如下:

cp /etc/lighttpd/lighttpd.conf /etc/lighttpd/lighttpd.conf.backup
sed -ie 's/= 80/= 8093/g' /etc/lighttpd/lighttpd.conf
/etc/init.d/lighttpd restart

  此时,用 192.168.0.101:8093 已经可以访问 Pi-hole 的管理界面了,不过我们反代一下,用 pi.hole 域名访问。nginx 配置如下:

server {
    listen 80;

    server_name pi.hole;

    location / {
        proxy_pass http://127.0.0.1:8093/;
        proxy_set_header Host $http_host;
        proxy_set_header x-forwarded-for  $remote_addr;
    }
}
▲ nginx 反代 Pi-hole 的 web 管理端

  改掉笔记本电脑上的 hosts,我们进入管理界面:

▲ Pi-hole 的 web UI

配置拦截域名

  Pi-hole 是国外软件,默认带几条规则表,不太适合中国特色互联网。我们需要换用国内常用的广告域名列表。一番搜索之后我们找到了两个比较全的:

https://gitee.com/privacy-protection-tools/anti-ad/raw/master/domains.txt
https://share.is26.com/subscribe/adblock.hosts

  在 Group Management -> Adlists 里面,为 Default 规则组添加这两个表,并关闭其余的(因为更新起来非常耗时,且效果不大):

▲ 添加中国特色广告域名表

  在 Tools -> Update Gravity 里面点一下“Update”,开始更新屏蔽域名表:

▲ 更新屏蔽域名

  于是导入了 67782 条规则。

实际测试

  手机连接 Wifi,把 DNS 服务器设为树莓派的 IP 地址,也就是 192.168.0.101 之后,即可体验 Pi-hole 的去广告、DNS缓存服务。

  DNS 去广告不仅适用于浏览器,也适用于各种 APP。想去广告,只需要找几个靠谱的广告域名表、把内网的树莓派作为 DNS 服务器,还是很方便的。

▲ 广告域名解析的拦截日志

基于树莓派的全能广告屏蔽助手 —— Pi-hole

来自:https://sspai.com/post/58183

前言

Pi-hole 是一款开源且免费的 DNS 沉洞服务器(DNS sinkhole),能够在不安装任何客户端侧软件的前提下为设备提供网络内容屏蔽服务,非常轻量易用。搭配上家中吃灰已久的树莓派,我们就能够轻松打造属于自己的广告屏蔽助手。
官网的介绍中,Pi-hole 主要具有以下优点:

  • 易于安装和配置(号称 10 分钟安装配置一条龙)。
  • 全平台,广告屏蔽服务可作用于任何设备,包括PC、手机、平板电脑。
  • 轻量,对硬件要求极低。
  • 功能稳定且强大,能轻松 hold 住百万级别的请求。
  • 提供了美观的 Web 数据监控仪表盘。
  • 开源且免费。

原料

  • 树莓派开发板一块
  • 支持自定义 DNS 的路由器

安装

首先我们需要将树莓派接入路由器,有线或无线均可,然后远程登录到树莓派上:

(因为本篇不是树莓派基础教程,因此不再赘述如何 ssh 到树莓派上)

Pi-hole 提供了一键安装脚本:

curl -sSL https://install.pi-hole.net | bash

输入并回车即可看到 Pi-hole 的logo:

相对于纯命令行界面,Pi-hole 提供了相对友好的安装引导:

配置

1. 网络配置

首先选择网络接口,此处因为我的树莓派是通过网线连接到路由器,因此选择 eth0 接口

接下来选择 DNS 提供商,视个人网络情况,可选择 Cloudflare 或 Google

接下来选择规则列表,维持默认的全选即可

最后选择 IP 协议,维持默认的全选即可

2. Web 控制台配置

一路回车之后,我们来到了 Web 管理员控制台的配置项,Web 管理员控制台是我们后续配置拦截规则、查看拦截日志等功能的必备入口,因此此处维持默认的 On 即可。

接下来的 Web Server 也必须同样选择 On,除非你想自己配置一个 Web Server。

接下来的选项一路<确定>回车即可

等待几分钟后,我们会在终端中看到如下信息:

至此,我们的 Pi-hole 就已经配置好了。

3. 登录管理员控制台

根据完成界面输出的提示,我们可以使用:http://树莓派IP/admin 来登录 Pi-hole 的管理员控制台,首次登录后界面如下:

此时的界面为未登录状态,点击左侧的Login选项,登录管理员账号后(密码可在安装完成后的提示信息页面找到),即可看到完整的管理员控制台了:

4. 路由器 DNS 设置

前言中提到过,「Pi-hole 是一款开源且免费的 DNS 沉洞服务器」,因此 Pi-hole 需配合路由器使用才能达到最大功效。

不同的路由器有不同的配置界面,本文将以笔者自用的「华硕路由器+梅林固件」环境为例进行讲解。

登录路由器管理后台后,选择「内部网络(LAN)」 - 「HCP 服务器」,并将 DNS Server 配置为树莓派的 IP 地址:

保存并应用后即可生效。

然后我们就可以在 Pi-hole 的管理员后台中看到请求日志了:

5. 拦截规则配置

由于 Pi-hole 国外开发的软件,因此其默认内置的拦截规则可能并不符合国情,所以很多小伙伴在完成配置之后,会发现很多国内网站的广告完全没有被屏蔽。请坐和放宽,接下来我们就要完成中国特色的反广告规则配置。

首先在当前目录下,使用 Vim 创建一个脚本文件:

vim adblock.sh

然后输入以下内容并保存:

curl -s -L https://easylist-downloads.adblockplus.org/easylistchina+easylist.txt https://easylist-downloads.adblockplus.org/malwaredomains_full.txt https://easylist-downloads.adblockplus.org/fanboy-social.txt > adblock.unsorted

sort -u adblock.unsorted | grep ^\|\|.*\^$ | grep -v \/ > adblock.sorted

sed 's/[\|^]//g' < adblock.sorted > adblock.hosts

rm adblock.unsorted adblock.sorted

然后执行 bash ./adblock.sh,稍等一会(几秒钟)之后,即可在当前目录下生成一个 adblock.hosts:

使用 pwd 命令获取当前路径,在我本机上路径为 /home/pi

接下来返回 Pi-hole 的管理员后台,依次点击「Settings」- 「Blocklists」,然后在输入框中填入以下地址,其中「home/pi」为上一步获取到的当前路径。

file:///home/pi/adblock.hosts

查看更新日志,即可看到本地的 adblock.host 已经被正确解析并应用了:

6. 最后的最后,上一张效果图

使用前:

使用后:

搭建 Pi-Hole 为网上冲浪保驾护航

来自:https://wzyboy.im/post/1372.html 

曾经我觉得有 uBlock Origin 之类的浏览器插件,不需要在网关上做广告和追踪器的过滤。但随着手机使用量的增加,我逐渐意识到在网关上做集中化管理还是有好处的。正好 Raspberry Pi 4 已经闲置了两个月,那就来试试 Pi-Hole 吧。

本文介绍如何使用 Pi-Hole 过滤广告、追踪器和恶意软件的域名,并使用 DoH / DoT 对 DNS 请求加密。最后,Android 设备可以通过 Private DNS 功能,即使不在家,也可以享受 Pi-Hole 的好处。

一、Pi-Hole 简介

在使用浏览器网上冲浪的过程中,DNS 的作用是把域名翻译成 IP 地址,以供浏览器连接。网页上有各种广告和追踪器,这些东西往往是专营此业的第三方服务提供的(如 Google AdSenseGoogle Analytics),与用户浏览的网站并不属于同一域名。那么,将这些域名在 DNS 层面上屏蔽掉,就达到了过滤广告和追踪器的效果。上了年纪的中国网民一定很熟悉十几年前流行的使用 hosts 文件屏蔽广告域名,或是绕过 GFW 的 DNS 污染的套路,其原理是类似的。只是随着个人电脑和手机等移动设备的增多,在多设备之间维护一份屏蔽列表是一件非常费劲(如果不是不可能)的事情。这种时候,在网关上部署一个集中化管理的屏蔽列表便是一种省力的方式。Pi-Hole 便是这样一套广告、追踪器与恶意软件域名过滤及管理的方案。

二、Pi-Hole 的安装与部署

正如其名字所暗示的,Pi-Hole 最早是为 Raspberry Pi 设计的。Pi-Hole 虽然较轻量,但是对于一般的家庭路由器来说还是太重了,因此跑在 Raspberry Pi 上是个很不错的选择。当然,Pi-Hole 的负载能力与硬件有关,如果你有诸如 Microserver Gen8 / Gen10 / Gen10+ 之类的家用服务器的话,Pi-Hole 在其上可以发挥更大的效能。

很遗憾地,Pi-Hole 没有提供通过包管理器的安装方式,而是通过「一键脚本」这种我个人很不喜欢的方式实现安装。官方推荐的方式是用 curl | bash 这种极富争议的代码执行方式:

curl -sSL https://install.pi-hole.net | bash

更谨慎的方式则是下载并检视其安装脚本,然后再安装:

wget -O basic-install.sh https://install.pi-hole.net
sudo bash basic-install.sh

安装过程中,脚本会通过 TUI 询问一些问题。安装完成后,屏幕上会打印随机生成的网页后台的密码。Pi-Hole 会为自己配置一个静态 IP 地址。本文中以 192.168.2.191 为例。

Pi-Hole 推荐用户立刻将其设置为局域网 DHCP 服务(通常由路由器提供)所分配的 DNS 地址,但你也许想要先配置一下 Pi-Hole,并确保其可用,再将其设置为局域网内的 DNS 地址。

三、重要的 Pi-Hole 配置

域名屏蔽方式

默认配置下,Pi-Hole 对被屏蔽的域名的 A 记录返回 0.0.0.0。这一行为在某些情况下并不是最优的。对于 Windows 来说,0.0.0.0 的确是一个不可达的地址,而对 GNU/Linux 和 macOS 来说,这个地址等同于 127.0.0.1。如果你使用 GNU/Linux 或 macOS,而本机又恰好运行了一个 HTTP 服务器监听了 80/tcp 和 443/tcp 端口,那么在你使用 Pi-Hole 之后,你本机的 HTTP 服务器会接到大量试图访问广告和追踪器域名的无效请求,并且你在浏览器里可能还会遇到莫名其妙的证书错误。比如当你访问 https://analytics.google.com/ 的时候,由于 analytics.google.com 这个域名默认被 Pi-Hole 屏蔽从而解析到 0.0.0.0,你的浏览器会拿到你本机 HTTP 服务器所用的 TLS 证书。

如果不希望使用返回 0.0.0.0 作为屏蔽方式,可以更改 /etc/pihole/pihole-FTL.conf 文件,改用别的屏蔽方式:

# 对被屏蔽域名返回 NXDOMAIN(该域名不存在)
BLOCKINGMODE=NXDOMAIN
# 对被屏蔽域名返回 NODATA(该域名存在,但是没有 A / AAAA 记录)
BLOCKINGMODE=NODATA

当然,如果你本机并没有运行监听 80/tcp 和 443/tcp 的服务,那么默认的屏蔽方式也是适合你的——浏览器只是会得到一个 connection refused 而已。

日志记录

如果你没有在安装过程中关闭日志的话,那么 Pi-Hole 默认是会记录所有 DNS 请求的。这也是我推荐新晋 Pi-Hole 用户的设置,因为这有助于发现局域网内各种奇怪的请求。比如若不是 Pi-Hole,我是绝对不会想到 Velop 在 24 小时内请求 www.belkin.com 这个域名超过 2500 次的

待使用一段时间后,你可以调低 Pi-Hole 的日志数据库(SQLite)写入频次,以减少对 Raspberry Pi 的存储卡的损耗:

# 每小时写入一次,而不是默认的每分钟
DBINTERVAL=60

四、使用 dnscrypt-proxy 加密从 Pi-Hole 发出的请求

在互联网的田园时代,一切都是明文的。后来虽然有了 HTTPS,但是明文的 HTTP 依然是主流。从大约十年前开始,在 PRISM 的余波之下,以 2010 年 Gmail 默认以 HTTPS 加载为标志性事件,各大互联网公司开始推崇 HTTPS by Default 的理念。十年后的今天,绝大部分主流网站都已支持 HTTPS 并以此为默认,但大部分的用户仍在使用未加密的 DNS 协议。是时候改变了。

早在 2012 年,出于翻墙的原因,我就用 dnscrypt-proxy 来实现抗污染 DNS。当时的 DNSCrypt 协议后来被 DNS over HTTPS (DoH) 所取代,上游服务器也从 OpenDNS 换成了 Cloudflare。如今想要实现加密 DNS,我第一时间想到的仍然是它。

现在的 dnscrypt-proxy 已经改用 Golang 重写,这使得它能更容易地支持 x86_64 以外的平台。在 Raspberry Pi 上安装 dnscrypt-proxy 之后,可使用如下最小配置运行起来:

# /etc/dnscrypt-proxy/dnscrypt-proxy.toml

listen_addresses = ['0.0.0.0:44353']
server_names = ['cloudflare']
cache = false

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

注意:有些发行版(如 Raspbian / Debian)默认使用 .socket 方式激活 dnscrypt-proxy.service,你可能需要对此做一些处理才能让 dnscrypt-proxy 监听 53/udp 以外的端口:

$ sudo systemctl mask dnscrypt-proxy.socket
$ sudo systemctl disable dnscrypt-proxy-resolvconf.service
# 去掉对 .socket 的依赖
$ sudo systemctl edit --full dnscrypt-proxy.service

启动 dnscrypt-proxy 之后,可观察到类似这样的日志:

[NOTICE] Source [/var/cache/dnscrypt-proxy/public-resolvers.md] loaded
[NOTICE] dnscrypt-proxy 2.0.19
[NOTICE] Now listening to 0.0.0.0:44353 [UDP]
[NOTICE] Now listening to 0.0.0.0:44353 [TCP]
[NOTICE] [cloudflare] OK (DoH) - rtt: 19ms
[NOTICE] Server with the lowest initial latency: cloudflare (rtt: 19ms)

这代表现在 44353/udp 收到的普通 DNS 请求将会通过 DoH 加密转发给 Cloudlfare 进行解析。

使用 dig @192.168.2.191 -p44353 google.com 确认 dnscrypt-proxy 工作正常之后,即可在 Pi-Hole 的后台将上游 DNS 改成 127.0.0.1#44353

pi-hole-upstream-dnscrypt-proxy

至此,Pi-Hole 对外的 DNS 请求都是加密的了,你的 ISP 不再能看到你局域网内设备的 DNS 请求。

以下命令可用于确认 Pi-Hole 是否工作正常:

# 正常返回
$ dig @192.168.2.191 google.com

# 返回 0.0.0.0 或 NXDOMAIN 或 NODATA(根据不同的屏蔽方式)
# doubleclick.net 是 Google 广告的域名
$ dig @192.168.2.191 doubleclick.net

若一切正常,则可在路由器中将 DHCP 分配的 DNS 地址改成 Pi-Hole 的地址。待局域网内的设备重连,或是 DHCP 租期过期之后,即可 Pi-Hole 中观察到被放行和被屏蔽的域名请求。且通过抓包可观察到,Pi-Hole 对外的 DNS 请求是加密的而非明文的。

五、使用 CoreDNS 加密发往 Pi-Hole 的请求 / 不在家时也能使用 Pi-Hole

自 Android 9 "Pie" 开始,系统里内建了一个 Private DNS 功能。开启之后,Android 设备可以在任意网络(蜂窝网络和 Wi-Fi)下使用加密的 DNS 协议进行域名解析。根据我的测试,除了 IMS (Wi-Fi Calling) 和 RCS 等底层通讯服务之外,几乎所有的 DNS 请求都是加密的,而不再使用手机运营商或是 Wi-Fi 热点所提供的普通 DNS 服务器。

这是 Android 首次可以免 root、免第三方应用的情况下,直接在系统设置里设置一个真正「全局」的 DNS——而且还是加密的。我们可以使用这个功能,让 Android 设备在不连接家里 Wi-Fi 的时候,也可以使用家里的 Pi-Hole。

我一直以为 Private DNS 是用的 DoH (DNS over HTTPS),而 @yegle 提醒我这其实用的是另一个加密的 DNS 协议 DoT (DNS over TLS)。dnscrypt-proxy 只支持 DoH(接收和转发),但不支持 DoT。于是我找到了后起之秀 CoreDNS 用来接收 DoT 请求。

CoreDNS 同样使用 Golang 编写,提供了各平台的预编译单文件可执行程序systemd 文件,因此即使你的发行版没有提供 CoreDNS 的打包,使用 Ansible 快速写一个部署脚本也不费事。

以下是我使用的最小配置(真的很小):

# /etc/coredns/Corefile

tls://.:853 {
  tls /etc/coredns/cert.crt /etc/coredns/cert.key
    forward . 127.0.0.1:53
}

以上配置会让 CoreDNS 监听 853/tcp 的 DoT 请求,并将其转发给 53/udp,也就是 Pi-Hole 的端口。

将自己的域名指向家里的公网 IP 地址,然后在路由器上配置 DNAT 将 853/tcp 转发给 Raspberry Pi,最后将 Android 设备的 Private DNS 设置为自己的域名。设置方法可以参考 Cloudflare Blog 的图文教程,只需要将 Private DNS 的域名改成自己的域名即可。

至此,即使 Android 设备在使用蜂窝网络或是咖啡馆的 Wi-Fi 热点,其 DNS 请求也是加密发给家里的 Pi-Hole 的,时刻享受着其提供的广告、追踪器和恶意软件域名过滤功能。

六、总结

经过以上的折腾,不在家时 Android 的 DNS 请求是这样流转的:

Android ---> CoreDNS ---> Pi-Hole ---> dnscrypt-proxy ---> Cloudflare DNS
        (853/tcp, DoT) (53/udp, DNS)  (44353/udp, DNS)     (443/tcp, DoH)

而局域网内的设备则是直接发往 Pi-Hole。无论哪一条路,在公网上的部分(到达 Cloudflare 之前)都是加密的,对 ISP 不可见。

CoreDNS 和 Cloudflare DNS 都是既支持 DoH 也支持 DoT 的,所以上图中的 dnscrypt-proxy 完全可以拿 CoreDNS 替换,这就留给读者当作练习了。

任何暴露在公网的服务皆有被攻击的风险,CoreDNS 也不例外。如果你有被害妄想症的话,你可以通过其 acl 插件进行一定的限制。

出于隐私问题的顾虑,Cloudflare DNS 并不支持 EDNS,这意味如果你在离你较远的位置搭建了本文所述的方案的话(比如你在欧洲,而在一台美国 VPS 上安装 Pi-Hole),那么你得到的 DNS 解析可能不是地理位置最优的。因此如果有条件的话,推荐还是在家庭宽带环境下搭建本文所述的方案,或者至少在离你(网络上)较近的服务器上搭建。

如何在中国大陆绕过 GFW 防火长城连接到 Tor?

中国大陆的用户可能需要一些额外步骤来绕过防火长城,连接到 Tor 网络。 首先,请获取最新版本的 Tor 浏览器:发送邮件到 gettor@torproject.org,并以“windows zh-cn”或其他操作系统的名字(如 linux, macos)为主题。

安装 Tor 浏览器后,你可能无法直接连接到 Tor 网络,因为防火长城屏蔽了 Tor。 第二步就是获取能在中国大陆使用的网桥。

如果你没有能突破防火长城封锁的代理软件,你可以通过三种方式获取网桥:

  1. Snowflake使用短时有效的代理连接到 Tor 网络。 此方式在 Tor 浏览器中可用。 你可以在 Tor 浏览器的内置网桥下拉单中选择 Snowflake。
  2. 未公开的私密 obfs4 网桥:找到我们的 Telegram 机器人 @GetBridgesBot 并发送 /bridges 来获取网桥。 或者发送邮件到 frontdesk@torproject.org 来获取,邮件主题需要包含“private bridge”。 如果你懂些计算机技术,你可以自己在中国大陆境外搭建和运行 obfs4 网桥。 需要注意的是,通过 BridgeDB 获取的网桥和 Tor 浏览器内置的 obfs4 网桥,很可能在中国大陆无法使用。
  3. meek-azure:能让你伪装成访问微软的网站,而不是 Tor。 然而,此网桥有带宽限制,因此连接可能较慢。 你可以在 Tor 浏览器的内置网桥下拉单中选择 meek-azure。

如果以上某个方法无法使用,建议你检查 Tor 日志或尝试其他方法。

4g 随身 Wi-Fi 刷 openwrt 变成软路由

来自:https://qust.me/post/msm8916/

首先感谢酷安「随身 Wi-​Fi」 社区,里面有很多资料可以参看;燕子博客的教程也非常详细,以及 handsomehacker 开源的 debian 系统和「苏苏小亮亮」(酷安ID)编译的 openwrt,以及 Zy143L 博客的拆解和帮助。

这是一个二十多块就能买到的, 4G USB 随身 Wi-Fi,你可能不会想到它居然跑的是安卓系统。并且还能刷 debian 系统,甚至你还能刷 openwrt 成为软路由,更棒的是 4G 和 Wi-​Fi 、USB 等功能都正常工作。

本教程不会讨论 ML 也不讨论使用自带的 esim 套餐,openwrt 只使用自己的卡。

前言

202206022035737.JPG

购买一个随身 Wi-​Fi 这里面门道确实挺多,也有点碰运气(因为卖家基本都不会标注具体的型号,你也别问卖家不会和你说)。你在淘宝、或者闲鱼搜随身 Wi-​Fi 便宜的有从几块到几十不等的。

你可能会好奇为啥会这么便宜? 首先便宜的随身 Wi-Fi 基本用的都是工模的方案,像是高通的 410、高通的 210、中兴微等方案,外观差别可能很大,内在或许都是同一种方案(同一种方案具体的板子也会有不同),当然也会有可能同一个商品发给买家不同的型号;其次低价的随声 Wi-Fi 商品基本都会有流量套餐选择,里面有一张 esim 卡,你扫码实名认证激活就能使用,当然大部分里面其实都是有一个实体卡槽的(也有坑的产品没有),可以使用自己的手机卡套餐,只是需要自己手动切卡(本教程是使用自己手机卡,如果你非要选择商家套餐,也推荐按月购买,坑就不多说了)。

商家标识的是单网能买吗? 没啥问题。因为方案都完全一样的,实际大多数都是支持电信联通,移动也可以通过刷基带的办法解决实现三网通,就是移动会麻烦很多。

202206022127135.jpeg

所以我应该哪买,买哪款? 目前比较推荐「天天特卖工厂」28 元的这款,高通 410 的方案,有卡槽可以插入自己的卡,板子上丝印的型号是 UFI001C_​MB_​01 款,默认支持电信联通双网,刷基带可以移动。当然在酷安「随身 Wi-​Fi」 社区,你可以蹲到很多几块、十几元的便宜的车;或者嫌麻烦直接买别人标注了版本,刷好三网通的,甚至还有改好了风扇的。

默认基本的配置都是: 高通410 四核 1.2GHz CPU、512M 内存、4G emmc 闪存、默认 android 4.4 系统。

准备工作

  1. 高通410(msm8916)方案的随身 Wi-​Fi:板子上的丝印是 UFI001B、UFI001C、UFI003、UFI-W-001 最好,或者 SP970(不推荐,细分版本目前13个太多,基本要短接才能进 9008 模式,然后现在的 openwrt Wi-​Fi 也有问题)、UZ801 也 OK;需要带卡槽、能切卡
  2. 一台 Windows 电脑(建议安装火绒,一些文件会被 Win 默认防护当病毒删除)
  3. 小卡转大卡 SIM 卡套
  4. 螺丝刀(拧随身 Wi-​Fi 十字小螺丝)
  5. 下载刷机需要的文件 百度云:https://pan.baidu.com/s/15a2Imo4NcdG9u7ijsuHSAA 提取码:1fqr

附带下我购买的 5 个产品的情况:

铁恒信旗舰店 54 元款:UFI003 (后台密码 admin、切卡密码 UFIadmin1234)
天天特卖工厂店 29 元款:SP970-Main-v2(后台:admin admin,切卡用酷安工具,无法直接进 9008,openwrt wifi 有问题不推荐)
酷翼旗舰店 8.8 元款:UFI003 (后台密码 admin、切卡密码 无)
纽皇 6.8 元款:可能是 UFI001W ???(后台密码 admin、切卡密码:qr0521)但会抽奖碰到高通 210 款
天天特卖工厂店 28 元款 UFI001 C (后台密码 admin、切卡密码:UFIadmin1234)

检查和备份

检查

202206011136328.JPG

到手后第一件事,先插上电,连上随身 Wi-​Fi 提供的 Wi-Fi,进入后台,检查下是否能正常工作,防止到手就是坏的;然后用螺丝刀拆开检查板子,是否有卡槽,以及上面的版本丝印。(可以看到我的这款有卡槽,丝印是:UFI003_MB_V002 )

全量备份

做好全量备份就不会变砖,随时刷成到手的状态。

202206011221325.PNG

首先安装下载好的 9008 驱动

202206011224831.JPG
202206011225387.PNG

按住拇指位置的按钮插上电脑(一般不会有亮灯),在电脑设备管理器-端口设备里能看到 9008 的 COM 设备就说明连接上了。

202206011311176.PNG
202206011315425.PNG

然后安装下载好的 miko,并将 Loader 移动到安装的路径下面(默认在 C:\Program Files (x86)\miko_service_tool_pro\miko_service_tool_pro),打开 Loader。

202206011320691.PNG

然后在 miko 里依次选择 Read — Partition Backup/​Earese — 点击左下角 Load Partition Structure 看到右边有系统信息的输出就说明连上了。

202206011323311.PNG

然后点击 Read Full Image 选个路径,取个名字就开始全量备份救砖能用的 .bin 文件。过程会比较慢,可能要十几分钟。等到跑完进度条 100% 右边的输出显示 success 就备份好了,我们就能开始随意折腾。

切换网络(电信基本可跳过此步)

202206021434936.jpg

你可以在默认的安卓系统下直接从默认的 esim 切到你自己的卡来验证是否有网,一般联通电信都是可以正常工作的,因为刷写 openwrt 会直接使用安卓系统里的基带分区,如果使用自己的卡网络正常,可以直接跳到下一步刷 openwrt,也就是说只有切卡不能正常使用你才需要刷基带,另外刷 openwrt 目前有个 BUG :你只能使用在刷前安卓上正常工作的运营商的卡。

比如看图中我插入使用的是联通卡正常工作,我刷 openwrt 就只能使用联通的卡。

202206021756208.JPG

插卡使用时,记得扣上这个「小帽子」,这是随身 Wi-​Fi 的天线部分,如果不扣上信号会非常弱甚至没网。如果你要使用移动的卡,或者你联通卡不能正常工作,那你可能需要刷下基带。

刷入 openwrt

刷入 openwrt 十分简单,因为「苏苏小亮亮」已经做好了一键刷入的包。刷入前请确认你安卓里你插入使用的 SIM 卡正常工作。

进入 fastboot 模式

202206021811254.PNG

随身 Wi-​Fi 插在电脑会默认开启 adb ,我们打开搞机工具箱,选择线刷专区,重启到 Fastboot,一般重启 fastboot 后随身 Wi-​Fi 会亮红灯。

刷写系统

202206021821886.PNG

打开解压好对应版本的 openwrt 文件夹(如果是 UFI001W 刷 UFI001C 的包),然后双击 flash.bat 就能开始刷机。观察是否都正常刷入,如果有错误,可以重新打开 flash.bat 再重新插入随身 Wi-​Fi 。

202206021817996.jpg

能搜索到 HandsomeMod Wi-​Fi 就是 openwrt 刷好了。默认的后台地址是 192.168.1.1 用户名是 root 没有密码。

检查 modem 网络

202206021825567.jpg

在后台网络接口里,检查 MODEM 是否能正常获取 IP 地址,如果能那说明 SIM 卡能正常联网使用,你现在的 Wi-​Fi 应该也是有网络的。

安装 shellclash

202206021907402.jpg

直接使用低版本的 wget 安装 shellclash。

export url='http://shellclash.ga/' && wget -q -O /tmp/install.sh $url/install.sh  && sh /tmp/install.sh && source /etc/profile &> /dev/null
202206021911781.jpg

配置好应该就能上网了,变成「随身翻」

202206021912268.jpg

目前 4g 的网速确实不快,只有 4Mbps 左右,估计得靠 openwrt 更新优化了。

疑难杂症

刷写基带

酷安 qq 群:743509392 有很多这方面的资料。

大部分 UFI00X 丝印的随身 Wi-​Fi 都是支持电信卡的,很多其实也支持联通,移动大概率默认是不支持的。当然因为产品众多,甚至丝印型号相同用的 modem 型号都有差别,当然最麻烦的其实也是这一步,不能保证你刷了基带后移动联通就能正常使用,还是更推荐电信或联通用户使用。

先使用搞机工具箱重启进入 fastboot 模式。

202206021934100.PNG

然后打开星海工具箱-选择高通-选择高通基带擦除-一键执行,完成后会重启。(如果你的星海无法打开你可能得安装下微软的这个包)

202206021947102.PNG

然后勾选写入 QCN,选择全网通的基带写入。会可能一次写入不成功,多写入几次。重启随身 Wi-Fi,看看你的卡能不能正常工作。

默认没开 adb 的设备

202206022024769.PNG

如果你的型号是 UFI001W 等,可能你到手设备并没有打开 adb 功能,你可以在 web 后台尝试重置,如果仍然不行。直接 9008 模式用 miflash 工具刷别人改好的包,浏览里选择下载解压好的包,刷新勾选设备,点击刷机即可。会直接开启adb、锁定插入的 SIM 卡、和 root 等功能。

从 openwrt 刷回原厂备份

我的备份(如果你正好版本相同需要):https://pan.baidu.com/s/1_99uOa4M2RP_Ipix6t2zFQ 提取码:3cad

202206022026793.PNG

如果你的 openwrt 有问题,或者你想刷回原厂也很简单。随身 Wi-​Fi 9008 模式插上电脑,打开第一步备份使用的 miko loader 程序。选择 Flash — emmc block0 flasher — 双击勾选备份好的文件-​选择 flash,等待进度条跑完,可能会很慢。

总结

目前这个阶段,高通 410 芯片的随身 Wi-​Fi 刷 openwrt 更多还是像个有意思的玩具,你不能指望它有多快。当然目前的 openwrt 才刚刚出来,以后迭代可能会好很多。随身 Wi-​Fi 刷 openwrt 其实很简单,进入 fastboot 一键脚本就能刷成,当前更多的问题是版本太多,基带的问题,换句话说如果你是电信用户,那么确实简单很多 。


https://qust.me/post/msm8916/