VConet Hexo https://blog.vconet.top/ All rights reserved 2026, VConet 探索,永不停息 VConet的杂物间 2026-03-11T14:58:48.000Z VConet 记录 Linux 下无法连接 WPA2-EAP WiFi 的问题排查过程。

症状

添加好 WiFi 配置后点击连接,KDE 的 NetworkManager 会在“正在配置端口”后小概率获取 IP,随后又弹出重新输入密码的窗口。反复尝试后仍然连接失败。

排查

查看 NetworkManager 的 journal 并未发现有用信息:

journalctl -xeu NetworkManager

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
2026/3/5 16:45NetworkManager<info>  [1772700308.8622] Config: added 'ssid' value 'S'
2026/3/5 16:45NetworkManager<info>  [1772700308.8622] Config: added 'scan_ssid' value '1'
2026/3/5 16:45NetworkManager<info>  [1772700308.8622] Config: added 'bgscan' value 'simple:30:-65:300'
2026/3/5 16:45NetworkManager<info>  [1772700308.8622] Config: added 'key_mgmt' value 'WPA-EAP FT-EAP FT-EAP-SHA384 WPA-EAP-SHA256'
2026/3/5 16:45NetworkManager<info>  [1772700308.8622] Config: added 'auth_alg' value 'OPEN'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'password' value '<hidden>'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'eap' value 'PEAP'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'fragment_size' value '1266'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'phase2' value 'auth=MSCHAPV2'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'identity' value '28'
2026/3/5 16:45NetworkManager<info>  [1772700308.8623] Config: added 'proactive_key_caching' value '1'
2026/3/5 16:45NetworkManager<info>  [1772700308.9515] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700308.9515] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700312.8392] device (wlp9s0): supplicant interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700312.8392] device (p2p-dev-wlp9s0): supplicant management interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700312.8454] device (wlp9s0): supplicant interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700312.8454] device (p2p-dev-wlp9s0): supplicant management interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700312.9626] device (wlp9s0): supplicant interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700312.9627] device (p2p-dev-wlp9s0): supplicant management interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700314.0445] device (wlp9s0): supplicant interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700314.0445] device (p2p-dev-wlp9s0): supplicant management interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700314.2286] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700314.2286] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700328.7202] device (wlp9s0): supplicant interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700328.7203] device (p2p-dev-wlp9s0): supplicant management interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700328.7253] device (wlp9s0): supplicant interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700328.7253] device (p2p-dev-wlp9s0): supplicant management interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700328.8425] device (wlp9s0): supplicant interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700328.8426] device (p2p-dev-wlp9s0): supplicant management interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700329.9175] device (wlp9s0): supplicant interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700329.9176] device (p2p-dev-wlp9s0): supplicant management interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700330.1012] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700330.1012] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<warn>  [1772700333.9965] device (wlp9s0): Activation: (wifi) association took too long
2026/3/5 16:45NetworkManager<info>  [1772700333.9965] device (wlp9s0): state change: config -> need-auth (reason 'none', managed-type: 'full')
2026/3/5 16:45NetworkManager<warn>  [1772700333.9970] device (wlp9s0): Activation: (wifi) asking for new secrets
2026/3/5 16:45NetworkManager<info>  [1772700343.9915] device (wlp9s0): state change: need-auth -> prepare (reason 'none', managed-type: 'full')
2026/3/5 16:45NetworkManager<info>  [1772700343.9918] device (wlp9s0): state change: prepare -> config (reason 'none', managed-type: 'full')
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] device (wlp9s0): Activation: (wifi) connection '1X' has security, and secrets exist.  No new secrets needed.
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'ssid' value 'X'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'scan_ssid' value '1'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'bgscan' value 'simple:30:-65:300'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'key_mgmt' value 'WPA-EAP FT-EAP FT-EAP-SHA384 WPA-EAP-SHA256'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'auth_alg' value 'OPEN'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'password' value '<hidden>'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'eap' value 'PEAP'
2026/3/5 16:45NetworkManager<info>  [1772700343.9920] Config: added 'fragment_size' value '1266'
2026/3/5 16:45NetworkManager<info>  [1772700343.9921] Config: added 'phase2' value 'auth=MSCHAPV2'
2026/3/5 16:45NetworkManager<info>  [1772700343.9921] Config: added 'identity' value '8'
2026/3/5 16:45NetworkManager<info>  [1772700343.9921] Config: added 'proactive_key_caching' value '1'
2026/3/5 16:45NetworkManager<info>  [1772700347.9052] device (wlp9s0): supplicant interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700347.9053] device (p2p-dev-wlp9s0): supplicant management interface state: scanning -> authenticating
2026/3/5 16:45NetworkManager<info>  [1772700347.9128] device (wlp9s0): supplicant interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700347.9129] device (p2p-dev-wlp9s0): supplicant management interface state: authenticating -> associating
2026/3/5 16:45NetworkManager<info>  [1772700348.0264] device (wlp9s0): supplicant interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700348.0265] device (p2p-dev-wlp9s0): supplicant management interface state: associating -> associated
2026/3/5 16:45NetworkManager<info>  [1772700349.1053] device (wlp9s0): supplicant interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700349.1054] device (p2p-dev-wlp9s0): supplicant management interface state: associated -> disconnected
2026/3/5 16:45NetworkManager<info>  [1772700349.2907] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:45NetworkManager<info>  [1772700349.2908] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:46NetworkManager<info>  [1772700363.7809] device (wlp9s0): supplicant interface state: scanning -> authenticating
2026/3/5 16:46NetworkManager<info>  [1772700363.7810] device (p2p-dev-wlp9s0): supplicant management interface state: scanning -> authenticating
2026/3/5 16:46NetworkManager<info>  [1772700363.7891] device (wlp9s0): supplicant interface state: authenticating -> associating
2026/3/5 16:46NetworkManager<info>  [1772700363.7891] device (p2p-dev-wlp9s0): supplicant management interface state: authenticating -> associating
2026/3/5 16:46NetworkManager<info>  [1772700363.8986] device (wlp9s0): supplicant interface state: associating -> associated
2026/3/5 16:46NetworkManager<info>  [1772700363.8987] device (p2p-dev-wlp9s0): supplicant management interface state: associating -> associated
2026/3/5 16:46NetworkManager<info>  [1772700364.9656] device (wlp9s0): supplicant interface state: associated -> disconnected
2026/3/5 16:46NetworkManager<info>  [1772700364.9657] device (p2p-dev-wlp9s0): supplicant management interface state: associated -> disconnected
2026/3/5 16:46NetworkManager<info>  [1772700365.1507] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:46NetworkManager<info>  [1772700365.1508] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:46NetworkManager<warn>  [1772700368.9965] device (wlp9s0): Activation: (wifi) association took too long
2026/3/5 16:46NetworkManager<info>  [1772700368.9965] device (wlp9s0): state change: config -> need-auth (reason 'none', managed-type: 'full')
2026/3/5 16:46NetworkManager<warn>  [1772700368.9970] device (wlp9s0): Activation: (wifi) asking for new secrets
2026/3/5 16:46NetworkManager<info>  [1772700372.8897] device (wlp9s0): state change: need-auth -> prepare (reason 'none', managed-type: 'full')
2026/3/5 16:46NetworkManager<info>  [1772700372.8903] device (wlp9s0): state change: prepare -> config (reason 'none', managed-type: 'full')
2026/3/5 16:46NetworkManager<info>  [1772700372.8907] device (wlp9s0): Activation: (wifi) connection '1X' has security, and secrets exist.  No new secrets needed.
2026/3/5 16:46NetworkManager<info>  [1772700372.8908] Config: added 'ssid' value ''
2026/3/5 16:46NetworkManager<info>  [1772700372.8908] Config: added 'scan_ssid' value '1'
2026/3/5 16:46NetworkManager<info>  [1772700372.8908] Config: added 'bgscan' value 'simple:30:-65:300'
2026/3/5 16:46NetworkManager<info>  [1772700372.8908] Config: added 'key_mgmt' value 'WPA-EAP FT-EAP FT-EAP-SHA384 WPA-EAP-SHA256'
2026/3/5 16:46NetworkManager<info>  [1772700372.8908] Config: added 'auth_alg' value 'OPEN'
2026/3/5 16:46NetworkManager<info>  [1772700372.8909] Config: added 'password' value '<hidden>'
2026/3/5 16:46NetworkManager<info>  [1772700372.8909] Config: added 'eap' value 'PEAP'
2026/3/5 16:46NetworkManager<info>  [1772700372.8909] Config: added 'fragment_size' value '1266'
2026/3/5 16:46NetworkManager<info>  [1772700372.8909] Config: added 'phase2' value 'auth=MSCHAPV2'
2026/3/5 16:46NetworkManager<info>  [1772700372.8909] Config: added 'identity' value '208'
2026/3/5 16:46NetworkManager<info>  [1772700372.8910] Config: added 'proactive_key_caching' value '1'
2026/3/5 16:46NetworkManager<info>  [1772700376.8107] device (wlp9s0): supplicant interface state: scanning -> authenticating
2026/3/5 16:46NetworkManager<info>  [1772700376.8108] device (p2p-dev-wlp9s0): supplicant management interface state: scanning -> authenticating
2026/3/5 16:46NetworkManager<info>  [1772700376.8185] device (wlp9s0): supplicant interface state: authenticating -> associating
2026/3/5 16:46NetworkManager<info>  [1772700376.8186] device (p2p-dev-wlp9s0): supplicant management interface state: authenticating -> associating
2026/3/5 16:46NetworkManager<info>  [1772700376.9304] device (wlp9s0): supplicant interface state: associating -> associated
2026/3/5 16:46NetworkManager<info>  [1772700376.9304] device (p2p-dev-wlp9s0): supplicant management interface state: associating -> associated
2026/3/5 16:46NetworkManager<info>  [1772700378.0091] device (wlp9s0): supplicant interface state: associated -> disconnected
2026/3/5 16:46NetworkManager<info>  [1772700378.0091] device (p2p-dev-wlp9s0): supplicant management interface state: associated -> disconnected
2026/3/5 16:46NetworkManager<info>  [1772700378.1930] device (wlp9s0): supplicant interface state: disconnected -> scanning
2026/3/5 16:46NetworkManager<info>  [1772700378.1930] device (p2p-dev-wlp9s0): supplicant management interface state: disconnected -> scanning
2026/3/5 16:46NetworkManager<warn>  [1772700397.9964] device (wlp9s0): Activation: (wifi) association took too long
2026/3/5 16:46NetworkManager<info>  [1772700397.9965] device (wlp9s0): state change: config -> failed (reason 'no-secrets', managed-type: 'full')
2026/3/5 16:46NetworkManager<info>  [1772700397.9969] manager: NetworkManager state is now CONNECTED_LOCAL
2026/3/5 16:46NetworkManager<info>  [1772700398.0133] device (wlp9s0): set-hw-addr: set MAC address to AAAA (scanning)
2026/3/5 16:46NetworkManager<warn>  [1772700398.0976] device (wlp9s0): Activation: failed for connection 'X'

日志与前述症状一致,依然没有关键线索。
继续排查 NetworkManager 的无线后端 wpa_supplicant 的日志 journalctl -xeu wpa_supplicant

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2026/3/11 08:00wpa_supplicantnl80211: send_event_marker failed: Source based routing not supported
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-DISCONNECTED bssid=AAAA reason=3 locally_generated=1
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-DSCP-POLICY clear_all
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-REGDOM-CHANGE init=CORE type=WORLD
2026/3/11 08:00NetworkManager<info>  [1773187200.7302] Config: added 'key_mgmt' value 'WPA-EAP FT-EAP FT-EAP-SHA384 WPA-EAP-SHA256'
2026/3/11 08:00wpa_supplicantwlp9s0: SME: Trying to authenticate with AAAA (SSID='X' freq=5745 MHz)
2026/3/11 08:00wpa_supplicantwlp9s0: Trying to associate with AAAA (SSID='X' freq=5745 MHz)
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-REGDOM-CHANGE init=BEACON_HINT type=UNKNOWN
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-REGDOM-BEACON-HINT before freq=5745 max_tx_power=2000 no_ir=1
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-REGDOM-BEACON-HINT after freq=5745 max_tx_power=2000
2026/3/11 08:00wpa_supplicantwlp9s0: Associated with AAAA
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-EAP-STARTED EAP authentication started
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-SUBNET-STATUS-UPDATE status=0
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=25
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
2026/3/11 08:00wpa_supplicantSSL: SSL3 alert: write (local SSL3 detected an error):fatal:protocol version
2026/3/11 08:00wpa_supplicantOpenSSL: openssl_handshake - SSL_connect error:0A000102:SSL routines::unsupported protocol
2026/3/11 08:00wpa_supplicantwlp9s0: CTRL-EVENT-EAP-FAILURE EAP authentication failed

最后发现 OpenSSL 的加密策略过于严格,而我要连的 WiFi 设备较旧,用的还是较旧的加密方式,导致认证失败。

解决

既然问题在 OpenSSL,且为了不修改全局配置,可以单独为 wpa_supplicant 指定配置文件,编辑 /etc/wpa_supplicant/openssl.cnf

1
2
3
4
5
6
7
8
[openssl_init]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
CipherString = DEFAULT:@SECLEVEL=1

编辑 wpa_supplicant 的 service 文件:

#
1
2
3
4
5
6
### Editing /etc/systemd/system/wpa_supplicant.service.d/override.conf
### Anything between here and the comment below will become the contents of the drop-in file

+Environment="OPENSSL_CONF=/etc/wpa_supplicant/openssl.cnf"

### Edits below this comment will be discarded

重启 wpa_supplicant 即可。

]]> https://blog.vconet.top/archives/linux-wpa-eap-issue/ 2026-03-11T14:58:48.000Z 记录 Linux 下无法连接 WPA2-EAP WiFi 的问题排查过程。

症状

添加好 WiFi 配置后点击连接,KDE 的 Ne]]>

wpa_supplicant 后端无法连接 802.1x WiFi 2026-03-11T14:58:48.000Z VConet 前言

本文用以记录自己加入 DN42 网络的历程,本人是初入 BGP 的小白,对于文章中出现的各种不严谨内容和各种低级错误,请大佬们手下留情,可在评论区指出。

欢迎和我 Peer:VCNET DN42

注册

iYoRoy 的博客有详细的过程,我就不再重复了:DN42探究日记 - Ep.1 加入DN42网络

选择 BGP Daemon

参考各位大佬的教程,我决定使用 Bird v3 为我的 BGP Daemon,以 Debian 13 为例:

1
2
3
4
5
apt update
apt -y install apt-transport-https ca-certificates wget
wget -O /usr/share/keyrings/cznic-labs-pkg.gpg https://pkg.labs.nic.cz/gpg
echo "deb [signed-by=/usr/share/keyrings/cznic-labs-pkg.gpg] https://pkg.labs.nic.cz/bird3 trixie main" > /etc/apt/sources.list.d/cznic-labs-bird3.list
apt update && apt -y install bird3 wireguard wireguard-tools

Debian 软件源中的 Bird 版本比较旧,需要安装上面的最新版

其他系统及 Bird v2 软件源可查看:CZ.NIC Labs 📦 Repos Setup Docs

bird.conf

修改 /etc/bird/bird.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
define OWNAS =  4242423322;
define OWNIP =  172.23.100.180;
define OWNIPv6 = fd48:8669:9f9f::8;
define OWNNET = 172.23.100.160/27;
define OWNNETv6 = fd48:8669:9f9f::/48;
define OWNNETSET = [172.23.100.160/27+];
define OWNNETSETv6 = [fd48:8669:9f9f::/48+];

router id OWNIP;

protocol device {
  scan time 10;
}

function is_self_net() {
  return net ~ OWNNETSET;
}

function is_self_net_v6() {
  return net ~ OWNNETSETv6;
}

function is_valid_network() {
  return net ~ [
  172.20.0.0/14{21,29}, # dn42
  172.20.0.0/24{28,32}, # dn42 Anycast
  172.21.0.0/24{28,32}, # dn42 Anycast
  172.22.0.0/24{28,32}, # dn42 Anycast
  172.23.0.0/24{28,32}, # dn42 Anycast
  172.31.0.0/16+,       # ChaosVPN
  10.100.0.0/14+,       # ChaosVPN
  10.127.0.0/16{16,32}, # neonetwork
  10.0.0.0/8{15,24}     # Freifunk.net
  ];
}

function is_valid_network_v6() {
  return net ~ [
  fd00::/8{44,64} # ULA address space as per RFC 4193
  ];
}

protocol kernel {
  scan time 20;
  ipv6 {
    import none;
    export filter {
      if source = RTS_STATIC then reject;
      krt_prefsrc = OWNIPv6;
      accept;
    };
  };
};

protocol kernel {
  scan time 20;
  ipv4 {
    import none;
    export filter {
      if source = RTS_STATIC then reject;
      krt_prefsrc = OWNIP;
      accept;
    };
  };
}

protocol static {
  route OWNNET reject;
  ipv4 {
    import all;
    export none;
  };
}

protocol static {
  route OWNNETv6 reject;
  ipv6 {
    import all;
    export none;
  };
}

include "rpki.conf";
include "ospf.conf";
include "ibgp.conf";
include "ebgp.conf";

首先修改自己的网络信息:

  • OWNAS 修改为你的 ASN,如:4242423322
  • OWNIP 修改为此节点所分配的 IPv4 地址,如:172.23.100.180
  • OWNIPv6 修改为此节点所分配的 IPv6 地址,如:fd48:8669:9f9f::8
  • OWNNET 修改为你所拥有的 IPv4 网段,如:172.23.100.160/27
  • OWNNETv6 修改为你所拥有的 IPv6 网段,如:fd48:8669:9f9f::/48
  • OWNNETSET 和 OWNNETSETv6 同 上两个,但不要忘记末尾的 +

rpki.conf

修改 /etc/bird/rpki.conf

1
2
3
4
5
6
7
8
9
10
11
roa4 table dn42_roa;
roa6 table dn42_roa_v6;

protocol rpki dn42_rpki {
  roa4 { table dn42_roa; };
  roa6 { table dn42_roa_v6; };
  remote "rpki.akae.re" port 8082;
  refresh 30;
  retry 5;
  expire 600;
}
什么是 ROA

ROA是数字签名对象,将地址绑定到AS号码,并由地址持有者签名。ROA提供了一种验证IP地址块持有者是否已授权特定AS在域间路由环境中为该地址块发起路由的方法。[RFC6482]中描述了ROA。ROA旨在满足为域间路由添加安全性的要求。

为 DN42 启用 ROA 检查,能有效防止 BGP 劫持和错误配置导致的路由泄露,而使用 RPKI,为我们省去了手动配置 ROA 表和更新的麻烦.

ebgp.conf

修改 /etc/bird/ebgp.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
template bgp dn42_peers {
  local as OWNAS;
  path metric 1;

  ipv4 {
    extended next hop;
    #import limit 1000 action block; #限制从他人哪里导入路由的数量
    import keep filtered;
    import filter {
      if is_valid_network() && !is_self_net() then {
        if (roa_check(dn42_roa, net, bgp_path.last) != ROA_VALID) then {
          print "[dn42] ROA check failed for ", net, " ASN ", bgp_path.last;
          reject;
        }
        accept;
      }
      reject;
    };
    export filter {
      if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then accept;
      reject;
    };
  };

  ipv6 {
    #import limit 1000 action block;
    import keep filtered;
    import filter {
      if is_valid_network_v6() && !is_self_net_v6() then {
        if (roa_check(dn42_roa_v6, net, bgp_path.last) != ROA_VALID) then {
          print "[dn42] ROA check failed for ", net, " ASN ", bgp_path.last;
          reject;
        }
        accept;
      }
      reject;
    };
    export filter {
      if is_valid_network_v6() && source ~ [RTS_STATIC, RTS_BGP] then accept;
      reject;
    };
  };
}

include "dn42_peers/*";

此文件定义了和他人互 Peer 的模板并启用了 ROA 过滤,和他人互 Peer 的配置保存在 /etc/bird/dn42_peers 内。

系统配置

sysctl

请千万、千万、千万,一定要确保 rp_filter 关闭

在 DN42 内,每个节点几乎都是其他人的路由器,而系统默认并不允许数据包转发并且有严格的数据包过滤,因此需要如下设置:

Debian 13 放弃了 /etc/sysctl.conf,改为 /etc/sysctl.d/ 目录下的配置文件,因此我们需要在 /etc/sysctl.d/ 下新建 99-dn42.conf

1
2
3
4
5
6
7
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.d/99-dn42.conf
echo "net.ipv6.conf.default.forwarding=1" >> /etc/sysctl.d/99-dn42.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.d/99-dn42.conf
echo "net.ipv4.conf.default.rp_filter=0" >> /etc/sysctl.d/99-dn42.conf
echo "net.ipv4.conf.all.rp_filter=0" >> /etc/sysctl.d/99-dn42.conf
echo "net.ipv4.conf.*.rp_filter=0" >> /etc/sysctl.d/99-dn42.conf
sysctl --system

尤其需要注意 人品过滤器 rp_filter,有时 ping 不通他人很可能就是它导致的。

如果你不放心,可使用下面的 bash 脚本一键将 dn42 开头的网卡的 rp_filter 关闭:

1
2
3
4
#!/bin/bash
for net_dev in /proc/sys/net/ipv4/conf/dn42*/rp_filter; do
    echo 0 > "$net_dev"
done

Dummy 网卡

我们需要一个 Dummy 网卡绑定本机的 DN42 网络信息,在此,我选择使用 ifupdown 来统一配置我的所有节点。

编辑 /etc/network/interfaces

1
2
3
4
5
6
7
8
auto dn42
iface dn42 inet static
    address 172.23.100.180
    netmask 255.255.255.255
    pre-up ip link add dn42 type dummy || true
    up ip link set dn42 up
iface dn42 inet6 static
    address fd48:8669:9f9f::8/128

请记得修改为自己的 IP。

使用 ifup dn42ifdown dn42 启用 & 禁用网卡。

容器

根据我自己的经验,我更推荐 Podman 而非 Docker。我曾花了两天时间解决无法对外 ping 的问题,最后发现是 Docker 的 iptables 规则引起的。如果你一定要用 Docker 且遇到类似问题,可尝试添加下面的 iptables 规则:

1
2
3
4
5
iptables -I DOCKER-USER 1 -i dn42+ -o zt+ -j ACCEPT
iptables -I DOCKER-USER 1 -i zt+ -o dn42+ -j ACCEPT

ip6tables -I DOCKER-USER 1 -i dn42+ -o zt+ -j ACCEPT
ip6tables -I DOCKER-USER 1 -i zt+ -o dn42+ -j ACCEPT

与他人互 Peer

WireGuard

与他人互 Peer 之前,通常需要双方建立 P2P 隧道,其原因可以借用蓝天的原话:

DN42 中几乎每个 Peering 都是建立在隧道软件(即 VPN)之上的,原因如下:

  • DN42 各个用户的节点分布在世界各地,隧道软件可以对数据进行基本的加密和保护;
  • DN42 使用的是私有地址,如果直接在互联网上传输,会被防火墙直接丢弃,甚至可能会被主机商认为你在 IP Spoofing(伪造来源 IP 地址),违反服务条款,造成严重后果。

而 DN42 的参与者们用的最多的就是 WireGuard 和 GRE/IPSec,而前者配置较为简单,也有一定的加密能力。

生成密钥对

1
wg genkey | tee privatekey | wg pubkey > publickey

请保存好自己的公私钥。

互 Peer

对于新人,可以通过 potat0 的 Telegram 机器人自动 Peer:@Potat0_DN42_Bot,亦或是 iEdon 的网自动 Peer:iEdon Net,还有 Kioubit 的网页自动 Peer:Kioubit Network.

互 Peer 信息

通过自动机器人或网页,亦或是他人的主页,我们既需要获得对方如下信息,也需要给对方提供自己的如下信息:

  • 公钥
  • 公网地址(Endpoint)
  • DN42 的 ASN
  • IPv6 LLA
  • 是否支持ENH(Extended Next Hop),注意:若使用v6交换路由而不启用ENH则无法交换v4路由

在获得了对方上述信息后,我们需要在 /etc/wireguard 下创建一个文件,我的命名习惯为:dn42-424242XXXX.conf,填入如下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 424242XXX - @YYY   # 对方的 ASN 及联系方式,方便后期查找
[Interface]
ListenPort = <开放给对方的端口 UDP>
Table = off
MTU = 1420 # MTU,一般不需要修改
#将私钥存放到 /etc/wireguard/dn42-privatekey 不需要每次都复制一遍
PostUp = wg set %i private-key /etc/wireguard/dn42-privatekey
PostUp = ip addr add <你的 LLA 地址>/64 peer <对方的 LLA 地址>/64 dev %i
PostUp = ip addr add <你的 ULA 地址>/128 dev %i
PostUp = ip addr add <你的 IPv4 地址>/32 dev %i
[Peer]
PublicKey = <对方的公钥>
Endpoint =  <对方提供给你的 Endpoint>
AllowedIPs = 172.20.0.0/14, 10.0.0.0/8, 172.31.0.0/16, fd00::/8, fe80::/64

关于端口,有一个通常做法:20000 + 对方 ASN 后四位

完整示例

1
2
3
4
5
6
7
8
9
10
11
12
13
# 4242422547 - @lantian1998
[Interface]
ListenPort = 22547
Table = off
MTU = 1420
PostUp = wg set %i private-key /etc/wireguard/dn42-privatekey
PostUp = ip addr add fe80::3322/64 peer fe80::2547/64 dev %i
PostUp = ip addr add fd48:8669:9f9f::8/128 dev %i
PostUp = ip addr add 172.23.100.180/32 dev %i
[Peer]
PublicKey = xelzwt1j0aoKjsQnnq8jMjZNLbLucBPwPTvHgFH/czs=
Endpoint =  alice.lantian.pub:23322
AllowedIPs = 172.20.0.0/14, 10.0.0.0/8, 172.31.0.0/16, fd00::/8, fe80::/64

保存并运行:

#

通过 wg show <文件名(不需要 .conf 后缀)> 即可查看隧道连接状况:

1
2
3
4
5
6
7
8
9
10
11
root@hkg ~ # wg show dn42-4242422547
interface: dn42-4242422547
  public key: AHEJ0dXDDxJF0EapR7Ssx2eQV9ReB/OvkWPu7ypWbkA=
  private key: (hidden)
  listening port: 22547

peer: xelzwt1j0aoKjsQnnq8jMjZNLbLucBPwPTvHgFH/czs=
  endpoint: 5.102.125.26:23322
  allowed ips: 172.20.0.0/14, 10.0.0.0/8, 172.31.0.0/16, fd00::/8, fe80::/64
  latest handshake: 25 seconds ago
  transfer: 96.59 MiB received, 532.45 MiB sent

开机自启动:

#

配置 eBGP

/etc/bird/dn42_peers 下新建 <ASN>.conf

1
2
3
4
protocol bgp <BGP 会话名> from dn42_peers {
    neighbor <对方的 LLA 地址> % '<WireGuard 隧道名>' external;
    description "<对方联系信息 非必需>";
}

需要注意的是:之前的 eBGP 模板内已经默认启用了 Extended next hop(因为绝大部分 Peer 都是默认启用的),不再需要如下配置:

1
2
3
4
5
6
7
8
protocol bgp <BGP 会话名> from dn42_peers {
    neighbor <对方的 LLA 地址> % '<WireGuard 隧道名>' external;
    description "<对方联系信息 非必需>";
    
    ipv4{
        extended next hop;
    };
}

完整示例

1
2
3
4
protocol bgp DN42_4242422547_v6 from dn42_peers {
    neighbor fe80::2547 % 'dn42-4242422547' external;
    description "@lantian1998";
}

测试 LLA 是否可连通,可使用:

$

如:

1
2
3
4
5
6
7
8
9
10
root@hkg ~# ping6 fe80::2547%dn42-4242422547
PING fe80::2547%dn42-4242422547 (fe80::2547%dn42-4242422547) 56 data bytes
64 bytes from fe80::2547%dn42-4242422547: icmp_seq=1 ttl=64 time=1.80 ms
64 bytes from fe80::2547%dn42-4242422547: icmp_seq=2 ttl=64 time=1.70 ms
64 bytes from fe80::2547%dn42-4242422547: icmp_seq=3 ttl=64 time=1.79 ms
64 bytes from fe80::2547%dn42-4242422547: icmp_seq=4 ttl=64 time=1.81 ms
^C
--- fe80::2547%dn42-4242422547 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 1.701/1.775/1.806/0.043 ms

当一切处理妥当后运行 birdc c 重载配置,使用 birdc s p 查看当前 BGP 会话:

1
2
3
4
5
6
7
8
9
10
11
root@hkg ~# birdc s p
BIRD 3.2.0 ready.
Name       Proto      Table      State  Since         Info
DN42_4242422547_v6 BGP        ---        up     2026-03-03    Established   
dn42_rpki  RPKI       ---        up     2026-03-03    Established
device1    Device     ---        up     2026-03-03    
kernel1    Kernel     master6    up     2026-03-03    
kernel2    Kernel     master4    up     2026-03-03    
static1    Static     master4    up     2026-03-03    
static2    Static     master6    up     2026-03-03   
...
不使用 MP-BGP

如果只想交互其中一种路由,则不需要对方的 LLA,而是需要对方的 IPv4 或 IPv6(取决于你要传播哪种路由)

并使用如下 eBGP 配置:

1
2
3
4
protocol bgp <BGP 会话名> from dn42_peers {
    neighbor <对方的 IPv4/v6 地址> as <对方ASN>;
    description "<对方联系信息 非必需>";
}

至此,已完成一台节点的互 Peer。

内网互联

目前,还只是单个节点和他人 Peer,而当我们有多个节点之后,就需要让节点内部相互联通,我目前的网络架构如下:

graph TDsubgraph zt[ZeroTier Underlay]us[LAX, US]hk[HKG, CN]de[DEU, DE]cn1[CNVO, CN]cn2[Homelab, CN]us <--> hkus <--> deus <--> cn1us <--> cn2hk <--> dehk <--> cn1hk <--> cn2de <--> cn1de <--> cn2cn1 <--> cn2end

我将 ZeroTier 作为 L2 使用并组成 Fullmesh 单纯是我懒得维护 n(n-1)/2 条 wg 隧道

内网 BGP 的办法有两种:OSPF 和 Babel 但我在 ZeroTier 下使用 Babel 发生了一些问题,遂用回了 OSPF

基于上面的信息,我决定暂时使用 OSPF Broadcast 的配置。

IGP

什么是 IGP

内部网关协议(英语:Interior Gateway Protocol,缩写为 IGP)是指在一个自治系统(AS)内部所使用的一种路由协议。
与此相对,外部网关协议用来在自治系统之间确定网络可达性、并通过内部网关协议来解析某个自治系统内部的路由。

ospf.conf

修改 /etc/bird/ospf.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
protocol ospf v3 dn42_vcnet_ospf {
  ipv4 {
    import where is_self_net() && source != RTS_BGP;
    export where is_self_net() && source != RTS_BGP;
  };
  include "ospf-area.conf";
};

protocol ospf v3 dn42_vcnet_ospf6 {
  ipv6 {
    import where is_self_net_v6() && source != RTS_BGP;
    export where is_self_net_v6() && source != RTS_BGP;
  };
  include "ospf-area.conf";
};

ospf-area.conf

修改 /etc/bird/ospf-area.conf

1
2
3
4
5
6
7
8
9
area 0.0.0.0 {
  # Dummy 网卡名称
  interface "dn42" { stub; };
  # ZeroTier 网卡名称
  interface "ztugawjlkq" {
    cost 160;
    type broadcast;
  };
};

由于 ZeroTier 同一个网络的网卡名是不变的,这里 interface 的类型只能是 broadcast.

如果你使用 WireGuard 来组成 Fullmesh,应该使用 ptp,可以精细控制 cost.

使用 birdc c 重载配置后,可通过 birdc show ospf neighbors 查看 OSPF 邻居信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
root@hkg ~ # birdc show ospf neighbors
BIRD 3.2.0 ready.
dn42_vcnet_ospf:
Router ID   Pri    State     DTimeInterface  Router IP
172.23.100.165 1Full/Other35.257ztugawjlkq fe80::3c49:e1ff:fe5a:792d
172.23.100.170 1Full/BDR  38.259ztugawjlkq fe80::3c29:c0ff:fefc:66f7
172.23.100.167 1Full/Other31.441ztugawjlkq fe80::3ce2:48ff:febb:b986
172.23.100.166 1Full/Other24.565ztugawjlkq fe80::3cf1:97ff:fee8:b68f

dn42_vcnet_ospf6:
Router ID   Pri    State     DTimeInterface  Router IP
172.23.100.165 1Full/Other35.257ztugawjlkq fe80::3c49:e1ff:fe5a:792d
172.23.100.170 1Full/BDR  38.263ztugawjlkq fe80::3c29:c0ff:fefc:66f7
172.23.100.167 1Full/Other31.441ztugawjlkq fe80::3ce2:48ff:febb:b986
172.23.100.166 1Full/Other34.562ztugawjlkq fe80::3cf1:97ff:fee8:b68f

iBGP

通常情况下,建立 iBGP 需要各个节点组成 Fullmesh,修改 /etc/bird/ibgp.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
template bgp ibgpeers {
  local as OWNAS;
  ipv4 {
    import filter {
      import where source = RTS_BGP && is_valid_network() && !is_self_net();
      export where source = RTS_BGP && is_valid_network() && !is_self_net();
      next hop self;
      extended next hop;
    };
    ipv6 {
      import where source = RTS_BGP && is_valid_network_v6() && !is_self_net_v6();
      export where source = RTS_BGP && is_valid_network_v6() && !is_self_net_v6();
      next hop self;
    };
  };

include "ibgp/*";

详细解释来自 iYoRoy:

导入和导出规则确保iBGP仅处理BGP协议学到的路由,并且过滤掉IGP的路由防止环回

next hop self是必须的,指示 BIRD 在向 iBGP 邻居导出路由时,将下一跳重写为边界路由器自身的IP地址(而非原始的外部下一跳)。因为内部路由器无法直接访问外部邻居地址,若不重写则会被认定为地址不可达。重写后,内部路由器只需通过 IGP 路由将流量送至边界路由器,由边界路由器完成最终的外部转发。

因为我希望使用IPv6地址建立MP-BGP,通过IPv6路由IPv4,因此在IPv4中启用了extended next hop

接下来,需要给每台节点设置一个 iBGP Peer 配置,在 /etc/bird/ibgp/ 下创建文件:

1
2
3
protocol bgp '<BGP 会话名>' from ibgpeers {
  neighbor <其他节点的 IPv6 ULA 地址> as OWNAS;
}

完整示例

1
2
3
protocol bgp 'dn42_ibgp_us' from ibgpeers{
    neighbor fd48:8669:9f9f::5 as OWNAS;
}

运行 birdc c 重载配置即可。

优化路由

在完成上面的基础配置后,我们已经可以连上 DN42 的网络了,但此时的选路并非最优,尤其是当你的节点和非本地节点互 Peer 的时候。

BGP Community

Community属性介绍

团体属性是一组有相同特征的目的地址的集合。团体属性用来简化路由策略的应用和降低维护管理的难度,利用团体可以使多个AS中的一组BGP设备共享相同的策略。团体是一个路由属性,在BGP对等体之间传播,且不受AS的限制。BGP设备在将带有团体属性的路由发布给其它对等体之前,可以先改变此路由原有的团体属性。

简单来说,BGP Community 就是给路由打标签,不同的标签有助于我们对路由进行区分和管理。

来自 iYoRoy 的介绍:

…(本文)仅针对地理位置信息添加BGP Communities并进行优选。一般来说这样就足够了。(还有个原因是其他的我还没太搞明白)
注意: 我们应该只对自己的AS添加地理位置信息相关的BGP Communities,不应当对邻居传递来的路由添加相关条目。若对邻居的路由加上自己的地区Communities则会造成伪造路由起源,引发路由劫持。下游可能会误判流量路径,将本应直连的流量绕道至你的网络,增加延迟的同时大量消耗你的网络的流量。(Large Communities除外,Large Community有一套验证机制可以防止此类事情发生,但是不在本文讨论范围内)

我们需要首先找到自己节点所在的国家、地区,按照 BGP-communities #Route Origin 小节所列出的代码,在 /etc/bird/bird.conf 里面添加下面两行:

1
2
define DN42_REGION = 52;   # 52代表亚洲东部地区
define DN42_COUNTRY= 1344; # 1344代表香港

之后,修改 /etc/bird/ebgp.confdn42_peer 模板:

1
2
3
4
5
6
7
8
9
10
11
         export filter {
-            if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then accept;
+            if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then{
+                if (is_self_net()) then {      # 检查是否是自己的路由
+                    bgp_community.add((64511, DN42_REGION));  # 打上大洲级别的区域信息
+                    bgp_community.add((64511, DN42_COUNTRY)); # 打上国家/地区信息
+                }
+                accept;
+            }
             reject;
         };

上面是 IPv4 块里面的,修改 IPv6 块的 export filter 时,记得将 is_valid_network()is_self_net() 修改为 is_valid_network_v6()is_self_net_v6().

至此,我们成功给自己的路由打上了标签。

local_pref

local_pref

当一条BGP路由器中存在多条去往同一目标网络的 BGP 路由时,BGP 协议会对这些 BGP 路由属性进行比较,从而筛选出最佳到达目标网络的通达路径;本地优先属性,只在IBGP对等体之间进行交换,即:同一AS内进行,不会通告给AS 域外;用于判断流量离开AS时选择的最佳路由;

现在,我们要利用他人的 Communities 标签进行路由优选。

下面是我暂时使用的规则:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
function ebgp_calculate_pref() {
    # 基础优先级
    int pref = 1000; 
    
    # 同区域 +100
    if bgp_community ~ [(64511, DN42_REGION)] then 
        pref = pref + 100;
    
    # 同国家 +50
    if bgp_community ~ [(64511, DN42_COUNTRY)] then 
        pref = pref + 50;
    
    # eBGP邻居 +200
    if bgp_path.len = 1 then 
        pref = pref + 200;
    
    return pref;
}

可保存在 /etc/bird/ebgp.conf 的开头,同时修改 eBGP 的 Peer 模板:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
ipv4 {
  extended next hop;
  import keep filtered;
  import filter {
    if is_valid_network() && !is_self_net() then {
      if (roa_check(dn42_roa, net, bgp_path.last) != ROA_VALID) then {
        print "[dn42] ROA check failed for ", net, " ASN ", bgp_path.last;
        reject;
      }
+  bgp_local_pref = ebgp_calculate_pref();
      accept;
    }
    reject;
  };

IPv6 同样,只需要在相同位置添加即可。

iBGP 的 local_pref

这部分是我在配置好 IGP 与 iBGP 后出现的一个问题:内部的某个节点(Node 1)有一条最优路由,而其他节点(Node 2,3)会绕道前面的节点(Node 1),即使其他节点有更合适的路由可选。

下面的配置有待观察。

修改 /etc/bird/ibgp.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
template bgp ibgpeers {
  local as OWNAS;
  ipv4 {
-import where source = RTS_BGP && is_valid_network() && !is_self_net();
+   import filter {
+     if source = RTS_BGP && is_valid_network() && !is_self_net() then {
+       bgp_local_pref = 200;
+       accept;
+     }
+   };
    export where source = RTS_BGP && is_valid_network() && !is_self_net();
    next hop self;
    extended next hop;
  };
  ipv6 {
-import where source = RTS_BGP && is_valid_network_v6() && !is_self_net_v6();
+   import filter {
+     if source = RTS_BGP && is_valid_network_v6() && !is_self_net_v6() then {
+       bgp_local_pref = 200;
+       accept;
+     }
+   };
    export where source = RTS_BGP && is_valid_network_v6() && !is_self_net_v6();
    next hop self;
  };
};

上面的配置是将来自 iBGP 的外部路由降低优先级,让本地节点优先使用 eBGP 的路由。

BGP Dampening

什么是 BGP Flapping

BGP Flapping 指的是同一条路由的路径在短时间内发生大量变化,一般源于一个网络反复广播、撤销广播这一条路由。每次广播或撤销路由时,这个网络会把这条路由传递给所有与它相连的 Peer,这些 Peer 会根据这条路由计算出新的最佳路径,然后把新路径传递给它们的 Peer,与此类推。

你能想象吗:

PrefixDurationChangesRate
fd75:7775::/487d 20:13:2018.314 million52/s

最近这个由网段引发的路由更改竟然高达 1800 万!

为了抑制这种现象,我们会用上 Kioubit 开发的 FlapAlerted.

docker-compose.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
services:
  flapalerted:
    image: ghcr.io/kioubit/flapalerted
    network_mode: host
    command:
      - "--asn"
      - "4242422547"  # 修改成你自己的 ASN
      - "--bgpListenAddress"
      - "127.0.0.1:1790" # BGP 会话监听端口,稍后你的 BGP 软件需要连接到这个端口
      - "--httpAPIListenAddress"
      - "127.0.0.1:8080"  # HTTP API 监听端口,稍后 StayRTR 需要连接到这个端口
      - "-routeChangeCounter"
      - "120"  # 路由路径在一分钟内需要变更的次数才会被列入前缀列表。默认值 600
      - "-overThresholdTarget"
      - "5"  # 连续多少分钟速率达到或超过 routeChangeCounter 才会触发事件。默认 10
      - "-underThresholdTarget"
      - "30"  # 连续多少分钟速率低于 routeChangeCounter 才会移除事件。默认 15
    restart: unless-stopped

  stayrtr:
    image: rpki/stayrtr
    network_mode: host
    command:
      - "--bind"
      - "127.0.0.1:8083"  # RPKI-to-Router 协议的监听地址
      - "--metrics.addr"
      - "127.0.0.1:8084"  # Prometheus 格式统计信息 API 的监听地址
      - "--cache"
      - "http://127.0.0.1:8080/flaps/active/roa"  # 修改成你的 FlapAlerted 服务器地址
      - "--rtr.expire"
      - "3600"  # 如果 FlapAlerted 服务器离线,保留现有的信息多长时间
      - "--rtr.refresh"
      - "300"  # 多长时间从 FlapAlerted 服务器刷新一次信息
      - "--rtr.retry"
      - "300"  # 如果 FlapAlerted 服务器离线,多长时间后重试
    restart: unless-stopped
    depends_on:
      - flapalerted

启动 FlapAlerted 和 StayRTR 后,新建 /etc/bird/flap.conf 将路由信息传给 FlapAlerted:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
protocol bgp dn42_flapalerted {
  local as OWNAS; 

  # 修改成 FlapAlerted 设置的 ASN 和 BGP IP/端口。
  # 这里我们使用和自己网络相同的 ASN,是为了利用 BGP 协议不会把来自 iBGP 的路由(即自己其它节点的路由)转发给 iBGP Peer 的特点。
  # 除非你开启了 add paths 选项,否则来自自己其它节点的路由只会包含最优的路由,如果 Flapping 发生在次优路由就会被隐藏。
  # 因此建议有多个节点的用户在每个节点上都单独和 FlapAlerted 建立连接。
  
  neighbor <FlapAlerted 的地址> as OWNAS port 1790;

  ipv4 {
    # 开启 add paths 选项,把非最优路由也发给 FlapAlerted,让次优路由 Flapping 也可见。
    add paths on;
    export all;
    import none; # 不需要从 FlapAlerted 接收任何路由
  };

  ipv6 {
    add paths on;
    export all;
    import none;
  };
}

# 新建专用于 FlapAlerted 的 ROA 表
roa4 table roa_flap_v4;
roa6 table roa_flap_v6;

protocol rpki dn42_rpki_flapalerted {
  roa4 { table roa_flap_v4; };
  roa6 { table roa_flap_v6; };
  remote 10.22.44.5 port 8083; # 修改成 StayRTR 监听的端口
  max version 1;
  retry keep 15; # 如果连接中断,每 10 秒重连一次
};

在前文,我们已经配置了 ROA 过滤,因此需要新建一个新 ROA 表,记得在 /etc/bird/bird.conf 里引入此配置文件。

现在,我们需要修改 eBGP 中模板的导入过滤规则:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
  ipv4 {
    extended next hop;
    import keep filtered;
    import filter {
      if is_valid_network() && !is_self_net() then {
        if (roa_check(dn42_roa, net, bgp_path.last) != ROA_VALID) then {
          print "[dn42] ROA check failed for ", net, " ASN ", bgp_path.last;
          reject;
        }
+       if (roa_check(roa_flap_v4, net, bgp_path.last) = ROA_INVALID) then {
+         # 路由频繁变更,被 FlapAlerted 劫持去了 AS0,Bird 认为路由来自错误的 ASN
+         reject;
+       }
        bgp_local_pref = ebgp_calculate_pref();
        accept;
      }
      reject;
    };

IPv6 类似,只需要将 roa_flap_v4 修改为 roa_flap_v6 即可。

结语

最后,加入 DN42 的过程还是挺有乐趣的.

其他

Thanks:

感谢 Aluy 的提供的 AMS, NL 节点。
感谢 DN42 群友的帮助和指导。

推荐:

在这里介绍一下 Bird 中文社区的作品(转发自 Telegram):

BIRD-LSP 是一个专为 BIRD2 配置文件打造的现代化工具链项目,提供 Language Server Protocol (LSP) 支持、代码格式化 (Formatter & Parser) 与静态分析 (Linter) 能力。

VSCode 安装 | OpenVSX 安装

目前支持的特性 (v0.3.0):

  • 🎨 语法高亮 | 基于 Tree-sitter 的高精度语法解析

  • 🔍 实时诊断 | 内置 32+ 条 Lint 规则 + 跨文件分析

  • 📝 代码格式化 | 基于 🦀 Rust + dprint 插件实现的高性能格式化库

  • 🔎 悬停提示 | 对 conf 关键词提供 用法示例/类型提示/文档说明

  • 🏗 符号导航 | 跳转到定义、查找引用(支持跨文件)

*目前 BIRD LSP 还处于 Beta 阶段,部署在生产环节之前请谨慎评估

👩‍💻 GitHub 开源地址, 欢迎 Star: https://github.com/bird-chinese-community/BIRD-LSP

]]> https://blog.vconet.top/archives/dn42-intro/ 2026-03-06T04:04:21.000Z 前言

本文用以记录自己加入 DN42 网络的历程,本人是初入 BGP 的小白,对于文章中出现的各种不严谨内容和各种低级错误,请大佬们手下留情,可在评论区指出。

欢迎和我 Peer:VCNET DN42

]]> DN42 之旅:搭建多节点 BGP 网络 2026-03-06T04:04:21.000Z VConet

此文会持续更新,旧内容仅供参考,请以最新内容为准。

版本

6.4

26.03.14 更新

目前,绝大部分版本的 wine 都可以某种方式启动游戏,但大都会出现 MHYBase.dll 引起的崩溃。

请使用 AAGL 和 spritz-wine-tkg-staging-wow64-10.15-7 的方案,高于此版本的 wine 脚本无效。

通过下面的脚本启动 AAGL 并启动游戏:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
#!/bin/bash
#
# AAGL Race Condition Workaround Script
# Description: A robust workaround for game crashes caused by a race condition during initialization.
# Usage: ./aagl-fix.sh
# Author: Harmiel715
# Version: 1.1

# --- Configuration ---
STRACE_CMD="strace -f -e trace=process -o /dev/null an-anime-game-launcher"
ESCORT_DURATION=60
GAME_PROCESS_NAME="YuanShen.exe"
LAUNCHER_PROCESS_NAME="an-anime-game-launcher"
POLLING_INTERVAL=5 # Polling interval in seconds

# --- Variables ---
STRACE_PID=""
KILLER_PID=""

# --- Cleanup Function ---
cleanup() {
  echo "[Fix Script] Exit signal received, cleaning up..."
  if [ ! -z "$KILLER_PID" ] && ps -p $KILLER_PID >/dev/null; then
    kill -9 $KILLER_PID
  fi
  if [ ! -z "$STRACE_PID" ] && ps -p $STRACE_PID >/dev/null; then
    kill -9 $STRACE_PID
  fi
  pkill -9 -f "$LAUNCHER_PROCESS_NAME"
  echo "[Fix Script] Cleanup complete."
}
trap cleanup EXIT SIGINT SIGTERM

# 1. Start the escort and the launcher
echo "[Fix Script] Escort enabled..."
$STRACE_CMD &
STRACE_PID=$!
echo "[Fix Script] Escort process PID: $STRACE_PID"

# 2. Main monitoring loop
echo "[Fix Script] Waiting for you to start the game from the launcher..."

while ps -p $STRACE_PID >/dev/null; do
  if pgrep -f $GAME_PROCESS_NAME >/dev/null; then
    # State: In-Game
    if [ -z "$KILLER_PID" ]; then
      echo "[Fix Script] Game process detected! Starting $ESCORT_DURATION-second separation countdown..."
      # Start a "timed killer" in the background, its only job is to kill strace
      (sleep $ESCORT_DURATION && kill -9 $STRACE_PID) &
      KILLER_PID=$!
      echo "[Fix Script] Detach program deployed, PID: $KILLER_PID"
    fi
  else
    # State: In-Launcher (or game not started)
    if [ ! -z "$KILLER_PID" ]; then
      echo "[Fix Script] Game has been exited. Revoking detach program..."
      if ps -p $KILLER_PID >/dev/null; then
        kill -9 $KILLER_PID
      fi
      KILLER_PID=""
      echo "[Fix Script] Reset. Ready to relaunch the game."
    fi
  fi
  sleep $POLLING_INTERVAL
done

# When the strace process ends (either killed or the user closed the launcher), the script will arrive here.
# We perform a final, failsafe cleanup here.
echo "[Fix Script] Escort task finished. Performing final cleanup."
pkill -9 -f "$LAUNCHER_PROCESS_NAME"

exit 0

相关 issue

26.02.19 更新

AAGL 会一直触发异常,无法游玩

当前版本不需要,也不应该使用 Hosts 屏蔽原神的域名

使用 Bottles + Proton GE + libhoyonetfix

若使用 yay 或 paru 安装,请确保安装非 brwap 版本!

Bwrap 版本可能导致无法启动游戏

打开 Bottles $\rightarrow$ $\rightarrow$ 首选项 $\rightarrow$ 运行器 选择最新的 Proton GE:

runners
runners

创建容器后,选择添加快捷方式,选择 YuanShen.exe,添加后 点击旁边的 $\rightarrow$ 更改启动选项

请修改成:LD_PRELOAD=/PATH_TO/libhoyonetfix.so %command%,请使用绝对路径,不要包含 ~

更改启动选项
更改启动选项

启动游戏后不久后会弹出 数据异常,请重新登陆游戏 错误码:10010-4001,点击确认,重新进门之后即可正常游玩

10010-4001
10010-4001
]]> https://blog.vconet.top/archives/genshin-in-linux/ 2026-02-19T10:18:56.000Z

此文会持续更新,旧内容仅供参考,请以最新内容为准。

版本

]]>

如何在 Linux 下玩原神? 2026-02-19T10:18:56.000Z VConet

26.2.13 更新:更新信息与配置

起源

今年年初我入手了飞傲 JT7 和 iBasso DC04U。在安卓下两者配合使用没有问题,但把 DC04U 接到 Linux 上时,却发现无法直出 DSD。

最后发现设备太新,没有收录到 Linux 内核中,但在 7.0 版本之后就不再需要下面的 patch 了,仅做记录

为设备添加 patch

我尝试过多款播放器:mpd、Strawberry、DeaDBeeF、HQPlayer,但都未能实现 DSD 直出。折腾下来,最高只能输出 PCM 768 kHz。

PCM768
PCM768

查看 ALSA 报告后发现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
iBasso DC04U at usb-0000:00:14.0-2, high speed : USB Audio

Playback:
  Status: Stop
  Interface 2
    Altset 1
    Format: S16_LE
    Channels: 2
    Endpoint: 0x07 (7 OUT) (ASYNC)
    Rates: 44100, 48000, 88200, 96000, 176400, 192000, 352800, 384000, 705600, 768000
    Data packet interval: 125 us
    Bits: 16
    Channel map: FL FR
    Sync Endpoint: 0x83 (3 IN)
    Sync EP Interface: 2
    Sync EP Altset: 1
    Implicit Feedback Mode: No
  Interface 2
    Altset 2
    Format: S24_3LE
    Channels: 2
    Endpoint: 0x07 (7 OUT) (ASYNC)
    Rates: 44100, 48000, 88200, 96000, 176400, 192000, 352800, 384000, 705600, 768000
    Data packet interval: 125 us
    Bits: 24
    Channel map: FL FR
    Sync Endpoint: 0x83 (3 IN)
    Sync EP Interface: 2
    Sync EP Altset: 2
    Implicit Feedback Mode: No
  Interface 2
    Altset 3
    Format: S32_LE
    Channels: 2
    Endpoint: 0x07 (7 OUT) (ASYNC)
    Rates: 44100, 48000, 88200, 96000, 176400, 192000, 352800, 384000, 705600, 768000
    Data packet interval: 125 us
    Bits: 32
    Channel map: FL FR
    Sync Endpoint: 0x83 (3 IN)
    Sync EP Interface: 2
    Sync EP Altset: 3
    Implicit Feedback Mode: No
  Interface 2
    Altset 4
    Format: SPECIAL
    Channels: 2
    Endpoint: 0x07 (7 OUT) (ASYNC)
    Rates: 44100, 48000, 88200, 96000, 176400, 192000, 352800, 384000, 705600, 768000
    Data packet interval: 125 us
    Bits: 32
    DSD raw: DOP=0, bitrev=0
    Channel map: FL FR
    Sync Endpoint: 0x83 (3 IN)
    Sync EP Interface: 2
    Sync EP Altset: 4
    Implicit Feedback Mode: No

直出 DSD 需要的 DSD_U32_BE(或 DSD_U32_LE),在 Linux 上 ALSA 并未显示该格式。用 aplay 排查,同样不支持:

1
2
3
4
5
6
7
8
aplay -D hw:1,0 --dump-hw-params /dev/zero

...
Available formats:
- S16_LE
- S32_LE
- SPECIAL
- S24_3LE

照理说 iBasso 支持 UAC 2.0,应具备完整能力,但当前 ALSA 并未识别到 DSD_U32_BE。

解决办法

幸运的是,我找到了仓库 xmos-native-dsd。通过修改内核的 sound/usb/quirks.c,为该设备添加一个 quirk 即可识别 DSD_U32_BE。

1
2
3
4
5
6
7
8
9
10
11
12
13
diff --git a/sound/usb/quirks.c b/sound/usb/quirks.c
index 2d9f28558..d550c84e7 100644
--- a/sound/usb/quirks.c
+++ b/sound/usb/quirks.c
@@ -2236,6 +2236,8 @@ static const struct usb_audio_quirk_flags_table quirk_flags_table[] = {
 DEVICE_FLG(0x0644, 0x806c, /* Esoteric XD */
   QUIRK_FLAG_ITF_USB_DSD_DAC | QUIRK_FLAG_CTL_MSG_DELAY |
   QUIRK_FLAG_IFACE_DELAY | QUIRK_FLAG_FORCE_IFACE_RESET),
+DEVICE_FLG(0x0661, 0x0883, /* iBasso DC04U */
+  QUIRK_FLAG_DSD_RAW),
 DEVICE_FLG(0x06f8, 0xb000, /* Hercules DJ Console (Windows Edition) */
   QUIRK_FLAG_IGNORE_CTL_ERROR),
 DEVICE_FLG(0x06f8, 0xd002, /* Hercules DJ Console (Macintosh Edition) */

应用补丁并重编译内核后,再次运行 aplay 检查:

1
2
3
4
5
6
7
...
Available formats:
- S16_LE
- S32_LE
- SPECIAL
- S24_3LE
- DSD_U32_BE

For Arch User

我选择基于 linux-cachyos 的 PKGBUILD 修改来构建 ArchLinux 包。

只需要下载 linux-cachyos快照

编辑 PKGBUILD,在 source 段添加 patch 文件,同时修改 pkgrel

1
2
3
4
5
6
7
8
9
10
...
pkgrel=3 # 请高于原本的值
...
source=(
    "https://cdn.kernel.org/pub/linux/kernel/v${pkgver%%.*}.x/${_srcname}.tar.xz"
    "config"
    "${_patchsource}/all/0001-cachyos-base-all.patch"
    "quirks.patch" # patch 文件名
    )
...

构建:

#

在此之前,请先确认您的 DAC 能在 Linux 下识别到 DSD 支持:

使用 aplay -D hw:1,0 --dump-hw-params /dev/zero 查看

1
2
3
4
5
6
7
...
Available formats:
- S16_LE
- S32_LE
- SPECIAL
- S24_3LE
- DSD_U32_BE

如果没有 DSD_xx 可能是您的 DAC 没有被 Linux 收录,需要手动 Patch,参见上面折叠部分

因为我在使用 PipeWire,可通过 pw-cat 测试原生 DSD 输出:

1
pw-cat -p -d sample.dsf
DSD512
DSD512

免费的DSD64测试音源:FreeDSD Download NativeDSD Music

音乐播放器

能够输出 DSD 只是完成了第一步,选择一个合适的播放器同样重要。

MPD

我曾尝试过 hqplayer-client hqplayer-embedded rygel deadbeef 等一系列播放器。

但考虑到可扩展性,我决定使用 MPD + Euphonica

MPD 是 C/S 架构的音乐播放器,除了 Euphonica,还有很多 TUI/GUI 可选,详见 MPD 客户端

PipeWire
PipeWire+ALSA

PipeWire 可以直出 DSD,其 MPD 配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
audio_output {
        type            "pipewire"
        name            "DC04U"

        dsd             "yes"     # 启用 DSD 直出

        # dsd_usb      "yes"      # 请不要启用
        # mixer_type   "none"     # 禁用软件音量控制
}

music_directory         "/run/media/vconet/DATA/Musics/"

bind_to_address         "~/.config/mpd/socket"

playlist_directory      "~/.config/mpd/playlists"

db_file                 "~/.config/mpd/database"

sticker_file            "~/.config/mpd/sticker.sql"

audio_output {
    type            "fifo"
    name            "Visualizer"
    path            "/tmp/mpd.fifo"
    format          "44100:16:2"
}

在 PipeWire 下,你仍然可以通过 ALSA 独占,但这会导致 MPD 播放音乐时,会导致其他应用尝试播放音频时,可能会卡死应用。

MPD 配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
audio_output {
        type            "alsa"
        name            "DC04U"
        device          "hw:DC04U,0"
        
        dop             "no"      # 强制优先 DSD Native
        # 禁用 MPD 的内置转换
        auto_resample   "no"
        auto_format     "no"
        auto_channels   "no"

        # dsd_usb      "yes"      # 请不要启用
        # mixer_type   "none"     # 禁用软件音量控制
}

music_directory         "/run/media/vconet/DATA/Musics/"

bind_to_address         "~/.config/mpd/socket"

playlist_directory      "~/.config/mpd/playlists"

db_file                 "~/.config/mpd/database"

sticker_file            "~/.config/mpd/sticker.sql"

audio_output {
    type            "fifo"
    name            "Visualizer"
    path            "/tmp/mpd.fifo"
    format          "44100:16:2"
}

ALSA 设备名可通过 aplay -L 查看

无论是 PipeWire 还是 PipeWire + ALSA,都不能在直出 DSD 的同时播放其他音频。

仅在 PipeWire 下直出 DSD 时,其他应用尝试播放音频时,不会卡死。

应用不再播放音频时,仍可能占用设备,需自行重启 PipeWire 或拔插设备。占用情况可通过 pw-top 查看

不依赖 Systemd 的 MPD 配置,请自行查看 MPD 配置

Euphonica

Euphonica 就很简单了:在设置里指定 socket 地址,在 Visualizer data source 下将 Data Source 设为 MPD FIFO,修改 FIFO file 后点击 Apply 即可。

至此,iBasso DC04U 在 Linux 下可以实现 DSD 直出与常规播放。

]]> https://blog.vconet.top/archives/hires-in-linux/ 2026-02-08T08:32:34.000Z

26.2.13 更新:更新信息与配置

起源

今年年初我入手了飞傲 JT7 和]]>

Linux 上 iBasso DC04U 原生 DSD 直出指南 2026-02-08T08:32:34.000Z VConet Background

ZeroTier One 的包在 v3.17 之后就因软件包 License 问题就从 community 仓库删除了,而且官方也没有提供 Alpine Linux 的软件包

又双叒叕因为 Alpine Linux 是基于 musl 而非 libc,所以需要我们自己手动编译

太长不看版

为了节省时间,我自建了一个 ZeroTier for Alpine Linux 的源,复制粘贴下面三条指令即可通过软件包管理器安装:

  1. 添加公钥(自建仓库):

    #

  2. 添加源:

    #

  3. 更新 & 安装:

    #

其他信息请到 https://mirror.vconet.top 查看

自建源
自建源

手动编译

准备环境

如果你的 Alpine

Linux 实例性能不够,请使用虚拟机或 Docker/Podman 先创建一个 Alpine Linux 环境

准备源码

1
2
3
4
5
wget https://github.com/zerotier/ZeroTierOne/archive/refs/tags/1.16.0.tar.gz

tar xvf 1.16.0.tar.gz

cd ZeroTierOne-1.16.0

安装依赖

#

编译

#

使用

在 Alpine Linux 实例上安装必要的依赖:

#

建议把编译好的 zerotier-onezerotier-clizerotier-idtool 上传到 Alpine Linux 的 /usr/sbin 下,搭配下面的 OpenRC 脚本使用:

1
2
3
4
5
6
7
8
9
10
#!/sbin/openrc-run

depend() {
    need net
    after firewall
}

command="/usr/sbin/zerotier-one"
command_background="yes"
pidfile="/run/$RC_SVCNAME.pid"
]]> https://blog.vconet.top/archives/zerotier-for-alpine/ 2026-02-01T14:36:47.000Z Background

ZeroTier One 的包在 v3.17 之后就因软件包 License]]>

为 Alpine 提供 ZeroTier 2026-02-01T14:36:47.000Z VConet 众所周知,Radmin LAN 并没有 Linux 版本,而有时仍需要访问对方的 Radmin LAN 网络,本文提供一种可行方案:

让 Linux 通过一台 Windows Server 主机做 NAT 转发,借此访问整个 Radmin LAN 网段。

这个办法也适用于类似的虚拟组网应用

先决条件

你需要有一个 Server 版 Windows
普通版本 Windows 可尝试对 Radmin VPN 网卡网络共享

具体方法

共享后,修改另一个被 Windows 修改了 IP 的网卡(被修改成了 192.168.137.1),改成之前的 IP、网关,保存弹出一个“多个网关”之类的警告,此时在 Linux 添加路由可以访问 Radmin LAN 网络,但重启 Windows/网卡就会失效

如果你不在意速度,那么上古时代的 NAT32 也可以拿来用(实测网速只有5Mbps,但可以通过双网卡解决)

安装 Windows Server

我有一台跑 PVE 的 NEC 8 主机,遂选择安装原版 Windows Server 2022

虚拟机不需要特殊设置,正常安装即可

注意:网卡的桥接需要设置为 vmbr0 ,不能用 SNAT 的网卡

Linux 必须能直接 ARP 到 目的IP* 才能作为网关。
*:如果该目的 IP 和虚拟机不在同一个网段,即虚拟机在 PVE 的 SNAT 后面,那就不能将该 IP作为网关

添加 NAT 功能

系统安装完后,打开服务器管理器,点击管理 $\rightarrow$ 添加角色和功能

服务器管理器
服务器管理器

服务器角色选项卡中,勾选远程访问 ,在侧边栏新出现的远程访问内,勾选路由 ,在弹出的页面点击 添加功能,之后一路下一步安装即可

启用路由功能
启用路由功能

配置 NAT

在继续配置 NAT 前,你需要先安装好 Radmin LAN,后面的步骤需要用到由 Radmin LAN 创建的虚拟网卡 Radmin VPN

  1. 打开服务器管理器 $ \rightarrow$ 工具 $\rightarrow$ 路由和远程访问
  2. 右键 XXXX (本机),选择配置并启用路由和远程访问
  3. 选择自定义,勾选NAT (A)LAN 路由 (L)
路由和远程访问
路由和远程访问

添加 Radmin LAN 作为公共接口

  1. IPv4 $\rightarrow$ NAT 空白处右键 $\rightarrow$ 新建接口
  2. 选择 Radmin VPN
  3. 勾选公共接口到 Internet在此接口上启用 NAT
新建NAT
新建NAT

再次新建接口,把物理网卡添加为专用接口到专用网络

Linux 设置路由

Linux 下面需要手动添加一条路由,让26.0.0.0/8流量走 Windows Server:

#

也可以在 NetworkManager 里添加

NetworkManager
NetworkManager

Enjoy

完成以上设置后,Linux 即可访问整个 Radmin LAN 网络

Konsole
Konsole
]]> https://blog.vconet.top/archives/linux-access-radminlan/ 2025-11-19T09:38:13.000Z 众所周知,Radmin LAN 并没有 Linux 版本,而有时仍需要访问对方的 Radmin LAN 网络,本文提供一种可行方案:让 Linux 通过一台 Windows Server 主机做 NAT 转发,借此访问整个 Radmin LAN 网段。 在 Linux 下访问 Radmin LAN 网络 2025-11-19T09:38:13.000Z VConet 缘起

自前年全面从 Windows 转到 ArchLinux 之后,我的的大部分时间都在 Linux 下,但为了运行 CAD、打游戏,我不得不选择双系统方案

双系统虽然能解决软件兼容性的问题,但每次切换都需要重的体验很割裂,那么虚拟机呢?

行,也不行。虚拟机虽然能跑上面的应用,但那羸弱的 3D 性能,也就只能跑一些 wine 运行不了的软件

这么一来,显卡直通就成了唯一可行的方案

网上显卡直通的教程有很多,其中 Lan Tian 的教程就很不错,但这些教程都有一个共性:显卡在开机时就已经屏蔽了 NVIDIA 驱动,并将其交给了 vfio-pci

这就意味着,每次开机后,如果不先手动卸载 vfio-pci 并重新加载 NVIDIA 驱动,我就无法在 Linux 下使用独显

然而,我并不是每次开机都要运行虚拟机。毕竟当下 Linux 的软件生态已经相当完善,许多游戏也能借助 Wine 与 Proton 顺畅运行。对我而言,更迫切的需求是:找到一种办法,让 NVIDIA 显卡能够在无需重启的情况下自由切换

下文方案的前部分教程和网上的许多教程大体上一致

先决条件

本文是基于 Optimus MUXed 架构的笔记本(型号 Lenovo Legion y7000p 2024,仅供参考)

安装好 libvirt,需要新建一台正常的 UEFI 启动的 Windows 虚拟机

如果你在后续直通和安装驱动时有问题,可尝试关闭虚拟机的安全启动

配置宿主机

为了让虚拟机可以使用宿主机的 PCIe 设备,需要用到 IOMMUvfio-pci 模块

启用IOMMU

为什么要用IOMMU

当操作系统在虚拟机内运行时(包括使用半虚拟化的系统,例如Xen),其通常不知道它要访问的内存的主机物理地址。这使其难以直接访问计算机硬件,因为如果客户机系统尝试用客户机的物理地址进行直接存储器访问(DMA)来吩咐硬件,其可能损坏内存数据,因为硬件不知道给定虚拟机客户机物理地址与主机物理地址之间的映射关系。而由管理程序或主机操作系统介入I/O操作来应用翻译则可以避免损坏,但会增加此I/O操作的延迟。
IOMMU可以依靠将客户机物理地址映射到主机物理地址的相同或兼容转换表重映射硬件访问地址,从而解决延迟问题。

首先,要确保你的 BIOS 已经开启了 VT-x 或者 AMD-v 虚拟化

对于 Intel CPU,需要向内核参数中添加 intel_iommu=oniommu=pt

对于 AMD CPU,则需要添加 amd_iommu=oniommu=pt

Grub

使用 Grub 的用户,在 /etc/default/grub 中添加:

1
2
3
4
5
# Intel CPU
GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on iommu=pt ..."

# AMD CPU
GRUB_CMDLINE_LINUX_DEFAULT="quiet amd_iommu=on iommu=pt ..."

UKI

使用 UKI 的用户,在 /etc/kernel/cmdline 中添加:

1
root=UUID=... rw splash loglevel=3... intel_iommu=on iommu=pt

设置 VFIO

修改 mkinitcpio

为了使用 VFIO,我们需要调整 VFIO 和 NVIDIA 驱动的顺序,修改 /etc/mkinitcpio.conf

1
2
3
MODULES=(vfio_pci vfio vfio_iommu_type1 nvidia nvidia_modeset nvidia_uvm nvidia_drm)
# 如果你的内核版本小于 6.2, 那你可你需要添加 vfio_virqfd 这个模块
# 为了在有需要的时候才直通显卡,需要保留此处的 nvidia 驱动

重新生成 Initramfs

#

至此,宿主机的配置就算完成了

配置虚拟机

这部分我会略去一些特殊情况和问题,如果有没办法解决的问题,可以去看看 Lan Tian 的两篇教程

反虚拟化

为了避免某些应用的虚拟机检测,需要编辑虚拟机的XML,在 <features> 段内添加以下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
<features>
    <acpi/>
    <apic/>
    <hyperv mode="custom">
        ...
    </hyperv>
    <!--新增-->
    <kvm>
      <hidden state="on"/>
    </kvm>
    
    <vmport state="off"/>
  </features>

添加假电池

在直通后,虚拟机并不能直接使用 NVIDIA 显卡,可能是由于笔记本的限制,显卡只有在有假电池的情况使用

<domain>段添加自定义的 qemu 指令:

1
2
3
4
5
6
7
8
<!--请不要忘了添加 xmlns:qemu="http://libvirt.org/schemas/domain/qemu/1.0" 否则无法保存!-->
<domain xmlns:qemu="http://libvirt.org/schemas/domain/qemu/1.0" type="kvm">
  ...
  <qemu:commandline>
    <qemu:arg value="-acpitable"/>
    <qemu:arg value="file=/opt/UserItems/ssdt.dat"/>
  </qemu:commandline>
</domain>

上面 /opt/UserItems/ssdt.dat 为修改后的ACPI表,来自 Lan Tian 的教程

添加 PCIe

依旧是在 <domain> 段内添加:

1
2
3
4
5
6
7
8
9
10
11
12
13
<domain xmlns:qemu="http://libvirt.org/schemas/domain/qemu/1.0" type="kvm">
    ...
    <hostdev mode='subsystem' type='pci' managed='yes'>
      <source>
        <address domain='0x0000' bus='0x01' slot='0x00' function='0x0'/>
      </source>
      <rom bar='off'/>
      <address type='pci' domain='0x0000' bus='0x01' slot='0x00' function='0x0' multifunction='on'/>
    </hostdev>
    <!--禁用内存动态伸缩,影响性能-->
<memballoon model="none"/>
    ...
</domain>

请确保显卡的总线只能是上面的,如果提示冲突,请删掉占用这个地址的那个设备的 <address .../>段,让其重新分配一个新的地址

启动直通!

目前,配置好的虚拟机还不能启动,现在需要我们先手动卸载 NVIDIA 驱动,将 NVIDIA 交给 VFIO

手动切换显卡

  1. 手动关闭所有占用 NVIDIA 显卡的进程,进程可通过 lsof 查看:

    $

  2. 暂停 nvidia 服务:

    $

  3. 卸载 NVIDIA 驱动:

    $

  4. 绑定 VFIO:

    $

    此处的 ids=xxx 需要所有的 NVIDIA 设备都交给 VFIO,通过 lspci -nn | grep NVIDIA 查看,多个设备使用 , 分隔

    我的设备在 Linux 下只有 VGA,并没有出现 Audio 设备

完成上面的步骤后,通过下面的指令查看显卡是否成果交给 VFIO:

$

如果出现类似下面的信息,即为成功:

1
2
[  170.607580] vfio-pci 0000:01:00.0: vgaarb: VGA decodes changed: olddecodes=none,decodes=io+mem:owns=none
[  170.607741] vfio_pci: add [10de:28e0[ffffffff:ffffffff]] class 0x000000/00000000

此时,可以开启虚拟机了

画面显示

为了把虚拟机的画面传输到宿主机,大体上有两种方法:

  • 使用 Sunshine、Parsec 串流
  • Looking Glass 直出画面

无论上面那种方法,都需要先安装一个虚拟显示器软件比如 VDD,串流方案比较简单,不需要再配置虚拟机

Looking Glass

我在这里介绍一下 Looking Glass 方案,虚拟机上只需要安装 Looking Glass Host 版,宿主机上的配置有下面两种办法

KVMFR

这是官方推荐的方案,通过 DMA 传输数据,能提供更好的画面和更好的帧率

安装模块
$

  1. 设置开机加载 kvmfr 模块,创建 /etc/modules-load.d/looking-glass.conf

    1
    kvmfr

  2. 创建 /etc/modprobe.d/looking-glass.conf 内容如下:

    1
    options kvmfr static_size_mb=计算出的数值

    数值的计算方法:${\frac{分辨率宽\times 分辨率高\times4\times2}{1024\times1024}}$,将计算出的结果以 ${2^n}$ 向上取整的整数

    如分显示器辨率为 2560x1600,其结果为:
    $${\frac{2560\times1600\times4\times2}{ 1024 \times 1024 } =31.25}$$
    最接近 31.25 的是 ${2^6= 64}$,因此上面的值为 64

  3. /dev/kvmfr0 赋予访问权,创建 udev 规则 /etc/udev/rules.d/99-kvmfr.rules

    1
    SUBSYSTEM=="kvmfr", OWNER="qemu", GROUP="kvm", MODE="0660"

    其中的 OWNER 不要写任何 uid > 1000 的用户,不然该 udev 规则不会生效,请确保当前用户在 kvm 组内,重启后生效

设置虚拟机

编辑虚拟机的 XML,在 <domain> 段内添加以下内容:

1
2
3
4
5
6
7
8
9
10
11
12
  ...
  <qemu:commandline>
    <qemu:arg value="-acpitable"/>
    <qemu:arg value="file=/opt/UserItems/ssdt1.dat"/>
    <!--添加下面的内容-->
    <qemu:arg value="-device"/>
    <qemu:arg value="{'driver':'ivshmem-plain','id':'shmem0','memdev':'looking-glass'}"/>
    <qemu:arg value="-object"/>
    <qemu:arg value="{'qom-type':'memory-backend-file','id':'looking-glass','mem-path':'/dev/kvmfr0','size':67108864,'share':true}"/>
    <!--这里的 size 和上面的一样-->
  </qemu:commandline>
</domain>
修改客户端

修改全局设置 /etc/looking-glass-client.ini

1
2
[app]
shmFile=/dev/kvmfr0

如果使用该方案,就不能使用 virtiofs 共享文件,只能选择 SMB、NFS 或者硬盘直通,如果就是想用 virtiofs,那需要使用下面的方案

shmem

  1. 编译虚拟机的 XML,在 <device> 段内添加:

    1
    2
    3
    4
    5
    6
    7
    8
            ...
            <shmem name='looking-glass'>
              <model type='ivshmem-plain'/>
              <size unit='M'>64</size>
            </shmem>
        </device>
        ...
    </domain>

  2. 修改权限,创建 /etc/tmpfiles.d/looking-glass.conf

    1
    f /dev/shm/looking-glass 0660 vconet kvm -

    请把 vconet 改为自己的用户名,运行 sudo systemd-tmpfiles /etc/tmpfiles.d/looking-glass.conf --create 生效

之后你可以添加 virtiofs 了,大概… (我没有测试)

键鼠

这一部分是为了解决 Looking Glass 糟糕的键鼠性能:丢包,根本没法玩游戏

解决办法比较粗暴,我有一套单独的键鼠,直通后不影响笔记本的键盘和触控板

为了保证随时可以切换连接状态,不应在 virt-manager 里直接添加 USB 主机设备,而是用 virsh 这个 CLI 工具

连接:

$

断开:

$

定义键鼠的 XML 格式如下:

1
2
3
4
5
6
<hostdev mode="subsystem" type="usb" managed="yes">
    <source>
    <vendor id="0x3554"/>
    <product id="0xfa09"/>
    </source>
</hostdev>

重新启用 NVIDIA 显卡

至此,虚拟机已经用上 NVIDIA 显卡了,但如何把显卡重连回 Linux?

步骤和上面的差不多

  1. 卸载 vfio-pic 驱动:

    $

  2. 重新加载 NVIDIA 驱动:

    $

  3. 重启 nvidia 服务:

    $

GUI

虽然上面的方法实现了自由切换,但我不想每次都手动完成

于是,我用 PySide6 写了一个简单的 GUI 用来简化流程,毕竟点点点总比一个个输方便

toolbox
toolbox

我把它放在 Github 上了,有需要的可以自行下载使用

结尾

文章到这里就暂时结束了,如果我后期有什么新的需求,会在继续这里更新
后续可能更新 Apparmor 和 Samba 相关的部分…

]]> https://blog.vconet.top/archives/nvidia-kvm-passthrough/ 2025-09-23T11:06:11.000Z 缘起

自前年全面从 Windows 转到 ArchLinux 之后,我的的大部分时间都在 Linux 下,但为了运行 CAD、打游戏,我不得不选择双系统方案

双系统虽然能解决软件兼容性的问题,但每次切换都需要重的体验很割裂,那么虚拟机呢?

]]> 告别重启:Linux 下的 NVIDIA 显卡直通 2025-09-23T11:06:11.000Z VConet 前言

本文记录了我在 NEC 8代小主机上折腾 PVE 的过程,也希望能为想搭建类似内外网环境的朋友提供一些思路

需求

使用 vconet.top 这个我拥有的域名,给本地服务都用上 SSL、同时异地组网 实现在外访问本地服务,还需要把一些服务公布到互联网上

与此同时,还要保证在各个网络环境下都能保持一致的 URL

配置 PVE

PVE 的安装和基本配置教程网上有很多,不再复述

NAT!

出于种种原因,我在 PVE 上额外划分了一个 10.22.33.0/24 网段,用于虚拟机和 LXC 容器

配置 SDN

创建 Simple 区域

转到 数据中心 ➡️ SDN ➡️ 区域 ➡️ 添加 ➡️ Simple

填一个名称,勾选高级并启用自动 DHCP

创建 VNets

转到 数据中心 ➡️ SDN ➡️ VNets ➡️ 创建

填写名称(刚才创建的 Simple 名称)

创建子网

VNets 右边的子网创建新子网,填写子网网段和网关,在 DHCP 范围选项卡内填写 DHCP 的 IP 范围

应用更改

转到 数据中心 ➡️ SDN,点击左上角的应用

启用 DHCP

要使 PVE 能真正的提供 DHCP 服务,需要在 PVE 上安装 dnsmasq 并禁用自带的服务

1
2
apt install dnsmasq
systemctl disable --now dnsmasq
自定义 DNS

因为内外网的 DNS 记录不一样,需要给10.22.33.0/24网段内的虚拟机和 LXC 提供自定义的 DNS 服务器,我将会在下文给出的 Co re + Powerdns 方案

为了让 dnsmasq 能在提供 DHCP 的同时,提供 自定义 DNS,需要编辑 /etc/pve/sdn/subnets.cfg 文件,添加 dhcp-dns-server 选项

1
2
3
4
5
6
subnet: pvenet-10.22.33.0-24
        vnet vnet
        dhcp-range start-address=10.22.33.2,end-address=10.22.33.253
        gateway 10.22.33.1
        snat 1
        dhcp-dns-server 10.22.33.200 #你所需的 DNS 服务器 IP
防火墙

目前我并没有防火墙的需求,暂时跳过

内网域名解析

为了提供 vconet.top 等 TLD 域名的内部解析,需要一个自己的 DNS 服务器,同时还要方便维护

可以实现上面需求的,可选方案有很多:CoreDNS(两种方案)、Powerdns、TechnitiumDNS,甚至 小米路由器自带的 自定义 Hosts 功能也能满足需求

自定义 DNS 怎么选?

简单记录

如果你只需要简单的 xx.vconet.top对应 ip,那么大可选择小米路由器自带的 自定义 Hosts 功能,亦或是 CoreDNS(方案一)

该方案用到 CoreDNS的 hosts功能:

1
2
3
4
5
6
7
8
9
10
.:53 {
    # lan.hosts为你需要的解析,格式和 hosts 文件一致
    hosts /etc/CoreDNS/lan.hosts {
       fallthrough
    }
    forward . 223.5.5.5 119.29.29.29
    log
    cache
    errors
}
复杂记录

如果不仅仅需要 A 记录,还需要 PTR、MX 等,就需要 CoreDNS(方案二)、Powerdns、Technitiumdns 这些权威 DNS 了

CoreDNS(方案二)需要用到 CoreDNS 的 file功能: 

1
2
3
4
5
6
7
8
9
10
. {
    forward . 223.5.5.5
    log
    errors
}
vconet.top {
    file /etc/CoreDNS/DOMAIN.zone #域名的Zone文件
    log
    errors
}

Powerdns、Technitiumdns 有对应的 Web 管理页面,直接添加就可

如果选择权威 DNS 给 vconet.top 做解析,如果本地 DNS 的记录不全,解析时会返回 NXDOMAIN

权威 DNS 在查询到不存在的记录时,会直接返回 NXDOMAIN,而不会继续向上递归查询,这可能导致内外网记录解析失败:

graph LR    ldns --本地IP--> id1[Client]    id1 --"local.vconet.top(存在于本地DNS)"-->ldns["本地 DNS"]        ldns--NXDOMAIN-->id2[Client]    id2 --"blog.vconet.top(不存在于本地)"--> ldns    ldns x--"向上查找blog.xx"--x rdns["公共 DNS"]
解决 NXDOMAIN

  • 对于 Technitiumdns,你可以在创建新域名的时候,选择 条件转发

  • 对于 CoreDNS(方案二),需要自己编译含有 alternate 插件的 CoreDNS:

    1
    2
    3
    4
    5
    6
    vconet.top {
        file /etc/CoreDNS/DOMAIN.zone #域名的Zone文件
        alternate NXDOMAIN . 223.5.5.5 119.29.29.29
        log
        errors
    }
我的方案

因需要给 PVE 提供 DNS 相关服务,只能选择 Powerdns 解析内网记录,而 Powerdns 本身只用能作权威 DNS,还需要搭配 powerdns-recurosr 之类的前置

recursor 并不能非常方便的解决上面 NXDOMAIN 的问题,因此我选择 CoreDNS 而非 powerdns-recursor

CoreDNS 配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
####################
# 修改 /etc/coredns/Corefile 文件
# 127.0.0.1:54 为 Powerdns
####################

vconet.top {
    forward . 127.0.0.1:54 {
        policy sequential
    }
    alternate NXDOMAIN . 223.5.5.5 119.29.29.29
    log
    errors
}

####################
# 这两部分是用于 PVE 实例的反向查询和内网域名解析
33.22.10.in-addr.arpa {
    forward . 127.0.0.1:54
    log
    errors
}
pve.lan {
    forward . 127.0.0.1:54
    log
    errors
}
####################

# 其他请求
.:53 {
    #bind 10.22.33.200
    forward . 223.5.5.5 119.29.29.29
    cache
    log
    errors
}

Powerdns 配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# 在 /etc/powerdns/pdns.conf 下追加下面这一段

# AXFR
allow-axfr-ips=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
# DNS UPDATE
allow-dnsupdate-from=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
# DNS Notify
allow-notify-from=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
# 是否允许未签名 Notify
allow-unsigned-notify=no
# 额外通知服务器
#also-notify=10.0.0.10,192.168.31.10,[fc00::1]

#daemon 启动
daemon=yes
disable-axfr=no
guardian=no
#是否master
master=yes
#是否slave
slave=no
#启动权限
setgid=pdns
setuid=pdns
#打印日志
log-dns-details=yes
log-dns-queries=no
loglevel=6
log-timestamp=yes
logging-facility=0
#开启api
api=yes
api-key=非常长的随机字符串
#启动webserver 监控
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0
webserver-port=9190
#监听的地址端口
local-address=0.0.0.0
local-port=54
#记录query 日志
query-logging=yes

请把api-keylocal-portwebserver-port修改为自己所需的值

打通内外网

在这一部分开始之前,我需要介绍一下我的网络拓展:

graph TD    %% ISP 到家庭网络    ISP((ISP))    WIFI[小米路由器
192.168.31.0/24]    %% 局域网    NB[笔记本 
192.168.31.10]    PVE[PVE 宿主机
192.168.31.210]    %% PVE 内部网络    SUBNET1[[内部网络
10.22.33.0/24]]    VM1["虚拟机1(核心)
10.22.33.200"]    VM2["虚拟机2(Docker服务)"]    LXC1["LXC 1"]    LXC2["LXC 2"]    %% ZeroTier 网络    ZT[[ZeroTier 网络
192.168.192.0/24]]    %% 拓扑关系    ISP --> WIFI    WIFI --> NB    WIFI --> PVE    PVE --> SUBNET1    SUBNET1 --> VM1    SUBNET1 --> VM2    SUBNET1 --> LXC1    SUBNET1 --> LXC2    VM1 <--> ZT

本地访问

在前面配置中,我们已经在 NAT 环境下新增了一层虚拟网络

接下来要解决的问题是:如何让 192.168.31.0/24 网段内的设备能够访问 10.22.33.0/24 网段的虚拟机和 LXC 容器?

静态路由

什么是路由?

网络路由是选择一个或多个网络上的路径的过程。路由原理可以应用于从电话网络到公共交通的任何类型的网络。在诸如互联网等数据包交换网络中,路由选择互联网协议 (IP) 数据包从其起点到目的地的路径。这些互联网路由决定由称为路由器的专用网络硬件做出。

为了实现这个需求,需要在自己的路由器里添加一条静态路由:

目标地址10.22.33.0网关为 PVE 的 IP 192.168.31.210掩码255.255.255.0

小米 AX3000T 在开启 ssh 服务后,编辑 /etc/config/network和防火墙 /etc/config/firewall

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# /etc/config/network
# 添加新的静态路由,格式如下
config route
        option interface 'lan'
        option target '10.22.33.0'
        option netmask '255.255.255.0'
        option gateway '192.168.31.210'
        
# /etc/config/network
# 请看准是否为 defaults 部分的防火墙配置!
# 将 forward 改为 ACCEPT
config defaults
        option syn_flood '0'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        ...

请自行查找其他路由器添加静态路由的方法

生效后,Linux 效果如下

1
2
3
user@archlinux$ route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.22.33.0      192.168.31.210  255.255.255.0   UG    5000   0        0 wlp9s0

这样我们就实现了 192.168.31.0/24 网段访问 10.22.33.0/24 网段

graph LR    id1["笔记本 192.168.31.10"] --"ping 10.22.33.200"---> id2["路由器 192.168.31.1"] --"下一跳192.168.31.210"-->id3["PVE .31.210和.33.1"]    id3 --获得请求--> id4["虚拟机1(核心)10.22.33.200"] ---> id1

异地组网

异地组网可选的方案有很多,常用的有 TailscaleZeroTier,在此我选择功能更少的 ZeroTier

Tailscale 有很多独特的功能,其中就有内网 HTTPS,但这个功能不够强大,而且和下面配置的 Nginx 反代服务重复了

上面提到,我的 ZeroTier 是安装在 虚拟机1(核心)里的,这就意味着 当我的手机连接到 ZeroTier 后,只能访问 192.168.192.31这个 由 ZT 提供的 IP,并不能访问 10.22.33.0/24 网段

解决问题的办法其实很简单,在 ZT 的后台添加一条新的静态路由,但这次的网关是 ZT 提供给虚拟机1(核心)的 IP

ZT添加路由
ZT添加路由

但此时,我们还并不能 ping 通,因为从 ZT 发来的请求,PVE 接收到后并不知道返回的路由

因此需要在 PVE 宿主机上添加一条路由:

目标地址为 192.168.192.0/24 (ZeroTier 的网段),网关为 10.22.33.200(虚拟机 1 的 IP)

#

添加为系统服务,自动添加和删除

1
2
3
4
5
6
7
8
9
10
11
12
13
[Unit]
Description=Static route for Zerotier
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/sbin/ip route add 192.168.192.0/24 via 10.22.33.200
ExecStop=/sbin/ip route del 192.168.192.0/24 via 10.22.33.200
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

最后,启用 虚拟机1(核心)的转发功能:

#

至此,在本地或使用 ZeroTier 时,都可以访问 10.22.33.0/24 网段的设备了

这么做也避免了给同一个域名添加两个不同网段 IP 的麻烦,方便维护

外网访问

当下,直接开放端口非 80/443 端口虽可以实现,但这么做容易暴露自己的 IP

一个解决办法是使用 CDN 回源,但免费版 Cloudflre 的 Origin Rule 只能有三条回源规则,数量有限还需要手动维护 IP 记录

那还有没有什么别的办法呢?

有的。那就是赛博活佛 Cloudflare 的 Zero Trust,Zero Trust 中的隧道 功能可以把内网服务公布到互联网上:

CF隧道
CF隧道

cloudflared 的安装和设置 在创建完隧道后有详细的介绍,不再赘述

各种服务

以下是我在内外网打通后部署的一些服务,属于扩展内容,可按需参考

略去了很多设置过程

基础服务

上文曾多次提到虚拟机1(核心),这台虚拟机承担了我内网环境的 Nginx 反代、DNS 服务器和 ZeroTier 组网

Nginx 反代

我尝试过 Nginx Proxy Manager 的网页管理,但决定手动管理,因其可选项比较少,不能灵活配置

Debian 系统可以直接安装 nginx 包和 nginx-full

#

在安装完后,按照下面的反代模板添加配置文件即可:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
server {
    listen 8443 ssl;
    server_name pve.vconet.top;

    ssl_certificate /root/.acme.sh/*.vconet.top_ecc/fullchain.cer;
    ssl_certificate_key /root/.acme.sh/*.vconet.top_ecc/*.vconet.top.key;
    add_header Strict-Transport-Security "max-age=31536000;";

    proxy_redirect off;
    location / {
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass https://10.22.33.1:8006;
        proxy_buffering off;
        client_max_body_size 0;
        proxy_connect_timeout  3600s;
        proxy_read_timeout  3600s;
        proxy_send_timeout  3600s;
        send_timeout  3600s;
    }
}

我在这里使用8443而非443端口的原因在下面 Forgejo 部分有解释

DNS 服务器与 PVE 整合

在前面,我配置好了 Powerdns,下面是 PVE 启用 DNS 插件,实现自动添加虚拟机解析记录和 PTR 记录的方法

添加 DNS 插件

转到 数据中心 ➡️ SDN ➡️ 选项 ➡️ 添加

填写对应的 Powerdns API 地址和 API 密钥

补全 Simple 的信息

转到 数据中心 ➡️ SDN ➡️ 区域 ➡️ 添加 ➡️ Simple
勾选高级,补全下面的信息

在填写DNS 域之前,请在 powerdns 内创建此域

Docker 服务

使用 Docker 是因为方便更新和管理

自动追番

Emby

Emby 的 docker-compose 如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
services:
  emby:
    container_name: emby
    image: emby/embyserver
    restart: always
    devices:
     - /dev/dri:/dev/dri # 挂载显卡用于转码
    ports:
      - 8096:8096
      - 1900:1900/udp
    volumes:
      - ./emby:/config
      - /mnt/emby:/mnt/emby
  fontinass:
    image: riderlty/fontinass:noproxy
    container_name: fontinass
    environment:
      - PUID=100000
      - PGID=100000
      - EMBY_SERVER_URL=http://emby:8096
    ports:
      - 8011:8011
    volumes:
      - ./fonts:/fonts
      - ./fiadata:/data
    depends_on:
      - emby

为了实现 Emby 观看番剧时,自动加载 ass 字幕所需的字体,避免本地安装 需要用到 fontInAss 并使用下面的 Nginx 反代

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
server {
    listen 8012; #新的Emby访问端口
    gzip on;
    gzip_http_version 1.0;
    gzip_comp_level 1;
    gzip_types text/x-ssa;

    location ~ /(socket|embywebsocket) {
        proxy_pass $EMBY_SERVER_URL;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Protocol $scheme;
        proxy_set_header X-Forwarded-Host $http_host;
    }

    location ~* /videos/(.*)/Subtitles/(.*)/Stream.vtt  {
        #适配emby网页播放SRT字幕,302直链时避免冲突
        proxy_pass $EMBY_SERVER_URL;
    }

    location ~* /videos/(.*)/Subtitles/(.*)/(Stream.ass|Stream.srt|Stream) {
        #仅匹配ass与srt字幕文件,Stream适配infuse
        #修改为你的fontinass服务器地址
        proxy_pass http://127.0.0.1:8011;
    }
     
    location ~* /web/bower_components/(.*)/subtitles-octopus.js {
        #修改为你的fontinass服务器地址
        #如不需要修改web端渲染,可删除此location
        proxy_pass http://127.0.0.1:8011;
    }

    location ~* /web/modules/htmlvideoplayer/plugin.js {
        #修改为你的fontinass服务器地址
        #仅当需要web渲染,且通过https访问时,才需启用此location,否则可删除
        #见 https://github.com/RiderLty/fontInAss/issues/43
        proxy_pass http://127.0.0.1:8011;
    }

    location / {
        #修改为你的Emby/Jellyfin服务器地址
        proxy_pass $EMBY_SERVER_URL;
    }
}
下载器

使用 qBittorrentEEPeerBanHelper

PeerBanHelper 用于阻止迅雷等吸血客户端

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
services:
  qbittorrentee:
    image: superng6/qbittorrentee:latest
    container_name: qbittorrentee
    environment:
      - TZ=Asia/Shanghai
      - WEBUIPORT=8080
      - ENABLE_DOWNLOADS_PERM_FIX=true
    volumes:
      - ./qbitcnf:/config
      - /mnt/emby:/downloads/
    ports:
      - 6881:6881
      - 6881:6881/udp
      - 8080:8080
    restart: always
  peerbanhelper:
    image: ghostchu/peerbanhelper:latest
    restart: unless-stopped
    container_name: pbh
    volumes:
      - ./pbhcnf:/app/data
    ports:
      - 9898:9898
    environment:
      - TZ=Asia/Shanghai
    depends_on:
      - qbittorrentee
ASS自动追番

AniRSS 的使用,请阅读官方文档

Forgejo 反代下同域名 ssh

Git 服务器我选择使用 Gitea 的 fork:Forgejo
Forgejo 的安装 Gitea/Forgejo 都有详细的文档,可自行搜索

在这一节中,我需要解决一个问题:由于 Nginx 反代服务器和 Forgejo 并不在同一台虚拟机上,默认情况下我必须为 SSH 使用不同的域名。

经过探索,我发现可以通过 Nginx 的 stream 模块,在同一域名下根据流量类型分别提供 HTTP 反代和 SSH 反代。

nginx.confhttp 段前添加这样一段:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
stream {
    upstream https_backend {
        server 127.0.0.1:8443;  # 所有HTTPS流量转发到8443
    }
    
    upstream ssh_backend {
        server 10.22.33.203:22;  # SSH流量转发到目标服务器
    }
    
    # 基于协议检测进行流量分发
    # SSL握手包会被检测为HTTPS,非SSL流量被认为是SSH
    map $ssl_preread_protocol $upstream {
        "" ssh_backend;         # 非SSL流量 -> SSH
        ~. https_backend; # SSL流量 -> HTTPS
    }
    
    server {
        listen 443;
        ssl_preread on;
        proxy_pass $upstream;
        #proxy_timeout 10s;
        #proxy_responses 1;
        error_log /var/log/nginx/stream.log;
    }
}

这也是我在前面选择使用 8443 端口的原因

虽然和使用单独的域名比,这个方法略显麻烦,但在此记录这个解决办法

结尾

至此,我的 NEC8 小主机在 PVE 上的内外网打通和基础服务搭建就告一段落了。希望本文能为有类似需求的朋友提供一些参考

]]> https://blog.vconet.top/archives/nec-8-pve/ 2025-09-14T11:41:53.000Z 前言

本文记录了我在 NEC 8代小主机上折腾 PVE 的过程,也希望能为想搭建类似内外网环境的朋友提供一些思路

]]> NEC 8小主机:打通 PVE 内外网 2025-09-14T11:41:53.000Z VConet 安装驱动

上游 freedesktopubuntulibfprint 都不支持我手上这个27C6:5584 指纹识别器,不过万幸 Github 上有一个名为 “Goodix Fingerprint Linux Development ” 的组织,致力于为 Linux 提供汇顶指纹芯片方案的驱动支持

汇顶 Linux 支持情况

下表是支持情况,来自该组织的 Discord

PID 支持状态
⁠5042 🅾️
⁠5110
⁠5117 🔄
⁠5120
⁠5130
⁠5201 🅾️
⁠521d
⁠5301 🅾️
⁠530c
⁠532d 🔄
⁠5335 🔄
⁠533c
⁠5381 🅾️
⁠5385 🔄
⁠538c
⁠538d
⁠5395 🔄
⁠550a
⁠5503 🅾️
⁠5584
⁠55a2 🔄
⁠55a4
⁠55b4
⁠5740 🅾️
⁠581a 🅾️
3200 🆘
3288 🆘
5120 🔄
5187 🅾️
51a0 🔄
51b7 🅾️

🅾️:闭源驱动 / ✅:社区驱动(unstable)/ 🔄:目前可获取指纹图像,待进一步支持 libfprint / 🆘:不支持

在此,仅讨论PID为 55x4 的三个指纹识别器:55b455a4和我的5584

太长不看版:
Debian/ArchLinux 用户可以使用我重新打包的 libfprint
Debian 用户还需要安装 libopencv-features2d406 软件包,Ubuntu 需要 libopencv-features2d406t64
我将 Debian 包的版本号改为了 1.99.9,我对 ArchLinux 的包进行了 GPG 签名,请自行导入公钥

对于前两者,ArchLinux 用户可以直接安装 libfprint-goodixtls-55x4 包,无需更改代码,而对于 5584 则需要修改该仓库里的libfprint/drivers/goodixtls/goodix55x4.h头文件,添加 5584 的 PID 和 VID:

1
2
3
4
5
6
static const FpIdEntry id_table[] = {
    {.vid = 0x27c6, .pid = 0x55b4},
    {.vid = 0x27c6, .pid = 0x55a4},
    {.vid = 0x27c6, .pid = 0x5584},
    {.vid = 0, .pid = 0, .driver_data = 0},
};

注意:目前并不支持同时在 Windows 和 Linux 下同时使用,因为 Windows 会更改指纹识别器的 PSK,详细请看 ArchWiki 的注释

刷写固件

三个型号的指纹识别器在使用前,都需要刷写固件:

1
2
3
4
5
6
7
8
9
10
# 切换root用户,因为后续刷写固件需要root权限
su
# 克隆仓库
git clone https://github.com/goodix-fp-linux-dev/goodix-fp-dump
# 创建venv,避免污染系统python库
cd goodix-fp-dump
python -m venv venv
source venv/bin/activate
# 安装依赖
pip install -r requirements.txt

55b4、55a4

对于 55b455a4,请直接运行对应的 run_55XX.py

1
python3 run_55XX.py

5584

对于 5584,自行创建一个 .py 文件并运行,其内容如下:

1
2
import driver_55x4
driver_55x4.main(0x5584)

当输出 mcu_switch_to_fdt_down(XXX, True) 的时候,此时按下指纹识别器,如一切正常则会输出

1
2
mcu_get_image()
image: 88 x 108, length: 9504

并在当前目录下生成 fingerprint.pgm 文件,该文件即刚才采集到的指纹,图片样式如下:

至此,指纹已基本可用。而 fprint 的使用方法及如何在系统内使用指纹,请查看 ArchWiki - fprint,里面有详细介绍

Bitwarden

Bitwarden 桌面版在合并了 #4586 Unix biometrics unlock via Polkit 之后,可以通过 polkit 使用系统身份验证,由 polkit 发起的身份验证,则可以通过配置 pam 实现指纹解锁

pam 规则

默认情况下,Archlinux 下的 polkit 并不会将启用自己的 pam 规则,需要自己手动启用:

1
sudo cp /usr/lib/pam.d/polkit-1 /etc/pam.d/

并修改:

1
2
# 在顶端添加如下内容
authsufficient  pam_fprintd.so

如果你想同时使用指纹或密码,请从 AUR 安装 pam-fprint-grosshack

对于一些不支持输入空密码的身份验证,如 Gnome 的 polkit 代理,也请安装该软件包并使用下面的规则

1
2
# auth            sufficient      pam_fprintd_grosshack.so
# auth            sufficient      pam_unix.so try_first_pass nullok

polkit 规则

目前,Bitwarden 并不会自动添加所需的 polkt 规则,需要手动将下面的内容添加到 /usr/share/polkit-1/actions/com.bitwarden.Bitwarden.policy

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
 "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd">

<policyconfig>
    <action id="com.bitwarden.Bitwarden.unlock">
      <description>Unlock Bitwarden</description>
      <message>Authenticate to unlock Bitwarden</message>
      <defaults>
        <allow_any>no</allow_any>
        <allow_inactive>no</allow_inactive>
        <allow_active>auth_self</allow_active>
      </defaults>
    </action>
</policyconfig>

Bitwarden 设置

仅讨论 KDE/Gnome

在使用 Bitwarden 提供的 使用系统身份验证解锁 功能前,请确保你的桌面环境已经为你启用了自己的 密码库,否则 Bitwarden 的设置里不会有 使用系统身份验证解锁 选项

KDE 和 Gnome 下分别为 Kwallet & Gnome/keyring

KDE 的 Kwallet 有可能不会激活自己的 D-Bus 服务,需要手动干预

在启用 kwallet/gnome-keyring 之后,便可打开 Bitwarden,勾选 使用系统身份验证解锁

下次解锁密码库时,便可使用指纹解锁

“使用系统身份验证解锁” 不见了?

如果使用 KDE + kwallet ,且在终端启动 Bitwarden时,报错中提到了 Credential Storage Listener

1
2
3
4
5
6
› [Credential Storage Listener] setPassword failed Error: File backend error Portal communication failed Portal request failed: org.freedesktop.zbus.Error: Portal operation not allowed: Unable to open /proc/125191/root
falling back to get legacy Bitwarden XXXX_accessTokenKey
› SetAccessToken: storing encrypted access token in secure storage failed. Falling back to disk storage. Error: New Access token key unable to be retrieved from secure storage.
› [Credential Storage Listener] setPassword failed Error: File backend error Portal communication failed Portal request failed: org.freedesktop.zbus.Error: Portal operation not allowed: Unable to open /proc/125191/root
falling back to get legacy Bitwarden XXXX_refreshToken
› SetRefreshToken: storing refresh token in secure storage failed. Falling back to disk storage. Error: Refresh token failed to save to secure storage.

此问题是由 xdg-desktop-portalkwallet 引起的,貌似当前 KDE 的 xdg portal 支持有问题,请在启动 Bitwarden 时,自行添加环境变量,绕过 xdg,使 Bitwarden 直接访问 Kwallet:

1
GTK_USE_PORTAL=0
]]> https://blog.vconet.top/archives/goodix-fp-reader/ 2025-08-22T12:18:00.000Z 记录Linux下使用咸鱼铝合金指纹识别器 Linux下使用咸鱼铝合金指纹识别器 2025-08-22T12:18:00.000Z VConet 前情提要

上一篇 Archboot 实现 Secure Boot 自动配置的办法,觉得还是不够简单,而且我现在也不需要通过 Grub 引导 Windows 和其他系统,遂有本文。

正文

在现有系统上抛弃Grub,拥抱统一内核映像(UKI)并启用 Secure Boot

我所使用的内核为 linux-zen,下面的配置请注意修改

修改内核命令行参数

创建/etc/kernel/cmdline如下:

1
root=UUID=系统的分区UUID rw splash loglevel=3

注:Btrfs分区可能需要添加 rootflags=subvol=XXX 的挂载参数,可以在grub生成的文件中寻找

修改 mkinitcpio 预设

编辑/etc/mkinitcpio.d/linux-zen.preset,取消 “PRESET_image=XXX” “PRESET_uki=XXX”的注释,并且修改存储位置,保存到 EFI 分区内

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# mkinitcpio preset file for the 'linux-zen' package

ALL_config="/etc/mkinitcpio.conf"
ALL_kver="/boot/vmlinuz-linux-zen"

PRESETS=('default' 'fallback')

###我的EFI分区挂载在/boot下,故作此修改###
#default_config="/etc/mkinitcpio.conf"
#default_image="/boot/initramfs-linux-zen.img"
default_uki="/boot/EFI/Linux/arch-linux-zen.efi"
#default_options="--splash /usr/share/systemd/bootctl/splash-arch.bmp"

#fallback_config="/etc/mkinitcpio.conf"
#fallback_image="/boot/initramfs-linux-zen-fallback.img"
fallback_uki="/boot/EFI/Linux/arch-linux-zen-fallback.efi"
fallback_options="-S autodetect"

构建 UKI

确保 EFI 目录已挂载,运行:

1
2
mkdir -p EFI_MOUNT_POINT/EFI/Linux
mkinitcpio -p linux-zen

添加引导

遵循一切从简的理念,使用 efibootmgr 添加引导

1
2
3
4
5
efibootmgr --create \
    -d /dev/nvmeXXX -p 1 \
    --label "Arch Linux" \
    --loader "EFI/Linux/arch-linux-zen.efi"
#nvmeXXX EFI分区

签名 UKI

如果此时已经配置好 sbctl 和 Secure Boot,可直接通过 sbctl sign -s /EFI_MOUNT_POINT/EFI/Linux/arch-linux-zen.efi 结束本文

至此,您可以抛弃 Grub 了,享受快人一步的开机😏

通过以下命令删除不再使用的自动签名

1
sbctl remove-file /boot/grub/x86_64-efi/grub.efi

如果还没有安装 sbctl,请继续阅读

设置 Secure Boot

进入设备 BIOS,将 Secure Boot 进入设置模式 Setup Mode

进入Archlinux,安装 sbctl 包,运行

1
2
3
4
sbctl enroll-keys -m
sbctl sign -s /EFI_MOUNT_POINT/EFI/Linux/arch-linux-zen.efi
# 你也许还需要签名这个(Windows)
sbctl sign -s /EFI_MOUNT_POINT/EFI/Boot/bootx64.efi

重启至 BIOS 开启 Secure Boot

至此,UKI + sbctl 最简单 Secure Boot 设置就大功告成了

]]> https://blog.vconet.top/archives/uki-sbctl-secureboot/ 2025-02-04T14:38:00.000Z 前情提要

上一篇 Archboot 实现 Secure Boot 自动配置的办法,觉得还是不够简单,而且我现在也不需要通过 Grub 引导 Windows 和其他系统,遂有本文。

]]> UKI+sbctl:启用 Secure Boot 最简单的方法 2025-02-04T14:38:00.000Z VConet 网络要求

首先安装docker,并确保服务器的25端口开放,可使用telnet检查

1
telnet smtp.163.com 25

若出现以下信息,证明25端口可用

1
2
3
4
Trying 111.124.203.45...
Connected to smtp163.mail.ntes53.netease.com.
Escape character is '^]'.
220 163.com Anti-spam GT for Coremail System (163com[20141201])

添加DNS记录

  • 添加A/AAAA记录,解析mail.example.com

安装docker

详细教程请参考Docker CE 软件仓库

生成Mailu配置文件

前往Mailu Setup,根据需求更改

注意:

  • 因为我们要用到Caddy的反代,所以不需要Mailu自动获取Let's Encrypt的证书,需要手动配置,因此Choose how you wish to handle security只能选择mail
  • Enable Web email client选择一个顺眼的,默认不使用,其他功能按需启用
  • Setp 3内,IPv4 listen address请填入本机真实IP,可以是内网IP(一般服务器都有)

修改配置文件

修改Mailu配置

配置完成后点击Setup Mailu,将docker-compose.ymlmailu.env下载到本地进行修改

对于docker-compose.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
# This file is auto-generated by the Mailu configuration wizard.
# Please read the documentation before attempting any change.
# Generated for compose flavor

services:

  # External dependencies
  redis:
    image: redis:alpine
    restart: always
    volumes:
      - "/mailu/redis:/data"
    depends_on:
      - resolver
    dns:
      - 192.168.203.254

  # Core services
  front:
    image: ghcr.nju.edu.cn/mailu/${DOCKER_PREFIX:-}nginx:${MAILU_VERSION:-2024.06}
    restart: always
    env_file: mailu.env
    logging:
      driver: journald
      options:
        tag: mailu-front
    ports:
    
     #只要不占用Caddy的80/443端口即可!  
      - "172..10.0.1:8080:80"
      - "172..10.0.1:4433:443"
      - "172..10.0.1:25:25"
      - "172..10.0.1:465:465"
      - "172..10.0.1:587:587"
      - "172..10.0.1:110:110"
      - "172..10.0.1:995:995"
      - "172..10.0.1:143:143"
      - "172..10.0.1:993:993"
      - "172..10.0.1:4190:4190"
    networks:
      - default
      - webmail
      - radicale
    volumes:
      - "/mailu/certs:/certs"
      - "/mailu/overrides/nginx:/overrides:ro"
    depends_on:
      - resolver
    dns:
      - 192.168.203.254
......

networks:
  default:
    driver: bridge
    ipam:
      driver: default
      config:
        - subnet: 192.168.203.0/24
  radicale:
    driver: bridge
  webmail:
    driver: bridge
  oletools:
    driver: bridge
    internal: true

只需要在front:里修改80和443的端口即可

对于mailu.env,修改以下内容,防止Caddy反代出现502错误 **!很重要!**折腾了一晚上才搞明白

1
2
3
REAL_IP_HEADER=X-Real-IP
REAL_IP_FROM=172.10.0.1#你的IP地址
TLS_FLAVOR=mail

Caddy反代配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
mail.example.com {
        encode gzip zstd
        tls {
                protocols tls1.3
        }

        header {
                Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" # HSTS
                Referrer-Policy strict-origin-when-cross-origin
                X-Permitted-Cross-Domain-Policies "none"
                X-Frame-Options SAMEORIGIN
                X-Content-Type-Options nosniff
                X-XSS-Protection "1; mode=block"
                -Server
        }

        reverse_proxy 172.16.0.3:8080 #请自行修改
}

接下来,重启Caddy,让Caddy自动获取证书

Caddy 的默认证书目录为 /var/lib/caddy/.local/share/caddy/certificates/

  • mail.exmaple.com.crt对应/mailu/certs/cert.pem
  • mail.exmaple.com.key对应/mailu/certs/key.pem

运行Mailu

上传配置,启动docker

1
docker-compose -p mailu up -d

创建管理员账户

1
docker-compose -p mailu exec admin flask mailu admin hi MAIL.EXAMPLE.COM 'PASSWORD'

请修改域名和密码后再运行

配置记录…

下面是更为详细、完整的配置:

Mailu 搭建邮局的不完全指南 - Sanae

安装和配置电子邮件服务端软件 Mailu - CTmH

]]> https://blog.vconet.top/archives/mailu-with-caddy/ 2024-08-14T03:24:00.000Z 网络要求

首先安装docker,并确保服务器的25端口开放,可使用telnet检查

]]> Caddy反向代理搭建Mailu邮局踩坑记录 2024-08-14T03:24:00.000Z VConet

已有更简单的方法,此文仅作参考

Archboot的启动

MOK导入hash

正常情况下,会遇到下面的错误:

按下回车,进入如图界面:

选择Enroll hash from disk

选择以下文件:

  • ARCHBOOT/EFI/BOOT/内的所有64位efi
  • ARCHBOOT/boot/vmlinuz-x86_64 !请一定导入导入此文件!

安装前配置

1. 系统时间&硬盘分区

1
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f

使用WinPE提前预留空间并随意创建一个任何格式的分区,方便之后使用。

这一步请在win系统下完成

2. 重启至Archboot

出现下图界面时,按下CTRL-C进入bash

3. 更新时间

1
2
timedatectl set-ntp true
timedatectl status

4. 更改镜像源

编辑/etc/pacman.d/mirrorlist,保留一个国内镜像即可。

1
2
3
4
Server = https://mirrors.tuna.tsinghua.edu.cn/archlinux/$repo/os/$arch
#Server = https://mirrors.ustc.edu.cn/archlinux/$repo/os/$arch
#Server = https://repo.huaweicloud.com/archlinux/$repo/os/$arch 
...

5. 分区(Btrfs)

5.1 格式化分区

nvmeYYY为Arch分区,nvmeXXX为EFI分区。

1
2
mkfs.btrfs -L Arch /dev/nvmeYYY
mkfs.vfat -F32 /dev/nvmeXXX

5.2 挂载并创建子卷

注:Archboot的安装程序识别的挂载点是/mnt/install

1
2
3
4
mount -t btrfs -o compress=zstd /dev/nvmeYYY /mnt/install
btrfs subvolume create /mnt/install/@
btrfs subvolume create /mnt/install/@home
btrfs subvolume create /mnt/install/@swap

5.3 创建挂载点

1
2
3
4
umount -R /mnt/install
mount -t btrfs -o subvol=/@ /mnt/install
mkdir -p /mnt/install/{boot,swap,home}
umount -R /mnt/install

请务必卸载分区,稍后使用Archboot的安装程序进行挂载,避免出现grub相关错误!

5.4 使用Archboot的安装程序挂载分区

输入setup进入安装程序,选择1. Prepare Storage Device

选择`4. Set Filesystem Mountpoints`

挂载分区,但先不挂载swap分区

选择`Root Partition`

是否格式化,选择No

选择`@`子卷

选择你需要的压缩算法。

选择ESP分区

选择`/boot`

挂载额外分区,过程参考挂载root分区,最后选择DONE,完成挂载

生成fstab:

1
genfstab -U /mnt/install >> /mnt/install/etc/fstab

6. 安装系统

6.1 安装基本包

你既可以使用Archboot的安装程序2. Install Packages,也可以在新的tty窗口自行安装

1
2
3
4
pacstrap -K /mnt/install base base-devel linux-zen linux-zen-headers btrfs-progs neovim networkmanager terminus-font intel-ucode polkit
#AMD请用amd-ucode
#Archboot默认安装以下包 base linux polkit btrfs-progs dosfstools terminus-font linux-firmware
#这里我自行安装(因为我要用linux-zen)

6.2 配置

可通过Archboot的安装程序进行,也可通过arch-chroot /mnt/install进行

自行配置和各文件样例请移步 archlinux基础安装

MKINITCPIO EARLY USERSPACE安装程序提供BusyboxSystemd,建议选择Systemd

安装引导

借助Archboot的安装程序,选择4. Install BootLoader

**注:当你使用linux-zen时,你需要在下面的grub配置中添加`-zen`后缀,否则无法正常引导**他们分别是:`/vmlinuz-linux`和`/initramfs-linux`,修改为`/vmlinuz-linux-zen`和`/initramfs-linux-zen`

确认秘钥保存位置

自定义CN名

输入MOK导入时需要的密码(简单即可),重复输入两遍

**最后一步:**进入新tty,编辑`/etc/pacman.d/hooks/999-sign_kernel_for_secureboot.hook`更改`Target = linux`为你所用的内核,如`Target = linux-zen`,并重新安装:
1
pacman -S linux-zen
完成kernel签名,重启,进入MOK,导入秘钥:
大功告成:

后续

请自行参阅桌面环境与常用应用安装和我的文章Linux实用建议

]]> https://blog.vconet.top/archives/arch-secure-boot-by-archboot/ 2024-07-23T02:26:00.000Z 借助Archboot安装Archlinux并开启安全启动 借助Archboot安装Archlinux并开启安全启动 2024-07-23T02:26:00.000Z VConet 这是一篇水文~ 记录一下 Linux 下使用手绘板的自定义按键和滚轮

步骤如下

  1. 前往 GAOMON Global, 在-- System --中选择linux
  2. 找到最近更新的版本, 选择tar.xz
  1. 解压, 并安装
    sudo sh ./install.sh
  1. 重启
  1. 卸载
    sudo sh ./uninstall.sh
]]> https://blog.vconet.top/archives/gaomon-linux-tablet/ 2024-06-26T03:07:00.000Z 这是一篇水文~ 记录一下 Linux 下使用手绘板的自定义按键和滚轮

]]> 高漫M6的Linux版GaomonTablet 2024-06-26T03:07:00.000Z VConet MinGit安装的排错记录
  • 安装后运行报错
1
2
3
4
5
fatal: exceeded maximum include depth (10) while including
        C:/Program Files/Git/etc/gitconfig
from
        C:/Program Files/Git/etc/gitconfig
This might be due to circular includes.

编辑C:/Program Files/Git/etc/gitconfig删除[include]

  • git push报错
1
schannel: next InitializeSecurityContext failed: CRYPT_E_NO_REVOCATION_CHECK (0x80092012)

编辑C:/Program Files/Git/etc/gitconfig, 添加:

1
2
[http]
  sslbackend = openssl
  • 本地https证书
    报错SSL certificate problem: unable to get local issuer certificate, 解决办法:
1
git config --global http.sslCAInfo "/path/to/certificate.crt"
  • git安全警告
    报错detected dubious ownership in repository...
1
git config --global --add safe.directory /path/to/your/project
]]> https://blog.vconet.top/archives/mingit-ins-problem/ 2024-06-22T12:20:00.000Z MinGit安装的排错记录
  • 安装后运行报错
1
2
3
4
5
fatal: exceeded maximum include depth (10) while including
        C:/Program Files/Git/etc/gitconfig
from
        C:/Program Files/Git/etc/gitconfig
This might be due to circular includes.
]]> MinGit安装 2024-06-22T12:20:00.000Z VConet Git配置

由于国内GFW的存在,在不用魔法的情况下,很难流畅访问Github

同时,在进行git clone时经常失败,所以需要给git做一点小配置,走ssh而不是默认的http

  1. 编辑~/.gitconfig
1
2
3
4
5
6
7
8
[url "git@github.com:"]
    insteadOf = https://github.com/
    insteadOf = https://www.github.com/
    insteadOf = http://github.com/
    insteadOf = git@github.com:
[user]
    name = #你的用户名#
    email = #你的邮箱#

添加以上配置

  1. 配置ssh key

  2. 终端里输入ssh-keygen -t ed25519 -C "#你的邮箱#"一路默认回车即可[^1]

  3. 打开~/.ssh/id_ed25519.pub,打开Github SSH GPG keys配置添加刚刚复制的key[^2]

测试:在终端里输入ssh -T git@github.com,得到以下输出即为成功:

1
Hi #你的用户名#! You've successfully authenticated, but GitHub does not provide shell access.

软件

音视频

  • VLC/mpv
  • QQ/网易云音乐/Yes Play Music/Spotify

文档

  • pdf/epub等:Okular
  • Office:WPSLibreoffice

    对于WPS中设置为粗体的字体糊成一团的问题,请下载旧版freetype,如2.13.0[^3]
    Archlinux用户可安装freetype2-wps

  • P图:GIMP或是Photoshop
  • 看图:Gwenview
  • 截图:flameshot

其他

更好的终端[^4]

  1. 安装zsh,通过chsh更改默认shell为/usr/bin/zsh

    Konsole需要手动设置更改shell

  2. 安装zim

    curl -fsSL https://raw.githubusercontent.com/zimfw/install/master/install.zsh | zsh

    编辑~/.zimrc

    1
    2
    #添加下面的插件
    zmodule romkatv/powerlevel10k

  3. 输入zimfw install

KDE 半中半英[^5]

编辑~/.config/plasma-localerc并修改下面两项

1
2
3
4
5
[Formats]
LANG=zh_CN.UTF-8

[Translations]
LANGUAGE=zh_CN:en_US

系统字体小修小补

你会发现上面的powerlevel10k安装后,字体显示很怪,需要我们配置一下字体

请参考:

NVdia驱动安装,版本不一,自行搜索

有困难可以看看Arch Wiki

]]> https://blog.vconet.top/archives/linux-advise/ 2024-06-21T01:49:00.000Z Git配置

由于国内GFW的存在,在不用魔法的情况下,很难流畅访问Github

同时,在进行git clone时经常失败,所以需要给git做一点小配置,走ssh而不是默认的http

]]> Linux 实用建议 2024-06-21T01:49:00.000Z