谁不喜欢 GUI 呢？简单的把代理地址填到 GoAgentX 里面，启动即可。系统就会自动生成本地的代理端口，全功能的噢，不会有各种免费方案的缺陷。期待 @ohdarling88 牛牛更新完 1.2 后推出个 OEM 版本，可以透过API自动获取私家代理的地址，那么就连填地址都不用了。

Stunnel 是个好东西，很小巧，它的原理是把服务器端的 http 代理加密成 https 代理，然后在本地也用 stunnel 把 https 代理转成 http 代理，这样在本地就有了一个 http 代理可用。goagent限制太多，自己搭建的服务器就是得花钱和浪费点时间。不过值得，相信我。

服务器端搭建：

1，http代理，用squid、polipo或者tinyporxy随便搞个http代理出来，此时这个代理是http的，直接用会被rst。
2，安装 stunnel ，配置大概如下，先用 openssl 产生一个证书：

openssl req -new -x509 -days 365 -nodes -out /etc/stunnel.pem -keyout /etc/stunnel.pem

cert = /etc/stunnel.pem
chroot = /var/run/stunnel4/
pid = /stunnel.pid
client = no
sslVersion = SSLv3
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
socket = l:SO_LINGER=1:1
socket = r:SO_LINGER=1:1

[http]
accept = 8888 #stunnel的端口
connect = 127.0.0.1:3128 #本地http端口

然后启动 stunnel，服务器端就搭建好了。但此时代理是https的，必须在本地做好了 stunnel 客户端转成 http 才行。

本地端：

本地端其实超级简单了。Mac上直接用 macport，brew 安装个 stunnel 即可。如果不便，直接下我的编译好的，在这。下载后 chmod +x stunnel

写一个配置文件：

client = yes #扮演客户端啦
pid=/var/run/stunnel.pid
debug = 7
foreground = no #是否前台运行还是后台运行
sslVersion = SSLv3
verify=0
[proxy]
accept = 127.0.0.1:9999
connect = xxx.xxx.xxx.xxx:8888

然后启动 stunnel 即可，执行 ./stunnel stunnel.conf

这样，在本地就有一个 9999 端口的 http 代理，世界清净了，没有 rst 和偷窥。你懂的。

在一个神秘的路由器上刷好 openwrt 后在 gui 后台网页安装好 vpnc 这个包，简直没难度。ssh 进路由器，因为压根 vpnc 就没 gui，进去后创建个 vpnc 的 profile：

/etc/vpnc/config.conf 

IPSec gateway v4addr
IPSec ID ipsecclient
IPSec secret cisco123
Xauth username YOURUSERNAME
Xauth password YOURPASSWORD

然后紧张的时候就来了。。。拨号，执行： vpnc /etc/vpnc/config.conf

如无意外，VPN的 banner 会显示出来，那样 VPN 就算连好了。你可以试试先 ping 下 twitter.com 这些不和谐的网站看看。

如果你ping通了，恭喜你。剩下的基本没啥了。无非就是处理下 dns 、死亡检测和国内路由了。dns的trick在于，要让每次vpn连接后自动更新 /tmp/resolv.conf.auto，否则你懂的，域名会被污染。解决这问题去把 /etc/vpnc/vpnc-script 里的 /etc/resolv.conf 全部替换成 /tmp/resolv.conf.auto 即可。

及至此，还有死亡检测要处理，如果 VPN 断了必须让它自动连接。我的做法很简单，grep ifconfig 如果没有 tun0 就启动 vpnc。比较暴力，反正我平时也不用翻墙路由器，不用细究。当然你可以试试写更靠谱的脚本，写完了记得分享给噢。。。

最后就是国内路由了，接下来更加暴力，这是添加国内路由的脚本：

route add -net 1.0.0.0/8 gw $gw
route add -net 14.0.0.0/8 gw $gw
route add -net 27.0.0.0/8 gw $gw
route add -net 36.0.0.0/8 gw $gw
route add -net 39.0.0.0/8 gw $gw
route add -net 42.0.0.0/8 gw $gw
route add -net 49.0.0.0/8 gw $gw
route add -net 58.0.0.0/8 gw $gw
route add -net 59.0.0.0/8 gw $gw
route add -net 60.0.0.0/8 gw $gw
route add -net 61.0.0.0/8 gw $gw
route add -net 101.0.0.0/8 gw $gw
route add -net 103.0.0.0/8 gw $gw
route add -net 106.0.0.0/8 gw $gw
route add -net 110.0.0.0/8 gw $gw
route add -net 111.0.0.0/8 gw $gw
route add -net 112.0.0.0/8 gw $gw
route add -net 113.0.0.0/8 gw $gw
route add -net 114.0.0.0/8 gw $gw
route add -net 115.0.0.0/8 gw $gw
route add -net 116.0.0.0/8 gw $gw
route add -net 117.0.0.0/8 gw $gw
route add -net 118.0.0.0/8 gw $gw
route add -net 119.0.0.0/8 gw $gw
route add -net 120.0.0.0/8 gw $gw
route add -net 121.0.0.0/8 gw $gw
route add -net 122.0.0.0/8 gw $gw
route add -net 123.0.0.0/8 gw $gw
route add -net 124.0.0.0/8 gw $gw
route add -net 125.0.0.0/8 gw $gw
route add -net 134.0.0.0/8 gw $gw
route add -net 139.0.0.0/8 gw $gw
route add -net 140.0.0.0/8 gw $gw
route add -net 144.0.0.0/8 gw $gw
route add -net 150.0.0.0/8 gw $gw
route add -net 153.0.0.0/8 gw $gw
route add -net 157.0.0.0/8 gw $gw
route add -net 159.0.0.0/8 gw $gw
route add -net 161.0.0.0/8 gw $gw
route add -net 162.0.0.0/8 gw $gw
route add -net 163.0.0.0/8 gw $gw
route add -net 166.0.0.0/8 gw $gw
route add -net 167.0.0.0/8 gw $gw
route add -net 168.0.0.0/8 gw $gw
route add -net 171.0.0.0/8 gw $gw
route add -net 175.0.0.0/8 gw $gw
route add -net 180.0.0.0/8 gw $gw
route add -net 182.0.0.0/8 gw $gw
route add -net 183.0.0.0/8 gw $gw
route add -net 202.0.0.0/8 gw $gw
route add -net 203.0.0.0/8 gw $gw
route add -net 210.0.0.0/8 gw $gw
route add -net 211.0.0.0/8 gw $gw
route add -net 218.0.0.0/8 gw $gw
route add -net 219.0.0.0/8 gw $gw
route add -net 220.0.0.0/8 gw $gw
route add -net 221.0.0.0/8 gw $gw
route add -net 222.0.0.0/8 gw $gw
route add -net 223.0.0.0/8 gw $gw

这个很黄很暴力的路由需要细细品味，个中自有滋味。。。

更稳定的更安全的方案大家慢慢折腾吧，我这个到此为止能用就行。需要 Cisco VPN 的可以找我索要，当然潜规则是必须的。最后奉上超强路由器美图一张，谢谢。

这样的优点还能搞出另一种 VPN，只让一些网站走 VPN，其它不走，例如 google，fb，tw，youtu 等。。DNS也不会受到污染，很赞的一种实现方式。目前 JP Linode 一台机器已经走这种方式，需要的好基友们可以伸手要账号。如果你需要米国的，要等等。。（看 donate 够一年 Linode 份子钱就上。。）

因为开始设置的网站只有 fb，tw，youtu，希望大家反馈的问题是。。a，自己需要哪些网站走VPN；b，出现的问题。在这里留言就行了。

关于 Cisco VPN 有两点比较重要：

1，拨号问题，有时候拨号了，等啊等，失败了。。这是 Mac 系统和 iOS 的问题，果断取消，然后再拨就好了。。
2，1小时自动断开的问题，这是系统安全限制，可以参考这个解决一下：链接。

这样一个VPN的账户包含：服务器地址(Server)，用户名(User)，密码(Password)，组(Group)，组密码(Group Secret)，如果你从我这获取到账户，设备设置如下。

iPhone 设置：

Server=server Account=User GroupName=Group Secret=Group Secret (其余默认）

iPhone上还可以支持X509验证，可以打开 On Demand 功能，这样可以按需连接。

BlackBerry 设置（both OS5 and OS6）：

新建一个 VPN Profile，
Gateway Type 选择 Cisco Secure PIX Firewall VPN
Concentrator=server
Group name=Group
Group password=Group Secret
Username=User
User Password=Password
勾选 Save passphrase、Dynamically determine DNS、Enable extended authentication
IKE DH Group 选择 Group2
IKE cipher 选择 AES128
IKE hash 选择 Hmac MD5 128
勾选 Prefer Forward Secrecy
IPSec cryto and hash suit 选择 AES128-SHA1
其余默认，然后去 WiFi 设置那里，编辑当前使用的 WiFi Profile，在最底下有个 VPN，选择刚刚创建的 VPN profile，保存后 VPN 会被自动激活，每次 WiFi 启用都会自动打开VPN。

WebOS 设置：
VPN Server=Server
Profile Name随便写
Server name=Server
User=User
Password=Password
Group ID=Group
Group Secret=Group Secret
Domain默认
Encryption 选择 Secure
NAT Traversal 选择 NAT-T auto

保存即可。

Mac 设置：
和 iPhone 类似，不说了。

Windows 设置：
需要装 Cisco VPN 客户端，不推荐了。。

下载官方客户端X86 下载官方客户端X64

下载后安装

官网的客户端和 Windows 貌似有兼容问题，Cisco 估计也不管了。。推荐使用：http://www.shrew.net/download/vpn ，（必须用最新beta版本）小巧迅速。看上去有点专业，但实际很简单。如图：

其它的不用说了，添加好配置后连接时候会提示你输入用户密码。唯一的麻烦是没法保存用户密码。不过新建个 bat 文件，每次连接就点击它就行了，简单。

bat如下：

cd C:\Program Files\ShrewSoft\VPN Client\
start ipsecc.exe -r ****.gfw.io -u username -p passwd -a

Android 设置：
貌似没有 Cisco IPSec 支持。。

Linux：
官方也有客户端

至于怎么获得账号，你懂的。。

其实这是小问题，但是很多 WP 的站点包括不少大型站点，WP 的登录页面是木有加密的。未加密的登录页面意味着每次登录都把密码赤条条的传输在网路里，有心者随便抓个包就能获取到贵站用户密码。如上图。

简单的给后台启用https，能极大的增强安全。如果服务器配置好了https，只需在 wp-config.php 里添加一行：

define('FORCE_SSL_ADMIN', true);

听罢感觉热泪盈眶的。