斐讯N1 专用文档

刷机方法:

  1. 参考先刷到U盘
  2. U盘启动以后,终端执行 install-to-emmc.sh,就可以安装到eMMC,然后就可以关机拔掉U盘
  3. 开机前连接HDMI显示器启动的话可以显示终端,所以可以接到HDMI看打印日志,注意必须在开机前就接上HDMI显示器才有效。如果接了USB键盘,当显示器的日志不再滚动时按键盘回车键可以进入iStoreOS命令行。
  4. 默认网口是DHCP客户端,所以IP不是固定的,在连接显示器启动的情况下可以在命令行执行ip addr命令查看IP,否则在主路由后台看看最近分配的IP地址。
  5. 系统启动过程中,前面的LOGO灯会闪。一般开机后20秒内灯会开始闪,系统初始化完毕以后灯变成常亮。如果开机以后30秒灯还不闪,估计启动失败了。
  6. 如果要升级固件,不需要重新制作U盘或写入eMMC,只需下载新固件(无需解压),然后在网页后台“系统”-“备份/升级”,点击“刷写固件”按钮,上传新固件,然后按页面提示升级。

如果遇到问题,或者怀疑固件BUG,那么分以下情况重新刷机:

  • 如果盒子是原厂固件:如果版本比较高要先降级到2.19(具体怎么降级B站很多教程,至少Bootloader要降级),降级以后进安卓系统,联网获取IP,然后插上制作好的U盘,然后用电脑执行adb connect 盒子IP连接盒子,再执行adb shell reboot update,系统会自动重启几次,之后就会进入iStoreOS了。

  • 如果盒子原本就是Linux系统(非安卓),例如armbian或flippy的固件:那只要插上制作好的U盘即可启动到iStoreOS。

  • 如果原本是砖,或者想完全恢复出厂状态,或者遇到其他系统启动问题:那么参考B站的救砖教程(可能需要拆机),救砖以后就按原厂固件刷机流程。

File Name   File Size   Date  
istoreos-amlogic-meson-phicomm_n1-squashfs-20240329.img.gz 108.4 MiB 2024-03-29 19:19
istoreos-22.03.6-2024043010-phicomm_n1-squashfs.img.gz 108.4 MiB 2024-04-30 14:02

安装dpanel

docker run -d \
   --restart unless-stopped \
   --name dpanel \
   -p 8807:8080 \
   -v /var/run/docker.sock:/var/run/docker.sock \
   -v $(pwd)/data:/dpanel \
   -e APP_NAME=dpanel \
   dpanel/dpanel:latest

安装wireguard

WireGuard 是一种现代、快速且安全的虚拟专用网络 (VPN) 通信协议和免费开源软件。

WireGuard 的设计目标在于易于使用、高速性能和低攻击面。它利用了最新的加密技术,旨在提供比 IPsecOpenVPN 等传统 VPN 协议更好的性能和更强大的功能。WireGuard 的核心代码相对精简,被 Linux 之父 Linus Torvalds 称为 艺术品,其核心代码只有四千多行。

此外,WireGuard 协议通过 UDP 传递流量,使其在速度和安全性方面具有显著优势。它被设计为简单、高效,并适用于从低端设备如树莓派到高端服务器的广泛环境。

这玩意简单、灵活,怪不得会被 Linus Torvalds 直接合入内核。本文记录的是 WireGuard 的一种用法。

安装软件包

istore 中安装 luci-proto-wireguardqrencode 两个包。
安装软件包-1.png

安装软件包-2.png

其中 luci-proto-wireguard 是用于支持 WireGuard 的核心包,qrencode 用来生成展示客户端的二维码。

!!!安装后重启一次 istore,否则无法进行下一步!!!

配置服务

创建接口

OpenVPN 不一样,WireGuardOpenWrt 中是作为一种接口的存在。要开启 WireGuard 首先是需要创建对应的接口。
添加接口.png

网络接口 界面,点击 添加新接口 创建。协议选择 WireGuard VPN

接下来配置接口。
添加接口-常规设置.png
编辑接口,配置公私钥、配置监听端口、配置隧道的 IP
公私钥如果已经持有直接填写即可,如果没有可以点击 生成新的密钥对 快速创建。
添加接口-防火墙设置.png
配置防火墙,也可以后面单独配置。
添加接口-结果.png

添加对端

WireGuard 可以快速的搭建星型网络隧道。这里它作为服务器,需要给它添加对端(这个场景可以理解为客户端)。
添加对端.png
在接口的 对端 界面,点击 添加对端

添加对端-编辑对端.png

需要给 对端 配置公私钥、预共享密钥(建议设置)、允许的IP持续 Keep-Alive。在国内,一般 Peer 都是在 NAT 之中,建议给设置上 持续 Keep-Alive 来保持 UDPNAT 中的有效性。

防火墙配置

istore 类似,防火墙部分也需要两个步骤。

配置虚拟网卡策略

在创建接口时如果没有创建防火墙的 区域 则现在可以创建一个,关联上 WireGuard 的接口。继续配置新增加的 区域
防火墙-区域设置.png

在新增加的区域中将 lan 网络组合在一起,然后将 入站数据出站数据转发 都给放行,转发区域选择 lanwan

当然,也可以通过修改现有的 lan 区域将 WireGuard 的接口绑定到一起,效果是类似的。

配置防火墙的要点:

  • 如果需要局域网内设备普通情况下可以直接和隧道内设备通讯,则需要满足 lanWireGuard 的接口绑定在同一个区域。
  • 如果需要隧道内设备可以和局域网内设备通讯,则需要满足 WireGuard 的接口放行了向 lanOpenWrt(即不指定) 的转发。

配置工作端口入站放行

正常情况下通过 wan 口的外网是访问不了 51820 端口的。
防火墙-入站规则.png

在防火墙 通信规则 中新增加对 wan51820 端口的放行策略。

扫码连接

到这里,istoreWireGuard 就配置完毕了,接下来就可以在客户端中发起连接了。
生成配置.png

WireGuard 接口的 对端 中打开目标对端的详情页,点击 生成配置 按钮,此页面上半部分设置导出给客户端配置的 连接端点路由DNSIP 等信息,下半部分则是对应的配置二维码。

如果你的 istore 配置了 DDNS,那么 连接端点 可以自动带出域名可供选择。

当然,这些信息是为了快速配置客户端用的。这些信息也可以在客户端手动修改。

什么?!配置不生效

istore 只保存 WireGuard 配置是无效的!!!

修改 WireGuard 配置之后必须重启 WireGuard 程序来应用配置,在 istore 对应操作是重启 WireGuard 的接口。

下面这些动作会导致配置变化,都需要保存配置后重启 WireGuard 接口来应用配置

  • 增加 Peer 条目
  • 修改 Peer 信息
  • 删除 Peer 条目

这些动作不会引起配置变化:

  • 导出 Peer 条目

重启 WireGuard 接口后流量记录会清零。