目錄
OpenVPN
VPN 是虛擬加密私人網路。OpenVPN 是一種開源的軟體,它可以用來配置成 Linux VPN 伺服器。而 VPN 主要是利用點對點安全連接來保護連線。
使用 VPN 可以透過 Internet 或開放網路連線到 Linux 桌面和虛擬專用伺服器是安全連線最佳方式之一。在文章說明中,我們將使用 OpenVPN 配置 Linux VPN 伺服器。將雲端主機變成一個驚人的安全措施!
為什麼使用 Linux VPN 伺服器
VPN 的好處有很多,VPN 的優點是可以幫助保護自己的資訊不被駭客和您造訪過網站的公司存取。 當您使用VPN 時,您的瀏覽活動、密碼、電子郵件訊息和其他資料對於任何試圖存取它們的人來說都是難以理解的混亂資訊。 這不僅能阻止網路罪犯,還能阻止那些試圖向第三方洩露您的瀏覽習慣和其他資料的公司。以下是我們一一說明那些好處:
- 安全性:VPN 提供更好、更強大的伺服器保護,因為所有連線資訊都是加密的。與防火牆相比,這提供了額外的安全性。
- 遠端加密連線:為確保高安全性,許多組織、政府和國防辦公室只允許通過 VPN 進行遠端加密連線。
- ISP 加密:ISP 代表 Internet 服務提供商。如果您使用公共 Wi-Fi 連接,則 ISP 可以讀取您所有未加密的資訊。透過使用 VPN,您可以不讓 ISP 讀取資訊來保證資料的安全和加密。
- 匿名:VPN 讓用戶在瀏覽 Internet 時保持匿名。IP是不可被追踪的。
- IP 更改: VPN 允許用戶更改 IP 安全瀏覽。在某些情況下,這用於有限制 IP 的區域連線。
- 取消阻止網站:某些網站會限制地區瀏覽。VPN 保持匿名性,因此通常用於繞過網路審查來解鎖瀏覽網站。
- 限制:某些 ISP 會根據內容限制用戶瀏覽(特別是中國有長城防火牆)。使用 VPN 可以避免這種限制。
在更高級功能能利用 VPN 通過使用加密使您的交易安全。
在說明了 VPN 的好處與優點之後,我們將在此示範如何在 Linux 上設置和安裝 OpenVPN 軟體。我們將介紹使用 OpenVPN 設置 Linux VPN 伺服器以及如何將其連接到 Windows、Android 和其他設備。如果您想了解有關 OpenVPN 協議的更多資訊,我建議您閱讀這篇 OpenVPN 評論。
安裝前須具備條件
- 您必須具有 root 帳號權限或 sudo 權限
- 不須預裝 OpenVPN
- 防火牆應開啟 943 port 的 TCP 流量和 1194 port 的 UDP 流量。我們建議使用 UFW。您可以觀看我們的 UFW 教學文章,了解您需要了解的所有內容。
使用 OpenVPN 連線到伺服器配置 Linux VPN 伺服器
先讓我們更新系統。對於 CentOS 使用指令:
yum -y update
針對 Ubuntu 與 Debian 更新系統使用的指令:
sudo apt update
要安裝 OpenVPN 前,您需要先有安裝 net-tools 軟體包。 如果您沒有安裝 net-tools 軟體包,請先安裝。 net-tools 軟體包有安裝 OpenVPN 伺服器所需要的 ifcfg。
在 CentOS 上安裝 net-tools 軟體包的指令:
yum install net-tools -y
在 Ubuntu 與 Debian 上安裝 net-tools 軟體包的指令:
sudo apt install net-tools
您可以從 OpenVPN 網站下載 OpenVPN client 來連線伺服器。您可以在這得到下載連結並透過 curl 指令來使用。Ubuntu 或 Debian 的 curl 指令示範如下:
Ubuntu
curl -O http://swupdate.openvpn.org/as/openvpn-as_2.11.0-794ab41d-Ubuntu22_amd64.deb
Debian
curl -O http://swupdate.openvpn.org/as/openvpn-as_2.11.0-794ab41d-Debian11_amd64.deb
CentOS
curl -O http://swupdate.openvpn.org/as/openvpn-as-2.11.0_794ab41d-CentOS7.x86_64.rpm
在這裡,您可以將 URL 添加到您的布局中。 要驗證是否下載了正確的安裝,請輸入 SHA256 校驗。 您可以使用以下命令:
sha256sum openvpn-as-*
校驗如下所示:
6354ac41be811829e60b028d3a7a527e839232d7f782c1d29bb4d8bd32bf24d5 openvpn-as-2.11.0_794ab41d-CentOS7.x86_64.rpm
您可以將此下載的二進制校驗和與網站上提供的校驗進行比較。如果校驗和匹配安裝先前下載的二進製文件。
在 CentOS 中安裝,請使用:
rpm --install openvpn-as-*.rpm
若是在 Ubuntu 和 Debian 中,您可以使用以下指令:
sudo dpkg -i openvpn-as-*.deb
這安裝需要一些時間。安裝完成後,您將看到管理 UI 和客戶端 UI 詳細資訊。在此安裝過程中將建立一個 openvpn 用戶。您可以使用以下方法設置此用戶的密碼:
passwd openvpn
這是設置您的新密碼。請記住密碼,因為它將使用於登錄。使用管理員 URL 登錄並完成安裝過程。在我們的範例中,管理員 URL : https://192.168.70.222/admin/。通常,該 URL 只是您的主機地址,即 :943 port,末尾帶有 /admin,如範例中所示。
您將能夠看到如下所示:
如前所述,用戶名是 openvpn,密碼是您剛剛為該用戶設置的密碼。登錄後,您將能夠看到條款和條件頁面。閱讀並按同意按鈕繼續。下一頁將為您提供配置詳細資訊並顯示伺服器處於狀態。
默認設置好,可以允許 MacOS、Linux、Windows、Android 和 iOS 連接到 Linux VPN 伺服器。如果您想更改任何設置,請確保單擊應用並更新正在執行的伺服器並啟用更改。
這樣就完成了默認安裝。接下來,我們將設置 OpenVPN 通道。
使用 OpenVPN 設置 Linux 主機系統通道
使用以下命令在內核中啟用 IP 轉發:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.d/99-sysctl.conf
這可以通過 IPv4 進行流量轉發。要使用這些更改,請使用以下指令:
sysctl -p
OpenVPN 不支援 IPv6 和 IPv4 上的同時通道使用,因此您可以使用以下方法關閉 IPv6:
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1
要手動禁用 IPv6,請添加以下要在啟動時設置的參數。這些參數應添加到位於 /etc/sysctl.d/ 的 99-sysctl.conf 文件中。只需使用 cd 指令訪問文件夾,然後使用您喜歡的編輯器來編輯文件。記得保存所做的更改!
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
接下來,您可以使用以下指令啟動新的設置:
sysctl -p
接下來,在 /etc/ 的文件中有個 hosts 中註釋 IPv6 解析,如下所示:
#::1 localhost ip6-localhost ip6-loopback
接下來再次登錄到管理伺服器 URL 並轉到 VPN 設置。
在路由部分,VPN 客戶端是否可以訪問私有子網(服務器端的非公共網絡)選項?應設置為否。
選項應該通過 VPN 路由客戶端 Internet 流量嗎?應設置為Yes。
為避免任何 DNS 洩漏,請更改 DNS 解析器設置。選擇讓客戶端使用與訪問伺服器主機相同的 DNS 伺服器
保存這些設置,不要忘記點擊更新執行伺服器。您可以使用管理控制台中的狀態選項卡重新啟動 OpenVPN 伺服器。從這裡,您可以停止伺服器,然後重新啟動它。
這完成了我們對 OpenVPN 伺服器的設定。接下來,我們可以檢查客戶端安裝。
如何使用 OpenVPN 將您的 Linux VPN 伺服器連接到其他設備
現在您的伺服器已啟動並正在執行,我們可以利用一些設備連接!我們將介紹最流行的操作系統選項:
在 Windows 安裝和連接 OpenVPN 客戶端
打開 OpenVPN 客戶端 URL,您將能夠顯示不同操作系統的客戶端下載連結。
選擇 Windows 版本並運行安裝。
安裝完成後,系統將提示您輸入 OpenVPN 用戶名和密碼。伺服器 IP 將自動填充。
您可以使用 Windows 任務欄中的 OpenVPN 圖標斷開連接、重新連接和查看連接狀態。
在 MacOS 安裝和連接 OpenVPN 客戶端
連接到 OpenVPN 客戶端 UI 並點擊連結以下載適用於 MacOS 的 OpenVPN 軟體。下載此軟體後,將打開一個帶有安裝程式軟體圖標。
依照 MacOS 應用程式安裝的標準程式。
點擊此安裝程式圖標,然後打開以執行安裝。
安裝完成後,您將能夠在 macOS 任務欄上看到 OpenVPN 圖標。您可以右鍵單擊此圖標以查看不同的選項。從這裡您可以連接到 OpenVPN。
單擊“連接到”選項後,您將看到一個彈出窗口,提示您輸入 OpenVPN 用戶名和密碼。您應該在此處輸入憑據並單擊“連接”以建立 Linux VPN 伺服器連接。
在 Linux 安裝和連接 OpenVPN 客戶端
Linux 的客戶端安裝略有不同。使用以下命令在 CentOS 上下載並安裝 OpenVPN 客戶端軟體:
yum install OpenVPN -y
在 Debian 或 Ubuntu 上安裝 OpenVPN 客戶端軟體:
sudo apt-get install openvpn
打開 OpenVPN 客戶端 UI 並下載適合您操作系統的配置文件。或者,您可以使用 wget 或 curl 命令並提供下載軟體的連結。
將下載的配置文件複製到位置 /etc/openvpn 並將其重命名為 client.conf。您可以啟動 OpenVPN 通道服務,系統會提示您輸入用戶名和密碼。您可以使用以下指令開始操作:
service openvpn start
您可以使用 ipconfig 或 ip addr 查看網路連接。一旦 VPN 可用,您將看到一個 tun0 添加到輸出中顯示的現有列表中。
在 Android 安裝和連接 OpenVPN 客戶端
首先,前往 Google Play 商店並搜尋 OpenVPN Connect。安裝 OpenVPN Connect 應用程式。
打開後,它將顯示三個選項:私有通道(Private Tunnel)、訪問伺服器(Access Server)和 OVPN 配置文件(OVPN Profile)。
選擇訪問伺服器並手動填寫所有詳細資訊:
- Title(標題) : 設置您的連接名稱。
- Access Server Hostname(訪問伺服器主機名) : 你的 Linux VPN 伺服器的 IP。
- Port : Linux VPN 伺服器的 934 port 。
- Username(用戶名) : 在您的伺服器上設定的用戶名 – 默認值為 openvpn 。
- Password(密碼) : 您在終端環境中設定 Linux VPN 伺服器時在控制台中設置的密碼。
或者,您可以導入配置文件的.ovpn文件。您可以從客戶端 UI 獲取連接配置文件。
在 iOS 安裝和連接 OpenVPN 客戶端
與 Android 設備類似,您可以從 App Store 安裝 OpenVPN 軟體。
完成安裝並打開新安裝的應用程式。它會要求您填寫個人資料,或上傳與 Android 版本相同的個人資料文件。
添加後,您就可以開始在 iPhone 或 iPad 上使用 OpenVPN。
Linux VPN 伺服器壓縮設置
如果您連接到 VPN 並且無法瀏覽 Internet,您可以在您的伺服器中 /var/log/openvpnas.log 裡查看 OpenVPN 日誌。如果您發現與以下類似資訊,您很可能遇到了壓縮問題:
2022-07-23 18:24:05+0800 [-] OVPN 11 OUT: 'Mon Mar 23 08:59:05 2021 guest/211.20.117.251:55385 Bad compression stub decompression header byte: 214'
要解決此問題,您可以關閉壓縮。這可以從管理 UI 完成。打開管理 UI,然後點擊高級 VPN。
轉到默認壓縮設置。在這里關閉選項 Support compression on client VPN connections。
應用更改,然後點擊更新執行伺服器選項。這個問題就應該得到解決。
使用 OpenVPN 為 Linux VPN 伺服器設定自動登錄配置文件
使用 OpenVPN,您還可以配置自動登錄配置文件。這將導致您的所有非本地流量通過 VPN 自動路由。如果您想手動啟用或禁用 VPN,您可以使用用戶或伺服器鎖定配置文件。
要設置自動登錄,請打開管理 UI,然後選擇用戶權限鏈接。您可以在此處選中 Allow Auto-login 複選框。
結論
在本章中,您了解如何設置執行 OpenVPN 的 Linux VPN 伺服器以及如何使用 Windows、Linux、Android、iPhone 或 iPad 和 MacOS 等各種客戶端連接 VPN。
現在您已經了解了所有基本細節,您可以使用全新的 Linux VPN 伺服器安全地上網。要了解更多資訊,您可以閱讀 OpenVPN 的官方手冊,該手冊可在管理 UI 中找到。這樣就完成了您的第一個伺服器與客戶端 OpenVPN 配置。
如果您不想費心設置自己的 VPN 伺服器,則應使用信譽良好的 VPN 客戶端,例如 NordVPN。
了解更多有關如何保護 Linux 的資訊
