前面 Akaz 大讲述了开使用源的 OpenVPN,安装后再使用 easy-rsa 套件签发伺服端、连
接者端与使用者端共三组数位凭证,接着撰写供 OpenVPN 使用的 .ovpn 档案的模式,而
这边要实作的是采用 OpenVPN Access Server 的方案,一样有图文并茂版的网志:
http://goo.gl/HtEUbF (网址太长了,只好用缩网址 www
==
https://c1.staticflickr.com/1/468/18538827888_7ca1388750_b.jpg
先说,美云このは真的好可爱(滚动
==
在前篇以 Vultr VPS 搭配 Ubuntu 14.04 64-Bit 架设 PPTP 服务之后,这次要示范的是
在日本主机商 ConoHa.jp 上架设 VPN 服务,由于 ConoHa.jp 阻挡了 GRE 通讯协定,因
此无法在上面架设 PPTP 服务,考虑到以 Linux 系统架设 L2TP/IPSec 或是 Cisco IPsec
服务有一定难度与低容错性,这里以较为简单的 OpenVPN 作实作
OpenVPN 可以说是一个用于建立虚拟私人网络络加密通道的整合软件环境,在建立连线上
,OpenVPN 允许使用公开金钥、电子凭证、或者使用者名称、密码的方式来进行身份验证
,进而产生连线,而在运行 Linux/UNIX 系统的 VPS 上建立 OpenVPN 服务有两种方式,
一种是借由 apt-get 获得整合好的安装套件 OpenVPN Access Server,另一种也是透过
apt-get,但采用的是开源的 openvpn,安装后再使用 easy-rsa 套件签发伺服端与使用者
端共三组数位凭证,接着撰写供 OpenVPN 使用的 .ovpn 档案,而这次实作的是前著,采
用 OpenVPN Access Server 的方案
接着谈一谈 ConoHa.jp,ConoHa.jp 算是日本主机商之中较为的国际化的一家,相较于俗
称樱花 VPS 的 SAKURA VPS 与 CloudCore 一般排外,没有限定日本地区信用卡、注册时
需要验证日本电话号码与地址的要求,反而一开始就提供了英文与简体中文的接口,也支
援国际信用卡与 PayPal 等支付方式
而在规格上,ConoHa.jp 使用的是 Xen 虚拟化技术,故不会有采用 OpenVZ 技术的 VPS
厂商一样发生超卖单位,超出的服务器极限的问题,而以最低规格而言,就提供了两个处
理器虚拟单位,1GB 内存,与 50GB 容量的固态硬盘,传输流量方面无限制,上下速度
100Mbps,默认提供 IPv4 与 IPv6 位址,价格则是每个月 900 円
https://c1.staticflickr.com/1/427/18726592055_af696d819e_b.jpg
ConoHa 的英文版接口
https://c1.staticflickr.com/9/8833/18700286626_ae71c0726e_b.jpg
以基本的 1GB 内存,50GB 容量的固态硬盘方案而言,每小时 1.3 円,一天 31.2 円,
一个月则算成 900 円
https://c1.staticflickr.com/1/276/18538813748_0a6ee0383b_b.jpg
单位部属速度比 Vultr 还要快,登入方式一样是 ssh root@VPS 的网络位址 ,输入管理
密码后以 root 权限登入
root 帐号的密码就是刚才在部属单位时你设定的 root password,这边要特别说一点,由
于 ConoHa.jp 默认是没有任何方式去保护你的单位,在安全登入上, 由于改 SSH 连接埠
的工程浩大,因此建议安装一个名叫 fail2ban 的安全套件来防止恶意登入者去猜 root
密码,进而取得 VPS 的操控权
这边先使用 apt-get install fail2ban 来获得安全套件
安装后使用 cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 复制设定档
然后使用 vim /etc/fail2ban/jail.local 修改设定档,关于 fail2ban 在 Ubuntu 的设
定网络上很多了,这边就不赘述了,但是要确认 SSH 防护有打开
** 这边简单叙述一下 Vim 文字编辑器的指令,i 是进入编辑模式、Esc 会离开编辑模式
到上层,在上层 :w 是存盘、:wq 是存盘后离开、:q 是直接离开不存盘
使用 /etc/init.d/fail2ban restart 来重新启动 fail2ban 服务,至此 fail2ban 安装
完成
https://c1.staticflickr.com/1/412/18540394989_9aec602c1e_b.jpg
用 fail2ban-client status 可以确认 fail2ban 的运作模式,看到附图那样基本就没问
题了
https://c1.staticflickr.com/1/373/18540394919_e434b2f3ce_b.jpg
顺手用 apt-get install iptables 安装路由表套件,接着用 wget 指令获得 OpenVPN A
ccess Server 安装包
https://c1.staticflickr.com/1/358/18103962664_074523edcd_b.jpg
wget http://swupdate.openvpn.org/as/openvpn-as-2.0.17-Ubuntu14.amd_64.deb 是给
64 位元 Ubuntu 14.04 LTS 使用
https://c1.staticflickr.com/9/8857/18538813518_eea28ac732_b.jpg
下载完成后使用 dpkg -i openvpn-as-2.0.17-Ubuntu14.amd_64.deb 来安装刚才下载的套
件
接着就可以看到如上图的画面,管理者接口是 https://主机位址:943/admin,一般使用者
则是 https://主机位址:943/,同时会要你创一个管理 OpenVPN Access Server 服务的帐
号,默认名称是 openvpn,密码则是自行输入,会作一次确认
与开源的 OpenVPN 安装套件不同,OpenVPN Access Server 是由开发 OpenVPN 的母公司
所开发的简易安装套件,与前者不同,OpenVPN Access Server 安装过程较为方便,伺服
端与客户端的设定也已经做好了,但是有着除非购买授权码,一般用户最大两个客户端同
时连线的限制,当然对于小规模的应用来说,两个人同时连线已经堪用,如果需要更多连
线的话,建议使用开源的 OpenVPN 安装套件做架设
https://c1.staticflickr.com/9/8891/18729014621_d44aaca884_b.jpg
以 https://主机位址:943/admin 进入管理者接口,看到CA凭证错误的资讯不用惊慌,那
是正常的
https://c1.staticflickr.com/1/348/18721735892_5ddce4c39a_b.jpg
第一次启动会看到 OpenVPN Access Server 的 EULA(终端用户许可协议)
https://c1.staticflickr.com/1/306/18105927023_2cd671de96_b.jpg
同意之后就可以看到这个管理画面
==
接下来要解释如何在 OpenVPN Access Server 添加使用者帐号,这里需要再次以 root 权
限的帐号进去创立新帐号
可以先输入 vim /etc/group 与 vim /etc/passwd 来检视使用者群组与状态,没意外的话
会看到使用者最下方有一个 openvpn,这是你在架设 OpenVPN Access Server 时创的管理
者帐号,其实这个帐号也可以拥有设定档、连线到 OpenVPN 的功能,不过我建议另外创两
个单纯用于连线的帐号
https://c1.staticflickr.com/1/510/18105926883_8940d7cd9a_b.jpg
以 vim /etc/group 检视使用者群组,接着以 :q 离开
https://c1.staticflickr.com/1/471/18700291646_3d327957c3_b.jpg
以 vim /etc/passwd 检视使用者状态与权限,接着以 :q 离开
https://c1.staticflickr.com/1/395/18538900360_d6a30b4d04_b.jpg
输入 adduser client01 指令会创造出一个名叫 client01 的帐号
https://c1.staticflickr.com/1/309/18103967634_3a27db63f2_b.jpg
输入 client01 的密码,输入后会再作一次确认,接着会确定使用者组态,一路 Enter 下
去吧
https://c1.staticflickr.com/9/8849/18729020191_364059279f_b.jpg
最后会确认使用者组态是否正确,没错就按 Y 确认并离开,在依照一样的流程创一个 cli
ent02
https://c1.staticflickr.com/9/8889/18726597075_9dbd860a77_b.jpg
再次以 vim /etc/group 就会看到刚才创立的两个帐号,接着以 :q 离开
https://c1.staticflickr.com/1/448/18540399909_f738d8c3a6_b.jpg
在就可以在 OpenVPN Access Server 管理接口以管理帐号创两个一样名称的帐号
https://c1.staticflickr.com/1/547/18538900000_8036bd19c4_b.jpg
以 https://主机位址:943/ 进入使用者接口,看到CA凭证错误的资讯一样不用惊慌,那是
正常的
https://c1.staticflickr.com/1/372/18700291326_56a15a96ac_b.jpg
右下点选 Login ,输入使用者帐号与密码,密码是刚刚创立帐号时输入的
https://c1.staticflickr.com/1/498/18105936403_b7384f5552_b.jpg
接着会看到这个画面,你可以下载上方设定好的连线软件,或是下载下方的设定档搭配自
己的 OpenVPN 连线软件
https://c1.staticflickr.com/1/499/18538909720_dc8035f249_o.png
下方的设定档会下载一个 .ovpn 档头的设定档到你的电脑,我使用 Tunnelblick 这套软
体
https://c1.staticflickr.com/1/331/18540409499_66ae34d08f_o.png
汇入设定档后,第一次连线时依照设定档跟软件的差别,可能会询问使用者帐号与密码
基本上以 OpenVPN Access Server 为基础架设的 VPN 服务就完成了,再来是实作测试,
以花莲地区的 vDSL 服务作测试,理论频宽 60M/20M,离光纤交换机箱距离约三百米以内
,国内直接连线到服务器延迟约 46 至 55 微秒
https://c1.staticflickr.com/9/8838/18105936253_06c8ccde19_b.jpg
单向测试,连线到日本后在连线到东京地区的测试点
https://c1.staticflickr.com/9/8847/18540409409_4ca0c53d6a_b.jpg
双向来回,先连线到日本再连线回台北地区的测试点
基本上延迟是在可以接受的范围,封包遗失率在可以接受的水准,而连线速度上拜厂商东
家 GMO Internet Inc. 那条高速回线的威能,以国内个人使用最高速的 100M 而言,可以
冲到你自己网络的极速
==
话说日本的主机厂商很喜欢玩二次元形象这种公关行销,在 CloudCore 的云野コア、樱花
VPS 的桜叶爱 之外,ConoHa.jp 的 美云このは 与 美云あんず 姊妹二人组也很红,不过
在出现频率上美云このは比例比较高就是了
话说このは的声优是上坂堇,其姐妹あんず的声优是内田真礼,这根本就是凸守早苗和小
鸟游六花的搭配(拖走
https://c1.staticflickr.com/1/386/18700300826_d2dfb79b07_b.jpg
把 ConoHa.jp 的主网址改成 https://www.conoha.jp/conoha ,美云このは会出来跟你打
招呼
https://c1.staticflickr.com/1/533/18729029191_5d9651c402_b.jpg
在主机管理面板也可以看到她噢,不过接口语言要选日文,再把接口风格切换成 このはモ
ード ,其他接口语言下不知为什么出不来
https://c1.staticflickr.com/1/335/18581529170_2130fda72c_b.jpg
美云このは同时也担任东家 ConoHa.jp 的错误娘