[攻略] 自己的VPN自己架：OpenVPN-AS 架設

看板KanColle作者takahashikag (奥様は正妻空母)時間9年前 (2015/06/13 23:30)推噓2(2推 0噓 2→)

留言4則, 2人參與討論串1/1

前面 Akaz 大講述了開使用源的 OpenVPN，安裝後再使用 easy-rsa 套件簽發伺服端、連接者端與使用者端共三組數位憑證，接著撰寫供 OpenVPN 使用的 .ovpn 檔案的模式，而這邊要實作的是採用 OpenVPN Access Server 的方案，一樣有圖文並茂版的網誌： http://goo.gl/HtEUbF （網址太長了，只好用縮網址 www == https://c1.staticflickr.com/1/468/18538827888_7ca1388750_b.jpg

先說，美雲このは真的好可愛（滾動 == 在前篇以 Vultr VPS 搭配 Ubuntu 14.04 64-Bit 架設 PPTP 服務之後，這次要示範的是在日本主機商 ConoHa.jp 上架設 VPN 服務，由於 ConoHa.jp 阻擋了 GRE 通訊協定，因此無法在上面架設 PPTP 服務，考慮到以 Linux 系統架設 L2TP/IPSec 或是 Cisco IPsec 服務有一定難度與低容錯性，這裡以較為簡單的 OpenVPN 作實作 OpenVPN 可以說是一個用於建立虛擬私人網路絡加密通道的整合軟體環境，在建立連線上，OpenVPN 允許使用公開金鑰、電子憑證、或者使用者名稱、密碼的方式來進行身份驗證，進而產生連線，而在運行 Linux/UNIX 系統的 VPS 上建立 OpenVPN 服務有兩種方式，一種是藉由 apt-get 獲得整合好的安裝套件 OpenVPN Access Server，另一種也是透過 apt-get，但採用的是開源的 openvpn，安裝後再使用 easy-rsa 套件簽發伺服端與使用者端共三組數位憑證，接著撰寫供 OpenVPN 使用的 .ovpn 檔案，而這次實作的是前著，採用 OpenVPN Access Server 的方案接著談一談 ConoHa.jp，ConoHa.jp 算是日本主機商之中較為的國際化的一家，相較於俗稱櫻花 VPS 的 SAKURA VPS 與 CloudCore 一般排外，沒有限定日本地區信用卡、註冊時需要驗證日本電話號碼與地址的要求，反而一開始就提供了英文與簡體中文的介面，也支援國際信用卡與 PayPal 等支付方式而在規格上，ConoHa.jp 使用的是 Xen 虛擬化技術，故不會有採用 OpenVZ 技術的 VPS 廠商一樣發生超賣單位，超出的伺服器極限的問題，而以最低規格而言，就提供了兩個處理器虛擬單位，1GB 記憶體，與 50GB 容量的固態硬碟，傳輸流量方面無限制，上下速度 100Mbps，預設提供 IPv4 與 IPv6 位址，價格則是每個月 900 円 https://c1.staticflickr.com/1/427/18726592055_af696d819e_b.jpg

ConoHa 的英文版介面 https://c1.staticflickr.com/9/8833/18700286626_ae71c0726e_b.jpg

以基本的 1GB 記憶體，50GB 容量的固態硬碟方案而言，每小時 1.3 円，一天 31.2 円，一個月則算成 900 円 https://c1.staticflickr.com/1/276/18538813748_0a6ee0383b_b.jpg

單位部屬速度比 Vultr 還要快，登入方式一樣是 ssh root＠VPS 的網路位址，輸入管理密碼後以 root 權限登入 root 帳號的密碼就是剛才在部屬單位時你設定的 root password，這邊要特別說一點，由於 ConoHa.jp 預設是沒有任何方式去保護你的單位，在安全登入上，由於改 SSH 連接埠的工程浩大，因此建議安裝一個名叫 fail2ban 的安全套件來防止惡意登入者去猜 root 密碼，進而取得 VPS 的操控權這邊先使用 apt-get install fail2ban 來獲得安全套件安裝後使用 cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 複製設定檔然後使用 vim /etc/fail2ban/jail.local 修改設定檔，關於 fail2ban 在 Ubuntu 的設定網路上很多了，這邊就不贅述了，但是要確認 SSH 防護有打開 ** 這邊簡單敘述一下 Vim 文字編輯器的指令，i 是進入編輯模式、Esc 會離開編輯模式到上層，在上層 :w 是存檔、:wq 是存檔後離開、:q 是直接離開不存檔使用 /etc/init.d/fail2ban restart 來重新啟動 fail2ban 服務，至此 fail2ban 安裝完成 https://c1.staticflickr.com/1/412/18540394989_9aec602c1e_b.jpg

用 fail2ban-client status 可以確認 fail2ban 的運作模式，看到附圖那樣基本就沒問題了 https://c1.staticflickr.com/1/373/18540394919_e434b2f3ce_b.jpg

順手用 apt-get install iptables 安裝路由表套件，接著用 wget 指令獲得 OpenVPN A ccess Server 安裝包 https://c1.staticflickr.com/1/358/18103962664_074523edcd_b.jpg

wget http://swupdate.openvpn.org/as/openvpn-as-2.0.17-Ubuntu14.amd_64.deb 是給 64 位元 Ubuntu 14.04 LTS 使用 https://c1.staticflickr.com/9/8857/18538813518_eea28ac732_b.jpg

下載完成後使用 dpkg -i openvpn-as-2.0.17-Ubuntu14.amd_64.deb 來安裝剛才下載的套件接著就可以看到如上圖的畫面，管理者介面是 https://主機位址:943/admin，一般使用者則是 https://主機位址:943/，同時會要你創一個管理 OpenVPN Access Server 服務的帳號，預設名稱是 openvpn，密碼則是自行輸入，會作一次確認與開源的 OpenVPN 安裝套件不同，OpenVPN Access Server 是由開發 OpenVPN 的母公司所開發的簡易安裝套件，與前者不同，OpenVPN Access Server 安裝過程較為方便，伺服端與客戶端的設定也已經做好了，但是有著除非購買授權碼，一般用戶最大兩個客戶端同時連線的限制，當然對於小規模的應用來說，兩個人同時連線已經堪用，如果需要更多連線的話，建議使用開源的 OpenVPN 安裝套件做架設 https://c1.staticflickr.com/9/8891/18729014621_d44aaca884_b.jpg

以 https://主機位址:943/admin 進入管理者介面，看到CA憑證錯誤的資訊不用驚慌，那是正常的 https://c1.staticflickr.com/1/348/18721735892_5ddce4c39a_b.jpg

第一次啟動會看到 OpenVPN Access Server 的 EULA（終端用戶許可協議） https://c1.staticflickr.com/1/306/18105927023_2cd671de96_b.jpg

同意之後就可以看到這個管理畫面 == 接下來要解釋如何在 OpenVPN Access Server 添加使用者帳號，這裡需要再次以 root 權限的帳號進去創立新帳號可以先輸入 vim /etc/group 與 vim /etc/passwd 來檢視使用者群組與狀態，沒意外的話會看到使用者最下方有一個 openvpn，這是你在架設 OpenVPN Access Server 時創的管理者帳號，其實這個帳號也可以擁有設定檔、連線到 OpenVPN 的功能，不過我建議另外創兩個單純用於連線的帳號 https://c1.staticflickr.com/1/510/18105926883_8940d7cd9a_b.jpg

以 vim /etc/group 檢視使用者群組，接著以 :q 離開 https://c1.staticflickr.com/1/471/18700291646_3d327957c3_b.jpg

以 vim /etc/passwd 檢視使用者狀態與權限，接著以 :q 離開 https://c1.staticflickr.com/1/395/18538900360_d6a30b4d04_b.jpg

輸入 adduser client01 指令會創造出一個名叫 client01 的帳號 https://c1.staticflickr.com/1/309/18103967634_3a27db63f2_b.jpg

輸入 client01 的密碼，輸入後會再作一次確認，接著會確定使用者組態，一路 Enter 下去吧 https://c1.staticflickr.com/9/8849/18729020191_364059279f_b.jpg

最後會確認使用者組態是否正確，沒錯就按 Y 確認並離開，在依照一樣的流程創一個 cli ent02 https://c1.staticflickr.com/9/8889/18726597075_9dbd860a77_b.jpg

再次以 vim /etc/group 就會看到剛才創立的兩個帳號，接著以 :q 離開 https://c1.staticflickr.com/1/448/18540399909_f738d8c3a6_b.jpg

在就可以在 OpenVPN Access Server 管理介面以管理帳號創兩個一樣名稱的帳號 https://c1.staticflickr.com/1/547/18538900000_8036bd19c4_b.jpg

以 https://主機位址:943/ 進入使用者介面，看到CA憑證錯誤的資訊一樣不用驚慌，那是正常的 https://c1.staticflickr.com/1/372/18700291326_56a15a96ac_b.jpg

右下點選 Login ，輸入使用者帳號與密碼，密碼是剛剛創立帳號時輸入的 https://c1.staticflickr.com/1/498/18105936403_b7384f5552_b.jpg

接著會看到這個畫面，你可以下載上方設定好的連線軟體，或是下載下方的設定檔搭配自己的 OpenVPN 連線軟體 https://c1.staticflickr.com/1/499/18538909720_dc8035f249_o.png

下方的設定檔會下載一個 .ovpn 檔頭的設定檔到你的電腦，我使用 Tunnelblick 這套軟體 https://c1.staticflickr.com/1/331/18540409499_66ae34d08f_o.png

匯入設定檔後，第一次連線時依照設定檔跟軟體的差別，可能會詢問使用者帳號與密碼基本上以 OpenVPN Access Server 為基礎架設的 VPN 服務就完成了，再來是實作測試，以花蓮地區的 vDSL 服務作測試，理論頻寬 60M/20M，離光纖交換機箱距離約三百米以內，國內直接連線到伺服器延遲約 46 至 55 微秒 https://c1.staticflickr.com/9/8838/18105936253_06c8ccde19_b.jpg

單向測試，連線到日本後在連線到東京地區的測試點 https://c1.staticflickr.com/9/8847/18540409409_4ca0c53d6a_b.jpg

雙向來回，先連線到日本再連線回台北地區的測試點基本上延遲是在可以接受的範圍，封包遺失率在可以接受的水準，而連線速度上拜廠商東家 GMO Internet Inc. 那條高速回線的威能，以國內個人使用最高速的 100M 而言，可以衝到你自己網路的極速 == 話說日本的主機廠商很喜歡玩二次元形象這種公關行銷，在 CloudCore 的雲野コア、櫻花 VPS 的桜葉愛之外，ConoHa.jp 的美雲このは與美雲あんず姊妹二人組也很紅，不過在出現頻率上美雲このは比例比較高就是了話說このは的聲優是上坂堇，其姐妹あんず的聲優是內田真禮，這根本就是凸守早苗和小鳥游六花的搭配（拖走 https://c1.staticflickr.com/1/386/18700300826_d2dfb79b07_b.jpg