如何使用OpenVPN和Debian創建VPN服務器,如何將自己的VPN安裝在服務器上-Numerama

如何將自己的VPN安裝在服務器上

要設置基於OpenVPN的VPN服務器,有不同的解決方案:靠在PFSENSE這樣的防火牆上,使用Linux機器,使用Windows Machine等。. 今天,我們對Linux機器上的實施感興趣,在這種情況下,Debian 11下.

Debian 11和OpenVPN:如何創建自己的VPN服務器 ?

Linux-如何創建自己的VPN服務器

在本教程中,我們將學會在Debian 11下使用OpenVPN配置VPN服務器,目的是創建VPN服務器,我們將依靠在該服務器上瀏覽Internet. 如果您想在OVHCloud或其他. 因此,遠程客戶端計算機可以通過利用OpenVPN服務器的連接以及遠程基礎結構(無論是VPN服務器本身還是同一網絡的另一台服務器)來連接到OpenVPN服務器,以通過利用OpenVPN服務器的連接來訪問Internet. 實際上,該原則基於“客戶到站點” VPN的實施.

提醒一句, VPN 方法 v很生氣 p鉚接 不是埃博克 VPN的目標很簡單: VPN將在兩個點之間創建虛擬鏈接, 例如,在兩個業務網絡(VPN站點到網站)之間,或在客戶PC和業務網絡(網站上的VPN客戶)之間. 在此鏈接中,稱為 一條隧道, 數據將是 量化 與其他交通隔離,這是VPN的全部利益,這是“私人”的概念. 如今,供個人使用的VPN非常受歡迎,可以圍繞審查制度,在Internet上隱藏您的導航,等等。.

要設置基於OpenVPN的VPN服務器,有不同的解決方案:靠在PFSENSE這樣的防火牆上,使用Linux機器,使用Windows Machine等。. 今天,我們對Linux機器上的實施感興趣,在這種情況下,Debian 11下.

這是有關當天基礎設施的一些信息:

Debian 11 OpenVPN服務器

有幾種可能的架構,包括:

  • OpenVPN服務器具有公共IP地址(VPS的情況),因此我們直接連接到其公共IP地址
  • OpenVPN服務器被掩蓋在路由器 /防火牆後面,因此在NAT後面. 結果,我們連接到設備的公共IP地址(路由器/防火牆),並且由於港口重定向規則,我們連接到VPN – 在這種情況下,我是這個演示的一部分

一旦從VPN客戶端連接到VPN,所有流量都將通過VPN,並通過OpenVPN服務器的Internet連接離開.

ii. 在Debian 11上安裝OpenVPN服務器

我們可以手動配置OpenVPN服務器,然後在我們的Debian 11服務器上逐步配置. 但是,我們將使用 一個安裝腳本,該腳本將允許VPN服務器非常輕鬆,快速部署. 這個腳本,兼容的Debian,Rocky Linux,Fedora,Ubuntu等。. 可在GitHub上找到:您可以隨意修改其代碼.

這個安裝是什麼 ? 這個腳本非常實用,但是它將在機器上做什麼 ?

  • 在Debian機器上,他將安裝以下軟件包:OpenVPN,Iptables,Opensssl,Wget,Ca-Quelification,Curl,Unbound
  • 通過配置文件配置OpenVPN:/etc/OpenVPN/Server.使困惑
  • 配置服務器上的iptables以允許流
  • 激活VPN服務器上的路由(”sysctl網.IPv4.ip_forward = 1“ in /etc /systeml.d/ 99 -openvpn.使困惑 ))

除了安裝OpenVPN服務器外,該腳本還將依靠本地PKI來生成必不可少的證書,以適當運行VPN.

在開始之前,請確保您的VPN服務器連接到Internet,並具有固定的IP地址.

有. 下載安裝腳本

連接到您的未來VPN服務器,然後從更新軟件包緩存開始. 我們還藉此機會安裝捲髮.

sudo apt-get更新sudo apt-get安裝捲曲

然後以捲髮下載安裝腳本:

curl -o https:// raw.githubusent.com/angristan/OpenVPN-Install/Master/OpenVPN-Install.sh

腳本下載後,您必須添加執行權,以便稍後執行它:

chmod +x OpenVPN安裝.sh

然後運行腳本以啟動OpenVPN服務器的逐步啟動配置:

Sudo ./OpenVPN安裝.sh

b. 配置VPN

該消息“歡迎ton the OpenVPN安裝!“情感和配置步驟將被鏈接. 首先,有必要 指示VPN服務器的IPv4地址, 但是好消息是它會自動返回. 如果是本地IP地址,則意味著有一個NAT,在這種情況下,這是合乎邏輯的. 否則,您的服務器的公共IP地址(例如VPS服務器)將在此處顯示. 在這裡,劇本恢復良好” 192.168.100.51“驗證.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟1

除了, 該腳本檢測到NAT的存在並指示公共IP地址. 只需驗證,除非您要指定特定的域名或更正腳本提出的信息(依靠捲曲來恢復您的公共IP).

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟2

請求如果您要激活IPv6支持,則可以指示“ n”以拒絕.

  • 您要列出哪個端口?

然後,您必須選擇VPN服務器會收聽的端口. 默認情況下,這是端口1194,但我建議您使用個性化端口隱藏VPN (您可以使用另一個協議使用的端口(示例:443/https)來更輕鬆地通過某些防火牆).

要定義個性化端口,請指示“ 2”,然後指示端口號. 例如“ 44912”在我的示例中.

  • 您希望使用什麼協議使用OpenVPN ?

OpenVPN使用UDP傳輸協議更快,此外,它是其默認操作模式. 我鼓勵您留在UDP上,除非您嘗試通過防火牆:如果您使用端口443,則使用TCP像HTTPS一樣一致 !

  • 您想將哪些DNS解析器與VPN一起使用 ?

一旦連接到VPN,您想將哪個VPN服務器用於名稱分辨率. 您可以選擇具有選擇13的個性化服務器,也可以從列表中選擇一個指示您的號碼的服務器.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟3

對於第一個系列問題來說,這麼多. 讓我們去.

  • 您想使用壓縮嗎 ?

腳本建議我們不使用壓縮,因為它是由Voracle攻擊使用的. 指示“ n”並驗證.

  • 自定義加密設置 ?

該腳本已經預先配置用於使用某些參數來加密VPN隧道及其整體安全性. 您有可能通過指示“ y”來定義自己的參數,否則只需“ n”.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟4

以下是提供的不同選項(以及推薦的選擇,對應於自動配置)對於那些決定個性化加密選項的人.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟5

審訊的第一部分完成 ! 到目前為止,腳本尚未更改本地機器. 另一方面,在此精確時刻,如果您按“ Enter”鍵(或另一種觸摸),OpenVPN服務器的安裝將啟動.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟6

vs. 創建第一個客戶

遵循VPN服務器的配置,通過腳本的安裝繼續創建第一個VPN客戶. 指示將使用VPN的PC的名稱(只是為了找到您的方式),例如PC-FLO“”. 然後問題”您想用密碼保護配置文件嗎?“顯示,指示為“ 2”,是的 定義建立VPN連接所需的密碼.

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟7

這將在使用的用戶配置文件中生成OVPN配置文件. 在這裡,我被作為根連接,因此配置是在“/root/”中生成的. 從VPN服務器的角度來看,該客戶的添加將生成兩個文件:

  • 客戶證書 /etc/openVPN/easy-rsa/pki/jeard/jeard/jeard/.CRT
  • 客戶的私鑰 /etc/openvpn/easy-psa/pki/private/.鑰匙

筆記 :在任何時候,您可以通過修改配置文件來更改OpenVPN服務器的配置: /etc/OpenVPN/服務器.使困惑

d. 添加一個新的OpenVPN客戶

隨時,您可以添加一個新的純客戶,每台連接的機器都有自己的證書. 是否要 添加或刪除新客戶,只需重新執行腳本,然後選擇“ 1”.

Sudo ./OpenVPN安裝.sh

OpenVPN-添加新用戶

e. 在NAT模式下:港口重定向規則

在NAT模式下,也就是說,使用Router/Firewall後面連接了NAT的VPN服務器,您將不得不 創建港口重定向規則. 否則,在端口44912上為您的公共IP地址的流量將不會被重定向到VPN服務器.

  • 如果這些概念對您來說是模糊的:NAT和PAT為初學者

因此,在我的防火牆上,我創建了一個規則,以重定向udp/44912為VPN服務器的公共IP地址流動(192.168.100.51).

OpenVPN服務器 -  Debian 11-安裝腳本 - 步驟8

iii. 測試VPN連接

以前生成的配置文件(/root/pc-flo.OVPN)在用戶配置文件中必須將必須連接到VPN的計算機. 如果您在Windows上,可以使用WinSCP或SCP,在Linux下可以使用SCP.

有. 在窗戶上

在Windows上,您必須安裝OpenVPN GUI或OpenVPN Connect. 我個人,我用 OpenVPN GUI 因此,我必須在以下目錄中復制並粘貼OVPN文件:

C:\ Program Files \ OpenVPN \ Config

因此,在我的VPN客戶端中,我可以看到我的新VPN連接出現,該連接的名稱為OVPN文件:

OpenVPN-與Debian服務器連接到VPN

點擊連接“, 我必須 輸入與“ PC-FLO”客戶關聯的密碼 為了用我的證書對我進行身份驗證.

連接後,我可以 由於其本地IP地址,在SSH中訪問我的Debian 11服務器, 知道”192.168.100.51“”. 我還可以訪問遠程基礎架構中的其他服務器. 如果我訪問互聯網,我會瀏覽VPN,因此使用VPN Internet連接 !

在Windows側,查看我的計算機的IP配置,我看到VPN隧道在網絡上起作用”10.8.0.0/24“因為我有IP地址”10.8.0.2/24“”. 該子網在文件“/etc/openvpn/server中定義.通過“服務器10行)從VPN服務器進行conf”.8.0.0 255.255.255.0”. 在DNS服務器方面,定義了CloudFlare的服務器(1.0.0.1和1.1.1.1)並且我在初始配置中選擇了.

OpenVPN-在Debian下配置服務器 - 從Windows連接

b. 在Linux上

如果您的客戶帖子(應該使用VPN)在Linux下,則可以通過此命令安裝OpenVPN:

sudo apt-get安裝openVPN

然後,OVPN配置文件必須存放在此位置:

/etc/OpenVPN/客戶/

要觸發基於此配置文件的連接,它足以做到:

OpenVPN-- config/etc/openvpn/customer/pc-flo.OVPN

vs. VPN服務器上的報紙

通過執行以下訂單,在VPN服務器的報紙上可見客戶位置的連接.

Journal-Cttl識別OVPN服務器

例如,當我的Windows客戶帖子連接時,可見以下報紙:

SRV-DEB-1 OVPN服務器[436393]:Multi:Multi_init,r = 256 V = 256 SRV-DEB-1 OVPN-Server [436393]: IFCONFIG池IPv4:base = 10.8.0.2大小= 252 SRV-DEB-1 OVPN服務器[436393]:IFCONFIG池列表SRV-DEB-1 OVPN-Server [436393]:初始化序列完成SRV-DEB-1 OVPN-SERVER [436393]用256位鍵SRV-DEB-1 OVPN -SERVER [436393] :: 53471即將離任的控制渠道加密加密:使用256位消息HASH'sha256服務器[436393] :: 53471傳入控制通道加密:用256位鍵SRV-DEB-1 OVPN-Server [ 436393] :::: 4 SHA256'用於HMAC身份驗證SRV-DEB-1 OVPN-Server [436393] :: 53471 TLS:[AF_INET]的初始數據包89.87.49.50: 53471, SID = EB971C1D A6A6884B SRV-DEB-1 OVPN-Server [436393] :: 53471 VERIFY OK: DEPTH = 1, CN = CN_UIEY50OEG1ZHZHNLA8 SRV-DEB-1 OVPN-TOER [436393]:: = 0, CN = PC-FLO SRV-DEB-1 OVPN服務器[436393] :: 53471 PEER INFO:IV_VER = 2.5.6 SRV-DEB-1 OVPN服務器[436393] :: 53471 PEER INFO: iv_plat =贏 SRV-DEB-1 OVPN-Server [436393] :: 53471 PEER INFO:IV_PROTO = 6 SRV-DEB-1 OVPN-SERVER [436393] ::::: 53471 PEER INFO:IV_NCP = 2 SRV_NCP = 2 SRV-DEB- 1 OVPN-SERVEN-SERVEN-SERVEN-SERVEN-SERVEN-SERVEN-SERVEN-SEREVER [ 436393] :: 53471同行信息:iv_ciphers = AES-256-GCM:AES-128-GCM SRV-DEB-1 OVPN-SERVER [436393 ] ::::::: 53471 PEER信息: [436393 ]:: 53471 peer info: IV_LZ4V2 = 1 SRV-DEB-1 OVPN-Server [436393] :: 53471 Peer Info: IV_LZO = 1 SRV-DEB-1 OVPN -Server [436393]:: 53471 Peer Info: IV_CC_STUB = 1 srv-deb-1 ovpn-server [436393] :: 53471 peer信息:iv_comp_stubv2 = 1 srv-deb-1 ovpn-server [436393] ::::: :: 53471 peer信息:服務器[436393] :: 53471同伴信息:iv_gui_ver =OpenVPN_GUI_11 SRV-DEB-1 OVPN-Server [436393] :: 53471 PEER INFO:IV_SSO = OPENURL,CRTEXT SRV-DEB-1 OVPN-SERVER [436393] :: 53471 CONTROM.3,密碼TLSV1.3 TLS_AES_256_GCM_SHA384,256 BIT EC,曲線:Prime256V1 SRV-DEB-1 OVPN-SERVER [436393] :: 53471 [PC-FLO] [PC-FLO]使用[AF_INET]啟動 :53471

此外,您可以使用以下命令可視化可iptable規則:

iptables -t nat -l -n -n -v

此命令應允許您看到郵政鏈包含以下行:

2200 971k化妝舞會全部 -  * ENS192 10.8.0.0/24 0.0.0.0/0

VPN流動的基本線路要正確路由和運輸.

iv. 結論

本教程即將結束:我們剛剛看到了一種簡單的方式 在Debian 11下設置OpenVPN服務器 使用此出色的安裝腳本. 我花時間向您解釋腳本在做什麼,以便您可以理解自己在做什麼. 知道使用OpenVPN實現VPN有許多可能的配置.

要設置一個VPN以連接到完整的基礎架構,我建議您在防火牆上進行設置,以便能夠直接在此級別上管理流量. 僅授權VPN隧道中的某些協議或僅允許某些主機流動,將更容易. 另一方面,對於您用於個人使用的VPN,例如繞過審查制度,此解決方案是理想的.

分享此文章 分享到Twitter 在臉書上分享 分享LinkedIn 在Google+上分享 電子郵件

  • ←以前的文本4shell:Apache Commons文本庫中的關鍵安全缺陷
  • 這些惡意軟件和下一個Android應用程序的下載量超過2000萬個→

弗洛里安·伯內爾

系統和網絡工程師,IT連接和Microsoft MVP“雲和數據中心管理”的聯合創始人. 我想通過文章分享我的經驗和發現. 通才,具有微軟解決方案和腳本的特殊吸引力. 好閱讀.

弗洛里安(Florian)有4966個帖子和計數.查看Florian的所有帖子

如何將自己的VPN安裝在服務器上

ExpressVPN 11

由於VPN的功能基於服務器,網絡協議和復雜的安全技術,因此安裝您自己的VPN似乎是簡單的致命詞. 是真的 ? 我們試圖自己在服務器上設置自己的VPN.

它很難設置您自己的VPN服務 ? 與“現成” VPN服務(例如ExpressVPN)相比,該操作是有利可圖的 ? 為了回答,我們將自己放在潛在用戶的鞋子上,然後從探索網絡開始. 關於該主題的文獻並沒有放棄,但是可以肯定的是,有很多方法可以製作自製VPN,這是非常不同的困難程度.

在本文中,我們保留了三個,我們將詳細解釋最“簡單”的方法. 自己提高VPN並不一定需要大的計算機知識. 另一方面,您必須有時間在自己面前,而不要害怕將手放在citch中.

在Raspberry Pi上安裝自製VPN

Piratelab在法語上發布了一個非常詳細的教程,在Raspberry Pi上安裝VPN. 這是需要最先決條件的方法:Raspberry Pi的配置,Internet框然後應用程序. 原則是將Raspberry Pi的小型計算機轉換為VPN服務器,我們將配置自己. 通過連接到它,您將瀏覽Raspberry Pi的IP地址,您將從其連接到的Internet連接(以及相關的IP)中受益(例如,您的房屋的IP)受益. 如果這是光纖連接,則流將非常好,但是如果它是ADSL連接,您將在機械上受到限制.

Raspberry-Pi-3模型-B- ledenichericur

通過安裝算法VPN在虛擬機上安裝VPN

如果您真的不害怕虛擬機上的命令行,那麼ALGO VPN解決方案適合您. 這是一個非常易於安裝的VPN解決方案(但要配置少得多),開源,它允許您在許多虛擬機上安裝VPN(帶有WireGuard或IPSEC協議). 美國開發人員Lenny Zeltser在他的博客上寫了一個非常完整的英語教程.

通過主機的交鑰匙解決方案

但是,對於公眾而言,最簡單的解決方案是創建您自己的VPN,是通過主機的“交鑰匙”解決方案. 這是我們要在下面詳細介紹的解決方案. 要使用它,我們將以主機尺度的示例(其他主機提供相同的解決方案,無論是在OVH還是Digitalocean). 在他的實例中,他確實提供了使用“ InstantApps”的選擇.

具體地,在兩次單擊和幾分鐘內,可以擁有具有分配的服務器(Ubuntu ML)和一個預裝的應用程序. 然後,用戶只需要支付服務器的租金並配置其在線命令應用程序.

租您的服務器

首先,在規模開設帳戶. 註冊是免費的,但需要輸入銀行卡號並進行2歐元的付款. 這是正常的,您將要租用服務器,並且在一個月或一分鐘內定價.

在接口中,在左側欄中單擊實例,然後在綠色按鈕上” 創建一個實例 »»». 恭喜,您將要設置第一台服務器. 然後顯示服務器個性化菜單. 在第1步中(” 選擇圖像 »),單擊InstantApps,然後選擇OpenVPN.

Scaleway VPN 4

這是您要配置服務器的地方. 我們選擇在荷蘭阿姆斯特丹找到服務器. 在那裡,我們的未來IP地址將被搬遷.

現在是服務器類型的選擇. 我們需要一台小型服務器,該服務器會照顧我們的IP地址並在互聯網上為我們導航. 我們在這裡不需要功能強大的服務器,最便宜的服務器將為本教程的需求做好問題.

轉到“開發”選項卡,採取最便宜的選擇,最高速度為200 MB/s。

轉到“開發”選項卡並採用最便宜的選擇,該選項的最大流量為200 mb/s.

您只需要給您的身體起一個小名字,尤其是將其與SSH鑰匙相關聯. 我們不會解釋如何生成SSH密鑰並將其與實例,Scaleway或OVH相關聯. 在本教程的其餘部分中,我們將瀏覽油灰軟件進入命令行.

配置OpenVPN

如果執行了所有這些步驟,您現在擁有安裝OpenVPN的服務器. 現在,我們必須直接在服務器上配置OpenVPN.

通過終端(在MAC和Linux上)或Putty(Windows)連接到服務器. 當服務器要求您識別自己時,只需輸入root. 現在,我們將配置OpenVPN,以便與VPN應用程序連接時可以在服務器上識別我們. 更具體地說,我們將創建一個用戶配置文件.

首先,輸入“ root”命令. 服務器表示已安裝了OpenVPN,並且可以使用.

輸入開始命令

然後輸入“ scw-ovpn”命令,該命令將創建新用戶.

然後輸入命令

要創建一個新用戶,請輸入“ SCW-ovpn創建名稱”命令或名稱為Nomutilizer,顧名思義,您將要採用的用戶名稱. 在這裡,我們將“ monpremiervpn”放在這裡.

要創建一個新用戶,請輸入“ SCW-ovpn創建名稱”命令,或者正如其名稱所暗示的那樣,您將要獲取的用戶名稱。在這裡,我們將“ monpremiervpn”放在這裡。

現在創建了它,您需要文件 .OVPN可以讓您使用VPN客戶連接時在服務器上識別自己.

生成文件 .OVPN輸入“ scw-ovpn發出名稱”命令. 然後,服務器將生成一個鏈接,允許您下載文件 .OVPN.

要生成它,請輸入“ scw-ovpn serve name”命令。然後,服務器將生成一個鏈接,允許您下載.OVPN文件。

將OpenVPN自動生成的鏈接複製到您的瀏覽器(如果您是命令行,請使用SSH命令下載)以下載文件. 請注意,該鏈接僅在此訂單期間可用:一旦您按條目,該鏈接將過期.

使用VPN客戶

恢復文件後 .OVPN,最難做到. 您要做的就是下載VPN客戶. OpenVPN的情況非常好. 下載它,然後安裝. 然後只導入文件 .客戶中的OVPN通過隧道連接到服務器.

OpenVPN 1

恭喜,您只是提出了第一個VPN !

容易,但有限

回答感興趣的問題:不,創建自己的VPN並不是很複雜. 但是,與ExpressVPN這樣的解決方案相比.

長安裝

您確實必須花時間安裝多個軟件(OpenVPN,Putty),學習並了解SSH密鑰如何工作並使用主機打開帳戶. ExpressVPN在大量設備(計算機,手機等)上提供了一個應用程序,該應用程序僅需要三下單擊即可解決,並且完全以法語翻譯.

可以選擇我們要連接的國家,在某些情況下,我們想連接的確切城市。還存在搜索引擎。

可以選擇我們要連接的國家,在某些情況下,我們想連接的確切城市. 還存在搜索引擎.

一個沒有吸引力的價格

在我們的示例中,Scaleway以每月4.99歐元(稅)的價格提供其InstantApp OpenVPN服務. ExpressVPN目前提供的一年訂閱每月不到6歐元. 對於非常不同的服務質量,這幾乎是等效的.

有限的功能

要問的一個好問題不是要知道創建自己的VPN是否複雜,而是知道您想使用VPN做什麼. 在我們的示例中,我們的VPN位於荷蘭,使用基本應用程序OpenVPN.

換句話說,您只有一台服務器在160個不同的位置提供3,000多個服務器. 您將無法訪問拆分隧道功能或大量協議選擇. 我們房屋VPN的流量也低於ExpressVPN服務器提供的流量. 最後,這台位於歐洲的獨特服務器將不允許您訪問SVOD平台的外國目錄.

拆分隧道使您可以包裹VPN連接具有特定的應用程序。

拆分隧道使您可以將VPN連接限制為特定應用程序.

目前,很少有主機提供位於美國的服務器. 即使他們願意,也不能保證訪問Netflix的美國目錄. 使用ExpressVPN這樣的解決方案,就不會出現問題:只需連接到美國或加拿大服務器即可訪問外國目錄

好的VPN供應商更簡單

簡而言之,如果您需要具有單個服務器的VPN,有限的功能,並且您不害怕將手放在控制線中,那麼您可以樂趣安裝自己的VPN. 如果您需要兩次單擊的解決方案,具有數千台服務器和強大的隱私政策,ExpressVPN是當下的最佳選擇之一.

ExpressVPN設備

ExpressVPN目前提供一年訂閱的特別優惠. 這個有三個月. 因此,此訂閱每月不到6歐元. 為了了解服務的質量,您還進行了30天的“滿足或報銷”測試,在此期間您可以通過聯繫售後服務來停止並隨時獲得訂閱的報銷,而不會質疑它.

comparator_vpn_numerama v1

你想知道最好的VPN是什麼 ? 我們選擇最好的VPN,答案是在我們的比較器中

本文是與ExpressVPN合作進行的

這是由人類XP實體中的獨立編輯者創建的內容. Numerama的編輯團隊沒有參與其創建. 我們致力於讀者,以便這些內容有趣,定性並與他們的利益相符.