egg_studio 發表於 4-3-2015 00:57:59

翻牆超簡單 II -- 自行架設 OpenVPN server 教學

近期有會員反映,在國內用 VPN 已經不能翻牆,經會員、我、及瀏覽國內外 forum ,發覺所言無誤,並知悉 blocking 嘅原理。

又經會員反映,用 OpenVPN 可以成功翻牆,之後又經自己實地試驗,以「自行架設的 OpenVPN」可飛越長城。(一般網上隨時搵到嘅 OpenVPN 、無論係免費及付費,技術上好容易 block,而且原理簡單,下面有講)




VPN 嘅原理。

前言:
先以有限知識,簡單講講 VPN 及 OpenVPN 分別:


[*]VPN:即之前教學所述(見翻牆超簡單 -- 自行架設 VPN server 教學),果種係 PPTP VPN 或 L2TP VPN,好處係簡單,一般唔係 cheap 到盡或遠古年代嘅 router 已內置,唔駛另購 hardware ,而且 setup 簡單。缺點係太簡單 -- 重點係 port (連接埠)冇得揀,所以長城只要將通往國外嘅 VPN port number 阻擋,大家就點都翻唔到。
[*]OpenVPN:同 PPTP VPN 及 L2TP VPN 差唔多,但重點:
(1) Port 可以任揀 -- 好多人會將 port 揀成同 SSL、SSH、https 等等嘅 port,作用係「扮」作一啲需要加密嘅連線,例如 email、銀行等等,因此,除非長城將所有通往國外嘅加密連線 block 晒,否則技術上係 block 唔到。(但都有方法對應,又看下文)
(2) 可用 256bit 加密,理論上只係科幻小說或我寫嘅小說入面先可以解密,因此,長城理論上無可能以分析數據內容去決定 block 唔 block 你。(但又有方法對應,又又看下文)

加上 OpenVPN ssrver 係響屋企 setup -- 一般家居寬頻都係浮動 IP -- 加埋 (1) 及 (2) 後,三個組合構成「不能理解是否 VPN 連線」的連線,換言之,長城冇辦法 block。

SetupOpenVPN server(響屋企):

先簡單講講點樣響屋企 setup 一個 OpenVPN server:

大部分 router 都唔支援 OpenVPN,因此一般有三個辦法解決:

[*]買另一個寫明支援 OpenVPN 嘅 router(請準備可觀金錢);
[*]將原有 router 「擦機」成 DD-WRT -- 我上次教學用嘅 Buffalo AirStation WHR-HP-G300N router(兩舊水)係可以嘅,不過「擦機」後穩定性變差,而後來又買咗 NAS,所以放棄使用 DD-WRT;
[*]使用 NAS 內置嘅 OpenVPN server,亦係以下教學嘅例子。(請參考平價抵玩 NAS 開箱 -- QNAP TS-212P)






[*]QNAP TS-212P control panel --> VPN Server
[*]QNAP TS-212P 支援 PPTP VPN 及 OpenVPN,留意必須使用加密(encryption),最少 128bit,256bit 也可,不過加密會消耗運算能力,所以請自行衡量。
[*]OpenVPN 可自行選擇 port。Default 係 1194,但可改成其他,例如 https、SSL、SSH、xxx、yyy 等等嘅 port(443、22、666、999......)
[*]OpenVPN 需要 download 一個 certificate file,裏面有一個 xxx.crt 檔案。簡單說明,入面係加密嘅「鎖匙」,需要將「鎖匙」放入要翻牆嘅電腦、手機、平板。




之後係 user。都係啲 login name 及 password 嘅嘢,唔駛多講。



連接 OpenVPN server:

我以 Android 手機響國內連接 WiFi,然後連接屋企 QNAP TS-212P 嘅 OpenVPN server。




[*]Android 及其他平台都有唔少 OpenVPN client 軟件,絕大部分免費(可能 OpenVPN 本身係 open source)。
[*]我用 OpenVPN Connect (Android)。
[*]將剛才 download 嘅「鎖匙」 (certificate file)放入手機,然後 import 入 OpenVPN Connect 裏面。
[*]Connect 後,會出現以上畫面,表示成功連接屋企嘅 OpenVPN server。(至於點解有啲人話用 OpenVPN 都唔得,請看下文)


測試:
響國內政協會議期間,分別以增城市政府免費 WiFi、南昆山某地道餐廳 WiFi、及平價酒店 WiFi 連接。

[*]未用 OpenVPN 時:大笪地政治正確、又冇教壞細路仔,當然可以自由穿越長城,但反中亂港嘅香港報章、中國西北面嘅恐怖組織網頁、「相片上載後版權再唔屬於你」嘅社交網站就統統去唔到。
[*]連接 OpenVPN 後:上述網站都去到。





下文:
上面提到幾個「下文」,簡單講講:


[*]一般網上搵到嘅免費及收費 OpenVPN / VPN / proxy service 都十分容易被 block,因為儘管 port 可以任揀 + 加密,但一開始連接時需要連上免費及收費 OpenVPN 嘅 server 建立 VPN 連線,因此,只要 block 咗該 server 嘅 IP 就搞掂。因此,長城只要記錄及分析國外 VPN service 公司嘅 IP 及流量,就可以簡單 block 咗佢,直至該 service 轉 IP,咁當又多人用時(流量及 client 數目上升),長城又 block 咗新 IP。
[*]點解有辦法將 256bit 加密拆解?原因亦係我高度唔建議使用免費及收費 OpenVPN server 嘅原因:(為免危害國家安全嘅人睇到,要閱讀權限)

**** Hidden Message *****
[*]因為 128/256 bit 加密理論上以現今嘅電腦運算能力,冇可能 / 好難拆解,亦可能咁嘅原因,寫呢個教學時,睇到新聞報導,內地建議將來電腦要有「後門」,用於監察 -- 間接表示,若配合 OpenVPN 嘅任何 port + 浮動 IP ,長城理論上冇可能 block。


呢啲真係唔好用。


以上教學及技術純粹分享以個人知識及經驗,有興趣知多啲、有錯漏、補充、報告等等,歡迎留言研究!








eddiechow007 發表於 16-4-2015 00:42:13

:D多謝分享 !

LamKen@G 發表於 19-9-2016 11:57:07

多謝分享 !:P

DannyFong@FB 發表於 30-1-2017 22:20:58

Thanks for sharing!!!!!!!!!!!!!!!!!

koos 發表於 20-2-2017 16:04:29

多謝分享:D:D
頁: [1]
查看完整版本: 翻牆超簡單 II -- 自行架設 OpenVPN server 教學