找回密碼
 登記成會員
搜索
查看: 36580|回復: 4

翻牆超簡單 II -- 自行架設 OpenVPN server 教學

[複製鏈接]
發表於 4-3-2015 00:57:59 | 顯示全部樓層 |閱讀模式

登記成為會員,看更多精采內容!

您需要 登錄 才可以下載或查看,沒有賬號?登記成會員

×
近期有會員反映,在國內用 VPN 已經不能翻牆,經會員、我、及瀏覽國內外 forum ,發覺所言無誤,並知悉 blocking 嘅原理。

又經會員反映,用 OpenVPN 可以成功翻牆,之後又經自己實地試驗,以「自行架設的 OpenVPN」可飛越長城。(一般網上隨時搵到嘅 OpenVPN 、無論係免費及付費,技術上好容易 block,而且原理簡單,下面有講)  



VPNENG.png
VPN 嘅原理。

前言:
先以有限知識,簡單講講 VPN 及 OpenVPN 分別:

  • VPN:即之前教學所述(見翻牆超簡單 -- 自行架設 VPN server 教學),果種係 PPTP VPN 或 L2TP VPN,好處係簡單,一般唔係 cheap 到盡或遠古年代嘅 router 已內置,唔駛另購 hardware ,而且 setup 簡單。缺點係太簡單 -- 重點係 port (連接埠)冇得揀,所以長城只要將通往國外嘅 VPN port number 阻擋,大家就點都翻唔到。
  • OpenVPN:同 PPTP VPN 及 L2TP VPN 差唔多,但重點:
    (1) Port 可以任揀 -- 好多人會將 port 揀成同 SSL、SSH、https 等等嘅 port,作用係「扮」作一啲需要加密嘅連線,例如 email、銀行等等,因此,除非長城將所有通往國外嘅加密連線 block 晒,否則技術上係 block 唔到。(但都有方法對應,又看下文)
    (2) 可用 256bit 加密,理論上只係科幻小說或我寫嘅小說入面先可以解密,因此,長城理論上無可能以分析數據內容去決定 block 唔 block 你。(但又有方法對應,又又看下文)

    加上 OpenVPN ssrver 係響屋企 setup -- 一般家居寬頻都係浮動 IP -- 加埋 (1) 及 (2) 後,三個組合構成「不能理解是否 VPN 連線」的連線,換言之,長城冇辦法 block。

Setup  OpenVPN server(響屋企):

先簡單講講點樣響屋企 setup 一個 OpenVPN server:

大部分 router 都唔支援 OpenVPN,因此一般有三個辦法解決:
  • 買另一個寫明支援 OpenVPN 嘅 router(請準備可觀金錢);
  • 將原有 router 「擦機」成 DD-WRT -- 我上次教學用嘅 Buffalo AirStation WHR-HP-G300N router(兩舊水)係可以嘅,不過「擦機」後穩定性變差,而後來又買咗 NAS,所以放棄使用 DD-WRT;
  • 使用 NAS 內置嘅 OpenVPN server,亦係以下教學嘅例子。(請參考平價抵玩 NAS 開箱 -- QNAP TS-212P




Screen Shot 2015-03-03 at 10.15.10 am.png
  • QNAP TS-212P control panel --> VPN Server
  • QNAP TS-212P 支援 PPTP VPN 及 OpenVPN,留意必須使用加密(encryption),最少 128bit,256bit 也可,不過加密會消耗運算能力,所以請自行衡量。
  • OpenVPN 可自行選擇 port。Default 係 1194,但可改成其他,例如 https、SSL、SSH、xxx、yyy 等等嘅 port(443、22、666、999......)
  • OpenVPN 需要 download 一個 certificate file,裏面有一個 xxx.crt 檔案。簡單說明,入面係加密嘅「鎖匙」,需要將「鎖匙」放入要翻牆嘅電腦、手機、平板。



Screen Shot 2015-03-03 at 10.15.40 am.png
之後係 user。都係啲 login name 及 password 嘅嘢,唔駛多講。



連接 OpenVPN server:

我以 Android 手機響國內連接 WiFi,然後連接屋企 QNAP TS-212P 嘅 OpenVPN server。


Screenshot_2015-02-28-18-28-02_aa.png
  • Android 及其他平台都有唔少 OpenVPN client 軟件,絕大部分免費(可能 OpenVPN 本身係 open source)。
  • 我用 OpenVPN Connect (Android)。
  • 將剛才 download 嘅「鎖匙」 (certificate file)放入手機,然後 import 入 OpenVPN Connect 裏面。
  • Connect 後,會出現以上畫面,表示成功連接屋企嘅 OpenVPN server。(至於點解有啲人話用 OpenVPN 都唔得,請看下文)


測試:
響國內政協會議期間,分別以增城市政府免費 WiFi、南昆山某地道餐廳 WiFi、及平價酒店 WiFi 連接。
  • 未用 OpenVPN 時:大笪地政治正確、又冇教壞細路仔,當然可以自由穿越長城,但反中亂港嘅香港報章、中國西北面嘅恐怖組織網頁、「相片上載後版權再唔屬於你」嘅社交網站就統統去唔到。
  • 連接 OpenVPN 後:上述網站都去到。

Screenshot_2015-02-28-21-37-41 2.png Screenshot_2015-03-01-13-16-29.png



下文:
上面提到幾個「下文」,簡單講講:

  • 一般網上搵到嘅免費及收費 OpenVPN / VPN / proxy service 都十分容易被 block,因為儘管 port 可以任揀 + 加密,但一開始連接時需要連上免費及收費 OpenVPN 嘅 server 建立 VPN 連線,因此,只要 block 咗該 server 嘅 IP 就搞掂。因此,長城只要記錄及分析國外 VPN service 公司嘅 IP 及流量,就可以簡單 block 咗佢,直至該 service 轉 IP,咁當又多人用時(流量及 client 數目上升),長城又 block 咗新 IP。
  • 點解有辦法將 256bit 加密拆解?原因亦係我高度唔建議使用免費及收費 OpenVPN server 嘅原因:(為免危害國家安全嘅人睇到,要閱讀權限)

    遊客,本帖隱藏的內容需要積分高於 200 才可瀏覽,您當前積分為 0
  • 因為 128/256 bit 加密理論上以現今嘅電腦運算能力,冇可能 / 好難拆解,亦可能咁嘅原因,寫呢個教學時,睇到新聞報導,內地建議將來電腦要有「後門」,用於監察 -- 間接表示,若配合 OpenVPN 嘅任何 port + 浮動 IP ,長城理論上冇可能 block。

Screen Shot 2015-03-04 at 12.50.58 am.png
呢啲真係唔好用。


以上教學及技術純粹分享以個人知識及經驗,有興趣知多啲、有錯漏、補充、報告等等,歡迎留言研究!








發表於 16-4-2015 00:42:13 | 顯示全部樓層
  多謝分享 !
發表於 19-9-2016 11:57:07 | 顯示全部樓層
多謝分享 !
發表於 30-1-2017 22:20:58 | 顯示全部樓層
Thanks for sharing!!!!!!!!!!!!!!!!!
發表於 20-2-2017 16:04:29 | 顯示全部樓層
多謝分享
您需要登錄後才可以回帖 登錄 | 登記成會員

本版積分規則

聯絡|手機版|香港大笪地

GMT+8, 4-12-2024 01:27 AM

Powered by Discuz! X3.5

Copyright © 2001-2024 Tencent Cloud.

快速回復 返回頂部 返回列表