2015年6月13日 星期六

在 ConoHa 上以 Ubuntu 14.04 LTS 搭配 OpenVPN Access Server 架設 OpenVPN 服務

ConoHa_step30
美雲このは真的好可愛(滾動

在前篇在 VULTR 上以 Ubuntu 14.04 LTS 架設 PPTP VPN 服務之後,這次要示範的是在日本主機商 ConoHa.jp 上架設 VPN 服務,由於 ConoHa.jp 阻擋了 GRE 通訊協定,因此無法在上面架設 PPTP 服務,考慮到以 Linux 系統架設 L2TP/IPSec 或是 Cisco IPsec 服務有一定難度與低容錯性,這裡以較為簡單的 OpenVPN 作實作

OpenVPN 可以說是一個用於建立虛擬私人網路絡加密通道的整合軟體環境,在建立連線上,OpenVPN 允許使用公開金鑰、電子憑證、或者使用者名稱、密碼的方式來進行身份驗證,進而產生連線,而在運行 Linux 系統的 VPS 上建立 OpenVPN 服務有兩種方式,一種是藉由 apt-get 獲得整合好的安裝套件 OpenVPN Access Server,另一種也是透過 apt-get,但採用的是開源的 OpenVPN,安裝後再使用 easy-rsa 套件簽發伺服端、連接者端與使用者端共三組數位憑證,接著撰寫供 OpenVPN 使用的 .ovpn 檔案,而這次實作的是前著,採用 OpenVPN Access Server 的方案

接著談一談 ConoHa.jp,ConoHa.jp 算是日本主機商之中較為的國際化的一家,相較於俗稱櫻花 VPS 的 SAKURA VPS 與 CloudCore 一般排外,沒有限定日本地區信用卡、註冊時需要驗證日本電話號碼與地址的要求,反而一開始就提供了英文與簡體中文的介面,也支援國際信用卡與 PayPal 等支付方式

而在規格上,ConoHa.jp 使用的是 Xen 虛擬化技術,故不會有採用 OpenVZ 技術的廠商一樣發生超賣單位,超出的伺服器極限的問題,而以最低規格而言,就提供了兩個處理器虛擬單位,1GB 記憶體,與 50GB 容量的固態硬碟,傳輸流量方面無限制,上下速度 100Mbps,預設提供 IPv4 與 IPv6 位址,價格則是每個月 900 円


ConoHa_step1
ConoHa 的英文版介面
ConoHa_step2
以基本的 1GB 記憶體,50GB 容量的固態硬碟方案而言,每小時 1.3 円,一天 31.2 円,一個月則算成 900 円
ConoHa_step3
單位部屬速度比 Vultr 還要快,登入方式一樣是 ssh root@VPS 的網路位址 ,輸入管理密碼後以 root 權限登入

root 帳號的密碼就是剛才在部屬單位時你設定的 root password,這邊要特別說一點,由於 ConoHa.jp 預設是沒有任何方式去保護你的單位,在安全登入上, 由於改 SSH 連接埠的工程浩大,因此建議安裝一個名叫 fail2ban 的安全套件來防止惡意登入者去猜 root 密碼,進而取得 VPS 的操控權

這邊先使用 apt-get install fail2ban 來獲得安全套件

安裝後使用 cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 複製設定檔

然後使用 vim /etc/fail2ban/jail.local 修改設定檔,關於 fail2ban 在 Ubuntu 的設定網路上很多了,這邊就不贅述了,但是要確認 SSH 防護有打開
** 這邊簡單敘述一下 Vim 文字編輯器的指令,i 是進入編輯模式、Esc 會離開編輯模式到上層,在上層 :w 是存檔、:wq 是存檔後離開、:q 是直接離開不存檔

使用 /etc/init.d/fail2ban restart 來重新啟動 fail2ban 服務,至此 fail2ban 安裝完成


ConoHa_step5
fail2ban-client status 可以確認 fail2ban 的運作模式,看到附圖那樣基本就沒問題了
ConoHa_step6
順手用 apt-get install iptables 安裝路由表套件,接著用 wget 指令獲得 OpenVPN Access Server 安裝包
ConoHa_step7
wget http://swupdate.openvpn.org/as/openvpn-as-2.0.17-Ubuntu14.amd_64.deb 是給 64 位元 Ubuntu 14.04 LTS 使用
ConoHa_step8
下載完成後使用 dpkg -i openvpn-as-2.0.17-Ubuntu14.amd_64.deb 來安裝剛才下載的套件

接著就可以看到如上圖的畫面,管理者介面是 https://主機位址:943/admin,一般使用者則是 https://主機位址:943/,同時會要你創一個管理 OpenVPN Access Server 服務的帳號,預設名稱是 openvpn,密碼則是自行輸入,會作一次確認

與開源的 OpenVPN 安裝套件不同,OpenVPN Access Server 是由開發 OpenVPN 的母公司所開發的簡易安裝套件,與前者不同,OpenVPN Access Server 安裝過程較為方便,伺服端與客戶端的設定也已經做好了,但是有著除非購買授權碼,一般用戶最大兩個客戶端同時連線的限制,當然對於小規模的應用來說,兩個人同時連線已經堪用,如果需要更多連線的話,建議使用開源的 OpenVPN 安裝套件做架設


ConoHa_step10
https://主機位址:943/admin 進入管理者介面,看到憑證錯誤的資訊不用驚慌,那是正常的
ConoHa_step9
第一次啟動會看到 OpenVPN Access Server 的 EULA(終端用戶許可協議)
ConoHa_step11
同意之後就可以看到這個管理畫面

接下來要解釋如何在 OpenVPN Access Server 添加使用者帳號,這裡需要再次以 root 權限的帳號進去創立新帳號

可以先輸入 vim /etc/group vim /etc/passwd 來檢視使用者群組與狀態,沒意外的話會看到使用者最下方有一個 openvpn,這是你在架設 OpenVPN Access Server 時創的管理者帳號,其實這個帳號也可以擁有設定檔、連線到 OpenVPN 的功能,不過我建議另外創兩個單純用於連線的帳號


ConoHa_step13
vim /etc/group 檢視使用者群組,接著以 :q 離開
ConoHa_step14
vim /etc/passwd 檢視使用者狀態與權限,接著以 :q 離開
ConoHa_step12
輸入 adduser client01 指令會創造出一個名叫 client01 的帳號
ConoHa_step15
輸入 client01 的密碼,輸入後會再作一次確認,接著會確定使用者組態,一路 Enter 下去吧
ConoHa_step16
最後會確認使用者組態是否正確,沒錯就按 Y 確認並離開,在依照一樣的流程創一個 client02
ConoHa_step17
再次以 vim /etc/group 就會看到剛才創立的兩個帳號,接著以 :q 離開
ConoHa_step18
在就可以在 OpenVPN Access Server 管理介面以管理帳號創兩個一樣名稱的帳號
ConoHa_step19
https://主機位址:943/ 進入使用者介面,看到憑證錯誤的資訊一樣不用驚慌,那是正常的
ConoHa_step20
右下點選 Login ,輸入使用者帳號與密碼,密碼是剛剛創立帳號時輸入的
ConoHa_step21
接著會看到這個畫面,你可以下載上方設定好的連線軟體,或是下載下方的設定檔搭配自己的 OpenVPN 連線軟體
ConoHa_step22
下方的設定檔會下載一個 .ovpn 檔頭的設定檔到你的電腦,我使用 Tunnelblick 這套軟體
ConoHa_step23
在 Tunnelblick 非啟動的情況下點選 .ovpn 檔頭的設定檔安裝,需要使用者權限
ConoHa_step24
這邊隨意啦
ConoHa_step25
第一次連線時依照設定檔跟軟體的差別,可能會詢問使用者帳號與密碼

基本上以 OpenVPN Access Server 為基礎架設的 VPN 服務就完成了,再來是實作測試,以花蓮地區的 vDSL 服務作測試,理論頻寬 60M/20M,離光纖交換機箱距離約三百米以內,國內直接連線到伺服器延遲約 46 至 55 微秒

ConoHa_step26
單向測試,連線到日本後在連線到東京地區的測試點
ConoHa_step27
雙向來回,先連線到日本再連線回台北地區的測試點

基本上延遲是在可以接受的範圍,封包遺失率在可以接受的水準,而連線速度上拜 GMO Internet Inc. 那條高速回線的威能,以國內個人使用最高速的 100M 而言,可以衝到你自己網路的極速

話說日本的 VPS 廠商很喜歡玩二次元形象這種公關行銷,在 CloudCore 的雲野コア、SAKURA VPS 的桜葉愛 之外,ConoHa.jp 的 美雲このは 與 美雲あんず 姊妹二人組也很紅,不過在出現頻率上美雲このは比例比較高就是了

話說このは的聲優是上坂堇,其姐妹あんず的聲優是內田真禮,這根本就是凸守早苗和小鳥游六花的搭配


ConoHa_step29
把 ConoHa.jp 的主網址改成 https://www.conoha.jp/conoha ,美雲このは會出來跟你打招呼
ConoHa_step31
在主機管理面板也可以看到她噢,不過介面語言要選日文,再把介面風格切換成 このはモード ,其他介面語言下不知為什麼出不來
ConoHa_step28
美雲このは同時也擔任東家 ConoHa.jp 的錯誤娘

17 則留言:

  1. 作者您好,參考了您這篇文章,架了VPN,使用至今也有一個禮拜了。相當穩定的一套軟體。
    不過有幾點想要詢問一下。
    1.像OpenVpn Access Server 一般客戶,只能設立兩個使用者帳戶,意思是指,最多只能提供兩個用戶使用VPN連線是嗎?

    2.承上,因為本身自己租Conoha是用於架設遊戲伺服器之用,那另外的用途也是作為自己的私人VPN用來遊玩日本遊戲
    不過有鑑於近日朋友們也有考慮索取VPN之用。因此想知道說,如果想要架設所謂的開源的OPENVPN,作者有意願在寫一篇教學文嗎?

    以上兩個問題詢問,感謝~~~

    回覆刪除
    回覆
    1. 同求开源的openvpn 感谢♂

      刪除
    2. 不♂洩

      很遗憾开源的我没有架设成功过,所以目前还是以 OAS 为主

      刪除
  2. 作者您好,參考了你的文章,也成功在ConoHa上架設了屬於自己的VPN。

    那不知道作者有沒有意願再寫一篇關於在ConoHA 架設 Open Source的OPENVPN教學呢?

    因為感覺作者的文章比網路上的文章來說,淺顯易懂許多(加上圖文並茂)

    還請務必在開一篇教學造福各位ConoHa的使用者們<(_ _)>

    回覆刪除
  3. 不好意思大大!大概我比較笨~ ~"我卡在(管理者介面是 https://主機位址:943/admin,一般使用者則是 https://主機位址:943/,同時會要你創一個管理 OpenVPN Access Server 服務的帳號,預設名稱是 openvpn,密碼則是自行輸入,會作一次確認) 這邊我按連接網址到主機哪邊預設名稱輸入openvpn但是密碼怎麼輸入怎麼錯誤!!請問是怎麼設定!因為我是完全初學者!謝謝

    回覆刪除
    回覆
    1. 先用「vim /etc/group」看一下有沒有帳號叫做「openvpn」,有的話使用「passwd openvpn」去重設密碼即可

      刪除
    2. 謝謝大大!!
      成功了!!

      刪除
  4. 想請問一下 假設性我玩一個遊戲 可以指定此遊戲的IP使用VPN嗎?
    另外我架設美國區域 可是他顯示IP 怎麼會是日本阿

    回覆刪除
    回覆
    1. 主要是 ConoHa 分給你的 IP 段的問題,因為他是日本主機商,所以一開始分配 IP 的時候登記位置是日本,即使你主機在美國,也可能分到登記在日本的 IP

      刪除
  5. 您好,我使用"https://主機位址:943/admin"進入登入畫面的時候怎麼都登入不進去管理者介面
    使用root登入的時候卻說沒有權限使用管理者UI
    可以教我如何使用嗎?

    回覆刪除
    回覆
    1. root 是系統帳號,基本上不會讓碰它,管理者帳號是正常是 openvpn,密碼是你設定的,如果覺得登不進去可以用 vim /etc/passwd 跟 vim /etc/group 去檢查一下

      刪除
  6. 您好,服務都架設好了,但是使用WEB下載下來的連線程式,一直連不上,使用手機下載openvpn 可連上,但是連上後 無法上網,少設定到什麼了嗎

    回覆刪除
    回覆
    1. 如果不行的話,可能是從 OpenVPN-AS 網頁抓下來軟體有問題,可以用第三方的軟體搭配 .ovpn 檔頭的設定檔,而手機上的 App 則是用瀏覽器登入後,把那的 .ovpn 檔頭的設定檔的下載連結複製,貼到 App 裡面(我是 iOS 平台)沒意外它就會提示你如何安裝設定檔了

      刪除
  7. 您好,请问OpenVPN会被GFW拦截,有什么好的解决方案吗?

    回覆刪除
  8. 請問大大妳現在重新設定的話可以設定連線成功嗎? 我一時手賤刪除後現在重新設定都無法連線!!!
    設定都正常但是電腦連接OPENVPN就是連接不上去

    回覆刪除