如何在免費 WiFi 中保護隱私(一)
你是否連接到了不受信任的網路,例如酒店或咖啡館的 WiFi,而又需要通過智能手機和筆記本電腦安全瀏覽互聯網?通過使用虛擬專用網路,你可以匿名訪問不受信任的網路,就像你在專用網路上一樣安全。
「虛擬專用網路」 是保護私人數據的絕佳工具。通過使用 「虛擬專用網路」,你可以在保持匿名的同時連接到互聯網上的專用網路。
可選的 「虛擬專用網路」 服務有很多,0penVPN 依然是很多人在使用不受信任的網路時保護私人數據的第一選擇。
0penVPN 在兩點之間創建一個加密通道,防止第三方訪問你的網路流量數據。通過設置你的 「虛擬專用網路」 服務,你可以成為你自己的 「虛擬專用網路」 服務商。許多流行的 「虛擬專用網路」 服務都使用 0penVPN,所以當你可以掌控自己的網路時,為什麼還要將你的網路連接綁定到特定的提供商呢?
搭建 Linux 伺服器
首先,在備用 PC 上安裝一份 Linux。本例使用 Fedora,但是不論你使用的是什麼 Linux 發行版,步驟基本是相同的。
從 Fedora 項目 網站下載最新的 Fedora ISO 副本。製作一個 USB 啟動盤,將其插入到你的 PC 並啟動,然後安裝操作系統。如果你從未製作過可引導的 USB 啟動盤,可以了解一下 Fedora Media Writer。如果你從未安裝過 Linux,請閱讀 三步安裝 Linux。
設置網路
安裝完成 Fedora 操作系統後,登錄到控制台或者 SSH 會話。
更新到最新並重新啟動:
$ sudo dnf update -y && reboot
重新登錄並關閉防火牆:
systemctl disable firewalld.service
systemctl stop firewalld.service
你可能希望在此系統上為你的內部網路添加適當的防火牆規則。如果是這樣,請在關閉所有防火牆規則後完成 0penVPN 的設置和調試,然後添加本地防火牆規則。想要了解更多,請參照 在 Linux 上設置防火牆。
設置 IP 地址
你需要在你的本地網路設置一個靜態 IP 地址。下面的命令假設在一個名為 ens3
的設備上有一個名為 ens3
的 網路管理器 連接。你的設備和連接名稱可能不同,你可以通過打開 SSH 會話或從控制台輸入以下命令:
$ sudo nmcli connection show
NAME UUID TYPE DEVICE
ens3 39ad55bd-adde-384a-bb09-7f8e83380875 ethernet ens3
你需要確保遠程用戶能夠找到你的 「虛擬專用網路」 伺服器。有兩種方法可以做到這一點。你可以手動設置它的 IP 地址,或者將大部分工作交給你的路由器去完成。
手動配置一個 IP 地址
通過以下命令來設置靜態 IP 地址、前綴、網關和 DNS 解析器,用來替換掉原有的 IP 地址:
$ sudo nmcli connection modify ens3 ipv4.addresses 10.10.10.97/24
$ sudo nmcli connection modify ens3 ipv4.gateway 10.10.10.1
$ sudo nmcli connection modify ens3 ipv4.dns 10.10.10.10
$ sudo nmcli connection modify ens3 ipv4.method manual
$ sudo nmcli connection modify ens3 connection.autoconnect yes
設置主機名:
$ sudo hostnamectl set-hostname OVPNserver2020
如果你運行了一個本地的 DNS 服務,你需要設置一個 DNS 條目,將主機名指向 「虛擬專用網路」 伺服器的 IP 地址。
重啟並確保系統的網路運行正常。
在路由器中配置 IP 地址
在你的網路當中應該有一台路由器。你可能已經購買了它,或者從互聯網服務提供商(ISP)那裡獲得了一台。無論哪種方式,你的路由器可能都有一個內置的 DHCP 服務,可以為連接到網路上的每台設備分配一個 IP 地址。你的新 「虛擬專用網路」 伺服器也是屬於網路的一台設備,因此你可能已經注意到它會自動分配一個 IP 地址。
這裡的潛在問題是你的路由器不能保證每台設備都能在重新連接後獲取到相同的 IP 地址。路由器確實嘗試保持 IP 地址一致,但這會根據當時連接的設備數量而發生變化。
但是,幾乎所有的路由器都會有一個界面,允許你為特定設備調停和保留 IP 地址。
![Router IP address settings](/data/attachment/album/202108/13/213216y0z6svo4k2qq1qvk.jpg "Router IP address settings")
路由器沒有統一的界面,因此請在你的路由器介面中搜索 「DHCP」 或 「Static IP address」 選項。為你的伺服器分配自己的預留 IP 地址,使其在網路中保持 IP 不變。
連接到伺服器
默認情況下,你的路由器可能內置了防火牆。這通常很好,因為你不希望網路之外的人能夠強行進入你的任何計算機。但是,你必須允許發往 「虛擬專用網路」 伺服器的流量通過防火牆,否則你的 「虛擬專用網路」 將無法訪問,這種情況下你的 「虛擬專用網路」 伺服器將形同虛設。
你至少需要一個來自互聯網服務提供商的公共靜態 IP 地址。使用其靜態 IP 地址設置路由器的公共端,然後將你的 0penVPN 伺服器放在專用端,在你的網路中使用專用靜態 IP 地址。 0penVPN 默認使用 UDP 1194 埠。配置你的路由器,將你的公網 「虛擬專用網路」 IP 地址的 UDP 1194 埠轉發到 0penVPN 伺服器上的 UDP 1194 埠。如果你決定使用不同的 UDP 埠,請相應地調整埠號。
準備好,我們開始下一步
在本文中,你在伺服器上安裝並配置了一個操作系統,這已經成功了一半。在下一篇文章中,你將解決安裝和配置 0penVPN 本身的問題。同時,請熟悉你的路由器並確保你可以從外部訪問你的伺服器。但是請務必在測試後關閉埠轉發,直到你的 「虛擬專用網路」 服務啟動並運行。
本文的部分內容改編自 D. Greg Scott 的博客,並經許可重新發布。
via: https://opensource.com/article/21/8/openvpn-server-linux
作者:D. Greg Scott 選題:lujun9972 譯者:perfiffer 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive