再介紹一下 VPN,前年不少香港人覺得自己與 VPN 無關,到了今天,VPN 已幾近成為香港網上生活之日常。
👉👉👉 零基資安訓練營(零):用哪間 VPN 公司較好?👈👈👈
在暴風雨的前夕,忽然很多朋友問我用哪間 VPN,那麼我先回答。我用的是 ProtonVPN。
我用 Plus 計劃,一次過訂兩年,每月平均費用為 US$ 6.63, 折合港幣 52 元,可以同時連接五部機器。記得要上其官方網站購買計劃,不要在 App Store 裡購買。
該計劃有 50 多個的伺服器可以選擇,看 Netflix 沒問題,YouTube 也平穩,但連入中國的網站,例如微博、知乎等,就往往要先斷線才能連上(似乎不少 VPN 也有類似問題)。他們也有提供免費版本,但速度較慢,建議試用過免費版之後,沒問題就轉用 Plus 計劃,體驗會好很多。
我用 ProtonVPN 的原因,因其總部設於瑞士,創辦人是來自台灣台南的嚴育銓博士,還有其他在 CERN 工作的科學家。由於 VPN 背後的運作都很複雜,例如採用哪個 VPN 制式(諸如 OpenVPN、IKEv2/IPSec,或甚至 WireGuard 等)都不是用戶容易理解,所以找一個可靠的團隊是極為重要。
看過不少嚴育銓及 ProtonVPN 的訪問及介紹,以及網上的風評,目前我認為這間公司可靠,所以推介使用。(如果以後有變,再跟大家交代。)
*****************
鑑於很多朋友跟我反映,在手機上使用 VPN 遇到的問題,在這裡一次過答。手機連 VPN 有個問題,是經常會斷線,最常見的原因,是手機網絡斷線了(例如入電梯,躲到暗角),VPN 也同時斷了,但當手機重回網絡,VPN 卻不懂跟著一起去連。
這種情況間中出現,很難完全避免。所以我使用 VPN 的場景,主要有以下三個場境:
一,使用公共 wi-fi,一定會使用安全措施,即 VPN。這是很必須。
二,到訪的網站本身沒有使用 HTTPS 協議。
三,當我想隱藏自己的 IP 時,這個按自己情況決定。
四,不能正常訪問的網站,靠 VPN 幫手。
*****************
以下是其他 VPN 的點評:
NordVPN
以前用過 NordVPN,但該公司在 2019 年被 4chan 的用戶揭發,原來在 2018 年有個比較嚴重的保安漏洞,其在芬蘭的伺服器被入侵,但該公司沒有主動披露,是後來被揭發後才主動交代。事件揭發後我有發信問過他們情況,他們的客戶經理回覆說:「我們的服務尚未被黑客入侵,該台被入侵的伺務器上並沒有可用於模擬或解密其他服務器的訊息。」並強調這是個別事件,用戶資料沒有受到威脅。
不過我覺得他們沒有主動招認,而是被揭發後才披露細節,對這間公司的印象不好,所以取消了戶口。如果你本身已經有 NordVPN 的付費戶口,建議繼續用,使用期過了以後,再找別的公司。
PIA VPN
PIA(Private Internet Access)本來是一間極為出色的公司,其他 VPN 公司雖然聲稱尊重你的私隱,但 PIA 是曾經被傳召上法庭並被要求交出客戶上網資料。PIA 直接向法官說,他們交不出任何資料,因為他們從來不保留相關記錄。FBI 做了相關調查,也查不出甚麼痕跡。
我用了 PIA 一段時間,介面不算好,頗易當機(也可能是我的電腦問題?),但令我放棄他們的關鍵原因,是因為他們在 2019 與一間叫 Kape Technologies 的公司合拼了。
Kape 這家公司的名聲極差,出賣客戶資料,甚至在客戶電腦上安裝惡意軟件。其實 PIA 及 Kape 是兩個完全不同方向的公司,不太明白為何會走在一起。去年合併之時,在資訊安全界別的圈子裡引起頗大回響,PIA 後來發表聲明,說是獨立運作,但身為香港人,又怎能相信一間公司真的會有兩個制度,所以我停用了。
如果你仍然有這間公司的戶口,那就繼續用吧,但到期之後,建議改用別的服務。
CyberGhost VPN
CyberGhost 介面不好用,而且由 Kape Technologies 營行,Kape 這家公司在網上的聲名不佳,可免則免。但因為宣傳攻勢厲害,廣告甚多,很多人不慎選用了。如果你最近用了,建議立即申請退款。
至於其他公司,例如某某 VPN 有沒有中資背景?這個不好說,各位自行在 Google 搜尋。但謹記一點,身為用戶,是很難判斷 VPN 的運作方式及採用的制式是否可靠,所以找一家可靠的公司是關鍵。
如果真的要我定一個排行,我會選擇 ProtonVPN > NordVPN > PIA
另外要留意一點,VPN 公司有兩種典型的宣傳手法,一是付費叫人寫評論,甚至是開設一些假裝中立的博客來增加自己的曝光率。二是提供 referral code 給介紹人,申請成功的話介紹人便有額外的免費月份或現金回佣。對於後面這種方式,我不覺得反感,因為有很多人在介紹的時候,可能是確實相信該服務好才介紹,說明有利益便合理。
不過我在上面的連結,完全沒有提供附加介紹碼(referral code),所以讀者申請了哪個服務,我是不會有任何回佣,大家自行選擇用哪個服務。
還有一個小技巧,有時去 Slickdeals 搜尋一下,可能會有些優惠券(但目前 ProtonVPN 的優惠已經過了期)。
如果申請 VPN,去相關公司的網站申請戶口,通常會較為便宜。如果直接在手機 app 上申請,價錢可能會貴一些。
簡單科普一下:
VPN 不是新鮮科技,九十年代已有。雖然我聽過很多人用 condom 來解釋 VPN,但其實 VPN 的保護機制與 condom 的保護機制完全不同。簡單來說,VPN 就是在兩個電腦之間打開一條加密的通道,資料包在傳送時加密數據,資料在汪洋大海飄浮的時候,就不會被人截取或監控。
雖然 VPN 的運作形式跟 condom 不同,但在使用的場景又有點相似。有些情況下確實沒有必要使用 VPN,沒有 VPN 上網更覺順暢,但如果你上網瀏覽不同網站,尤其訪問一些沒有 HTTPS 的網站,而這些網站又涉及個人資料,別人是完全可以偷窺你的瀏覽資料,清晰得有如坐在你身後一樣。如果你外出時使用公用的 wi-fi,風險就更大。
所以,即使沒有惡法,使用 VPN 也是重要的資訊安全措施之一。不過要留意一點,用了 VPN,最多只是把自己的資料加密,但不代表可以完全隱身匿名。例如監控者雖然不能看到加密了的內容,但他可以看到資料傳送的地點及時間。
要做到真正隱身匿名,不單要有強大的資訊安全學識,還要非常有耐性及堅持,例如我關注的一個匿名博客,其博主因應疫情而改變了發文的時間規律,改為兩、三星期才發一篇文章,因為他擔心自己萬一需要被隔離,若然長時間不發文,有關當局就可能可以從隔離人士中找尋蛛絲馬跡。對大多數人來說,要做到隱身匿名是極艱難。
所以,資訊加密是一回事,但隱身匿名則是另一回事,兩者不能混淆。
這篇文章有點長,簡單提三點:
一,選用 VPN,要留意其公司背景,我目前推介的是總部設於瑞士的 ProtonVPN。
二,使用了 VPN,能把資料加密,防止偷窺,但不等同完全匿名。如果你要完全做到隱藏自己的身份,技術甚高,請參考另一篇文章〈如果要完全隱藏網上身份〉。
三,使用 VPN,由於速度及連線上都會有輕微差別,若然發覺某些網站忽然上不到,很大機會是因為 VPN 斷了線,斷線後再連線便可,但也許要些時間適應。
最後想說要一點,請不要在留言區裡再問「我無違法,我行得正企得正,怕乜嘢呢?」,我對這個問題,實在已沒太多耐性。
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
vpn伺服器 openvpn 在 [攻略] 自己的VPN自己架:OpenVPN架設篇- 看板KanColle 的推薦與評價
延續前文:[攻略] 自己的VPN自己架:基礎建設篇 #1LUM6Das
這次的圖會比較少,因為大部分都是照著指令就可以了。
四、OpenVPN簡介
OpenVPN是一個開放原始碼、跨平台的VPN實作。
雖然連線需要額外的客戶端軟體,但目前幾乎所有平台上都已經有OpenVPN的客戶端。
OpenVPN的優點:
1.使用CA(數位憑證)做身分驗證,目前除了誘騙使用者自己開門外沒有破門方法。
2.使用OpenSSL加密,可以自行更換加密演算法。
預設使用BlowFish做為Cipher(這個有點難解釋 有興趣的朋友可以自己Google),
BlowFish至今沒有被攻破的紀錄(理論上不可行)。
在常用的VPN方案中擁有最高的安全性。
3.在走UDP的時候(預設)擁有常用VPN方案中僅次於PPTP的速度。
OpenVPN的缺點:
1.需要客戶端軟體。
2.我想不到了,歡迎補充。
五、OpenVPN架設
首先安裝OpenVPN。
因為後面會有一些問題,所以這邊不用sudo,直接進root做。
xxx@xxx:~$ sudo su -
root@xxx:~# apt-get -y install openvpn
安裝好之後我們要先使用附帶安裝的easy-rsa生成OpenVPN所需要的數位憑證。
root@xxx:~# cd /etc/openvpn
root@xxx:/etc/openvpn# mkdir -p easy-rsa
root@xxx:/etc/openvpn# cp /usr/share/easy-rsa/* easy-rsa/
root@xxx:/etc/openvpn# cd easy-rsa
編輯easy-rsa裡面的vars這個檔案。
root@xxx:/etc/openvpn/easy-rsa# nano vars
裡面應該有一段長這樣:
其實不改也可以,總之這段不可以有任何一個為空。
改完以後Ctrl+X、Y、Enter存檔。
然後把vars加到系統的參數中。
root@xxx:/etc/openvpn/easy-rsa# . ./vars ←注意前面有多一個點
root@xxx:/etc/openvpn/easy-rsa# ./clean-all
接下來產生憑證。
root@xxx:/etc/openvpn/easy-rsa# ./build-ca
會問你一些東西,因為剛才已經在vars裡面設定好了所以一直Enter就可以了。
root@xxx:/etc/openvpn/easy-rsa# ./build-key-server server
也是一直Enter,後面會出現一個幾個額外的東西,可以不用管它們,直接留空。
最後會有兩個問題,要打上y,不能直接Enter。
然後產生DH(這個也有點難解釋)。
root@xxx:/etc/openvpn/easy-rsa# ./build-dh
會跑出很多'.'和'+',需要一段時間,請耐心等候。
以上是伺服器端的憑證,現在要製作客戶端的。
這邊有分歧路線:
1.生成有密碼的憑證:建議
這樣生成的憑證在每次連線的時候都會額外詢問密碼。
root@xxx:/etc/openvpn/easy-rsa# ./build-key-pass client
Enter PEM pass phrase: (打上你要的密碼)
Verifying - Enter PEM pass phrase: (再一次)
後面與build-key-server操作相同。
2.生成沒有密碼的憑證:不建議
root@xxx:/etc/openvpn/easy-rsa# ./build-key client
和build-key-server操作完全相同。
接著要編寫伺服器端的設定檔。首先回到/etc/openvpn。
root@xxx:/etc/openvpn/easy-rsa# cd ..
因為字太多了所以我還是放在codepad.org:https://codepad.org/xWE6zhtI
(已更正,原先的版本少了一行)
把這些設定值寫在server.conf裡面。
root@xxx:/etc/openvpn# nano server.conf
然後先建好用來分配ip的文件檔。
root@xxx:/etc/openvpn# touch ipp.txt
現在可以打開OpenVPN的伺服器端了。
root@xxx:/etc/openvpn# systemctl start [email protected]
如果沒有任何反應就是開成功了。
為了要讓它能夠每次開機都自動啟動,要啟用它:
root@xxx:/etc/openvpn# systemctl enable [email protected]
(先前疏忽了,忘了這部分,非常抱歉)
接著為了要讓連線能透過VPS往外走,要修改一部分的系統設定。
首先暫時關閉 fail2ban。
root@xxx:~# systemctl stop fail2ban.service
這邊可能會需要數十秒的時間。
關閉 fail2ban 後修改 iptables 的設定值。
root@xxx:~# iptables -t nat -A POSTROUTING -s 192.168.100.0/24
-o eth0 -j MASQUERADE
(縮成一行 -o前面要空格)
為了讓重新開機後 iptables 能夠自動載入,要把這行設定存下來:
root@xxx:~# iptables-save > /etc/iptables.save
root@xxx:~# nano /etc/network/if-up.d/iptables
編輯這個檔案如下:
#! /bin/sh
iptables-restore < /etc/iptables.save
存檔後讓它可以被執行
root@xxx:~# chmod 0700 /etc/network/if-up.d/iptables
然後修改 IP forwarding 規則。
root@xxx:~# nano /etc/sysctl.conf
在檔案的最後加上
net.ipv4.ip_forward=1
(前面不要加#)
存檔後重新載入剛剛修改的設定檔。
root@xxx:~# sysctl -p
最後重新打開 fail2ban。
root@xxx:~# systemctl start fail2ban.service
六、連線至OpenVPN
在這邊建議先下載OpenVPN和任意FTP軟體(將以FileZilla示範)。
OpenVPN:https://openvpn.net/index.php/open-source/downloads.html
FileZilla:https://filezilla-project.org/download.php?type=client
首先先把連線需要的憑證下載下來。
root@xxx:/etc/openvpn# apt-get -y install zip
root@xxx:/etc/openvpn# mkdir -p client
root@xxx:/etc/openvpn# cp easy-rsa/keys/ca.crt client/
root@xxx:/etc/openvpn# cp easy-rsa/keys/client.crt client/
root@xxx:/etc/openvpn# cp easy-rsa/keys/client.key client/
root@xxx:/etc/openvpn# zip -r client.zip client/
root@xxx:/etc/openvpn# cp client.zip ~xxx ←xxx請代換成之前建立的使用者
root@xxx:/etc/openvpn# chown xxx:xxx ~xxx/client.zip ←同上
接著打開FileZilla,點擊左上角的「站台管理員」,然後點「新增站台」。
在右半邊,主機填上你的VPS的IP,協定選擇SFTP,
登入型式選擇詢問密碼並打上VPS的使用者名稱。
然後按連線。打上密碼後會有個類似PieTTY第一次連線時的東西,點選確認。
在左邊找到OpenVPN的安裝目錄。(應該會在C:\Program Files\OpenVPN)
進到其中的config資料夾並把client.zip拉到左邊。
下載完就可以關掉FileZilla了。
到C:\Program Files\OpenVPN\config裡面,首先解壓縮client.zip,
並把client資料夾裡的三個檔案拉到config裡面。
在config裡面新增一個文件名為client.ovpn,
內容還是字很多所以一樣貼在codepad.org:https://codepad.org/AmiYEbhd
<ip>請換成你的VPS的IP,如果你的OpenVPN安裝位置不同也請自行依格式修改。
另外有關 routing 的部分:
1.設定DNS:建議但非必須,改成中華DNS亦可
dhcp-option DNS 8.8.8.8
dhcp-option DNS 8.8.4.4
2.所有流量都通過VPN
redirect-gateway def1
3.只讓dmm流量過VPN:不可和2並用
route 203.209.0.0 255.255.0.0
route 203.104.0.0 255.255.0.0
4.讓ptt流量不過VPN(懶人法,直接讓112流量不過VPN):要和2並用
route 140.112.0.0 255.255.0.0 net_gateway
其中 2 或 3 至少要存在一個才能順利連上 DMM。
接著打開OpenVPN GUI,預設安裝的話你應該能在桌面上找到捷徑。
打開後應該能在螢幕右下角找到OpenVPN GUI。設定正確的話點兩下就會開始連線。
產生客戶端憑證時如果有設定密碼它就會詢問你密碼。
打上密碼後,稍微等一下,連線成功的話視窗就會自己消失到右下角。
想要中斷連線的話再把視窗點出來按斷線即可。
然後就可以上去戳艦娘啦!
啊,只是隻...什麼你說馬克撈到了?
七、雜談/廢話
發了基礎建設篇後有些板友提醒安全性的部分,非常感謝。
其實我一直很難拿捏的是想要盡量簡單但同時也要有足夠的安全性,
於是就變成這樣不上不下,但普遍的安全性來說已經OK了。
也有板友覺得有專業知識再做較好。
我個人的觀點是,有的話很好,沒有的話照著做也可以完成;
當然在管理上可能有些不易,但我認為是可以克服的。Linux很有趣的,真的
小弟高中是文組,大學讀資工,也是從照著做開始慢慢學起來的。
回歸到VPN,起初我自己也是使用PPTP VPN,因為它架設非常之簡單,
但因為某大網路長城過於強大,有時候會導致連線極度不穩定,
後來還是改用穿透性較強且安全性較高的OpenVPN。
目前在強大的網路長城(應該沒有對岸那個強就是了)下沒有任何使用上的問題。
也因為PPTP的穿透性較弱,經板友來信告知與我個人測試後,
確定ConoHa阻擋掉GRE協定,導致PPTP在ConoHa無法架設(OpenVPN沒問題),
要租用ConoHa的板友請再三考慮。
再次提醒,設置密碼時,
請使用大小寫字母、數字、底線、問號等符號混雜的密碼,且避開既有單詞。
一切的加密都防止不了密碼被暴力破解。
本次VPN架設教學至此,感謝收看;有問題歡迎發表推文或來信。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.217.55
※ 文章網址: https://www.ptt.cc/bbs/KanColle/M.1434186790.A.FC9.html
VPN的話我在伺服器端的設定檔寫了一行「duplicate-cn」,可以讓同組key同時多人連線
如果希望有多組key發配給不同的人
可以在產生的地方 ./build-key-pass <任何名稱>
假設取叫 test 好了 ./build-key-pass test
然後後面就自行把client代換成test (test.crt test.key test.ovpn)
可以用一樣的方法製作多組key分別給甲乙丙
... <看更多>