由于个人需求,需要科学上网,就在ucloud买了一个100块一年的服务器,不过如果拿来访问openai的chatgpt在线版还是不行,因为ucloud的ip段因为大量访问,所有已经被封掉了。很多有限制的网站都不行。
网上相关的文章已经有很多了,我这里主要是总结下搭建openvpn的关键点。
1、iptables转发
这个是最主要的,如果没有iptables转发,你会发现根本没法ping通外网,因为流量始终在云服务里面转。需要把openvpn的ip段的所有流量转发到eth网卡上。
命令示例:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE;
记得把端口也开放一下:
iptables -I INPUT -p tcp --dport 1194 -j ACCEPT;
iptables -I INPUT -p udp --dport 1194 -j ACCEPT;
iptables -I OUTPUT -p tcp --dport 1194 -j ACCEPT;
iptables -I OUTPUT -p udp --dport 1194 -j ACCEPT;
目前有个想法,因为openvpn容易被攻击,也不够稳定,后面打算换成zerotier做成组网,再通过iptables进行流量转发,有待验证。
2、安装
如果使用的是yum install openvpn安装的,安装目录是在/etc/openvpn下,里面有两个文件夹,一个server,一个client,顾名思义,服务和客户端,看需求启动服务。
server的启动命令是:
systemctl start openvpn-server@service
client的启动命令是:
systemctl start openvpn-client@service
配置文件一律命名为service.conf并且放在对应的文件夹中,可以看service服务读取的就是service.conf这个文件,有些文章写的是server.conf,需要注意。
3、配置项
想要客户端的所有流量都发往openvpn服务器,需要把这个配置放开
push "redirect-gateway def1 bypass-dhcp"
因为service.conf默认是没有的,要么网上抄配置,要么拷贝示例配置进行修改,示例配置在安装的时候附带了,在
/usr/share/doc/openvpn-2.4.12/sample/sample-config-files/
路径下,可以看到有server.conf和client.conf复制到/etc/openvpn/server下就可以了
4、windows客户端
由于openvpn的下载页面打不开,所以没法下载,但是我们有云服务器呀,直接使用wget命令下载页面
wget https://openvpn.net/index.php/download/community-downloads.html
打开后查找后缀为msi的链接
https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.5-I001-amd64.msi
可以直接使用迅雷下载
5、应对攻击
最近发现云服务器被攻击了,并且会有残留命令在上面,不知道是不是被攻破了,而且经常连接不上openvpn,把端口改了就可以连一会,但是也会经常失效,估计是ucloud的没什么防护吧,索性就把所有端口全关了,只留ssh和openvpn的端口。这也是我打算换成zerotier的原因。
