2015-06-13

在 ConoHa 上以 Ubuntu 14.04 LTS 搭配 OpenVPN Access Server 架設 OpenVPN 服務


美雲このは真的好可愛(滾動

在前篇在 VULTR 上以 Ubuntu 14.04 LTS 架設 PPTP VPN 服務之後,這次要示範的是在日本主機商 ConoHa 上架設 VPN 服務

由於 ConoHa.jp 阻擋了 GRE 通訊協定,因此無法在上面架設 PPTP 服務,考慮到以 Linux 系統架設 L2TP/IPSec 或是 Cisco IPsec 服務有一定難度與低容錯性,這裡以較為簡單的 OpenVPN 作實作

OpenVPN 可以說是一個用於建立虛擬私人網路絡加密通道的整合軟體環境,在建立連線上,OpenVPN 允許使用公開金鑰、電子憑證、或者使用者名稱、密碼的方式來進行身份驗證,進而產生連線

而在運行 Linux 系統的 VPS 上建立 OpenVPN 服務有兩種方式
  1. 安裝整合好的軟體服務,例如 OpenVPN Access Server
  2. 安裝開源的 OpenVPN,安裝後再使用 easy-rsa 套件簽發伺服端、連接者端與使用者端共三組數位憑證,接著撰寫供 OpenVPN 使用的 .ovpn 檔案

而這次實作的是前著,採用 OpenVPN Access Server 的方案

接著談一談 ConoHa,ConoHa 算是日本主機商之中較為的國際化的一家,相較於俗稱櫻花 VPS 的 SAKURA VPS 與 CloudCore ,CohoHA 並沒有限定日本地區信用卡、與註冊時需要驗證日本電話號碼、地址的要求,反而一開始就提供了英文與簡體中文的介面,也支援國際信用卡與 PayPal 等支付方式

而在執行單元的規格上,ConoHa 使用的是 Xen 虛擬化技術,故不會有採用 OpenVZ 技術的廠商一樣發生超賣單位,超出的伺服器極限的問題,而以最低規格而言,就提供了兩個處理器虛擬單位,1GB 記憶體,與 50GB 容量的固態硬碟,傳輸流量方面無限制,上下速度 100Mbps,預設提供 IPv4 與 IPv6 位址,價格則是每個月 900 円



ConoHa 的英文版介面

基本的 1GB 記憶體,50GB 容量固態硬碟的方案,費用為每小時 1.3 円,一天最多 31.2 円,一個月最多收取 900 円

申請帳號後,再來是設定並部屬執行單元


root 帳號的密碼就是剛才在部屬單位時你設定的

這邊要特別說一點,由於 ConoHa 預設是沒有任何額外的設定去保護你的伺服器,而基於遠端管理需求,通常預設會開啟埠號 22

因此在安全登入上,由於改 SSH 連接埠較不直覺,因此建議安裝一個名叫 fail2ban 的安全套件來防止惡意登入者去猜 root 密碼,進而取得執行單元的操控權


接著安裝 OpenVPN Access Server


到這邊就安裝完畢了,在瀏覽器打上你的執行單元對外網址,後面加上埠號跟管理頁面,例如:

https://10.0.1.1:943/admin

來前往 OpenVPN Access Server



看到憑證錯誤的資訊不用驚慌,那是正常的

第一次啟動會看到 OpenVPN Access Server 的 EULA(終端用戶許可協議)

同意之後就可以看到這個管理畫面

接下來要解釋如何在 OpenVPN Access Server 添加使用者帳號

雖然說在架設 OpenVPN Access Server 時創的管理者帳號 openvpn 也可以擁有連線到 OpenVPN 的功能,不過我建議另外創個單純用於連線的帳號





回到 OpenVPN Access Server 管理介面,就可以以管理帳號創一個一樣名稱的帳號

跟進入管理介面類似,在瀏覽器打上你的執行單元對外網址,後面加上埠號,例如:

https://10.0.1.1:943/

看到憑證錯誤的資訊一樣不用驚慌,那是正常的



因為你並沒有幫主機指定網址跟設定 SSL 憑證,所以會出現憑證錯誤

輸入使用者帳號與密碼,密碼是剛剛創立帳號時輸入的

接著會看到這個畫面,你可以下載上方設定好的連線軟體,或是下載設定檔搭配自己的 OpenVPN 客戶端軟體

下方的設定檔會下載一個 .ovpn 檔頭的設定檔到你的電腦

接下來以 Tunnelblick 這套 OpenVPN 客戶端軟體示範如何安裝設定檔



在 Tunnelblick 非啟動的情況下點選 .ovpn 檔頭的設定檔安裝,需要使用者權限

這邊隨意

第一次連線時依照設定檔跟軟體的差別,可能會詢問使用者帳號與密碼

單向測試,連線到日本後在連線到東京地區的測試點

雙向來回,先連線到日本再連線回台北地區的測試點

基本上以 OpenVPN Access Server 為基礎架設的 VPN 服務就完成了,再來是實作測試,以中華電信的 vDSL 服務作測試,理論頻寬 60M/20M,離光纖交換機箱距離約三百米以內,國內直接連線到伺服器延遲約 46 至 55 微秒

基本上延遲是在可以接受的範圍,封包遺失率在可以接受的水準,而連線速度上拜 GMO Internet Inc. 那條高速回線的威能,以國內個人使用最高速的 100M 而言,可以衝到你自己網路的極速

話說日本的 VPS 廠商很喜歡玩二次元形象這種公關行銷,在 CloudCore 的「雲野コア」,與 SAKURA VPS 的「桜葉愛」之外,ConoHa的「美雲このは」與「美雲あんず」姊妹二人組也很紅,不過在出現頻率上「美雲このは」比例比較高就是了

而且也會有專屬頁面,舉例來說,把 ConoHa 的主網址改成這樣:

https://www.conoha.jp/conoha



美雲このは會出來跟你打招呼


在主機管理面板也可以看到她,不過介面語言要選日文,再把介面風格切換成『このはモード』

「美雲このは」同時也擔任東家 ConoHa.jp 網頁的錯誤娘

2015-06-08

在 VULTR 上以 Ubuntu 14.04 LTS 架設 PPTP VPN 服務

首先,得感謝某個三不五時就大量貓空襲的日本網頁遊戲,讓我點了一堆 Linux 技能,還順便實作了 VPS 上架設 PPTP VPN 的操作,這篇文章主要是關於如何在 VPS,也就是 Virtual private server,也就是虛擬專用伺服器上架設 PPTP 服務的操作

在選擇 VPS 廠商方面,我本來會推薦 Linode 這家異常超值的廠商,無奈它的東京機房已經售罄許久,我在六月初曾經用開一個位在新加坡機房的單位,用延遲過高的理由要求搬遷到東京,藉以迴避無論是老客戶還是新客戶都無法購買東京機房單位的限制,無奈這招也行不通了,目前只能等它們開通新的東京機房( Linode 在本年度的展望報告中有提及到)

目前我選擇的 VPS 廠商是 VULTR,這家廠商也有提供位在東京機房的單位,且除了信用卡之外,還支援 PayPal 與虛擬貨幣儲值



註冊後首先是儲值,藉由舊客戶邀請的方式可以獲得五鎂的獎勵,而舊客戶邀請新客戶也可以獲得獎勵

接著選擇部屬 VPS 單位

選擇 VPS 單位的規格,由於 VULTR 在各地機房規格的關係,如東京機房不會給你 2TB 流量

部屬後會進行安裝,大約三十秒就會顯示完成,但是要稍等一會才可以遠端操作

這邊要講一下,一樣是十鎂方案的話,Linode 跟 VULTR 的差異主要在頻寬跟 IP 位址上

首先是 VULTR 東京機房沒有 2TB XFER,只有 400GB XFER,不過兩家一樣都只算流出而不算流入,架設 VPN 的話,就是只算出 VPS 的流量,對於架設連線上是雙向流動的 VPN 服務來說是很大的優點,一樣的價格只買到五分之一的流量想必不是很好受,但買不到 Linode 的東京機房啊!日本國內流量不限的 VPS 廠商也限制日本國內購買而已(有綁定日本信用卡與住址、電話號碼),而且目前 VULTR 十鎂方案打折成八鎂,在更好的方案出現,或是 Linode 的新東京機房上線前,想買到日本地區 VPS 只能先用 VULTR

而 AWS EC2 雖然說第一年給你免費(以 t2.micro 方案來說)試用,但限制一個月七百五十小時單位執行時間與 15GB 流量很容易就爆掉,而爆掉之後的 Amazon EC2 會瞬間變成日本地區 VPS 中,以個人使用來說最高昂的服務廠商,看到信用卡帳單你會崩潰

再來是 IP 位址的問題,不論是 Linode 或 Amazon EC2 服務,在建立 VPS 時就會發給你日本 IP,而 VULTR 由於所購買的 IP 位址區段是 Choopa.Inc 與 GameServer.com 等廠商共有(這三者某種程度上其實是一體的),因此會有一段時間會被判定成美國 IP,在 GeoIP 單位的資料庫更新之前基本上不會改變,而這個更新所需要的時間是個很曖昧的『過幾天』,好一點可能一兩週以內就會更新,慘一點就是以月來計算了,不過這是網路架構的問題,無解

回到設定 PPTP 服務的話題,安裝 PPTP 服務前,建議安裝 fail2ban 這個套件來保護你的 VPS

我們先來安裝 fail2ban


接著是 PPTP 服務本身


再來是系統上的設定


接著就可以登出了,不放心可以再讓 PPTP 服務重新啟動一次

再來就是本機端的 VPN 設定,這裡用擷圖作示範



伺服器位址填入 VPS 的 IP 位址,而帳戶、密碼就是剛才設定的那些

基本上這樣大費周章購買 VPS 來架設 VPN 有兩大優點

  • VPN 是你自己的,管理權限在你自己手上,安全性方面只要不是你設定失誤或是軟體上的臭蟲,理論的安全性與可信任度是高於免費的 VPN 服務

  • 少數幾個人一起租用同一台 VPS 運作 VPN 不只可以分攤費用,也可以避免大量使用者使用同一台 VPN 時被遊戲營運廠商列入黑名單的可能性


基本上安裝 Ubuntu 14.04 LTS 的 VPS 架設 PPTP VPN 的方式都是這樣,這種操作幾乎可以套用在任何以 Xen 技術運作的 VPS 上



話說 VULTR 有提供 noVNC 的 KVM 服務,不過 VPS 上的作業系統基本上都是靠終端機在跑