關於OpenVPN~
OpenVPN是一個用於建立虛擬私人網路加密通道的軟體套件,最早由James Yonan編寫。OpenVPN允許建立的VPN使用公開金鑰、電子憑證、或者使用者名稱/密碼來進行身分驗證。
它大量使用了OpenSSL加密庫中的SSL/TLS協定函式庫。
目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上執行,並包含了許多安全性的功能。它不與IPsec相容。
由於OpenVPN通訊協定特徵明顯,當從中國大陸向境外OpenVPN伺服器傳輸大量資料或進行頻繁連接後,防火長城會封鎖OpenVPN伺服器所使用的TCP/UDP埠或伺服器IP位址,使OpenVPN無法連接。
在中國的敏感時期也會針對OpenVPN伺服器回送憑證完成握手建立有效加密連接時干擾連接,在使用TCP協定模式時握手會被連接重設,而使用UDP協定時含有伺服器認證憑證的封包會被故意丟棄,使OpenVPN無法建立有效加密連接而連接失敗。
OpenVPN的版本選擇
社群版本OpenVPN Community
- 伺服器端:需使用者自行下載原始碼編譯、安裝。
- 使用者端:使用OpenVPN Connect,支援Windows、Linux、Android與iOS。
商業版本OpenVPN Access Server
伺服器端使用與社群版本相同的OpenVPN程式碼,但在上層建置易於操作的網頁式介面;商業版本提供無限期2個VPN連線授權可免費試用。
商業版提供下列三種安裝方式:
- 軟體套件,支援Ubuntu、Debian、Redhat、CentOS。
- 虛擬機映像檔,支援ESXi 5.0與Microsoft Hyper-V。
- 雲端服務佈署,支援Amazon AWS、Microsoft Azure、Google GCP、Digital Ocean droplets與ORACLE VPC。
OpenVPN Cloud
提供使用者直接租用官方架設的OpenVPN Access Server,適用於不想自行安裝管理主機的企業使用者租用。
Private Tunnel
提供僅需要使用VPN通道服務的個人使用者直接租用。
我採用的次世代防火牆已有內建支援OpenVPN Server!
因此在次世代防火牆要啟用OpenVPN很簡單,只要設定好之後就可以連線使用,不過要注意的是會和網路架構有密切關聯,建議要請熟悉網路架構的專業人士來協助建置。
次世代防火牆的OpenVPN Server設定畫面
次世代防火牆的OpenVPN 用戶端連線狀態
Mac OS的OpenVPN用戶端(未連線)
Mac OS的OpenVPN用戶端(已連線)
iPhone的OpenVPN用戶端(已連線)
Android的OpenVPN用戶端(已連線)
VPN是個很棒的服務,不論個人或企業都一定要有!
使用VPN服務是一種最簡單、有效的資安防護措施,現在有許多網通設備都已有內建VPN Server,而且也都會有相對應的VPN用戶端軟體可以使用,不一定要用OpenVPN,十分建議每個家庭和企業至少都要有一台~