在次世代防火牆啟用OpenVPN!

關於OpenVPN~

OpenVPN是一個用於建立虛擬私人網路加密通道的軟體套件,最早由James Yonan編寫。OpenVPN允許建立的VPN使用公開金鑰、電子憑證、或者使用者名稱/密碼來進行身分驗證。

它大量使用了OpenSSL加密庫中的SSL/TLS協定函式庫。

目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上執行,並包含了許多安全性的功能。它不與IPsec相容。

由於OpenVPN通訊協定特徵明顯,當從中國大陸向境外OpenVPN伺服器傳輸大量資料或進行頻繁連接後,防火長城會封鎖OpenVPN伺服器所使用的TCP/UDP埠或伺服器IP位址,使OpenVPN無法連接。

在中國的敏感時期也會針對OpenVPN伺服器回送憑證完成握手建立有效加密連接時干擾連接,在使用TCP協定模式時握手會被連接重設,而使用UDP協定時含有伺服器認證憑證的封包會被故意丟棄,使OpenVPN無法建立有效加密連接而連接失敗。

OpenVPN的版本選擇

社群版本OpenVPN Community

  • 伺服器端:需使用者自行下載原始碼編譯、安裝。
  • 使用者端:使用OpenVPN Connect,支援Windows、Linux、Android與iOS。

商業版本OpenVPN Access Server

伺服器端使用與社群版本相同的OpenVPN程式碼,但在上層建置易於操作的網頁式介面;商業版本提供無限期2個VPN連線授權可免費試用。

商業版提供下列三種安裝方式:

  • 軟體套件,支援Ubuntu、Debian、Redhat、CentOS。
  • 虛擬機映像檔,支援ESXi 5.0與Microsoft Hyper-V。
  • 雲端服務佈署,支援Amazon AWS、Microsoft Azure、Google GCP、Digital Ocean droplets與ORACLE VPC。

OpenVPN Cloud

提供使用者直接租用官方架設的OpenVPN Access Server,適用於不想自行安裝管理主機的企業使用者租用。

Private Tunnel

提供僅需要使用VPN通道服務的個人使用者直接租用。

OpenVPN官方網站:https://openvpn.net/

參考資料來源:維基百科。

我採用的次世代防火牆已有內建支援OpenVPN Server!

因此在次世代防火牆要啟用OpenVPN很簡單,只要設定好之後就可以連線使用,不過要注意的是會和網路架構有密切關聯,建議要請熟悉網路架構的專業人士來協助建置。

次世代防火牆的OpenVPN Server設定畫面

次世代防火牆的OpenVPN 用戶端連線狀態

Mac OS的OpenVPN用戶端(未連線)

Mac OS的OpenVPN用戶端(已連線)

iPhone的OpenVPN用戶端(已連線)

Android的OpenVPN用戶端(已連線)

VPN是個很棒的服務,不論個人或企業都一定要有!

使用VPN服務是一種最簡單、有效的資安防護措施,現在有許多網通設備都已有內建VPN Server,而且也都會有相對應的VPN用戶端軟體可以使用,不一定要用OpenVPN,十分建議每個家庭和企業至少都要有一台~