如何在免费 WiFi 中保护隐私

2021-09-07 18:16:58 浏览数 (1)

0penVPN 在两点之间创建了一个加密通道,以阻止第三方访问你的网络流量数据。通过设置你的 “虚拟专用网络” 服务,你可以成为你自己的 “虚拟专用网络” 服务商。许多流行的 “虚拟专用网络” 服务都使用 0penVPN,所以当你可以掌控自己的网络时,为什么还要将你的网络连接绑定到特定的提供商呢?

本系列的 第一篇文章 安装了一个“虚拟专用网络” 的服务器,第二篇文章 介绍了如何安装和配置一个 0penVPN 服务软件,第三篇文章 解释了如何配置防火墙并启动你的 0penVPN 服务。第四篇也是最后一篇文章将演示如何从客户端计算机使用你的 0penVPN 服务器。这就是你做了前三篇文章中所有工作的原因!

创建客户端证书

请记住,0penVPN 的身份验证方法要求服务器和客户端都拥有某些东西(证书)并知道某些东西(口令)。是时候设置它了。

首先,为你的客户端计算机创建一个客户端证书和一个私钥。在你的 0penVPN 服务器上,生成证书请求。它会要求你输入密码;确保你记住它:

代码语言:javascript复制
$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa 
  gen-req greglaptop

本例中,greglaptop 是创建证书的客户端计算机主机名。

无需将请求导入证书颁发机构(CA),因为它已经存在。审查它以确保请求存在:

代码语言:javascript复制
$ cd /etc/openvpn/ca
$ /etc/openvpn/easy-rsa/easyrsa 
  show-req greglaptop

你也可以以客户端身份签署请求:

代码语言:javascript复制
$ /etc/openvpn/easy-rsa/easyrsa 
  sign-req client greglaptop

安装 0penVPN 客户端软件

在 Linux 系统上,网络管理器可能已经包含了一个 0penVPN 客户端。如果没有,你可以安装插件:

代码语言:javascript复制
$ sudo dnf install NetworkManager-openvpn

在 Windows 系统上,你必须从 0penVPN 下载网页下载和安装 0penVPN 客户端。启动安装程序并按照提示操作。

复制证书和私钥到客户端

现在你的客户端需要你为其生成的身份验证凭据。你在服务器上生成了这些,因此你必须将它们传输到你的客户端。我推荐使用 SSH 来完成传输。在 Linux 系统上,通过 scp 命令实现。在 Windows 系统上,你可以以管理员身份运行 WinSCP 来推送证书和密钥。

假设客户端名称为 greglaptop,那么证书和私钥的文件名以及服务的位置如下:

代码语言:javascript复制
/etc/openvpn/ca/pki/issued/greglaptop.crt
/etc/openvpn/ca/pki/private/greglaptop.key
/etc/openvpn/ca/pki/issued/ca.crt

在 Linux 系统上,复制这些文件到 /etc/pki/tls/certs 目录。在 Windows 系统上,复制它们到 C:Program FilesOpenVPNconfig 目录。

复制和自定义客户端配置文件

在 Linux 系统上,你可以复制服务器上的 /etc/openvpn/client/OVPNclient2020.ovpn 文件到 /etc/NetworkManager/system-connections/ 目录,或者你也可以导航到系统设置中的网络管理器添加一个“虚拟专用网络” 连接。

连接类型选择“ 证书(TLS)(Certificates(TLS))”。告知网络管理器你从服务器上复制的证书和密钥。

在 Windows 系统上,以管理员身份运行 WinSCP,将服务器上的客户端配置模板 /etc/openvpn/client/OVPNclient2020.ovpn 文件复制到客户端上的 C:Program FilesOpenVPNconfig 目录。然后:

  • 重命名它以匹配上面的证书。
  • 更改 CA 证书、客户端证书和密钥的名称以匹配上面从服务器复制的名称。
  • 修改 IP 信息,以匹配你的网络。

你需要超级管理员权限来编辑客户端配置文件。最简单的方式就是以管理员身份启动一个 CMD 窗口,然后从管理员 CMD 窗口启动记事本来编辑此文件。

将你的客户端连接到服务器

在 Linux 系统上,网络管理器会显示你的 “虚拟专用网络” 连接。选择它进行连接。

在 Windows 系统上,启动 0penVPN 图形用户界面。它会在任务栏右侧的 Windows 系统托盘中生成一个图标,通常位于 Windows 桌面的右下角。右键单击图标以连接、断开连接或查看状态。

对于第一次连接,编辑客户端配置文件的 remote 行以使用 0penVPN 服务器的内部 IP 地址。通过右键单击 Windows 系统托盘中的 0penVPN 图标并单击“ 连接(Connect)”,从办公室网络内部连接到服务器。调试此连接,这应该可以找到并解决问题,而不会出现任何防火墙问题,因为客户端和服务器都在防火墙的同一侧。

接下来,编辑客户端配置文件的 remote 行以使用 0penVPN 服务器的公共 IP 地址。将 Windows 客户端连接到外部网络并进行连接。调试有可能的问题。

安全连接

恭喜!你已经为其他客户端系统准备好了 0penVPN 网络。对其余客户端重复设置步骤。你甚至可以使用 Ansible 来分发证书和密钥并使其保持最新。

本文基于 D.Greg Scott 的 博客,经许可后重新使用。

0 人点赞