全球主机交流论坛

标题: L2TP、PPTP被搞死教你如何搭建抗干扰OpenVPN [打印本页]
作者: hostvps    时间: 2012-11-21 18:13
标题: L2TP、PPTP被搞死教你如何搭建抗干扰OpenVPN
本帖最后由 hostvps 于 2012-11-25 17:40 编辑

据说现在L2TP、PPTP都不灵光了,自建OpenVPN也被搞,教你架设抗干扰OpenVPN:

一、安装

到 https://openvpn.net/index.php/access-server/download-openvpn-as-sw.html 下载对应你系统的软件并安装(debian用ubuntu最新系统那个吧)
debian和ubuntu软件安装命令 dpkg -i xxxx.deb
CentOS软件安装命令 rpm -ivh xxxx.rpm
以debian6 32位版为例:
  1. wget http://swupdate.openvpn.org/as/openvpn-as-1.8.4-Ubuntu10.i386.deb
  2. dpkg -i openvpn-as-1.8.4-Ubuntu10.i386.deb
复制代码
(, 下载次数: 6)

二、配置

安装成功后,passwd openvpn 命令设置密码,访问https://vps ip:943/admin/ 用户名openvpn及你刚设置的密码登录

User Permissions中勾选 Allow Auto-login
(, 下载次数: 4)
Server Network Settings中设置TCP Port number:为3389  UDP Port number:为989
(, 下载次数: 1)
分别保存设置后重启服务

三、使用

访问https://vps ip:943/ 用户名openvpn及密码并选择Login(不是默认的Connect)登录,
(, 下载次数: 2)
然后点击Yourself (autologin profile)链接下载client.ovpn文件。
(, 下载次数: 1)

到 https://openvpn.net/index.php/download/community-downloads.html 下载OpenVPN客户端并以管理员身份安装,
(, 下载次数: 1)
目前客户端已支持繁体中文界面
(, 下载次数: 1)
将client.ovpn文件放置到安装目录的config文件夹下,
(, 下载次数: 1)
以管理员身份运行桌面上的OpenVPN GUI快捷方式后,
(, 下载次数: 1)
在系统托盘处找到OpenVPN客户端图标右键点击后连接VPN即可使用(连上服务器后图标将变绿)。
(, 下载次数: 2)

文中方法使用了证书认证及tls-auth并使用TCP 3389端口防干扰,OpenVPN Access Server免费版虽然只允许两个用户同时在线,不过搭建OpenVPN非常简单,自己vps上搭建给自己使用还是比较理想的。

注意:安装前确保iptables已经安装,如果没安装需要自行apt-get install iptables或yum install iptables安装;
openvz类型vps还需要确保TUN/TAP模块已经开启,如果安装后不能运行服务,只有让vps服务商客服参考下文修复:
https://openvpn.net/index.php/access-server/docs/admin-guides/186-how-to-run-access-server-on-a-vps-container.html

感觉有用的,加分鼓励吧。
作者: hzqim    时间: 2012-11-21 18:23
今天不能加分了,明天吧。
openvpn比pptp和l2tp的效率高、也更安全,但就是架设麻烦。
另ssl帐号+autoproxy上网的代理是不是也是类似于openvpn的协议?
作者: ccc    时间: 2012-11-21 18:27
一大波撸友正在围观
作者: hepac    时间: 2012-11-21 18:28
好多砖家
作者: ethan    时间: 2012-11-21 18:30
不错不错~
作者: 一步一杀    时间: 2012-11-21 18:30
墙越来越牛逼了
作者: 哈P哥    时间: 2012-11-21 18:36
本帖最后由 哈P哥 于 2012-11-21 18:39 编辑

不错啊,直接安装就行了?要是有配图就好le ,顺便问下这个和自建的openvpn有什么区别?
作者: hostvps    时间: 2012-11-21 18:39
hzqim 发表于 2012-11-21 18:23
今天不能加分了,明天吧。
openvpn比pptp和l2tp的效率高、也更安全,但就是架设麻烦。
另ssl帐号+autoproxy ...

是ssh帐号吧,和OpenVPN还是有较大区别的
作者: 小尤    时间: 2012-11-21 18:39
存起来  以后看看有没有用
作者: 哈P哥    时间: 2012-11-21 18:40
hostvps 发表于 2012-11-21 18:39
是ssh帐号吧,和OpenVPN还是有较大区别的

顺便问下这个和自建的openvpn有什么区别?
作者: hostvps    时间: 2012-11-21 18:41
哈P哥 发表于 2012-11-21 18:36
不错啊,直接安装就行了?要是有配图就好le

OpenVPN Access Server是OpenVPN官方商业化的搭建方案,安装后都是基于网页的图形化配置,非常简单。
可惜免费版限制只能2用户同时在线,个人用还行,商业化要购买授权许可
作者: 哈P哥    时间: 2012-11-21 18:43
hostvps 发表于 2012-11-21 18:41
OpenVPN Access Server是OpenVPN官方商业化的搭建方案,安装后都是基于网页的图形化配置,非常简单。
可 ...


如果vps是新装的系统就不用安装其他编译的组件吗?比如gcc之类什么的
作者: hostvps    时间: 2012-11-21 18:52
哈P哥 发表于 2012-11-21 18:43
如果vps是新装的系统就不用安装其他编译的组件吗?比如gcc之类什么的

其是软件包不是编译安装,软件包已经解决了依赖关系,最多提示你安装iptables(如果没安装的话),
openvz类型vps如果安装后不能运行服务,只有客服给vps服务商参考下文修改:
https://openvpn.net/index.php/access-server/docs/admin-guides/186-how-to-run-access-server-on-a-vps-container.html
作者: 哈P哥    时间: 2012-11-21 18:53
hostvps 发表于 2012-11-21 18:52
其是软件包不是编译安装,软件包已经解决了依赖关系,最多提示你安装iptables(如果没安装的话),
openv ...

谢谢了
作者: wwwroot    时间: 2012-11-21 18:56
mark,好东西
作者: qingniancom    时间: 2012-11-21 19:06
重点就是改端口?
作者: hostvps    时间: 2012-11-21 19:29
qingniancom 发表于 2012-11-21 19:06
重点就是改端口?

重点是tls-auth,当然使用TCP 3389端口也很重要
作者: hzqim    时间: 2012-11-21 21:09
openvpn好像在企业市场用得比较多,但要安装客户端,而pptp和l2tp就可以用系统自带的功能。
作者: hostvps    时间: 2012-11-21 21:45
hzqim 发表于 2012-11-21 21:09
openvpn好像在企业市场用得比较多,但要安装客户端,而pptp和l2tp就可以用系统自带的功能。 ...

个人用的也比较多的,pptp和l2tp固定端口很容易受到干扰,openvpn换端口方便抗干扰能力好。
作者: hzqim    时间: 2012-11-21 21:48
hostvps 发表于 2012-11-21 21:45
个人用的也比较多的,pptp和l2tp固定端口很容易受到干扰,openvpn换端口方便抗干扰能力好。 ...

嗯,下个研究目标,谢谢您的文章。
作者: hzqim    时间: 2012-11-21 21:50
已经安装了pptp的vpn能安装openvpn吗?冲突不?
作者: hostvps    时间: 2012-11-21 21:51
hzqim 发表于 2012-11-21 21:50
已经安装了pptp的vpn能安装openvpn吗?冲突不?

能,不冲突。
作者: waf7225    时间: 2012-11-21 23:06
FREEBSD怎么破?
作者: 仿品空间    时间: 2012-11-21 23:31
太感谢大牛了...成功了...
作者: hostvps    时间: 2012-11-21 23:32
waf7225 发表于 2012-11-21 23:06
FREEBSD怎么破?

官方没提供下载啊
作者: 二蛋    时间: 2012-11-22 00:14
不错不错~
作者: dakai    时间: 2012-11-22 13:17
补充:
建议把默认的web登录管理端口943,也修改掉,比如748
因为不除这种可能:某东东扫ip:943,出现与openvpn有关的反馈,则直接墙这个ip
作者: 88free    时间: 2012-11-22 13:21
不错加分了,也给我加分吧
作者: monface    时间: 2012-11-22 13:56
虽然看不懂
但是感觉很牛x
作者: hostvps    时间: 2012-11-22 15:17
dakai 发表于 2012-11-22 13:17
补充:
建议把默认的web登录管理端口943,也修改掉,比如748
因为不除这种可能:某东东扫ip:943,出现与open ...

嗯,这个自己看着改吧,呵呵
作者: hzqim    时间: 2012-11-22 15:24
看到相关介绍,openvpn的端口可以配置成TCP 443,和https访问端口相同,这样存活率高。

但如果vps同时架设了https网站,会不会造成冲突呢?
作者: SunnyV    时间: 2012-11-22 15:39
收藏起来啊
作者: niniwa    时间: 2012-11-22 15:43
这个真的不错
作者: Vita    时间: 2012-11-22 16:00
本帖最后由 Vita 于 2012-11-22 16:12 编辑

没用的,无论建立什么端口都会被干掉的,唯一能解决的就是随机端口

(, 下载次数: 1)
作者: xiasl    时间: 2012-11-22 16:06
Vita 发表于 2012-11-22 16:00
没用的,无论建立什么端口都会被干掉的,唯一能解决的就是随机端口

Vita妹 连你都认为是端口造成的?
作者: hzqim    时间: 2012-11-22 16:07
  1. Error:

  3. service failed to start due to unresolved dependencies: set(['user'])
  4. service failed to start due to unresolved dependencies: set(['iptables_openvpn'])
  5. Service deferred error: IPTablesServiceBase: failed to run iptables-restore [status=1]: ['iptables-restore: line 53 failed']: internet/defer:323,sagent/ipts:119,sagent/ipts:46,util/mycprof:11,<string>:1,sagent/sagent_entry:14,sagent/sagent_entry:11,util/daemon:28,util/daemon:69,application/app:423,scripts/_twistd_unix:202,application/app:445,application/app:348,internet/base:1166,internet/base:1178,internet/epollreactor:194,python/log:85,python/log:70,python/context:59,python/context:37,internet/epollreactor:223,internet/posixbase:191,internet/process:260,internet/process:762,internet/process:775,internet/_baseprocess:60,svc/pp:116,svc/svcnotify:32,internet/defer:238,internet/defer:307,internet/defer:323,sagent/ipts:119,sagent/ipts:46,util/error:60,util/error:43
  6. service failed to start due to unresolved dependencies: set(['user', 'iptables_live', 'iptables_openvpn'])
  7. service failed to start due to unresolved dependencies: set(['user', 'iptables_live', 'iptables_openvpn'])
  8. service failed to start due to unresolved dependencies: set(['iptables_live', 'iptables_openvpn'])
复制代码
出错啊,iptables也安装了。debain。
作者: Vita    时间: 2012-11-22 16:12
本帖最后由 Vita 于 2012-11-22 16:15 编辑
xiasl 发表于 2012-11-22 16:06
Vita妹 连你都认为是端口造成的?


经过我们无数次实验得出的结果,应该是检测协议,过一段时间之后这个端口就挂了
作者: hzqim    时间: 2012-11-22 16:18
Vita 发表于 2012-11-22 16:12
经过我们无数次实验得出的结果,应该是检测协议,过一段时间之后这个端口就挂了 ...

能否走443?
作者: xiasl    时间: 2012-11-22 16:20
Vita 发表于 2012-11-22 16:12
经过我们无数次实验得出的结果,应该是检测协议,过一段时间之后这个端口就挂了 ...

你把协议改成tcp试试保证随你怎么折腾都不挂,另外 S5代理你有测试过么,是否也被检测到呢?
作者: enta    时间: 2012-11-22 16:25
好东西
作者: Vita    时间: 2012-11-22 16:50
xiasl 发表于 2012-11-22 16:20
你把协议改成tcp试试保证随你怎么折腾都不挂,另外 S5代理你有测试过么,是否也被检测到呢? ...

挂,TCP/UDP都不行,除非自己再想办法
作者: Vita    时间: 2012-11-22 16:55
hzqim 发表于 2012-11-22 16:18
能否走443?

可以,但是没用过段时间就会挂了
作者: xiasl    时间: 2012-11-22 17:08
Vita 发表于 2012-11-22 16:50
挂,TCP/UDP都不行,除非自己再想办法

协议检测最多检测下报文数据里是否有代理的特征,如果能把这些特征消弭掉墙就没办法判断是否是代理了。
那啥 我以为你退出江湖里,没想到还在做哈~还有就是你手上的S5现在能否穿墙呢?
作者: a23445412    时间: 2012-11-22 17:11
好东西
作者: hzqim    时间: 2012-11-22 17:26
Vita 发表于 2012-11-22 16:55
可以,但是没用过段时间就会挂了

单443还是不能隐藏啊?
作者: topl    时间: 2012-11-22 18:26
用ssh端口,把banner改成openssh
作者: 炎羽    时间: 2012-11-22 23:15
不行。。。3389 3306 1433 1723 8080 都用遍了,想试试改Openssl协议
作者: 老T    时间: 2012-11-22 23:20
tls-auth据说对高墙而言毫无作用~
作者: 仿品空间    时间: 2012-11-22 23:23
本帖最后由 仿品空间 于 2012-11-22 23:26 编辑

我的成功了。。并且结合了别的VPN,让拨号软件成中文的。。

http://www.linji.cn/6634.html
作者: 仿品空间    时间: 2012-11-22 23:27
只是连接之后,上网速度变慢了。不知道是怎么回事。
作者: hostvps    时间: 2012-11-23 08:35
hzqim 发表于 2012-11-22 15:24
看到相关介绍,openvpn的端口可以配置成TCP 443,和https访问端口相同,这样存活率高。

但如果vps同时架设 ...

会冲突,不过也可以实现。
作者: hostvps    时间: 2012-11-23 09:02
hzqim 发表于 2012-11-22 16:07
出错啊,iptables也安装了。debain。

没遇见过这么复杂的错误
作者: hostvps    时间: 2012-11-23 09:22
Vita 发表于 2012-11-22 16:12
经过我们无数次实验得出的结果,应该是检测协议,过一段时间之后这个端口就挂了 ...

请问你们测试的结果有没有发现他是如何检查的协议?
“过一段时间”大概是多长时间,一天、三天、一周?
作者: hostvps    时间: 2012-11-23 09:24
仿品空间 发表于 2012-11-22 23:23
我的成功了。。并且结合了别的VPN,让拨号软件成中文的。。

http://www.linji.cn/6634.html ...

官方最新测试版里有繁体中文。
连VPN后速度当然会慢啊
作者: 飞天金猪    时间: 2012-11-23 09:52
求科普 为什么我打不开http://openvpn.net/index.php/access-server/download-openvpn-as-sw/113.html?osfamily=CentOS  
作者: 可心    时间: 2012-11-23 09:58
请教如何添加用户?先用SSH添加?然后在VPN后台加?
作者: hostvps    时间: 2012-11-23 10:35
飞天金猪 发表于 2012-11-23 09:52
求科普 为什么我打不开http://openvpn.net/index.php/access-server/download-openvpn-as-sw/113.html?osfa ...


openvpn官网被封锁了,用代理能打开

http://swupdate.openvpn.org/as/openvpn-as-1.8.4-CentOS5.i386.rpm
http://swupdate.openvpn.org/as/openvpn-as-1.8.4-CentOS5.x86_64.rpm

可以vps上直接下载
作者: hostvps    时间: 2012-11-23 10:36
可心 发表于 2012-11-23 09:58
请教如何添加用户?先用SSH添加?然后在VPN后台加?

是的先添加vps用户,然后vpn页面上添加
作者: 哈P哥    时间: 2012-11-23 12:22
我想问下,那个Server Network Settings  里的Protocol设置成udp速度比较快吧?还是Both (Multi-daemon mode)?这个两个端口的话,他优先使用那个端口??
作者: hostvps    时间: 2012-11-23 12:32
哈P哥 发表于 2012-11-23 12:22
我想问下,那个Server Network Settings  里的Protocol设置成udp速度比较快吧?还是Both (Multi-daemon mod ...

优先udp,连不上会尝试tcp
作者: 哈P哥    时间: 2012-11-23 12:34
本帖最后由 哈P哥 于 2012-11-23 12:40 编辑
hostvps 发表于 2012-11-23 12:32
优先udp,连不上会尝试tcp


哪里有繁体的测试版?顺便问下48楼 tls-auth据说对高墙而言毫无作用~咋回事?
作者: hostvps    时间: 2012-11-23 12:41
哈P哥 发表于 2012-11-23 12:34
哪里有繁体的测试版?顺便问下48楼 tls-auth据说对高墙而言毫无作用~咋回事? ...

32位 http://swupdate.openvpn.org/community/releases/openvpn-install-2.3_rc1-I003-i686.exe
64位 http://swupdate.openvpn.org/community/releases/openvpn-install-2.3_rc1-I003-x86_64.exe
作者: 哈P哥    时间: 2012-11-23 12:45
hostvps 发表于 2012-11-23 12:41
32位 http://swupdate.openvpn.org/community/releases/openvpn-install-2.3_rc1-I003-i686.exe
64位 htt ...

楼主我还想问下,48楼那个说 tls-auth据说对高墙而言毫无作用~咋回事?是指加密认证的方式没效果吗?
作者: hostvps    时间: 2012-11-23 12:49
哈P哥 发表于 2012-11-23 12:45
楼主我还想问下,48楼那个说 tls-auth据说对高墙而言毫无作用~咋回事?是指加密认证的方式没效果吗? ...

文中方式只是可以防主动特征检查,不过据说高强还有流量监测,某IP+端口流量大了就会被干扰端口。
不过我想个人用流量应该不会太大也就不会被干扰吧。
作者: 哈P哥    时间: 2012-11-23 12:57
hostvps 发表于 2012-11-23 12:49
文中方式只是可以防主动特征检查,不过据说高强还有流量监测,某IP+端口流量大了就会被干扰端口。
不过我 ...

感谢耐心解答啊。今天没分了明天加
作者: 飞天金猪    时间: 2012-11-23 13:51
本帖最后由 飞天金猪 于 2012-11-23 13:53 编辑

感谢啊  今天没有分了。。。。明天补上
这个添加用户 怎么修改密码?
作者: hostvps    时间: 2012-11-23 19:44
飞天金猪 发表于 2012-11-23 13:51
感谢啊  今天没有分了。。。。明天补上
这个添加用户 怎么修改密码?

passwd 用户名
作者: hzqim    时间: 2012-11-23 20:01
不用client.ovpn也可以链接,所以2个用户的限制对于一般用户应该没有问题了。
作者: 哈P哥    时间: 2012-11-24 09:19
hostvps 发表于 2012-11-23 19:44
passwd 用户名


楼主我想问下,我看这文章里http://blog.chinaunix.net/uid-7589639-id-114135.html
说要安装lzo啊,现在的版本里包含了lzo吗?不用安装lzo吗?
作者: hostvps    时间: 2012-11-24 20:34
哈P哥 发表于 2012-11-24 09:19
楼主我想问下,我看这文章里http://blog.chinaunix.net/uid-7589639-id-114135.html
说要安装lzo啊,现在 ...

不用了,如果你想启用直接把client.ovpn中的comp-lzo no后面的no去掉
作者: 哈P哥    时间: 2012-11-24 20:38
hostvps 发表于 2012-11-24 20:34
不用了,如果你想启用直接把client.ovpn中的comp-lzo no后面的no去掉

client.ovpn 默认是关闭lzo的?不是说lzo启动压缩的话速度快吗?
作者: hostvps    时间: 2012-11-24 20:43
哈P哥 发表于 2012-11-24 20:38
client.ovpn 默认是关闭lzo的?不是说lzo启动压缩的话速度快吗?

这也要看情况吧,要机器性能好,开网页会加速,开视频或下载时反而不好。
作者: 快乐居士    时间: 2012-11-28 01:00
这个很流弊..
作者: hostvps    时间: 2012-11-30 09:14
快乐居士 发表于 2012-11-28 01:00
这个很流弊..

不过只能自己用。
作者: 伦敦的夜    时间: 2012-11-30 12:53
出现个问题... 不能开启服务,出现:
Error: iptables service not started because of error (SVC_RUN_EXCEPT)

大神怎么办啊

前几天弄pptp,619错误,搜到这里,用hostvps大神的方法又出现上面的错误,iptables安装了。
作者: 辰景    时间: 2012-11-30 13:02
收藏了!
作者: hostvps    时间: 2012-11-30 13:07
伦敦的夜 发表于 2012-11-30 12:53
出现个问题... 不能开启服务,出现:
Error: iptables service not started because of error (SVC_RUN_EXC ...

如果安装后不能运行服务,只有让vps服务商客服参考下文修复:
https://openvpn.net/index.php/access-server/docs/admin-guides/186-how-to-run-access-server-on-a-vps-container.html
如果客服不给你修,那就没办法用这种方法了
作者: comput    时间: 2012-11-30 13:12
收藏了,谢谢楼主!
作者: 伦敦的夜    时间: 2012-11-30 21:23
hostvps 发表于 2012-11-30 13:07
如果安装后不能运行服务,只有让vps服务商客服参考下文修复:
https://openvpn.net/index.php/access-ser ...

唉,真是波折。谢谢大神提醒。
作者: 88free    时间: 2012-12-1 08:27
这个方法太好用了
作者: hemake    时间: 2012-12-1 10:09
SSH的飘过。。。。速度一样杠杠的。
作者: 伦敦的夜    时间: 2012-12-1 10:15
又买个VPS,这个就好使,谢谢hostvps。
作者: 伦敦的夜    时间: 2012-12-1 10:20
hemake 发表于 2012-12-1 10:09
SSH的飘过。。。。速度一样杠杠的。

推荐一个SSH代理的教程呗,我现在在研究各种代理方法,呵呵。
作者: hostvps    时间: 2012-12-1 11:05
本帖最后由 hostvps 于 2012-12-1 11:17 编辑
伦敦的夜 发表于 2012-12-1 10:20
推荐一个SSH代理的教程呗,我现在在研究各种代理方法,呵呵。


http://wangheng.org/firefox-the-ssh-the-autoproxy-smart-over-wall.html

Tunnelier便携版:http://tp.vbap.com.au/

MyEnTunnel下载:http://nemesis2.qx.net/pages/MyEnTunnel
Plink下载:http://the.earth.li/~sgtatham/putty/latest/x86/plink.exe
打包下载: (, 下载次数: 364)

作者: 飞天金猪    时间: 2012-12-12 16:40
3389 989 昨天只到新华社推特上 随便留一言 今天就挂了。。。今天开始不能登录了
作者: 哈P哥    时间: 2012-12-12 16:44
本帖最后由 哈P哥 于 2012-12-12 16:46 编辑
飞天金猪 发表于 2012-12-12 16:40
3389 989 昨天只到新华社推特上 随便留一言 今天就挂了。。。今天开始不能登录了 ...


openvpn已经能被检测了。电脑装了dnscrypt在试试
作者: 飞天金猪    时间: 2012-12-12 16:55
哈P哥 发表于 2012-12-12 16:44
openvpn已经能被检测了。电脑装了dnscrypt在试试

怎么玩的 求科普 求教程 哈
作者: icecream    时间: 2012-12-14 11:24
真的很厉害
作者: 0987363    时间: 2013-1-2 14:15
鸟用,凡是用证书加密的openvpn都挂
管你是商业还是免费。。协议都一样,照挂不误

现在能稳定的就只有sstp跟静态密钥的openvpn
作者: 腾讯    时间: 2013-1-2 14:33
牛逼
作者: huko    时间: 2013-1-2 17:31
安装成功了  可是除了有图比和推特 其他被墙的站都能上  什么原因
作者: iAD    时间: 2013-1-2 17:31
提示: 作者被禁止或删除 内容自动屏蔽
作者: Zoplor    时间: 2013-1-2 17:36
不明觉厉
作者: M100700    时间: 2013-1-2 20:32
0987363 发表于 2013-1-2 14:15
鸟用,凡是用证书加密的openvpn都挂
管你是商业还是免费。。协议都一样,照挂不误

有根据么?
作者: george110    时间: 2013-1-2 20:35
给力,刘明
作者: 9500pro    时间: 2013-1-3 20:26
很好!谢谢!



欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/) Powered by Discuz! X3.4