为什么要利用海外的VPS或服务器来搭建自己的VPN服务器呢?首先是为了安全,其次也是为了稳定。
- edu用户可以去GitHub Student Developer Pack领取DigitalOcean的优惠券,价值50美元,需要拥有edu邮箱,这样5美元的月租相当于免费使用10个月。
- 注册DigitalOcean账户,这里非常欢迎通过我的邀请链接来注册,这样在前2个月你可以获得100美元的使用额度,具体优惠政策可以点进去看。
- 对于首次注册DigitalOcean的用户,需要添加支付方式,具体有信用卡和PayPal两种方式,这里笔者在某宝上买了一张充有5美元的虚拟信用卡填了进去。登陆DigitalOcean后进入Accout-Billing,下拉可以看到Promo code,输入在GitHub Student Developer Pack中得到的优惠码,就会免费获得50美元。
- 创建Project,并选择一款Droplet,我选择的是最便宜的那款,月租5美元。操作系统选择自己需要的即可,我选择的是Ubuntu 18.10 x64。服务器所在地据说北美几个点速度都不错。
- 现在你就拥有一台属于自己的VPS了,有没有感觉世界充满了无限可能 ^_^ 在Droplets中通过Droplet的Access console就可以打开服务器的终端窗口,首次登陆需要修改root密码。
Algo是一个开源的自托管的个人VPN服务器项目,旨在简化部署流程,并提高安全性。
Features
- 仅支持具有强加密的IKEv2:ES-GCM,SHA2和P-256
- 生成Apple配置文件以自动配置IOS和macOS设备
- 包含用于添加和删除用户的辅助脚本
- 使用本地DNS解析程序过滤广告(可选)
- 为隧道流量设置有限的SSH用户(可选)
- 基于当前版本的Ubuntu和strongSwan
- 可以安装到DigitalOcean,Amazon EC2,Microsoft Azure,Google Compute Engine或者你自己的服务器上
Anti-features
- 不支持传统密码套件或协议,如L2TP,IKEv1或RSA
- 不安装Tor,OpenVPN或其它有风险的服务器
- 不依赖于TLS的安全性
- 在大多数平台上不需要客户端软件
- 不提供匿名或审查避免
- 不保护免受FSB,MSS,DGSE或FSM侵害
部署Algo Server
-
打开服务器的console,从GitHub上下载Algo到自己喜欢的位置。
git clone https://github.com/trailofbits/algo.git -
安装Algo的依赖程序,Algo使用Python2而不是Python3作为Python程序的解释器,
cd进入到algo目录,并运行:$ sudo apt-get update && sudo apt-get install \ build-essential \ libssl-dev \ libffi-dev \ python-dev \ python-pip \ python-setuptools \ python-virtualenv -y -
安装Algo其余的依赖程序,使用与上一步相同的终端窗口,并运行:
$ python -m virtualenv --python=`which python2` env && source env/bin/activate && python -m pip install -U pip virtualenv && python -m pip install -r requirements.txt - 利用vim或其它文本编辑器打开algo目录下的
config.cfg,在users列表中添加需要使用VPN服务的用户名,每个用户名只能用于一台客户机。 -
回到终端窗口,在algo目录下运行
./algo,按照提示开始部署Algo服务器,注意这里有一些可选功能,根据需要自行改变默认设置。服务器部署完成后,你将看到下列信息,注意一定要记下p12(用户证书)密码,这个密码只会在这里显示一次。"\"#----------------------------------------------------------------------#\"", "\"# Congratulations! #\"", "\"# Your Algo server is running. #\"", "\"# Config files and certificates are in the ./configs/ directory. #\"", "\"# Go to https://whoer.net/ after connecting #\"", "\"# and ensure that all your traffic passes through the VPN. #\"", "\"# Local DNS resolver 172.16.0.1 #\"", "\"# The p12 and SSH keys password is XXXXXXXX #\"", "\"#----------------------------------------------------------------------#\"",
添加删除用户
如果以后想增添或删除使用VPN服务的设备,怎么办呢?这里Algo提供了便捷的修改方法。
- 首先更新
config.cfg中的users列表,添加新用户名,或者删除旧用户名。 -
开启终端,
cd进入algo目录,激活虚拟环境source env/bin/activate -
运行命令
./algo update-users
全部完成后,Algo VPN服务器将仅支持config.cfg文件中所包含的用户使用
部署VPN客户机
这里只介绍Win10系统的部署方法,其它操作系统请参考Algo官方的README文档。
- 在Win10系统上,利用WinSCP从DigitalOcean服务器上下载CA证书(cacert.pem)和用户证书(USER.p12),这两个证书文件都在云服务器的
algo/configs/X.X.X.X/目录下,其中X.X.X.X是VPN服务器的IP地址。 - 在Win10系统中,以管理员方式打开PowerShell,
cd到证书文件所在目录。 -
修改PowerShell执行策略
Set-ExecutionPolicy Unrestricted -Scope CurrentUser -
将下列代码保存成ps1文件,注意将VpnServerAddress字段修改成VPN服务器的IP地址,将UserP12Path和CaCertPath字段修改成证书文件所在的路径。
$VpnServerAddress = "1.2.3.4" $UserP12Path = "$Home\Downloads\USER.p12" $CaCertPath = "$Home\Downloads\cacert.pem" $VpnName = "Algo VPN $VpnServerAddress IKEv2" $p12Pass = Read-Host -AsSecureString -Prompt "User p12 password" Import-PfxCertificate -FilePath $UserP12Path -CertStoreLocation Cert:\LocalMachine\My -Password $p12Pass Import-Certificate -FilePath $CaCertPath -CertStoreLocation Cert:\LocalMachine\Root $addVpnParams = @{ Name = $VpnName ServerAddress = $VpnServerAddress TunnelType = "IKEv2" AuthenticationMethod = "MachineCertificate" EncryptionLevel = "Required" } Add-VpnConnection @addVpnParams $setVpnParams = @{ ConnectionName = $VpnName AuthenticationTransformConstants = "GCMAES256" CipherTransformConstants = "GCMAES256" EncryptionMethod = "AES256" IntegrityCheckMethod = "SHA384" DHGroup = "ECP384" PfsGroup = "ECP384" Force = $true } Set-VpnConnectionIPsecConfiguration @setVpnParams - 在PowerShell中执行ps1文件,中间会用到之前记下的p12(用户证书)密码。
-
部署完成后,记得将PowerShell的执行策略改回来
Set-ExecutionPolicy Restricted -Scope CurrentUser - 现在,在win10系统界面右下角的网络连接中,你会看到一个叫做Algo VPN X.X.X.X IKEv2的连接,点击连接你就打开新世界的大门了。
Thomas Xu. 浅谈vpn、vps、Proxy以及shadowsocks之间的联系和区别
Patordia. 详细的digitalocean教程!
mrpnkt. Setup AlgoVPN in Windows 10
lucky_zhang. Windows和linux(ubuntu)互传文件简便快捷的方法
