Ubuntu架设OpenVPN实现内网穿透

前言

家里的网络因为没有公网 IP,有时候想要连接到家里的树莓派或者电脑就无法实现。这个时候可以采用内网穿透的方法远程连接家中的机器,内网穿透的方案有很多,下面介绍一种采用 OpenVPN 实现内网穿透的方案。


配置

主机:腾讯云/阿里云
操作系统:Ubuntu 16.04

教程

安装 OpenVPN

首先,我们需要在服务器安装 OpenVPN。在 Ubuntu 系统中我们可以通过 apt 简单的进行安装。同时我们也需要安装 easy-rsa,它可以帮助我们生成 VPN 使用过程中所需的 CA 证书。

设置 CA 目录

OpenVPN 是使用 TLS/SSL 的 VPN。这意味着它利用证书来加密服务器和客户端之间的通信。为了发布受信任的证书,我们需要建立一个自己的简单的证书颁发机构(CA)。 使用 make-cadir 命令复制 easy-rsa 模板到 home 目录。

接着进入刚刚新建的目录准备配置 CA:

配置 CA 变量

进入 ~/openvpn/openvpn-ca 目录后,我们需要修改 vars 文件,以便于生成需要的 CA 值。

在文件底部找到以下配置:

将这些变量修改为任意你喜欢的值,但是不要为空:

然后,我们还要修改紧接着出现的 KEY_NAME 的值,为了简单起见,我们改为 server  (这个不要修改成其他名字,后续的配置文件中默认是这个名字), 默认是 EasyRSA:

构建 CA 证书

首先进入你的 CA 目录,然后执行 source vars :

接着会有以下输出:

执行下列操作确保操作环境干净:

现在我们可以构建根 CA:

这将会启动创建根证书颁发密钥、证书的过程。由于我们刚才修改了 vars 文件,所有值应该都会自动填充。所以,一路回车就好了:

现在,我们就有了创建以下步骤需要的 CA 证书。

创建服务器端证书、密钥和加密文件

通过下列命令生成服务器端证书和秘钥:

注:server 就是刚才在 vars 文件中修改的 KEY_NAME 变量的值。请不要使用别的名字! 然后一直回车选择默认值即可,不要设置 challenge password ,直接回车即可。到最后,你需要输入两次 y 注册证书和提交。

然后还需要生成一些其他东西。我们可以在密钥交换过程中生成一个强大的 Diffie-Hellman 密钥:

这个操作大约会花费几分钟不等。 然后,我们可以生成 HMAC 签名加强服务器的 TLS 完整性验证功能:

配置 OpenVPN 服务

首先将刚刚生成的各类文件复制到 OpenVPN 目录下:

然后,解压并复制一个 OpenVPN 配置文件到 OpenVPN 目录:

接着更改配置,注释掉 udp 更改协议为 tcp :

找到 tls-auth 位置,去掉注释,并在下面新增一行:

去掉 usergroup 行前的注释:

去掉 client-to-client 行前的注释允许客户端之间互相访问:

开启客户端固定 IP 配置文件夹:

去掉注释后的完整配置如下:

去掉注释之后,精简的关键信息如下:

调整服务器网络配置
调整 UFW 规则

首先,确认UFW 防火墙状态,如果状态为开启,则调整。如果防火墙是关闭的,则不需要调整。

如果输出是 Status: inactive  , 那么不需要进行下面的调整。

注意,下面的调整如果中间出现问题,可能导致防火墙拦截 SSH 进而无法进行恢复操作。如果出现问题,可以使用阿里云或者腾讯云提供的远程控制台在网页端进行恢复操作。

注意,如果服务器是从早期版本的 ubuntu 14.04 升级到 ubunt 16.04 的,那么可能会出现如下警告信息:

原因为存在两个版本的防火墙配置文件 apache2-utils.ufw.profileubunt 16.04) , apache2.2-commonubuntu 14.04) ,这两个配置文件。

我们需要删除早期的防火墙配置文件,如下:

如果服务器上 UFW  首次启用, 需要手工许可若干常用服务,否则无法远程访问:

当然,也可以直接配置需要开放的端口,但是不推荐,如下:

如果需要删除特定的规则,那么参考如下命令:

打开 OpenVPN 端口并使变化生效

启动 OpenVPN

执行:

设置开机自启:

创建客户端配置

生成客户端证书、密钥对

client-mobibrw 为密钥对名称,生成过程中回车选择默认选项即可。

注意,下面这一步一定要输入 y 否则会跳过最后一步,导致生成证书的时候会缺少部分信息。

注意,如果有多个客户端的话,建议为每个客户端生成一份配置文件。

创建客户端配置

执行下列命令,生成客户端配置的基础文件:

然后打开 ~/client-configs/base.conf 文件,修改 remote my-server-1 1194 为服务器公网IP或者域名。 然后更改客户端协议为 tcp:

去掉 usergroup 前的注释:

找到 ca/cert/key,注释掉:

在文件中新增一行:

保存退出文件。

去掉注释后的完整配置为:

创建配置生成脚本

新建 ~/client-configs/make_config.sh 文件,复制如下内容:

保存并赋予执行权限:

生成客户端配置

执行:

使用此脚本生成一个配置文件方便客户端使用。 注:需要生成客户端密钥后才可使用脚本生成配置文件,client-mobibrw.ovpn 为刚刚生成的客户端密钥名称 生成后的脚本储存在 ~/client-configs/files 目录下,名称为 client-mobibrw.ovpn。将文件下载到本地即可使用了。

为客户端设置固定 IP

首先在 OpenVPN 所在的文件夹内创建 ccd 文件夹:


然后进入该文件夹并创建与客户端密钥名称相同的文件夹并写入一下内容:

内容如下:

此内容意为固定 client-mobibrw 客户端的 OpenVPN 内网 IP 为 10.8.0.8
继续阅读Ubuntu架设OpenVPN实现内网穿透

macOS Mojave(10.14.5) Octave libSVM加速SVM计算


安装完成后,库提供了 svmtrain , svmpredict, libsvmwrite, libsvmread  等函数,可以加速整个 SVM的处理速度。

Octave 中使用的方式如下:

参考链接


OpenmediaVault-4.1.3上编译Linux Kernel 4.14.118

也可以使用下面的方式正常编译 Linux Kernel 4.14.118

建议使用 VirtualBox 上建立虚拟机,保证磁盘空间不小于 32GB,给 root 用户设置密码,远程通过 shell 登录到虚拟机。

查询虚拟机的 IP地址的时候,使用

命令查询。虚拟机网卡设置的时候,设置为桥接模式,默认的 NAT 模式无法通过 SSH 登录。

然后执行如下命令:

完成后,在当前用户目录下生成 linux-image-4.14.118_4.14.118-10.00.Custom_amd64.deb 安装包,执行如下命令安装:

参考链接


下载Sourceforge等国内无法下载站点文件的方法

Sourceforge 是一些开源软件经常用到的网站,然而国内的网站一直不稳定,如今是可以访问,但是一直无法下载,今天发现了一种新方法那就是 http://www.mirrorservice.org 这个网站,这个网站提供了众多网站的镜像,可以通过 web 或者 ftp 等方式来访问,看了下,里面的站点相当多。 但是版本可能比较老,最新的版本可能要多等一段时间。

继续阅读下载Sourceforge等国内无法下载站点文件的方法

VMware ESXi 6.7密码正确不能登录

今天新安装了一个 VMware ESXi 6.7 的系统,密码仍然用的习惯采用的密码。但在使用中,无论是使用 vSphere Client 连接,还是在 vCenter Server 中添加这台 ESXi 系统,都是提示密码不对,最后重置系统设置(密码清空),通过在 vSphere Client 设置新的密码的方法解决。下面简单回顾一下问题的现象及解决过程。
继续阅读VMware ESXi 6.7密码正确不能登录

ESXi 6.7 使用NUT Client连接群晖UPS服务器

进来增加了一台工控机,上面跑了如软路由等业务,万一突然断电 ESXi 坏了启不了,估计就得废好大劲折腾了,以前有给群晖配过一台 APC BK650UPS,目前 UPSCOM 数据输出直接给到了群晖,毕竟无论如何也得优先保障群晖的可靠性,在群晖的设置里面看到过 UPS 服务器的选项,所以想着能不能 ESXi 能不能连接群晖的 UPS 服务器实现断电自动关机以保证数据安全。

继续阅读ESXi 6.7 使用NUT Client连接群晖UPS服务器