日本筑波大学发布了一个实验项目: 全球分布式公共 VPN 中继服务器VPN Gate。互联网本来没有疆域一说,但过去几年愈来愈多的国家试图将本国的互联网变成一个大局域网,它们利用内容过滤防火墙禁止用户访问政府不喜欢的内 容。
VPN是让用户安全无阻的访问互联网的一种工具,它可以绕过防火墙,隐藏真实IP,防止在本地网络上的窃听。但集中式的VPN服务已经成为了防火墙的 新目标,此类的服务也不时的受到干扰。
VPN Gate旨在解决这些问题,它是一种分布式的免费公共VPN中继服务,服务器由志愿者托管,支持Windows, Mac, iPhone, iPad 和安卓,支持 SSL-VPN (SoftEther VPN) 协议, L2TP/IPsec 协议, OpenVPN 协议和 Microsoft SSTP 协议,无需注册。
OpenVPN cryptographic layer
This is a technical overview of OpenVPN’s cryptographic layer, and assumes a prior understanding of modern cryptographic concepts. For additional discussion on OpenVPN security, see this FAQ item.
OpenVPN has two authentication modes:
In static key mode, a pre-shared key is generated and shared between both OpenVPN peers before the tunnel is started.
Continue reading »
Sometimes it’s useful to obfuscate the fact that your traffic is generated by OpenVPN. For example, if your ISP is blocking OpenVPN for some reason. This article describes various ways to obfuscate OpenVPN traffic so that it’s not as easily detected and blocked. Continue reading »
虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的VPN类型,即IPSec VPN和SSL VPN,以及这两种类型应该如何选择。
然而,在深入研究这两个不同类型之前,需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的笔记本电脑或者第三方系统。 Continue reading »
Wednesday, January 16, 2008 by Steve Zenone
I've been running IPCOP as my home firewall for a couple of years. I was also running OpenVPN on my firewall to allow for remote road warrior VPN connections. The combination worked great; protecting my home network while providing secure remote access. Still, the geek in me wanted to consolidate my hardware and experiment with dd-wrt. After a little research I found out that there was OpenVPN support for dd-wrt. However, looking at the documentation and various forums I didn't see anything showing me how to set up a successful road warrior tunnel. After an evening of experimenting got it to work; DD-WRT and OpenVPN running on a Linksys WRT54GL allowing inbound road warrior connections using tunnel mode. Here's what I did.
First, this is what I had setup previously:
DSL modem which plugged into
Computer running IPCOP and OpenVPN which plugged into
Switch and a separate WAP (a Linksys wireless access point)
I wanted to consolidate the last three pieces of hardware (firewall/OpenVPN, switch and WAP). My plan was to have the following:
DSL modem which plugs into
Linksys WRT54GL running DD-WRT and OpenVPN (also providing switch ports and a WAP) Continue reading »
Server使用的配置文件server.conf
—————————–
#申明本机使用的IP地址,也可以不说明
;local a.b.c.d
#申明使用的端口,默认1194
port 1194
#申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议
;proto tcp
proto udp
#申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。
#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key,注意文件的权限,防止被盗
key server.key # This file should be kept secret Continue reading »
dog250 发表于 @ 2010年06月01日 22:32:00
OpenVPN由于其设计问题,速度很慢,有人认为是由于加密解密导致了速度变慢,当将cipher设置成none之后,发现效率并没有提升,并且使用最慢的cipher,使用比较好的cpu,设置比较大的txqueuelen,使用比较快的网卡–100baseT- FD,OpenVPN的效率还是不行,cpu使用率没多少,那么可以认为提升cpu性能已经于事无补了,后来才发现是OpenVPN自身的问题,通过源代码看得出OpenVPN是一个单进程单线程的程序,整个程序启动后就是一个大的循环,结构如下:
while (true) {
select/poll/epoll
do-io[tun-io/socket-io]
}
这样的结构效率肯定不会太高,因此就不要再想从配置上寻找优化的突破口了,然而修改源代码又太麻烦,于是考虑多进程的方式,那就是在客户端和服务器分别启动数量相同的N多个OpenVPN进程,一对一的连接,这就相当于建立了N条隧道,单条隧道不宽,但是可以有多条隧道,然后大流量由所有这些隧道分担, Continue reading »
August 24, 2010 by LostRiver
使用OpenVPN一段时间,发现Windows客户端速度一直远小于Linux客户端。我的网络环境两边都是百兆 IPv6共享接入服务端是OpenVZ VPS。linux下客户端和服务端单个TCP连接速度在500KB/s上下波动,通过OpenVPN后速度差别不大。未优化时,Windows下速度明显降低,全局下载带宽只能到100KB/s左右。优化后部分问题能够得到明显改善。
OpenVPN有TCP和UDP两种连接方式,虽然OpenVPN over TCP不被推荐。
优化Windows TCP接收窗口(RWIN)
作用有二,优化运行于OpenVPN上的TCP连接,在使用TCP模式时优化OpenVPN所使用的TCP连接。这里Vista/Win7无需优化。
Windows下情况有些复杂,对于IPv6 TCP,Vista/Win7没有问题但之前版本Windows处理得很不好。首先Windows Server 2003系统下有个BUG,见KB966321,简单说被动打开的TCP连接接收窗口大小固定为16384且不随注册表项相应的设定值影响。我发现XP情况更坏,所有IPv6 TCP连接窗口大小都固定为最大44800,在我这里260ms的RTT下,单IPv6 TCP连接的带宽最大只有约160KB/s,该问题尚未解决。微软并未发布Win32 XP平台的补丁。 Continue reading »