搭建OpenVpn

        由于个人需求，需要科学上网，就在ucloud买了一个100块一年的服务器，不过如果拿来访问openai的chatgpt在线版还是不行，因为ucloud的ip段因为大量访问，所有已经被封掉了。很多有限制的网站都不行。

        网上相关的文章已经有很多了，我这里主要是总结下搭建openvpn的关键点。

1、iptables转发

        这个是最主要的，如果没有iptables转发，你会发现根本没法ping通外网，因为流量始终在云服务里面转。需要把openvpn的ip段的所有流量转发到eth网卡上。

命令示例：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE;

         记得把端口也开放一下：

iptables -I INPUT -p tcp --dport 1194 -j ACCEPT;
iptables -I INPUT -p udp --dport 1194 -j ACCEPT;
iptables -I OUTPUT -p tcp --dport 1194 -j ACCEPT;
iptables -I OUTPUT -p udp --dport 1194 -j ACCEPT;

        目前有个想法，因为openvpn容易被攻击，也不够稳定，后面打算换成zerotier做成组网，再通过iptables进行流量转发，有待验证。

2、安装

        如果使用的是yum install openvpn安装的，安装目录是在/etc/openvpn下，里面有两个文件夹，一个server，一个client，顾名思义，服务和客户端，看需求启动服务。

server的启动命令是：

systemctl start openvpn-server@service

client的启动命令是：

systemctl start openvpn-client@service

        配置文件一律命名为service.conf并且放在对应的文件夹中，可以看service服务读取的就是service.conf这个文件，有些文章写的是server.conf，需要注意。

3、配置项

        想要客户端的所有流量都发往openvpn服务器，需要把这个配置放开

push "redirect-gateway def1 bypass-dhcp"

        因为service.conf默认是没有的，要么网上抄配置，要么拷贝示例配置进行修改，示例配置在安装的时候附带了，在

/usr/share/doc/openvpn-2.4.12/sample/sample-config-files/

路径下，可以看到有server.conf和client.conf复制到/etc/openvpn/server下就可以了

4、windows客户端

        由于openvpn的下载页面打不开，所以没法下载，但是我们有云服务器呀，直接使用wget命令下载页面

wget https://openvpn.net/index.php/download/community-downloads.html

        打开后查找后缀为msi的链接

https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.5-I001-amd64.msi

        可以直接使用迅雷下载

5、应对攻击

        最近发现云服务器被攻击了，并且会有残留命令在上面，不知道是不是被攻破了，而且经常连接不上openvpn，把端口改了就可以连一会，但是也会经常失效，估计是ucloud的没什么防护吧，索性就把所有端口全关了，只留ssh和openvpn的端口。这也是我打算换成zerotier的原因。