个人外贸企业需要访问国外的网络,怎么办?如果您想尝试建立您自己的 vpn,但是不确定从哪里开始,那么您来对地方了,我将比较 6 个在您自己的服务器上搭建和使用 vpn 的最好的自由和开源工具。不管您是想为您的企业建立站点到站点的 vpn,还是只是想创建一个远程代理访问以解除访问限制并对 isp 隐藏你的互联网流量,都可以通过 vpn 来达成。
根据您的需求和条件,并参考您自己的技术特长、环境以及您想要通过 vpn 实现的目标。需要考虑以下因素:
•vpn 协议
•客户端的数量和设备类型
•服务端的兼容性
•需要的技术专业能力
algo
algo 是从下往上设计的,可以为需要互联网安全代理的商务旅客创建 vpn 专用网。它“只包括您所需要的最小化的软件”,这意味着为了简单而牺牲了可扩展性。algo 是基于 strongswan 的,但是删除了所有您不需要的东西,这有另外一个好处,那就是去除了新手可能不会注意到的安全漏洞。
作为额外的奖励,它甚至可以屏蔽广告!
algo 只支持 ikev2 协议和 wireguard。因为对 ikev2 的支持现在已经内置在大多数设备中,所以它不需要像 openvpn 这样的客户端应用程序。algo 可以使用 ansible 在 ubuntu (首选选项)、windows、redhat、centos 和 freebsd 上部署。 使用 ansible 可以自动化安装,它会根据您对一组简短的问题的回答来配置服务。卸载和重新部署也非常容易。
algo 可能是在本文中安装和部署最简单和最快的 vpn。它非常简洁,考虑周全。如果您不需要其他工具提供的高级功能,只需要一个安全代理,这是一个很好的选择。请注意,algo 明确表示,它不是为了解除地理封锁或逃避审查,主要是为了加密。
streisand
streisand 可以使用一个命令安装在任何 ubuntu 16.04 服务器上;这个过程大约需要 10 分钟。它支持 l2tp、openconnect、openssh、openvpn、shadowsocks、stunnel、tor bridge 和 wireguard。根据您选择的协议,您可能需要安装客户端应用程序。
在很多方面,streisand 与 algo 相似,但是它提供了更多的协议和定制。这需要更多的工作来管理和维护,但也更加灵活。注意 streisand 不支持 ikev2。因为它的多功能性,我认为 streisand 在某国和土耳其这样的地方绕过审查制度更有效,但是 algo 的安装更容易和更快。
使用 ansible 可以自动化安装,所以不需要太多的专业技术知识。通过向用户发送自定义生成的连接指令,包括服务器 ssl 证书的嵌入副本,可以轻松添加更多用户。
卸载 streisand 是一个快速无痛的过程,您也可以随时重新部署。
openvpn
openvpn 要求客户端和服务器应用程序使用其同名的协议建立 vpn 连接。openvpn 可以根据您的需求进行调整和定制,但它也需要更多专业技术知识。它支持远程访问和站点到站点配置;如果您计划使用 vpn 作为互联网代理,前者是您所需要的。因为在大多数设备上使用 openvpn 需要客户端应用程序,所以最终用户必须保持更新。
服务器端您可以选择部署在云端或你自己的 linux 服务器上。兼容的发行版包括 centos 、ubuntu 、debian 和 opensuse。windows 、macos 、ios 和 android 都有客户端应用程序,其他设备也有非官方应用程序。企业可以选择设置一个 openvpn 接入服务器,但是对于想要使用社区版的个人来说,这可能有点过分。
openvpn 使用静态密钥加密来配置相对容易,但并不十分安全。相反,我建议使用 easy-rsa 来设置它,这是一个密钥管理包,可以用来设置公钥基础设施(pki)。这允许您一次连接多个设备,并因此得到 完美前向保密(perfect forward secrecy)和其他好处的保护。openvpn 使用 ssl/tls 进行加密,而且您可以在配置中指定 dns 服务器。
openvpn 可以穿透防火墙和 nat 防火墙,这意味着您可以使用它绕过可能会阻止连接的网关和防火墙。它同时支持 tcp 和 udp 传输。
strongswan
您可能会遇到一些名称中有 “swan” 的各种 vpn 工具。frees/wan 、openswan、libreswan 和 strongswan 都是同一个项目的分叉,后者是我个人最喜欢的。在服务器端,strongswan 可以运行在 linux 2.6、3.x 和 4x 内核、android、freebsd、macos、ios 和 windows 上。
strongswan 使用 ikev2 协议和 ipsec 。与 openvpn 相比,ikev2 连接速度更快,同时提供了很好的速度和安全性。如果您更喜欢不需要在客户端安装额外应用程序的协议,这将非常有用,因为现在生产的大多数新设备都支持 ikev2,包括 windows、macos、ios 和 android。
strongswan 并不特别容易使用,尽管文档不错,但它使用的词汇与大多数其他工具不同,这可能会让人比较困惑。它的模块化设计让它对企业来说很棒,但这也意味着它不是很精简。这当然不像 algo 或 streisand 那么简单。
访问控制可以基于使用 x.509 属性证书的组成员身份,这是 strongswan 独有的功能。它支持用于集成到其他环境(如 windows active directory)中的 eap 身份验证方法。strongswan 可以穿透nat 网络防火墙。
softether
softether 是由日本筑波大学的一名研究生发起的一个项目。softether vpn 服务器和 vpn 网桥可以运行在 windows、linux、osx、freebsd 和 solaris 上,而客户端应用程序可以运行在 windows、linux 和 macos 上。vpn 网桥主要用于需要设置站点到站点 vpn 的企业,因此单个用户只需要服务器和客户端程序来设置远程访问。
softether 支持 openvpn、l2tp、sstp 和 etherip 协议,由于采用“基于 https 的以太网”伪装,它自己的 softether 协议声称能够免疫深度数据包检测。softether 还做了一些调整,以减少延迟并增加吞吐量。此外,softether 还包括一个克隆功能,允许您轻松地从 openvpn 过渡到 softether。
softether 可以穿透 nat 防火墙并绕过防火墙。在只允许 icmp 和 dns 数据包的受限网络上,您可以利用 softether 的基于 icmp 或 dns 的 vpn 方式来穿透防火墙。softether 可与 ipv4 和 ipv6 一起工作。
softether 比 openvpn 和 strongswan 更容易设置,但比 streisand 和 algo 要复杂。
wireguard
wireguard 是这个名单上最新的工具;它太新了,甚至还没有完成。也就是说,它为部署 vpn 提供了一种快速简便的方法。它旨在通过使 ipsec 更简单、更精简来改进它,就像 ssh 一样。
与 openvpn 一样,wireguard 既是一种协议,也是一种用于部署使用所述协议的 vpn 的软件工具。一个关键特性是“加密密钥路由”,它将公钥与隧道内允许的 ip 地址列表相关联。
wireguard 可用于 ubuntu、debian、fedora、centos、macos、windows 和安卓系统。wireguard 可在 ipv4 和 ipv6 上工作。
wireguard 比大多数其他 vpn 协议轻得多,它只在需要发送数据时才发送数据包。
开发人员说,wireguard 还不应该被信任,因为它还没有被完全审计过,但是欢迎你给它一个机会。这可能是下一个热门!
自制vpn vs 商业vpn
制作您自己的 vpn 为您的互联网连接增加了一层隐私和安全,但是如果您是唯一一个使用它的人,那么装备精良的第三方,比如政府机构,将很容易追踪到您的活动。
此外,如果您计划使用您的 vpn 来解锁地理锁定的内容,自制的 vpn 可能不是最好的选择。因为您只能从一个 ip 地址连接,所以你的 vpn 服务器很容易被阻止。
好的商业 vpn 不存在这些问题。有了像 expressvpn 这样的提供商,您可以与数十甚至数百个其他用户共享服务器的 ip 地址,这使得跟踪一个用户的活动几乎变得不可能。您也可以从成百上千的服务器中选择,所以如果其中一台被列入黑名单,您可以切换到另一台。
然而,商业 vpn 的权衡是,您必须相信提供商不会窥探您的互联网流量。一定要选择一个有明确的无日志政策的信誉良好的供应商。
许多流行的在线安全和vpn供应商都受到了攻击,原因是他们的产品中存在漏洞,以至于让用户面临着严重的威胁。
在经历了类似的漏洞之后,思科自适应安全设备解决了ssl的验证问题,但没有讨论是否应该在不受信任的网络上使用它。这些信息的披露让许多组织怀疑他们是否可以继续信任这些行业巨头接触自己的敏感信息,或者他们是否应该完全放弃vpn。
尽管在vpn安全网络中暴露的漏洞令人不安,幸运的是,有许多一级的开源vpn解决方案可以满足需求,而且依然有很多的开源替代方案。虽然实现这些解决方案将需要大量的技术知识和高度的合作,但是您可以在晚上睡得更香,因为您知道您的敏感信息正在由最好的安全协议保护着。
让外地员工访问到内网资源,利用vpn的解决方法就是在内网中架设一台vpn服务器。外地员工在当地连上互联网后,通过互联网连接vpn服务器,然后通过vpn服务器进入企业内网。为了保证数据安全,vpn服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上vpn使用的是互联网上的公用链路
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对脚本之家的支持。如果你想了解更多相关内容请查看下面相关链接