現今在網際網路發達的時代你在網路上的任何行為其實都有可能遭到洩漏與竊聽的風險,為了保障在網路使用上的隱私VPN這個名詞就出現了,在大多數VPN是用於公司企業在外部進行內部上網所需要使用到的工具,最近疫情的肆虐許多上班族不得已居家辦公,為了確保在家上班也能使用公司的服務,這時候使用者加裝一套VPN軟體來協助職員能使用公司內部服務,然而VPN是透過廣域網路的媒介進行私有通道建立,一方面流量會經過VPN軟體加密透過公網傳輸在目的地的VPN主機解密用來過保傳輸過程的資料都是加密資訊。
至少我們了解到VPN重點如下:
- 隱藏真實IP
- 加密傳輸流量
- 轉地區
既然我們理解到VPN的重要性,那要如何確保我們上網的隱私呢?
目前大多數在自己的電腦上安裝VPN軟體大多數網上有許多資訊可以自己搜尋看看,這次我講實務面的透過防火牆與Openwrt結合保障上網流量加密。
這次當然還是拿FortiGate拿出來講,我們都知道FortiGate可以用於建立公司企業的Site to Site 與 SSL VPN的架構提供企業內部與職員跨國公司等企業內部區域網路的連線能力,但都僅限於ISP業者與既有的公司網路進行連線,那如果我是個人使用者沒有跨國的地方可以讓我點對點建立連線那該如何做呢?
沒錯這時候要拿上一章節所講的OpenWrt的開放路由,我們都知道像這種第三方開發的韌體的擴充性非常的高,我們來講其中的套件OpenVPN
OpenVPN是一個用於建立虛擬私人網路加密通道的軟體套件,最早由James Yonan編寫。OpenVPN允許建立的VPN使用公開金鑰、電子憑證、或者使用者名稱/密碼來進行身分驗證。
它大量使用了OpenSSL加密庫中的SSL/TLS協定函式庫。
目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上執行,並包含了許多安全性的功能。它不與IPsec相容。
看了維基的介紹我們很清楚地了解到OpenVPN是一套用於建立VPN的一套軟體,在Openwrt是可以直接下載安裝使用的,接下來就使用我覺得還不錯的VPN服務商Surfshark這是一款付費軟體我將用來完成後面的實作。
進入自己的Surfshark帳號把OpenVPN的配置檔下載匯入到自己的OpenWrt
匯入完成後就可以看到剛剛的項目這時候還沒啟用我們勾選啟用後再選擇開始在套用此頁面設定。
這時候我們進入網路>介面 看到剛剛建立的介面
點選編輯進入防火牆設定建立一個新類別這邊我取名為vpnfirewall
接著我們切換回FortiGate 我們建立OpenWrt與FortiGate溝通用的VLAN200,也確保FortiSwitch有乘載該TAG
設定完成後我們回到OpenWrt 將總線連結用的加上200TAG,確保該封包能通過。
再去剛剛弄好的VLAN200 網路>介面 防火牆設定 建立命名VPNInternet
在防火牆政策裡把剛剛弄好的VPNInternet和vpnfirewall設定方向給予通行
接著在OpenWrt 網路>路由 IPV4路由裡添加 VLAN200 0.0.0.0/0 surfsharktun 0.0.0.0/0 的路由表
接著再回到FORTIGATE 上添加政策 將LAN 到 surfsharkVPN 給予放行
在FORTIGATE 策略路由 也加上路由表
這時候就大功告成囉!
由TRACERT顯示 我們的流量經過FORTIGATE再透過OpenWrt出去
測速網頁顯示我的ISP是在東京,出去IP也是使用ISP的線路出去,這樣就達成跨區上網了
總結在瞬息萬變的資訊時代能保護自己的工具種類繁多,但是能順心使用的卻很少,工具一體兩面好與壞在於使用者理念,我們不能斷定使用這些工具都是壞事,這只是保護好自己上網隱私的其中手段而已,我是阿俊謝謝大家觀看。
