VPN

Skip to content

这是一段机器翻译的文本,可能包含错误!

VPN,或虚拟**专用网络** (Virtual Private Network),是一种解决方案,它允许我们通过互联网创建一个安全的(加密的)连接到另一个网络和设备。

首先,什么是私有网络?(非 VPN)

私有网络是指与其它网络隔离的网络。这可以是企业网络、家庭网络,或其它类型的非开放网络。开放网络,例如机场的 Wi-Fi,在技术上来说也是私有网络,但它们通常配置为隔离设备以提高安全性。

设想场景

设想一下,你家里有一台打印机,你想用它来打印一份文档。 这台打印机连接到你的家庭网络,因此它有一个私有 IP 地址,只能供连接到你自己的网络的设备访问。 你可以使用你家的电脑来毫无问题地打印,但你的邻居在另一个网络上,无法直接访问你的打印机。

你也无法从例如学校或其他网络与你的打印机通信,因为打印机没有暴露在互联网上(出于安全原因,它也不应该这样做)。

注意:没有绝对的规则…

然而,有些设备提供使用 VPN 相关技术来让你可以在世界任何地方打印文档的解决方案,只要你有互联网连接。 这可能会带来安全风险,所以请注意你连接到网络的内容,特别是 IOT 设备或监控摄像头。

你是否注意到,每次连接到新网络时,都会询问你是否连接到“私人”或“公共”网络?

这是因为 Windows(或其他操作系统)使用此信息来确定应使用哪些防火墙规则来保护你的设备。私人网络通常是不安全的(所有连接的设备会自动信任彼此),因此容易受到同一网络上其他设备的攻击。作为回报,当机器在同一网络上时,你可以更轻松地共享打印机、文件和其他资源。

商业行为者

有很多商业行为者提供 VPN 服务,他们宣传可以保护你在互联网上的隐私并让你匿名浏览。这不一定是全部真相,重要的是要了解 VPN 实际的作用。

How VPN Works Meme

实际上,我们使用 VPN 服务器作为客户端和互联网之间的中介,将网络连接转移到另一个地点(通常是另一个国家)。

Kommersiell VPN != sikkerhet

许多参与者将自己宣传为提供增强安全性的服务,但对于大多数用户而言,情况并非如此。当我们访问使用 HTTPS 的网站时(即使在公共 Wi-Fi 上),连接已经加密,因此 VPN 不一定能提供额外的安全性。它也无法完全“隐藏”您的活动免受您的互联网服务提供商的侵害。

然而,在某些国家或地区,这可能是有益的,但重要的是要意识到您正在将信任从您的互联网服务提供商转移到 VPN 提供商。

公共网络

我们经常听到不要连接到不安全的公共网络,例如在咖啡馆、机场、酒店等。 只要我们使用 HTTPS(加密)访问网站,这不一定是问题。

真正可能存在问题的是,如果有人设置了一个“虚假”网络,例如使用恶意 Captive Portal(一种通常需要登录或接受条款才能访问互联网的网站)。

Captive Portal

你检查过你的手机或笔记本电脑是否具有“自动连接”到开放网络的设置吗? 这可能会导致你的设备在不知情的情况下连接到恶意网络。

VPN 可以用来做什么?

VPN 可以用来连接跨网络的设备,就像它们在同一个 (私有) 网络中一样,比直接将设备暴露在互联网上(在防火墙中打开端口)更安全。 请注意,我们仍然需要一个 VPN 服务器来连接,我们可以自己设置它(需要在防火墙中打开端口),或者使用提供中继(中间人)的服务提供商。 流行的选项包括 OpenVPN、WireGuard 和 IPsec。

Friendship ended wtih OpenVPN now WireGuard is my best friend

Eksempel

你有一台游戏电脑,你想在学校通过远程桌面软件 (RDP) 连接它。你可以设置一个 VPN 解决方案,让你连接到你的家庭网络,然后使用 RDP 连接到你的游戏电脑,就像你在家一样。

在我们的案例中,我们将使用它来从世界其他地方访问学校的资源,稍后我们将研究云计算,我们希望以安全的方式连接到云中的虚拟服务器。 通常,我们会打开一个端口到我们的服务器来设置它,然后在之后锁定服务器(通常是Site-to-site VPN)。

唯一的实际区别是,我们通过我们的VPN网络获得不同的IP地址(例如,100.64.x.x/10通常用于VPN),但功能就像我们处于同一网络一样。 这意味着我们可以使用例如RDP、SSH、FTP(文件传输协议)等,而无需在防火墙中打开我们的服务。

Easy 任务 1 - TailScale VPN 的安装

幸运的是,VPN 的安装很简单,特别是如果您使用像 TailScale 这样的服务。 这是一项商业服务,它提供了一种设置 WireGuard VPN 的简单方法,这为我们的需求提供了足够的功能,并且在免费级别(100 个设备)上。

TailScale Free Tier

请按照文档中的安装过程进行操作:https://tailscale.com/download

Merk

你需要在所有想要连接到网络的设备上使用 VPN。这包括服务器、电脑、手机等。

Medium 任务 2 - 设置一个出口节点

TailScale 中的出口节点是您网络中的一个设备,充当所有来自其他 TailScale 网络设备的流量的网关。 这会将所有流量通过此设备路由,这对于访问特定网络上的资源或获取新的 IP 地址以绕过地理限制可能很有用。

我们使用 Nginx Proxy Manager 来根据 IP 地址限制对某些资源的访问(例如您的 Proxmox 服务器),在学校设置一个出口节点,无论您身在何处,都可以获得“在学校”的 IP 地址。

请按照文档设置一个出口节点:https://tailscale.com/kb/1103/exit-nodes#configure-an-exit-node

Obs! “Edit Routes” 메뉴

TailScale 메뉴에서 Exit Node로 설정한 장치에서 “Use as Exit Node”를 켜는 단계를 잊지 마세요. 이것은 흔히 잊어버리는 단계입니다.

Exit Nodes Everywhere

Exit-Node 在云 VPS 上!

如果您通过例如 Azure(您可以在那里获得学生免费积分)在另一个国家/地区设置虚拟机,那么您可以轻松设置一个出口节点,以获得该国家的 IP 地址——就像商业 VPN 服务一样,但限制较少,学习更多!