定价
PIVPN是一个免费的开源软件套件,可使用OpenVPN服务器软件设置VPN服务器。它专门设计用于在低成本的覆盆子PI上运行,尽管(从理论上)应该在大多数Debian设置上工作。
基本覆盆子PI的价格为35美元,您还需要添加SD卡以将操作系统安装到上面,并使用WiFi Dongle或以太网电缆来提供互联网连接。这些是最低要求,但是如果选择,您可以添加更多。
PIVPN应该在Raspberry Pi上运行良好。我们使用了旧的PI 2 Model B,但是鉴于其低价,我们建议购买最新的Raspberry Pi型号以获得最佳的OpenVPN性能。
它是“强烈建议”使用Raspbian Lite(在写作时“ Buster”),以便PI可以充当无头VPN服务器,而无需连接屏幕,键盘和鼠标。在这样的设置下,您可以安装和控制PIVPN VIA,尽管您需要暂时连接屏幕和键盘才能启用SSH。
查看我们的方法SSH进入Rapberry Pi指南以了解更多信息。
特征
- 一行安装
- 将为您设置静态IP地址
- 无人看管的升级
- OpenVPN在UDP或TCP上
- 拥有或选择公共DNS服务器
隐私和安全
PIVPN实际上只是用于部署开源软件的社区开发脚本的集合。所以管辖权不是真正的问题。
技术安全
所有用于设置PIVPN的开源脚本都是高度配置的。但是开箱即用的,您的PIVPN将使用以下OpenVPN设置:
数据通道: 一个AES-256-CBC密码使用HMAC SHA256身份验证。
控制通道:具有ECDH握手加密和HMAC SHA256身份验证的AES-256- ETR密码。 ECHD还提供了完美的前锋保密性。
ECDH使用ECDSA签名算法,可从256位到512位的用户选择。作为参考,ECDSA-256被认为与RSA-384一样安全。如果您愿意或需要保持与Pre-OpenVPN 2.4客户端的兼容性,则可以选择使用RSA而不是ECDSA。
如果您想了解有关此主题的更多信息,请查看我们的VPN加密的最终指南。
但是,要考虑的一件事是DNS加密。您可以选择安全的DNS提供商(或执行您自己的DNS查找),但默认情况下,DNS请求未加密。幸运的是,可以在PIVPN中添加DNScrypt。
其他考虑因素
通常(在我们看来,错误地)指出,运行您自己的VPN服务器比信任第三方VPN服务更私密。但这取决于您如何看待问题。
您的PIVPN将在您自己的控制之下100%,这将阻止您的互联网提供商看到您在线上的内容,所有这些都没有支付任何每月订阅费用的奖励。使用公共WiFi时,这也是保护数据和浏览习惯的好方法。
尽管如此,PIVPN仍在您的IP地址运行,因此使用VPN时执行的任何活动都可以轻松地追溯到您。网站仍然会看到您的真实IP地址,因为它是您的PIVPN使用的IP地址。
运行自己的VPN服务器具有明确的优势,但是如果您想要隐私,那么没有日志VPN可能会更好地为您服务。
支持
对PIVPN的官方支持是最小的,尽管与(略有过时的)第三方设置指南和一些教学视频提供了链接。但是,PIVPN的美丽是,它使得将Raspberry Pi设置为OpenVPN服务器,以尽可能容易。
如果您确实遇到了问题,那么PIVPN上的论坛Girub页面活跃,尽管并非所有问题都会收到答案。
如何设置并使用PIVPN
笔记
为了简洁起见,我们选择不显示设置过程中由于长度而显示的每个点击屏幕,但是这些屏幕是自称的,应该引导您无问题。
如果您打算将PIVPN作为无头服务器运行,则需要SSH进入它。我们可能会发布我们的指南是未来,但是暂时,请查看本文如何进入覆盆子Pi。
安装OpenVPN服务器
- 启动终端并输入:
curl -l https://install.pivpn.io | bash
这启动了一个简单的GUI界面,可以在整个设置过程中握住您的手。大多数步骤都是为您自动化的,但是安装脚本解释了正在发生的事情,并要求您做出一些关键决策。
设置VPN服务器连接到的静态IP地址。这通常是设置自己的VPN服务器的最棘手部分之一,但是PIVPN为您完成了!只需选择要使用的网络接口(如果有多个)...
...并且可以联系您的服务器的IP地址。如果您只单击“是”,则PIVPN将使用您当前的IP地址。
PIVPN的一个很酷的功能是,它将通过下载和安装补丁和升级来自动维护自己。您可以选择退出,但是我们不确定为什么要这样做。
您可以在UDP或TCP模式,但是除非您出于混淆原因需要TCP(常规的原因https流量在TCP端口443上运行),然后您可能应该坚持使用UDP。
选择用于TLS交换。如上面的技术安全部分所述,默认情况下,PIVPN使用ECDH与ECDSA签名算法来确保TLS连接并提供完美的远期保密性。如果您需要与较旧客户端的向后兼容性,则可以选择使用RSA。
假设您使用ECDH,则可以选择最多使用521位证书。
选择DNS服务器。您可以使用家用LAN或Raspberry Pi本身在另一台计算机上运行自己的DNS服务器。但是,使用第三方DNS服务要容易得多。
如果您甚至稍微关心隐私,那么您应该显然避免使用Google DNS,但是有一些很棒的以隐私为重点的DNS服务这些天在那里。
但是,如前所述,如果您希望对DNS查询进行加密,则需要在Raspberry Pi上安装DNScrypt。
就是这样!只需重新启动Raspberry Pi即可开始充当OpenVPN服务器。
很棒,但是如果没有.oppn的openVPN应用程序,您实际上无法连接到它。
创建OpenVPN配置证书
开放终端并输入PIVPN要查看可供您使用的核心PIVPN命令。
创建.OVPN证书输入PIVPN -A并只需遵循基于文本的向导即可。
您可以为客户端(.OVPN文件)使用任何名称和密码。完成后,将.OVPN文件保存到PI的Home/pi/ovpns文件夹中。从这里,您可以通过电子邮件,LAN连接,云存储服务,USB Stick或其他任何方式将其传输到客户端设备。
PIVPN建议您为您连接的每个设备创建一个唯一的OVPN.CERT。
连接到您的PIVPN服务器
一旦将.OVPN文件传输到最后一步中生成的.OVPN文件,就可以像使用OpenVPN软件一样的任何常规.OVPN文件(例如OpenVPN GUI对于Windows,隧道视图对于macos,OpenVPN用于Android,,,,OpenVPN连接(对于大多数平台,但主要对iOS有用),或通过Linux中的NetworkManager或GUI。查看我们的如何为Linux设置VPN页面以获取更多信息。
您可以通过输入来监视Raspberry Pi中的连接设备PIVPN-c。
重要的!
要连接到PIVPN服务器,您还必须通过路由器向前移动。详细信息通过路由器变化,因此请咨询路由器的文档。除非您更改了默认设置,否则您需要向前端口1194(通常是UDP),除非您在上面的设置步骤4中选择了TCP。
表现
出于兴趣,我们使用旧的Raspberry Pi 2 B 1.1从2015年开始进行了一些速度测试。
PI和测试机都通过以太网电缆插入了我们的路由器,因此与服务器的距离不是一个因素。因此,这纯粹是对我们老化的覆盆子Pi处理苛刻工作的测试OpenVPN加密和解密。
没有VPN
连接到Raspberry Pi 2 M型B运行PIVPN
尽管旧的Raspberry Pi显然在努力挣扎,但这些速度非常可用。但是,应该指出的是,新的Raspberry Pi 4是一台急剧更快的机器。
pi-hole
很酷的事情是,您可以使用相同的Raspberry Pi运行PIVPN和PI-HOLE,但这是另一天的项目!