和许多LJ读者一样，在过去的几年里，我一直过着有点像技术游牧民族的生活方式——从一个网络跳到另一个网络，从一个接入点跳到另一个接入点，在现实世界中奔波，同时保持与互联网和我日常使用的其他网络的连接。最近，我发现越来越多的网络开始阻止出站端口，如 SMTP（端口 25）、SSH（端口 22）等。当你走进一家当地的咖啡馆，期望能够启动你的 SSH 客户端并完成一些工作时，却发现你不能，因为网络阻止了你，这真的让人感到沮丧。

然而，我还没有遇到过阻止 HTTPS 出站（端口 443）的网络。在摆弄了一下我家里的一台 Raspberry Pi 2 之后，我找到了一个不错的干净的解决方案，让我可以通过端口 443 访问 Raspberry Pi 上的各种服务——这让我可以绕过被阻止的端口和受限的网络，从而做我需要做的事情。简而言之，我已将这台 Raspberry Pi 设置为充当 OpenVPN 终端节点、SSH 终端节点和 Apache 服务器——所有这些服务都在端口 443 上监听，因此具有限制性策略的网络不会成为问题。

备注

这个解决方案在大多数网络上都有效，但是对出站流量进行深度包检测的防火墙仍然可以阻止使用此方法隧道传输的流量。但是，我还没有遇到过这样的网络……不过早晚会遇到。此外，虽然我在这里使用了许多基于加密的解决方案（OpenVPN、HTTPS、SSH），但我还没有对这个设置进行严格的安全审计。例如，DNS 可能会泄露信息，可能还有其他我没有想到的事情。我不建议将其作为隐藏所有流量的方法——我只是用它来在我在外奔波时，能够以不受限制的方式连接到互联网。

开始入门

让我们从您将此解决方案组合在一起所需的东西开始。我正在家里的 Raspberry Pi 2 上使用此解决方案，运行最新的 Raspbian，但这在 Raspberry Pi Model B 上也应该可以正常工作。它很容易地适应 512MB 的 RAM 占用空间，尽管性能可能会稍慢一些，因为 Raspberry Pi Model B 具有单核 CPU，而 Pi 2 具有四核 CPU。我的 Raspberry Pi 2 位于我家里的路由器/防火墙之后，所以我获得了能够访问我家里的机器的额外好处。这也意味着我发送到互联网的任何流量都显示来自我家路由器的 IP 地址，因此这不是旨在保护匿名性的解决方案。如果您没有 Raspberry Pi，或者不想在家中运行此程序，则完全可以在小型云服务器中运行此程序。只需确保服务器运行 Debian 或 Ubuntu，因为这些说明是针对基于 Debian 的发行版的。

图 1. Raspberry Pi，即将成为加密网络终端节点。

安装和配置 BIND

一旦您的平台启动并运行——无论是 Raspberry Pi 还是其他平台——接下来您将安装 BIND，这是一个为互联网的许多部分提供支持的域名服务器。您将仅将 BIND 安装为缓存域名服务器，而不是让它为来自互联网的传入请求提供服务。安装 BIND 将为您提供一个 DNS 服务器，以便在您进入 OpenVPN 步骤后将您的 OpenVPN 客户端指向该服务器。安装 BIND 很简单；只需一个简单的 apt-get 命令即可安装它

root@test:~# apt-get install bind9
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  bind9utils
Suggested packages:
  bind9-doc resolvconf ufw
The following NEW packages will be installed:
  bind9 bind9utils
0 upgraded, 2 newly installed, 0 to remove and 
 ↪0 not upgraded.
Need to get 490 kB of archives.
After this operation, 1,128 kB of additional disk 
 ↪space will be used.
Do you want to continue [Y/n]? y

在 BIND 可以作为缓存域名服务器运行之前，需要对 BIND 的一个配置文件进行一些小的配置更改。这两个更改都在 /etc/bind/named.conf.options 中。首先，您将取消注释此文件的“forwarders”部分，并且您将在互联网上添加一个域名服务器来转发请求。在本例中，我将添加 Google 的 DNS (8.8.8.8)。文件的“forwarders”部分应如下所示

forwarders {
    8.8.8.8;
};

您要进行的第二个更改允许来自您的内部网络和 localhost 的查询。只需将此行添加到配置文件的底部，就在结束文件的 }; 之前

allow-query { 192.168.1.0/24; 127.0.0.0/16; };

上面的行允许从此 DNS 服务器查询它所在的网络（在本例中，是我的防火墙后面的网络）和 localhost。接下来，您只需重新启动 BIND

root@test:~# /etc/init.d/bind9 restart
[....] Stopping domain name service...: bind9waiting 
 ↪for pid 13209 to die
. ok
[ ok ] Starting domain name service...: bind9.

现在您可以测试 nslookup 以确保您的服务器工作正常

root@test:~# nslookup
> server localhost
Default server: localhost
Address: 127.0.0.1#53
> www.google.com
Server:		localhost
Address:	127.0.0.1#53
	
Non-authoritative answer:
Name:	www.google.com
Address: 173.194.33.176
Name:	www.google.com
Address: 173.194.33.177
Name:	www.google.com
Address: 173.194.33.178
Name:	www.google.com
Address: 173.194.33.179
Name:	www.google.com
Address: 173.194.33.180

就这样！您已经在这台机器上安装了一个可用的域名服务器。接下来，让我们继续 OpenVPN。

安装和配置 OpenVPN

OpenVPN 是一个开源 VPN 解决方案，它依赖于 SSL/TLS 进行密钥交换。它也很容易在 Linux 下安装和运行。OpenVPN 的配置可能有点令人生畏，但您不会过多地偏离默认配置。首先，您将运行 apt-get 命令并安装 OpenVPN

root@test:~# apt-get install openvpn
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  liblzo2-2 libpkcs11-helper1
Suggested packages:
  resolvconf
The following NEW packages will be installed:
  liblzo2-2 libpkcs11-helper1 openvpn
0 upgraded, 3 newly installed, 0 to remove and 
 ↪0 not upgraded.
Need to get 621 kB of archives.
After this operation, 1,489 kB of additional disk 
 ↪space will be used.
Do you want to continue [Y/n]? y

现在 OpenVPN 已经安装好了，您将配置它。OpenVPN 是基于 SSL 的，它依赖于服务器和客户端证书才能工作。要生成这些证书，您需要在机器上配置证书颁发机构 (CA)。幸运的是，OpenVPN 附带了一些称为“easy-rsa”的包装脚本，这些脚本有助于引导此过程。您将首先在文件系统上创建一个目录，用于存放 easy-rsa 脚本，并通过从模板目录中复制脚本到该目录

root@test:~# mkdir /etc/openvpn/easy-rsa
root@test:~# cp -rpv 
 ↪/usr/share/doc/openvpn/examples/easy-rsa/2.0/* 
 ↪/etc/openvpn/easy-rsa/

接下来，将 vars 文件复制到备份副本

root@test:/etc/openvpn/easy-rsa# cp vars vars.bak

现在，编辑 vars，使其包含与您的安装相关的信息。我将仅指定需要编辑的行，并在下面提供示例数据

KEY_SIZE=4096
KEY_COUNTRY="US"
KEY_PROVINCE="CA"
KEY_CITY="Silicon Valley"
KEY_ORG="Linux Journal"
KEY_EMAIL="bill.childers@linuxjournal.com"

下一步是 source vars 文件，以便文件中的环境变量位于您当前的环境中

root@test:/etc/openvpn/easy-rsa# source ./vars
NOTE: If you run ./clean-all, I will be doing a 
 ↪rm -rf on /etc/openvpn/easy-rsa/keys

构建证书颁发机构

您现在将运行 clean-all 以确保工作环境干净，然后您将构建 CA。请注意，我正在将 changeme 提示更改为适合此安装的内容

root@test:/etc/openvpn/easy-rsa# ./clean-all
root@test:/etc/openvpn/easy-rsa# ./build-ca
Generating a 4096 bit RSA private key
...................................................++
...................................................++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that 
will be incorporated into your certificate request.
What you are about to enter is what is called a 
Distinguished Name or a DN.
There are quite a few fields but you can leave some 
blank. For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) 
 ↪[changeme]:SecTeam
Common Name (eg, your name or your server's hostname) 
 ↪[changeme]:test.linuxjournal.com
Name [changeme]:test.linuxjournal.com
Email Address [bill.childers@linuxjournal.com]:

构建服务器证书

创建 CA 后，您需要构建 OpenVPN 服务器证书

root@test:/etc/openvpn/easy-rsa# 
 ↪./build-key-server test.linuxjournal.com
Generating a 4096 bit RSA private key
...................................................++
writing new private key to 'test.linuxjournal.com.key'
-----
You are about to be asked to enter information that 
will be incorporated into your certificate request.
What you are about to enter is what is called a 
Distinguished Name or a DN.
There are quite a few fields but you can leave some 
blank. For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) 
 ↪[changeme]:SecTeam
Common Name (eg, your name or your server's hostname) 
 ↪[test.linuxjournal.com]:
Name [changeme]:test.linuxjournal.com
Email Address [bill.childers@linuxjournal.com]:
	
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from 
 ↪/etc/openvpn/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'Silicon Valley'
organizationName      :PRINTABLE:'Linux Journal'
organizationalUnitName:PRINTABLE:'SecTeam'
commonName            :PRINTABLE:'test.linuxjournal.com'
name                  :PRINTABLE:'test.linuxjournal.com'
emailAddress          
 ↪:IA5STRING:'bill.childers@linuxjournal.com'
Certificate is to be certified until Sep  1 
 ↪06:23:59 2025 GMT (3650 days)
Sign the certificate? [y/n]:y
	
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

下一步可能需要一段时间——为 OpenVPN 服务器构建 Diffie-Hellman 密钥。这在传统的桌面级 CPU 上需要几分钟，但在 Raspberry Pi 的 ARM 处理器上，可能需要更长的时间。请耐心等待，只要终端中的点在继续，系统就在构建其 Diffie-Hellman 密钥（请注意，在这些示例中，许多点被剪掉了）

root@test:/etc/openvpn/easy-rsa# ./build-dh
Generating DH parameters, 4096 bit long safe prime, 
 ↪generator 2
This is going to take a long time
....................................................+
<snipped out many more dots>

构建客户端证书

现在您将为您的客户端生成一个客户端密钥，以便在登录到 OpenVPN 服务器时使用。OpenVPN 通常配置为基于证书的身份验证，其中客户端出示由批准的证书颁发机构颁发的证书

root@test:/etc/openvpn/easy-rsa# ./build-key 
 ↪bills-computer
Generating a 4096 bit RSA private key
...................................................++
...................................................++
writing new private key to 'bills-computer.key'
-----
You are about to be asked to enter information that 
will be incorporated into your certificate request.
What you are about to enter is what is called a 
Distinguished Name or a DN. There are quite a few 
fields but you can leave some blank.
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) 
 ↪[changeme]:SecTeam
Common Name (eg, your name or your server's hostname) 
 ↪[bills-computer]:
Name [changeme]:bills-computer
Email Address [bill.childers@linuxjournal.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from 
 ↪/etc/openvpn/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'Silicon Valley'
organizationName      :PRINTABLE:'Linux Journal'
organizationalUnitName:PRINTABLE:'SecTeam'
commonName            :PRINTABLE:'bills-computer'
name                  :PRINTABLE:'bills-computer'
emailAddress          
 ↪:IA5STRING:'bill.childers@linuxjournal.com'
Certificate is to be certified until 
 ↪Sep  1 07:35:07 2025 GMT (3650 days)
Sign the certificate? [y/n]:y
	
1 out of 1 certificate requests certified, 
 ↪commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@test:/etc/openvpn/easy-rsa#

现在您将生成一个 HMAC 代码作为共享密钥，以进一步提高系统的安全性

root@test:~# openvpn --genkey --secret 
 ↪/etc/openvpn/easy-rsa/keys/ta.key

服务器配置

最后，您将开始配置 OpenVPN 服务器的核心部分。您将创建一个新文件 /etc/openvpn/server.conf，并且您将在很大程度上坚持默认配置。您要进行的主要更改是将 OpenVPN 设置为使用 TCP 而不是 UDP。这是下一步主要步骤工作所必需的——如果 OpenVPN 不使用 TCP 进行网络通信，您就无法在端口 443 上工作。因此，创建一个名为 /etc/openvpn/server.conf 的新文件，并将以下配置放在其中：Garrick，在下方缩小。

port 1194
proto tcp
dev tun
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/test.linuxjournal.com.crt ## or whatever 
 ↪your hostname was
key easy-rsa/keys/test.linuxjournal.com.key  ## Hostname key 
 ↪- This file should be kept secret
management localhost 7505
dh easy-rsa/keys/dh4096.pem
tls-auth /etc/openvpn/certs/ta.key 0
server 10.8.0.0 255.255.255.0 # The server will use this 
 ↪subnet for clients connecting to it
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" # Forces clients 
 ↪to redirect all traffic through the VPN
push "dhcp-option DNS 192.168.1.1" # Tells the client to 
 ↪use the DNS server at 192.168.1.1 for DNS - 
 ↪replace with the IP address of the OpenVPN 
 ↪machine and clients will use the BIND 
 ↪server setup earlier
keepalive 30 240
comp-lzo # Enable compression
persist-key
persist-tun
status openvpn-status.log
verb 3

最后，您将在服务器上启用 IP 转发，配置 OpenVPN 在启动时启动，并启动 OpenVPN 服务

root@test:/etc/openvpn/easy-rsa/keys# echo 
 ↪"net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
root@test:/etc/openvpn/easy-rsa/keys# sysctl -p 
 ↪/etc/sysctl.conf
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.ip_forward = 0
net.ipv4.ip_forward = 1
	
root@test:/etc/openvpn/easy-rsa/keys# update-rc.d 
 ↪openvpn defaults
update-rc.d: using dependency based boot sequencing
	
root@test:/etc/openvpn/easy-rsa/keys# 
 ↪/etc/init.d/openvpn start
[ ok ] Starting virtual private network daemon:.

设置 OpenVPN 客户端

您的客户端安装取决于您的客户端的主机操作系统，但是您需要将上面创建的客户端证书和密钥复制到您的客户端，并且您需要导入这些证书并为该客户端创建一个配置。每个客户端和客户端操作系统都略有不同，记录每个客户端和客户端操作系统超出了本文的范围，因此您需要参考该客户端的文档才能使其运行。请参阅“资源”部分，了解每个主要操作系统的 OpenVPN 客户端。

安装 SSLH——“魔法”协议多路复用器

此解决方案真正有趣的部分是 SSLH。SSLH 是一个协议多路复用器——它在端口 443 上监听流量，然后它可以分析传入的数据包是 SSH 数据包、HTTPS 还是 OpenVPN，并且可以将该数据包转发到相应的服务。这就是使此解决方案能够绕过大多数端口阻止的原因——您将 HTTPS 端口用于所有这些流量，因为 HTTPS 很少被阻止。

首先，apt-get install SSLH

root@test:/etc/openvpn/easy-rsa/keys# apt-get 
 ↪install sslh
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  apache2 apache2-mpm-worker apache2-utils 
   ↪apache2.2-bin apache2.2-common
  libapr1 libaprutil1 libaprutil1-dbd-sqlite3 
   ↪libaprutil1-ldap libconfig9
Suggested packages:
  apache2-doc apache2-suexec apache2-suexec-custom 
   ↪openbsd-inetd inet-superserver
The following NEW packages will be installed:
  apache2 apache2-mpm-worker apache2-utils 
   ↪apache2.2-bin apache2.2-common
  libapr1 libaprutil1 libaprutil1-dbd-sqlite3 
   ↪libaprutil1-ldap libconfig9 sslh
0 upgraded, 11 newly installed, 0 to remove 
 ↪and 0 not upgraded.
Need to get 1,568 kB of archives.
After this operation, 5,822 kB of additional 
 ↪disk space will be used.
Do you want to continue [Y/n]? y

安装 SSLH 后，软件包安装程序会询问您是否要在 inetd 或独立模式下运行它。选择独立模式，因为您希望 SSLH 作为其自己的进程运行。如果您没有安装 Apache，Debian/Raspbian 软件包的 SSLH 将自动将其拉入，尽管这不是严格要求的。如果您已经运行并配置了 Apache，您需要确保它仅监听 localhost 的接口，而不是所有接口（否则，SSLH 无法启动，因为它无法绑定到端口 443）。安装后，您将收到如下错误

[....] Starting ssl/ssh multiplexer: sslhsslh disabled, 
 ↪please adjust the configuration to your needs
[FAIL] and then set RUN to 'yes' in /etc/default/sslh 
 ↪to enable it. ... failed!
failed!

这不完全是一个错误——这只是 SSLH 告诉您它未配置并且无法启动。配置 SSLH 非常简单。它的配置存储在 /etc/default/sslh 中，您只需要配置 RUN 和 DAEMON_OPTS 变量。我的 SSLH 配置如下所示

# Default options for sslh initscript
# sourced by /etc/init.d/sslh
	
# Disabled by default, to force yourself
# to read the configuration:
# - /usr/share/doc/sslh/README.Debian (quick start)
# - /usr/share/doc/sslh/README, at "Configuration" section
# - sslh(8) via "man sslh" for more configuration details.
# Once configuration ready, you *must* set RUN to yes here
# and try to start sslh (standalone mode only)
	
RUN=yes

# binary to use: forked (sslh) or single-thread 
 ↪(sslh-select) version
DAEMON=/usr/sbin/sslh
	
DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 
 ↪127.0.0.1:22 --ssl 127.0.0.1:443 --openvpn 
 ↪127.0.0.1:1194 --pidfile /var/run/sslh/sslh.pid"

保存文件并启动 SSLH

root@test:/etc/openvpn/easy-rsa/keys# 
 ↪/etc/init.d/sslh start
[ ok ] Starting ssl/ssh multiplexer: sslh.

现在，您应该能够 ssh 到 Raspberry Pi 上的端口 443，并让它通过 SSLH 转发

$ ssh -p 443 root@test.linuxjournal.com
root@test:~#

SSLH 现在正在端口 443 上监听，并且可以根据到达它的数据包类型将流量定向到 SSH、Apache 或 OpenVPN。您应该准备好了！

结论

现在您可以启动 OpenVPN 并将您的 OpenVPN 客户端配置设置为端口 443，SSLH 会将其路由到端口 1194 上的 OpenVPN 服务器。但是因为您正在端口 443 上与您的服务器通信，所以您的 VPN 流量不会被阻止。现在您可以降落在一个陌生的咖啡馆，在一个陌生的城镇，并且知道当您启动 OpenVPN 并将其指向您的 Raspberry Pi 时，您的互联网将可以正常工作。您还将在您的链接上获得一些加密，这将提高您连接的隐私性。享受通过您的新着陆点上网的乐趣吧！

资源

安装和配置 OpenVPN： https://wiki.debian.org/OpenVPN 和 http://cryptotap.com/articles/openvpn

OpenVPN 客户端下载： https://openvpn.net/index.php/open-source/downloads.html

iOS 版 OpenVPN 客户端： https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Android 版 OpenVPN 客户端： https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=en

Mac OS X 版 Tunnelblick（OpenVPN 客户端）： https://tunnelblick.net

SSLH—协议多路复用器： http://www.rutschle.net/tech/sslh.shtml 和 https://github.com/yrutschle/sslh