利用Algo在DigitalOcean

发布时间：2019-09-26 07:19:58编辑：auto阅读（2501）

为什么要利用海外的VPS或服务器来搭建自己的VPN服务器呢？首先是为了安全，其次也是为了稳定。

申请DigitalOcean服务器

1. edu用户可以去GitHub Student Developer Pack领取DigitalOcean的优惠券，价值50美元，需要拥有edu邮箱，这样5美元的月租相当于免费使用10个月。
2. 注册DigitalOcean账户，这里非常欢迎通过我的邀请链接来注册，这样在前2个月你可以获得100美元的使用额度，具体优惠政策可以点进去看。
3. 对于首次注册DigitalOcean的用户，需要添加支付方式，具体有信用卡和PayPal两种方式，这里笔者在某宝上买了一张充有5美元的虚拟信用卡填了进去。登陆DigitalOcean后进入Accout-Billing，下拉可以看到Promo code，输入在GitHub Student Developer Pack中得到的优惠码，就会免费获得50美元。
4. 创建Project，并选择一款Droplet，我选择的是最便宜的那款，月租5美元。操作系统选择自己需要的即可，我选择的是Ubuntu 18.10 x64。服务器所在地据说北美几个点速度都不错。
5. 现在你就拥有一台属于自己的VPS了，有没有感觉世界充满了无限可能 ^_^ 在Droplets中通过Droplet的Access console就可以打开服务器的终端窗口，首次登陆需要修改root密码。

搭建Algo VPN Server

Algo是一个开源的自托管的个人VPN服务器项目，旨在简化部署流程，并提高安全性。

Features

• 仅支持具有强加密的IKEv2：ES-GCM，SHA2和P-256
• 生成Apple配置文件以自动配置IOS和macOS设备
• 包含用于添加和删除用户的辅助脚本
• 使用本地DNS解析程序过滤广告（可选）
• 为隧道流量设置有限的SSH用户（可选）
• 基于当前版本的Ubuntu和strongSwan
• 可以安装到DigitalOcean，Amazon EC2，Microsoft Azure，Google Compute Engine或者你自己的服务器上

Anti-features

• 不支持传统密码套件或协议，如L2TP，IKEv1或RSA
• 不安装Tor，OpenVPN或其它有风险的服务器
• 不依赖于TLS的安全性
• 在大多数平台上不需要客户端软件
• 不提供匿名或审查避免
• 不保护免受FSB，MSS，DGSE或FSM侵害

部署Algo Server

1. 打开服务器的console，从GitHub上下载Algo到自己喜欢的位置。

   git clone https://github.com/trailofbits/algo.git

2. 安装Algo的依赖程序，Algo使用Python2而不是Python3作为Python程序的解释器，cd进入到algo目录，并运行：

   $ sudo apt-get update && sudo apt-get install \
       build-essential \
       libssl-dev \
       libffi-dev \
       python-dev \
       python-pip \
       python-setuptools \
       python-virtualenv -y

3. 安装Algo其余的依赖程序，使用与上一步相同的终端窗口，并运行：

   $ python -m virtualenv --python=`which python2` env &&
       source env/bin/activate &&
       python -m pip install -U pip virtualenv &&
       python -m pip install -r requirements.txt

4. 利用vim或其它文本编辑器打开algo目录下的config.cfg，在users列表中添加需要使用VPN服务的用户名，每个用户名只能用于一台客户机。

5. 回到终端窗口，在algo目录下运行./algo，按照提示开始部署Algo服务器，注意这里有一些可选功能，根据需要自行改变默认设置。服务器部署完成后，你将看到下列信息，注意一定要记下p12（用户证书）密码，这个密码只会在这里显示一次。

   "\"#----------------------------------------------------------------------#\"",
   "\"#                          Congratulations!                            #\"",
   "\"#                     Your Algo server is running.                     #\"",
   "\"#    Config files and certificates are in the ./configs/ directory.    #\"",
   "\"#              Go to https://whoer.net/ after connecting               #\"",
   "\"#        and ensure that all your traffic passes through the VPN.      #\"",
   "\"#                    Local DNS resolver 172.16.0.1                     #\"",
   "\"#                The p12 and SSH keys password is XXXXXXXX             #\"",
   "\"#----------------------------------------------------------------------#\"",

添加删除用户

如果以后想增添或删除使用VPN服务的设备，怎么办呢？这里Algo提供了便捷的修改方法。

1. 首先更新config.cfg中的users列表，添加新用户名，或者删除旧用户名。

2. 开启终端，cd进入algo目录，激活虚拟环境

   source env/bin/activate

3. 运行命令

   ./algo update-users

全部完成后，Algo VPN服务器将仅支持config.cfg文件中所包含的用户使用

部署VPN客户机

这里只介绍Win10系统的部署方法，其它操作系统请参考Algo官方的README文档。

1. 在Win10系统上，利用WinSCP从DigitalOcean服务器上下载CA证书（cacert.pem）和用户证书（USER.p12），这两个证书文件都在云服务器的algo/configs/X.X.X.X/目录下，其中X.X.X.X是VPN服务器的IP地址。
2. 在Win10系统中，以管理员方式打开PowerShell，cd到证书文件所在目录。

3. 修改PowerShell执行策略

   Set-ExecutionPolicy Unrestricted -Scope CurrentUser

4. 将下列代码保存成ps1文件，注意将VpnServerAddress字段修改成VPN服务器的IP地址，将UserP12Path和CaCertPath字段修改成证书文件所在的路径。

   $VpnServerAddress = "1.2.3.4"
   $UserP12Path = "$Home\Downloads\USER.p12"
   $CaCertPath = "$Home\Downloads\cacert.pem"
   $VpnName = "Algo VPN $VpnServerAddress IKEv2"
   $p12Pass = Read-Host -AsSecureString -Prompt "User p12 password"
   
   Import-PfxCertificate -FilePath $UserP12Path -CertStoreLocation Cert:\LocalMachine\My -Password $p12Pass
   Import-Certificate -FilePath $CaCertPath -CertStoreLocation Cert:\LocalMachine\Root
   
   $addVpnParams = @{
       Name = $VpnName
       ServerAddress = $VpnServerAddress
       TunnelType = "IKEv2"
       AuthenticationMethod = "MachineCertificate"
       EncryptionLevel = "Required"
   }
   Add-VpnConnection @addVpnParams
   
   $setVpnParams = @{
       ConnectionName = $VpnName
       AuthenticationTransformConstants = "GCMAES256"
       CipherTransformConstants = "GCMAES256"
       EncryptionMethod = "AES256"
       IntegrityCheckMethod = "SHA384"
       DHGroup = "ECP384"
       PfsGroup = "ECP384"
       Force = $true
   }
   Set-VpnConnectionIPsecConfiguration @setVpnParams

5. 在PowerShell中执行ps1文件，中间会用到之前记下的p12（用户证书）密码。

6. 部署完成后，记得将PowerShell的执行策略改回来

   Set-ExecutionPolicy Restricted -Scope CurrentUser

7. 现在，在win10系统界面右下角的网络连接中，你会看到一个叫做Algo VPN X.X.X.X IKEv2的连接，点击连接你就打开新世界的大门了。

参考

Thomas Xu. 浅谈vpn、vps、Proxy以及shadowsocks之间的联系和区别
Patordia. 详细的digitalocean教程！
mrpnkt. Setup AlgoVPN in Windows 10
lucky_zhang. Windows和linux(ubuntu)互传文件简便快捷的方法

关键字：