使用 OpenVPN 在 Google Compute Engine 上建立 VPN 服务器

Question 1

您可以通过以下两种方式之一解决无法通过 VPN 浏览网页的问题，尽管可以 ping、traceroute……

首先，您可以使用 TCP 协议代替 UDP，方法是在客户端和服务器配置文件中将“proto udp”更改为“proto tcp”。

其次，您可以使用 tap 设备代替 tun，方法是在客户端和服务器配置文件中将“dev tun”更改为“dev tap”。

但不确定问题是什么，看起来这是谷歌方面的问题。

Answer

您可以通过以下两种方式之一解决无法通过 VPN 浏览网页的问题，尽管可以 ping、traceroute……

首先，您可以使用 TCP 协议代替 UDP，方法是在客户端和服务器配置文件中将“proto udp”更改为“proto tcp”。

其次，您可以使用 tap 设备代替 tun，方法是在客户端和服务器配置文件中将“dev tun”更改为“dev tap”。

但不确定问题是什么，看起来这是谷歌方面的问题。

Question 2

首先，感谢@Shivox回答。

以下是快速操作方法：

我建议您创建其他网络（参见“网络”选项卡）。在网络偏好设置中，添加允许规则：tcp：22（如果不存在）、tcp：9700、tcp：17619。17619这里是变量 - 将其更改为您喜欢的任何端口（范围是 9075-65534）。您只需要 3 条规则和 2 条默认路由，无需其他。
转到“创建 Compute Engine 实例”，点击“显示高级选项”，允许端口转发，选择服务器的位置。
现在（当您选择了位置时），将静态 IP 添加到服务器。
选择Ubuntu 14.04镜像（就是这个版本）。
创建实例
通过 SSH 连接（最简单的方法 - 使用 GCE 面板中的浏览器内工具）
sudo su
apt-key update && apt-get update && apt-get -y upgrade && apt-get -y install python-software-properties && apt-get -y install software-properties-common && add-apt-repository -y ppa:pritunl && apt-get update && apt-get -y install pritunl
在浏览器中打开https://instance_ip:9700
对于有关数据库的问题，请点击“保存”
在登录窗口中，使用pritunl用户名和密码
现在更改管理员用户的用户名和密码
添加组织，然后添加 2 个用户（适用于桌面和移动设备）
在“服务器”选项卡中点击“添加服务器”
使用第一步中的端口号（17619（例如）和 tcp 协议。
将组织附加到服务器
启动服务器
在“用户”选项卡中下载两个用户的密钥（包含 ovpn 文件的 tar 档案）。

我使用 Viscosity 作为 OS X 客户端，使用 OpenVPN connect 作为 iOS 客户端。在 Viscosity 中，打开“网络”选项卡中的“通过 VPN 连接发送所有流量”选项。

Answer

首先，感谢@Shivox回答。

以下是快速操作方法：

我建议您创建其他网络（参见“网络”选项卡）。在网络偏好设置中，添加允许规则：tcp：22（如果不存在）、tcp：9700、tcp：17619。17619这里是变量 - 将其更改为您喜欢的任何端口（范围是 9075-65534）。您只需要 3 条规则和 2 条默认路由，无需其他。
转到“创建 Compute Engine 实例”，点击“显示高级选项”，允许端口转发，选择服务器的位置。
现在（当您选择了位置时），将静态 IP 添加到服务器。
选择Ubuntu 14.04镜像（就是这个版本）。
创建实例
通过 SSH 连接（最简单的方法 - 使用 GCE 面板中的浏览器内工具）
sudo su
apt-key update && apt-get update && apt-get -y upgrade && apt-get -y install python-software-properties && apt-get -y install software-properties-common && add-apt-repository -y ppa:pritunl && apt-get update && apt-get -y install pritunl
在浏览器中打开https://instance_ip:9700
对于有关数据库的问题，请点击“保存”
在登录窗口中，使用pritunl用户名和密码
现在更改管理员用户的用户名和密码
添加组织，然后添加 2 个用户（适用于桌面和移动设备）
在“服务器”选项卡中点击“添加服务器”
使用第一步中的端口号（17619（例如）和 tcp 协议。
将组织附加到服务器
启动服务器
在“用户”选项卡中下载两个用户的密钥（包含 ovpn 文件的 tar 档案）。

我使用 Viscosity 作为 OS X 客户端，使用 OpenVPN connect 作为 iOS 客户端。在 Viscosity 中，打开“网络”选项卡中的“通过 VPN 连接发送所有流量”选项。

Question 3

请记住，Google VPC 会丢弃具有source_ip外部 IP 的虚拟机的内部 IP 以外的数据包。

本文档https://cloud.google.com/compute/docs/vpc/advanced-vpc状态：

VPC 网络会重写 IP 标头，以声明实例的外部 IP 地址为源。如果实例没有外部 IP 地址，则不允许调用，并且 VPC 网络会丢弃数据包而不通知发送方。

因此，如果您的 openVPN 只是从其他网络转发数据包，那么发往公共内部的数据包将被丢弃，因为与source_ip任何现有 VM 的内部 IP 都不匹配。因此，您需要对离开本地网络的数据包进行 NAT，例如在您的 VPN 节点上。

Chain POSTROUTING (policy ACCEPT)
target      prot opt source              destination         
MASQUERADE  all  --  192.168.0.0/16      !192.168.0.0/16

OZ_ 答案中提到的“Pritunl”有效，因为它会自动配置 NAT。

Answer