渥太华微生活

这个方法原来是为了回国用手机翻墙准备的，但没有成功。

在这篇博文介绍了回国翻墙的几种简单方法。特别是自己搭建AWS VPN服务器的方法。

使用AWS-VPN翻墙近一年，只有一次IP地址被墙，重启服务器后，更换了IP地址，立刻恢复上网。性能良好，速度较快，可以翻墙看视频。

这个方法的缺点是使用的PPTP协议已经落伍，安全性不够。安卓12以上的手机都不支持。所以比较新的安卓手机不能用这个方法。

为了支持安卓手机翻墙，在AWS上用OpenVPN进行了实验。

OpenVPN是广泛使用的开源VPN。具有较高的安全性，而且免费。由于OpenVPN客户端是第三方App，可以用于各种终端，包括手机。回国试验后，发现OPENVPN也许是特征太明显，已经被墙了。

但下列方法还能用于手机因安全和隐私目的，使用VPN上网。

方法一：AWS Marketplace

1、在OpenVPN.net注册，选择免费的，只支持同时两个连接的方案。如果需要更多的连接，可以选择一个月7美元的方案。对于短期回国，两个连接已经足够了。提交后，就会生成一个激活码。将这个长码存到本地，搭建服务器时需要。

2、在亚马逊云AWS开一个新账户。AWS提供12个月免费的服务。需要选择一个区域。为了翻墙，我们可以选择离中国大陆近的区域，比如首尔、东京或者新加坡。

3、开好账户，在AWS Marketplace 搜索OpenVPN Access Server，点击第一个结果。不要为标示的价格误导。只要选择free tier的虚拟机，最后的价格是免费的。点击Continue to subscribe -> continue to launch through EC2,就到了配置页，instance type选择免费的t2.micro，选择一个密匙对的名字，点击Create new key pair -> Create key pair后，生成的pem 密匙文件自动下载到本地。这个文件用于服务器连接的安全认证。Firewall选择security group自动生成的入网规则，选择上面5个选项。免费Storage可以增加到最多30GB。点击“launch Instance”。

4、实例生成后，记下IP地址。点击connect to your instance，选择EC2 Instance Connect（最左边的），连接服务器去完成最后配置。

跳出一个Linux操作视窗。

配置过程是自动的，只须对大部分问题按回车键默认回复。对于支持少数用户翻墙的VPN服务器，只有下列情形需要改变默认输入：

开源软件的同意书: Please enter 'yes' to indicate your agreement [no]: 回答yes

加密算法：> Press ENTER for default [secp384r1]:回答rsa

自签的web证书加密算法：> Press ENTER for default [secp384r1]:回答rsa

VPN对用户流量的默认路由：> Press ENTER for default [no]: yes

VPN对用户的DNS流量的默认路由：> Press ENTER for default [no]: yes

最后需要设置一个有管理权限的用户openvpn的接入密码。复制并粘贴激活码之后，服务器启动，显示下列格式的信息：
Client UI: https://54.227.3.116:943/

打开一个浏览器：复制上面的UI地址到地址栏。由于没有证书，浏览器会告警，点击advanced  -> connect, 到openvpn的接入页。首先选择终端类型，对应的客户端就会自动下载到终端上。再点击“Profiles Management”，下载openvpn的profile。go to admin panel,进入管理平台，在这个平台上，首先添加用户名，比如user1，设置其上网的密码，下载该用户的profile文件并保存。该用户就可以在终端上用openvpn的客户端连接openvpn服务器了。连接方法有两种，第一种是输入服务器IP地址，用户名和密码log in；第二种是拖拽下载的profile文件。

在管理平台，点击VPN setting，在Routing，做下列配置。

回到OpenVPN客户端，点击Import Profile -> Upload File将刚下载的user1的profile拖拽到OVPN云图处，user1就接入了VPN。

方法二：自己用脚本搭建

前面介绍了通过AWS Marketplace搭建OpenVPN的方法。这个方法简单但只能同时连接两个用户，如果用户多，可以自己用脚本搭建。 

首先，在EC2 平台上启动一个Amazon Linux服务器实例。不要选择2023版本，要选择第二个Linux 2。类型选择免费的t2.micro；任意取一个密匙对名字并创建，选择ppk文件。生成的ppk文件自动地下载到客户端。设置防火墙的入网规则允许UDP 1194端口并启动实例。服务器实例生成后，记下IP地址。点击connection，选择EC2（最左边的），在跳出的窗口内，用脚本配置OpenVPN服务器。顺序执行行命令如下：

sudo –i（切换到root模式）
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh（下载脚本文件）
chmod +x openvpn-install.sh（为脚本授权运行权限）
./openvpn-install.sh（运行脚本，运行过程只需要对大多数默认值回车，只有对下列问题需要改变默认值）

What DNS resolvers do you want to use with the VPN? 11
选择序号1 Current system resolvers (from /etc/resolv.conf)

最后创建一个用户，比如Ausr并为其设置接入密码。Auser的login 信息文件Auser.ovpn存储在/home/ec2-user/,这个文件需要被下载到终端上，让Auser可以login VPN。

从AWS 服务器下载文件到本地windows终端可以使用WinSCP。它提供GUI让你将服务器上的文档拖拽到本地。具体方法是下载并安装WinSCP。打开WinSCP（1），点击New Site。在Host name box (2), 输入AWS的IP地址。在User name box (3), 输入ec2-user;点击Advanced 按钮。在Advanced Site Settings窗口， SSH ->Authentication (2)->Private key file,点击 … 找到你的(.ppk)文件并载入。点击OK关闭Advanced Site Settings窗口。

点击Login，回答“yes”确认你愿意连接一个未知的网站。右边的窗口将出现EC2 服务器的文件。拖拽两个窗口的任何文件到另一个窗口，就会远程复制文件。从openvpn.net网站下载并安装OpenVPN Windows客户端。打开OpenVPN客户端。点击FILE，将下载的用户配置文件拖拽到虚线方框内。

点击保存密码，然后输入为用户设置的密码，连接成功如图。

如果想加新用户，要在EC2 connect 窗口里再次执行脚本openvpn-install.sh。