注意
本文操作配置基于 FreeBSD。如果你想要基于 OpenBSD 的版本,请点击
VPN 是一种基础工具,用于安全地连接到自己的服务器和设备。许多人出于各种原因使用商业 VPN,从不信任自己的服务提供商(尤其通过公共热点连接时),到希望用不同的 IP 地址(可能是来自别国)来“上网”。在这儿,我想突出一些已被引入基础堆栈的新特性——其中许多是默认开启的,有些可能需要专门打开。每个功能都会介绍一些细节,帮助改善网络体验。
无论出于何种原因,解决方案从未匮乏。我一直在设置管理 VPN,以便服务器/客户端使用安全通道相互通信。最近,我
VPS – 在本例中,我使用了基本的 Hetzner Cloud VPS,但所有提供 IPv6 连接的服务商都可以——如果你的确需要 IPv6。
步骤 1:激活 VPS 并安装 FreeBSD
首先,启用一台 VPS,再安装 FreeBSD。在 Hetzner Cloud 控制台中,可能没有预构建的 FreeBSD 镜像,只能选 Linux 发行版。别担心,随便选择一款 Linux 发行版创建 VPS。创建完成后,FreeBSD ISO 镜像将出现在“ISO 镜像”中。只需插入虚拟光驱,重启 VPS,FreeBSD 安装程序就会出现在控制台中。
我不会详细说明,操作非常简单。唯一需要注意的一点是,在 Hetzner Cloud VPS 中,IPv4 使用“DHCP”进行配置,但暂时别配置 IPv6。IPv6 将在稍后配置。
安装所有的 FreeBSD 更新(使用 freebsd-update fetch install 命令)并重启。
步骤 2:安装 WireGuard
在 FreeBSD 上,现在 WireGuard 作为内核模块提供,可以用包管理器通过 pkg install wireguard-tools 安装用户空间工具。这意味着你可以轻松地将它与系统上的其他软件一起更新。
步骤 3:配置 VPS 上的 IPv6
在 /etc/rc.conf 文件中添加类似以下的条目:
复制 ifconfig_vtnet0=”DHCP”
ifconfig_vtnet0_ipv6=”inet6 2a01:4f8:cafe:cafe::1 prefixlen 72”
ipv6_defaultrouter=”fe80::1%vtnet0” 简而言之,保留 Hetzner 分配的基础地址,但将前缀长度更成 72——这样就可以拥有其他可用网络。现在,需要打开 IPv4 和 IPv6 的转发功能。将以下行添加到 /etc/sysctl.conf 文件中:
复制 net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1 重启后,测试是否配置成功:
如果一切配置正确,ping 命令将执行且 google.com 会回复。
步骤 4:配置 WireGuard
接下来,需要进行一些步骤来配置 WireGuard。首先,生成私钥:
复制 wg genkey | tee /dev/stderr | wg pubkey | grep --label PUBLIC -H . 这将生成私钥和公钥。记下公钥——它将在配置客户端时用到。
接着创建一个新的配置文件 /usr/local/etc/wireguard/wg0.conf:
复制 [Interface]
Address = 172.14.0.1/24,2a01:4f8:cafe:cafe:100::1/72
ListenPort = 51820
PrivateKey = YUkS6cNTyPbXmtVf/23ppVW3gX2hZIBzlHtXNFRp80w= 这将创建一个新的 WireGuard 接口 wg0。启动 WireGuard 接口:
复制 service wireguard enable
sysrc wireguard_interfaces=”wg0”
service wireguard start 如果所有信息输入正确,接口应已启动。可以检查其状态:
至于防火墙,FreeBSD 默认未配置 pf。在我的设置中,我倾向于阻断不需要的流量,而对可能有用的流量保持宽松。然而,我喜欢把“坏家伙”挡在外面,因此我使用黑名单。pf 允许在运行时将元素插入和移出表格,所以防火墙可以根据需要进行配置。
为了下载、应用 Spamhaus 列表,我使用了一个简单但有效的脚本,可以在网上找到它,但原本是为 OpenBSD 设计的。
对于 Spamhaus 列表,继续创建 FreeBSD 脚本。
创建脚本 /usr/local/sbin/spamhaus.sh
复制 #!/bin/sh
# 这个脚本通常随 cron 每天运行一次。
#
echo updating Spamhaus DROP lists:
(
{ fetch -o - https://www.spamhaus.org/drop/drop.txt && \
fetch -o - https://www.spamhaus.org/drop/edrop.txt && \
fetch -o - https://www.spamhaus.org/drop/dropv6.txt ; \
} 2>/dev/null | sed “s/;/#/” > /var/db/drop.txt
)
pfctl -t spamhaus -T replace -f /var/db/drop.txt 使脚本可执行并运行。由于 pf 尚未启用,可能会报错——但是现在创建 /var/db/drop.txt 文件:
复制 chmod a+rx /usr/local/sbin/spamhaus.sh
/usr/local/sbin/spamhaus.sh 配置 pf 防火墙
FreeBSD 上有很多种方式可以配置 pf。以下是一个相对简单的示例:
复制 ext_if="vtnet0"
wg0_if="wg0"
wg0_networks="172.14.0.0/24"
set skip on lo
nat on $ext_if from { $wg0_networks } to any -> ($ext_if)
# Spamhaus 删除列表:
table <spamhaus> persist file "/var/db/drop.txt"
block drop log quick from <spamhaus>
# ipv6 通过 ICMP
pass quick proto ipv6-icmp
# Block from ipv6 to wg0 network
block in quick on $ext_if inet6 to { 2a01:4f8:cafe:cafe:100::/72 }
# Pass Wireguard traffic - in and out
pass quick on $wg0_if
# 默认拒绝
block in
block out
pass in on $ext_if proto tcp to port ssh
pass in on $ext_if proto udp to port 51820
pass out on $ext_if 这是一个非常简单的配置:它阻断了从 Spamhaus 下载的列表中列出的所有流量,允许 WireGuard 网络通过 NAT 访问公共接口,允许 IPv6 的 ICMP 流量(这是网络正常运行所必需的),同时阻断进入 WireGuard IPv6 网络的流量(记住,IP 地址是公开的并且可以直接访问,所以我们默认不想暴露我们的设备)。所有通过 WireGuard 接口的流量都会被允许通过。然后,所有其他流量都将被阻止,并且会指定一些例外规则,比如允许 SSH 和 WireGuard 连接(当然)。还会允许流量从公共网络接口外发。
将此配置保存到 /etc/pf.conf 文件中。
启用并启动 pf:
复制 service pf enable
service pf start 你可能会被系统踢出去。别担心,只需重新连接即可。pf 正在执行其工作。
若一帆风顺,防火墙应该已经加载了新规则。
配置 DNS 缓存和广告拦截
现在是配置 Unbound 以缓存 DNS 查询并启用广告拦截的时间了。首先,我们需要安装 Unbound:
不久前,我找到了一个脚本并稍作修改。我记不清楚原始作者是谁了,所以我只在这里贴出来脚本。
创建更新 Unbound 广告拦截的脚本 /usr/local/sbin/unbound-adhosts.sh
复制 #!/bin/sh
#
# 使用来自 Pi-Hole 项目的黑名单 https://github.com/pi-hole/
# 来启用 Unbound(8) 中的广告拦截
#
PATH=”/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin”
# 可用的黑名单 - 注释掉行以禁用
_disconad=”https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt”
_discontrack=”https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt”
_stevenblack=”https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts”
# 全局变量
_tmpfile=”$(mktemp)” && echo '' > $_tmpfile
_unboundconf=”/usr/local/etc/unbound/unbound-adhosts.conf”
# 从黑名单中移除注释
simpleParse() {
fetch -o - $1 | \
sed -e ‘s/#.*$//’ -e ‘/^[[:space:]]*$/d’ >> $2
}
# 解析 DisconTrack
[ -n “${_discontrack}” ] && simpleParse $_discontrack $_tmpfile
# 解析 DisconAD
[ -n “${_disconad}” ] && simpleParse $_disconad $_tmpfile
# 解析 StevenBlack
[ -n “${_stevenblack}” ] && \
fetch -o - $_stevenblack | \
sed -n '/Start/,$p' | \
sed -e 's/#.*$//' -e '/^[[:space:]]*$/d' | \
awk '/^0.0.0.0/ { print $2 }' >> $_tmpfile
# 创建 unbound(8) 局域网文件
sort -fu $_tmpfile | grep -v “^[[:space:]]*$” | \
awk '{
print “local-zone: \”” $1 “\” redirect”
print “local-data: \”” $1 “ A 0.0.0.0\””
}' > $_unboundconf && rm -f $_tmpfile
service unbound reload 1>/dev/null
exit 0 保存脚本后,使其可执行,然后运行:
复制 chmod a+rx /usr/local/sbin/unbound-adhosts.sh
/usr/local/sbin/unbound-adhosts.sh 现在,可以按以下方式修改 /usr/local/etc/unbound/unbound.conf 配置文件:
复制 server:
verbosity: 1
log-queries: no
num-threads: 4
num-queries-per-thread: 1024
interface: 127.0.0.1
interface: 172.14.0.1
interface: 2a01:4f8:cafe:cafe:100::1
interface: ::1
outgoing-range: 64
chroot: “”
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: ::0/0 refuse
access-control: ::1 allow
access-control: 172.14.0.0/24 allow
access-control: 2a01:4f8:cafe:cafe:100::/72 allow
hide-identity: yes
hide-version: yes
auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"
val-log-level: 2
aggressive-nsec: yes
prefetch: yes
username: “unbound”
directory: "/usr/local/etc/unbound"
logfile: "/var/log/unbound.log"
use-syslog: no
pidfile: "/var/run/unbound.pid"
include: /usr/local/etc/unbound/unbound-adhosts.conf
remote-control:
control-enable: yes
control-interface: /var/run/unbound.sock 然后启用并启动 unbound:
复制 service unbound enable
service unbound start 如果一切设置正确,unbound 将能够响应发送到 172.14.0.1 和 2a01:4f8:cafe:cafe:100::1 的 DNS 请求。接下来,配置 WireGuard 客户端。创建一个新的配置文件,写入 "172.14.0.2/32, 2a01:4f8:cafe:cafe:100::2/128"(这些地址稍后将在服务器的对等配置中使用)。将 DNS 服务器地址设置为 172.14.0.1 和其相应的 IPv6 地址(在此示例中为 2a01:4f8:cafe:cafe:100::1 ——你的地址与此不同)。在对等配置中写入服务器的相关信息,包括其公钥、IP 地址和端口(在此示例中,端口为 51820)以及允许的地址(设置 "0.0.0.0/0, ::0/0" 意味着“所有连接将通过 WireGuard”——所有流量将通过 VPN,无论 IPv4 还是 IPv6)。
每种设备的配置程序有所不同(Android、iOS、MikroTik、Linux 等),但基本上只需在服务器和客户端都创建正确的配置即可。
重新打开 WireGuard 配置文件 /usr/local/etc/wireguard/wg0.conf,添加:
复制 [Interface]
Address = 172.14.0.1/24,2a01:4f8:cafe:cafe:100::1/72
ListenPort = 51820
PrivateKey = YUkS6cNTyPbXmtVf/23ppVW3gX2hZIBzlHtXNFRp80w=
[Peer]
PublicKey = *客户端的公钥*
AllowedIPs = 172.14.0.2/32, 2a01:4f8:cafe:cafe:100::2/128 客户端的公钥将由客户端显示。
重新加载 WireGuard 配置:
复制 service wireguard restart 如果希望仅使用 VPN 作为广告拦截器,可以仅通过 VPN 路由 DNS 流量。为此,请在客户端配置中仅允许已配置的 Unbound 地址(在此示例中为 172.14.0.1、2a01:4f8:cafe:cafe:100::1)——DNS 解析将通过 VPN 进行,但浏览将继续通过主要提供商进行。
自动更新 Spamhaus 和广告拦截列表
我们将使用 cron 来自动更新列表。首先,创建一个脚本,例如 /usr/local/sbin/update-blocklists.sh:
复制 #!/bin/sh
/usr/local/sbin/unbound-adhosts.sh
/usr/local/sbin/spamhaus.sh 使脚本可执行:
复制 chmod +x /usr/local/sbin/update-blocklists.sh 然后,将其添加到 crontab 中,以便每天运行:
复制 echo “@daily /usr/local/sbin/update-blocklists.sh” >> /etc/crontab 这种方法从更新管理和安全性的角度都带来了好处。
Stefano Marinelli 是一位 IT 顾问,拥有二十余年的 IT 咨询、培训、研究和出版经验。他的专业领域涵盖了多种操作系统,尤其专注于 BSD 系统(如 FreeBSD、NetBSD、OpenBSD、DragonFlyBSD)和 Linux 系统。Stefano 还是 BSD Cafe 的咖啡师,这是一家活跃的 BSD 爱好者社区中心。他还领导了博洛尼亚大学的 FreeOsZoo 项目,为虚拟机提供开放源代码操作系统镜像。
