如何在Ubuntu 20.04中‧5分鐘設定OpenVPN

01. 網上很多介紹如何5分鐘建立OpenVPN伺服器方法，今天也記錄一下。

02. 登入Ubuntu，打開終端機。下載有關程式。

wget https://git.io/vpn -O openvpn-install.sh

03. 將程式更改為可執行。

sudo chmod +x openvpn-install.sh

04. 安裝程式。

sudo ./openvpn-install.sh

05.程式會問及多個選項。設定OpenVPN伺服器IP地址，以預設就可以了。

06. 設定協議(protocol)，以預設就可以了。

07. 設定埠位(port)，以預設就可以了。

08. 設定DNS。因伺服器沒有DNS設定，所以我用公家Google的DNS設定。

09. 設定第一個OpenVPN客戶端名稱。

10. 設定完畢，預備安裝。

11. 安裝完成，你會看到第一個OpenVPN客戶端檔案已建立在『/root/client01.ovpn』位置。只要將檔案輸入到OpenVPN客戶端程式，便可以連接這台OpenVPN伺服器。

12. 要增加/刪除客戶端，或移除OpenVPN伺服器程式。

sudo bash openvpn-install.sh

13. 根據不同選項作出選擇。

14. 增加客戶端。

15. 刪除客戶端。

16. 移除OpenVPN伺服器程式。

17. 最後，只要設定好防火牆，開放UDP協議及埠位1194，客戶端便可以連接到OpenVPN伺服器。

18. 是不是很容易呢？那不如看看『openvpn-install.sh』程式究竟做了甚麼？

19. 打開『openvpn-install.sh』檔案。

sudo nano openvpn-install.sh

20. 原來要Ubuntu 18.04或以上才能執行此程式。

if [[ "$os" == "ubuntu" && "$os_version" -lt 1804 ]]; then
echo "Ubuntu 18.04 or higher is required to use this installer.
This version of Ubuntu is too old and unsupported."
exit
fi

21. 另一樣關心的，當然就是伺服器上證書是如何建立。你會看到CA證書是沒有設定密碼，而證書的有效期是10年。

./easyrsa --batch build-ca nopass
EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-server-full server nopass
EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-client-full "$client" nopass
EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl

22. 更改一下。

./easyrsa --keysize=8192 --batch build-ca
EASYRSA_CERT_EXPIRE=365 ./easyrsa build-server-full server
EASYRSA_CERT_EXPIRE=365 ./easyrsa build-client-full "$client"
EASYRSA_CRL_DAYS=365 ./easyrsa gen-crl

23. 建立CA證書時，會要求設定多一個密碼。