OpenVPN 安全性疑问

用证书登录

证书登录问题不大

@XiLingHost 是的，是用证书登录。

@yzc27 我的意思是，如果使用证书登录，那么可能性不大

@muhahaha 我可以认为，只要是证书登录的话，哪怕被知道 ip 和端口，也几乎很难从 openvpn 爆破进内网，对吗？

跟 SSH 一样，肯定有机器来爬，但你只用证书登录就问题不大

安全，我的 OpenVPN 也在公网。

用公網 無隱私

@eason1874 SSH 有人来试密码，OpenVPN 大部分用的都是证书，估计没人来试密码吧。

@XiLingHost 明白，谢谢大佬

@heyjei 因为突然想起今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ，可以扫到 openvpn 的端口。后来才想起，这网站不知道可不可靠，会不会在后台记录下 ip 端口，事后来慢慢爆破 openvpn

@eason1874 想确认一下，证书登录，是不是就是用 easy-rsa 生成那几个 ca 、cert 、key 文件？我当时是按网上教程跟着搞的。

日本甲骨文安装 openvpn 已稳定运行 3 年，用证书登录
ssh 也是证书一直没改过，再也不怕穷举。

@yzc27 对呀
这 3 个证书可以放进.ovpn 里面

@yzc27 是的 可以考虑只开放这个端口，然后链接回家庭网络，组建局域网

@hdp5252 #13 明白，谢谢大佬！

@muhahaha #15 是的，目前我就是这么做。只是今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ，可以扫到 openvpn 的端口。后来才想起，这网站不知道可不可靠，会不会在后台记录下 ip 端口，担心事后来被人慢慢爆破 openvpn 。虽说没啥价值，但要是被爆破进内网，自己也担心。

目前主流的 ovpn setup 都是 TLS 双向认证的，爆破基本不可能，主要是软件漏洞、证书密钥泄漏和错误配置。
前者勤更新别用太老的版本就行（推荐 openvpn>=2.4 ，openssl>=1.1.0 ），中者可能的是你意外公开了客户端 ovpn 或者 ssh 用弱密码登录被爆破。后者就看你有没有看了坑人教程了，例如填了 verify-client-cert none 。

@jim9606 明白了，谢谢大佬！