VPNサーバー設定方法【shadowsocks-libev】

2021 4/30

2021.02.13 2021.04.30

以下の方向けの記事になります

海外で日本のサービスを使いたい方
速い回線速度でVPNを使用したい方
Linuxサーバー知識がない方
暗号形式変更により違うバージョンのshadowsocksをインストールする必要が出てきた方

VPNサービスは複数ありお手軽ですが回線速度、接続数に難があるところが多いです。

サーバーを借りて自分で設定を頑張る場合、上記の課題は解決できるため頑張る価値はありますぜ。

VPNサーバーを再設定した経緯

新年を祝おうと思ったらVPNサーバーに繋がらん！！

次の日には治ってるかな？と思ったので放置したけどやっぱり駄目だ…。

このブログも蹴られるということは、VPSがBL入りしちゃったみたい…

となり、さくらのVPSを追加契約してVPNの設定を行いました

追記

二日後にはBL解除されていました😉

ただし、今後Shadowsocksは新しい暗号形式のみ使用すると宣言がありました。

Security update: Yes, we have finally removed support for all stream ciphers, almost 4 years after the proposal of Shadowsocks AEAD. Stay safe! 🦠
https://github.com/shadowsocks/shadowsocks-windows/releases

広く出回っているインストールスクリプトは新しい暗号形式に対応していない旧バージョンです。

従いまして、新しいバージョンに更新しましょう。

手順

やることリスト

「さくらインターネット」でVPSを契約
ログイン設定変更でセキュリティ対策の実施
VPNソフトウェア(shadowsocks-libev)をVPSにインストール
クライアントソフトウェアを設定

VPS契約

サーバーが必要なので、さくらインターネットでVPSを契約しましょう。

VPN用途での使用であれば「最安プラン」で十分です。

クレジットカード決済であれば2週間無料で試せますので、途中で断念しても契約解除すればお金は掛かりません。

すでにさくらのVPSを使用しているのであればコンソールから追加で契約しましょう。

VPS設定（OSインストール～セキュリティ設定）

STEP

OSインストール

「さくらのVPS　コンソール画面」より、以下の設定でインストール

設定項目	選択
OS	CentOS7(Kusanagiでも可)
スタータップスクリプト	任意
パケットフィルタ	下図参照
公開鍵	登録しない

言い換えればFirewalld設定なので、設定しないとクライアントが接続できない

STEP

TeraTermをインストール

VPSを操作するのに使用するソフトウェア。

ポータブル版で問題ないです。

上の表にあった「公開鍵の作成｣と、｢VPNソフトウェアのインストール｣に必要となります。

STEP

公開鍵を作成する

セキュリティ向上のため、鍵ファイルを使用してログインするようにするための準備を行います。

Teratermを起動→設定(s)→SSH鍵生成(N)

※ 起動時、新しい接続が出た場合は「キャンセル」で閉じてください。

公開鍵は名前を「authorized_keys」としておきます。

秘密鍵は名前はどうでもいいのでデフォルトのままにしています。

STEP

サーバーのセキュリティ対策

初期設定のままだとセキュリティ対策が不十分なので以下の設定変更を行います。

セキュリティ対策

rootでのログイン出来なくする
パスワードによるログイン認証を無効とする
OSのアップデート
TCP BBRの設定（VPNの速度が20倍ほど速くなる）

各種設定は(説明が)面倒なので、シェルスクリプトで処理します。

以下のファイルを作成し、要所を変更してください。

注意

サーバーがLinuxなので文字コードは｢UTF-8｣、改行は｢LF｣とする必要があります。

以下の様なテキストエディタを使用し｢文字コード｣&｢改行の形式｣を指定して保存してください。

rootSetting.shファイル　(クリックで表示されます)
※loginUserName,loginPasswordは任意のものに変更してください

#!/bin/sh
####################################################################
#UserName
UN='loginUserName'

#Password
PW='loginPassword'
####################################################################

set -eu

#User Add
#Passwd info https://qiita.com/momoken/items/bc8236da4396751d8553
useradd ${UN}
echo ${PW} | passwd --stdin ${UN}
usermod -aG wheel ${UN}

#SSH Config Root,Pass LoginNG
sed -i -e 's/\#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i -e 's/\PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sed -i -e 's/\#PermitEmptyPasswords no/PermitEmptyPasswords no/g' /etc/ssh/sshd_config

#mkdir
mkdir /home/${UN}/.ssh
chmod 700 /home/${UN}/.ssh
chown ${UN} /home/${UN}/.ssh
chgrp ${UN} /home/${UN}/.ssh

read -p "End /home/${UN}/.ssh/authorized_keys Upload.Press [Enter] key to resume."

chmod 600 /home/${UN}/.ssh/authorized_keys
chown ${UN} /home/${UN}/.ssh/authorized_keys
chgrp ${UN} /home/${UN}/.ssh/authorized_keys

#update
yum update -y

#TCP BBR Install
wget https://github.com/teddysun/across/raw/master/bbr.sh && chmod +x ./bbr.sh && ./bbr.sh

read -p "Press [Enter] key to reboot."
reboot

シェルスクリプトファイルを作成できたら、TeraTermにてログインしましょう。

「TeraTerm」にてファイル(F)→新しい接続（N）を選択

ホスト(T)にVPSのIPを入力、TCPポートは「22」としOK。

何か聞かれますが「続行」。

ユーザ名、パスフレーズは画像を参考に入力。

まっ黒な画面になったらログイン成功！

次に作成した「rootSetting.sh」ファイルをTeraTermにドラッグ＆ドロップします。

色々選べますが、そのままOKを選択。

sh rootSetting.sh

と入力し「Enter」で実行。

途中で公開鍵をアップロードするようメッセージが出るので、公開鍵「authorized_keys」をドラッグ＆ドロップ。

転送先は「/home/[loguinUserName]/.ssh/」となります。
例）loguinUserNameがcheloなら「/home/chelo/.ssh/」

OSのアップデートが始まるので10分ほど放置。

暫く待つとTCP BBRのインストールが始まるので｢Enter｣。

終わると再起動を求められるので｢y｣を入力して｢Enter｣

注意点

BBRインストールは10分程放置しても画面が動かなくなることがあります。

その際は、｢ctrl+c｣で中断した後、以下のコマンドを実行してください。

TeraTermでのペーストは｢Shift + Insキー｣になります(Delキーの近くにあります)

wget https://github.com/teddysun/across/raw/master/bbr.sh && chmod +x ./bbr.sh && ./bbr.sh

これでセキュリティ対策等は終了です。

STEP

ログインしてみる

「TeraTerm」にてファイル(F)→新しい接続（N）を選択

ここは前回と同じ。

次は画像のように入力、秘密鍵を選択すればログインできます。

ログインできたらshadowsocks-libevのインストールへ進みましょう。

shadowsocks-libevをサーバーにインストール

｢shadowsocks-libev｣の設定を行っていきます

まず、シェルスクリプトファイルを作成します。

ss-libev.sh　(クリックで表示されます)
※portNumberは「Step2で設定したもの」,passwordは任意のものに変更してください
※Step5同様、文字コードは｢UTF-8｣、改行は｢LF｣としてください

#!/bin/sh
####################################################################
#usePortNumber
portNumber=15832

#usePasswordk
password='inputYourPassword'
####################################################################

#snapInstall
yum install epel-release snapd -y
systemctl enable --now snapd.socket
wait
ln -s /var/lib/snapd/snap /snap
wait
snap install core
wait
snap install shadowsocks-libev

#setting
mkdir -p /snap/bin/
cat <<EOF > /snap/bin/config.json
{
"server":["[::0]", "0.0.0.0"],
"mode":"tcp_and_udp",
"server_port":$portNumber,
"password":"${password}",
"timeout":60,
"method":"chacha20-ietf-poly1305",
"nameserver":"1.1.1.1"
}
EOF

#autoStartSetting
cat << EOF> /lib/systemd/system/ss.service
[Unit]
Description=Shadowsocks Server
After=network.target

[Service]
Restart=on-abnormal
ExecStart=/snap/bin/shadowsocks-libev.ss-server -c /snap/bin/config.json > /dev/null 2>&1

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable ss.service
systemctl start ss.service

# Get public IP address
get_ip(){
    local IP=$( ip addr | egrep -o '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | egrep -v "^192\.168|^172\.1[6-9]\.|^172\.2[0-9]\.|^172\.3[0-2]\.|^10\.|^127\.|^255\.|^0\." | head -n 1 )
    [ -z ${IP} ] && IP=$( wget -qO- -t1 -T2 ipv4.icanhazip.com )
    [ -z ${IP} ] && IP=$( wget -qO- -t1 -T2 ipinfo.io/ip )
    [ ! -z ${IP} ] && echo ${IP} || echo
}

clear
echo "Shadowsocks-Libev Custom server install completed!"
echo "Your Server IP        :  $(get_ip)"
echo "Your Server Port      :  $portNumber"
echo "Your Password         :  ${password}"
echo "Your Method           :  chacha20-ietf-poly1305"

作成した「ss-libev.sh」ファイルをドラッグ＆ドロップします。