一，
版本：OpenVPN-2.5.2-I601-amd64
安装-> Customize
把打X的，都选上。

二，
服务端：
利用EasyRSA3产品凭证
C:Program FilesOpenVPNeasy-rsa 建立
vars.bat
下面的内容

set KEY_COUNTRY=TW
set KEY_PROVINCE=TW
set KEY_CITY=Taipei
set KEY_ORG=MyGroup
set KEY_EMAIL=mail@mymail.com.tw
set KEY_CN=MyServer
set KEY_OU=Dept

管理员入 Powershell或CMD

初始化憑證產生目錄

./easyrsa init-pki

產生ca憑證

./easyrsa build-ca nopass

要注意的是這邊會要你輸入ca的名稱，注意這名字不要跟後面重複到了

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

產生server端憑證

./easyrsa gen-req MyServer nopass
// MyServer为自己定义的名字

Common Name (eg: your user, host, or server name) [MultipointServer]:

簽署憑證

./easyrsa sign-req server MyServer

這裡會詢問是否確認簽發，輸入yes按enter即可
Type the word 'yes' to continue, or any other input to abort.
Confirm request details:

/////////////////////////////////////////////////////////////////////////////
產生client端憑證

./easyrsa gen-req Client01 nopass

如同server憑證一樣，記得名稱不要重複，另外打算讓幾個client連線，就要做幾個client憑證

簽署client憑證

./easyrsa sign-req client Client01

同样的，这里会问你yes no
Type the word 'yes' to continue, or any other input to abort.
Confirm request details:
/////////////////////////////////////////////////////////////////////////////

如要重新添加client，重复上同///的步骤

產生ta.key
cd "C:Program FilesOpenVPNbin" 進入openVPN主程式目錄

.\openvpn --genkey tls-auth ta.key 產生ta.key

[可選] 產生dh2048.pem
openssl dhparam -out dh2048.pem 2048
由於新版的dh加密方式有改變，可以不用自己產生dh2048.pem，這步驟是留給有需要的人參考

完成
server端所需憑證

# 位置：C:\Program Files\OpenVPN\easy-rsa\pki
ca.crt

# 位置：C:\Program Files\OpenVPN\easy-rsa\pki\issued
MyServer.crt (這部份名稱根據你選擇的server憑證名稱而定)

# 位置：C:\Program Files\OpenVPN\easy-rsa\pki\private
MyServer.key (這部份名稱根據你選擇的server憑證名稱而定)

# 位置：C:\Program Files\OpenVPN\bin**
ta.key
dh2048.pem （如果有產生的話）

每個client端所需憑證（以Client01為例）

# 與server端相同
ca.crt
ta.key

# 位置：C:\Program Files\OpenVPN\easy-rsa\pki\issued
Client01.crt (這部份名稱根據你選擇的client憑證名稱而定)

# 位置：C:\Program Files\OpenVPN\easy-rsa\pki\private
Client01.key (這部份名稱根據你選擇的client憑證名稱而定)

P.S.
C:Program FilesOpenVPNeasy-rsapkiprivate 內有產生一個ca.key雖然沒用到，但這個檔案要是洩漏會有重大安全性的問題，請一定要保存在非常安全的地方，像是沒有網路連線的電腦

设定Conf

服务端 .ovpn

# OpenVPN連線使用的port，這邊要與client使用的一致，另外也要注意防火牆及路由器是否有開啟該port
# port建議在1023以上可以避免權限問題，另外為了安全性避免使用預設的1194，可在1024~65535挑一個
port     20000
# 連線方式，可選tcp或是udp，這邊建議先選udp，速度較快而且安全性高
proto    udp
# 建立通道方式，可選tap或是tun，兩者有缺可以另外寫文章介紹，這邊先選tun，主要為了手機也能支援，有興趣可以先google一下差別
dev      tun
# 先前建立的ca憑證檔名，如果與ovpn放在不同位置需要標示完整路徑
ca       ca.crt
# 先前建立的server憑證，如果與ovpn放在不同位置需要標示完整路徑
cert     MyServer.crt
key      MyServer.key
# ta憑證，後面數字0代表server端
tls-auth ta.key 0

# 不使用dh憑證，如果在上一篇有做dh2048.pem，這行要改為 dh dh2048.pem,同時檔案也要跟其他憑證放在一起
dh none

# 設定VPN加密方式
cipher           AES-256-GCM
data-ciphers     AES-256-GCM:AES-128-GCM

# 每10秒確認client是否還在，如果120秒內都沒回應，當作該client斷線
keepalive 10 120

# 設定網路遮罩，可選net30/subnet/p2p，其中windows只支援前兩種，第一種是預設但比較舊的方式，這邊我們先用新的subnet，日後會出專文介紹差異
topology subnet

# 設定vpn的網域，如果設定10.8.0.0就是代表10.8.0.1~10.8.0.254會分配給各client，後面那組則固定為255.255.255.0
server   10.8.0.0 255.255.255.0
# 注意，建議設定ip域時只有10.0.0.0～10.255.255.0、172.16.0.0~172.31.255.0、192.168.0.0~192.168.255.0這3種組合，另外要注意有沒有跟現有區網撞號
# 一般路由器大多設定192.168開頭，避掉這組應該就蠻安全的

# 設定每個client只有10.8.0.x的相關連線才走VPN通道, 如果是希望所有網路連線都走VPN，得去掉這行，並在client端做設定
push "route 10.8.0.0   255.255.255.0 vpn_gateway"
# 這邊的10.8.0.0要與server那邊的IP一致

# 讓client之間能互相連線
client-to-client

# 使用新版虛擬網卡，速度遠遠超越舊版，如同wireguard般的快速
windows-driver wintun

client端

# 宣告我是client端
client

# 連線方式，需要與server一致
proto  udp
# 建立通道方式，需要與server一致
dev    tun

# server連線的IP與port，這邊IP用110.30.5.7舉例，實際上我不是用這組
remote 110.30.5.7 20000
# 表明連線後可以還能使用別的port提昇連線效率
nobind

# 憑證設定
ca       ca.crt
cert     Client01.crt
key      Client01.key
tls-auth ta.key 1
remote-cert-tls server

# 設定VPN加密方式，這邊要跟server端一致
cipher           AES-256-GCM

# 設定所有連線都走VPN從server端連出去, 若需要請將下面2行開頭的;去掉
;redirect-gateway def1
;dhcp-option DNS 8.8.8.8
# 之所以把這個設定放在這邊是因為如果由server端push這個設定，雖然方便，但是萬一日後改設定出了差錯，就有得跑到server主機處理的風險

# 使用新版虛擬網卡，速度遠遠超越舊版，如同wireguard般的快速，可與server端不同
windows-driver wintun

設定完了之後接下來就要測試是否可以使用，首先是server端
我們先進入放置的位置，預設是在 C:Program FilesOpenVPNconfig
這裡我會建議多建立一個目錄，以便日後放其他不同的設定，在這裡我新建目錄 MyServer
將先前憑證連同ovpn總共5個檔案（ca.crt、MyServer.crt、MyServer.key、ta.key、MyServer.ovpn）
複製到剛才的目錄 C:Program FilesOpenVPNconfigMyServer

接著到螢幕左下角找OpenVPN的圖示，長的有點類似網路連線的圖案，上面有一顆鎖。對這個圖示按右鍵選擇連線，便會啟動server端功能
如果順利的話，不會看到任何錯誤視窗，且剛才的icon會變成綠色

client端差不多，我在另外電腦建立 Client01 目錄在 C:Program FilesOpenVPNconfig
將先前憑證連同ovpn總共5個檔案（ca.crt、Client01.crt、Client01.key、ta.key、Client01.ovpn）
放入 C:Program FilesOpenVPNconfigClient01
右鍵OpenVPN圖示連線，
同樣如果沒有任何錯誤視窗，且icon變綠色的話就是順利連上

接著我們要來做ping測試，由於我們設定的網域是10.8.0.0，所以server被分配到的ip就會是10.8.0.1
我們在client端的電腦上，進入到powershell或是cmd裡面，輸入以下指令
ping 10.8.0.1
如果有回應，代表連線已經順利完成，這樣就算是完成了vpn連線

想當然，應該會有不少人在連線遇到錯誤或是ping的問題，之後會在下篇文章介紹解決方式
這邊先大概提點一下，大部分問題都源自於windows系統的防火牆

生命瞬間 繁華落盡-西藏曼陀羅畫 Medicine Buddha sand mandala



2001年2月26日，Ven. Tenzin Thutop 和Ven. Tenzin Deshek 二個來自尼泊爾和西藏的喇嘛，在紐約Ackiand和Yager畫廊將“修建”一個“藥師佛壇城”，展現亞洲藝術。

一般很少能見到這種場面，
就算你是身處西藏，也是很少見的 26 Feb

材料是一種用於藏醫藥的細沙
而且用這種材料製造出來的作品
可以保持幾百年不褪色 28,Feb

佛是萬物的起源，是世界的中心 28,Feb

在整個的繪製過程中
旁人只覺得是一種創作 1,Feb

但對於佛家來說，這是一種修行 2,,May

細沙如何彙聚成世界

圍繞在佛周圍的芸芸眾生
每一種生命都躍然沙上 5,May

不外傳的特製作畫工作 5,May

繁華初現 佛澤四方 6,May

越來越多人關注他們的創作 8,May

你是否看到了繁華背後的脆弱？ 9,May

逐步顯現的最後的聖堂 12,May

延續的人生，膨脹的世界 14,May

瑰麗的畫卷，以一種強迫的姿態
佔據每一個人的視界和心靈
及至靈魂 20,May

精緻得難一置信的細節 20,May

自始至終一絲不荀的創作者 21,May

完美的畫面，繁華的世界
多看一會兒吧，記住它 8,Jun

最後完成的作品，英文叫做:mandala

意思是：時間記錄了一切

我們只能是做過這件事情，留下一點痕跡

但這些只是一瞬間的精彩 8,Jun

生命亦是如此 8,Jun

七八十年晃眼而過 8,Jun

回頭看看只有那麼一點痕跡 8,Jun

人死前的就瞬間一定很複雜 8,Jun

那麼，然後呢？ 8,Jun

看看四周人們的眼神 8,Jun

極致繁華，不過一掬細沙 8,Jun

藝術品的生命完結了
但這件作品真正的生命才剛剛開始。8,Jun

人們從來沒有慶祝過生
但，對於死，卻總是有隆重的儀式 8,Jun

除去抹不淨的回憶
仿佛什麼也沒有發生過 8,Jun

最後的一段旅程
在當地居民的護送下盛裝出行 8,Jun

一切都隨風飄入溪水
沉澱，褪色
永不再返