在Debian8上使用OpenVPN安全浏览Internet的3种方法

介绍

以更多隐私浏览互联网的原因与实现它的方式一样多。

在本教程中，我们将详细解释如何在服务器上设置 虚拟专用网络 (VPN)，以保护您的 Internet 浏览体验的三个重要组成部分：

• 通过保护未加密的流量、防止 cookie 和其他跟踪器以及屏蔽本地计算机的 IP 地址来私有化您的网络流量
• 防止本地 ISP 记录 DNS 查询，将它们从 VPN 直接发送到 Google 的 DNS 服务器
• 扫描并阻止对病毒和恶意应用程序的访问

通过运行您自己的 VPN 服务器而不是使用商业服务器，您还可以避免记录您的浏览历史记录（除非您选择这样做）。 最后，你可以选择它的物理位置，这样你就可以最大限度地减少延迟。 但是，使用 VPN 通常比使用直接 Internet 连接要慢。

我们将通过在您的 Debian 8 服务器上安装和配置以下应用程序来做到这一点：

• ClamAV 是一款开源防病毒引擎，用于检测木马、病毒、恶意软件、其他恶意威胁
• Dnsmasq 是一个提供 DNS（以及更多）服务的软件包。 我们将仅将其用作 DNS 缓存
• HAVP HTTP AntiVirus 代理是带有防病毒过滤器的代理。 它不缓存或过滤内容。 它使用第三方防病毒引擎扫描所有流量。 在本教程中，我们将使用 HAVP 作为 透明代理 并将 HAVP 和 Privoxy 链接在一起
• OpenVPN社区版是一款流行的VPN服务器。 它提供与您信任的服务器的安全连接，还可以将 DNS 服务器设置推送到其客户端。 在本教程中，术语 OpenVPN 将用作 VPN 服务器名称的缩写形式
• Privoxy 是来自官方网站的 非缓存网络代理，具有高级过滤功能，用于增强隐私、修改网页数据和 HTTP 标头、控制访问以及删除广告和其他令人讨厌的互联网垃圾

完成本教程后，您将拥有一个隐私网关：

• 使用公共 WiFi 热点时保护您的连接
• 阻止来自网站的广告和跟踪功能
• 通过缓存服务器端 DNS 响应来加快网页加载时间
• 扫描您访问的页面和下载的文件中是否存在已知病毒

这个怎么运作

下图显示了 Web 请求通过我们将在本教程中设置的 VPN 所遵循的路径。

绿色背景的通道是 VPN 服务器的组件。 绿色方框代表请求步骤，蓝色和红色方框代表响应步骤。

您的计算机和隐私服务器之间的流量将通过 VPN 隧道流动。 当您在浏览器中打开网页时，您的请求将被传输到 VPN 服务器。 在 VPN 服务器上，您的请求将被重定向到 HAVP，然后是 Privoxy。

Privoxy 会将 URL 与其模式数据库进行匹配。 如果 URL 匹配，它将阻止 URL 并返回一个有效但为空的响应。

如果 URL 未被阻止，Privoxy 将充当非缓存代理服务器来查询 DNS 并检索 URL 的内容。 DNS 查询由 Dnsmasq 处理和缓存。

HAVP 从 Privoxy 接收内容并通过 ClamAV 执行病毒扫描。 如果发现任何病毒，它会返回一个错误页面。

先决条件

请确保您完成以下先决条件：

• 带有 1 GB RAM 的 Debian 8 Droplet
• 使用 Debian 8 进行初始服务器设置
• 如何在 Debian 8 上设置 OpenVPN 服务器

系统要求

我们将配置的服务器在 CPU、RAM 和磁盘空间上都很容易。 选择具有至少 1GB RAM 并提供足够带宽来满足您的浏览需求的 Droplet。

本教程选择的操作系统是 Debian 8。 对于其他基于 Debian 的 Linux 发行版，如 Ubuntu，它也应该或多或少地以相同的方式工作。

许可证

本教程中使用的所有软件都可从 Debian 存储库中获得，并受 Debian 政策 的约束。

安全

该服务器将拦截您的所有 HTTP 请求。 控制此服务器的人可以充当中间人并监控您的所有 HTTP 流量、重定向 DNS 请求等。 你 do 需要保护你的服务器。 请参阅本节开头提到的教程来设置 sudo 访问权限和防火墙作为初始保护级别。

第 1 步 — 安装 OpenVPN 和其他先决条件

如果您尚未安装 OpenVPN，请立即安装。

您可以按照教程 如何在 Debian 8 上设置 OpenVPN 服务器。

在以下步骤中，我们将安装一些软件包。 为确保您的包索引是最新的，请执行以下命令。

sudo apt-get update

如果您尚未在 UFW 防火墙设置中启用 ssh，请使用以下命令进行。

sudo ufw allow ssh
sudo ufw enable

第 2 步 — 安装 Dnsmasq

在这一步中，我们将安装和配置 Dnsmasq。 我们的隐私代理服务器将使用 Dnsmasq 来加速和保护其 DNS 查询。

每次连接到网页时，您的计算机都会尝试通过询问 DNS（域名系统）服务器来解析该服务器的 Internet 地址。 默认情况下，您的计算机使用 ISP 的 DNS 服务器。

使用自己的 DNS 服务器具有以下优点：

• 您的 ISP 不会知道您连接的主机名
• 您的 ISP 无法将您的请求重定向到其他服务器，这是审查的主要方法之一
• 您的 DNS 查询速度将会提高

在 Debian 系统上，名称服务器配置保存在名为 /etc/resolv.conf 的文件中。

使用以下命令检查您当前的名称服务器配置。

cat /etc/resolv.conf

输出：

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 8.8.4.4

如您所见，此系统上的默认名称服务器设置为 Google 的 DNS 服务器。

现在使用以下命令安装 dnsmasq：

sudo apt-get install dnsmasq

安装软件包后，再次检查您的配置：

cat /etc/resolv.conf

输出：

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1

默认名称服务器设置为 127.0.0.1，这是运行 Dnsmasq 的本地接口。

您可以使用以下命令测试安装。 记下输出中的查询时间。

dig digitalocean.com @localhost

输出：

Output. . .

;; Query time: 20 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

. . .

现在再次运行相同的命令并检查查询时间：

dig digitalocean.com @localhost

输出：

Output. . .

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

. . .

我们的第二个查询由缓存中的 dnsmasq 回答。 响应时间从 20 毫秒降至 1 毫秒。 根据系统的负载，缓存结果通常会在 1 毫秒内返回。

第 3 步 — 安装 ClamAV

让我们安装我们的防病毒扫描程序，这样我们的 VPN 将保护我们免受已知的恶意下载。

安装 ClamAV

ClamAV 是一种广泛使用的开源防病毒扫描程序。

安装 ClamAV 及其扫描程序守护程序：

sudo apt-get install clamav clamav-daemon

更新病毒库

ClamAV 将在安装后立即更新其数据库，并每小时检查一次更新。

ClamAV 将其数据库更新状态记录到 /var/log/clamav/freshclam.log。 您可以检查此文件以了解其自动更新是如何处理的。

现在我们将等到自动更新完成； 否则，我们的扫描代理 (HAVP) 会抱怨并且不会启动。

sudo tail -f /var/log/clamav/freshclam.log

在更新过程中，当前状态将被写入屏幕。

OutputFri Jun 19 12:56:03 2015 -> ClamAV update process started at Fri Jun 19 12:56:03 2015
Fri Jun 19 12:56:12 2015 -> Downloading main.cvd [100%]
Fri Jun 19 12:56:21 2015 -> main.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Fri Jun 19 12:56:28 2015 -> Downloading daily.cvd [100%]
Fri Jun 19 12:56:34 2015 -> daily.cvd updated (version: 20585, sigs: 1430267, f-level: 63, builder: neo)
Fri Jun 19 12:56:35 2015 -> Downloading bytecode.cvd [100%]
Fri Jun 19 12:56:35 2015 -> bytecode.cvd updated (version: 260, sigs: 47, f-level: 63, builder: shurley)
Fri Jun 19 12:56:41 2015 -> Database updated (3854539 signatures) from db.local.clamav.net (IP: 200.236.31.1)
Fri Jun 19 12:56:55 2015 -> Clamd successfully notified about the update.
Fri Jun 19 12:56:55 2015 -> --------------------------------------

等到您看到标记为红色的文本，Clamd successfully notified about the update.。

按键盘上的 CTRL+C 退出尾部。 这将使您返回命令提示符。

如果一切正常，您可以继续 Configure ClamAV 部分。

（可选）故障排除

如果病毒更新时间过长，您可以手动调用它。 这在正常情况下是不需要的。

停止自动更新服务。

sudo service clamav-freshclam stop

手动调用更新程序并等待其完成。 下载进度将以百分比显示。

sudo freshclam

启动自动更新服务：

sudo service clamav-freshclam start

配置 ClamAV

现在我们将允许其他组访问 ClamAV。 这是必需的，因为我们将在以下步骤中配置病毒扫描代理 (HAVP) 以使用 ClamAV。

使用您喜欢的文本编辑器编辑 ClamAV 配置文件 clamd.conf。

sudo vi /etc/clamav/clamd.conf

将以下参数设置为 true。

AllowSupplementaryGroups true

保存配置并退出。

重启clamav-daemon

sudo service clamav-daemon restart

第 4 步 — 安装 HAVP

HAVP 是一个病毒扫描代理服务器。 它会扫描您访问的页面上的每个项目并阻止恶意内容。 HAVP 不包含病毒扫描引擎，但可以使用相当多的第三方引擎。 在本教程中，我们将使用 ClamAV 对其进行配置。

从 Debian 存储库安装 HAVP。

sudo apt-get install havp

安装需要一段时间，请耐心等待。

编辑配置文件

在您喜欢的编辑器中加载 HAVP 的配置文件：

sudo vi /etc/havp/havp.config

我们需要设置一些配置选项以使 HAVP 与 ClamAV 守护程序一起运行。

HAVP 可以与 ClamAV 库（默认情况下）或 ClamAV 守护程序一起使用。 库模式比守护程序（套接字扫描器）模式需要更多的 RAM。 如果您的 Droplet 有 4 GB 或更多的 RAM，您可以将 ENABLECLAMLIB 设置为 true 并使用库模式。

否则，请使用位于配置文件底部附近的这些设置。

ENABLECLAMLIB false

. . .

ENABLECLAMD true

HAVP 的默认配置可能会干扰某些视频流站点。 要允许 HTTP 范围请求 ，请设置以下参数。

RANGE true

互联网上的很多内容都是由图像组成的。 尽管有一些利用图像作为矢量的漏洞，但不扫描图像或多或少是安全的。

我们建议将 SCANIMAGES 设置为 false，但如果您希望 HAVP 扫描图像，可以将此设置保留为 true。

SCANIMAGES false

不要扫描具有图像、视频和音频 MIME 类型的文件。 此设置将提高性能并使您能够观看流媒体视频内容（前提是整个 VPN 有足够的带宽）。 取消注释此行以启用它。

SKIPMIME image/* video/* audio/*

我们还要更改一个参数。

此参数将告诉 HAVP 不要将成功的请求记录到 /var/log/havp/access.log 的日志文件中。 如果要检查访问日志以查看 HAVP 是否正常工作，请保留默认值 (true)。 对于生产，将此参数设置为 false 以提高性能和隐私。

LOG_OKS false

保存更改并退出文件。

用户配置

还记得我们配置 ClamAV 以供其他组访问吗？

现在，我们将 clamav 用户添加到 havp 组，并允许 HAVP 访问 ClamAV。 执行以下命令：

sudo gpasswd -a clamav havp

输出：

OutputAdding user clamav to group havp

我们需要重新启动 clamav-daemon 以使我们对组的更改生效。

sudo service clamav-daemon restart

现在我们已经配置了 HAVP，我们可以使用以下命令启动它：

sudo service havp restart

服务重启命令应该静默完成； 控制台上不应显示任何消息。

检查日志

HAVP 将其日志文件存储在 /var/log/havp 目录中。 错误和初始化消息进入 error.log 文件。 您可以通过检查此文件来检查 HAVP 的状态。

sudo tail /var/log/havp/error.log

tail 命令显示文件的最后几行。 如果 HAVP 已成功启动，您将看到如下所示的输出。 当然，日期和时间将是您系统的：

Output17/06/2015 12:48:13 === Starting HAVP Version: 0.92
17/06/2015 12:48:13 Running as user: havp, group: havp
17/06/2015 12:48:13 --- Initializing Clamd Socket Scanner
17/06/2015 12:48:22 Clamd Socket Scanner passed EICAR virus test (Eicar-Test-Signature)
17/06/2015 12:48:22 --- All scanners initialized
17/06/2015 12:48:22 Process ID: 3896

第 5 步 — 测试 HAVP

在本节中，我们将确保 HAVP 实际上阻止病毒。

上面显示的日志提到了一个叫做 EICAR virus test 的东西。

在初始化时，HAVP 使用特殊构造的病毒签名测试病毒扫描引擎。 所有病毒扫描软件都将包含此（无害）签名的文件检测为病毒。 您可以在 EICAR 预期用途 页面上获取有关 EICAR 的更多信息。

让我们对 EICAR 文件进行我们自己的手动测试，看看 HAVP 和 ClamAV 是否会阻止它。

我们将使用 wget 命令行实用程序从 EICAR 网页下载文件。

首先，不使用代理下载 EICAR 测试文件：

wget http://www.eicar.org/download/eicar.com -O /tmp/eicar.com

您的服务器将毫无怨言地下载该文件：

Outputconverted 'http://www.eicar.org/download/eicar.com' (ISO-8859-1) -> 'http://www.eicar.org/download/eicar.com' (UTF-8)
--2015-06-16 13:53:41--  http://www.eicar.org/download/eicar.com
Resolving www.eicar.org (www.eicar.org)... 188.40.238.250
Connecting to www.eicar.org (www.eicar.org)|188.40.238.250|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68 [application/octet-stream]
Saving to: '/tmp/eicar.com'

/tmp/eicar.com       100%[=====================>]      68  --.-KB/s   in 0s

2015-06-16 13:53:41 (13.7 MB/s) - '/tmp/eicar.com' saved [68/68]

如您所见，wget 下载了包含病毒签名的测试文件，没有任何投诉。

现在让我们尝试使用我们新配置的代理下载相同的文件。 我们将环境变量 http_proxy 设置为我们的 HAVP 地址和端口。

http_proxy=127.0.0.1:8080 wget http://www.eicar.org/download/eicar.com -O /tmp/eicar.com

输出：

Outputconverted 'http://www.eicar.org/download/eicar.com' (ISO-8859-1) -> 'http://www.eicar.org/download/eicar.com' (UTF-8)
--2015-06-25 20:47:38--  http://www.eicar.org/download/eicar.com
Connecting to 127.0.0.1:8080... connected.
Proxy request sent, awaiting response... 403 Virus found by HAVP
2015-06-25 20:47:39 ERROR 403: Virus found by HAVP.

我们的代理成功拦截了下载并阻止了病毒。

EICAR 还提供隐藏在 ZIP 压缩文件中的病毒签名文件。

您可以使用以下命令测试 HAVP 是否扫描 ZIP 存档中的文件：

http_proxy=127.0.0.1:8080 wget http://www.eicar.org/download/eicarcom2.zip -O /tmp/eicarcom2.zip

输出：

Outputconverted 'http://www.eicar.org/download/eicarcom2.zip' (ISO-8859-1) -> 'http://www.eicar.org/download/eicarcom2.zip' (UTF-8)
--2015-06-25 20:48:28--  http://www.eicar.org/download/eicarcom2.zip
Connecting to 127.0.0.1:8080... connected.
Proxy request sent, awaiting response... 403 Virus found by HAVP
2015-06-25 20:48:28 ERROR 403: Virus found by HAVP.

HAVP (with ClamAV) 再次发现病毒。

第 6 步 — 安装 Privoxy

到目前为止，我们已经配置了一个代理服务器来扫描网页中的病毒。 广告和跟踪 cookie 呢？ 在这一步中，我们将安装和配置 Privoxy。

使用以下命令安装 Privoxy：

sudo apt-get install privoxy

Privoxy 的配置位于文件 /etc/privoxy/config 中。 在开始使用 Privoxy 之前，我们需要设置两个参数。

在您喜欢的编辑器中打开配置文件。

sudo vi /etc/privoxy/config

现在取消注释并设置以下两个参数：

listen-address  127.0.0.1:8118

. . .

hostname your_server

参数 listen-address 确定在哪个 IP 和端口 privoxy 上运行。 默认值为localhost:8118； 我们将其更改为 127.0.0.1:8118。

参数 hostname 指定 Privoxy 运行和记录的主机； 将此设置为服务器的主机名或 DNS 地址。 它可以是任何有效的主机名。

现在，使用新配置重新启动 Privoxy。

sudo service privoxy restart

第 7 步 - 将 HAVP 链接到 Privoxy

HAVP 和 Privoxy 本质上都是 HTTP 代理服务器。 我们现在将 chain 这两个代理，这样，当您的客户端从 HAVP 请求网页时，它会将这个请求转发给 Privoxy。 Privoxy 将检索请求的网页，删除隐私威胁和广告，然后 HAVP 将进一步处理响应并删除病毒和恶意代码。

将 HAVP 配置文件加载到您喜欢的文本编辑器中：

sudo vi /etc/havp/havp.config

取消注释以下行（删除行首的 # 字符）并设置它们的值，如下所示。 Privoxy 在 IP 127.0.0.1 和端口 8118 上运行。

PARENTPROXY 127.0.0.1
PARENTPORT 8118

保存更改并退出文件。

重新启动 HAVP 以使更改生效：

sudo service havp restart

检查 HAVP 的错误日志，记下 Use parent proxy: 127.0.0.1:8118 消息。

sudo tail /var/log/havp/error.log

输出：

Output17/06/2015 12:57:37 === Starting HAVP Version: 0.92
17/06/2015 12:57:37 Running as user: havp, group: havp
17/06/2015 12:57:37 Use parent proxy: 127.0.0.1:8118
17/06/2015 12:57:37 --- Initializing Clamd Socket Scanner
17/06/2015 12:57:37 Clamd Socket Scanner passed EICAR virus test (Eicar-Test-Signature)
17/06/2015 12:57:37 --- All scanners initialized
17/06/2015 12:57:37 Process ID: 4646

我们的代理服务器配置现已完成。 让我们使用 EICAR 病毒测试再次对其进行测试。

http_proxy=127.0.0.1:8080 wget http://www.eicar.org/download/eicarcom2.zip -O /tmp/eicarcom2.zip

如果您的配置良好，您应该会再次看到 ERROR 403: Virus found by HAVP 消息。

第 8 步 — 为 OpenVPN 服务器设置 DNS 选项

虽然 OpenVPN Server 的默认配置足以满足我们的需求，但还可以对其进行更多改进。

在文本编辑器中加载 OpenVPN 服务器的配置文件：

sudo vi /etc/openvpn/server.conf

OpenVPN 默认配置为使用 OpenDNS 的服务器。 如果您想将其更改为使用 Google 的 DNS 服务器，请更改 dhcp-option DNS 参数，如下所示。

添加新行 push "register-dns"，某些 Windows 客户端可能需要它才能使用 DNS 服务器。

此外，添加新行 push "block-ipv6" 以在连接到 VPN 时阻止 IPv6。 （IPv6 流量可以绕过我们的 VPN 服务器。）

这部分应该是这样的：

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "register-dns"
push "block-ipv6"

如果要允许多个客户端连接到同一个 ovpn 文件，请取消注释以下行。 （这很方便，但并不安全！）

duplicate-cn

重新启动 OpenVPN 服务以使更改生效。

sudo service openvpn restart

第 9 步 — 配置您的透明代理

我们现在将设置我们的隐私服务器来拦截其客户端（您的浏览器）和互联网之间的 HTTP 流量。

启用数据包转发

为了让我们的服务器将 HTTP 流量转发到代理服务器，我们需要启用数据包转发。 您应该已经在 OpenVPN 设置教程中启用了它。

使用以下命令测试配置。

sudo sysctl -p

它应该显示更改后的参数，如下所示。 如果没有，请重新访问 OpenVPN 教程。

Outputnet.ipv4.ip_forward = 1

配置 UFW

我们需要将源自 OpenVPN 客户端的 HTTP 数据包转发到 HAVP。 为此，我们将使用 ufw。

首先，我们需要允许来自 OpenVPN 客户端的流量

sudo ufw allow in on tun0 from 10.8.0.0/24

在 OpenVPN 教程中，您应该更改了 /etc/ufw/before.rules 文件并为 OpenVPN 添加了一些规则。 现在我们将重新访问同一个文件并为透明代理配置端口重定向。

sudo vi /etc/ufw/before.rules

更改您在 OpenVPN 配置中添加的行，如下所示。 添加红色线条。

 # START OPENVPN RULES
 # NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# transparent proxy
-A PREROUTING -i tun+ -p tcp --dport 80 -j REDIRECT --to-port 8080
 # Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
 # END OPENVPN RULES

重新加载防火墙配置。

sudo ufw reload

检查 UFW 的状态：

sudo ufw status

输出：

OutputStatus: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
1194/udp                   ALLOW       Anywhere
Anywhere on tun0           ALLOW       10.8.0.0/24
22                         ALLOW       Anywhere (v6)
1194/udp                   ALLOW       Anywhere (v6)

启用 HAVP 的透明模式

在前面的步骤中，我们强制所有 HTTP 数据包通过 HAVP。 这种配置称为透明代理。

我们需要像这样配置HAVP。

sudo vi /etc/havp/havp.config

设置以下参数：

TRANSPARENT true

重启HAVP服务：

sudo service havp restart

我们的服务器现在可以使用了。

第 10 步 — 测试客户端配置

在您的客户端（Windows、OS X、平板电脑……）上，将您的客户端连接到您的 OpenVPN 服务器。 请注意，您可以使用与原始 OpenVPN 教程相同的 .ovpn 文件； 所有更改都在服务器端。

建立 VPN 连接后，您应该会在 OpenVPN 客户端日志中看到首选的 DNS 设置。 以下示例取自 IOS 客户端。

DNS Servers
    8.8.8.8
    8.8.4.4
Search Domains:

如果你使用 Tunnelblick，你可能会看到这样的一行：

Changed DNS ServerAddresses setting from '8.8.8.8 208.67.222.222 8.8.4.4' to '8.8.8.8 8.8.4.4'

要测试您的配置，请在浏览器中转到 EICAR 测试页面 并尝试下载 EICAR 测试文件。 您应该会看到 HAVP - Access Denied 页面。

• http://www.eicar.org/download/eicarcom2.zip
• http://www.eicar.org/85-0-Download.html

第 11 步 — 故障排除

本节将帮助您解决一些常见问题。

无法观看视频或使用我最喜欢的网站

Privoxy 可以配置为对加载太慢的站点不那么严格。 此行为在 user.action 配置文件中配置。

在您喜欢的文本编辑器中加载用户操作文件。

sudo vi /etc/privoxy/user.action

转到文件末尾并添加以下内容以及您想要的其他站点地址。

{ fragile -deanimate-gifs }
.googlevideo.com
.youtube.com
.imgur.com
.example.com

完成这些更改后，您无需重新启动 Privoxy。 但是，您应该清除浏览器的缓存并刷新几次。

如果您仍然遇到问题，请将列入白名单的域添加到 HAVP 白名单文件中。 如果主机名匹配，HAVP 将检查此文件并且不执行病毒扫描。

vi /etc/havp/whitelist

在文件末尾添加您的网站。

# Whitelist Windowsupdate, so RANGE is allowed too
*.microsoft.com/*
*.windowsupdate.com/*

*.youtube.com/*

浏览器在大量使用 Internet 时停止响应

如果您一次打开多个网页，您的服务器内存可能不足以让 HAVP 扫描您的所有请求。

您可以尝试增加 Droplet 的 RAM 和/或添加交换内存。 请参考 如何在 VPS 上配置虚拟内存（交换文件）一文。

请记住，在大多数情况下，为您的浏览体验添加 VPN 会增加一些延迟。

结论

学习本教程后，您将通过浏览隐私和安全将您的 VPN 使用提升到一个新的水平。