В последнее время использовать VPN стало популярно
(Если у вас нет сервера — не беда, появится)
Поговорим мы про приложение Outline — это проект дочерней компании jigsaw входящий в Google, компания специализируется на создании инструментов для обхода блокировок или повышения приватности, Outline — один из их проектов.
Технические вопросы (безопасности) обсудим в конце публикации, перейдем к инструкции.
Скачиваем всё необходимое
Для создание сервера VPN вам потребуется зайти на www.getoutline.org/en/home прокрутив ниже, выбрать «Get Outline Manager» и скачать подходящую вам версию.
Либо воспользоватся этими ссылками:
Пока у вас скачивается Outline Manager, установите клиент Outline на ваш телефон или компьютер (который планируется спрятать за VPN).
PS Внимание! Если вы планируете управлять вашим VPN с того же компьютера с которого и использовать VPN — скачайте оба приложения.
Создаем сервер
После запуска Outline Manager вы увидите что-то похожее на это:
Нажимаем Create an account
В этот момент — вы будете проходить регистрацию в хостинг-провайдере DigitalOcean, у вас запросят стандартные вопросы для регистрации и попросят ввести карту оплаты.
P.S. Вам подарят 10$, что позволит вам пользоватся сервисом два месяца полностью бесплатно.
После завершения регистрации вам станет доступен выбор страны нахождения вашего сервера:
Выбирать стоит ближайшую к вам страну.
Я выбрал — Amsterdam / Netherland, после выбора страны, пойдет создание вашего сервера и настройка, это не займет много времени
После завершения настройки, вы увидите вот такой экран:
Он вам сразу ответит на все вопросы про ваш сервер: Сколько трафика у вас осталось, сколько пользователей имеют доступ к вашему сервера, цена вашего сервера
Добавляем пользователей
Нажимаем «ADD Key» — отлично, вы создали нового пользователя, самое время отправить ему (или себе на телефон) ссылку для доступа к VPN.
Для этого нажимаем Share, получаем ссылку, отправляем её.
Для отправки ссылки — используйте безопасные каналы связи, чат сам с собой в Telegram — хорошо, заметки которые синхронизируются у вас между компьютером и телефоном — хорошо, почта на зарубежном хостере (google,apple) — нормально, ICQ/соц-сеть/Любой сервис из вашей страны (для РФ — yandex/rambler/mail.ru/icq) — плохо, очень плохо.
Выводы
Поздравляем, теперь у вас есть ваш личный VPN сервер за 5$ в месяц, используя приложение Outline Manager — вы можете смотреть потребление трафика на сервере, настраивать учетные записи пользователей.
А как там с безопасностью?
Все хорошо, данный VPN — использует протокол Shadowsocks который был создан еще в китае для обхода блокировок китайского фаервола, теперь поддерживается сообществом.
Сам VPN сервер представляет из себя два docker образа которые будут установлены на ваш сервер, другими словами, можно установить данный VPN на ваш уже существующий сервер без какой-либо опаски. Исходные коды проекта, естественно, доступны на Github.
1€
Если вы уже имеете свой сервер, или хотите использовать более дешевый хостинг вместо хостинга по умолчанию — digtalocean — можно установить Outline на любой доступный сервер.
Например на arubacloud, сервера в Италии стоят 1€ и они еще дают пробный период на два месяца… но для новичков я бы их не советовал, пинг от DigitalOcean намного лучше
Для настройки Outline на своём личном сервере — вам нужно промотать основной экран Outline Manager до конца вниз, до «Already have server», после клика вы получите Bash скрипт для исполнения на вашем (любом) сервере, запускаем скрипт, ждем завершения установки Docker и двум новых контейнеров. После завершения вы получите ключ для доступа по API, его надо обратно вставить в Outline Manager.
Таким нехитрым образом можно настроить Outline вообще на любом сервере, без привязки к какому-либо хостеру.
Комментарии (86)
shifttstas Автор
18.05.2018 12:10Уже разблокировали, да и тут интерфейс доблавление пользователей удобнее чем в скриптах для OpenVPN.
vconst
18.05.2018 12:37Точно разблокировали? Все подсети DO? Если так — то хорошая новость.
По словам пользователей этого сервиса, он частенько тормозит. GUI удобнее, но стоит самую малость прокачать скилл работы в консоли, как все становится очень просто.CheY
18.05.2018 16:14Нет, многие подсети по-прежнему заблокированы. Изначально мой дроплет с впном был во Франкфурте и попал в заблоченную подсеть. Попробовал floating ip, но все выделяемые ip тоже были заблочены. Перенёс дроплет в Нью-Йорк — аналогично. Попробовал Лондон — повезло, до туда щупальца РКН ещё не достали.
dmitry_dvm
18.05.2018 16:28+1Странно, прикупил там голландский сервачок, когда ДО уже был забанен и всё работало/работает. Может с айпишником повезло.
vconst
18.05.2018 16:47Тогда — ничего хорошего…
У меня остался один айпи, который в DO все еще не забанен. Но надежды на него мало, основным у меня VPS в Болгарии, там крутится OpenVPN, socks5 для Телеги, ShadowSocks и еще (простите меня, ребята из JB, я только учусь...) сервер активации для WS.TheIseAse
18.05.2018 20:19JB раздает студентам бесплатные подписки, www.jetbrains.com/student. Если есть почта в домене .edu, то даже скан студака отправлять не нужно)
vconst
18.05.2018 20:23Я знаю, но в итоге они точно также не получат денег, а я их все равно обману, тем или иным способом.
Andy_Big
18.05.2018 16:39На серверах в Амстердаме мне так и не удалось получить незаблокированный IP, пробовал раз 10. На серверах в Лондоне с первой же попытки получил доступный IP.
vconst
18.05.2018 16:54+1Меня дико бесит блокировка Scaleway, там один из самых простых и удобных образов для OpenVPN. После создания очередного аккаунта, поднимается временный web-server и в консоль выводится https адрес для скачивания *.ovpn, который действует полчаса или пока не скачают файл. В остальных случаях приходится возиться с sftp.
Andy_Big
18.05.2018 17:00+1Да, пробовал и Scaleway, но там мне так и не удалось получить незаблокированный IP. Да и OpenVPN клиент у меня на Андроиде почему-то время от времени слетает. Так что пришлось рыть инет в поисках информации по наиболее простой установке PPTP на Centos своими силами. Оказалось, что это очень просто.
vconst
18.05.2018 17:08Я, в итоге, остановился на ShadowSocks. Очень «легкий» клиент, практически не грузит процессор и скорость почти не уменьшается относительно открытого канала.
Andy_Big
18.05.2018 17:56Так-то и OpenVPN заметно не грузит и не уменьшает (по крайней мере мой канал 4G с его 6-15 мегабитами) :)
vconst
18.05.2018 17:58С OVPN скорость просядает раза в 2-3, а с SS — не больше 10%. Разница очень большая.
Andy_Big
18.05.2018 18:10У меня после подключения OpenVPN скорость или не меняется (WWW, FTP) или вырастает на 10-50% (торренты). Может быть, если бы у меня был канал с реальными 100 Мбит, то я бы и заметил падение скорости через OpenVPN :)
vconst
18.05.2018 18:21Я замечал падение скорости и на подключениях через wifi и через сотовую сеть, соотношение примерно одинаковое, впн заметно медленнее.
Andy_Big
18.05.2018 18:25Значит остается только предположить, что такой у Вас сервер впн.
vconst
18.05.2018 18:30У меня все на одном и том же vps крутится.
Andy_Big
18.05.2018 18:37Я пробовал на трех — один известный платный провайдер VPN, один мой физический арендуемый сервер на отечественной площадке и один VPS от DO. Все три ведут себя примерно одинаково — на торрентах скорость повышается, на всем остальном заметного влияния нет.
О, кстати, вспомнил такой момент — если тип соединения в настройках tcp, то скорость действительно падает, но вроде бы лучше пинг. Я столкнулся с этим когда только начинал пользоваться этим платным провайдером VPN.shifttstas Автор
18.05.2018 18:53Похоже все таки у вас либо медленный девайс либо потери пакетов у провайдера, тк обычно VPN может только немного добавлять % к трафику, и вместо 100 мегабит будет 80-90
Ещё не стоит забывать, что некоторые роутер почему-то не очень переваривали VPN туннели, так что я бы начал с проверки устройств.Andy_Big
18.05.2018 19:52На роутере я еще не поднимал VPN, вся информация по скоростям — с компов. Провайдер — Мегафон 4G.
shifttstas Автор
18.05.2018 20:08Лучше сравнивать на проводных провайдерах и на мощных устройствах. +мобильные операторы могут подрезать скорость на туннелях как одно время делала Yota
Andy_Big
18.05.2018 20:55Увы, проводных провайдеров в доступности нет, иначе бы я не платил бы бешеные деньги за тариф 100 ГБ при скорости 10 Мбит.
shifttstas Автор
18.05.2018 20:57тогда советую сравнить скорость еще с VPN на стандартных портах (443) /типы VPN которые притворяются обычным https (cisco any connect, shadowsocks) у циски есть аналог из мира опенсорца, можно нагуглить
krab90
20.05.2018 12:49Пробовали Wireguard? Тестировал на VScale.io у них с wireguard я не заметил ни дополнительных задержек по пингу, ни просадки по каналу в торренте.
Только с wireguard огромная проблема в клиентах, под андроид бета, под windows/macOS стороний от tunsafe с закрытыми исходниками, свои же клиенты (go и rust) от авторов wireguard под windows еще толком не завершены, под iOS не интересовался.
Почитав дискуссии автора tunsafe и авторов wireguard для себя сделал вывод что последние немного больны и помешаны на идеологии «все что связано с wireguard должно быть открыто и храниться только на нашем домене», а все что не подходит под эти пункты заведомо дырявое не безопасное и вообще вирусытрояны.
catanfa
18.05.2018 12:11https://windscribe.com вообще бесплатный, 10Гб трафика в месяц, для многих может подойти
shifttstas Автор
18.05.2018 12:20Ничего в этом мире не бывает бесплатного, если с вас не просят денег, значит товар это вы.
PS: есть тысейчас и 1 vpn провайдер, но на мой взгляд использовать их не безопасно — ваш трафик идёт непрост через кого и в договоре чаще всего написано, что они могут анализировать как хотят. + они могут легироваться ваш трафик, при использовании своего сервера, вы уверены, что ничего такого нет.
А ещё не стоит забывать, что РКН обещал блокировать VPN, вполне очевидно, что публичные сервисы первые пойдут в бан, частные найти намного сложнее и не уверен, что вообще есть (сейчас) техническая возможность это сделать.
Tetrodotoxin
18.05.2018 13:42Кому-нибудь удалось получить триал купон от arubacloud?
Два раза пробовал — ничего не приходит.
kuznet1
18.05.2018 14:26Такой комбайн пофункциональнее будет github.com/StreisandEffect/streisand/blob/master/README-ru.md
shifttstas Автор
18.05.2018 14:27Да, его обзор уже есть на хабре, но он не подходит под установку в дружественном пользователю интерфейсе
dmitry_dvm
18.05.2018 16:30У арубы есть пренеприятнейшая особенность. Если, положим, захотели вы снести одну впс и вместо нее выкатить новую, то будьте добры еще 1 евро, а про старый забудьте, т.к. он сразу списывается, а с нулевым балансом новую впс не создать.
ABATAPA
20.05.2018 03:58Я прекрасно у них удалённо гружусь с ISO (через Grub) в любой Live CD, переразбиваю «диск», LVM, и ставлю всё что душе угодно.
Andy_Big
18.05.2018 16:44Взять на DO сервер за 5$ и поднять на нем сервер PPTP — дело буквально 30-40 минут (с момента регистрации на DO и до момента подключения клиентского устройства) и не нужно никаких особых знаний Linux. Просто выполнить (скопировать-вставить) несколько команд и изменить несколько файлов. Зато на большинстве клиентских устройств ничего устанавливать не нужно, этот протокол поддерживается нативно :)
OpenVPN тоже вполне можно поднять, и это тоже не очень долго, но в нем все сложнее из-за необходимости генерировать сертификаты и устанавливать и настраивать клиента.shifttstas Автор
18.05.2018 17:18PPTP — не поддердживается уже как год на любых Apple устройствах, кроме того он не безопасен.
Andy_Big
18.05.2018 17:54Не знал про Apple, не пользуюсь никакими продуктами от них. Но на всех других устройствах, которыми я пользуюсь — телефоны с Андроид, роутеры, компы с Windows — поддерживается без сторонних приложений.
По безопасности — да, он гораздо менее безопасный, чем VPN с ключами, но сегодня актуальная цель для большинства, насколько я понимаю, это обход блокировок.shifttstas Автор
18.05.2018 17:55так надо сразу использовать метод который:
1) Безопасный
2) Удобный
3) Скрывает факт использования (маскировка)
Что бы уже дважды не вставать, а то завтра закупят DPI и приветAndy_Big
18.05.2018 18:03Ну вот по пункту 2, имеющему на сегодня наибольший приоритет, PPTP как раз выигрывает :)
Так-то у меня и OpenVPN поднят, но добавление нового клиента требует повозиться как с сервером, так и с клиентом гораздо дольше, чем PPTP. И этот параметр пока перевешивает для меня все остальные.shifttstas Автор
18.05.2018 18:04тогда уж лучше L2TP+IPSEC
CherryPah
18.05.2018 21:19Где столько процессоров потом на IPSEC найти, он ресурсы жрет как не в себя
vconst
18.05.2018 18:09Все зависит от того, как поднимать ВПН, если одним из скриптов с гитхаба, то все делается одной командой запуска скрипта.
Andy_Big
18.05.2018 18:11Поднимать — да, а добавлять клиентов?
vconst
18.05.2018 18:16github.com/Nyr/openvpn-install
Все одним скриптом, только выбрать опцию цифрой поле запуска.
faustxp
18.05.2018 17:18А есть такой клиент, что бы не VPN можно было бы вешать отдельные приложения. ДЛя винды и линукса.
Вот в андройде для этого есть ThunderVPNLaney1
18.05.2018 19:10в линуксе это можно легко сделать с помощью штатного механизма network namespaces. Правда сильно сомневаюсь, что к нему есть GUI клиент — гуй линуксоиды не любят)
accipiter
20.05.2018 11:08+1Уже есть скрипт. Все сделано с помощью маршрутизации и cgroup.
https://superuser.com/a/1048913
Прямая ссылка на скрипт
С помощью network namespaces не все так просто для GUI приложений, т.к. отвалится D-Bus. Это значит, что отвалятся всплывающие сообщения у такого приложения. Причина такого поведения в том, что D-Bus общается через unix domain сокет, который создан в abstract namespace (без соответствующего файла на FS). Такие сокеты ведут себя в network namespace также, как и loopback — для каждого namespace они индивидуальны. Это значит, что приложение, запущенное в network namespace, просто не сможет подключиться к D-Bus.
FeNUMe
18.05.2018 17:34Молодцы ребята, хороший способ «фарма» рефералов DO придумали.
shifttstas Автор
18.05.2018 17:50я думаю, что DO и валютой приплачивает что бы быть хостером по умолчанию а не реферальными бонусами =)
vconst
18.05.2018 17:50Мне кажется, для Гугла это несколько мелковато…
shifttstas Автор
18.05.2018 17:54Так это не сам гугл а его дочернее подразделение которое изначально рассчитано быть убыточным, а партнерка с хостером — способ выйти хотя бы в 0 — окупив зарплаты.
Chupaka
19.05.2018 01:57Тогда почему бы деньги пользователей не класть Гуглу в карман, а не ДО? :)
shifttstas Автор
19.05.2018 01:58Возможно гугл немного иначе позиционирует свою платформу, DO был всегда — место для разработчиков и pet-project
FeNUMe
18.05.2018 17:58Думаю это не официальный проект от гугла, а скорее разработка сотрудника-активиста, иначе бы использовали свой хостинг, а не конкурента.
fukkit
18.05.2018 19:32И что же, эта приблуда ни одного коннекта на гуглосервера не делает? Стареет гугол.
el777
18.05.2018 19:59Поднимал Outline. Все работает ок.
Несколько моментов:
Нужно брать любого мелкого зарубежного провайдера. Все крупные провайдеры будут быстро блокироваться.
- Крайне НЕ СОВЕТУЮ arubacloud.
Их переклинило, они потребовали какую-то допидентификацию от меня. Я даже ответить не успел, как они заблокировали и снесли мой сервер. Поэтому лучше найти другой нормальный хостинг — их достаточно.
kvaps
18.05.2018 21:47Прикольно, недавно писал сатью про похожую штуку: Pritunl — отличие в том, что Pritunl использует OpenVPN а не Shadowsocks.
В VPN проще завернуть весь трафик, но Shadowsocks должно быть менее затратный по ресурсам, в следствии чего более щедящий для заряда аккумулятора.
shifttstas Автор
18.05.2018 22:48+1Отчасти после вашего поста я решил написать свой =) в решении на openvpn/pritunl мне не очень нравится то, что слишком много всего нужно на сервер свой ставить и при смене технологии (ну например завтра меняем openvpn или shadowsocks на что то более лучшее/модное) — вычищать все хвосты из системы очень долго и муторно. Docker в этом плане намного удобнее, все компактно внутри пакета, удалил 1 образ и весь мусор пропал…
Arik
19.05.2018 10:48Кто нибудь использовал для VPN какие «NAT VPS»(?) т.е. дают VPS c общим IPv4 (личные порты) или личными IPv6? стоимость таких VPS 5-15$ в год(!!!). т.е. сразу проблемы вижу: 1. Общий публичный IPv4. 2. Нестандартный порт 3. Сложно поднять VPN по ipv6? или какие нюансы есть по такому подключению?
shifttstas Автор
19.05.2018 16:17А какой смысл иметь сервер за NAT?
Arik
19.05.2018 16:36а почему нет? если не нужен 80 порт? или это небезопасно?
shifttstas Автор
19.05.2018 18:14а как вы будете порты перенаправлять? если хостер не предоставляет такую возможность — вы не достучитесь до сервера. Намного логичнее взять сервер у любого хостера за 1$ месяц и использовать его
Пример такого хостера был бы хорошо получитьaccipiter
20.05.2018 12:27Сразу скажу, я не никогда арендовал такой VPS. Но, насколько я понял, хостер пробрасывает некоторый диапазон портов к вашему VPS. И выделяют IPv6 адрес.
Примеры серверов уже написали ниже.
Zettabyte
19.05.2018 16:17Сам не пробовал, но встречал зарубежных пользователей VPN с такими ВПС-ами, так, что судя по всему, при наличии рук всё работает. Правда у них вряд ли Outline.
Что касается цены, то на LowEndSpirit и Gullo можно взять вообще за 3 евро/долл. в год, а Гулло время от времени ещё и скидки даёт.
Konkase
19.05.2018 15:17+1AlgoVPN поддерживает куда больше провайдеров и ну нужно устанавливать доп софта на клиентские девайсы
autuna
20.05.2018 03:27Я, наверное, самый ленивый из всего комьюнити. 8-)
На aruba сделал виртуалку под FreeBSD, на телефоне поставил ConnectBot, на домашнем компе Putty. Настроил штатными средствами обоих клиентов SSH туннелирование и этим ограничился.
P.S. Сорри заранее, если вдруг кому это оффтопом покажется.
vconst
Только проблема в том, что DO почти полностью заблокирован роскомпозором, а для остальных vps-провайдеров надо таки лезть в консоль и запускать скрипт, что не проще, чем установка OpenVPN одной командой запуска скрипта.
EvilHedgehog
У outline из коробки человеческое управление пользователями и более дружелюбные к обычным смертным клиенты, как для компьютеров так и для телефончиков.
Для собственных нужд не особо актуально, но друзьям-родственникам раздавать удобнее.
kalininmr
вроде уже сняли блокировки. а так да, у меня были проблемы с сервером пару дней.
lostpassword
Посмотрите Vultr. 5 долларов в месяц, правда — но OpenVPN доступен из коробки. Просто выбираете образ сервера «OpenVPN», и через 15 минут у вас уже есть IP, логин и пароль для входа.
Я был приятно удивлён)
vconst
Выглядит интересно, но, судя вот всему — там OpenVPN AS, а это значит, что будет только две бесплатные лицензии, каждая следующая — по десять баксов. Я лучше сам.
lostpassword
Да, только две лицензии, Вы правы.