К сожалению, интернет давно перестал быть открытым для всех. То владельцы сайтов, то хостеры, то органы различных стран блокируют ресурсы. Поэтому и VPN из области чего-то малоизвестного и необходимого исключительно для красноглазых параноиков стал термином "на слуху" и сейчас, даже бабушки с дедушками, не хватаются за различные бытовые предметы, услышав эту аббревиатуру.
Покопался здесь в поиске и не нашел аналогичной статьи, поэтому возьму на себя смелость написать о наиболее простом способе поднять собственный OpenVPN сервер.
Многие VPS хостеры используют для предоставления хостинга контрольную панель VMmanager. У неё есть в числе фич так называемые "рецепты" и в том числе рецепт OpenVPN. Чтобы получить полностью готовый и настроенный для работы OpenVPN сервер вам достаточно заказать VPS по минимальному тарифу (для обычного сёрфинга по интернет, обычно хватает 0.5 Гб памяти и 5-10 Гб места на диске),например, у нас https://www.robovps.biz/vps/ , выбрать подходящую операционную систему (Centos, Ubuntu, Debian и другие Linux подобные) и выбрать рецепт OpenVPN. Когда сервер активируется, вы получите доступ к нему по SSH с помощью выданного логина/пароля и сможете скачать подготовленные сертификаты и файл для импорта .ovpn.
Файлы будут расположены в /etc/openvpn (в Ubuntu это будет папка /etc/openvpn/easy-rsa/keys): сертификат ca.crt и server.crt и ключ server.key для пользователя client1. Файл для импорта можно будет скачать тут /etc/openvpn/client/client.ovpn
Скачать файлы можно с помощью утилиты pscp (входит в комплект поставки популярного SSH клиента Putty) либо, например с помощью программы WinSCP.
Комментарии (33)
lolhunter
07.08.2022 14:52+3Хоть бы статью норм написали. Готовых скриптов ворох и даже на хабре попадалось пяток.
Не проще написать статью, как pritunl настроить, например. Или любую другую панельку удобную "для чайников"?
Veratam
07.08.2022 14:58+4А почему не WireGuard? Сейчас его рекомендуют как легковесную, быструю и безопасную замену OpenVPN.
GennPen
07.08.2022 15:17+2WG еще и настраивается на порядок проще чем OVPN, к тому же нет возни с сертификатами при добавлении/удалении пользователей.
pfr46
07.08.2022 18:59Для openvpn давно консольный скрипт написали - только кнопки дави. Устанавливает, удаляет, а так же по кнопке добавляет и удаляет юзера с генерацией всех файлов.
rustelekom Автор
07.08.2022 19:08Это же: Set up your own IPsec VPN server in just a few minutes, with IPsec/L2TP, Cisco IPsec and IKEv2.
Там правда написано, что Optional: Install WireGuard and/or OpenVPN on the same server. но я хз, что имеется в виду.
И ещё раз, это ваши скрипты, "не такие как надо скрипты" :). Они размещены чёрт те знает где, их разработчики чёрт те знает кто и как они будут относиться к пользователям из РФ - хз. Вполне, возможно, что как некоторые, которые коды вирусов стали вставлять в свои библиотеки.
А тут скрипт от АО ISPsystem - они в РФ и дистро у них в РФ и сами они в РФ и отношение у них ко всем нейтральное.
Delion
07.08.2022 15:47-4Ну, 1.1.1.1 использовал Wireguard, и его же первым поломали.
Veratam
07.08.2022 15:50+3Проясните, пожалуйста, кого поломали, и как это относится безопасности Wireguard.
Delion
07.08.2022 15:54+2Поломал РКН. Относится не к безопасности, а к относительно лёгкой блокировке путём выявления рукопожатия.
GennPen
07.08.2022 16:38Вероятно, "поломали" потому что работал на стандартном порту.
F0iL
07.08.2022 17:19Хендшейк у него очень примечательный, а обфускации вообще никакой не предусмотрено. Поэтому можно элементарно выявить и заблокировать что на стандартном, что на нестандартном порту.
GennPen
07.08.2022 17:36А PresharedKey влияет на это? А то везде пишут что только повышает безопасность.
F0iL
07.08.2022 19:41Влияет формат пакетов самого протокола (шифруются ли заголовки, есть ли рандомизация длины пакета, и т.д.) и алгоритм хендшейка. Разработчики WireGuard изначально не ставили цели защиты от обнаружения, поэтому получилось то что получилось.
GennPen
07.08.2022 16:24А причем тут 1.1.1.1? Если вы про DNS который указывается клиенту при подключении, то можно указать любой, не обязательно 1.1.1.1.
Hidden text
[Interface] PrivateKey = ******** Address = 10.10.10.5/32 DNS = 8.8.8.8, 1.1.1.1zikasak
07.08.2022 16:26+11.1.1.1 это еще сервис Cloudflare WARP. Для подключения он использует wireguard
rustelekom Автор
07.08.2022 15:39+1Да конечно, можно найти множество статей и множество скриптов для того, чтобы организовать VPN на своём сервере. К примеру Amnezia была популярна одно время.
Вот только, нам, как хостерам, приходится потом разбираться с клиентами: почему открываются только заблокированные сайты, почему сайты не открываются и еще миллионы почему.
В статье описал то, что работает из коробки без танцев с бубном для тех, которым нужно просто иметь возможность ходить туда, куда их почему-то пускать на хотят. И работает не только у нас, но и у всех хостеров использующих ту же панель управления.
Rastler
07.08.2022 16:06Я бы сделал ставку на ipsec, его будут массово блокировать последним, много энтерпрайза используют. Открытая реализация StrongSwan
Veratam
07.08.2022 16:45Очень сложный в установке и настройке. Точно не понятно, как сделать безопасную конфигурацию, и большая поверхность атаки для поиска уязвимостей.
Настроил себе StrongSwan пару лет назад на DigitalOcen, сделал аутентификацию по сертификатам. Ещё привязал сервер к домену, т.к. без домена настроить было нельзя. При очередном обновлении iOS на Айфоне работа VPN сломалась. Что там и где сломалось — не понятно, намного проще было всё удалить и перейти на что-нибудь другое.
Бесшовного перехода между клиентскими IP добиться не удалось, сколько я бы его ни настраивал. При смене клиентского IP приходилось вручную переподключаться. В некоторых публичных Wi-Fi сетях не работал.
Возможно, его и правда будут блокировать последним, но у него ещё много проблем. Да и мне кажется, кое-где энтерпрайз уже начинает на Wireguard переходить.
shark14
07.08.2022 17:11Не сказал бы, что очень сложный (хотя и не для домохозяек, это да).
Я полгода назад где-то развернул себе VPN по этой инструкции https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-20-04 (при этом хостится все не на DO, а вообще на Vultr, где в числе прочего принимается оплата криптовалютой). Без домена все отлично работает и во многих ОС протокол нативно поддерживается (в частности, в Windows, Mac OS, iOS), правда, в винде заработало не за 5 минут и пришлось чуть-чуть повозиться с добавлением сертификата.
Rastler
07.08.2022 17:52Это да, надо примерно представлять как устроен ipsec. Сложного ничего нет, на сайте примеры хорошие. На счёт роуминга, для этого нужно использовать MOBIKE https://docs.strongswan.org/docs/5.9/features/mobike.html в последних версиях strongswan по-умолчанию. Так же лучше настраивать vici-интефейсами, а не legacy.
randomsimplenumber
07.08.2022 16:16+4Если это руководство для чайников - не хватает картинок, что где нажимать на сервере и что на клиенте. Я серьёзно.
rustelekom Автор
07.08.2022 16:35А не надо ничего нажимать на сервере. Всё ж готовое, скачать только файлы.
А на ПК - скачать штатный клиент openvpn, установить и импортировать файл .ovpn - будет работать.
hssergey
07.08.2022 16:26Использую https://hub.docker.com/r/kylemanna/openvpn/ - очень удобно - ставится на сервере в пару команд и позволяет генерировать .ovpn файлы для клиентов.
ganzmavag
07.08.2022 16:30+1Пользуясь случаем, такой вопрос всегда интересовал. Вы предоставляете сервер в Германии, кто-то берет его, ставит VPN и начинает качать что-то нарушающее авторские права. Что происходит дальше? Вам же должна жалоба сразу прилететь?
rustelekom Автор
07.08.2022 16:42+1И прилетает, мы запрашиваем у клиента удаление файла и до следующего раза всё устаканивается. На самом деле прилетает не всем, не всегда и, в основном, когда оставляют файлы на раздаче. Так что если не раздавать, то особых проблем не возникнет.
ganzmavag
07.08.2022 16:58Спасибо, я думал там жестче гораздо.
rustelekom Автор
07.08.2022 17:05Ну как-то читал, что обычного пользователя провайдера в Германии штрафанули на тысячу с лишним евро за скачивание. Но:
а) это я читал в каком-то СМИ - а им верить нельзя.
б) штрафы такие существуют, но об их применении я ничего не слышал.
garbagecollected
07.08.2022 16:33+1Запомнил ссылку наизусть https://git.io/vpn выручает не первый год.
mayorovp
Это что я прочитал сейчас? В комплект Putty входит утилита pscp, а просто scp надо искать в комплекте OpenSSH (предустановлен на свежих виндах)