- 212
- 380
- 9 Ноя 2016
Привет всем. Решил написать статью о VPN для новичков. В этой статье я в сжатой форме постарался объяснить, что такое VPN, зачем он нужен, описал клиенты OpenVPN под разные ОС. Коснулся такой темы как "Бесплатные VPN vs Свой VPN-server vs Покупной VPN", поскольку часто вижу вопросы об этом на форуме. Показал, как самому на собственном сервере можно поднять VPN (OpenVPN) на реальном примере - с его первичной настройкой и рассмотрением проблем, связанных с анонимной покупкой сервера до самого процесса поднятия OpenVPN вручную или хорошим, автоматическим скриптом.
Хотел небольшую статью, но получилось как всегда объемно. По сути она состоит из двух больших частей: аренды VPS и поднятия OpenVPN сервера. Эти части, по хорошему, можно было бы разделить на две отдельные статьи, ибо они не сильно друг от друга зависят, да вот что-то не решился.
Надеюсь на благодарность, в виде лайков, за старания.
Хотел небольшую статью, но получилось как всегда объемно. По сути она состоит из двух больших частей: аренды VPS и поднятия OpenVPN сервера. Эти части, по хорошему, можно было бы разделить на две отдельные статьи, ибо они не сильно друг от друга зависят, да вот что-то не решился.
Что такое VPN и для чего он нужен.
VPN расшифровывается как Virtual Private Network (Виртуальная Частная Сеть). Это технология, которая создает виртуальный защищенный канал (или туннель) между вашим устройством (компьютер/смартфон/планшет) и Интернетом.
VPN - это некий сервис, который обычно работает на удаленной машине (сервере).
Зачем нужен VPN
VPN обычно используют разные предприятия и организации, что бы объеденить разные её филиалы или удаленных пользователей, которые находятся физически далеко друг от друга, в одну сеть. Но нам интересно не это.
VPN позволяет выходить в сеть от пользователя с другим IP адресом, возможно, другой страны, что дает возможность обходить разного рода блокировки (на рутрекер сможете зайди или в ваш любимый ВК, если заблокируют и его) или воспользоваться ресурсами, которые доступны только для пользователей определенных стран (допустим существует сайт, который доступен только для пользователей Германии).
Также, если ваш провайдер не предоставляет вам статический IP адрес, VPN может быть использован для создания такого выделенного IP.
Поскольку VPN создает зашифрованный криптостойким алгоритмом туннель, это позволяет послать нахуй сразу несколько категорий потенциально опасных для нас и нашего дела существ - провайдеров, ментов (гос-во), хакеров и конечный ресурс (прим. сайт в интернете).
Для нас VPN является отличным средством анонимизации и защиты нашего траффика от провайдера и самых разных SleepWalker'ов.
Использование VPN, если так можно сказать, почти обязательно для каждого более-менее вменяемого юзера. Причем речь не только об около-криминале, VPN неплохо бы использовать и в вашей повседневной жизни. Что уж говорить об остальных категориях пользователей, например, которое посещают Gerki.pw.
VPN будет скрывать от вашего провайдера ресурсы, которые вы посещаете. А от ресурсов, которые вы посещаете, VPN будет скрывать ваш реальный IP адрес.
VPN часто используется как средство для сокрытия Tor-траффика от вашего провайдера, ведь запуская VPN, а затем Tor Браузер, ваш трафик имеет цепь VPN -> Tor, что означает, что факт использования Tor скрыт от провайдера, в ваш настоящий IP адрес не палится перед первой (входной) нодой сети Tor.
Описано в сжатой форме. За остальным курите интернеты.
Популярные VPN протоколы.
Существует множество разных протоколов VPN.
Здесь я постарался сравнить самые популярные и используемые из них.
Начнем с хорошего.
OpenVPN - это твой бро. Это протокол с открытым исходным кодом, использующий библиоеку OpenSSL - поддерживает большое количество шифров, очень безопасный, достаточно гибкий в настройке, может работать на любом порту, быстрый по скорости. Для работы необходимо стороннее ПО (клиенты OpenVPN под разные ОС, об этом ниже). Клиентский файл .ovpn может использоваться на любой ОС, в том числе и мобильных. Везде рекомендую вам именно OpenVPN.
IKEv2 - Тоже очень неплохой протокол с очень высокой степенью защиты, быстрый по скорости. Один из немногих протоколов, поддерживающий устройства Blackberry, но сам по себе поддерживает достаточно мало платформ. Этот протокол встретишь не так часто в VPN сервисаХ. в отличии от OpenVPN или L2TP. Исходный код не открыт, а это потенциально небезопасно.
PPTP - Этот протокол достаточно старый, один из самых первых. Быстрый по скорости и легкий в настройке, поддерживается почти всеми ОС, однако очень уязвимый и совершенно небезопасный. Несколько раз взламывался спецслужбами. Этот протокол использовать крайне не рекомендуется за исключением случаев, где вам не нужна защита. Это юзать не нужно ни в коем случае!
L2TP/IPsec - Уже лучше, чем PPTP. L2TP также поддерживается многими ОС, в том числе и мобильными и тоже достаточно прост в настройке. IPsec обеспечивает более стойкое шифрование, чем PPTP. Однако, L2TP/IPsec медленнее, чем PPTP или OpenVPN. Не обходит Фаерволлы.
SSTP - Протокол от Microsoft. SSTP с хорошим, стойким шифрованием, доступен только для операционных систем Windows. Как и OpenVPN, позволяет обходить Firewall. Проще в настройке, чем OpenVPN. Без открытого исходного кода, поэтому OpenVPN лучше.
Вывод:
Если есть возможность, использовать лучше только OpenVPN из-за открытого исходного кода, безопасности и относительной скорости. IKEv2 хороший протокол, безопасный, быстрый, стабильный, но с закрытым исходным кодом. L2TP/IPsec можно использовать вместо PPTP, а PPTP использовать вовсе не рекомендую. SSTP доступен только для Винды, тоже не очень рекомендую.
Если интересует больше подробностей - гуглите и читайте.
VPN расшифровывается как Virtual Private Network (Виртуальная Частная Сеть). Это технология, которая создает виртуальный защищенный канал (или туннель) между вашим устройством (компьютер/смартфон/планшет) и Интернетом.
VPN - это некий сервис, который обычно работает на удаленной машине (сервере).
Зачем нужен VPN
VPN обычно используют разные предприятия и организации, что бы объеденить разные её филиалы или удаленных пользователей, которые находятся физически далеко друг от друга, в одну сеть. Но нам интересно не это.
VPN позволяет выходить в сеть от пользователя с другим IP адресом, возможно, другой страны, что дает возможность обходить разного рода блокировки (на рутрекер сможете зайди или в ваш любимый ВК, если заблокируют и его) или воспользоваться ресурсами, которые доступны только для пользователей определенных стран (допустим существует сайт, который доступен только для пользователей Германии).
Также, если ваш провайдер не предоставляет вам статический IP адрес, VPN может быть использован для создания такого выделенного IP.
Поскольку VPN создает зашифрованный криптостойким алгоритмом туннель, это позволяет послать нахуй сразу несколько категорий потенциально опасных для нас и нашего дела существ - провайдеров, ментов (гос-во), хакеров и конечный ресурс (прим. сайт в интернете).
Для нас VPN является отличным средством анонимизации и защиты нашего траффика от провайдера и самых разных SleepWalker'ов.
Использование VPN, если так можно сказать, почти обязательно для каждого более-менее вменяемого юзера. Причем речь не только об около-криминале, VPN неплохо бы использовать и в вашей повседневной жизни. Что уж говорить об остальных категориях пользователей, например, которое посещают Gerki.pw.
VPN будет скрывать от вашего провайдера ресурсы, которые вы посещаете. А от ресурсов, которые вы посещаете, VPN будет скрывать ваш реальный IP адрес.
VPN часто используется как средство для сокрытия Tor-траффика от вашего провайдера, ведь запуская VPN, а затем Tor Браузер, ваш трафик имеет цепь VPN -> Tor, что означает, что факт использования Tor скрыт от провайдера, в ваш настоящий IP адрес не палится перед первой (входной) нодой сети Tor.
Описано в сжатой форме. За остальным курите интернеты.
Популярные VPN протоколы.
Существует множество разных протоколов VPN.
Здесь я постарался сравнить самые популярные и используемые из них.
Начнем с хорошего.
OpenVPN - это твой бро. Это протокол с открытым исходным кодом, использующий библиоеку OpenSSL - поддерживает большое количество шифров, очень безопасный, достаточно гибкий в настройке, может работать на любом порту, быстрый по скорости. Для работы необходимо стороннее ПО (клиенты OpenVPN под разные ОС, об этом ниже). Клиентский файл .ovpn может использоваться на любой ОС, в том числе и мобильных. Везде рекомендую вам именно OpenVPN.
IKEv2 - Тоже очень неплохой протокол с очень высокой степенью защиты, быстрый по скорости. Один из немногих протоколов, поддерживающий устройства Blackberry, но сам по себе поддерживает достаточно мало платформ. Этот протокол встретишь не так часто в VPN сервисаХ. в отличии от OpenVPN или L2TP. Исходный код не открыт, а это потенциально небезопасно.
PPTP - Этот протокол достаточно старый, один из самых первых. Быстрый по скорости и легкий в настройке, поддерживается почти всеми ОС, однако очень уязвимый и совершенно небезопасный. Несколько раз взламывался спецслужбами. Этот протокол использовать крайне не рекомендуется за исключением случаев, где вам не нужна защита. Это юзать не нужно ни в коем случае!
L2TP/IPsec - Уже лучше, чем PPTP. L2TP также поддерживается многими ОС, в том числе и мобильными и тоже достаточно прост в настройке. IPsec обеспечивает более стойкое шифрование, чем PPTP. Однако, L2TP/IPsec медленнее, чем PPTP или OpenVPN. Не обходит Фаерволлы.
SSTP - Протокол от Microsoft. SSTP с хорошим, стойким шифрованием, доступен только для операционных систем Windows. Как и OpenVPN, позволяет обходить Firewall. Проще в настройке, чем OpenVPN. Без открытого исходного кода, поэтому OpenVPN лучше.
Вывод:
Если есть возможность, использовать лучше только OpenVPN из-за открытого исходного кода, безопасности и относительной скорости. IKEv2 хороший протокол, безопасный, быстрый, стабильный, но с закрытым исходным кодом. L2TP/IPsec можно использовать вместо PPTP, а PPTP использовать вовсе не рекомендую. SSTP доступен только для Винды, тоже не очень рекомендую.
Если интересует больше подробностей - гуглите и читайте.
Я часто вижу вопросы на эту тему, она популярна.
Посему решил разобрать этот вопрос в данной статье.
Итак, что же лучше?
Бесплатные VPN, предоставляемые разными сервисами, свой VPN, поднятый самостоятельно на собственном сервере или платные VPN-сервисы?
Если вам нужен VPN срочно, быстро, здесь и сейчас и у вас нет оформленной подписки на каком-то VPN-сервисе, а своего сервера нет и подавно - тогда можете воспользоваться бесплатными VPN. Но затея, конечно, сомнительная.
Я знаю только два сервиса, предоставляющих бесплатный VPN:
1) Для просмотра ссылки Войдиили Зарегистрируйся
2) Для просмотра ссылки Войдиили Зарегистрируйся
Все просто. Идем на сайты, скачиваем конфигурационный файл OpenVPN или получаем инструкцию по подключению, если вы используете другой VPN протокол.
Конфигурационный файл OpenVPN (с расширением .ovpn) нужно "скормить" вашему OpenVPN клиенту (о клиентах я написал ниже).
В чем приимущество бесплатных VPN?
Очевидно, что сама по себе бесплатность является плюсом. Также то, что такими серверами пользуются большое количество людей, прибавляет анонимности. На этом его преимущества заканчиваются.
Данные VPN очень нестабильные. Часто отваливаются. Очень медленные. Использовать их я бы рекомендовал, только если нужно срочно для чего-то и нет других возможностей. Но лучше что бы у вас не было таких ситуаций. Не исключено, что на таких серверах ведутся логи. Да и что на этих серверах ЕЩЕ происходит - никому не известно.
Для долгосрочного использования и по важным делам использовать крайне не рекомендую.
Можно воспользоваться собственным VPN.
Нужно лишь купить сервер в интернете, зайти на него и поднять там OpenVPN по инструкции.
По сравнению с платными VPN-сервисами, свой собственный VPN выходит еще дешевле. Арендовать VPS (Virtual Private Server) можно чуть ли не за 2-3$/месяц в интернете. Что, по-моему, достаточно дешево - нужно лишь поискать.
Конечно же, свой VPN имеет и другие приимущества. Например, у вас будет root-доступ к серверу, поэтому вы можете отключить логирование и 100% быть уверенными в том, что логирование не ведется. В отличии от не своего VPN (бесплатные или платные), где у вас нет root-доступа, а это значит, что вы не можете никак быть уверенны в том, что логирование отключено, как бы вас не убеждали в этом эти сервисы. Вы сам себе хозяин на сервере. Это ваш VPN.
В отличии от бесплатных VPN, свой сервер будет работать гараздо быстрее и стабильнее. Это очень весомый плюс.
Также, поскольку у вас будет свой собственный сервер, туда можно прикрутить что-нибудь помимо OpenVPN, какой-нибудь другой сервис. Например, веб-сервер и разместить там небольшой сайт. Или еще какую ерундень поставить. Или можно сделать ее Tor-нодой, если провайдер разрешает. Tor relay разрешают чаще чем Tor Exit Node (выходную ноду).
Однако, существует проблема, что на сервере будете находиться вы и только вы один (если вы, конечно, не дадите использовать свой VPN еще пару сотен человек, но тогда и сервер нужен будет мощнее). Такой проблемы нет у бесплатных или платных VPN.
Еще одним минусом является то, что не каждый способен поднять себе VPN. Кто-то может плохо разбираться в IT и ему эти инструкции будут казаться совершенно дикими и непонятными. А кто-то будет совершенно не понимать что он делает вообще, это тоже не хорошо.
В общем, настоятельно рекомендую использовать.
Можно воспользоваться услугами платных VPN сервисов
которые тоже относительно недорогие (в среднем 5-12$/месяц).
Такие сервисы нужно искать, конечно же, в интернете.
Большинство из них принимают к оплате Bitcoin, что несомненно круто.
Что-то конкретное рекомендовать не буду, но есть ряд VPN-сервисов, которые постоянно мелькают:
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Все вышеперечисленные сервисы принимают к оплате Bitcoin (на момент написания статьи). Некоторые даже принимают другие криптовалюты.
Я детально не изучал каждый из этих сервисов, но они предлагают самые разные решения. Разные VPN протоколы, под разные десктопные и мобильные ОС. У многих есть свой OpenVPN клиент под какую-то операционную систему, но пользоваться их клиентами не очень рекомендуется из соображений безопасности (об этом ниже).
Все просто. Регистрируетесь и платите за месяц (или год, что выходит дешевле), скачиваете конфигурационный факл OpenVPN (.ovpn), скармливаете его вашему OpenVPN клиенту и всё, у вас будет VPN. Если у вас не OpenVPN, то читаете инструкцию на сайте сервиса по подключению с другим протоколом. Благо на этих сайтах у них хорошие инструкции и все предельной просто и понятно.
Из преимуществ можно выделить то, что каждый сервис предлагает сервера во многих разных странах, которые доступны вам. Между этими странами можно переключаться, вручную с .ovpn конфигами или как-то автоматически, если эта фича реализованна в их клиенте. Тогда как на своем собственном сервере вы привязаны к одной стране, одному IP адресу. Не понравилась одна страна - переключились на другую. Скажу от себя, что фича хоть и полезная, но какая-то сомнительная.
Говорить про то, что эти сервера намного стабильнее, надежнее и быстрее по сравнению с "бесплатным" решением, я думаю не нужно. Доверие к платным сервисам тоже как-то больше, чем к беслпатным VPNам, хоть все равно нет гарантий.
По сранению со своим собственным сервером, у вас нет root-доступа, посему контроллировать процессы, которые происходят внутри вы не можете. Это значит, что никаких гарантий того, что логирование отключено, у вас нет.
Хотелось бы верить, что логирование отключено и платные сервисы не пиздят своим клиентам. Я думаю во многих случаях так и есть, но все зависит от страны наверное. Где-то могут и не принуждать включать логирование, это значит, что сервису ничего не будемт мешать сделать это.
По поводу выбора VPN сервиса, есть Для просмотра ссылки Войдиили Зарегистрируйся, где автор сравнивает большое количество разных VPN сервисов по разным критериям. Можете почитать.
Есть версия с Для просмотра ссылки Войдиили Зарегистрируйся.
Есть версия с более Для просмотра ссылки Войдиили Зарегистрируйся.
Немного про страны и прочее:
Когда вы выбираете себе VPN сервис или VPS, обращайте внимание на то, где зарегистрирована фирма представляющая VPN, а также на то, в каких странах расположены их сервера. Про выбор VPS тоже самое.
Юридический момент в этом деле важен, но здесь я вам не помощник.
Могу сказать лишь то, что использовать VPN расположенный в стране, где вы совершаете преступление, так себе затея. Так что, если вы работаете против России, заказывать сервера в этой стране или пользоваться услугами Российского VPN сервиса КРАЙНЕ нелогично.
Выбираете сервис или VPS - смотрите где расположены сервера, где зарегистрирован сервис или хостер, читайте политику конфиденциальности.
На последок хотелось бы немного коснуться такой темы, как VPN-расширения в браузерах, которые на сегодняшний день очень популярны. Ну это полноценное говно, которое не нужно использовать ни в коем случаи для более-менее серьезных дел, где требуется анонимность. Для домохозяек может подойти для обхода блокировки какого-нибудь сайта.
Посему решил разобрать этот вопрос в данной статье.
Итак, что же лучше?
Бесплатные VPN, предоставляемые разными сервисами, свой VPN, поднятый самостоятельно на собственном сервере или платные VPN-сервисы?
Если вам нужен VPN срочно, быстро, здесь и сейчас и у вас нет оформленной подписки на каком-то VPN-сервисе, а своего сервера нет и подавно - тогда можете воспользоваться бесплатными VPN. Но затея, конечно, сомнительная.
Я знаю только два сервиса, предоставляющих бесплатный VPN:
1) Для просмотра ссылки Войди
2) Для просмотра ссылки Войди
Все просто. Идем на сайты, скачиваем конфигурационный файл OpenVPN или получаем инструкцию по подключению, если вы используете другой VPN протокол.
Конфигурационный файл OpenVPN (с расширением .ovpn) нужно "скормить" вашему OpenVPN клиенту (о клиентах я написал ниже).
В чем приимущество бесплатных VPN?
Очевидно, что сама по себе бесплатность является плюсом. Также то, что такими серверами пользуются большое количество людей, прибавляет анонимности. На этом его преимущества заканчиваются.
Данные VPN очень нестабильные. Часто отваливаются. Очень медленные. Использовать их я бы рекомендовал, только если нужно срочно для чего-то и нет других возможностей. Но лучше что бы у вас не было таких ситуаций. Не исключено, что на таких серверах ведутся логи. Да и что на этих серверах ЕЩЕ происходит - никому не известно.
Для долгосрочного использования и по важным делам использовать крайне не рекомендую.
Можно воспользоваться собственным VPN.
Нужно лишь купить сервер в интернете, зайти на него и поднять там OpenVPN по инструкции.
По сравнению с платными VPN-сервисами, свой собственный VPN выходит еще дешевле. Арендовать VPS (Virtual Private Server) можно чуть ли не за 2-3$/месяц в интернете. Что, по-моему, достаточно дешево - нужно лишь поискать.
Конечно же, свой VPN имеет и другие приимущества. Например, у вас будет root-доступ к серверу, поэтому вы можете отключить логирование и 100% быть уверенными в том, что логирование не ведется. В отличии от не своего VPN (бесплатные или платные), где у вас нет root-доступа, а это значит, что вы не можете никак быть уверенны в том, что логирование отключено, как бы вас не убеждали в этом эти сервисы. Вы сам себе хозяин на сервере. Это ваш VPN.
В отличии от бесплатных VPN, свой сервер будет работать гараздо быстрее и стабильнее. Это очень весомый плюс.
Также, поскольку у вас будет свой собственный сервер, туда можно прикрутить что-нибудь помимо OpenVPN, какой-нибудь другой сервис. Например, веб-сервер и разместить там небольшой сайт. Или еще какую ерундень поставить. Или можно сделать ее Tor-нодой, если провайдер разрешает. Tor relay разрешают чаще чем Tor Exit Node (выходную ноду).
Однако, существует проблема, что на сервере будете находиться вы и только вы один (если вы, конечно, не дадите использовать свой VPN еще пару сотен человек, но тогда и сервер нужен будет мощнее). Такой проблемы нет у бесплатных или платных VPN.
Еще одним минусом является то, что не каждый способен поднять себе VPN. Кто-то может плохо разбираться в IT и ему эти инструкции будут казаться совершенно дикими и непонятными. А кто-то будет совершенно не понимать что он делает вообще, это тоже не хорошо.
В общем, настоятельно рекомендую использовать.
Можно воспользоваться услугами платных VPN сервисов
которые тоже относительно недорогие (в среднем 5-12$/месяц).
Такие сервисы нужно искать, конечно же, в интернете.
Большинство из них принимают к оплате Bitcoin, что несомненно круто.
Что-то конкретное рекомендовать не буду, но есть ряд VPN-сервисов, которые постоянно мелькают:
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Все вышеперечисленные сервисы принимают к оплате Bitcoin (на момент написания статьи). Некоторые даже принимают другие криптовалюты.
Я детально не изучал каждый из этих сервисов, но они предлагают самые разные решения. Разные VPN протоколы, под разные десктопные и мобильные ОС. У многих есть свой OpenVPN клиент под какую-то операционную систему, но пользоваться их клиентами не очень рекомендуется из соображений безопасности (об этом ниже).
Все просто. Регистрируетесь и платите за месяц (или год, что выходит дешевле), скачиваете конфигурационный факл OpenVPN (.ovpn), скармливаете его вашему OpenVPN клиенту и всё, у вас будет VPN. Если у вас не OpenVPN, то читаете инструкцию на сайте сервиса по подключению с другим протоколом. Благо на этих сайтах у них хорошие инструкции и все предельной просто и понятно.
Из преимуществ можно выделить то, что каждый сервис предлагает сервера во многих разных странах, которые доступны вам. Между этими странами можно переключаться, вручную с .ovpn конфигами или как-то автоматически, если эта фича реализованна в их клиенте. Тогда как на своем собственном сервере вы привязаны к одной стране, одному IP адресу. Не понравилась одна страна - переключились на другую. Скажу от себя, что фича хоть и полезная, но какая-то сомнительная.
Говорить про то, что эти сервера намного стабильнее, надежнее и быстрее по сравнению с "бесплатным" решением, я думаю не нужно. Доверие к платным сервисам тоже как-то больше, чем к беслпатным VPNам, хоть все равно нет гарантий.
По сранению со своим собственным сервером, у вас нет root-доступа, посему контроллировать процессы, которые происходят внутри вы не можете. Это значит, что никаких гарантий того, что логирование отключено, у вас нет.
Хотелось бы верить, что логирование отключено и платные сервисы не пиздят своим клиентам. Я думаю во многих случаях так и есть, но все зависит от страны наверное. Где-то могут и не принуждать включать логирование, это значит, что сервису ничего не будемт мешать сделать это.
По поводу выбора VPN сервиса, есть Для просмотра ссылки Войди
Есть версия с Для просмотра ссылки Войди
Есть версия с более Для просмотра ссылки Войди
Немного про страны и прочее:
Когда вы выбираете себе VPN сервис или VPS, обращайте внимание на то, где зарегистрирована фирма представляющая VPN, а также на то, в каких странах расположены их сервера. Про выбор VPS тоже самое.
Юридический момент в этом деле важен, но здесь я вам не помощник.
Могу сказать лишь то, что использовать VPN расположенный в стране, где вы совершаете преступление, так себе затея. Так что, если вы работаете против России, заказывать сервера в этой стране или пользоваться услугами Российского VPN сервиса КРАЙНЕ нелогично.
Выбираете сервис или VPS - смотрите где расположены сервера, где зарегистрирован сервис или хостер, читайте политику конфиденциальности.
На последок хотелось бы немного коснуться такой темы, как VPN-расширения в браузерах, которые на сегодняшний день очень популярны. Ну это полноценное говно, которое не нужно использовать ни в коем случаи для более-менее серьезных дел, где требуется анонимность. Для домохозяек может подойти для обхода блокировки какого-нибудь сайта.
C самого начала встает вопрос - А где купить VPS?
Аренду VPS предлагает много хостеров. Нам не нужны большие мощности, поэтому подойдут самые слабые сервера с технологией виртуализации OpenVZ (но лучше KVM или Xen) с малой процессорной мощностью и небольшим количеством оперативной памяти (256-512 mb). Стоить такие сервера могут в среднем 2-5$ в месяц. А если постараться поискать, то можно найти и за 12-18$ за целый год.
Кстати, если вы нашли VPS, который не принимает к оплате Bitcoin или у вас просто их нет, зато есть Qiwi или Яндекс Деньги, то вы можете попытаться заплатить за сервер Виртуальной Кредитной Картой (VCC - Virtual Credit Card). Эти карты можно выпистить на сайте Qiwi и Яндекс Денег соответственно. При этом, естественно, Киви и ЯД должны быть левыми. Но лучше платите Биткоинами.
Прочитать о том, как купить Bitcoin и о работе с электронными коельками в целом, можете прочитать в моей статье - Статья по Эл. Кошелькам. Там же я частично писал о VCC.
Для поднятия OpenVPN нам нужно чтобы наш VPS поддерживал TUN/TAP.
Обычно почти все VPS провайдеры предоставляют эту фичу. Где-то она сразу включена, как только создается VPS, где-то приходится включать через панель управления на сайте (если OpenVZ), где-то нужно просить техническую поддержку что бы включили вам TUN/TAP (но это редко).
Что бы найти VPS, нужно ввести правильный запрос в гугле.
Запросы лучше делать на англ. языке, чтобы выдавал зарубежных хостеров (если нужно). Запросы могут выглядить следующим образом: "buy vps", "buy cheap vps", "cheapest vps", "cheap openvz vps", "cheap vps <страна>" и подобное.
Также существуют различные сайты, на которых можно найти достаточно дешевые VPS.
Вот пример таких сайтов:
1) Для просмотра ссылки Войдиили Зарегистрируйся - сайт, на котором можете посмотреть дешевых VPS провайдеров. Там их дохрена. Собственно, сайт и посвящен дешевым VPS.
2) Для просмотра ссылки Войдиили Зарегистрируйся - этот сайт существует как дополнение к предыдущему (или наоборот? О_о). На нем много пользователей, идет активное обсуждение разных VPS провайдеров. Сайт этот очень полезный. На нем можно найти много мелких и не очень предпринимателей, которые подторговывают VPS. Также много полезной инфы, обзоров различных хостеров и прочее. Иногда сам почитываю.
3) Для просмотра ссылки Войдиили Зарегистрируйся - вот здесь представлены разные дешевые хостеры VPS в таблице. Тоже полезно - пользуйтесь.
3.1) Для просмотра ссылки Войдиили Зарегистрируйся - сайт, подобный предыдущему.
3.2) Для просмотра ссылки Войдиили Зарегистрируйся - еще один подобный сайт с таблицей, по-моему мнению, хуже LowEndStock.
4) Для просмотра ссылки Войдиили Зарегистрируйся - Российский сайт по подбору VPS. Подбирать можно по разым параметрам, например таким как страна размещения сервера или способ оплаты (можно отфильтровать за биткоин, киви или что вам удобно). Полезный сайт. В основном здесь российские хостеры. Цена на VPS начитается от 70 руб./месяц.
5) Для просмотра ссылки Войдиили Зарегистрируйся - а на этом сайте, по ссылке, автор собрал и переодически обновляет список VPS провайдеров, которые принимают к оплате Bitcoin. Раньше это было более актуально, но сейчас очень большое количество провайдеров принимают Bitcoin.
В дополнение:
6) Для просмотра ссылки Войдиили Зарегистрируйся - данный сайт может быть тоже интересен. Можно встретить каких-то VPS провайдеров дешевых. Можно найти и бесплатных или с бесплатным пробным периодом - этому сайт и посвящен.
7) Для просмотра ссылки Войдиили Зарегистрируйся - в дополнение. Большой форум с обсуждением провайдеров VPS/VDS, и хостингов.
На этих сайтах достаточно много информации по дешевым VPS. Заходите, читайте, находите.
Также оставлю список провайдеров от себя:
Собрал немного ссылок.
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
А теперь что-то странное:
Для просмотра ссылки Войдиили Зарегистрируйся - Диджитал Оушен. Известный гигант среди провайдеров VPS и любитель агрессивного маркетинга. Что с ним не так? Он не только не принимает Bitcoin напрямую к оплате, а также требует дохуя всего, чего не требуют остальные. Эти пидарасы могут запросто попросить скан паспорта или еще чего-то подобного. Может, скан кредитной карты. Создает дискомфорт.
Для просмотра ссылки Войдиили Зарегистрируйся - это пидарасы по той же причине, что и DO. Они принимают Биткоин, но только если вы привяжите кредитную карту. Создает дискомфорт.
Это не значит что их не нужно юзать. Просто это мое мнение. Если сильно понравилось - дерзайте.
Аренду VPS предлагает много хостеров. Нам не нужны большие мощности, поэтому подойдут самые слабые сервера с технологией виртуализации OpenVZ (но лучше KVM или Xen) с малой процессорной мощностью и небольшим количеством оперативной памяти (256-512 mb). Стоить такие сервера могут в среднем 2-5$ в месяц. А если постараться поискать, то можно найти и за 12-18$ за целый год.
Кстати, если вы нашли VPS, который не принимает к оплате Bitcoin или у вас просто их нет, зато есть Qiwi или Яндекс Деньги, то вы можете попытаться заплатить за сервер Виртуальной Кредитной Картой (VCC - Virtual Credit Card). Эти карты можно выпистить на сайте Qiwi и Яндекс Денег соответственно. При этом, естественно, Киви и ЯД должны быть левыми. Но лучше платите Биткоинами.
Прочитать о том, как купить Bitcoin и о работе с электронными коельками в целом, можете прочитать в моей статье - Статья по Эл. Кошелькам. Там же я частично писал о VCC.
Для поднятия OpenVPN нам нужно чтобы наш VPS поддерживал TUN/TAP.
Обычно почти все VPS провайдеры предоставляют эту фичу. Где-то она сразу включена, как только создается VPS, где-то приходится включать через панель управления на сайте (если OpenVZ), где-то нужно просить техническую поддержку что бы включили вам TUN/TAP (но это редко).
Что бы найти VPS, нужно ввести правильный запрос в гугле.
Запросы лучше делать на англ. языке, чтобы выдавал зарубежных хостеров (если нужно). Запросы могут выглядить следующим образом: "buy vps", "buy cheap vps", "cheapest vps", "cheap openvz vps", "cheap vps <страна>" и подобное.
Также существуют различные сайты, на которых можно найти достаточно дешевые VPS.
Вот пример таких сайтов:
1) Для просмотра ссылки Войди
2) Для просмотра ссылки Войди
3) Для просмотра ссылки Войди
3.1) Для просмотра ссылки Войди
3.2) Для просмотра ссылки Войди
4) Для просмотра ссылки Войди
5) Для просмотра ссылки Войди
В дополнение:
6) Для просмотра ссылки Войди
7) Для просмотра ссылки Войди
На этих сайтах достаточно много информации по дешевым VPS. Заходите, читайте, находите.
Также оставлю список провайдеров от себя:
Собрал немного ссылок.
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Для просмотра ссылки Войди
А теперь что-то странное:
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Это не значит что их не нужно юзать. Просто это мое мнение. Если сильно понравилось - дерзайте.
После того, как все данные для подключения были высланы вам на почту или вы нашли их в личном кабинете, то для коннекта к серву вы обладаете всеми данными, а именно:
IP адресс.
Логин: root.
Пароль от root: либо вы указывали при создании сервера, либо был сгенерирован.
Для того чтобы подключиться по SSH на Windows, нужно воспользоваться сторонними программами.
Скачивайте на выбор: Для просмотра ссылки Войдиили Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся.
Работать с этими программами достаточно просто. Гуглите.
На ОС Linux и MacOS все проще.
В терминале вводим:
где:
ip - IP адрес VPS.
user - username пользователя. При первом подключении / в нашем случае - root.
После нажатия enter, при самом первом коннекте, вам выскочит сообщение:
вручную вводим yes, потом вам предложит ввести пароль от root, который у вас также есть. Если все хорошо, то вы подключились к VPS и вам будет передано управление командной строкой.
Скопировать и вставить в терминале можно так:
Если Linux, то ctrl+shift+v вставить в терминале (ctrl+shift+c скопировать из терминала),
Если Windows и вы используете Putty/Kitty, то вставить в консоль можно по нажатию на ПКМ.
!КСТАТИ!
Такое бывает, но иногда дистрибутив созданного сервера не совпадает с тем, который вы выбирали, когда делали заказ. Я примерно знаю с чем это связано, но сейчас не об этом.
Поэтому, если вы зашли на сервер по SSH и ввели команду
apt-get update
И вам выдало ошибку о том, что apt-get такой команды нет, и при этом введя, например
yum update
И пошел какой-то процесс, это означает, что вместо Debian/Ubuntu у вас установился CentOS. Пугаться не нужно.
Для этого вам просто напросто нужно переустановить ОС. Сделать это можно из VPS Control Panel, данные о котором пришли все в том же письме, если провайдер предоставляет эту фичу, или из личного кабинета на сайте провайдера. Ищем там что-то вроде "Reinstall OS" или "Rebuild" и переустанавливаем, если это нужно, на Debian/Ubuntu.
Покажу на своем примере VPS Control Panel, потому что у меня как раз такой случай, когда установился не тот дистрибутив.
Перехожу на сайт, ввожу логин и пароль (все это на почте).
Примерно выглядит, можно управлять VPS:
Включить-выкличть-перезагрузить
Дать другой Hostname
Следить - статистика, используемые ресурсы
Переустановить ОС
Поменять пароль от root
Законнектиться по SSH
Здесь же можно включить TUN/TAP...
и еще дохрена всего
Находим Reinstall, жмем, выбираем ОС, вводим новый пароль от root (или старый), и переустанавливаем. Все автоматически.
После этого сервер выключится и начнется переустановка OC. Займет она минут 5-10.
Новые данные для подключения упадут на почту: IP будет тот же, логин root, изменится лишь пароль, если вы вводили новый.
IP адресс.
Логин: root.
Пароль от root: либо вы указывали при создании сервера, либо был сгенерирован.
Для того чтобы подключиться по SSH на Windows, нужно воспользоваться сторонними программами.
Скачивайте на выбор: Для просмотра ссылки Войди
Работать с этими программами достаточно просто. Гуглите.
На ОС Linux и MacOS все проще.
В терминале вводим:
ssh user@ipгде:
ip - IP адрес VPS.
user - username пользователя. При первом подключении / в нашем случае - root.
После нажатия enter, при самом первом коннекте, вам выскочит сообщение:
Are you sure you want to continue connecting (yes/no)?вручную вводим yes, потом вам предложит ввести пароль от root, который у вас также есть. Если все хорошо, то вы подключились к VPS и вам будет передано управление командной строкой.
Скопировать и вставить в терминале можно так:
Если Linux, то ctrl+shift+v вставить в терминале (ctrl+shift+c скопировать из терминала),
Если Windows и вы используете Putty/Kitty, то вставить в консоль можно по нажатию на ПКМ.
!КСТАТИ!
Такое бывает, но иногда дистрибутив созданного сервера не совпадает с тем, который вы выбирали, когда делали заказ. Я примерно знаю с чем это связано, но сейчас не об этом.
Поэтому, если вы зашли на сервер по SSH и ввели команду
apt-get update
И вам выдало ошибку о том, что apt-get такой команды нет, и при этом введя, например
yum update
И пошел какой-то процесс, это означает, что вместо Debian/Ubuntu у вас установился CentOS. Пугаться не нужно.
Для этого вам просто напросто нужно переустановить ОС. Сделать это можно из VPS Control Panel, данные о котором пришли все в том же письме, если провайдер предоставляет эту фичу, или из личного кабинета на сайте провайдера. Ищем там что-то вроде "Reinstall OS" или "Rebuild" и переустанавливаем, если это нужно, на Debian/Ubuntu.
Покажу на своем примере VPS Control Panel, потому что у меня как раз такой случай, когда установился не тот дистрибутив.
Перехожу на сайт, ввожу логин и пароль (все это на почте).
Примерно выглядит, можно управлять VPS:
Включить-выкличть-перезагрузить
Дать другой Hostname
Следить - статистика, используемые ресурсы
Переустановить ОС
Поменять пароль от root
Законнектиться по SSH
Здесь же можно включить TUN/TAP...
и еще дохрена всего
Находим Reinstall, жмем, выбираем ОС, вводим новый пароль от root (или старый), и переустанавливаем. Все автоматически.
После этого сервер выключится и начнется переустановка OC. Займет она минут 5-10.
Новые данные для подключения упадут на почту: IP будет тот же, логин root, изменится лишь пароль, если вы вводили новый.
Для начала, елси поднимать мы будем именно OpenVPN, который как я писал выше, требует TUN/TAP, то нужно проверить, включен он или нет.
Для этого в терминале вводим следующую команду:
И если вам выдает:
То это значит, что он включен и можно работать дальше.
А если вывод такой:
То выключен. Значит, нам надо его включить. Делается это в панели управления
VPS либо в личном кабинете на сайте провайдера. Либо, по запросу в тех.
поддержку.
Я захожу в VPS Control Panel (об этом выше под
спойлером написано), введя логин и пароль, ищу нужную кнопку, в моем
случае это VPS Configuration, затем ставлю галочку на Enable TUN/TAP.
После этого сервер перезагрузится.
Подключитесь к нему по-новой в введите:
Должно вывести:
Если так, то все нормально. Если нет, то вы что-то сделали не так.
Для этого в терминале вводим следующую команду:
cat /dev/net/tunИ если вам выдает:
root@ppVPS:~# cat /dev/net/tuncat: /dev/net/tun: File descriptor in bad stateТо это значит, что он включен и можно работать дальше.
А если вывод такой:
root@ppVPS:~# cat /dev/net/tuncat: /dev/net/tun: No such file or directoryТо выключен. Значит, нам надо его включить. Делается это в панели управления
VPS либо в личном кабинете на сайте провайдера. Либо, по запросу в тех.
поддержку.
Я захожу в VPS Control Panel (об этом выше под
спойлером написано), введя логин и пароль, ищу нужную кнопку, в моем
случае это VPS Configuration, затем ставлю галочку на Enable TUN/TAP.
После этого сервер перезагрузится.
Подключитесь к нему по-новой в введите:
cat /dev/net/tunДолжно вывести:
cat: /dev/net/tun: File descriptor in bad stateЕсли так, то все нормально. Если нет, то вы что-то сделали не так.
Далее, перед поднятием непосредственно OpenVPN, было бы неплохо произвести какую-то первичную настройку на сервере: обновить пакеты - поставить нужные пакеты, отключить ненужные сервисы, создать пользователя, настроить sshd_config (поменять порт, запретить коннект от root).
Поскольку я показываю на примере дистрибутива Debian, вводимые команды будут для этого дистрибутива и для дистрибутивов основанных на Debian (Ubuntu).
Итак, приступим.
Обновляем пакеты:
Ставим нужные пакеты:
где:
nano - консольный редактор. Обычно стоит изначально, но не всегда.
htop - консольный диспетчер задач.
openvpn - пакет openvpn. Нужно для поднятия OpenVPN.
easy-rsa - скрипты для легкой генерации ключей. Нужно для поднятия OpenVPN.
git - понадобится, если будете поднимать OpenVPN скриптом (далее в статье).
Еще можно поставить следующие пакеты, но не обязательно:
Далее, нам нужно создать пользователя:
где:
useradd - команда, создающая пользователя.
-m - создает домашнюю папку пользователя (по пути /home/<имя пользователя>/), по-умолчанию имеет такое же название, как и имя пользователя
-s - указывает, какой shell использовать
pp-gerki - имя пользователя.
После создания юзера, вам ОБЯЗАТЕЛЬНО нужно создать ему пароль, потому что мы будем использовать этого юзера для коннекта по ssh, поэтому вводим команду:
Предложит дважды ввести пароль. При вводе не будет отображаться. Как вставлять в терминале я писал вышел.
Далее, нужно отключить лишние сервисы.
Вводим команду:
Для того что бы посмотреть, какие сервисы запущены.
На данном этапе в идеале должен быть запущен только sshd. Поскольку у меня установлена Debian-minimal, то у меня так и есть и команда
Выдает мне только:
Но обычно может быть запущен какой-нибудь веб-сервер, mail-server, еще что-то...
Не знаю, что запущено у вас, поэтому по-очереди вводите следующие команды:
Это должно отключить то, что обычно запущено уже при создании сервера.
Далее, можно настроить sshd.
Из соображений безопасности поменяем порт со стандартного на нестандартный и запретим коннект от root.
Редактируем файл /etc/ssh/sshd_config при помощи nano:
Ищем строку Port (будет где-то наверху), и меняем ее значение на другое, отличное от 22, в диапазоне от 1024 до 64000.
Я выбрал это самое число.
Далее, ищем строку PermitRootLogin и меняем ее значение с yes на no:
Ищем строку PermitEmptyPasswords и проверяем, чтобы там было no:
Можно еще, но не обязательно, запретить коннект всем пользователям по SSH кроме того, которого мы создали выше.
Для этого где-нибудь в файле, например внизу, пишем следующее:
После AllowUsers имя юзера.
Внимательно проверяем, запоминаем порт, сохраняем, закрываем.
Важно все сделать нормально, потому что-то если вы где-то накосячите в этом файле, например напишите один порт, а потом его забудете, или запретите логин от рута, а другого пользователя у вас нет, то вы просто не сможете подключиться к серверу.
Обычно данная проблема решается в личном кабинете, там можно законектиться по SSH, далее залогиниться под рутом и изменить в файле все что нужно. В крайнем случае выполните переустановку.
После всех манипуляций в файле /etc/ssh/sshd_config, перезапускаем:
или
Изменения применятся.
Следующий ваш коннект по SSH будет выглядить следующим образом:
где:
-p 1488 - порт SSH, который вы указывали в /etc/ssh/sshd_config
user - пользователь, отличный от root. Под рутом не получится подключиться.
Если у вас винда, то в PUTTY/KITTY тоже меняете порт.
Теперь вы будете коннектиться по SSH на серв через этого юзера. У него нет почти никаких прав, он даже не суперпользователь.
Поэтому, для того чтобы производить какие-то манипуляции на сервера, нужно залогиниться под рутом. Для этого под обычным юзером вводим:
И вводим пароль от root. Все - можете делать что хотите. Чтобы выйти из-под рута, вводите exit.
Поскольку я показываю на примере дистрибутива Debian, вводимые команды будут для этого дистрибутива и для дистрибутивов основанных на Debian (Ubuntu).
Итак, приступим.
Обновляем пакеты:
apt-get update && apt-get dist-upgrade -yСтавим нужные пакеты:
apt-get install -y nano sudo htop curl perl python wget git openvpn openssl easy-rsa iptables ca-certificates ufwгде:
nano - консольный редактор. Обычно стоит изначально, но не всегда.
htop - консольный диспетчер задач.
openvpn - пакет openvpn. Нужно для поднятия OpenVPN.
easy-rsa - скрипты для легкой генерации ключей. Нужно для поднятия OpenVPN.
git - понадобится, если будете поднимать OpenVPN скриптом (далее в статье).
Еще можно поставить следующие пакеты, но не обязательно:
apt-get install build-essential make automake autoconf pkg-configДалее, нам нужно создать пользователя:
useradd -m -s /bin/bash pp-gerkiгде:
useradd - команда, создающая пользователя.
-m - создает домашнюю папку пользователя (по пути /home/<имя пользователя>/), по-умолчанию имеет такое же название, как и имя пользователя
-s - указывает, какой shell использовать
pp-gerki - имя пользователя.
После создания юзера, вам ОБЯЗАТЕЛЬНО нужно создать ему пароль, потому что мы будем использовать этого юзера для коннекта по ssh, поэтому вводим команду:
passwd pp-gerkiПредложит дважды ввести пароль. При вводе не будет отображаться. Как вставлять в терминале я писал вышел.
Далее, нужно отключить лишние сервисы.
Вводим команду:
netstat -tulpnДля того что бы посмотреть, какие сервисы запущены.
На данном этапе в идеале должен быть запущен только sshd. Поскольку у меня установлена Debian-minimal, то у меня так и есть и команда
netstat -tulpnВыдает мне только:
Код:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 204/sshd
tcp6 0 0 :::22 :::* LISTEN 204/sshdНе знаю, что запущено у вас, поэтому по-очереди вводите следующие команды:
Код:
/etc/init.d/apache2 stop
update-rc.d apache2 disable
/etc/init.d/postfix stop
update-rc.d postfix disable
/etc/init.d/nginx stop
update-rc.d nginx disable
/etc/init.d/exim4 stop
update-rc.d exim4 disable
/etc/init.d/rpcbind stop
update-rc.d rpcbind disable
/etc/init.d/nfs-common stop
update-rc.d nfs-common disable
/etc/init.d/rsyslog stop
update-rc.d rsyslog disableДалее, можно настроить sshd.
Из соображений безопасности поменяем порт со стандартного на нестандартный и запретим коннект от root.
Редактируем файл /etc/ssh/sshd_config при помощи nano:
nano /etc/ssh/sshd_configИщем строку Port (будет где-то наверху), и меняем ее значение на другое, отличное от 22, в диапазоне от 1024 до 64000.
Port 1488Я выбрал это самое число.
Далее, ищем строку PermitRootLogin и меняем ее значение с yes на no:
PermitRootLogin noИщем строку PermitEmptyPasswords и проверяем, чтобы там было no:
PermitEmptyPasswords noМожно еще, но не обязательно, запретить коннект всем пользователям по SSH кроме того, которого мы создали выше.
Для этого где-нибудь в файле, например внизу, пишем следующее:
AllowUsers pp-gerkiПосле AllowUsers имя юзера.
Внимательно проверяем, запоминаем порт, сохраняем, закрываем.
Важно все сделать нормально, потому что-то если вы где-то накосячите в этом файле, например напишите один порт, а потом его забудете, или запретите логин от рута, а другого пользователя у вас нет, то вы просто не сможете подключиться к серверу.
Обычно данная проблема решается в личном кабинете, там можно законектиться по SSH, далее залогиниться под рутом и изменить в файле все что нужно. В крайнем случае выполните переустановку.
После всех манипуляций в файле /etc/ssh/sshd_config, перезапускаем:
systemctl restart sshdили
service sshd restartИзменения применятся.
Следующий ваш коннект по SSH будет выглядить следующим образом:
ssh -p 1488 user@ipгде:
-p 1488 - порт SSH, который вы указывали в /etc/ssh/sshd_config
user - пользователь, отличный от root. Под рутом не получится подключиться.
Если у вас винда, то в PUTTY/KITTY тоже меняете порт.
Теперь вы будете коннектиться по SSH на серв через этого юзера. У него нет почти никаких прав, он даже не суперпользователь.
Поэтому, для того чтобы производить какие-то манипуляции на сервера, нужно залогиниться под рутом. Для этого под обычным юзером вводим:
su -И вводим пароль от root. Все - можете делать что хотите. Чтобы выйти из-под рута, вводите exit.
Итак, собственно, поднимаем OpenVPN-server.
Начнем с установки каких-то пакетов. Некоторые из них вы уже могли ставить, если производили первичную настройку из раздела выше.
Обновим систему:
И три основных пакета:
После установки пакетов, разархивируем пример конфигурационного файла в папку /etc/openvpn/:
Файл /etc/openvpn/server.conf - основной серверный конфигурационный файл OpenVPN.
Теперь немного отредактируем его:
Файл длиный, с большим количесвом комментариев (все, что идет в строчке после символа # - комментарий).
Строки, которые начинаются с символа ; в данном файле - тоже комментарии.
Частичный разбор конфига будет ниже в статье.
Редактируем. В самом верху сразу будет port:
Я поменяю порт на какой-нибудь совсем не стандартный:
(Диапазон от 0 до 65000), я выбрал рандомно. Не займите порт, который слушает другой сервис, например в моем случае sshd случает 1488.
Идем дальше.
Выбираем протокол - пара строк ниже:
И видим, что она никак не закомментированная. Потому что по-умолчанию OpenVPN будет работать по UDP.
Если вам нужен TCP, выше есть строчка proto tcp - раскомментируйте ее, удалите символ ; в начале строки, а proto udp закоментируйте, добавив символ #. Оба нельзя, или то или
другое. Я буду показывать на примере UDP, поэтому оставляю как есть.
Опускаемся ниже в конфиге и находим строку:
Меняем на dh2048.pem:
Идем ниже и находим закоментированную строку:
Раскоментируем:
Еще чуть ниже находим две раскоментированные строки рядом:
Это то, какой DNS будет использоваться. По-умолчанию прописаны сервера OpenDNS, но можем прописать публичные сервера Google:
Можете оставить и OpenDNS.
Идем дальше и натыкаемся на строку
Просто раскомментируем:
Листаем ниже и находим строку:
Это шифрование. Раскомментируем строку и переделаем на AES-256-CBC:
Еще чуть ниже в файле находим две закомментированные строки:
Раскомментим их:
Далее, ниже находим строку, которая начинается со слова status и переделываем ее в следующий вид:
Закомментированная.
Еще чуть ниже, находим строку, которая начинается со слова log, и придаем ей такой вид:
Незакомментированная. Это логи. Отключить логирование OpenVPN нельзя в привычном понимании, поскольку если закоментировать строку, то по-умолчанию будет писаться в syslog файл (/var/log/syslog).
строку
Еще чуть ниже, verb 3 меняем на:
Сохраняем, закрываем. Мы еще вернемся к этому файлу позже.
Теперь включаем перенаправление пакетов, вводим команду:
Затем:
Если возвращает единицу, значит все ОК.
Теперь надо чтобы изменения были и при перезагрузке сервера, поэтому редактирум файл /etc/sysctl.conf:
Ищем строку:
Раскоментируем ее:
Если такой строки в файле нет вообще, добавьте вручную.
Настроим Firewall.
Ранее мы установили пакет ufw.
Теперь нам нужно добавить некоторые правила.
Во-первых, нам нужно дать разрешить траффик на SSH.
Я ввожу:
Поскольку у меня sshd слушает порт 1488, если вы не меняли и у вас sshd слушает 22 порт, то вводите:
Далее, нам нужно разрешить траффик на порт, который будет слушать OpenVPN, в моем случае это port 16122, потому что я менял его в конфиг. файле (выше):
Поскольку OpenVPN будет слушать UDP порт, я в конце добавил /udp. Если у вас OpenVPN настроен не на UDP, а на TCP, без слеша на конце (или /tcp).
Если вы ничего не меняли в конфиге, то у вас слушает порт 1194 UDP, а значит:
Теперь нужно изменить Forward Policy, редактируем файл /etc/default/ufw:
Ищем строку:
И меняем ее значение на:
Теперь нам нужно разобраться с сетевыми интерфейсами, вводим команду:
Команда выведет ваши интерфейсы.
Там будет интерфейс lo и еще какой-нибудь, например eth0 или venet0.
В моем случае интерфейс называется venet0 (ибо OpenVZ).
У меня такой вывод:
Вам нужен интерфейс, который показывает ваш внешний IP.
Из кода выше понятно, что venet0 показывает внешний IP. (inet МОЙ IP)
Далее, что нужно редактировать файл /etc/ufw/before.rules:
И куда-нибудь наверх, вставляем следующее:
где вместо <ВАШ ИНТЕРФЕЙС> пишем интерфейс, в моем случае это venet0 и получилось так:
После всего этого включаем ufw:
Cмотрим на наши правила:
Выводом покажет правила, которые вы создавали выше, у меня так:
где 1488 - для SSH и 16122 - UDP опенвпн.
Отключить ufw можно так:
Генерируем ключи для сервера.
Ранее мы ставили пакет easy-rsa.
Теперь копируем папку со скриптами easy-rsa в папку openvpn:
внутри папки easy-rsa создаем папку keys:
Теперь сгенерируем Diffie-Hellman длиной 2048 и поместим его в /etc/openvpn:
Еще сгенерируем файл ta.key в папку /etc/openvpn, для tls-auth:
Далее. Переходим в папку easy-rsa:
Тут лежит файл vars с какими-то переменными, редактируем его:
Крутим вниз пока не наткнемся на блок:
В первых 6 строках можете менять значения, можете оставить как есть. Я оставлю как есть. Пофиг.
Главное нельзя оставлять их пустыми.
Но конкретно здесь нас интересует строка
Здесь значение меняем на server, что бы было вот так:
Можно поменять на любое другое, но не ебем мозг и меняем как я, потому что иначе вам придется менять значения в server.conf.
Если дали название отличное от server - запомните его.
Вот так. Сохраняем, закрываем файл.
Далее вводим следующее:
Далее, вводим:
Будет предлагать вводить какие-то значения, но мы их меняли (или не меняли) в файле vars. Просто везде жмем Enter и все. При этом, дойдя до пункта Name, нажимая Enter будет то имя, которое вы указывали ранее в KEY_NAME у меня это server.
Следующим делом вводим:
где: <ИМЯ В KEY_NAME> - это то имя, которое вы давали в файле vars. Если ничего не давали, то по-умолчанию там было Easy-RSA. Я давал имя server, поэтому:
Точно таким же образом, везде жмем Enter. Даже там, где предложит ввести 'A challenge password', жмем enter.
Потом дважды вводим символ y, где попросит:
В конце вы увидите:
Теперь нам нужно переместить все сгенерированные ключи и сертификаты в папку /etc/openvpn.
Всё добро находится в папке /etc/oepnvpn/easy-rsa/keys. Нас интересуют 3 файла (исплючая dh2048.pem и ta.key, которые мы сгенерировали ранее) - ca.crt, server.crt, server.key, где файлы server.crt и server.key - имеют название, которое вы указывали в KEY_NAME, я указывал server, помним да.
Перемещаем их следующим образом:
Идем обратно в папку openvpn:
Вводим в консоли ls и смотрим, какие файлы лежат. На данный момент должны быть следующие файлы: ca.crt, dh2048.pem (который мы генерировали ранее),
server.conf (основной конфиг), server.crt, server.key и ta.key Еще может быть файл update-resolv-conf.
Теперь запускаем openvpn:
или
Проверяем, запустился ли:
или
Должно гореть зелененьким (лол), вы увидите надпись:
Проверяем, слушает ли порт:
Должно вывести один сервис, который слушает на порту, который вы указывали.
У меня вывод такой:
Все проверили, молодцы. Теперь остановим:
или
Делаем клиента, генерируем ключи.
Для начала нам нужно скопировать пример конфиг. файла для клиента.
Скопируем его в папочку /etc/openvpn/easy-rsa/keys и переименуем (даем расширение .ovpn):
Редактируем файл клиента:
Листаем файл вниз, натыкаемся на строку
где: my-server-1 - IP адрес вашего сервера. Тот, что пришел вам на почту или смотрите по команде ip addr | grep inet и ищите.
1194 - Порт, на котором слушает OpenVPN на вашем сервере, в моем случа это 16122.
Меняйте эту строку, я меняю:
Листаем ниже, находим строку:
стираем ее и меняем на:
Еще чуть ниже строка:
Меняем шифрование на то, которое вы указывали в server.conf. Я указывал AES-256-CBC:
Если вы в server.conf ничего не указывали, то эту строку не трогайте.
Все. Сохраняем и закрываем.
Теперь нужно сгенерировать ключи и серты для клиента.
Перейдем в папку easy-rsa:
Генерим:
где: client1 - название клиента. Может быть любым. Я сделал client1.
Таким же образом, как и с сервом, везде жмем Enter. И соглашаемся, нажимая y, там где это нужно.
Клиентский конфиг состоит из:
.ovpn файла. В моем случае это client.ovpn.
файла ca.crt - который общий для сервера и все клиентов.
файл ta.key - тоже общий для сервера и клиента. Это для tls-auth, что не обязательно...
файлов client1.crt и client1.key - которые индивидуальные для каждого клиента.
Дело в том, что все эти файлы нужны .ovpn конфигу, без них он не будет работать. Но не будем же мы их везде вместе таскать! Поэтому есть возможность все эти файлы строить в .ovpn конфиг, чтобы был один единый файл и все.
Нужно проделать кое-какие манипуляции, поэтому для удобства создаем папку client1:
Нужно скопировать туда конфиг.файл .ovpn и все серты и ключи, по аналогии с сервером, файлы client1.crt и client1.key имеют названия специфические, в зависимости от того, какое вы указывали имя клиента, выполняя команду выше. Я назвал client1 поэтому у меня они называются именно так.
Копируем:
За одно копируем client.ovpn (называться может как угодно, хоть xuy.ovpn):
И не забываем про ta.key, которые лежит в папке openvpn:
Переходим в папку client1:
На данный момент там находится 5 файлов:
ca.crt client.ovpn (конфиг файл) client1.crt client1.key ta.key
Теперь нужно быть внимательнее! В особенности с именами файлов.
Внедряем содержимое нужных файлов в наш конфиг .ovpn.
ПООЧЕРЕДИ, в том порядке, в котором это у меня. выполняем следующие команды.
Для ca.crt:
где client.ovpn название конфиг файла.
Теперь для client1.crt:
где client1.crt - серт. файл, которые генерировали выше.
Теперь для client1.key:
Теперь для ta.key, нужно для tls-auth:
Таким образом, все ключи и сертификаты теперь в одном файле .ovpn, и он может работать сам по себе.
Теперь нужно еще немного отредактировать файл client.ovpn:
Листаем, пока не наткнемся на блок:
Нам это не нужно, поэтому закоментируем их:
Собственно, конфиг клиента готов. Он будет работать, если вы запустите его на OpenVPN клиенте вашего устройства.
Можем запускать OpenVPN:
или
ПОСЛЕ ЛЮБЫХ манипуляций в файле server.conf, для того что бы применились изменения, нужно перезапускать OpenVPN:
или
Но я хочу еще проделать какие-то модификации на server.conf и client.ovpn
Для начала я хотел бы привести оба конфига в более читабельный и простой вид, а именно, удалить все комментарии и пустые строки.
Сделать это легко.
Но для начала, на всякий случай, сделаем backup:
и client.ovpn:
теперь одной командой удаляем все комментарии (# и ; в начале строки) и пустые строки:
И оба наших конфига примут более читабельный вид.
Открываем server.conf
И куда-нибудь в середину прихерачим следующее:
И на клиенте.
Куда-нибудь в конфиг, до начала сертификатов и ключей:
Таким образом, мой конфиг server.conf выглядит так:
А client.ovpn так (БЕЗ ключей и сертификатов):
Если вы создавали пользователя и запрещали ssh коннект от рута, то первым делом нужно поместить .ovpn конфиг в домашнюю папку созданного пользователя. У меня это был pp-gerki:
Изменить права у файла:
Linux.
Будем юзать sftp.
где 1488 - порт на котором слушает sshd.
как законнектились, мы уже будем в домашней папке pp-gerki. Можем посмотреть файлы - вводим ls.
копируем конфиг:
Windows, linux, MacOS:
Скачиваем программу для работы по FTP - FileZilla (гуглите).
И подключаемся к серву по sftp. Нужено будет указать port sftp (у меня 1488), пользователя (pp-gerki, ибо руту зарпетили).
Копируем файл куда хотим и радуемся. Как пользоваться программой разберетесь сами.
Начнем с установки каких-то пакетов. Некоторые из них вы уже могли ставить, если производили первичную настройку из раздела выше.
Обновим систему:
apt-get update && apt-get dist-upgrade -yapt-get install -y sudo nano htop curl perl python wget git openssl ca-certificates iptablesИ три основных пакета:
apt-get install -y openvpn easy-rsa ufwПосле установки пакетов, разархивируем пример конфигурационного файла в папку /etc/openvpn/:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.confФайл /etc/openvpn/server.conf - основной серверный конфигурационный файл OpenVPN.
Теперь немного отредактируем его:
nano /etc/openvpn/server.confФайл длиный, с большим количесвом комментариев (все, что идет в строчке после символа # - комментарий).
Строки, которые начинаются с символа ; в данном файле - тоже комментарии.
Частичный разбор конфига будет ниже в статье.
Редактируем. В самом верху сразу будет port:
port 1194Я поменяю порт на какой-нибудь совсем не стандартный:
port 16122(Диапазон от 0 до 65000), я выбрал рандомно. Не займите порт, который слушает другой сервис, например в моем случае sshd случает 1488.
Идем дальше.
Выбираем протокол - пара строк ниже:
proto udpИ видим, что она никак не закомментированная. Потому что по-умолчанию OpenVPN будет работать по UDP.
Если вам нужен TCP, выше есть строчка proto tcp - раскомментируйте ее, удалите символ ; в начале строки, а proto udp закоментируйте, добавив символ #. Оба нельзя, или то или
другое. Я буду показывать на примере UDP, поэтому оставляю как есть.
Опускаемся ниже в конфиге и находим строку:
dh dh1024.pemМеняем на dh2048.pem:
dh dh2048.pemИдем ниже и находим закоментированную строку:
;push "redirect-gateway def1 bypass-dhcp"Раскоментируем:
Еще чуть ниже находим две раскоментированные строки рядом:
push "dhcp-option DNS 208.67.222.222"push "dhcp-option DNS 208.67.220.220"Это то, какой DNS будет использоваться. По-умолчанию прописаны сервера OpenDNS, но можем прописать публичные сервера Google:
push "dhcp-option DNS 8.8.8.8"push "dhcp-option DNS 8.8.4.4"Можете оставить и OpenDNS.
Идем дальше и натыкаемся на строку
;tls-auth ta.key 0 # This file is secretПросто раскомментируем:
tls-auth ta.key 0 # This file is secretЛистаем ниже и находим строку:
;cipher AES-128-CBC # AESЭто шифрование. Раскомментируем строку и переделаем на AES-256-CBC:
cipher AES-256-CBCЕще чуть ниже в файле находим две закомментированные строки:
;user nobody;group nogroupРаскомментим их:
user nobodygroup nogroupДалее, ниже находим строку, которая начинается со слова status и переделываем ее в следующий вид:
#status /dev/null 2>&1Закомментированная.
Еще чуть ниже, находим строку, которая начинается со слова log, и придаем ей такой вид:
log /dev/null 2>&1Незакомментированная. Это логи. Отключить логирование OpenVPN нельзя в привычном понимании, поскольку если закоментировать строку, то по-умолчанию будет писаться в syslog файл (/var/log/syslog).
строку
;log-append не трогаемЕще чуть ниже, verb 3 меняем на:
verb 0Сохраняем, закрываем. Мы еще вернемся к этому файлу позже.
Теперь включаем перенаправление пакетов, вводим команду:
echo 1 > /proc/sys/net/ipv4/ip_forwardЗатем:
cat /proc/sys/net/ipv4/ip_forwardЕсли возвращает единицу, значит все ОК.
Теперь надо чтобы изменения были и при перезагрузке сервера, поэтому редактирум файл /etc/sysctl.conf:
Ищем строку:
#net.ipv4.ip_forward=1Раскоментируем ее:
net.ipv4.ip_forward=1Если такой строки в файле нет вообще, добавьте вручную.
Настроим Firewall.
Ранее мы установили пакет ufw.
Теперь нам нужно добавить некоторые правила.
Во-первых, нам нужно дать разрешить траффик на SSH.
Я ввожу:
ufw allow 1488Поскольку у меня sshd слушает порт 1488, если вы не меняли и у вас sshd слушает 22 порт, то вводите:
ufw allow sshДалее, нам нужно разрешить траффик на порт, который будет слушать OpenVPN, в моем случае это port 16122, потому что я менял его в конфиг. файле (выше):
ufw allow 16122/udpПоскольку OpenVPN будет слушать UDP порт, я в конце добавил /udp. Если у вас OpenVPN настроен не на UDP, а на TCP, без слеша на конце (или /tcp).
Если вы ничего не меняли в конфиге, то у вас слушает порт 1194 UDP, а значит:
ufw allow 1194/udpТеперь нужно изменить Forward Policy, редактируем файл /etc/default/ufw:
nano /etc/default/ufwИщем строку:
DEFAULT_FORWARD_POLICY="DROP"И меняем ее значение на:
DEFAULT_FORWARD_POLICY="ACCEPT"Теперь нам нужно разобраться с сетевыми интерфейсами, вводим команду:
ip addrКоманда выведет ваши интерфейсы.
Там будет интерфейс lo и еще какой-нибудь, например eth0 или venet0.
В моем случае интерфейс называется venet0 (ибо OpenVZ).
У меня такой вывод:
Код:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet 127.0.0.2/32 scope host venet0
inet МОЙ IP/32 brd МОЙ IP scope global venet0:0Из кода выше понятно, что venet0 показывает внешний IP. (inet МОЙ IP)
Далее, что нужно редактировать файл /etc/ufw/before.rules:
nano /etc/ufw/before.rulesИ куда-нибудь наверх, вставляем следующее:
Код:
# START
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o <ВАШ ИНТЕРФЕЙС> -j MASQUERADE
COMMIT
# END
Код:
# START
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o venet0 -j MASQUERADE
COMMIT
# ENDufw enableCмотрим на наши правила:
ufw statusВыводом покажет правила, которые вы создавали выше, у меня так:
Код:
root@ppVPS:~# ufw status
Status: active
To Action From
-- ------ ----
1488 ALLOW Anywhere
16122/udp ALLOW Anywhere
1488 ALLOW Anywhere (v6)
16122/udp ALLOW Anywhere (v6)Отключить ufw можно так:
ufw disableГенерируем ключи для сервера.
Ранее мы ставили пакет easy-rsa.
Теперь копируем папку со скриптами easy-rsa в папку openvpn:
cp -r /usr/share/easy-rsa/ /etc/openvpnвнутри папки easy-rsa создаем папку keys:
mkdir /etc/openvpn/easy-rsa/keysТеперь сгенерируем Diffie-Hellman длиной 2048 и поместим его в /etc/openvpn:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048Еще сгенерируем файл ta.key в папку /etc/openvpn, для tls-auth:
openvpn --genkey --secret /etc/openvpn/ta.keyДалее. Переходим в папку easy-rsa:
cd /etc/openvpn/easy-rsaТут лежит файл vars с какими-то переменными, редактируем его:
nano varsКрутим вниз пока не наткнемся на блок:
Код:
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="[email protected]"
export KEY_OU="MyOrganizationalUnit"
# X509 Subject Field
export KEY_NAME="EasyRSA"Главное нельзя оставлять их пустыми.
Но конкретно здесь нас интересует строка
export KEY_NAME="EasyRSA"Здесь значение меняем на server, что бы было вот так:
export KEY_NAME="server"Можно поменять на любое другое, но не ебем мозг и меняем как я, потому что иначе вам придется менять значения в server.conf.
Если дали название отличное от server - запомните его.
Вот так. Сохраняем, закрываем файл.
Далее вводим следующее:
source varsДалее, вводим:
./clean-all && ./build-caБудет предлагать вводить какие-то значения, но мы их меняли (или не меняли) в файле vars. Просто везде жмем Enter и все. При этом, дойдя до пункта Name, нажимая Enter будет то имя, которое вы указывали ранее в KEY_NAME у меня это server.
Следующим делом вводим:
./build-key-server <ИМЯ В KEY_NAME>где: <ИМЯ В KEY_NAME> - это то имя, которое вы давали в файле vars. Если ничего не давали, то по-умолчанию там было Easy-RSA. Я давал имя server, поэтому:
./build-key-server serverТочно таким же образом, везде жмем Enter. Даже там, где предложит ввести 'A challenge password', жмем enter.
Потом дважды вводим символ y, где попросит:
Код:
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Код:
Write out database with 1 new entries
Data Base UpdatedВсё добро находится в папке /etc/oepnvpn/easy-rsa/keys. Нас интересуют 3 файла (исплючая dh2048.pem и ta.key, которые мы сгенерировали ранее) - ca.crt, server.crt, server.key, где файлы server.crt и server.key - имеют название, которое вы указывали в KEY_NAME, я указывал server, помним да.
Перемещаем их следующим образом:
cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key} /etc/openvpn/Идем обратно в папку openvpn:
cd /etc/openvpnВводим в консоли ls и смотрим, какие файлы лежат. На данный момент должны быть следующие файлы: ca.crt, dh2048.pem (который мы генерировали ранее),
server.conf (основной конфиг), server.crt, server.key и ta.key Еще может быть файл update-resolv-conf.
Код:
root@ppVPS:/etc/openvpn# ls
ca.crt dh2048.pem easy-rsa server.conf server.crt server.key update-resolv-confsystemctl start openvpnили
/etc/init.d/openvpn startПроверяем, запустился ли:
systemctl status openvpnили
/etc/init.d/openvpn statusДолжно гореть зелененьким (лол), вы увидите надпись:
Active: active (exited) sinceПроверяем, слушает ли порт:
netstat -tulpn | grep vpnДолжно вывести один сервис, который слушает на порту, который вы указывали.
У меня вывод такой:
udp 0 0 0.0.0.0:16122 0.0.0.0:* 484/openvpnВсе проверили, молодцы. Теперь остановим:
systemctl stop openvpnили
/etc/init.d/openvpn stopДелаем клиента, генерируем ключи.
Для начала нам нужно скопировать пример конфиг. файла для клиента.
Скопируем его в папочку /etc/openvpn/easy-rsa/keys и переименуем (даем расширение .ovpn):
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpnРедактируем файл клиента:
nano /etc/openvpn/easy-rsa/keys/client.ovpnЛистаем файл вниз, натыкаемся на строку
remote my-server-1 1194где: my-server-1 - IP адрес вашего сервера. Тот, что пришел вам на почту или смотрите по команде ip addr | grep inet и ищите.
1194 - Порт, на котором слушает OpenVPN на вашем сервере, в моем случа это 16122.
Меняйте эту строку, я меняю:
remote 111.222.111.222 16122Листаем ниже, находим строку:
ns-cert-type serverстираем ее и меняем на:
remote-cert-tls serverЕще чуть ниже строка:
;cipher xМеняем шифрование на то, которое вы указывали в server.conf. Я указывал AES-256-CBC:
cipher AES-256-CBCЕсли вы в server.conf ничего не указывали, то эту строку не трогайте.
Все. Сохраняем и закрываем.
Теперь нужно сгенерировать ключи и серты для клиента.
Перейдем в папку easy-rsa:
cd /etc/openvpn/easy-rsaГенерим:
./build-key client1где: client1 - название клиента. Может быть любым. Я сделал client1.
Таким же образом, как и с сервом, везде жмем Enter. И соглашаемся, нажимая y, там где это нужно.
Клиентский конфиг состоит из:
.ovpn файла. В моем случае это client.ovpn.
файла ca.crt - который общий для сервера и все клиентов.
файл ta.key - тоже общий для сервера и клиента. Это для tls-auth, что не обязательно...
файлов client1.crt и client1.key - которые индивидуальные для каждого клиента.
Дело в том, что все эти файлы нужны .ovpn конфигу, без них он не будет работать. Но не будем же мы их везде вместе таскать! Поэтому есть возможность все эти файлы строить в .ovpn конфиг, чтобы был один единый файл и все.
Нужно проделать кое-какие манипуляции, поэтому для удобства создаем папку client1:
mkdir /etc/openvpn/easy-rsa/keys/client1Нужно скопировать туда конфиг.файл .ovpn и все серты и ключи, по аналогии с сервером, файлы client1.crt и client1.key имеют названия специфические, в зависимости от того, какое вы указывали имя клиента, выполняя команду выше. Я назвал client1 поэтому у меня они называются именно так.
Копируем:
cp /etc/openvpn/easy-rsa/keys/{ca.crt,client1.crt,client1.key} /etc/openvpn/easy-rsa/keys/client1За одно копируем client.ovpn (называться может как угодно, хоть xuy.ovpn):
cp /etc/openvpn/easy-rsa/keys/client.ovpn /etc/openvpn/easy-rsa/keys/client1И не забываем про ta.key, которые лежит в папке openvpn:
cp /etc/openvpn/ta.key /etc/openvpn/easy-rsa/keys/client1/Переходим в папку client1:
cd /etc/openvpn/easy-rsa/keys/client1На данный момент там находится 5 файлов:
ca.crt client.ovpn (конфиг файл) client1.crt client1.key ta.key
Теперь нужно быть внимательнее! В особенности с именами файлов.
Внедряем содержимое нужных файлов в наш конфиг .ovpn.
ПООЧЕРЕДИ, в том порядке, в котором это у меня. выполняем следующие команды.
Для ca.crt:
Код:
echo '<ca>' >> client.ovpn
cat ca.crt >> client.ovpn
echo '</ca>' >> client.ovpnТеперь для client1.crt:
Код:
echo '<cert>' >> client.ovpn
cat client1.crt >> client.ovpn
echo '</cert>' >> client.ovpnТеперь для client1.key:
Код:
echo '<key>' >> client.ovpn
cat client1.key >> client.ovpn
echo '</key>' >> client.ovpn
Код:
echo 'key-direction 1' >> client.ovpn
echo '<tls-auth>' >> client.ovpn
cat ta.key >> client.ovpn
echo '</tls-auth>' >> client.ovpnТеперь нужно еще немного отредактировать файл client.ovpn:
nano client.ovpnЛистаем, пока не наткнемся на блок:
Код:
ca ca.crt
cert client.crt
key client.key
Код:
#ca ca.crt
#cert client.crt
#key client.keyМожем запускать OpenVPN:
systemctl start openvpnили
/etc/init.d/openvpn startПОСЛЕ ЛЮБЫХ манипуляций в файле server.conf, для того что бы применились изменения, нужно перезапускать OpenVPN:
systemctl restart openvpnили
/etc/init.d/openvpn restartНо я хочу еще проделать какие-то модификации на server.conf и client.ovpn
Для начала я хотел бы привести оба конфига в более читабельный и простой вид, а именно, удалить все комментарии и пустые строки.
Сделать это легко.
Но для начала, на всякий случай, сделаем backup:
server.confcp /etc/openvpn/server.conf /etc/openvpn/server.conf.bakи client.ovpn:
cp /etc/openvpn/easy-rsa/keys/client1/client.ovpn /etc/openvpn/easy-rsa/keys/client1/client.ovpn.bakтеперь одной командой удаляем все комментарии (# и ; в начале строки) и пустые строки:
Код:
server.conf
sed -i '/^[#;]\|^$/ d' /etc/openvpn/server.conf
client.ovpn
sed -i '/^[#;]\|^$/ d' /etc/openvpn/easy-rsa/keys/client1/client.ovpnОткрываем server.conf
nano /etc/openvpn/server.confИ куда-нибудь в середину прихерачим следующее:
Код:
sndbuf 0
rcvbuf 0
topology subnet
auth SHA512nano /etc/openvpn/easy-rsa/keys/client1/client.ovpnКуда-нибудь в конфиг, до начала сертификатов и ключей:
Код:
sndbuf 0
rcvbuf 0
keepalive 10 120
auth SHA512Таким образом, мой конфиг server.conf выглядит так:
Код:
port 16122
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA512
comp-lzo
persist-key
persist-tun
log /dev/null 2>&1
verb 0А client.ovpn так (БЕЗ ключей и сертификатов):
Код:
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 111.222.111.222 14500
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
keepalive 10 120
comp-lzo
verb 3Если вы создавали пользователя и запрещали ssh коннект от рута, то первым делом нужно поместить .ovpn конфиг в домашнюю папку созданного пользователя. У меня это был pp-gerki:
cp /etc/openvpn/easy-rsa/keys/client1/client.ovpn /home/pp-gerkiИзменить права у файла:
chown pp-gerki:pp-gerki /home/pp-gerki/client.ovpnLinux.
Будем юзать sftp.
sftp -P 1488 pp-gerki@ipгде 1488 - порт на котором слушает sshd.
как законнектились, мы уже будем в домашней папке pp-gerki. Можем посмотреть файлы - вводим ls.
копируем конфиг:
get client.ovpn ~/Windows, linux, MacOS:
Скачиваем программу для работы по FTP - FileZilla (гуглите).
И подключаемся к серву по sftp. Нужено будет указать port sftp (у меня 1488), пользователя (pp-gerki, ибо руту зарпетили).
Копируем файл куда хотим и радуемся. Как пользоваться программой разберетесь сами.
Поднять OpenVPN вручную вам не под силу? Не отчаивайтесь, у меня для вас хорошие новости!
О Чудо!
На Github существует Open Source скрипт, который позволяет быстро и легко поднять OpenVPN сервер на вашем VPS.
Скрипт называется openvpn-install, и вот ссылка на Github: Для просмотра ссылки Войдиили Зарегистрируйся
И этого скрипта есть куча форков, которые вы можете изучить.
Посмотреть исходный код Для просмотра ссылки Войдиили Зарегистрируйся.
Приступим.
Работаем под пользователем root или суперпользователем.
Для начала, обновим систему:
и установим нужные пакеты:
Скачиваем скрипт в домашнюю папку root:
Переходим туда:
Запускаем скрипт:
И вы попадете в так называемый Инсталятор. Где нужно будет отвечать на вопросы или что-то вписывать. Для перехода на следующий этап установки жмите Enter.
Первый делом, предложит ввести внешний IP адрес, но вероятнее всего скрипт сам его определит:
Следующий этап, выбрать протокол. Я жму 1 и выбираю UDP.
Далее, выбираете порт. Я поставлю, например 14000.
После этого предложит выбрать DNS сервера. Выбор будет из Google, OpenDNS или текущих, которые на VPS и еще каких-то. Я выбираю OpenDNS, жму 3.
После этого предложит ввести имя клиента. Я введу "pp-gerki".
Далее начнется скачивание-уcтановка пакетов, генерация ключей, сертификатов и конфигурационных файлов.
когда все закончится, он поместит конфиг. в домашнюю папку юзера, от имени которого запсукался скрипт.
То есть, сейчас конфиг лежит по адресу:
Собственно, на этом конфигурация OpenVPN скриптом завершается.
Можно уже сейчас взять новый конфиг и использовать.
Просто, да?
Интересно, чего он там такого сгенерировал вам, посмотрим на конфиг pp-gerki.ovpn:
>>: (без ключей и сертификатов)
Все вроде бы нормально, да лучше auth SHA512 явно указать.
Поэтому добавим
Вот так:
Обратите внимание, что скрипт уже запихнул фичу для предотвращения утечки DNS под клиент Windows:
Если у вас Linux или MacOS - эту строку лучше закомментировать.
Теперь посмотрим на серверный конфиг server.conf:
>>:
Здесь также добавляем auth SHA512 (а то работать не будет, если на клиенте указан а на серве нет), делаем verb 0. Также нужно проделать следующее.
Нужно закомментировать строку
И добавить log:
Где-то выше писал, зачем он нужен.
Получилось так:
Берем клиентский файл-конфиг и помещаем на ваше устройство. Об этом я писал выше.
При повторном запуске скрипта из-под рута:
Скрипт предложит создать нового клиент, удалить существующего (не сможет больше коннектиться) или удалить OpenVPN.
О Чудо!
На Github существует Open Source скрипт, который позволяет быстро и легко поднять OpenVPN сервер на вашем VPS.
Скрипт называется openvpn-install, и вот ссылка на Github: Для просмотра ссылки Войди
И этого скрипта есть куча форков, которые вы можете изучить.
Посмотреть исходный код Для просмотра ссылки Войди
Приступим.
Работаем под пользователем root или суперпользователем.
Для начала, обновим систему:
apt-get update && apt-get dist-upgrade -yи установим нужные пакеты:
apt-get install -y sudo nano curl perl python wget git iptables openvpn openssl ca-certificatesСкачиваем скрипт в домашнюю папку root:
git clone https://github.com/Nyr/openvpn-install.git ~/nyr-openvpnПереходим туда:
cd ~/nyr-openvpn/Запускаем скрипт:
bash openvpn-install.shИ вы попадете в так называемый Инсталятор. Где нужно будет отвечать на вопросы или что-то вписывать. Для перехода на следующий этап установки жмите Enter.
Первый делом, предложит ввести внешний IP адрес, но вероятнее всего скрипт сам его определит:
IP address: 111.222.111.222Следующий этап, выбрать протокол. Я жму 1 и выбираю UDP.
Далее, выбираете порт. Я поставлю, например 14000.
После этого предложит выбрать DNS сервера. Выбор будет из Google, OpenDNS или текущих, которые на VPS и еще каких-то. Я выбираю OpenDNS, жму 3.
После этого предложит ввести имя клиента. Я введу "pp-gerki".
Далее начнется скачивание-уcтановка пакетов, генерация ключей, сертификатов и конфигурационных файлов.
когда все закончится, он поместит конфиг. в домашнюю папку юзера, от имени которого запсукался скрипт.
То есть, сейчас конфиг лежит по адресу:
/root/Собственно, на этом конфигурация OpenVPN скриптом завершается.
Можно уже сейчас взять новый конфиг и использовать.
Просто, да?
Интересно, чего он там такого сгенерировал вам, посмотрим на конфиг pp-gerki.ovpn:
nano ~/pp-gerki.ovpn>>: (без ключей и сертификатов)
Код:
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 111.222.111.222 14000
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
<ca>Все вроде бы нормально, да лучше auth SHA512 явно указать.
Поэтому добавим
auth SHA512Вот так:
Код:
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 111.222.111.222 14000
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA512
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3Обратите внимание, что скрипт уже запихнул фичу для предотвращения утечки DNS под клиент Windows:
setenv opt block-outside-dnsЕсли у вас Linux или MacOS - эту строку лучше закомментировать.
Теперь посмотрим на серверный конфиг server.conf:
nano /etc/openvpn/server.conf>>:
Код:
port 14000
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pemЗдесь также добавляем auth SHA512 (а то работать не будет, если на клиенте указан а на серве нет), делаем verb 0. Также нужно проделать следующее.
Нужно закомментировать строку
status openvpn-status.logИ добавить log:
log /dev/null 2>&1Где-то выше писал, зачем он нужен.
Получилось так:
Код:
port 14000
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
auth SHA512
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
#status openvpn-status.log
log /dev/null 2>&1
verb 0
crl-verify crl.pemБерем клиентский файл-конфиг и помещаем на ваше устройство. Об этом я писал выше.
При повторном запуске скрипта из-под рута:
bash /root/nyr-openvpn/openvpn-install.shСкрипт предложит создать нового клиент, удалить существующего (не сможет больше коннектиться) или удалить OpenVPN.
Надеюсь на благодарность, в виде лайков, за старания.
