Приветствую господа, поднял стары добрый OpenVPN, подключается, но не работает, adguard аналогично, погуглил, понял, что заблокированы они.
Сейчас хочу попробовать Amneziа, но по отзывам тоже у кого работает, у кого нет.
Есть гарантированно рабочие варианты?
VPS, роутер на open wrt.
Билайн, кабель.
Здравствуйте. Подскажите пожалуйста, как можно получить IP Казахстана более менее защищённые чтобы произвести оплату банковской картой. Смотрел VPS Казахстана для vpn, они стоят от 500 рублей в то время как зарубежные стоят от 230 рублей. Ну или может какие то другие идеи есть?
Добрый день, пикабушники!
Сразу скажу: я не собираюсь строить из себя эксперта в этой области, но в последнее время тема стала крайне актуальной, просили помочь с установкой и настройкой многие друзья и родственники, и даже тут, на пикабу, пришлось пару раз отметиться по этому вопросу, где меня и попросили запилить пост. (@Warspirit, ты в телевизоре). Ну что ж, мне не трудно, многим полезно.
Получилось очень, очень много букв, но ответственно заявляю, что по этой инструкции смогла купить сервер и подключиться к инстаграму моя бабушка, а это многого стоит. Если есть критика или дополнение – буду только рад услышать ваше мнение в комментариях.
В итоге у нас будет: недорогой VPN, работающий на арендованном нами сервере по протоколу OpenVPN, работающий быстрее всех бесплатных аналогов и очень многих платных. Самый простой, без всяких плюшек вроде маскировки туннеля, выбора отдельных сайтов, которые через этот туннель будут открываться и прочих финтифлюшек, простая рабочая машина, которая обеспечивает отличные скорость и конфиденциальность, а большего нам и не нужно. Итак, поехали.
Для начала определимся с терминологией на случай, если кому-то еще не прожужжали на эту тему все уши.
• VPN –надежный «туннель» от вас до удаленного сервера. Все провайдеры, спецслужбы и прочие заинтересованные лица снаружи могут увидеть только пункт назначения и гору непонятных буковок, которые представляют собой шифрованное «что, куда и откуда».
• VPS/VDS – между двумя этими понятиями для нас разницы нет. По сути, это виртуальный компьютер где-то далеко, на котором мы и будем поднимать VPN-сервер.
• VPN-сервер – программа, которая стоит на удаленном компьютере и является одной из сторон создания туннеля. Вторая сторона – ваш компьютер/телефон.
• OpenVPN – одна из технологий создания VPN-туннеля, созданная еще 20 лет назад, но с тех пор только прибавившая актуальности. Поддерживает десятки алгоритмов шифрования, имеет огромный пласт возможностей, но из всего этого нам надо знать то, что он быстр, он надежен и его еще никто не взломал. Во всяком случае, об этом не известно широкой аудитории, а абсолютно надежных систем не существует. Имеет приложения для Windows, Linux, Mac, Android и iPhone. Вероятность того, что ваше устройство не в этом списке, исчезающе мала.
• Хостер – тот, кто сдал вам в аренду сервер.
Затем нужно определиться с выбором сервера. Минимальные системные требования настолько минимальны, что подойдет практически любой VPS, который существует на рынке. В данный момент у меня трудится сервер с 512 МБ RAM, 10 ГБ ROM и одним 3 ГГц ядром процессора, а обычная нагрузка по всем показателям не превышает 10-20%. Единственное, на что стоит обратить внимание – наличие TUN/TAP устройства (если вам нужна эта статья, то никакой практической пользы эта информация вам не принесет, так что можете не вникать), но о его отсутствии обычно предупреждается большими красными буквами. Кроме того, обязательная характеристика – линукс. (проблем тут он вам не доставит). Желательно – Debian или CentOS последней версии, которая доступна на сайте. Windows не брать ни в коем случае, она дороже и не подходит для быстрой установки описанным способом. Операционная система выбирается при покупке сервера, потом ее можно переустановить.
С требуемыми характеристиками разобрались. Осталось определить местоположение сервера.
Если вам нужна конфиденциальность, то наилучшим вариантом, конечно же, будет зарубежный сервер. Как минимум потому, что вытащить информацию о том, куда ходил такой-то IP, из другой страны на порядок сложнее, чем потребовать ее от своего провайдера. Сам протокол OpenVPN предоставляет достаточную надежность, чтобы не бояться прослушки канала провайдером и заинтересованными лицами, особенно если поэкспериментировать с настройками шифрования (каждое изменение стандартных настроек, особенно алгоритма хеширования, усложняет взлом в разы при условии использования надежных алгоритмов).
После недавних колебаний курса цены на зарубежный VPS в общем выросли, но пока что еще держатся в пределах разумного (надеюсь, это надолго, но, возможно, при покупке имеет смысл оплатить сразу на несколько месяцев, чтобы потом не потратить лишнего). Сразу могу предупредить, что легко мог пропустить хорошее предложение, поэтому прошу добавить в комментариях, если у кого есть более вкусные варианты. Кроме того, я не знаю, что сейчас творится с оплатой зарубежных сервисов, так что эту сторону вопроса я попросту не учитывал.
Самый простой вариант выбора – загуглить «аренда vps в европе». Цены будут нормальными, но все же гораздо выше, чем если подбирать вдумчиво. Например, https://gcorelabs.com/ru/hosting/vds/europe/ За 240 рублей в месяц вы получаете вполне приятный по характеристикам сервер, несколько европейских столиц на выбор и 200 мбит/с канал с безлимитом по трафику. Но я бы все же рекомендовал открыть страницу с подбором сервера, как эта https://hostinghub.ru/vps-search/ и подобрать себе подходящий вариант в любой стране мира.
Из российских серверов подойдет практически любой. Я пользуюсь https://skyhost.ru за 84-80 руб/мес (в зависимости от периода оплаты. Довольно распространенная практика), но канал тут только 10 мбит/с, мне больше и не надо. Есть и дешевле, но там либо проблемы со стабильностью, либо большие ограничения. Если хотите скорости – https://justhost.ru/ , то же самое, но с каналом 200 мбит/с и на 20 рублей дороже. Хотите что-то интереснее – десятки сайтов-агрегаторов к вашим услугам по запросу «подбор vps.
Итак, с провайдером вы определились. Показывать процесс регистрации не имеет смысла - создаете аккаунт, выбираете сервер, операционную систему, оплачиваете. В случае возникновения трудностей пишите в комментарии или в службу поддержки. Второй вариант надежнее.
После оплаты вам на почту через некоторое время падает IP-адрес, логин и пароль. Выглядит это примерно так:
Обращаю ваше внимание, в письме одновременно может быть и адрес панели управления, но нам сейчас нужен блок, в котором находится IP (четыре числа, разделенных точкой).
Логин-пароль мы получили. Пользователи Linux и MacOS открывают терминал и вводят туда «ssh root@<IP-адрес сервера>, мы же идем на сайт https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.ht... и скачиваем вот этот файлик:
Открываем, соглашаемся с предупреждением, если оно возникает, устанавливаем. В меню программ появляется папка PuTTy, в ней мы открываем одноименный файл PuTTy. Появляется вот такое окно. В указанное окошко вводим IP, нажимаем Open. Больше ничего не меняем.
В итоге у всех вылезло черное окно терминала, в котором система просит нас ввести логин и пароль или просто пароль. (При первом подключении будет предупреждение о неизвестном сервере, соглашаемся). Вводим. (Копирование и вставка осуществляются с помощью нестандартных Ctrl+Shift+C/V, кроме того, вставить можно просто кликом правой кнопкой мыши по окну. Символы пароля при вводе не отображаются даже в виде звездочек. Не пугайтесь, они есть, просто невидимы. Ошиблись – три секунды держите кнопку «стереть»). Иногда случается так, что присланный пароль не работает ни в какую, тогда мы идем на сайт хостера и через панель клиента меняем его на свой. Обычно там все написано, но если возникли проблемы – опять же, комментарии или техподдержка.
В итоге у нас есть вот такое окно, в которое последовательно вставляем три команды, после каждой нажимаем «ввод» и дожидаемся завершения (снова появится вот такая строка-приглашение к вводу)
Команды взяты со страницы разработчика скрипта: https://github.com/angristan/openvpn-install . Все проверено, вирусов нет. Копируем полностью, от первого символа до последнего, точки не забываем, пробелы в конце и в начале простительны
1.
2. chmod +x openvpn-install.sh
3. ./openvpn-install.sh
После этого программа начинает работать сама, вам нужно лишь нажимать Ввод, когда она просит, оставляя все как есть, и дожидаться того момента, когда она попросит придумать имя нового подключения. Займет это около минуты. Приглашение выглядит так:
Придумываем не слишком сложное имя и два раза нажимаем Ввод, пока снова не появится приглашение ко вводу. Вводим команду ls (эл-эс английские, маленькие)
Появится список всех файлов в данной директории. Среди них будет один под названием <введенное_вами_имя>.ovpn Печатаем:
cat <введенное_вами_имя>.ovpn
Выделяем снизу вверх все от “</tls-crypt> до строчки “client”, строка приглашения к вводу в выделение попасть не должна. Копируем сочетанием клавиш Ctrl+Shift+C. Открываем блокнот и вставляем. Сохраняем где-нибудь на рабочем столе с любым именем файла, но заканчиваться оно должно на .ovpn. Обратите внимание на рамочку на скриншоте, там должно значиться именно «Все файлы».
Идем на сайт https://openvpn.net/vpn-client/ и скачиваем приложение под свою систему. Устанавливаем. Открываем. Окно выглядит так. Переходим на вкладку File и перетягиваем в окошко наш файлик, сохраненный на рабочем столе, либо открываем его же с помощью кнопки Browse
Нажимаем оранжевую кнопочку Connect и наслаждаемся. Значок программы появился на панели задач, когда надо включить или отключить VPN (некоторые сайты, тот же авито, отказываются через него работать) мы нажимаем на нее и используем зеленый переключатель в левом верхнем углу.
Приложение для телефона можно скачать в Play Market или App Store. Для него потребуется точно такой же файлик, можно даже этот. Но два одновременных соединения с помощью одного файлика (он называется профиль) установить не получится, поэтому для создания второго, третьего и десятого, которые можно распространить по всей семье или среди друзей, мы снова подключаемся к серверу, как и раньше, и вводим команду
Выпадает небольшое меню, в котором мы можем добавить новый профиль, удалить один из существующих (он больше не сможет подключиться) или вовсе удалить OpenVPN с сервера. Выбираем 1, придумываем имя, два раза нажимаем на ввод и опять копируем вывод команды cat <введенное_вами_имя>.ovpn в файлик на рабочем столе, откуда его можно передать куда угодно. Работает пересылка по ватсап и телеграм, а также по другим мессенджерам. На принимающей стороне надо всего лишь установить приложение и нажать на присланный файл, после чего соединиться.
Как-то так. В ближайшем будущем планировал записать нормальное видео, как это делается, и добавить в комментарии, но пока что существует только текстовая инструкция. Создано под давлением родственников и знакомых)
1) Выбираем поставщика (пример).
2) Снимаем сервер с Ubuntu, завершаем регистрацию.
3) Логинимся на сервере через утилиту Putty и запускаем в терминале скрипт отсюда (GitHub). Ждем окончания процесса.
4) Логинимся на сервере через утилиту WinSCP и вытаскиваем с сервера файл вида *.ovpn.
5) Используем полученный файл при настройке OpenVPN на Android / iPhone / ПК.
6) Файл вида *.ovpn можно использовать для настройки домашнего роутера: весь ваш домашний Интернет-трафик отныне будет перемещаться в зашифрованном виде через ваш же сервер. Настройка производится в разделе "VPN" роутера (или аналогичном).
Помучится я месяц с настройкой своего собственного VPS, и думаю возможно кому то будет полезно.
Поискав не много, наткнулся на skyhost, но как не старался уровня знаний не хватило с этим сервером справится, потратил месяц и 150 руб.
Продолжил поиск, наткнулся на digitalocean, тарифа за 5 зеленых достаточно.
После установки Ubuntu приходит пароль для ssh соединения.
Используем PuTTY для соединения, ip пасс и логин с почты.
После соединения попросит сменить пасс, меняем.
Далее вводим скрипт wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Ссылка на сам скрипт https://github.com/Nyr/openvpn-install
Там все просто, следуем инструкциям.
Перезагружаем сервер sudo reboot
Соединяемся, вводим пароль который меняли и выдергиваем файл конфигурации VPN c расширением .ovpn
Устанавливаем на windows openvpn, закидываем в папку конфига наш файл .ovpn, жмем соединиться.
Все работает. Проверяем.
Не реклама, если кому нужно 10 баксов по рефералке https://m.do.co/c/a17e8797fa59
Привет всем. Я сам родом из Украины. Кто не в курсе, наш президент запретил вконтакте, одноклассни, яндекс и mail.ru. Эти все сервисы очень важны для меня и я начал думать как ими пользоваться. Для android ставил Orbot (клиент TOR), OperaMax, OpenVPN(zaborona.help), для компьютера пользовался Opera с её встроенным VPN. Но все эти способы не устраивали меня. Сервис Zaborona.help подходил, но мне не нравилась маршрутизация через русский ip и что я не могу контролировать его. Скажу сразу - у меня нет неприязни к русским.
Захотелось себе свой openvpn сервер. Начал я со сбора информации : что это за штука VPS, как с ней работать, как поставить openvpn, сколько стоит это удовольствие, какая мощность мне нужна для сервера
Что такое VPS? Википедия дала исчерпывающий ответ . И главное что я понял это не отдельный компьютер для сервер, а виртуальная машина на основе физического сервера.
Стоит такая штука от 1 доллара/евро в месяц в зависимости от мощности. Можно найти предложения и подешевле при оплате сразу за год.
Как я прочёл на хабре для сервера openvpn достаточно 256 мегабайт ОЗУ и процессор от 1 Ггц.
Openvpn - это открытая реализация сервера VPN. Работает на Windows/Linux/Android/iOS.
Чтобы поставить openvpn на VPS можно воспользоваться кучей гайдов из сети или качнуть скрипт автоматической установки.
Управлять сервером нужно через конфигурационные файлы.
Итак: я купил VPS в Италии (сервис не буду называть чтобы не сочли за рекламу, он еще и в Чехии работает) за 1 евро в месяц. Мой конфиг :
Linux
1 Core Intel® Xeon® E5-2650L v4
1 GB RAM
20 GB SSD Storage
2TB/month data transfer
Мне такого хватит с головой.
Процесс оплаты я не буду описывать там всё стандартно.
При регистрации нужно ввести Hostnamе. Сначала меня ввело это в ступор, т.к. предлагалось в placeholder (серые буквы в поле ввода) ввести имя сайта. Но это не так, это нужно просто ввести имя машины, название сервера. Дальше я выбрал операционную систему Ubuntu 16.04. Ввёл данные для root пользователя, подождал 5 минут и мой сервер готов к установке openvpn. Чтобы получить доступ к его потрохам я скачал последнюю версию ssh клиента Putty (версия 0.7), установил её и получил доступ к командной строке.
Установка и настройка проходил по шагам:
1. Установил mc apt-get install mc . Ктопомнит нортонн командер или работает с FAR меня поймёт
2. Добавил в source list репозитарий openvpn. Использовал для этого команды:
wget -O - https://swupdate.openvpn.net/repos/repo-public.gpg|apt-key add -
echo "deb http://build.openvpn.net/debian/openvpn/ release/2.4 xenial main" > /etc/apt/sources.list.d/openvpn-aptrepo.list
3. Установил openvpn c помощью скрипта отсюда. Почему именно оттуда, мне было лень выполнять гайды состоящие из кучи шагов. При установке скрипт будет задавать вопросы в которых нужно будет сделать выбор типа сети, порта, названия файла конфигурации. Сам файл будет в /root.
4. Приступил к настройке самого сервера. Идею как его настроить почерпнул из конфигов Zaborona.help на гитхабе. Т.е. на моём сервере как и на забороне будет прокидывать vpn тунелль только к заблокированным сайтам. Адреса сайтов взял из конфигов забороны. Но я ещё хотел чтобы можно было весь трафик пускать через vpn.
5. Итак у меня получилось 2 конфига.
server.conf:
port 1194 #порт на котором работает сервер
proto tcp #протокол работы сети
dev tun
sndbuf 0
rcvbuf 0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
auth SHA512
tls-auth /etc/openvpn/ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0 #ip адреса для клиентов сервера
#ifconfig-pool-persist ipp.txt
#push "redirect-gateway def1 bypass-dhcp" #после раскомментирования строки весь трафик будет идти чрез vpn
push "dhcp-option DNS 208.67.222.222" #использую OPENDNS
push "dhcp-option DNS 208.67.220.220"
push "route 208.67.220.220"
push "route 208.67.220.222"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify /etc/openvpn/crl.pem
#log-append openvpn.log
mode server
duplicate-cn
# Routes - маршруты на запрещённые сайты
# Yandex network
push "route 5.45.192.0 255.255.192.0"
push "route 5.255.192.0 255.255.192.0"
push "route 37.9.64.0 255.255.192.0"
push "route 37.140.128.0 255.255.192.0"
push "route 77.75.152.0 255.255.248.0"
push "route 77.88.0.0 255.255.192.0"
push "route 84.201.128.0 255.255.192.0"
push "route 87.250.224.0 255.255.224.0"
push "route 93.158.128.0 255.255.192.0"
push "route 95.108.128.0 255.255.128.0"
push "route 100.43.64.0 255.255.224.0"
push "route 109.235.160.0 255.255.248.0"
push "route 130.193.32.0 255.255.224.0"
push "route 141.8.128.0 255.255.192.0"
push "route 178.154.128.0 255.255.128.0"
push "route 185.32.185.0 255.255.255.0"
push "route 185.32.186.0 255.255.255.0"
push "route 185.71.76.0 255.255.252.0"
push "route 199.21.96.0 255.255.252.0"
push "route 199.36.240.0 255.255.252.0"
push "route 213.180.192.0 255.255.224.0"
#push "route-ipv6 2001:678:384::/48"
#push "route-ipv6 2620:10f:d000::/44"
#push "route-ipv6 2a02:6b8::/32"
#push "route-ipv6 2a02:5180::/32"
# Mail.ru network
push "route 5.61.16.0 255.255.248.0"
push "route 5.61.232.0 255.255.248.0"
push "route 79.137.157.0 255.255.255.0"
push "route 79.137.183.0 255.255.255.0"
push "route 94.100.176.0 255.255.240.0"
push "route 95.163.32.0 255.255.224.0"
push "route 95.163.248.0 255.255.248.0"
push "route 128.140.168.0 255.255.248.0"
push "route 178.22.88.0 255.255.248.0"
push "route 178.237.16.0 255.255.240.0"
push "route 185.5.136.0 255.255.252.0"
push "route 185.16.148.0 255.255.252.0"
push "route 185.16.244.0 255.255.252.0"
push "route 188.93.56.0 255.255.248.0"
push "route 194.186.63.0 255.255.255.0"
push "route 195.211.20.0 255.255.252.0"
push "route 195.211.128.0 255.255.252.0"
push "route 195.218.168.0 255.255.255.0"
push "route 208.87.92.0 255.255.252.0"
push "route 217.20.144.0 255.255.240.0"
push "route 217.69.128.0 255.255.240.0"
push "route 185.6.244.0 255.255.252.0"
push "route 185.30.176.0 255.255.252.0"
push "route 195.218.190.0 255.255.254.0"
#push "route-ipv6 2a00:1148::/32"
#push "route-ipv6 2a00:a300::/32"
#push "route-ipv6 2a00:b4c0::/32"
#push "route-ipv6 2a04:4b40::/29"
# VK.com network
push "route 87.240.128.0 255.255.192.0"
push "route 93.186.224.0 255.255.240.0"
push "route 95.142.192.0 255.255.240.0"
push "route 95.213.0.0 255.255.192.0"
push "route 185.29.130.0 255.255.255.0"
push "route 185.32.248.0 255.255.252.0"
# Kaspersky network
push "route 77.74.176.0 255.255.252.0"
push "route 77.74.181.0 255.255.255.0"
push "route 77.74.183.0 255.255.255.0"
push "route 93.159.228.0 255.255.252.0"
push "route 185.54.220.0 255.255.254.0"
push "route 185.85.12.0 255.255.255.0"
push "route 185.85.14.0 255.255.254.0"
push "route 77.74.176.0 255.255.248.0"
push "route 91.103.64.0 255.255.248.0"
push "route 93.159.224.0 255.255.248.0"
#push "route-ipv6 2a03:2480::/33"
# DrWeb
push "route 178.248.232.183 255.255.255.255"
push "route 178.248.233.94 255.255.255.255"
push "route 195.88.252.0 255.255.254.0"
server2.conf:
port 1193
proto tcp
dev tun2
sndbuf 0
rcvbuf 0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
auth SHA512
tls-auth /etc/openvpn/ta.key 0
topology subnet
server 10.8.1.0 255.255.255.0
#ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify /etc/openvpn/crl.pem
duplicate-cn
6. Чтобы заработало сразу 2 конфига нужно было в файле /etc/rc.local добавить маршрутизацию и запуск 2-х экземпляров сервера
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to ip_address_vps
iptables -t nat -A POSTROUTING -s 10.8.1.0/24 ! -d 10.8.1.0/24 -j SNAT --to ip_address_vps
sudo service openvpn start server
sudo service openvpn start server2
до строчки exit
7. Команды управления openvpn:
openvpn --config /etc/openvpn/server.conf - проверка выбранного конфига, нет ли в нём конфликтующих опций
service openvpn restart или stop или start или status
8. Установка и настройка ftp сервера - чтобы забрать файл конфигурации для клиентов
apt-get install vsftpd
конфиг находится по пути /etc/vsftpd.conf
мой конфиг:
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
use_localtime=YES
connect_from_port_20=YES
xferlog_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO
utf8_filesystem=YES
chroot_local_user=NO - опция отвечающая чтобы юзер попадал только в свою домашнюю дтректорию
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list - список юзеров у которых доступен вход в домашнюю директорию
Чтобы зайти на ftp сервер нужно создать отдельного пользователя командой
useradd ftp_user - вводим ему пароль, потом идём в /home/ftp_user и создаём папку с правами на запись.
Нюанс заключается в том что в самой директории /home/ftp_user права только на чтение, а в созданной папке уже и на запись.
/etc/vsftpd.chroot_list содержит только имя юзера ftp_user
9. Скачиваем файл конфигурации и изменяем его для 2-х конфигов.
Менять нужно только порт чтобы соответсвовал конфигу. Для каждого конфига свой файл конфигурации.
10. Для windows качаем openvpn клиент, импортируем конфигурацию и подключаемся. Для android я рекомендую использовать "Openvpn для Android", тоже делаем импорт конфигурации и настраиваем какие приложения должны бегать через vpn.
После всего этого осталось только вовремя оплачивать аренду сервера.
Ранее я писал как установить OpenVPN сервер подробно и с картинками (1, 1.1(она же 4), 2, 3, 5). Если вы воспользовались моими инструкциями, то вам пришлось создавать сертификаты, настроить OpenVPN сервер, настроить iptables, создать конфиг-файлы для клиентских устройств. Ничего сложного там нет, но тем не менее, даже такие комиксы не всем под силу. Тогда предлагаю воспользоваться моим скриптом.
Сам скрипт выложен на GitHUB, посмотреть можно здесь.
Вам пондобиться выбрать и арендовать VPS. Как это сделать написано здесь. Нам понадобиться VPS на CentOS 7. Далее, желательно настроить SSH на вход по сертификату. Инструкция здесь. В этой же инструкции написано, как скачивать файлы с сервера с помощью WinSCP.
Отлично, вы вошли на свой сервер по SSH. Выполняем команду:
wget https://raw.githubusercontent.com/secfall/ovpn_install/maste... && bash ovpn_install.sh
И всё. Скрипт скачется, запустится и начнет задавать вам вопросы и комментировать свои действия на русском языке. Вам останется лишь читать и отвечать на вопросы скрипта. После установки OpenVPN скрипт перзагрузит сервер. После этого можете заходить с помощью WinSCP и скачивать из папки /root/ файл(ы) .ovpn с уже «вшитыми» в них сертификатами. Дальше применяете их как описано в этой статье.
Для установки прозрачного прокси-сервера 3proxi (про него в этой статье) запустите мой скрипт командой
bash /root/ovpn_install.sh
и выбирайте нужный пункт меню. В том же меню вы можете создать новых пользователей или удалить уже имеющихся.
Все генерируемые файлы срипты, конфиги и файлы, а также их расположение полностью совпадают с описанными в моих статьях.
Пользуйтесь на здоровье.
Предыдущие части: 1, 1.1(она же 4), 2, 3
Если вы вдохновились моими статьями и сделали всё, как написано, то у вас уже есть:
1. Сервер, расположенный где-то в дебрях Европы.
2. На сервере настроен вход SSH по сертификату и файрвол.
3. На сервер установлен VPN-сервер, сгенерирован ворох сертификатов для сервера и клиентов.
4. Ваши устройства (компьютеры, смартфоны, планшеты и т.п.) настроены на соединение с VPN-сервером.
Теперь ваш трафик по территории собственной страны идет только в зашифрованном виде, а доступ к ключам шифрования только у вас.
Казалось бы, живи и радуйся. Но не всё так просто. Ваше клиентское устройство, напрямую или косвенно, продолжает многое сообщать о вас: тип устройства, операционная система, внутренний IP адрес, и пр. Так происходит, потому что VPN-ервер не модифицирует полученные от вас пакеты, он просто их расшифровывает и отправляет в сеть.
Хватит это терпеть! Мы запилим свой прокси-сервер с анонимностью и прозрачностью.
Из статьи в википедии:
Proxy server (Прокси сервер) – промежуточный компьютер, который является посредником между вашим компьютером и Интернетом. Прокси обычно используют либо для ускорения работы в сети Интернет, либо для анонимного прохождения в сети Интернет. Так же использование анонимного прокси, может быть использовано, как дополнительное средство защиты: анонимный прокси (anonymous proxy) подменяет Ваш IP-адрес, и злоумышленник будет пытаться совершить атаку не на Ваш компьютер, а на прокси сервер, у которого, зачастую, максимально мощная система защиты.
Там ещё есть интересное в статье, почитайте.
Нас интересует умение прокси подменять отправителя пакетов и обрезать из них всё лишнее. Т.е. повысить нашу анонимность. Я уже писал в первой части, что 100% анонимности мы не добьёмся, но двигаться в этом направлении мы будем.
Есть over9000 реализаций прокси. Изначально я хотел использовать squid в связке с squidguard + adblock, но с кальмаром возникли проблемы. В разных версиях дистрибутивов он вёл себя по-разному с протоколом https, да и вообще последние его редакции какие-то не удачные. Поскольку данная статья рассчитана на не квалифицированного читателя, то перегружать её всеми возможными костылями для squid я посчитал не целесообразным. Поэтому, после недолгих исканий, был выбран 3proxy. В дальнейшем я всё-таки запили статью про squid.
И да, как вы наверняка помните, наш файрволл настроен таким образом, что прокси будет принимать подключения только от клиентов VPN-сети.
Пока мы еще не сделали анонимный прокси, попробуйте позаходить на сайты, показывающие степень вашей анонимности. Например:
https://do-know.com/privacy-test.html
и прочие. Тысячи их. Потом сравните с тем, что будет после настройки прокси.
Хватит читать, открываем консоль. Будем отращивать бороду собирать наш прокси из исходников.
Установим компилятор
yum -y install gcc
Перейдём в домашнюю папку
cd ~
Быстренько посмотрим, какая версия 3proxy сейчась актуальна на странице загрузок https://www.3proxy.ru/download/
На момент написания статьи это была версия 0.8.9
Качаем её
wget https://github.com/z3APA3A/3proxy/archive/0.8.9.tar.gz
Распаковываем
tar -xvzf 0.8.9.tar.gz
И переходим в папку с исходниками
cd 3proxy-0.8.9
В опциях исходников делает наш сервер полностью анонимным.
sed -i '1s/^/#define ANONYMOUS 1\n/' ./src/proxy.h
Компилируем (О да! Теперь вы можете хвастаться, что в линуксе компилировали из сырцов. Чувствуете, как на вашем лице начинает пробиваться борода, на спине прорастать свитер?)
make -f Makefile.Linux
Подготовим рабочее место для нашего прокси
mkdir -p /etc/3proxy/bin
touch /etc/3proxy/3proxy.pid
Теперь перенесем скомпилированные исполняемые файлы в рабочую папку
cp ./src/3proxy /etc/3proxy/bin
cp ./src/TransparentPlugin.ld.so /etc/3proxy/bin
cp ./cfg/3proxy.cfg.sample /etc/3proxy/3proxy.cfg
В папке /etc/rc.d/init.d
создаем файл 3proxy следующего содержания
#!/bin/sh
#
# chkconfig: 2345 20 80
# description: 3proxy tiny proxy server
#
#
#
#
case "$1" in
start)
echo Starting 3Proxy
/etc/3proxy/bin/3proxy /etc/3proxy/3proxy.cfg
RETVAL=$?
echo
[ $RETVAL ]
;;
stop)
echo Stopping 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall 3proxy
fi
RETVAL=$?
echo
[ $RETVAL ]
;;
restart|reload)
echo Reloading 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill -s USR1 `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall -s USR1 3proxy
fi
;;
*)
echo Usage: $0 "{start|stop|restart}"
exit 1
esac
exit 0
Сохраняем и устанавливаем права 0755. К сожалению формат пикабу не позволяет разместить тексты скриптов с нормальным форматированием. Можете посмотреть, как он выглядит в нормальном виде здесь. Но и без форматирования работать будет.
Теперь откроем файл /etc/3proxy/3proxy.cfg
Удалите всё его содержимое и вставьте следующее:
daemon
pidfile /etc/3proxy/3proxy.pid
plugin /etc/3proxy/bin/TransparentPlugin.ld.so transparent_plugin
nserver 8.8.8.8
nserver 8.8.4.4
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
#log /dev/null
log /etc/3proxy/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
external 123.123.123.123
internal 10.8.0.1
auth none
maxconn 64
allow *
parent 1000 http 0.0.0.0 0
allow *
parent 1000 socks5 0.0.0.0 0
tcppm -i10.8.0.1 8080 127.0.0.1 11111
Здесь, в строчке
external 123.123.123.123
место 123.123.123.123 вписываем IP адрес вашего сервера.
Сохраним и закроем.
Прокси-сервер готов к запуску. Запустим его
service 3proxy start
Отлично, прокси запустился.
Если пишет ошибки, смотрим, что написано в консоли, что написано в /etc/3proxy/3proxy.log.[дата и время лога]
Если вы всё сделали в точности, как написано выше, ошибок быть не должно.
Теперь нам нужно поправить правила для iptables. Чтобы не настраивать прокси-сервер на всех клиентских устройствах (на смартфонах это зачастую попросту невозможно без рут-прав), мы сделаем наш прокси-сервер прозрачным. Т.е. для клиентов он будет не виден. Однако весь трафик, приходящий по VPN будет заворачиваться на прокси-сервер, а уже потом отправляться в открытую сеть.
Открываем Файл /root/ipt-set и аккуратно вносим следующие исправления:
Находим строчку:
SQUID_PORT=»8080″
и исправляем на
PROXI_PORT=»8080″
Находим строчки
# squid
$IPT -A INPUT -i $IF_OVPN -p tcp —dport $SQUID_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp —dport $SQUID_PORT -j ACCEPT
и исправляем на
# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp —dport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp —dport $PROXI_PORT -j ACCEPT
И сразу, после этих строчек добавляем ещё две:
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp —dport 80 -j DNAT —to-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp —dport 443 -j DNAT —to-destination 10.8.0.1:$PROXI_PORT
Сохраняем и закрываем файл.
Приведу, на всякий случай, файл /root/ipt-set полностью:
#!/bin/sh
IF_EXT="venet0"
IF_OVPN="tun0"
OVPN_PORT="443"
PROXI_PORT="8080"
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
# flush
$IPT --flush
$IPT -t nat --flush
$IPT -t mangle --flush
$IPT -X
$IPT6 --flush
# loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# default
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
# allow forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
# #########################################
# SNAT - local users to out internet
$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
# INPUT chain
# #########################################
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ssh
$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT
# VPN
$IPT -A INPUT -i $IF_OVPN -p icmp -s 10.8.0.0/24 -j ACCEPT
# DNS
$IPT -A INPUT -i $IF_OVPN -p udp --dport 53 -s 10.8.0.0/24 -j ACCEPT
# openvpn
$IPT -A INPUT -i $IF_EXT -p udp --dport $OVPN_PORT -j ACCEPT
# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp --dport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp --dport $PROXI_PORT -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
# FORWARD chain
# #########################################
$IPT -A FORWARD -i $IF_OVPN -o $IF_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_EXT -o $IF_OVPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
# OUTPUT chain
# #########################################
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Теперь весь трафик из VPN для портов 80 и 443 (т.е. http и https) будет перенаправлен на наш прокси.
Применим правила командой:
/root/ipt-set
Если вы прямо сейчас подключены к VPN-серверу, то уже можете заходить на разные сайты и проверять, что всё работает. Зайдите на один-два любых сайта, убедитесь, что они открываются. Теперь посмотрите в файл лога /etc/3proxy/3proxy.log.[дата и время лога]
В нем вы должны увидеть свою активность. Если всё работает, то остановим наш прокси:
service 3proxy stop
Откроем его конфиг /etc/3proxy/3proxy.cfg и строчки:
#log /dev/null
log /etc/3proxy/3proxy.log D
logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»
превратим в:
log /dev/null
#log /etc/3proxy/3proxy.log D
#logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»
Теперь прокси-сервер не будет писать логи и сохранять историю посещений сайтов. Сразу удалим уже имеющийся лог /etc/3proxy/3proxy.log.[дата и время лога]
И запустим прокси:
service 3proxy start
И добавим его в автозагрузку:
/sbin/chkconfig 3proxy on
Итак, что мы имеем после выполнения всех инструкций:
1. Арендован и настроен VPS. Вход по сертификату.
2. Установлен и настроен личный VPN-сервер и, в нагрузку, свой удостоверяющий уентр.
3. Настроены клиенты VPN-сети.
4. Установлен и настроен анонимный, прозрачный прокси-сервер.
В следующих статьях мы добавим еще немного анонимности нашему серверу и вообще поговорим за личную информационную безопасность во всемирной паутине. Не переключайтесь.
