В посте, на который идет данный ответ, автор не упомянул такую штуку как WireGuard. Хотя в комментариях он упоминался. Как по мне, это реально самый простой метод поднять VPN туннель с высокой и стабильной скоростью.
Из реального опыта пользования:
Уже год ввиду некоторой специфики держу на нем сервера игры Minecraft + MySql + DiscordApps + HTTP траффик, ну и парочка девайсов для общего пользования интернетом.
Общая картина сети выглядит примерно так (paint master ON):

Извиняюсь за "пэинтность" картинки, нарисовал  по быстрому в сплане.
Для общего понимания - через построенный VPN туннель на базе WireGuard у меня в месяц идет трафик порядка 4ТБ. Аптайм каналов равняется аптайму самих серверов. За год было только три сбоя с самим WG - два раза это обновления/патчи ПО, связанного с сетью, после чего трафик заворачивался в "дулю", и один раз хостер на основной VPS изменил настройки сети и у меня "отвалился" порт.
Пинги у игроков выходят крайне низкие, скорость доступа высокая, никаких заморочек для повторных соединений не требуется.
Из минусов WireGuard стоит отметить дополнительную нагрузку на ЦП, что на мобильных устройствах сказывается на повышенном потреблении заряда батареи.

Так что же это за зверь такой, WireGuard?

WireGuard - это бесплатное программное приложение с открытым исходным кодом и протокол связи, который реализует методы виртуальной частной сети (VPN) для создания безопасных соединений точка-точка в маршрутизируемых или мостовых конфигурациях

А теперь проще. Для запуска VPN-туннеля нам потребуется только 1 сервер, с которым мы будем соединятся и с которого мы будем "ходить" в сеть. На клиентских устройствах нет необходимости иметь "белый" Ip, пробрасывать порты и заниматься подобным безобразием, так как WG работает с помощью широковещательной рассылки - основной сервер "слушает" нужный порт и отвечает на приходящие запросы.
На примере ниже опишу как настроить канал клиент-сервер на примере Ubuntu 18.04 и Android, но для других ОС процесс практически не отличается, почитать можно на английском тут
В качестве заметки - рекомендую использовать для SSH Bitvise SSH Client, как по мне он очень удобный.

(Далее текст частично копипаста)

WireGuard поддерживает свой собственный репозиторий APT, из которого мы будем устанавливать пакет и обновлять его при появлении новой версии.

Обновите список пакетов и установите инструменты, необходимые для управления системными репозиториями. Скорее всего, у вас уже есть пакет на вашем компьютере:

sudo apt update
sudo apt install software-properties-common

Добавьте репозиторий WireGuard:

sudo add-apt-repository ppa:wireguard/wireguard

При появлении запроса нажмите Enter, чтобы продолжить. add-apt-repository также автоматически обновит список пакетов.

Установите пакет WireGuard:

sudo apt install wireguard

WireGuard работает как модуль ядра, который скомпилирован как модуль DKMS. В случае успеха вы увидите следующий вывод:

wireguard:
Running module version sanity check.
- Original module
- No original module exists within this kernel
- Installation
- Installing to /lib/modules/4.15.0-88-generic/updates/dkms/
depmod...
DKMS: install completed.

При обновлении ядра модуль WireGuard будет скомпилирован с новым ядром.

Настройка.

WireGuard поставляется с двумя инструментами командной строки: wg и wg-quick, которые позволяют вам настраивать и управлять интерфейсами вашего туннеля.

Выполните следующую команду, чтобы сгенерировать открытый и закрытый ключи:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Файлы будут сгенерированы в каталоге /etc/wireguard. Вы можете просматривать файлы с помощью cat или less. Закрытый ключ никогда не должен никому передаваться.
Теперь, когда ключи сгенерированы, нам нужно настроить туннельное устройство, которое будет маршрутизировать трафик VPN.

Устройство можно настроить либо из командной строки с помощью ip и wg, либо путем создания файла конфигурации с помощью текстового редактора.

Создайте новый файл с именем wg0.conf и добавьте следующее содержимое:

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = SERVER_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

Интерфейс может быть назван как угодно, однако рекомендуется использовать что-то вроде include wg0 или wgvpn0. Настройки в разделе интерфейса имеют следующее значение:

Адрес – разделенный запятыми список IP-адресов v4 или v6 для интерфейса wg0. Используйте IP-адреса из диапазона, зарезервированного для частных сетей (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16).

ListenPort – порт, на который WireGuard будет принимать входящие соединения.

PrivateKey – закрытый ключ, сгенерированный командой wg genkey. (Чтобы увидеть содержимое файла запуска: sudo cat /etc/wireguard/privatekey)

SaveConfig – при значении true текущее состояние интерфейса сохраняется в файле конфигурации при завершении работы.

PostUp – команда или скрипт, который выполняется до запуска интерфейса. В этом примере мы используем iptables для включения маскировки. Это позволит трафику покинуть сервер, предоставив VPN-клиентам доступ в Интернет. Обязательно замените ens3 после -A POSTROUTING, чтобы соответствовать имени вашего общедоступного сетевого интерфейса. Вы можете легко найти интерфейс, выполнив следующую команду:

ip -o -4 route show to default | awk '{print $5}'

PostDown – команда или сценарий, который выполняется перед выключением интерфейса. Правила iptables будут удалены после отключения интерфейса.

Файлы wg0.conf и privatekey не должны быть доступны для чтения для обычных пользователей. Используйте chmod для установки разрешений 600:

sudo chmod 600 /etc/wireguard/{privatekey,wg0.conf}

Когда закончите, приведите wg0 интерфейс в действие, используя атрибуты, указанные в файле конфигурации:

sudo wg-quick up wg0

Команда выдаст вывод, подобный следующему:

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Запустите wg show wg0 для проверки состояния интерфейса и конфигурации:

sudo wg show wg0

interface: wg0

public key: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=

private key: (hidden)

listening port: 51820

Чтобы вывести интерфейс WG во время загрузки системы, выполните следующую команду:

sudo systemctl enable wg-quick@wg0

Сеть сервера и настройка брандмауэра

Чтобы NAT работал, нам нужно включить IP-пересылку. Откройте файл /etc/sysctl.conf и добавьте или раскомментируйте следующую строку:

sudo nano /etc/sysctl.conf
/etc/sysctl.conf
net.ipv4.ip_forward=1

Сохраните файл и примените изменения:

sudo sysctl -p
net.ipv4.ip_forward = 1

Если вы используете UFW для управления брандмауэром, вам нужно открыть UDP-трафик через порт 51820:

sudo ufw allow 51820/udp

Вот и все. Пир Ubuntu, который будет действовать как сервер, был настроен.

Настройка клиентов Linux и других ОС.

Инструкции по установке для всех поддерживаемых платформ доступны по адресу https://wireguard.com/install/. В системах Linux вы можете установить пакет с помощью менеджера дистрибутива и в MacOS с помощью brew. После установки WireGuard выполните следующие действия, чтобы настроить клиентское устройство.

Процесс настройки клиента Linux и macOS практически такой же, как и для сервера. Начните с создания открытого и закрытого ключей:

wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey

Создайте файл wg0.conf и добавьте следующее содержимое:

sudo nano /etc/wireguard/wg0.conf
/etc/wireguard/wg0.conf
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP_ADDRESS:51820
AllowedIPs = 0.0.0.0/0

Настройки в разделе интерфейса имеют то же значение, что и при настройке сервера:

Адрес – разделенный запятыми список IP-адресов v4 или v6 для интерфейса wg0.

PrivateKey – Чтобы увидеть содержимое файла на клиентском компьютере, выполните: sudo cat /etc/wireguard/privatekey

Одноранговый раздел содержит следующие поля:

PublicKey – открытый ключ партнера, к которому вы хотите подключиться. (Содержимое файла сервера /etc/wireguard/publickey).

Конечная точка – IP-адрес или имя хоста узла, к которому вы хотите подключиться, за которым следует двоеточие, а затем номер порта, который прослушивает удаленный узел.

AllowedIPs – разделенный запятыми список IP-адресов v4 или v6, с которых разрешен входящий трафик для узла и на который направляется исходящий трафик для этого узла. Мы используем 0.0.0.0/0, потому что мы маршрутизируем трафик и хотим, чтобы одноранговый сервер отправлял пакеты с любым исходным IP.

Если вам нужно настроить дополнительные клиенты, просто повторите те же шаги, используя другой частный IP-адрес.

Добавьте клиентский узел на сервер

Последний шаг – добавить открытый ключ и IP-адрес клиента на сервер (выполнить команду на сервере):

sudo wg set wg0 peer CLIENT_PUBLIC_KEY allowed-ips 10.0.0.2

Убедитесь, что вы изменили открытый ключ CLIENT_PUBLIC_KEY, сгенерированный на клиентском компьютере ( sudo cat /etc/wireguard/publickey), и измените IP-адрес клиента, если он другой. Пользователи Windows могут скопировать открытый ключ из приложения WireGuard.

После этого вернитесь на клиентский компьютер и откройте туннельный интерфейс.

Клиенты Linux

На клиентах Linux выполните следующую команду, чтобы открыть интерфейс:

sudo wg-quick up wg0

Теперь вы должны быть подключены к серверу Ubuntu, и трафик с вашего клиентского компьютера должен направляться через него. Вы можете проверить соединение с:

sudo wg
interface: wg0
public key: sZThYo/0oECwzUsIKTa6LYXLhk+Jb/nqK4kCCP2pyFg=
private key: (hidden)
listening port: 48052
fwmark: 0xca6c
peer: r3imyh3MCYggaZACmkx+CxlD6uAmICI8pe/PGq8+qCg=
endpoint: XXX.XXX.XXX.XXX:51820
allowed ips: 0.0.0.0/0
latest handshake: 1 minute, 22 seconds ago
transfer: 58.43 KiB received, 70.82 KiB sent

Теперь осталось только открыть браузер, зайти на сайт 2ip.ru (или аналогичный), и увидеть Ip своего сервера VPN.

Чтобы остановить туннелирование, отключите интерфейс wg0:

sudo wg-quick down wg0

Теперь про Android.
Здесь все проще некуда. Для начала идем в плеймаркет и устанавливаем приложение WireGuard:

Далее жмем синий плюс внизу

Теперь осталось заполнить поля, согласно скриншоту ниже. Первый раздел идет как клиентский. После его заполнения жмем "Добавить пира" и вводим данные сервера. Не забудьте добавить публичный ключ клиента на сам сервер:

Остался только пункт "Все приложения". Если его оставить как есть - то VPN будет работать для всех приложений на вашем смартфоне. В случае, если вы хотите чтобы только некоторые приложения ходили в сеть через VPN, нажмите на данный пункт и выберете раздел "Исключить" или "Только включить". В первом случае, из VPN-туннеля будут исключены выбранные вами приложения, во втором случае в туннеле будут работать только указанные.
После завершения настройки останется в главном меню только включить ползунок напротив вашего туннеля. На сервере можно будет проверить подключившегося клиента как в мануале выше:

sudo wg

Привет Пикабу!

В предыдущем посте мы успешно зарегистрировали бесплатный VPS - сервер от Oracle для сервисов Умного дома. Установка ОС Ubuntu 20.04 там у меня не уместилась, поэтому продолжаю в этом посте ;-)

Для профессионалов - ссылка на документацию по этой теме.

А мы, входим в свою  панель управления VPS по ссылке которая вам пришла от Oracle после регистрации и переходим в первый блок, кликнув на "Создать экземпляр Compute"

Здесь нажимаем "Изменить"

В выпадающем окне в правом нижнем углу нажимаем "Изменить образ"

В открывшемся окне выбираем Canonical Ubuntu 20.04 Режим "Всегда бесплатно" применим

Спускаемся ниже,  в настройках сети я ничего не меняю.

На следующем этапе нам нужно будет добавить ключ SSH, для дальнейшей авторизации через Putty. Для этого скачиваем с официального сайта весь пакет, в зависимости от разрядности вашей операционной системы на ПК или ноутбуке (Посмотреть можно "Мой компьютер" правой клавишей мыши "Свойства") и устанавливаем.

После установки через "Пуск" - "Программы" запускаем "PuTTy gen" (в папке PuTTy )

В открывшемся окне программы нажимаем "Generate" и водим мышкой или прокручиваем сколом, пока зелёная полоска наверху не завершит свой путь )))

Через несколько мгновений сгенерируется ключ, копируем его из верхнего окна

И вставляем в панели управления VPS в "Добавить ключи SSH" и нажимаем внизу "Создать"

Затем возвращаемся в "PuTTY Key Generator" и нажимаем "Save private key" - сохраняем с понятным названием английскими символами в нужную нам папку

Важно!!! Не про..бите потеряйте его, ибо это фактически ключ для дальнейшего входа в только что созданную операционную систему, если потеряете, то придётся всё переустанавливать, способа восстановить или поменять в панели VPS я не нашёл.

Тем временем возвращаемся в панель управления VPS  и видим, что наша система готова.

Копируем  IP адрес своей операционной системе, это фактически IP адрес Вашей виртуальной машины.

Открываем программу для доступа к системе по SSH - "PuTTy" (в той же папке, где мы открывали выше  "PuTTy gen"), вставляем скопированный IP адрес в соответствующее окно и нажимаем в правой панели SSH  - Auth

Здесь в окне "Private key file for autorithashion" выбираем ранее сохранённый  приватный ключ в формате *.ppk и нажимаем "Open"

Открывается терминал и всплывает окно, в котором нажимаем "Да"

Переключаем раскладку на английскую клавиатуру и вводим логин "ubuntu" (пароля пока нет) нажимаем "Enter".

и наконец ОБЯЗАТЕЛЬНО задаём пароль для входа в систему и ЗАПОМИНАЕМ! )))

Для этого пишем команду sudo passwd ubuntu нажимаем "Enter".

Придумываем, запоминаем и водим пароль (при вводе никакие символы не отображаются) нажимаем "Enter".

Ещё раз  вводим пароль и  нажимаем "Enter".

В С Ё !!! ))) Вы вошли в свою только что созданную систему на VPS - Ubuntu 20.04 и создали пароль....

Впереди много интересного на этом чёрном экране, как в этом эпизоде из фильма: )))

В следующем посте (ну это теперь, как только я отдохну от написанного и переварю всё сам..., может на следующей недельке) в этой операционной системе мы  поставим своего MQTT брокера для контроля датчиков IoT-устройств на ESP и их дальнейшей связки с умным домом...

А Вы тем временем можете поставить на неё тестовую систему умного дома Home assistant (ТЕСТОВУЮ! Ибо Умный дом нужно ставить на локальном сервере!), пока не решились на установку своего сервера или покупку какой-нибудь raspberry, сможете поставить VPN-сервер (Virtual Private Network) и/или прокси-сервер и можете проводить свои другие эксперименты....

Как всё это сделать в формате, как этот пост,  я постараюсь написать как-нибудь в своих следующих публикациях, но по времени (когда) пока ничего обещать не буду...

Всем бобра ;-)

Привет, дорогой Пикабу!

Здесь произойдёт краткий(насколько это возможно) раccказ о том как я строил настоящий впн за недорого.

Как выглядит ТЗ:

– возможность создавать несколько учётных записей пользователей

– высокая скорость доступа (в рамках бюджета)

– безопасность данных (как настроишь, так и полетит)

– бюджет реализации 4$ :-)

Что мне для этого понадобится?

Совсем не много:

1. Хостинг провайдер с VPS, в моём случае это OVHcloud

(уважаемые читатели могут выбрать любой хостинг!)

2. Необходим облачный MicrotikCHR (Кликабельно)

3. VPS-сервер c предварительно установленной Ubuntu 20.10

4. Множко времени для настройки и тестирования

Процесс заказа VPS я пропущу, много бесполезной информации и куча лишних скриншотов!

Один важный момент связан с выбором локации хостинга VPS, чем дальше от меня сервер, тем выше латенси/ping, важно для онлайн игр, но в моём случае особой роли не играет.

После покупки VPS-ки мне на почту упало письмо с доступами в машине.

Залетаем в ssh, меняем сгенерированный хостингом пароль, добавляем свой публичный ключ для root, меняем hostname, обновляем, устанавливаем unzip перезагружаем.

На этом базовая подготовка VPS закончена, дальше интересней.

1 - Необходимо создать временный раздел для хранения образа MicrotikCHR

mount -t tmpfs tmpfs /tmp/

2 - через wget скачать образ MicrotikCHR raw по ссылке, что приведена выше

wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img...

3 - распаковать скачанный архив

unzip chr-6*

4 - просмотреть разделы на диске, это необходимо, для того чтобы знать на какой из их,  записать образ RoS CHR

fdisk -l

· в моём случае это - /dev/sda: 20GiB (Основной раздел диска)

· если ошибиться с выбором раздела, прийдётся вернуться к установке ОС и повторной первичной настройке

5 - Записать образ с помощью dd на нужный раздел

dd if=chr-6.47.9.img of=/dev/sda bs=4M oflag=sync

· if= то что ми пишем
· of= то куда пишем
· bs= размер блока записи
· oflag= опция дополнительных параметров, sysnc - дополняет сектора значениями NUL

6 - Перезагрузится, обычный reboot не сработает, потому:

echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

Дальше перехожу в веб-интерфейс хостинга и задаю пароль для пользователя admin через KVM (по умолчанию логин Mikrotik, admin без пароля)

/user set [find name=admin] password=SupeR_stronG_paSs-228

Параллельно добрые люди с ботами хотят взломать мой облачный роутер :-)

Дабы избежать неловких ситуаций, следует ограничить доступ к сервисам ssh, winbox , остальные отключить.

IP - Services

Теперь предстоит самое интересное, а именно настроить l2tp/IPSec

1. Ip - pool

– name : l2tp=pool

– addresses : 192.168.20.2-192.168.20.200

– next pool : none

2. PPP - Profiles / Создать профиль для l2tp туннеля

– name : l2tp-profile

– local address : l2tp-pool

– remote address : l2tp-pool

– DNS servers : 1.1.1.1 (можно использовавать любые)

3. PPP - Secrets / Создать профиль пользователя

– name : vpn-user001 (уникальность имён приветствуется)

– password : пароль умеренной сложности

– service : l2tp

– profiles : ранее созданный l2tp-profile

4. PPP - Interface - L2TP Server

– Enable

– default profile : ранее созданный l2tp-profile

– authentification : оставить только (mschap2)

– use ipsec : required

– ipsec secret : не самый простой Shared Secret

5. IP - IPSec - Proposals

– name : default

– auth algorithms : sha1

– encr. algorithms : aes-128 cbc / aes-192 cbc / aes- 256 cbc

– pfs group : modp 1024

· этот конфиг создается по умолчанию, но всё же стоит проверить ;-)

6. IP - FireWall - NAT

· без nat, подключение произойдёт, но сети не будет

– nat rule : srcnat

– out. interface list : all

– переходим на вкладку Action

– action : masquerade

7. Простая настройка firewall

· буду приводить только консольные команды без скриншотов (ну ладно будет один финальный в конце ;-) )

· В терминале через winbox или ssh

/ip firewall filter

· добавить правила fasttrack connections

add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment="FastTrack Connection" \
connection-state=established,related

· Правила для established, related + открыть порты для l2tp (500,1701,4500)

add action=accept chain=in connection-state=established,related
add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \
in-interface=ether1 protocol=udp

· разрешить ping (icmp)

add action=accept chain=in in-interface=etgher1 protocol=icmp

· остальное drop

add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=in

8. получить лицензию на CHR

- Зарегистрироваться на оф.сайте Mikrotik

- Зарегистрировать CHR (после триального периода роутер не превращается в тыкву, если его не обновлять, продолжит работать на полной скорости даже после истечения лицензии)

system - license - renew license

- account : логин в учётную запись на Mikrotik.com

- passwrod : пароль от учётной записи на Mikrotik.com

А в личном кабинете видно временную лицензию

И на финал, тест скорости ;-)

Из минусов, не гигабит)

Крайне приветствую комментарии и предложения по теме!)

Создаём свой VPN сервер IPsec / L2TP + Wireguard.

Будем ходить в интернет легко и по большому.

Во-первых спасибо амиго HUNY за интересный и полезный цикл постов.

Все повторяется без проблем, хотя я столкнулся с одной неожиданностью и одной трудностью.

Неожиданностью оказался звонок из Оракла, видимо из-за резкого наплыва пользователей они решили в ручном режиме что-то провер[и|я]ть. Мне позвонила англоговорящая тётенька, представилась что она из Оракла, я спросил чем бы я ей мог помочь, она сказала что хочет узнать как меня зовут и в какой компании я работаю. Я подтвердил что меня зовут Вася Пупкинсон, а вот насчет компании я сказал, что я написал в регистрационной форме "Home" поскольку собираюсь протестировать их сервисы исключительно в личных целях. Видимо я был достаточно вежлив и убедителен так что она сказала что немедля отправит мне имейл с подтверждением регистрации и доступом к телу (сервера).

Амиго HUNY написал очень толковую инструкцию, так что в скором времени у меня был свой работающий VPN сервер, но .... возникла маленькая трудность - мой телефон Xiaomi Redmi Note 8T напрочь отказался подключаться к этому серверу. Быстрое гугление показало что я не одинок в своих проблемах, пользователи xiaomi уже давно жалуются на неработающий vpn  в телефонах  https://c.mi.com/thread-2569606-1-0.html?mobile=no

Я подумал - а что если мне, на этот уже работающий VPN сервер, сверху еще доставить альтернативный vpn сервер Wireguard, тогда может быть можно будет подключаться к vpn хоть так хоть эдак. Не буду рассказывать как я боролся со всяческим файрволами, перейду сразу к инструкциям.

Итак по инструкциям HUNY вы получили работающий VPN сервер.

Добрые люди приготовили для нас легкий инсталлятор Wireguard, он лежит на https://github.com/angristan/wireguard-install

Зайдите в свой сервер и терминале напишите  команды

curl -O https://raw.githubusercontent.com/angristan/wireguard-instal...

chmod +x wireguard-install.sh

sudo ./wireguard-install.sh

Скрипт задаст вам несколько вопросов и быстренько всё установит:

~$ sudo ./wireguard-install.sh

Welcome to the WireGuard installer!

The git repository is available at: https://github.com/angristan/wireguard-install

I need to ask you a few questions before starting the setup.

You can leave the default options and just press enter if you are ok with them.

IPv4 or IPv6 public address: СЮДА ВЫ ВПИСЫВАЕТЕ РЕАЛЬНЫЙ IP ВАШЕГО СЕРВЕРА

Public interface: ens3

WireGuard interface name: wg0

Server's WireGuard IPv4: 172.22.22.1 ЕСЛИ В ВАШЕЙ ЛОКАЛКЕ НЕТ АДРЕСОВ 172.22.x.x ТОГДА ПИШИТЕ  ЭТО

Server's WireGuard IPv6: fd42:42:42::1

Server's WireGuard port [1-65535]: 4600 ПИШИТЕ 4600, ПОТОМ ФАЙРВОЛ БУДЕМ НАСТРАИВАТЬ

First DNS resolver to use for the clients: 94.140.14.14

Second DNS resolver to use for the clients (optional): 94.140.15.15

Okay, that was all I needed. We are ready to setup your WireGuard server now.

You will be able to generate a client at the end of the installation.

Press any key to continue...

Через несколько минут скрипт все установит,  задаст еще пару вопросов

Tell me a name for the client.

The name must consist of alphanumeric character. It may also include an underscore or a dash and can't exceed 15 chars.

Client name: Xiaomi8T  ИМЯ ВАШЕГО ПЕРВОГО КЛИЕНТА ДЛЯ ВПН, ПРИДУМАЙТЕ ЧТО НИБУДЬ

Client's WireGuard IPv4: 172.22.22.2 АДРЕС ДЛЯ НЕГО, ОСТАВЬТЕ ПО УМОЛЧАНИЮ

Client's WireGuard IPv6: fd42:42:42::2

Here is your client config file as a QR Code:

Оставьте это окно терминала как есть, оно вам пригодится чтобы не вводить руками в телефон все данные для vpn подключения. Или прямо сейчас возьмите смартфон, установите на него клиент WireGuard https://play.google.com/store/apps/details?id=com.wireguard....

в клиенте нажмите на создание нового соединения и сосканируйте QR код и пока отложите смартфон, нам надо будет еще немного поработать напильником.

Если вы не сосканировали код тогда откройте еще одно соединение с сервером (запустите еще раз putty). Напишите команду

sudo nano /etc/iptables/rules.v4

найдите там строку

-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT

и сделайте из нее

-A INPUT -p udp -m multiport --dports 500,4500,4600 -j ACCEPT

Сохраните файл Ctrl-X  Y и Enter

Напишите команду

sudo nano /etc/wireguard/wg0.conf

Найдите там длинную строку

PostUp = iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

В этой строке все -A на поменять на -I (i большое) так что строка будет вот такой

PostUp = iptables -I FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -I FORWARD -i wg0 -j ACCEPT; iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE; ip6tables -I FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -I POSTROUTING -o ens3 -j MASQUERADE

Сохраните файл Ctrl-X Y и Enter

И последнее действие, надо в глобальном Оракловском файрволе добавить проброс порта 4600 (вспоминайте инструкцию HUNY, он там прокидывал порты 500 и 4500) см. картинку ниже.

Перезагрузите сервер sudo reboot и теперь можно пробовать подключаться смартфоном.

Клиенты WireGuard для различных ОС можно скачать тут - https://www.wireguard.com/install/

Пока мы с вами создали подключение для одного клиента/устройства, чтобы создать еще подключения запустите в терминале еще раз скрипт

sudo ./wireguard-install.sh

и так далее.