Comments 47
У вашего провайдера всё ещё работает OpenVPN до зарубежного хоста?
Под убунту православную есть отличная простая тулза - pivnp. Да, она под малинку, но на убунту работает великолепно. Достаточно только поставить через curl -L install.pivpn.io | bash, запустится интерактивный установщик который и предложит создать пользователя, и днс выбрать и другие параметры, в полуавтоматическом режиме. Главное в начале выбрать OpenVPN, но на выбор дается еще Wireguard. 5 минут и сервер поднят, а конфиги добавляются одним pivpn add. Все интуитивно просто и понятно
Ах-ах, в статье тоже скачивание установщика непонятно откуда.
Вы всегда можете использовать
Источник с альтернативными вариантами установки
Или просмотреть содержание скаченного скрипта
Ну в скрипте особого криминала нет.
Easyrsa прибит гвоздями на версию по моему 3.1.2
Unbound почему то хотят, ажно через apt install -y
Ну и IPv6 тоже гвоздями прибит.
На любителя вообще то.
Если мы ставим новый OpenVPN сервер на современную Ubuntu 24.04, то:
1. Зачем ufw в новом сервере в 2025 году? Debian12, Ubuntu 22.04-24.04 используют nftables.
2. Зачем RSA ключи для новых систем в 2025 году? Они скорее понадобятся для старых систем и старого оборудования. Для остального есть ed25519. . Из простого ssh-keygen -o -a 100 -t ed25519 -C "Machine name".
3. И неплохо бы внимательно разобраться в работе чужого скрипта с помощью которого вы решили развернуть OpenVPN. Например там используются команды iptables (deprecated во многих дистрибутивах уже пару лет), а не ufw, который вы предлагаете использовать. И там нет выбора без алгоритмов сжатия. С которыми не будет дружить например Mikrotik.
4. В openvpn пару лет уже можно использовать fingerprint вместо центра сертификации. Вот есть Пример на эту тему.
Огромное спасибо, что рассказали об этом. На самом деле трудно найти актуальную информацию и разобраться в ней, если предмет не является одним из основных предметов деятельности. Почитаю обо всем, что вы написали!
Не могу апнуть коммент из-за кармы, но хотелось бы почаще видеть конструктивные замечания
Зачем ufw в новом сервере в 2025 году? Debian12, Ubuntu 22.04-24.04 используют nftables.
UFW использует nftables.
А по поводу поста в целом – выбор openvpn в 2025 очень странный выбор.
Чем так плох OpenVPN для личного пользования? У меня например дома стоит ТВ на YaOS причем от tuvio я из VPN на него только его и могу поставить. А чтобы подружить ту же амнезию с роутером, мне во-первых нужен другой роутер, а во-вторых дополнительно с ним возиться. Я понимаю, что технология могла остаться в прошлом, но все мои, опять же подчеркну, личные потребности она более чем закрывает
UFW использует nftables.
Вот только приведенный скрипт использует iptables.
выбор openvpn в 2025 очень странный выбор
Вполне подходит для связи множества филиалов компании. И для подключения удаленных пользователей в периметр компании.
Можно работать по tcp и udp.
Можно выбирать много разных алгоритмов шифрования. Что позволяет использовать даже очень древнее оборудование.
Можно работать со "своеобразным" MTU у конечных ISP.
При работе с сервером сертификации можно производить отзыв сертификатов.
При простом сценарии можно работать с отпечатками, без сервера сертификации.
Новые версии OpenVPN имеют довольно приличную скорость и, как не странно, в версии 2.6.0 появилась возможность совместимости для старых версий. Сам ее использую для древних телефонов с OpenVPN 2.3.0
Можно передавать параметры маршрутизации с сервера на клиенты.
Вполне подходит для связи множества филиалов компании. И для подключения удаленных пользователей в периметр компании.
Для этого подходит много что. И Wireguard и Zerotier.
Можно выбирать много разных алгоритмов шифрования
Какое отношение к безопасности это имеет? Если мы говорим про возможность сжатия потока с LZO, то
Что позволяет использовать даже очень древнее оборудование.
Это как раз-таки крайне затруднительно на древнем оборудовании.
По поводу древности – давать доступ в сеть компании древним мобильным устройствам – дыра в безопасности. Компаниям, вообще, сетевое оборудование надо обновлять по истечении поддержки производителем, иначе это дыра в безопасности.
Да, кстати, ваш «древний телефон» должен имет версию Android минимум 9.0 для OpenVPN, для Wireguard –5.0.
Wireguard не умеет: CA, пушить параметры и маршруты на клиенты.
Корпоративная техника не всегда имеет обновления всех новых стандартов шифрования. AES-256-CBC можно увидеть чаще чем AES-256-GCM. Промолчу про TLS.
В SIP телефонах, например D-Link, Grandstream, Yealink никаких Android и Wireguard. А вот OpenVPN включить можно. И доступ у них исключительно по некоторым портам и только к одному серверу можно настроить. Ну и Mikrotik и Ubiquiti маршрутизаторы так же без Android, но уже давно работают с OpenVPN.
Про параметры и маршруты – это дело nftables надо оставить.
Про Mikrotik и Ubiquiti - так они и WG поддерживают.
Может, я про SIP и не очень понимаю, но я не представляю работника предприятия на голом телефоне без ПК, а раз есть ПК, то через него можно и звонки совершать и любой VPN протокол использовать.
В openvpn пару лет уже можно использовать fingerprint вместо центра сертификации
Если использовали/сталкивались, можете пояснить по использованию?
Я правильно понимаю, что на стороне сервера нужно прописывать каждый fingerprint клиентского сертификата и после этого сервер нужно рестартануть?
Если я меняю серверный сертификат (например, после истечения срока действия), придется редактировать все клиентские конфиги разом? (А если их сотни?)
Если всё так, то использование fingerprint подходит только для небольших инсталляций, на пару-тройку клиентов.
Я редко захожу на хабр, и с каждым посещением убеждаюсь в том что это уже личный блог смузи-сисадминов, а не серезный ит ресурс. Меня убила линка на кастомный скрипт который сам за тебя установит openvpn. Еще менее но тоже что не понравилось - использование bash всместо универсального sh, который точно есть в docker apline образах а не вот эти ваши vps.
Не уверен, что статьи с тегом "простой" и "туториал", как описано в рекомендациях "для неподготовленного читателя и широкую аудиторию" должен удовлетворять вашим требованиям в статье на 4 минуты. Я просто хотел поделиться решением, которое без лишней мароки прекрасно работает и я сам им пользуюсь более года. В целом, в этой предметной области я вряд ли являюсь хотябы среднячком, поэтому какого-то действительно образцового подхода, к моему великому сожалению, я продемонстрировать не могу. Я всегда рад любым замечаниям и предложениям по улучшению материала, был бы рад, если бы вы показали как что и где лучше сделать. Мне казалось что сообщества нужны чтобы помогать друг другу развивать компетенции, надеюсь, я не один такой. Если вы хотите почитать более квалифицированные статьи, буду рад, если вы откроете мои с пометкой "сложно" но, как я понимаю, моя предметная области не сильно соприкасается с вашей.
Я на самом деле не знаю кому эта статья пригодится. Те, кто зайдет настолько далеко до такой установки, сами разберутся и им ещё и интересно будет, да и гайдов полно. А тем кому действительно побыстрее и попроще надо, нужно ссылку на амнезию скинуть и инструкцию как и где сервер купить максимально выгодно.
Хммм, разве это выглядит так запарно? Я потратил минут 15-20 чтобы настроить чистый сервер для примера из статьи и накидать черновик. Хотя, наверное, если делать это в первый раз, все может быть не так гладко, как я это вижу сейчас. Уже не помню, если честно, когда настраивал что-то на сервере впервые
А про амнезию, я не согласен, ее если честно, прям геморойнее было ставить и она у меня не работала корректно с клиента для iOS и Ubuntu, хотя с windows и android проблем не было. Собственно поэтому дополнительно поднял и OpenVPN
Вы родились уже после того, как РКН несколько раз блокировал vpn протоколы, в т.ч. wireguard и openvpn, по всей России на пару-тройку суток? У многих операторов во многих регионах эти блокировки продолжаются. Этих статей тысячи, зачем плодить новые? Это было бы актуально лет 5 назад.
Ставил себе openvpn на арендованном сервере. В статье меня смущает что используется какой-то сторонний скрипт вместо штатного apt install, где-то предлагаются ставить права 777, что вообще небезопасно. При этом зачем-то упомянута настройка фаервола, но как-то очень коротко, а самое важное для безопасности не объяснили - что надо сделать подключение по ssh только по ключу, и желательно запретить логин root по ssh (хотя я хожу под рутом, но по ключу).
Про nftables уже написали. Кстати, если ОС на арендованном сервере готовая предустановленная (не сами ставили со своего iso), то стоит подробнее изучить, что там где накручено. Мне попадалось, что стояли уже некоторые стартовые скрипты, какие-то настройки, добавлены учëтки для техподдержки (про учетки правда честно сразу сказали, что если убрать то ТП потом если что помочь не сможет).
Я упоминал, про подключение по ключу
Рекомендую вам настроить SSH ключи вместо аутентификации по паролю. В контексте данной статьи этот пункт мы не будем рассматривать, но я оставлю вам инструкцию о том, как это сделатьВ
Выше был хороший комментарий о том, какой ключ сейчас актуально использовать
Про права, я тоже обратил внимание, что 777 не есть хорошо
что не рекомендуется) но лучше понять, что вы делаете
А вот, про предусиановку чего-то как-то даже не задумывался никогда, в следующий раз, обращу на это внимание, спасибо, что рассказали об этом кейсе.
Если вы согласны запускать "непонятные" скрипты на своей машине - качаете клиент амнезии любым способом, даёте ему доступ к vps и он сам все вам настроит (open/wg/amnezia), никаких ssh и консоли не надо.
Блин, вот всё руки никак не дойдут наклепать статью по созданию своего VPN на базе VPS с RouterOS для соединения как удаленных микротов (на работе, к примеру, дома и в прочих злачных местах) в одну сеть, так и для собственно доступа на забугорные ресурсы. У меня уже не первый год работает подобная личная сеть для кучи целей. Запущено два VPS, один в нашем сегменте сети, другой за пределами РФ.
Но я использую для соединения микротов исключительно SSTP, причем с проверкой сертификатов, что ограничивает использование этого протокола только микротами - для доступа к узлу, к примеру, с мобильного вне дома или работы у меня настроен IPSec. Только в такой реализации у меня, тьфу 3 раза, стабильный длительный аптайм всех соединений. Игрался в свое время и с Ovpn, и с Wireguard. До забугорного сервера оба протокола давно уже не работают, до российского - ну блин, может потерять коннект и не подыматься целыми днями.
Из сильных плюсов сего решения: во-первых, исключительно стабильная работа, во-вторых, плюсы самой RouterOS. Крайне низкие требования, она создана чисто для сетевых задач - все лишнее выкинуто из ядра и системы, так что летать она будет даже на самом дешманском тарифе VPS с 1 ядром, 0.5 RAM, 5-10 гигов HDD. Блин, она на допотопном MIPS ядре в 500 МГц, 16 Мб флэшки и 64 Мб оперативки нормально работает, прям 95-я винда, ейбогу. На лишнем пространстве, коего опосля установки системы остается примерно весь диск минус пара сотен мегабайт, можно создать SMB-шару для всякой мелочевки, ну и достаточно удобная работа, в Winbox перед глазами куча настроек, а не командная строка или web-интерфейс, где одновременно можно наблюдать только один раздел. Что в консоли ручками клацается полчаса - в винбоксе делается за 5 минут. И, разумеется, прозрачная работа всех нужных сетей.
ЕМНИП чистую установку RouterOS сделать не выйдет. Можно будет развернуть только готовый образ Cloud Hosted Router, предварительно разобравшись в типе виртуализации у VDS.
Не, все куда проще. Разворачивается любой ,deb/ubuntu сервер, загружается с микротика образ (install-image x86 или chr, по вкусу), затем в режим восстановления, или как там у линукса оно зовется, и накатывать через dd сей образ прямо на системный диск. Далее ребут и установка в случае х86, либо сразу запуск, если chr, обновление и работа. Это если хостинг не дает ставить через iso. Единственное, лучше у техподдержки поменять шину накопителя с virtio, что чаще всего у хостингов, на ide/sata. В линуксе обычно при virtio разделы именуются как vda, если sata - sda. У роутероси с драйверами virtio бывают проблемы, и накатанный образ может не стартовать, бывает стартует, но, к примеру, не видит жестких дисков) Попутно, если хостер дает, можно подключить отдельный диск, накатить пакет rose и сделать уже полноценную nfs шару, а если таких серверов не один - можно еще и синхронизацию между шарами сделать для надежности. Ну и, что радует, концепцию metarouter они развили до контейнеров, что позволяет вообще дофига чего, особенно на х86 железе. Хоть свой почтовый сервер или личный xmpp сервер поднять)
А так, Chr больше для удаленки подойдет, ибо есть лишь одно ограничение бесплатной версии: скорость на внешние порты 1 мбит. А вот у х86 наоборот, ограничивает, в основном, на обновление, количествю юзеров и интерфейсов. Ч какое-то время на бесплатных х86 сидел, но для основного узла я себе в итоге недавно на авито лицензию chr p1 купил, благо ее можно перекидывать на другие виртуалки при смене оных. Жаль, что политика ценовая у микротов дубовая: есть либо бесплатная на 1 мбит, либо сразу 1 гбит за 40 баксов. Многим хватило бы и 10/50/100 мбит за меньшую цену в зависимости от задач, и продажи лицензий были бы явно выше.
Ну так, сделай! Очень было бы интересно многим людям. Тем более в наше "темное" время.
Да пишу помаленьку тело статьи, насколько хватает времени) Там просто писанины целая уйма, в основном, по части настройки ROS. Хочется же все что надо передать в ней: это и сразу настройка часовых поясов, NTP клиента, identity, сертификаты, настройка IPSec для доступа к машине вне зоны действия домашнего микрота, создание шары сразу же, чтобы место на диске зря не пропадало, прописывание маршрутов в случае если сия хрень используется как центральный узел в первую очередь =) Видимо, придется разбивать не на одну статью. Так что пока пишу основу.
Все круто, почему скрипт ? Почему openvpn? Почему не настройка руками? Где tls-crypt-v2?
Openvpn в 2к25? Из за таких вот юзеров могут отлётать в бан ip адреса, а то и подсети. Не надо так делать, если уж хотите околоклассический vpn вам в сторону sstp или лучше openconnect смотреть нужно.
У нас внутри страны с openvpn есть трудности, кто то может подключится, а кто то нет. Awg это как и ss22, зашифрованное нечто, без определённости, такое рубят в каких то регионах уже сейчас. Пока что переход на tls crypt v2 решил проблему, но надолго ли?!
VPN должен быть как https трафик, маскироваться под него, sstp не не пройдёт тест на active probing, openconnect да, но с натяжкой, там дефолтная форма авторизации http.
Добрый день, я даже не подозревал, что из-за этого могут блокироваться IP адреса или подсети, можете пожалуйста рассказать или поделиться ссылкой на тематические материалы о том, с чьей стороны и по каким принципам происходит блокировка? Думаю это было бы многим полезно
Если у вас есть пример статьи о том как правильно делать, тоже был бы рад, я планирую на основании комментариев сделать дисклеймер в начале этой статьи и дать новым читателям возможность перенаправиться на более квалифицированные статьи.
Вообще-то VPN нужен был для корпоративного пользования, с соответствующими функциями. Посмотрите на IPSec/ IKEv2.
А уж обход "самизнаетечего", это все же побочная ветвь эволюции VPN. И там совсем другие задачи.
OpenVPN. Разворачивание на сервере