Pull to refresh

Comments 58

Стопервый пост о том, как развернуть VPN на DigitalOcean. На этот раз без упоминания DigitalOcean.

согласен на все сто, и предлагаю автору поста тему для публикации — быстрый и стабильный vpn
Плюсую предыдущего оратора. А слабо написать такое же, но чтобы IKEv2, чтобы на той же винде и смартфонах всё искаропки заработало без стороннего софта?
Кстати, хоршая идея, слышал что с клиентом в Windows 10 какие-то проблемы есть, буду тестировать.
UFO landed and left these words here
Спасибо за ссылочку. С strongswan, kernel-libipsec раза 3 пытался воевать, не осилил.
а на чем засыпались?
при наличии kernel-libipsec кмк там только на генерации сертификатов можно встрять, если руками их делать.
у IKEv2 есть два минуса — его видно, и его режут. а так в принципе ставим strongswan, kernel-libipsec и вперед. там все простенько, реально.
Лучше вот это: http://ocserv.gitlab.io/www/index.html
Да, увидел скрипт от Nyr после того как написал свой :) Но в моем добавлен IPv6, так что пусть будет.

Ставил этим скриптом, 2ip.ru показывает следующее. Кто-нибудь знает, почему так?

Они определяют VPN по MTU, плюс адрес в их статик-листе хостинг провайдеров. Тут можно почитать
Смотрите на lowendbox, рекламные ссылки давать не буду. Можно найти и за $2.25 в месяц, видел акции по $8 в год как-то.
далековато находится, скорость будет не очень
Торенты может и не покачать, но для серфинга — не испытывал проблем. Кроме того через США работают многие сервисы, которые не работают через Европу — Pandora и т.п…

Сейчас можно поискать на сайтах вроде lowendbox. или poiskvps.ru
В свое время у yourserver был план с 256мб за €2 в месяц, и даже 30% скидку предлагали на старте.

UFO landed and left these words here
https://www.arubacloud.com/ но там ограничение по траффику
У них отдельно оплачиваются диск и айпи адрес (еще по евро), вместе получается 5 евро. Что дороже даже 5 долларов у конкурентов

У Вас, наверное, остался ip от удаленной виртуалки. Его можно удалить вручную. А так — честно 2,99 евро

Пересмотрел счета, вы правы, спасибо. Действительно самый дешевый инстанс получается 3 евро уже с диском и адресом
wishosting (есть отзывы на lowendtalk) план OpenVZ Mini за 3$ в год (получается 0.25$ в месяц, но заказывать надо на год), но там NAT (есть 20 портов) и вообще куча ограничений (постоянно нельзя использовать более 15% ресурсов т.н. fair use policy), зато 256 МБ RAM, 40 GB HDD, и трафик без ограничений (но не более 15% пропускной способности — т.е. не более 37 Мбит/с постоянно), сервер во Франции (пинг около 50 мс). Можно выбрать Ubuntu или Debian или CentOS
Мне хватает на крохотный личный Django проект для сбора информации с ESP и подключенных датчиков и довольно редкого VPN (сам сервер VPN запущен постоянно)
Пользую с мая месяца, и очень доволен, думал собирать информацию с датчиков на старый нетбук, но даже только по затратам на электричество (в час около 15 Вт) выходит вдвое дороже.
Я проклял все, час пытаясь оплатить их через payza.com (других вариантов с кредитками нет).
К самому сервису пока нет претензий, но payza это какое-то адовое бажное адище.
UPD: используйте 2Checkout, так хоть и написано paypal, карты берут. На все ушло 2 минуты, блин.
OVH за 3.5 доллара дает 2 гигабайта оперативки, 10 гигабайт ссд и 100 мегабит безлимитный трафик.
у них же нет ограничений на VPN и торренты?
А то там в Terms тыщща файлов, вроде в common и VPS нет никаких запретов.
Использую для этих целей hyperhost.
Поищите тут: https://poiskvps.ru или https://vds.menu
Наша организация обслуживает IoT с debian. Так вот, почти везде openvpn для этого хватает. Но есть места, где местной сетью или провайдером просто рубится TLS Handshake. При этом порты формально доступны. Возможно скоро нас ожидает подобное повсеместно. Пока выкручивались пропуская openvpn внутри ssh-туннеля или kcptun.

Static Key mode поможет.

Может я что-то не так настроил (хотя маловероятно поскольку настроек нет)? У меня утекают DNS. Ubuntu 16.04, но версия OpenVPN 2.4.3

Надо в клиентском конфиге прописать


script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
Зависит от клиента, setenv opt block-outside-dns работает только на Windows (начиная с 7-ки).

это я уже понял, тогда может в скрипте спрашивать под какую систему нужен конфиг? и как будет на Android?

Начал тестировать и узнал интересную вещь — auth SHA256 не поддерживатся OpenVPN Connect на Android… (тестировал на 4.3 и 7).

/etc/openvpn/update-resolv-conf — этого скрипта нет в поставке клиента на RHEL клонах насколько я знаю, тоже надо подумать что можно сделать.
auth SHA256 на iphone то-же не работает
Есть еще вариант быстрого подъема VPN с помощью SoftEther и Docker https://t.me/darkfox_info/48

Тут вообще одной строчкой можно поднять сервис и подрубатьсяк нему с посощью разных протоколов. Еще на телеграм канале https://t.me/distributed разные варианты обсуждали (в т.ч. поболее легковесные). Но сам не помню. Можно у парней спрашивать способы.
Думаю, вам стоит написать статью, чем больше способов обхода тем лучше. SoftEther хорошая штука, жалко под свой протокол нет мобильных клиентов у них. За один http://www.vpngate.net/en/ можно им огромное спасибо сказать.
По работе понадобился доступ к LinkedIn на уровне api, и только на одной машине с макосью., т.е. не браузер. Чего почитать из статеек чтобы только этот траф шел через vpn? В остальном штатными средствами обхожу этот {роскомнадзор}.
Раскурив солюшен, хочу его на orange pi за натом перевесить, чтоб и удаленно с мобилы проблем тоже не знать. Но это вторично.
Спасибо!
Тот же OpenVPN умеет поднимать маршруты только до нужных ресурсов, убираете в конфигурации сервера:
push «redirect-gateway def1 bypass-dhcp» (редирект всего трафика) и добавляете push «route 108.174.10.10 255.255.255.255» (маршрут до linkedin.com).
Есть еще неплхой vpn сервер с конфигурацией из веб гуев и и другими приятными штуками: pritunl
Минус — нужна монга для работы
Как обойти «Определение туннеля (двусторонний пинг)» кроме покупки сервера в одной стране / городе?
Достаточно закрыть ICMP на VPN сервере.
а почему ограничились только CentOS и Ubuntu?
На Debian/testing тоже сработало, только пришлось чуть-чуть поколдовать из-за несоответствий версий easy-rsa и openssl (у второго уже 1.1, а первый о таком не знает).
Сделал по вашей статье. С Windows не подключается:
Thu Aug 17 18:14:31 2017 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyVPN, CN=Fort-Funston CA, name=EasyRSA, emailAddress=my@vpn.net
Thu Aug 17 18:14:31 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Thu Aug 17 18:14:31 2017 TLS_ERROR: BIO read tls_read_plaintext error
Thu Aug 17 18:14:31 2017 TLS Error: TLS object -> incoming plaintext read error
Thu Aug 17 18:14:31 2017 TLS Error: TLS handshake failed
Thu Aug 17 18:14:31 2017 Fatal TLS error (check_tls_errors_co), restarting
Thu Aug 17 18:14:31 2017 SIGUSR1[soft,tls-error] received, process restarting
Thu Aug 17 18:14:31 2017 MANAGEMENT: >STATE:1502982871,RECONNECTING,tls-error,,,,,
Надо проверить дату на VPS и на локальной машине — error=certificate is not yet valid (т.е. срок действия сертификата еще не наступил). Возможно это из-за разницы во времени между VPS и вашей системой.
так и было, спасибо
в остальном всё работает чётко
Несколько месяцев пользовался системамы, установленными Вашим скриптом, спасибо.
В целом, все работало, но где-то через месяц vpn-клиенты переставали коннектится к серверу.
Генерация новых пользователей не помогала. Разбираться в деталях было лень — я просто инициировал переустановку систему на vps и запускал скрипты установки по новой — и все работало снова.
Сегодня же, после очередной переустановки (на CentOS 7), Ваш скрипт не смог сгенерировать пользовательские конфиги (ошибки no such file при попытке включить ключи в файл).
Похоже, что что-то изменилось в настройках устанавливаемых приложений, и теперь скрипт не работает в автоматическом режиме и требует «тюнинга».
Установил, но работает только входящий трафик, от меня ничего :(

Где я смог накосячить?
Only those users with full accounts are able to leave comments. Log in, please.