Comments 20
Всё то же самое, но без ansible можно сделать с официальной страницы wgeasy
https://github.com/wg-easy/wg-easy
P.S. доступ к админке лучше оставлять только из локальной сети. То есть сначала подключаемся к туннелю, а потом идём на :51821 по локальному адресу
Одна команда, говорите?
Ну да, ./install.sh
<#insomnia> Нужно выполнить всего три команды, чтобы поставить Gentoo
<#insomnia> cfdisk /dev/hda && mkfs.ext4 /dev/sda1 && mount /dev/hda1 /mnt/gentoo/ && chroot /mnt/gentoo/ env-update && . /etc/profile && emerge --sync && cd /usr/portage && scripts/bootsrap.sh && emerge system && emerge vim && vi /etc/fstab && emerge gentoo-dev-sources && cd /usr/src/linux && make menuconfig && make install modules_install && emerge gnome mozilla-firefox openoffice && emerge grub && cp /boot/grub/grub.conf.sample /boot/grub/grub.conf && vi /boot/grub/grub.conf && grub && init 6
<#insomnia> это первая
в целом наверное хорошо, но ваергард детектится любыми DPI в т.ч. бесплатным ваершарком. В реалиях обхода блокировок довольно бесполезное решение - ваергард хорош как быстрой роадворриор ВПН для жителей свободных стран.
Детектится, но пока не обрубают. Протокол очень быстрый, и хотя в нём минимальный набор функций, по сути не имеет конкурентов в случаях, если один из клиентов за NAT.
А перейти на shadowsocks всегда успеем
Для road warrior VPN он тоже не очень хорош в чистом виде из-за рудиментарных возможностей конфигурирования клиентов. Даже IP динамически не выдать, не говоря уж про то, чтобы push'нуть адрес DNS или маршруты. Но если обернуть в Tailscale / Headscale - уже вполне. Хотя OpenVPN всё равно универсальнее.
WG неплохо работает между серверами/роутерами в SOHO сегменте, в т.ч. из-за отличной поддержки в любимых этим сегментом Микротиках. Канал за рубеж на нём тоже, пока не блокируют по DPI, вполне спокойно можно держать, к свойственной этому каналу высокой latency протокол крайне толерантен.
Но вообще, чтобы подготовиться к возможному закручиванию гаек, надо уже сейчас VPN-сервер для клиентов размещать в России, а от него уже отдельный VPN-туннель за рубеж. Для клиентов выбираем потокол, который удобен для настройки на любых устройствах, гибок в конфигурировании со стороны сервера и т.п. А протокол канала за рубеж с российского сервера в такой схеме хоть каждый день можно, не трогая клиентов, менять на новый.
Учитывая, что VPN используются не только для обхода блокировок, но и для того, чтобы друг с другом имели связь куча офисов, магазинов, банкоматов, умных устройств, удалённых сотрудников и т.п. внутри самой России, весьма маловероятно, что резать протоколами будут где-то, кроме как на трансграничных магистралях.
Ну максимум могут вернуться к один раз уже пробегавшей идее регистрации корпоративных VPN. Ну так зарегистрируем, в чём проблема.
могуь разрешить только православные VPN-ы на сертифицированном и подконтрольном РКН оборудовании и софте (с ГОСТ-шифрованием, лол)
Хорошо, подключаемся через него.
А внутри кидаем тот же openvpn
Офисы, магазины, банкоматы и терминалы обычно работают не по простому VPN по интернету, в случае мобильного подключения им обычно выделяется свой APN, а в случае наземного подключения - отдельный VLAN. По сути дела это все тоже VPN в его классическом понимании, но блокировка VPN-протоколов в этом случае их не затронет.
Не сказал бы, что это "обычно", как раз ровно наоборот.
Кроме одного большого банка ни у кого не видел отдельного VLANа до оконечных точек (офисов\магазинов\терминалов). Обычно то как раз все гораздо проще и прозаичнее - сидят на тех же APN, на том же VLAN и придумывают свои варианты туннелирования трафика до конечных терминалов.
Между ЦОДами или филиалами - да, вполне, но тут и не о них речь.
Уж про APN на мобильном и вовсе не упомню, чтобы у кого-то прям отдельный свой выделяли в сегодняшние дни.
Более того, нередко используют обычную симку для физлиц или общий канал доступный в ТЦ, где точка находится. У банков конечно свои внутренние требования по безопасности, но вот у магазинов это повсеместная практика.
Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
Почему бесполезное? fb + insta работают
А как быть с ресурсами где работает параноидальная защита от всего и сразу?
Для экспериментов попробуйте зайти на анекстур без всего, через впн через прокси. У меня с последним возникли некоторые трудности. Использовал самые разные связки VLESS и ss, но успеха не достиг.
Не говорю что сайт анекстура внезапно станет недоступен. Это скорее на случай если отрубят впн и начнется чебурнет, а на той стороне по чистой случайности будет вот такая же защита... Тут как бы наши вашим известно чем машут.
Можно попробовать вот такое решение
https://www.wiresock.net/
хороший веб интерфейс для WG, но есть нюанс, это уязвимости авторизации. Не забудьте или настроить фаерволл, или вообще тогда не поднимать данное решение.
ssh с паролем, вместо ключа ?
Как развернуть свой Wireguard VPN сервер с WEB-интерфейсом за одну команду