Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 33
Если ничего не путаю в последовательности событий, то амнезию добавили в кинетики тогда, когда они ещё были кинетиками. Так что, станут ли добавлять в них вторую амнезию, когда это уже неткрейз, которым могут и по жопе надавать за столь свободные взгляды - неизвестно..
а чем плох опенконнект? я использую в своей домашней сети, подключены куча устройств извне, проблем не наблюдаю
Опенконнект отличный протокол, хорош ещё тем, что на нём сидят энергетики и многие другие гос структуры. Блокировать его не будут долго, если только не решат себе окончательно ноги прострелить (роскомпозору на всех пофиг, если только сверху по шапке не настучат). Из минусов протокола - тяжёлый для простых архитектур (mips, arm, arm64): соответственно для слабых железок сильно падает скорость, нужно больше ядер, в идеале x86/x64.
Может я не знаю, есть андроид клиенты для опенконнект?) всегда под Винду/линух юзали
а чем плох опенконнект? я использую в своей домашней сети, подключены куча устройств извне, проблем не наблюдаю
А скорость какая у сервера? А то клиент очень уж медленный. На Hero/Giga (KN-1011) D/U примерно 10/15 Mbps при 40% загрузке CPU. Если на роутере выключить и включить на телефоне, то 120/50~120 Mbps. Это сейчас из Финляндии в Амстердам.
Т.е. даже если проапгрейдтьсся до KN-1013 (Titan), то у него CPU 1800 Mhz, 3 ядра, а не 800 Mhz и 2 ядра, ну наверное, чуть больше двойки можно выиграть, но все равно мало.
И еще дурацкий вопрос - вот если я таким способом в домашнюю сеть попаду, то и во внешний интернет тоже? А то я помню, что когда у меня дома еще стоял Mikrotik и SSTP сервер, то чтобы наружу вылезти, мне приходилось роутинг на ноуте ручками настраивать.
если я таким способом в домашнюю сеть попаду, то и во внешний интернет тоже?
Если ваш вопрос касался опубликованной статьи - то да. При подключении извне к вашему VPN-серверу вы будете ходить через него и в Интернет и в вашу домашнюю сеть.
То же самое делал недавно, только openwrt роутер. Было интересно.
https://forum.keenetic.ru/topic/27738-keenetic-os-51-alpha-3-wireguard-asc-20/
Для кинетика уже есть AWG 2.0, просто называется она теперь ASC 2.0 чтобы не сильно палиться
"Министр цифрового развития Максут Шадаев, по данным СМИ, попросил сотовых операторов ввести плату за потребление международного интернет-трафика в размере более 15 ГБ в месяц. Таким образом власти хотят ограничить работу VPN. Также владельцев крупнейших цифровых платформ попросили ограничить доступ к ним пользователям, использующих VPN."
https://www.cnews.ru/news/top/2026-03-30_smi_vlasti_poprosili_rossijskih
Также владельцев крупнейших цифровых платформ попросили ограничить доступ к ним пользователям, использующих VPN
Это как раз малореалистично, если только какая бабушка, забыла отключить хотя бы
Ну панорама то все предсказала) https://panorama.pub/news/pri-ispolzovanii-vpn-mobilnye-operatory
А кто то проверял, может не только на Keenetic можно установить WG? Что на счет Xiaomi
с одной стороны метод развертывания для self hosted решения удобен у них, но с другой стороны хотелось бы еще установку без докера (либо я ее где то просмотрел)
Я, в своё время, разворачивал AmneziaWG без Docker вот по этой инструкции. Сразу скажу что надо использовать Ubuntu 22.04. На Ubuntu 24.04 у меня не заработало. И, помимо команды pip install qrcode надо еще выполнить pip install pillow.
Ну и для общего ознакомления можете почитать про различные сценарии использования Wiregard.
расскажите как связать Mikrotik и Amnezia?
Я просто поставил рядом с микротиком мини-ПК с барахолки. Дешевый и без вентиляторов. На нем любые VPN, скрипты с BGP, боты и тому подобное. Микротик на него опирается и заруливает туда часть маршрутов.
лично я прикрутил железку, на которой поднял всякие разные ништяки... иначе никак наверное. Можно амнезией сделать экспорт настроек классического wireguard? но боюсь, что тогда микикрот-квн легко вычислят. По этому в качестве квн-сервера я сделал отдельную железку за микротиком
если ваш микротик поддерживает контейнеры (arm) - то установить нужный контейнер
Заколебали эти блокировки блин.... ну каждый день просто мучение ((((((
Идея, мягко говоря не нова, хотя, учитывая обстоятельства современной российской действительности, наверняка, будет полезна многим. Проброска статичного IP c VDS на свою сеть, как самоцель, сомнительное мероприятие, как по мне, хотя в некоторых случаях и позволит немного сэкономить, конечно. Если же это реализовать параллельно с другими надобностями, то это уже дело другое.
AWG - вещь полезная и неплохая, НО лично меня очень смущает один немаловажный момент: установка идет через root доступ к серваку из их приложения (было так, а это несет риск). Хотя, может, уже что-то поменялось - поправьте тогда.
Еще буквально сегодня начали разгонять тему о том, что наши власти в непрерывной заботе о народе хотят ввести платность на мобильный туннельный трафик свыше 15 ГБ (а это ни о чем почти).
меня очень смущает один немаловажный момент: установка идет через root доступ к серваку из их приложения
В самом конце статьи я дал рекомендацию - отключить доступ по логину/паролю к вашему серверу после окончания настройки и ходить к нему только по ssh-ключу. Что также отключит доступ по логину/паролю сохранённому в приложении Amnezia VPN. Это, конечно, не гарантирует полной безопасности вашего сервера, но шанс на несанкционированный доступ всё-таки уменьшает.
Отключение входа по логину и паролю, переход на ssh-ключ - это САМО собой! Это - один из первейших шагов при развертывании сервера! Вот, только Вы даете кому-то ковыряться в Вашем серваке под рутом какое-то время - в этом проблема. Я это к тому, что даже, если потом перейти на ключ, у Вас будет полная уверенность, что там все в порядке?! А учитывая новоиспеченное российское законодательство, даже если отбросить просто соображения безопасности, это может потенциально иметь ДЛЯ ВАС ЛИЧНО очень серьезные последствия. Я не утверждаю, что подобная доверчивость пользователей будет непременно использована, но тут, как говаривал наш великий вождь, "важно не намерение, а возможность"! Я с ним полностью согласен по этому вопросу!
А главное, лично мне, не очень понятно, зачем такая мутная схема, если нет "замыслов"? Почему нельзя поставить просто, как обычный пакет (как тот же WG)?!
AWG - вещь полезная и неплохая, НО лично меня очень смущает один немаловажный момент: установка идет через root доступ к серваку из их приложения
При желании можно её поставить и настроить своими руками. Всё необходимое содержится в этих репозиториях:
https://github.com/amnezia-vpn/amneziawg-go
https://github.com/amnezia-vpn/amneziawg-linux-kernel-module
Я так понимаю, интерфейс на Keenetic, на который все это дело вешается, имеет статус Public у Вас, верно? Даже в этом случае, как по мне, давать доступ извне на все хосты домашней сети все-таки не самое лучшее решение. А самое главное: зачем? Ну, есть у Вас ftp-сервер, сервер-стенд ... еще что-то - нет вопросов, можно дать, но ко всем-то зачем? Не знаю, может, у Вас есть какие-то веские основания на иное видение, но, по-моему, так!
Я так понимаю, интерфейс на Keenetic, на который все это дело вешается, имеет статус Public у Вас, верно?
Объясните, пожалуйста, что это значит? Я не понимаю вопроса в такой формулировке.
Даже в этом случае, как по мне, давать доступ извне на все хосты домашней сети все-таки не самое лучшее решение.
Мне удобно что у меня есть доступ к моей домашней инфраструктуре через то-же самое подключение, через которое доступен нормальный Интернет. И я считаю это объяснение вполне достаточным.
Ну, есть у Вас ftp-сервер, сервер-стенд ... еще что-то - нет вопросов, можно дать, но ко всем-то зачем? Не знаю, может, у Вас есть какие-то веские основания на иное видение, но, по-моему, так!
На данный момент у меня гипервизоре крутятся 19 виртуальных машин, с разными ролями. И их количество может изменяться, при необходимости. Плюс есть некоторое количество физических рабочих станций. Некоторые из них используются для обычной работы, некоторые - для экспериментов. Создание для каждого компьютера отдельных сетевых правил я посчитал слишком затруднительным. А в рамках написания этой статьи - еще и не целесообразным.
Эта статья писалась, в том числе, как пример не совсем стандартного использования Amnezia VPN. Например если вы захотите связать между собой два территориально удалённых офиса, то некоторые приёмы из этой статьи могут оказаться вам полезными.
И да, конечно, вы можете проявить кретивность и что-то сделать по-другому или не делать совсем.
Плюс не забывайте вот про это предложение:
При создании правил вам придётся немного подумать о том с каких именно адресов / подсетей на какие адреса / подсети вы хотите разрешить доступ.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Использование Amnezia VPN и роутера Keenetic для построения туннеля во внутреннюю сеть