В связи с вступлением в силу нашумевшего закона 149-ФЗ у многих хабравчан возник вопрос: а что будет дальше? Неужели в России появится аналог Великого Китайского Фаервола, который будет блокировать всё и вся? В данном туториале я хотел бы рассмотреть один из самых эффективных и безопасных способов обеспечения себе свободы информации — собственный VPS сервер, находящийся далеко за границей и связанного с вами с помощью зашифрованного VPN туннеля. В отличие от tor или i2p конфиденциальность передаваемой информации гарантированна, вряд ли кто-то будет пытаться расшифровать ваши данные или устраивать рейд на заграничный сервер (если конечно вы не хакер мирового масштаба).
Бесплатный :) Как это ни странно, но такие бывают, вот например список бесплатных VPS хостингов, который использую я. В основном это всё пробные варианты сроком на 1 месяц, но ничто не мешает через месяц выбрать другой пробный сервис, благо список большой. Но никто ничего не гарантирует, если вам нужно гарантированная конфиденциальность выбирайте платные сервера в Нидерландах, Чехии, Египте и других безопасных государствах. Но я выбрал американский сервер, во-первых он был самый удобный из халявных, а во вторых всё это затевалось не только для безопасности, но и для покупки Nexus 7 через Play Store (ещё одно полезное применение).
Также нужно смотреть на наличие «белого» IP адреса и способ виртуализации сервера. Последнее не столь важно в выбранном мной способе, но если с серверами c изолированным ядром (например KVM) проблем с недостающими модулями обычно не возникает, то если ядро общее и немодифицируемое (например OpenVZ) нужно связываться с техподдержкой (об этом ниже). И при регистрации систему лучше выбрать debian-подобную, она проще и инструкции ниже написаны для неё. Остальное на ваш вкус.
На чтение первых двух абзацев, поиск и регистрацию VPS у вас ушло минут 15, осталось ещё столько же. После того как вы получили/оплатили vps сервер, нужно с ним что-то делать, а именно поднимать на нем VPN. Для этого я использовал OpenVPN — бесплатный, безопасный и быстрый в настройке. Если вы выбрали VPS на базе популярного OpenVZ — скорее пишите в ТП, чтобы вам включили модули для поддержки iptables, NAT и tun, первые два скорее всего уже есть, а вот tun вряд ли. Пока техподдержка работает (надеюсь она не будет так быстра и не перезагрузит VPS в критический момент, лично мне повезло), мы подключимся к нему, поставим и настроим OpenVPN:
Дальше есть два пути: быстрый и надежный
Этот способ использует статичный ключ-пароль, но он не отличается безопасностью. Генерируем ключ:
Сохраняем его к себе на компьютер (cat + Ctrl-V) и создаем конфиг /etc/openvpn/tun0.conf:
Этот способ активирует TLS/SSL шифрование на сервере, но он дольше в настройке. Скопируем кухню для создания ключей и сертификатов в папку с openvpn:
Инициализируем скрипт:
Создадим CA сертификат и ключ, нас попросят ввести даные о сертификате, вводим любые, хоть фиктивные:
Создадим сертификат/ключ для сервера
Сгенерируем ключи для шифрования SSL/TSL соединения
И создадим ключи для себя:
В папке /etc/openvpn/easy-rsa/keys теперь есть все необходимые ключи, для авторизации нам нужны только myname.crt, myname.key (свои сертификат с ключом) и ca.crt (сертификат CA)
Создадим и отредактируем вашим любимым текстовым редактором конфиг /etc/openvpn/tun.conf:
Теперь можно запустить OpenVPN сервер:
Если всё успешно, то мы сможем подключиться к серверу, используя скачанные выше сертификаты и ключи (не забудьте LZO сжатие на клиенте, если включили на сервере!). А если нет, то в логах скорее всего будет что-то вроде
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory
Это означает, что техподдержка плохо работает и не включила нам tun модуль. А если всё хорошо, мы сможем пинговать VPS, но интернета ещё не будет, для этого нам нужен NAT:
Если вы выбрали другую подсеть, то укажите её вместо 192.168.1.0/24. Вместо venet0 укажите интерфейс (привет ifconfig), который смотрит в интернет, а вместо SERVER_IP укажите внешний IP адрес VPS. Теперь можно сохранить настройки iptables:
В /etc/rc.local:
Поставить на автозагрузку openvpn и перезагрузить openvpn сервер:
Всё! Я же говорил, что мы управимся за 30 минут?
Какой VPS выбрать?
Бесплатный :) Как это ни странно, но такие бывают, вот например список бесплатных VPS хостингов, который использую я. В основном это всё пробные варианты сроком на 1 месяц, но ничто не мешает через месяц выбрать другой пробный сервис, благо список большой. Но никто ничего не гарантирует, если вам нужно гарантированная конфиденциальность выбирайте платные сервера в Нидерландах, Чехии, Египте и других безопасных государствах. Но я выбрал американский сервер, во-первых он был самый удобный из халявных, а во вторых всё это затевалось не только для безопасности, но и для покупки Nexus 7 через Play Store (ещё одно полезное применение).
Также нужно смотреть на наличие «белого» IP адреса и способ виртуализации сервера. Последнее не столь важно в выбранном мной способе, но если с серверами c изолированным ядром (например KVM) проблем с недостающими модулями обычно не возникает, то если ядро общее и немодифицируемое (например OpenVZ) нужно связываться с техподдержкой (об этом ниже). И при регистрации систему лучше выбрать debian-подобную, она проще и инструкции ниже написаны для неё. Остальное на ваш вкус.
Установка и конфигурирование
На чтение первых двух абзацев, поиск и регистрацию VPS у вас ушло минут 15, осталось ещё столько же. После того как вы получили/оплатили vps сервер, нужно с ним что-то делать, а именно поднимать на нем VPN. Для этого я использовал OpenVPN — бесплатный, безопасный и быстрый в настройке. Если вы выбрали VPS на базе популярного OpenVZ — скорее пишите в ТП, чтобы вам включили модули для поддержки iptables, NAT и tun, первые два скорее всего уже есть, а вот tun вряд ли. Пока техподдержка работает (надеюсь она не будет так быстра и не перезагрузит VPS в критический момент, лично мне повезло), мы подключимся к нему, поставим и настроим OpenVPN:
apt-get install openvpn
Дальше есть два пути: быстрый и надежный
Путь быстрый
Этот способ использует статичный ключ-пароль, но он не отличается безопасностью. Генерируем ключ:
cd /etc/openvpn
openvpn --genkey --secret static.key
Сохраняем его к себе на компьютер (cat + Ctrl-V) и создаем конфиг /etc/openvpn/tun0.conf:
/etc/openvpn/tun0.conf:
dev tun0
ifconfig 192.168.1.1 192.168.1.2
secret /etc/openvpn/static.key
Путь надежный
Этот способ активирует TLS/SSL шифрование на сервере, но он дольше в настройке. Скопируем кухню для создания ключей и сертификатов в папку с openvpn:
cd /etc/openvpn
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/
chmod -R +x easy-rsa/
Инициализируем скрипт:
cd easy-rsa/
source ./vars
./clean-all
Создадим CA сертификат и ключ, нас попросят ввести даные о сертификате, вводим любые, хоть фиктивные:
./build-ca
Создадим сертификат/ключ для сервера
./build-key-server server
Сгенерируем ключи для шифрования SSL/TSL соединения
./build-dh
И создадим ключи для себя:
./build-key myname
В папке /etc/openvpn/easy-rsa/keys теперь есть все необходимые ключи, для авторизации нам нужны только myname.crt, myname.key (свои сертификат с ключом) и ca.crt (сертификат CA)
Создадим и отредактируем вашим любимым текстовым редактором конфиг /etc/openvpn/tun.conf:
port 1194
proto udp # если нужна гарантированная доставка пакетов, исользуем proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt # созданные ключи
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # держать в секрете
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 192.168.1.0 255.255.255.0 # наша виртуальная подсеть, можно выбрать и другую
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Сжатие трафика, должно быть включено и у клиента
persist-key
persist-tun
status /var/log/openvpn-status.log # собственно логи
log /var/log/openvpn.log
verb 3 # уровень болтливости логов
push "dhcp-option DNS 8.8.8.8" # выдаем по умолчанию DNS сервер от гугла
Проверка
Теперь можно запустить OpenVPN сервер:
service openvpn start
Если всё успешно, то мы сможем подключиться к серверу, используя скачанные выше сертификаты и ключи (не забудьте LZO сжатие на клиенте, если включили на сервере!). А если нет, то в логах скорее всего будет что-то вроде
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory
Это означает, что техподдержка плохо работает и не включила нам tun модуль. А если всё хорошо, мы сможем пинговать VPS, но интернета ещё не будет, для этого нам нужен NAT:
echo 1 > /proc/sys/net/ipv4/ip_forward
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o venet0 -j SNAT --to-source SERVER_IP
Если вы выбрали другую подсеть, то укажите её вместо 192.168.1.0/24. Вместо venet0 укажите интерфейс (привет ifconfig), который смотрит в интернет, а вместо SERVER_IP укажите внешний IP адрес VPS. Теперь можно сохранить настройки iptables:
iptables-save > /etc/iptables.rules
В /etc/rc.local:
iptables-restore < /etc/iptables.rules
Поставить на автозагрузку openvpn и перезагрузить openvpn сервер:
update-rc.d openvpn defaults
service openvpn restart
Всё! Я же говорил, что мы управимся за 30 минут?