Pritunl — VPN-сервер для себя и друзей за 10 минут

[institor]

Вот только надо еще найти VPS с адресом не в заблокированной подсети :(

[Zava]

Я воспользовался Scaleway и наследующий день попал в блок РКН. Но поигравшись с местным «генератором» IP сумел найти и зарезервировать два адреса в разных не заблокированных подсетях. Установил образ с OpenVPN и поставил dante — socks5 proxy. Сейчас все работает.
UPD: добавлю, что обладаю весьма поверхностными знаниями. Но достаточно уметь читать не хитрые инструкции и документации, — и сможет справится с задачей любой человек, способный понять с какой стороны включается компьютер.

[Zava]

Я думаю нас накрыло после поста про веерные блокировки, где в комментариях рассказали про ScaleWay, в тот же день Дуров воспользовался там несколькими IP, около 5 штук, которые были конкретно указаны в реестре, а следом вся подсеть 51.15.0.0/16.
PS: в смысле Дуров не узнал из комментов про scaleway =) а просто нам не повезло, ну вы поняли )
Кстати до сих пор блокируют, отпустили только Амазон и Гугл

[Barnaby]

«мы нашли тут вам хорошие IP — смотрите в личном кабинете»

А вот мне не нашли. Смог получить из другой подсети в Париже, но не в Амстердаме.

Unfortunetly, we have no ways to force a certain IP.
You will have to try to order a new IP until you get one that is not blocked

[m0nym]

Вот только надо еще найти VPS с адресом не в заблокированной подсети :(

Любой мелкий хостер, не облачный, без API — то есть те, которые не интересны Телеграму.

[Rampages]

Можно использовать digitalocean (ссылка с рефералом и дает вам $10 на пробу). Если IP вашего «дроплета» не открывается, то просто создаете новый «дроплет», а старый удаляете. Самый дешевый «дроплет» за $5 имеет 1Тб трафика на месяц, дополнительный трафик будет стоить $.01/GB, более подробно.

[Softer]

Если это надстройка над OpenVPN — зачем отдельный клиент на десктоп?

[kvaps]

Для простоты настройки, многим проще вставить ссылочку в клиент нежели скачивать и импортировать какой-то профиль.
Но это дело вкуса конечно, на linux я использую NetworkManager с плагином для openvpn.

[0xf0a00]

кстати тот же вопрос

[immaculate]

У сервиса AirVPN тоже есть десктопный клиент для Windows и Linux. Для мобильных ОС не вспомню, но помню, что без труда настроил использование их VPN у себя на телефоне с Android.

[cooladmin]

Неплохая альтернатива для OpenVPN AS получилась.
Правильно понимаю, что никакой финансовой модели не просматривается? (ни лицензий, ни суппорта, ни +\super\turbo\advanced версии?)

[kvaps]

Ну, у них есть версии с поддержкой и расширенным функционалом.

Pricing

На практитке OpenSource версии вполне достаточно.

[nafigat]

Есть ли возможность перенести сертификаты имеющегося сервера OpenVPN на сервер Pritunl? Или как-то «накатить» Pritunl на существующий сервер OpenVPN?

[valery1707]

Тоже интересует этот вопрос.
Есть сервер streisand — можно ли к нему подключить Pritunl и получать удовольствие?

[Vovanys]

Нет просто так накатить не получится.
Нужно заново все создавать. Но ключи и т.д. можно попробовать подпихнуть в бд mongo. Он там все настройки хранит.

[wilderwind]

Для себя и друзей подойдёт и простой pptpd на бубунте, поднимается с полпинка на самом дешёвом минимальном VPS, никаких специальных клиентов, всё уже встроено и в Android, и в Windows. Конфиг лежит в паре файлов, акки заводятся открытым текстом в chap-secrets. Вряд ли типичному пользователю нужны все эти ключи, Диффи-Хеллманы и монструозное шифрование в 4096…

[gudvinr]

К сожалению, некоторые сети просматривают трафик при помощи DPI и даже openvpn до версии 2.4, который не завернут в tls, обрубается в таких сетях. Не говоря о pptp

[dmitry_dvm]

Какие преимущества от решений на openvpn по сравнению с IPsec ikev2, например? Во втором случае вообще клиенты не нужны, на всех актуальных осях работает из коробки.

[IgorGIV]

А как сейчас обстоят дела с клиентом l2tp/ipsec под линукс?

[dmitry_dvm]

Я не специалист, но насколько знаю — всё поддерживается и работает так же из коробки.

[Serge78rus]

всё поддерживается и работает так же из коробки

Где-то год или два назад безуспешно пытался подключиться клиентской машиной с Debian к l2tp/ipsec серверу на винде. Может дело в кривизне моих рук, но очень хотелось бы доходчивой инструкции по открыванию этой «коробки». Все, что нашел тогда в интернете — реализовывалось на давно протухших версиях openswan/strongswan.

[IgorGIV]

Из коробки клиента под l2tp/ipsec нету, что удивительно. Думал, может Вы посоветуете простое решение/клиент для него.

[dmitry_dvm]

Не скажу про l2tp, но ikev2 настраивается буквально в несколько строк в strongswan.conf или ipsec.conf, в зависимости от дистра.

[m0nym]

Ага.
И потом не работает на половине платформ.
Завести его на Win 7 не удалось вообще
На Android — только через родной клиент Strongswan

На Win 10 — да, работает.

[alexxisr]

я подключал через xl2tp, по простоте — не юзеров, но работает

[Sabubu]

В Андроид же вроде бы встроен клиент? Значит и под линукс должен быть.

[Silvarum]

Для OpenVPN нужен один любой порт. IPSec нуждается в нескольких фиксированных портах (500 для IKEv2, 50 для ESP, 4500 для NAT traversal). Следовательно, заблокировать OpenVPN труднее.
Теоретически, IPSec может жрать меньше ресурсов за счёт работы на уровне ядра, но на практике разницы не замечал.

[Barafu_Albino_Cheetah]

Из коробки, но не очень. Например в Win10 подключиться-то можно, а чтобы настроить автозапуск — добро пожаловать в коммандную строку с нужными заклинаниями. А чтобы настроить защиту при отключении — только внешний файрволл ставить.
На Андроиде требуется устанавливать пароль на экран. Мне пароль не нужен…

Так что в итоге всё равно сторонние клиенты лучше работают.

[throttle]

Gateway links
Create a gateway link to route traffic for a local network to a vpn client. Allowing the vpn clients to access the remote network that is available to the linked vpn client

Я правильно понял — они берут деньги за директиву iroute в ccd?

[zigzag8312]

Может есть под Windows Server что-то подобное, легкое в настройке?

[reablaz]

Hyper-V, а на нём уже по инструкции выше

[lex_dev]

Было бы неплохо узнать мнения по поводу того, как определить подходящую конфигурацию сервера под определенное количество людей (допустим, сразу на максимальной нагрузке, т.е. когда все сидят через впн одновременно). Т.е. какая конфигурация подойдет лучше под 10 человек, а 20?

[bilayan]

Почитайте эту ветку habr.com/post/356274/#comment_11147040

[lug32]

Подскажите пожалуйста, никто не встречал аналогичного, но только для настройки прокси?
да, знаю, легко и в сети куча манулов, но хотелось бы чтобы с админкой и прочим и чтоб одна красная кнопка

[Komol]

Zentyal

[Newcss]

Удобная система, пользуюсь. Хотелось бы иметь возможность развернуть на Raspberry pi 3… Большой сервер держать не особо удобно.

[GennPen]

На Raspberry Pi этот же самый Linux. Или он сильно кастрированный что обычные пакеты не катят?

[Newcss]

Линуксов версий много… у каждого свой собственный репозиторий пакетов, на raspberry идет линукс — raspbian, у них в репозитории много чего нет интересного… Но если помучаться то можно самому из исходников собрать руками… Pritunl завести у меня не получилось…

[lopatoid]

www.pivpn.io

[Newcss]

Видел я этот pivpn, raspbian -> apt-get install openvpn… только консоль, только хардкор… В pritunl приятная, функциональная и понятная веб-морда из которой можно контролировать кто подключен, отключить… да и удобно создавать ключи… Давно пользуюсь коммьюнити версией, функционала вполне хватает… но для личных поделок хочется иметь карманный вариант на raspberry…

[kvaps]

Так в чем проблема? — соберите Pritunl из исходников, вот тут есть понятная инструкция.
С той лишь разницей что установка зависимостей в ней описана для centos, вам нужно будет найти эквиваленты пакетов в репозитории вашего дистрибутива.

[Newcss]

Я по ней и действовал… MongoDB вроде как в репозитории не оказалось, собирал из мануалов… Собрал все зависимости нужные… Установил Pritunl… и там полезли косяки то инсталлятор не запускается, то каких-то файлов для openssl не хватает то еще что-то… Дня на 2 моего терпения хватило, потом я забросил эту идею).

[kvaps]

Очень вам советую попробовать ArchLinux ARM.
Для Raspbery Pi дистрибутива лучше я еще не видел.
Кстати там и монга есть, и pritunl в AUR'е, правда насколько он там рабочий — не знаю.

[dimatl]

Было бы интересно узнать мнение знающих людей про SSTP, он как-то вроде сильно похож на обычный https, и не смотря на родителя есть вроде и под линукс реализация.

[Vovanys]

К openvpn прикручиваете stunnel и отлично работает. DPI думает что это обычный ssl трафик. Проверено там где openvpn не работал вообще.

[dimatl]

Опять же, было бы интересно. Но это какая-то абстракция над впн, sstp всё таки более приземлённый и простой.

[Darkhon]

Не пробовали вместо этого использовать <tls-crypt> в современных версиях OpenVPN? В мануале заявляется, что это затрудняет обнаружение OpenVPN, но хотелось бы узнать достоверно, насколько это помогает на практике

[Macilnor]

А есть что нибудь подобное только с IKEv2 или L2TP и чтобы клиенты за NAT нормально работали? А то на домашнем интернете Билайн OpenVPN как то очень уж плохо работает, подключается но никакие сайты не грузит.

[kvaps]

А есть что нибудь подобное только с IKEv2 или L2TP

Можете попробовать посмотреть в сторону Mikrotik's Cloud Hosted Router.

чтобы клиенты за NAT нормально работали? А то на домашнем интернете Билайн OpenVPN как то очень уж плохо работает, подключается но никакие сайты не грузит.

Мне кажется у вас что-то не так с конфигурацией OpenVPN было, должно без проблем работать за NAT.

[Macilnor]

Я пробовал IKEv2 и L2TP на Strongswan — там не получилось подключиться одновременно с двух компов за одним роутером. А OpenVPN хорошо работал через Мастертел, а через Билайн подключался но данные не передавал от слова совсем так что на подключение двух клиентов я его даже не проверял.

[Barafu_Albino_Cheetah]

Shadowsocks попробуйте или Wireguard. OpenVPN могут тормозить, особенно на мобильном.

[Newcss]

На домашнем билайне поднимал сию программулину. Все работало. У вас скорее всего запрещен трафик во внешний мир, там в настройки галочку нужно поставить. У билайна и так l2tp, под ним openvpn работает очень и очень странно, по крайней мере — картинку с видео камеры на другом конце получить проблема была. Перешел на SkyNet и ценник ниже и качество интернета выше на голову.

[ky0]

Softether же.

[wild_one]

Наткнулся на замечательный проект Streisand.

Streisand (https://github.com/StreisandEffect/streisand) автоматически, используя Ansible (открытый инструмент для развертывания сервисов), настраивает для Вас на выбранном вами сервере или VPS сразу несколько сервисов, предназначенных для обхода цензуры и обеспечения приватности в Сети.

Настраиваются серверы OpenVPN, Shadowsocks, мост (bridge) для Tor, Openconnect (ocserv) и прочее. Рядом ставится понятный веб-интерфейс для легкого управления.

TL;DR: автоматическая развертывалка машины для борьбы с РКН и прочими. Надо только осилить поставить Ansible, скачать Streisand и натравить его на купленную VPS. Не "нажать пару кнопок", но уже гораздо лучше, чем настраивать весь этот ворох софта вручную.

Перевода на русский пока нет (кроме README), но я над ним работаю.

[Self_Perfection]

Ну такое. Я пробовал натравить на OpenVZ виртуалку, а оно сказало "кря" и сломалось. Вместо того чтобы настроить хотя бы часть сервисов, которые могли бы жить в этих условиях.

[wild_one]

Багрепорт? Я думаю, штука полезная.
Она, например, поднимает скрытый сервис в Tor, к которому можно подключиться и скачать себе (друзьям) конфигурации для VPN.

[ky0]

Потому что в контейнерах с OpenVPN вообще всё довольно сложно, хотя бы из-за того, что может быть недоступен по умолчанию какой-нибудь модуль ядра.

[Sabubu]

Наверно потому, что в OpenVZ нельзя настраивать iptables и ipsec. Это вообще довольно плохая технология (например, в ней так настроен учет памяти, что ее расходуется раза в 2 больше чем на KVM).

OpenVZ годится для хостинга сайта, но не для чего-то более сложного. Я виртуалки с OpenVZ никогда не покупаю.

[Self_Perfection]

Вы в принципе никогда не покупаете или когда-то всё-таки пробовали и не понравилось? Возможно, вы недооцениваете OpenVZ. Таблица filter в iptables у меня вполне настраивается. Использование памяти пока совершенно не оправдывает мои худшие опасение.

Да и вообще, задачи, под которые я VPS он вполне выполняет. Претензия к streisand. ShadowSocks и много другое успешно работало бы и в OpenVZ контейнере.

[alexyr]

Подтверждаю, у меня на OpenVZ работает и ShadowSocks и OpenVPN.

[valery1707]

Да вроде README вполне хватает чтобы запустить это на своём сервере.
Единственное что мне было не ясно — логин+пароль для доступа к веб-интерфесу, но это довольно легко обнаружилось.

[wild_one]

Я перевожу странички для встроенного веб-сервера. Чтобы можно было сказать человеку "вот тебе URL и пароль, а ты там уже сам разберешься, как скачать сертификат и зацепиться".

А то на английском не комильфо.

[Mogwaika]

А вы не знаете, как меду собой связаны несколько учёток, которые streisand генерирует для openvpn, они при подключении в одной локальной сети оказываются или изолированы друг от друга? Ну и как перенастроить оба варианта на обратные мануальчик поботать никто не подкинет?

[Vovanys]

Не плохо в целом. Можно много серверов на одном создавать. IPV6 умеет из коробки.
Есть расширенные настройки. Есть скачивание готовых профайлов как в streisand.
LetsEncrypt сразу для web морды.

[Pusk1]

Клиент OpenVPN для Android неудобен, мягко говоря. Файл с ключами — слишком долгая история для обхода блокировок. После того, как я поднял Pritunl роскомнадзор IP через неделю заблокировал сайт. Переезд на другой IP это новые ключи. Даже при наличии доменного имени.
Установка Pritunl и его администрирование — это просто сказка. Настоятельно рекомендую, если OpenVPN вам подходит.

[vconst]

Я поражаюсь таким заявлениям…
Человеку дают файл, он автоматически открывается клиентом, без всяких трудов от пользователя. Потом только нажать одну кнопку в программе. Или ещё проще — сделать два ярлыка для коннекта и дисконнекта…

[Andrusha]

По неподтверждённым данным они скооперировались с Mail.ru Group, которые им сливают подозрительные заграничные IP, с которых пользователи заходили на сервисы компании.
Предотвратить — не ходить на мэйлрушные сервисы через VPN, в том числе разлогиниться из браузеров, порезать счётчики, приложение ВКонтакта можно попробовать завернуть в российскую прокси.

[decomeron]

Для iOS:
OpenVPN Connect

Читаю в коммментариях на апсторе-не работает. Может есть что то еще?

[ptokarevskiy]

Отзывы оставлены год назад)

[Space_Cowboy]

Удивлен почему до сих пор не было неичего подобного под опенвпн, Достаточно удобная вещь для бытовых целей, осталось убедиться что твои сертификатики не отправляет куда не нужно)

[super-guest]

Если хотите, чтобы это стало популярным, то вот этот пункт нужно раскрыть подробнее:

1. Для начала вам нужно купить VPS-сервер где-нибудь за пределами вашей страны.

[GennPen]

vds.menu или poiskvps.ru например, выбираете нужную страну, параметры. Не ради рекламы, первое что нагуглилось.

[leonid239]

Еще могу посоветовать vps.today

[rostislav-zp]

Отличная статья, как и множество других на эту тему на сайте.но для настройки vpn на своем сервере нет описания того, как настраивать порты.во всех видео, во всех инструкциях одно-ставим линукс, качаем то и то.Но не работает же так ничего.на cloud google как не пытался порты пробросить на сервере, так и не смог.может кто-то знающий может носом ткнуть на нужное обсуждение?

[Alexsey]

Большая часть статей расчитана на классические vps, которые смотрят в интернет без ограничений и внешних фаерволов. На облаках все совсем иначе. В случае с гуглом попробуйте так:

Go to cloud.google.com
Go to my Console
Choose you Project.
Choose Networking > VPC network
Choose «Firewalls rules»
Choose Create Firewall Rule
To apply the rule only to select VM instances, select Targets «Specified target tags», and enter into «Target tags» the tag which determine to which instances the rule is applied. Then make sure the instances have the network tag applied.
To allow incoming TCP port 9090, in «Protocols and Ports» enter tcp:9090
Click Create

[AhJong]

Я так экзамены по матану сдавал, когда билет не помнил, как Вы статьи пишете — «а здесь, с помощью элементарных математических преобразований, получаем такой результат».

[kvaps]

Ну статья скорее обзорная чем туториал, так что тот кому нужно — поймет, а кто не поймет — нагуглит.
Дословно описывать каждое конкретное действие — не вижу смысла.

[alexxisr]

а наш препод агрился как раз на слова «элементарно», «очевидно» и тп

[gpyra]

Pritunl

Приуныл

[AquiHostStrider]

Интересная штука, но всё равно для работы с ней необходимо понимание работы OpenVPN, а для тех, кто понимает механизм его работы, такие штуки и не особо-то нужны.

Самый лучший обход блокировок — собственный оптоволоконный кабель, прокинутый через госграницу. Заглублённый под землю метров хотя бы на 10. (Есть мнение, что ещё более лучший вариант — проезд своим трактором через эту самую госграницу в один конец, но дабы не загромождать дискуссию много раз обсуждавшейся темой, этот вариант здесь давайте рассматривать не будем.) Посему, хочется портативный проходческий комбайн размером с чемодан, который сзади себя сразу бы обделывал микротоннель камнем и оставлял рельсы, по которым можно было бы сзади подкатывать роботизированные вагонетки для выгрузки выкопанного грунта. Не знаю только, если такой комбайн наткнётся на скрытую полость/пещеру и свалится в неё, или попадёт в подземный водоём.

Вопрос к геологам: какие на сегодня существуют самые маленькие проходческие комбайны? (Гугл какую-то фигню выдаёт, извините.)

[fennikami]

Огромное спасибо автору! Давно искал что-то подобное OpenVPN AS, но вот наконец-то! Пишу с туннеля :)

[Nengchak]

Здравствуйте. Как я понимаю, этот клиент работает только с pritunl? А есть ли клиент для openvpn/возможность создать установщик уже готовым конфигом и одной кнопкой — ПОДКЛЮЧИТЬ?

[JackRowsen]

OpenVPN portable
подложить файл конфига и автоподключение в ini прописать.
Своим друзьям/знакомым так и делаю.

[flowrd]

Товарищи, хочу сообщить об альтернативе, которой пользуюсь я: Outline

На медиуме есть отличный мануал по установке и описанию самого проекта: medium.com/@antonkarliner/outline-vpn-manual-ee5750d577a3

Для тех кому лень переходить по ссылке, под спойлером приведу основные плюсы, по мнению автора статьи

• Это проект с открытым кодом, который постоянно доступен всем желающим. Такие проекты изучают тысячи разработчиков со всего мира, что исключает возможность появления там скрытых уязвимостей и лазеек для утечки информации.
• Более того, независимый аудит Outline проводила организация Radically Open Security.
• Outline использует продвинутую технологию Shadowsoks, которая активно используется в Китае, потому что позволяет обходить великий китайский фаерволл, в отличие от многих других решений.
• Из-за того, что Outline работает на вашем личном сервере, вы сами контроллируете свои данные, его гораздо сложнее отследить и заблокировать, а даже если заблокируют облачного провайдера, всегда можно поднять новый сервер за 10–15 минут.
• А ещё Outline не хранит никаких логов на сервере, так что если даже злоумышленники смогут получить доступ к серверу, они не смогут ничего узнать.

У меня сложилось впечатление, что Pritunl и Outline очень похожи. Если кто знает/понимает, в чём разница между ними, то буду рад комментарию

[Softer]

Я верно понял — у него свой неповторимый клиент?

[vconst]

Идея хорошая, но такая вещь в себе. В зависимости от погоды на марсе — сервис может как летать, так и тормозить. Свой клиент, свой сервер, все свое — но установка с настройкой максимально упрощены для дилетанта.

[Softer]

И отсутствие клиента под Linux, как я понял… :(