Комментарии 44
Было бы здорово видеть описание проблемы которую вы хотели решить этим способом и почему выбрали именно его.
Это перевод. так что проблема "мало кармы", решение именно такое потому, что "этого тут ещё не было".
На правах рекламы (хотя не аффилирован и материально не заинтересован) - для "простых граждан" сейчас вполне хватает Amnezia VPN (без ссылок, всё легко гуглится).
Спасибо за Ваше мнение. Но оно оказалось со старта неверным, т.к. поднимать "карму" тут мне нет необходимости. =) Просто потому, что мне не нужны "плюшки", которые она дает. На Хабре бываю не так часто теперь, и в основном по вопросам как раз инструкций.
Если же интересует мотивация, для чего была написана статья, то отметил это в конце (для меня не было очевидным, что мотивация играет важную роль в прочтении статьи, но вероятно это было моей ошибкой).
Данная же статья написана лишь потому, что сам потратил много времени (по большей части в силу своей неопытности) и что бы другие могли пройти мимо всех граблей, по которым я в течении недели устраивал забеги.
Вопрос же о необходимости собственного VPN-сервера лично для меня это вопрос безопасности. Так как VPN и безопасность это отдельные и весьма обширные темы, здесь я решил, что будет лишним их описывать да и вряд ли это будет нести какую-то ценность сообществу.
Проблема в том, что был выбран и оплачен хостинг с головняком в виде PXE. Я понимаю, что абсолютно точно есть более простые пути. Но на просторах рунета не удалось найти, что с этим делать. Поэтому, решил поделиться.
Очевидно, что для людей, кто более-менее "шарит" в никсах, это всё детский сад. Но для человека, который гуглил, чем отличается yum от apt-get, разобраться в вышеописанном оказалось не совсем очевидным.
Что касается задачи, то на на базе CHR планируется сделать собственный VPN-сервер.
Основная проблема CHR и микротик в целом в том, что он производится в Латвии, думаю в текущей ситуации вы почувствуете уровень приближения опасности, и в CHR банально могут отрубить активации(не так болезненно как циско или альтополло, но все же), про переодические взломы микротов вообще молчим
А можно про периодические взломы? А то я пока кроме эксплуатации одних и тех же дыр, закрытых много лет назад, ничего больше не видел. Или вы про «я поставил пароль админ и меня сломали»?
По секрету: если отзовут лицензию микротик chr (я в это верю с трудом, но, допустим), то все продолжит работать на том же уровне лицензии, только возможность обновления потеряется. Но это тоже можно обойти: сделав триал на левый аккаунт ;).
Port knoging решает проблемы ,но тогда, чтобы пользоватся тем или иным впн, например, вг , нужно постучпостучать
Не пойму, если это не анти-реклама хостинга, то зачем так все усложнять?
Выбирайте VPS c Ubuntu 16 и далее достаточно всего несколько команд:
sudo -i
wget https://download.mikrotik.com/routeros/6.48.6/chr-6.48.6.img.zip -O chr.img.zip
lsblk
echo u > /proc/sysrq-trigger && gunzip -c chr.img.zip | dd of=/dev/vda
или в зависимости что покажет lsblk
echo u > /proc/sysrq-trigger && gunzip -c chr.img.zip | dd of=/dev/sda
Выключаем/включаем сервер через панель управления, и логинимся через консоль.
Ну и самой первой командой на Микротике должна быть смена пароля для админа, и только потом назначение адреса и шлюза!
И, конечно, не забываем про лицензию, если не хотим иметь безумные задержки.
Вот тоже думаю. Сверх замороченный мануал. Совершенно бесполезный. Есть куча мануалов проще и на русском без перевода.
Действительно, насколько понял, в большинстве случаев так всё и происходит. Но в случае данного хостера всё оказалось чуть сложнее. Вероятно, всё дело в том, что загрузка происходит через PXE и так как CHR переделывает файловую систему, то крашится загрузчик grub2 и микротику не удается загрузиться (это насколько я смог понять, что происходило и на истину не претендую).
А можно уточнить, что с лицензией? Насколько смог понять с вики, свободная лицензия режет скорость только для некоторых функций? Или я что-то недопонял?
но ведь WireGuard намного проще/быстрее?
Проще то, что уже есть у клиентов. А у всех клиентов есть IPsec, и работает на уровне ядра.
Спасибо, погуглил, почитал про WireGuard. Штука интересная... но в моем случае необходимо было обкатанное решение с большим количеством информации по проблеме.
Когда-нибудь обязательно попробую разобраться и с WireGuard... но пока что мне бы осилить L2TP через IPsec X-D
В некоторых случаях Mikrotik это только начало.
Например если на другой стороне роутером тоже Mikrotik а заворачивать весь трафик в VPN не хочется и принять по BGP список маршрутов на которые ходить через VPN(с решением из https://habr.com/ru/post/549282/ )
Дело правильное, свою машинку иметь полезно по разным причинам.
Только я бы ещё добавил шифрование диска на всякий случай.
Сам делал похожий деплой, только разворачивал FreeBSD и на geli-разделе (т.е. зашифрованный раздел), до кучи сверху сделал ZFS с компрессией. Таким образом наскрёб чуть больше по объёму диска (у хостера NVMe-массив, всё шустро работает) - использую VPS ещё и для хранения бэкапов.
Для подготовки такой конфигурации собирал образ диска руками дома и заливал на виртуалку. Уже пару лет использую, полёт стабильный :-)
Большое спасибо. Вероятно, когда-нибудь озабочусь шифрованием диска. Вполне очевидно, что в случае хранения бэкапов оно необходимо. Но при развертывании собственного VPN-сервера не уверен, что в этом есть какая-то потребность (могу и ошибаться просто по неопытности в вопросе).
Опять же, объем в 20 Гб смысла нет никакого компрессить (если я правильно понял идею после поверхностого гугленья непонятных слов =) ).
Навскидку, удалось наскрести примерно 2-3 гига дискового пространства, но это конечно сильно зависит от данных которые будут храниться на VPS.
Согласен, что это необязательно, я сделал просто чтобы выжать из этого хостинга по максимуму, возможно немного погорячился :-)
А шифрование как-то помогает спокойнее относиться к данным, ведь там ssh-ключи, логи, всякие другие штуковины, зная которые можно вскрыть многое...
А чем платить-то за vpsserver.com?
Придирка конечно, но...
Зачем до сих пор putty? Православный OpenSSH Client завезли в состав винды ещё в билде 1809, в более ранних, если есть кто такими пользуется, ставится одной командой.
Хмм, а не проще сразу нарыть хостинг с установкой из iso? А на AWS есть free tier и готовая сборка chr в ami, правда, шестой версии, но ее можно обновить на семерку. Уже год таким образом работает личный vpn. Подвязал к микротику, прокинул маршрут и создал лист ресурсов, запросы на которые отправляются на маршрут до CHR. Хотя можно отсылать траффик и по другим критериям.
Как-то мудрёно. 2 недели назад купил американский vps на justhost т.к. он принимает оплату в битках и накатил туда openvpn, все развертывание было гораздо проще и скорость в 25mbit/s в браузере оказалась приятной неожиданностью. А главное все удовольствие стоит 300р/месяц.
Прежде чем выбрать редакцию - v7.
Очень сложно. Из центоса chr ставится двумя командами. Зачем вот это вот все - непонятно.
К сожалению, на конкретном хостинге оказалось всё не так просто и радужно. Так как сам потерял время на то, что бы разобраться, решил, что будет уместным поделиться.
Я думал, это зависит от ОС, а не от хостера. Сам я два месяца назад решил уничтожить центос и перейти на CHR. У меня это свелось к 3 командам:
# wget https://download.mikrotik.com/routeros/6.49.5/chr-6.49.5.img.zip
# echo u > /proc/sysrq-trigger && gunzip -c chr-6.49.5.img.zip | dd of=/dev/vda
# reboot
Насколько смог понять, зависит от первичного загрузчика через сетевую карту PXE. А это особенность хостера. В общем случае и (как уже потом узнал), в большинстве случаев действительно сводится всё к нескольким командам. Но так как общие случаи смысла нет описывать, то появилась вот такая статейка. =)
а по середине процесса нее сломается ?
Я обычно делаю tmpfs и туда качаю img.zip чтобы точно не убить образ до заливки (+2 команды)
Mikrotik CHR на хостинге vpsserver.com