Следим за своей статистикой OpenVPN

[BDI]

Когда сам озадачивался учётом трафика(у меня был вариант когда было ограничение на месячный объём), мне хватило возможностей vnstat с указанием vpn интерфейса.

Автоматизацией на основании собранных данных не занимался, но с ключом --xml или --json
vnstat выдаёт вполне «машиночитаемый» результат, который можно использовать в своих нуждах.

[siailya]

Если правильно понял, получится получить только общий трафик интерфейса OpenVPN? То есть анализ по каждому клиенту отдельно не провести?

[BDI]

Да, трафик через конкретный интерфейс. Но если цель мониторить исчерпание лимита сервера, то этого достаточно. Если надо по каждому пользователю, тогда вариант не подходит.

[Barnaby]

В Outline можно выставить лимит на 30 дней. Зачем брать vps с таким странным ограничением?

[siailya]

Сам впервые столкнулся с таким ограничением и сперва, когда проверил скорость через speedtest-cli, подумал, что оно вовсе не работает (тест показал 500/120 Мбит на загрузку и отправку соответственно). Только ТП и разъяснила механизм работы. Но по сути из этого родилась идея сделать то, что я сделал, так что только рад этому странному ограничению :)

[aborouhin]

OpenVPN мониторить - это, конечно, дело нужное, но на той же самой VPS надо бы мониторить заодно загрузку CPU / памяти / место на диске (самая мерзкая засада, по моему опыту, когда какой-то ранее неведомый лог решает разрастись на весь диск...) / SSH сессии и т.п. Ну и мониторить это логично из одного места. Посему - zabbix (ну или что-то аналогичное на вкус), веб-интерфейс и алерты куда надо в комплекте, - ну а решений, как openvpn к нему прикрутить, хватает готовых.

[Harwest]

«прикупил один из самых дешевых VPS с заграничным IP и минимальными характеристиками»
Прикупил vps в ЦОДе РТ в городе Н-ске: очень удивился когда через VPN этого vps заработал LinkedIn, Insta, и простигосподи PornHub o_O

[aborouhin]

Лотерея. На VPS от reg.ru длительное время никакие блокировки не действовали, потом в один прекрасный момент без предупреждения поменялся аплинк (то ли с РТ на ТТК, то ли наоборот, уже не помню) - и всё оказалось зарезано.

[NikaLapka]

развернуть все можно буквально в пару строчек).

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

Здесь Паша Эмильевич, обладавший сверхъестественным чутьем, понял, что сейчас его будут бить, может быть, даже ногами. (с)

Пример правильных пары строчек для первоначальной настройки(debian 11.3) openvpn: apt install openvpn && cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server

Для параноиков, перфекционистов, выпускников Академии Звёздного Флота и т.п. единственно верный путь: https://openvpn.net/community-resources/creating-configuration-files-for-server-and-clients/

[ogost]

А почему не wireguard? Мне он показался проще в настройке, и оверхед небольшой.

[Tarakanator]

Когда я выбирал.
wireguard-прошивка моего роутера не умела.
openvpn-можно конечно, но он не особо шустрый. и вопрос маршрутов.
zerotier-тогда я про него не знал, но в плюс запишу лёгкую смен VPN сервера. минусы не знаю т.к. не пробовал. В первую очередь вопрос маршрутов
ipsec+gre мой выбор. Можно выбрать только нужные маршруты, есть доступ по сертификатам. Недостатки: если хочется накрутить побольше безопасности, то родной виндовый и андроидовский клиенты работать не будут (виндовый вроде как можно пролечить, но я не смог, и он сертификаты ставит на комп, а не на пользователя)

[siailya]

До него просто-напросто не успел докопаться в поисках решения, разум затуманил OpenVPN
Сейчас мельком посмотрел на wireguard, в некоторых моментах он мне тоже показался проще (например та же статистика, которую я собираю через management-interface достается просто просто командой wg), так что попробую и его пощупать на досуге

[newyorkin]

Коли уж у нас есть Докер, вот так можно было развернуть и сам OpenVPN, в пару строчек без установки его на хостовую машину:

https://github.com/kylemanna/docker-openvpn

https://github.com/kylemanna/docker-openvpn/blob/master/docs/docker-compose.md

[siailya]

Об этом, честно говоря, у меня даже мыслей не было - видимо недостаточно "контейнерное" мышление :)
В идеале, наверное, нужно абсолютно всё упаковать в контейнеры (в т.ч. БД) и поднимать одним docker-compose up

Спасибо за наводку, обязательно попробую!

[nuBacuk]

Только не обновляется он, сделал форк и сделал сборку для arm и мелочи поправил https://github.com/nuBacuk/docker-openvpn-arm64.

[Rebeiro1976]

6 лет vps в Германии, скорость по тарифу опсоса, пинг конечно больше, ну это не критично, я в игры не играю, тут купил vps в России, попробовать, это ппц, ничему меня жизнь не учит, вся парнуха забанена, зато кавказцентр открывается))) это как? я обычно впн проверяю, кавказ врубаю, если открылся значит норм, а тут коллизия какая то, деньги хоть вернули, пару лет назад, тоже покупал vps не помню у кого, написано было безлимит и скорость 100 мегабит, в результате было 10 мегабит, написал в поддержку, мне ответили типа, за каждые еще 10 мегабит надо 100 р доплачивать))) пять баллов))) извините я не совсем трезв, душа поет

[Amihailov]

Ищущим могу посоветовать вот такой комбайн VPN-сервера (wireguard, web-интерфейс, статистика, pihole, firewall и прочее) от ИБшника энтузиаста https://gitlab.com/cyber5k/mistborn