Как поднять OpenVPN сервер на Ubuntu 22.04?

[mmMike]

А гораздо проще это сделать вот этим скриптом:
https://www.cyberciti.biz/faq/howto-setup-openvpn-server-on-ubuntu-linux-14-04-or-16-04-lts/

Создание нового пользователя и вход под ним(по соображениям безопасности)

Оставлять вход по паролю для root, да и для sudo пользователя - не есть хорошо.
Неплохо бы:

1. Cоздать ключ и прописать его публичную часть в ~/.ssh/authorized_keys

2. Запретить вход по паролю (только по ключу) всем (/etc/ssh/sshd_config: PasswordAuthentication no)

Ну и для полного счастья заменить порт 22 для SSH на что то другое. Иначе достанут простукивалки стандартных портов.
еще бы проверить, что ничего лишнего нет netstat -ntlp | grep LISTEN
Обычно VPS провайдеры ставят Lunux "без лишнего". Но.. береженного 'б'ог бережет, а не береженого конвой стережет

[DoctorCat92]

Чаще всего если используете Centos, там сразу при входу видно что к тебе уже пароль подбирают. У многих Vps провайдеров схожу при создании виртуалки тебя начинают брудфорсить. Один раз я тупо делал тачку для проекта, и проект отложили, я на тачку даже не зашел, а через 2 недели мне Vps провайдер написал что с нее летит ддос и залочил мне весь аккаунт. Поэтому я бы даже настоятельно рекомендовал.

У меня к слову такой же скрипт для OpenVpn, но он в файл конфигурации еще и добавляет сертификаты. Только я скрипт делал ещё тупее, с помощью утилиты except.

[heos_spb]

Да, вот он - уровень нынешнего Хабра.
Но самое грустное и одновременно характерное в этом - ссылка на putty.org.

A.9.1 Is putty.org your website?
No, it isn't. putty.org is run by an opportunist who uses it to advertise their own commercial SSH implementation to people looking for our free one. We don't own that site, we can't control it, and we don't advise anyone to use it in preference to our own site.

The real PuTTY web site, run by the PuTTY team, has always been at https://www.chiark.greenend.org.uk/~sgtatham/putty/.

[chernish2]

Спасибо за статью, наверное кому-то будет полезно. Но лично я пользуюсь Pritunl, и всем советую.

Ну и не надо употреблять слово putty в приличном обществе, раз уж вы про администрирование Linux пишете.

[atamanbest]

А почему все так не добры к putty?

[AlexGluck]

На винде есть ссш клиент консольный, на маках и линуксе само собой тоже. Зачем кривой клиент неудобный использовать?

[DrDarbin]

А почему он кривой и неудобный?

[AlexGluck]

SSHFP не поддерживает, вкладок нет, ссш конфиги не поддерживает, хранит конфигурацию в реестре, графический интерфейс.

[alex_kag]

Этому виндовому клиенту бы еще чуть доработок - как минимум наличие команды ssh-copy-id очень нужная штука.... без нее - грустно. А так же - у putty есть очень очень удобные закладки. ) ) )

[Lazhu]

Очередной мануал на тему "как накостылить изи-рса".

<facepalm>SSH root по паролю</facepalm>

No, it isn't. putty.org is run by an opportunist who uses it to advertise their own commercial SSH

Что за чушь? Ссылка download ведет на тот же greenend.org.uk

[DaemonGloom]

Угу, и под ней — реклама другого клиента (Bitwise).

[ss-nopol]

1. Следует рассказать как правильно отзывать клиентский сертификат, что для этого надо (crl)

2. Неплохо указать, как временно отключить пользователя (с помощью ccd)

3. Надо хотя бы упомянуть что ключи (весь каталог /etc/openvpn/keys) лучше всего не хранить и не генерировать на сервере и что на сервере должны быть только ca.crt, server.key, server.key, ta.key, а клиентских вообще быть не должно

4. Неплохо было бы хотя бы упомянуть про разные шифры, в частности как включить EC и как обойтись без dh

5. В последней версии easyrsa файл vars выглядит иначе

6. Что с IPV6?

[ash_lm]

В эпоху массовых блокировок и ограничений в сети, сохранение своей онлайн приватности становится все более актуальным. И здесь вам на помощь приходит OpenVPN – одно из самых популярных и надежных решений для создания безопасного туннеля в интернет.

А в чём смысл очередного клона инструкции по Open VPN? Если речь вести в ключе обозначенным автором, то зачем вообще выбирать Open VPN? Буквально в мае с.г. на Хабре была статья о том, что Российские интернет-провайдеры начали блокировать OpenVPN-подключения.

[AlexGluck]

Мой комментарий спустя 3 года
https://habr.com/ru/articles/511970/comments/#comment_21873758

[Nyppy]

Хм, в рф же начали блокировать OpenVPN. Лучше уже настроить через StrongSwan

[werter_l]

Скриптами:

https://github.com/pivpn/pivpn

https://github.com/Nyr/openvpn-install

https://github.com/angristan/openvpn-install

[jingvar]

Зарекался читать статьи не пролистав сразу до рейтинга. Объясните для чего пишут такие авторы?

[Jamim]

Я просто оставлю это здесь
7 решений для установки и управления WireGuard на своём сервере

[bundzmm]

wireguard не прокатит если нужен l2

[FSA]

Начиная с версии 2.6 в OpenVPN больше не нужна возня с центрами сертификации. Правда есть одно НО. Свежей версии нет во многих дистрибутивах (но в Ubuntu можно подключить репозиторий от разработчиков), а также 2.6 не поддерживает мобильный клиент под Android. Можно, конечно, и Wireguard поднять, но он, например, не умеет в TCP. А ещё Wireguard не умеет слушать строго определённый адрес и не слушать другие.
Я сам для себя накидал заметку о том, как настраивать OpenVPN 2.6. Если кому надо, заходите https://tavda.net/openvpn На Хабр такое выкладывать смысла не вижу. Да и дорабатывать ещё надо.

[Kononvaler]

Когда то ставил и мануал сохранял. Провались оно.

Wireguard пять минут на развертывание, плюс 30 процентов прирост скорости трафика.

[Dupych]

Автор молодцом.

И пропускай мимо ушей любителей все сделать одним скриптом и докерами.

Делал свой сервер так же.

Только на 443 порту.

Прикрутил к микротику. Не жизнь а сказка.

[max_im_ka]

Божечки зачем столько движений, попробуйте wireguard

На крайняк pritunl

[temnikov_vasiliy]

хорошую статью и ту заминусовали.. что с вами? автору спасибо за статью. а хабр - г

[bundzmm]

1. sudo  openvpn --genkey secret pki/ta.key ->

   1. sudo  openvpn --genkey --secret pki/ta.key

[chabapok]

Много опечаток. Например ключик `-j A`, iptables не понимает. Как и `ACCEP`. По всей видимости, в обеих случаях нужно писать ACCEPT. Где-то кавычки неправильные, из за этого не стартует опенвпн, и тд. Так же, неясно, что мы делаем когда запускаем easyrsa и зачем столько всего. Я позапускал как обезьяна - оно что-то посоздавало. А еще нигде в документации нету про всякие KEY_CITY, и в файле с примерами такого нет, как и команды export. Есть EASYRSA_REQ_CITY и остальные ключи в том же духе. И у меня почему-то export назвывается set_var, может пакет обновили и в нем все поменялось, не знаю. (Убунта 22.04.3) Кстати, скрипт gen_sert.sh не работает, и не только из за неправильных кавычек, но и, например, потому что файла pki/issued/client_name.key не существует. Понятно, что там забыли знак доллара $client_name, но если его добавить, то тоже не помогает: этот файл в pki/private находится. В итоге неясно, то ли там нужен pki/private/$client_name.key то ли pki/issued/$client_name.crt.

одним словом - написано на тяп-ляп, и понятно, что автором не проверялось.

[Technik12345]

Я недавно тоже пытался переставить когда блокировки начались(не зная о них), и у меня не работало, т.к. версии обновились и перестало работать. До этого я в Сентебре когда поднимал себе 2 сервак с впн статья работала)
Сейчас лучше поднять outline, он работает + ставится 1 командой которая указана у них в приложении. Ключи там вообще 1 кнопкой создаются