Комментарии 31
А гораздо проще это сделать вот этим скриптом:
https://www.cyberciti.biz/faq/howto-setup-openvpn-server-on-ubuntu-linux-14-04-or-16-04-lts/
Создание нового пользователя и вход под ним(по соображениям безопасности)
Оставлять вход по паролю для root, да и для sudo пользователя - не есть хорошо.
Неплохо бы:
Cоздать ключ и прописать его публичную часть в ~/.ssh/authorized_keys
Запретить вход по паролю (только по ключу) всем (/etc/ssh/sshd_config: PasswordAuthentication no)
Ну и для полного счастья заменить порт 22 для SSH на что то другое. Иначе достанут простукивалки стандартных портов.
еще бы проверить, что ничего лишнего нет netstat -ntlp | grep LISTEN
Обычно VPS провайдеры ставят Lunux "без лишнего". Но.. береженного 'б'ог бережет, а не береженого конвой стережет
Чаще всего если используете Centos, там сразу при входу видно что к тебе уже пароль подбирают. У многих Vps провайдеров схожу при создании виртуалки тебя начинают брудфорсить. Один раз я тупо делал тачку для проекта, и проект отложили, я на тачку даже не зашел, а через 2 недели мне Vps провайдер написал что с нее летит ддос и залочил мне весь аккаунт. Поэтому я бы даже настоятельно рекомендовал.
У меня к слову такой же скрипт для OpenVpn, но он в файл конфигурации еще и добавляет сертификаты. Только я скрипт делал ещё тупее, с помощью утилиты except.
Да, вот он - уровень нынешнего Хабра.
Но самое грустное и одновременно характерное в этом - ссылка на putty.org.
A.9.1 Is putty.org your website?
No, it isn't. putty.org is run by an opportunist who uses it to advertise their own commercial SSH implementation to people looking for our free one. We don't own that site, we can't control it, and we don't advise anyone to use it in preference to our own site.
The real PuTTY web site, run by the PuTTY team, has always been at https://www.chiark.greenend.org.uk/~sgtatham/putty/.
Спасибо за статью, наверное кому-то будет полезно. Но лично я пользуюсь Pritunl, и всем советую.
Ну и не надо употреблять слово putty в приличном обществе, раз уж вы про администрирование Linux пишете.
А почему все так не добры к putty?
На винде есть ссш клиент консольный, на маках и линуксе само собой тоже. Зачем кривой клиент неудобный использовать?
Очередной мануал на тему "как накостылить изи-рса".
<facepalm>SSH root по паролю</facepalm>
No, it isn't. putty.org is run by an opportunist who uses it to advertise their own commercial SSH
Что за чушь? Ссылка download ведет на тот же greenend.org.uk
Следует рассказать как правильно отзывать клиентский сертификат, что для этого надо (crl)
Неплохо указать, как временно отключить пользователя (с помощью ccd)
Надо хотя бы упомянуть что ключи (весь каталог
/etc/openvpn/keys)лучше всего не хранить и не генерировать на сервере и что на сервере должны быть только ca.crt,server.key, server.key, ta.key, а клиентских вообще быть не должноНеплохо было бы хотя бы упомянуть про разные шифры, в частности как включить EC и как обойтись без dh
В последней версии easyrsa файл vars выглядит иначе
Что с IPV6?
В эпоху массовых блокировок и ограничений в сети, сохранение своей онлайн приватности становится все более актуальным. И здесь вам на помощь приходит OpenVPN – одно из самых популярных и надежных решений для создания безопасного туннеля в интернет.
А в чём смысл очередного клона инструкции по Open VPN? Если речь вести в ключе обозначенным автором, то зачем вообще выбирать Open VPN? Буквально в мае с.г. на Хабре была статья о том, что Российские интернет-провайдеры начали блокировать OpenVPN-подключения.
Мой комментарий спустя 3 года
https://habr.com/ru/articles/511970/comments/#comment_21873758
Хм, в рф же начали блокировать OpenVPN. Лучше уже настроить через StrongSwan
Зарекался читать статьи не пролистав сразу до рейтинга. Объясните для чего пишут такие авторы?
Я просто оставлю это здесь
7 решений для установки и управления WireGuard на своём сервере
Начиная с версии 2.6 в OpenVPN больше не нужна возня с центрами сертификации. Правда есть одно НО. Свежей версии нет во многих дистрибутивах (но в Ubuntu можно подключить репозиторий от разработчиков), а также 2.6 не поддерживает мобильный клиент под Android. Можно, конечно, и Wireguard поднять, но он, например, не умеет в TCP. А ещё Wireguard не умеет слушать строго определённый адрес и не слушать другие.
Я сам для себя накидал заметку о том, как настраивать OpenVPN 2.6. Если кому надо, заходите https://tavda.net/openvpn На Хабр такое выкладывать смысла не вижу. Да и дорабатывать ещё надо.
Автор молодцом.
И пропускай мимо ушей любителей все сделать одним скриптом и докерами.
Делал свой сервер так же.
Только на 443 порту.
Прикрутил к микротику. Не жизнь а сказка.
Божечки зачем столько движений, попробуйте wireguard
На крайняк pritunl
хорошую статью и ту заминусовали.. что с вами? автору спасибо за статью. а хабр - г
sudo openvpn --genkey secret pki/ta.key ->sudo openvpn --genkey --secret pki/ta.key
Много опечаток. Например ключик `-j A`, iptables не понимает. Как и `ACCEP`. По всей видимости, в обеих случаях нужно писать ACCEPT. Где-то кавычки неправильные, из за этого не стартует опенвпн, и тд. Так же, неясно, что мы делаем когда запускаем easyrsa и зачем столько всего. Я позапускал как обезьяна - оно что-то посоздавало. А еще нигде в документации нету про всякие KEY_CITY, и в файле с примерами такого нет, как и команды export. Есть EASYRSA_REQ_CITY и остальные ключи в том же духе. И у меня почему-то export назвывается set_var, может пакет обновили и в нем все поменялось, не знаю. (Убунта 22.04.3) Кстати, скрипт gen_sert.sh не работает, и не только из за неправильных кавычек, но и, например, потому что файла pki/issued/client_name.key не существует. Понятно, что там забыли знак доллара $client_name, но если его добавить, то тоже не помогает: этот файл в pki/private находится. В итоге неясно, то ли там нужен pki/private/$client_name.key то ли pki/issued/$client_name.crt.
одним словом - написано на тяп-ляп, и понятно, что автором не проверялось.
Я недавно тоже пытался переставить когда блокировки начались(не зная о них), и у меня не работало, т.к. версии обновились и перестало работать. До этого я в Сентебре когда поднимал себе 2 сервак с впн статья работала)
Сейчас лучше поднять outline, он работает + ставится 1 командой которая указана у них в приложении. Ключи там вообще 1 кнопкой создаются
Два раза повторял, оба раза эта ошибка:
root@ivan:/etc/openvpn/easy-rsa# sudo systemctl start openvpn@server
Job for openvpn@server.service failed because the control process exited with error code.
See "systemctl status openvpn@server.service" and "journalctl -xeu openvpn@server.service" for details.Пользователь serwiga помог. Он к старым постам комментарии оставлять не может. Вот его ответ:
поменяй файле sudo nano /etc/openvpn/server.conf кавычки на " и будет счастье
Прочитав вашу статью о VPN, я был крайне разочарован. Ожидал получить детальный и качественный материал, но столкнулся с рядом существенных проблем:
Поверхностное изложение: Ваша статья не углубляется в технические детали, что делает её бесполезной для аудитории, которая хочет понять принципы работы VPN на более глубоком уровне.
Ошибки и неточности: В тексте встречаются многочисленные технические ошибки и неточности, которые могут ввести в заблуждение читателей. Например, ваше объяснение процесса шифрования данных выглядит весьма упрощённым и местами некорректным.
Закос под спонсорский контент: Создаётся впечатление, что статья написана лишь с целью рекламы конкретного VPN-сервиса. Это сильно снижает доверие к информации и вызывает ощущение предвзятого отношения.
Отсутствие реальных примеров: В статье не хватает реальных примеров и сценариев использования VPN. Без этого трудно понять, как на практике применять полученные знания.
Качество языка: Текст нуждается в вычитке и редактуре. Много ошибок и явных недочётов, что делает статью трудной для чтения.
Если вы планируете публиковать технические статьи, важно доводить информацию до читателей в достоверном и понятном виде, а также избегать рекламной составляющей. Надеюсь на улучшение качества ваших будущих публикаций.
Как поднять OpenVPN сервер на Ubuntu 22.04?