Как стать автором
Обновить

Как сделать и настроить собственный VPN

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров377K
Всего голосов 37: ↑36 и ↓1+42
Комментарии68

Комментарии 68

В разделе про самостоятельную установку могли бы тогда уж и установку WireGuard описать — настраивается и работает быстрее OpenVPN. Меньше грузит процессор.

Поддерживаю

НЛО прилетело и опубликовало эту надпись здесь

Спасибо, добавлено в TODO

Всё бы ничего, но сейчас активно пытаются блокировать протоколы. Что OpenVPN, что Wireguard. Сейчас актуальнее писать о том, как скрыть от DPI трафик VPN.

Чтобы заворачивать VPN в туннели, нужно и сам VPN сначала настроить. Так что и о самой настройке тоже стоит писать.

НЛО прилетело и опубликовало эту надпись здесь

Для повседневного применения большинству пользователей VPN не нужен

Все так. Я на VPS когда то давно превентивно поднял и OpenVPN и SS и VLESS, но так ни разу и не запускал в боевом режиме. Потому что на удивление до сих пор работает связка фокси-прокси в Firefox + древний Dante на VPS (т.е классическая примитивная прокся). Но верю всем кто пишет уже и SS и OpenVPN блокируют. Полагаю зависит от региона и оператора.

НЛО прилетело и опубликовало эту надпись здесь

Ну кстати у меня (еще до ТСПУ) была попытка именно прокси использовать. Обычный squid на VPS, не Socks5.

Вообщем как выяснилось, ЭрТелеком такое ловил на раз и блочил если обращение к ресурсу из списка запрещенных.

Решение найденное тогда - https proxy, но там надо объяснять браузеру что надо с proxy по https общаться а на удивление не все браузеры дают вот просто взять и прописать, надо с .pac-файлом играться было.

фокси-прокси в Firefox + древний Dante на VPS (т.е классическая примитивная прокся).

С одной стороны, два чая этому коллеге. С другой же - сам раньше пользовал подобную связку, пока не понадобилось запустить Firefox под Андроидом и приложение одного пока еще не запрещенного, но уже неоднократно заблокированного видеохостинга. Ну и у Данте еще там вроде бы как помнится были сложности с добавлением новых пользователей при запуске в Докере. Хотя честно скажу, что детально я с этим так и не стал разбираться, возможно там всё было очень даже решаемо.

P.S. Комментарию, в котором упомянут Неуловимый Джо тоже однозначно плюс. Там всё по фактам.

Поволжье, Ростелеком, в пролёте wireguard и openvpn, да... Но не наглухо, иногда работает... Но недолго)

В целом, здесь речь про настройку VPN для его изначальной цели:
• для личного использования OpenVPN и Wireguard – удобный вариант безопасного подключения в зонах публичного Wi-Fi
• в корпоративном секторе – для безопасности удаленных подключений и организации работы удаленных сотрудников

некоторые компании еще используют IKEv2/IPSec, но из моей практики протокол используется реже чем первых два

Для моего любимого WG:
1. Метод от @ValdikSS - через nping перед соединением
2. более тяжелый (но тоже не слишком сложный) метод через https://github.com/infinet/xt_wgobfs

Его уже блокируют.

Там где его блокируют, чаще всего блокируют и OpenVPN

Мурзилка ни о чём. Эти VPN-ы блочатся на раз-два. Что WG, что OpenVPN. Если нужен на самом деле нормальный VPN, который не заблочат - смотрите в сторону Cloack, udp2raw, Shapeshifter Dispatcher и прочие обфускаторы. V2ray тоже неплохо работают. На крайний случай, заверните IPv6 в IPv4 туннель (можете ещё и IPSec-ом шлифануть) и вынырните где-нибудь "за бугром".

смотрите в сторону Cloack

Cloak сам по себе не работает, в него нужно что-то заворачивать, например тот же OpenVPN. Как и другие обфускаторы. Ну и протоколы вроде shadowsocks и xray это прокси, а не VPN.

это прокси

Никто не мешает использовать tun2socks и получить из прокси

Да, я в курсе этих моментов. Задача была не насыпать правильных терминов, а указать вектор, куда гуглить.

На самом деле большинству прокси и нужен. Vpn для обхода выглядит как лютый оверинжениринг.

А ещё есть SoftEther, MS SSTP и OpenConnect.

Давай пиши мануал, пожалуйста!

Такие посты сносят, т.к. по закону теперь нельзя про обход блокировок. Но то, что перечислил - вполне себе гуглится. На гите есть подробные мурзилки.

но если ты укажешь, что обязательно будешь закрывать доступ к заблокированным ркн сайтам, тогда можно и даже приветствуется.

Вы действительно в это верите????

РКН говорит, что не блочит ютуб. Так? Значит статьи типа "как ускорить работу ютуба" - вполне законны. Так? А теперь следите за руками:

Вот ссылка на статью, в которой говорилось, как решить проблему замедления ютуба:

https://habr.com/ru/articles/837400/


А теперь глянем, что ж там было на самом деле:

https://web.archive.org/web/20240820235013/https://habr.com/ru/articles/837400/

И это про ютуб, который не блочат...

С клиентом Amnezia вышел "сюрприз". Отказался ставиться на win8.1, потребовав d3d12.dll... Предполагаю, что на win7 тоже установить не получится. Портированная dll-ка не помогла, к сожалению. Оно, конечно, выглядит красиво, но фишка же не в красоте.

Стал замечать, что достаточно много софта перестало работать на Win 8. Почему то многие разработчики игнорируют эту систему. Есть тут один банк у нас, у него даже софт для банковских терминалов не ставится на Win8. Только Win10 и выше.

У меня на Win 7 x64 Амнезия не устанавливается

А зачем прокси-клиенту d3d, простите?

НЛО прилетело и опубликовало эту надпись здесь

Немного по занудствую.
1. У вас по тексту SHA512 вдруг превратилось в SHA256.
2. Опция --genkey уже давно deprecated. Так же много от старых конфигураций версии 2.4 и ранее. А сейчас не первый год актуальная версия 2.6.
3. Ставить iptables-persistent в текущие Debian 12 или Ubuntu 24.04, мягко говоря, не хорошо. Там можно сломать настроенный nftables.

Если вы хорошо разбираетесь в настройке поясните, верно ли был дан совет в статье, что выключили ключи Диффи-Хеллмана (параметр: dh none)? Мне кажется это они зря сделали.

ЕМНИП dh не нужен при использовании ec криптографии. Это есть в документации OpenVPN.

Век живи – век учись, спасибо за дельные замечания

Ставить iptables-persistent в текущие Debian 12 или Ubuntu 24.04, мягко говоря, не хорошо

А как нонеча принято сохранять правила?
(голосом из 90-ых) - может в /etc/rc.local прописать?

Для nftables правила записываются в /etc/nftables.conf.

А как нонеча принято сохранять правила?

Скрипт с правилами для iptables в /etc/crontab и триггер по ребуту :)

У меня клиент амнезии перестал работать на ноуте и на пк . Xray,AmnesiaWG всё заблочено

Если старый Windows (7, 8.1), то могут быть проблемы:
Здесь пишут, что лучше Win 10 x64 и выше

Windows 11 лицензионная.

В кинетике сделал wire guard и теперь всё отлично.

Для всех четырех способов нам понадобиться виртуальный сервер (VPS)

А с этим как сейчас быть? Для тех, у кого нет иностранной карты и всяких coins...

Вполне работает обычный http-прокси на впске в Москве.

Три прокси на разных хостерах уже четвертый год работают без проблем всяких...
Статьи, здесь же на Хабре, про использование прокси, за те же четыре года, актуальности нисколько не потеряли.

Странно, что такой вариант работает. И в любом случае остаются злыдни и с той стороны, ограничивающие доступ к своим серверам российским айпишникам...

Некоторые российские хостеры говорят что они Российское ООО, берут оплату российской картой (и чек выдают который программа ФНС опознает как корректный) и предоставляют серверы за пределами России. При этом по каким то странным причинам злой гугл для трафика с этих серверов не замедляет Youtube(ну или кеш-серверы обновляет или какая там текущая версия неработы Youtube?). При этом некоторые из этих серверов по геолокационным базам - Россия(!)(может быть полезно для кинопоисков всяких)(хотя реально нет)

НЛО прилетело и опубликовало эту надпись здесь

На оф-сайте Амнезии есть список хостов, где принимают российские карты.

Вопрос только в том, будут ли они работать через год, или даже меньше (если оформлять годовую подписку). Это же битва брони и снаряда.

Ну с мамой посоветуйтесь, я не знаю.

Искать провайдера, принимающего крипту или российские карты?

FirstByte.pro: 1.47 EUR / Месяц за 1vCPU, RAM 768MB, SSD 5G, unmetered traffic 200Mb/s в Финляндии

pro - значит профессиональновое

https://firstbyte.ru/info/dogovor-oferta/

4.8. Клиент обязан предоставить по запросу Компании в случае необходимости или для выборочной верификации клиентов (KYC) полные и корректные регистрационные данные, а также подтверждающие документы в течение 24 часов. В случае отказа в предоставлении информации оказание услуг может быть приостановлено без возвратов средств на балансе и компенсаций какого-либо ущерба.

London, UK

Wireguard в России вроде как не работает больше?

OpenVPN и WireGuard детектятся и блочатся провайдерами по запросу сверху. Vless-XTLS-Reality пока ещё держатся при грамотной установке. Поставить панель 3x-ui тоже сейчас не составляет труда даже для новичка

Я наверное не на ту ветку попал, но это звиздец))) настроить свой vpn? да сайт пентагона хакнуть проще, я плачу по 500 ре в месяц за этот самый vpn, это не шибко сильно сказывается на бюджете, ну кому что нравиться.

НЛО прилетело и опубликовало эту надпись здесь

Есть ещё отличный сервер на основе OpenVPN с довольно простой и быстрой установкой, Pritunl.

Статья шлак для хомяков.

1) Все выше перечисленные протоколы банятся на раз два три.

2) Все выше перечисленные протоколы банили 2 недед назад.

3) Зачем это дрочево с уставновкой, если есть готовые скрипты.

4) Хост впс выбирать точно нужно не в РФ, так как могут фильтр повесить на магистральные каналы и давай досвиданья.

5) Скачивается скрипт для автоустановки https://github.com/alireza0/x-ui/releases

6) протокол vless и выбирать вебсокет (так как тсп банили в п2)

7) для винды приблуда некорай, для андроида v2rayng

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Поделюсь своим способом решения проблемы. Купил простенький сервак в Нидерландах на VDSina.com, накатил там же готовую сборку 3X-UI VPN. На ПК в качестве клиента использую hiddify, на мобилке - v2rqayNG. С настройкой роутеров заморачиваться не стал, так как есть рабочий openVPN, они могут конфликтовать. И вот в принципе и всё, проблемы с доступом к ютубам и прочему решены.

Такой вопрос. Я недавно поднял свой сервер по гайду Урануса. Все работает и клиенты для VLESS крутятся. Но теперь мне надо поднять клиент на своем Synology NAS, чтобы раздавать http-прокси устройствам внутри домашней сети, которые не понимают VLESS. Какие есть надежные решения?

Все сделал по вашему гайду, но не могу завершить последний шаг, много чего попробовал, но неизменно: required file not found

Прилагаю копию того что делаю:

user@my111:~$ ls
create_client_config.sh easy-rsa openvpn-clients
user@my111:~$ ./create_client_config.sh client1
-bash: ./create_client_config.sh: cannot execute: required file not found

Может подскажете почему так и что делать?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации