Пилим свой vpn на VPS

Страницы:  1
Ответить
 

Starui3

Старожил

Стаж: 13 лет 4 месяца

Сообщений: 46

Starui3 · 07-Сен-19 22:18 (5 лет 1 месяц назад, ред. 11-Сен-19 02:47)

Арендуем сервер - ihor - 150р. или Arubacloud - 2.79€
Отлично подойдёт Ubuntu 16.04 / Debian 8
Скачать клиенты OpenVPN
Получаем доступ, и поехали.
Важно для новичков
Гайд будет от root прав по этому команды sudo не будет.
Обновляемся
Код:
apt update
Код:
apt upgrade
Код:
apt-get install nano (если у вас его нет из коробки)
Код:
apt-get install mc
Установим OpenVPN
Код:
apt-get install openvpn
Установим easy-rsa
Код:
apt-get install easy-rsa -y
Создадим директорию для ключей
Код:
mkdir /etc/openvpn/easy-rsa/
Скопируем в нее утилиты и конфиги для работы с ключами
Код:
cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
Переходим в директорию easy-rsa
Код:
cd /etc/openvpn/easy-rsa/
Создадим (обязательно) и настроим (не обязательно) файл vars
Код:
nano vars
Сохраняем конфиг Ctrl+O - Enter / Выходим Ctrl+X
По желанию можно изменить под себя
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
Инициируем переменные
Код:
source ./vars
Видим следующее:
Код:
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
Не пугаемся, всё идёт по плану.
Очищаем каталог keys/server от старых сертификатов и ключей
Код:
./clean-all
Создаем корневой сертификат
Код:
./build-ca
Жмём Enter до завершения.
В квадратных скобках указаны значения по умолчанию, которые были заданы в файле vars. Если вы хотите оставить значения без изменений, нужно просто нажимать клавишу «Ввод».
Далее генерируем сертификаты сервера и клиента
1 человек 1 сертификат (мы сделаем на 3 человека)
Код:
./build-key-server server
Код:
./build-key client1
Код:
./build-key client2
Код:
./build-key client3
Генерируем ключ Диффи — Хеллмана
Код:
./build-dh
Cоздаем ключ для tls-аутификации
Код:
openvpn --genkey --secret keys/ta.key
Все сгенерированные сертификаты и ключи находятся в директории
/etc/openvpn/easy-rsa/keys/
Копируем сертификаты и ключи сервера в директорию OpenVPN
Код:
cd keys
Код:
cp server.crt server.key ca.crt dh2048.pem ta.key /etc/openvpn/
Для настройки клиента OpenVPN, необходимо скопировать ключи и сертификаты из списка ниже
Код:
client1.crt
client1.key
ca.crt
ta.key
На этом этапе установка OpenVPN закончена. Теперь выполним настройку сервера OpenVPN.
Копируем и распаковываем пример конфигурационного файла в содержимое директории OpenVPN
Код:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
Код:
gzip -d /etc/openvpn/server.conf.gz
В зависимости от наших потребностей, изменяем настройки сервера OpenVPN
Код:
nano /etc/openvpn/server.conf
Базовый конфиг
local 90.90.90.90 # Внешний ip сервера, указываем если на машине несколько адресов.
port 1194 # Порт на котором будет принимать соединения сервер OpenVPN.
proto tcp # Для лучшего быстродействия рекомендуется указать udp.
# Если вы используете прокси, необходимо указать tcp.
dev tun # Интерфейс туннеля
ca ca.crt # Путь к корневому сертификату
cert server.crt # Путь к сертификату сервера
key server.key # Путь к ключу сервера
dh dh1024.pem # Путь к ключу Диффи - Хеллмана
server 10.8.0.0 255.255.255.0 # Пул DHCP виртуальной сети OpenVPN. Работает только с TLS-клиентами в режиме tun.
ifconfig-pool-persist ipp.txt # Запоминать динамически выданные адреса.
;client-config-dir ccd # Директория для клиентских конфигов
;push "route 10.0.1.1 255.255.255.0" # Передаем маршрут клиенту (сеть-клиента).
push "redirect-gateway def1" # Установить шлюзом по умолчанию удаленный сервер.
;push "dhcp-option DNS 8.8.8.8" # Передаем DNS клиенту.
;client-to-client # Если нужно, чтобы клиенты видели друг друга.
keepalive 10 120 # Каждые 10 секунд посылать ping, перезапустить туннель если сервер не отвечает в течении 120 секунд.
tls-server # Включаем TLS
auth SHA512 # Для аутентификации используются ключи SHA512
tls-auth ta.key 0 # Путь к ключу TLS
cipher BF-CBC # Метод шифрования
comp-lzo adaptive # Включить сжатие
user nobody # Права, с которыми будет работать OpenVPN.
group nogroup
persist-key # Не перечитывать файлы ключей при перезапуске туннеля.
persist-tun # Оставить без изменения устройства tun/tap при перезапуске OpenVPN.
status openvpn-status.log # Лог с информацией о текущих соединениях.
log /var/log/openvpn.log # Путь к лог-файлу.
verb 3 # Уровень детализации лога.
mute # В лог будет записываться до 10 сообщений из одной категории.
Готовый конфиг (сервер!)
local 90.90.90.90
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
;status /var/log/openvpn-status.log
verb 0
keepalive 10 120
tls-auth ta.key 0
auth SHA512
cipher AES-128-CBC
comp-lzo
;user nobody
;group nobody
persist-key
persist-tun
sndbuf 0
rcvbuf 0
CTRL+O > Enter сохраним / CRTL+X закроем
Создадим директорию для клиентских настроек
Код:
mkdir /etc/openvpn/ccd
После завершения настройки OpenVPN, перезагружаем сервер
Код:
reboot
В случае успешного запуска OpenVPN в системе должен появится новый tun0 интерфейс
Код:
ifconfig
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
Это означает, что OpenVPN сервер запущен. В случае проблем с запуском OpenVPN, используем лог-файл
Код:
nano /var/log/openvpn.log
После подключения клиента к серверу OpenVPN, шлюз будет изменен на IP виртуальной сети сервера.
Если клиент OpenVPN находится в локальной сети, вам необходимо дополнительно настроить маршрутизацию для доступа к ресурсам внутри сети.
Для этого создаем файл в каталоге ccd с тем же именем ключа клиента
Код:
nano /etc/openvpn/ccd/client1
Добавим в файл следующие параметры
Код:
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
CTRL+O > Enter сохраним / CRTL+X закроем
Включаем NAT на OpenVPN сервере
Чтобы использовать OpenVPN для выхода в интернет, на сервере необходимо задать правило для маршрутизации трафика из сети OpenVPN в локальную сеть или сеть интернет-провайдера.
Включаем поддержку IP forwarding, открываем в файл
Код:
nano /etc/sysctl.conf
В котором необходимо раскомментировать строку
Код:
net.ipv4.ip_forward=1
CTRL+O > Enter сохраним / CRTL+X закроем
Загрузим переменные ядра
Код:
sysctl -p
Прописываем правила iptables. Нужно разрешить клиентам из подсети 10.8.0.0/24 доступ в интернет, разрешить принимать пакеты из интернета и пропустить трафик клиентов через NAT.
Код:
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Код:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source IP вашего сервера
Сохраним и добавим правила в автозагрузку
Код:
iptables-save > /etc/iptables.conf
echo "iptables-restore < /etc/iptables.conf" >> /etc/rc.local
Установим пакет пакет iptables-persistent
Код:
apt-get install iptables-persistent
С помощью программы WinSCP заходим на сервер по пути
Код:
/etc/openvpn/easy-rsa/keys
Берём файлы
Код:
client1.crt
client1.key
ca.crt
ta.key
Создаём тектовый документ с расширением client1.ovpn (название файла очень важно!)
Готовый конфиг (клиент)
client
dev tun
proto tcp
remote ВАШ IP СЕРВЕРА 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt (очень важно! должно совпадать с названием файла)
key client1.key (очень важно! должно совпадать с названием файла)
tls-auth ta.key 1
remote-cert-tls server
auth-nocache
cipher AES-128-CBC
auth SHA512
comp-lzo
;log /var/log/openvpn.log
;status /var/log/openvpn-status.log
verb 3
mute 20
;route 192.168.1.0 255.255.0.0
sndbuf 0
rcvbuf 0
Собираем 5 файлов
Код:

client1.ovpn
client1.crt
client1.key
ca.crt
ta.key
Кладём их в
Код:
C:\Program Files\OpenVPN\config\
Жмём подключится. Проверяем себя на 2ip.ru
[Профиль]  [ЛС] 

ValdikSS

Стаж: 16 лет 11 месяцев

Сообщений: 525


ValdikSS · 08-Сен-19 00:07 (спустя 1 час 49 мин.)

Проще воспользоваться готовым скриптом для установки, например, https://getoutline.org/, https://github.com/trailofbits/algo или https://github.com/Nyr/openvpn-install
[Профиль]  [ЛС] 

Starui3

Старожил

Стаж: 13 лет 4 месяца

Сообщений: 46

Starui3 · 08-Сен-19 06:44 (спустя 6 часов)

ValdikSS писал(а):
77934812Проще воспользоваться готовым скриптом для установки, например, https://getoutline.org/, https://github.com/trailofbits/algo или https://github.com/Nyr/openvpn-install
Тогда расскажи как удалить из них логи.
Цель этого поста, собрать vpn своими руками без ведения логов.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 16 лет 11 месяцев

Сообщений: 525


ValdikSS · 08-Сен-19 19:11 (спустя 12 часов, ред. 08-Сен-19 19:11)

Starui3
Цитата:
Цель этого поста, собрать vpn своими руками без ведения логов.
Не нашел в вашем посте ни единого упоминания этой цели, даже намёка на неё.
Если вы хотите отключить журналирование подключений к VPN-серверу, не добавляйте директиву log.
Если вы всерьез считаете, что под "no-log vpn" имеют в виду простой журнал подключения к VPN-серверу, то вы ошибаетесь.
https://habr.com/ru/post/357178/#comment_11216552
[Профиль]  [ЛС] 

Starui3

Старожил

Стаж: 13 лет 4 месяца

Сообщений: 46

Starui3 · 08-Сен-19 21:15 (спустя 2 часа 4 мин.)

ValdikSS писал(а):
77938598Starui3
Цитата:
Цель этого поста, собрать vpn своими руками без ведения логов.
Не нашел в вашем посте ни единого упоминания этой цели, даже намёка на неё.
Если вы хотите отключить журналирование подключений к VPN-серверу, не добавляйте директиву log.
Если вы всерьез считаете, что под "no-log vpn" имеют в виду простой журнал подключения к VPN-серверу, то вы ошибаетесь.
https://habr.com/ru/post/357178/#comment_11216552
Всё это прекрасно, и логи в моём случае не ведутся даже серверные.
Скажите пожалуйста, где конфиг у этого чуда? https://github.com/Nyr/openvpn-install
[Профиль]  [ЛС] 

ValdikSS

Стаж: 16 лет 11 месяцев

Сообщений: 525


ValdikSS · 09-Сен-19 03:11 (спустя 5 часов)

Цитата:
где конфиг у этого чуда?
https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh#L260
[Профиль]  [ЛС] 

Starui3

Старожил

Стаж: 13 лет 4 месяца

Сообщений: 46

Starui3 · 11-Сен-19 09:21 (спустя 2 дня 6 часов, ред. 11-Сен-19 09:21)

ValdikSS писал(а):
77940739
Цитата:
где конфиг у этого чуда?
https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh#L260
На ubuntu 16.04 геморрой с установкой... собственно что то типа устаревшего кода.
На debian8 код встаёт, но openvpn client.exe требует сертификат .pem для коннекта.
[Профиль]  [ЛС] 

True mut@NT

Стаж: 15 лет 5 месяцев

Сообщений: 22

True mut@NT · 11-Сен-19 13:39 (спустя 4 часа, ред. 11-Сен-19 13:39)

Хороший гайд, спасибо!
Правда своё решение сделал в итоге на shadowsocks/v2ray, считаю что этот вариант лучше подходит если основной целью является обход блокировок. Особенно для применения в мобильных условиях
[Профиль]  [ЛС] 

witacao

Стаж: 14 лет 5 месяцев

Сообщений: 100


witacao · 12-Сен-19 12:01 (спустя 22 часа)

А было бы неплохо, если бы кто-то добавил инструкцию как добавлять новых пользователей и делать для них сертификаты к уже настроенному OpenVpn серверу. По подобной инструкции настраивал года полтора назад VРSку. А когда захотел добавить нового клиента - так и не понял как это сделать.
[Профиль]  [ЛС] 

}{otdog

Стаж: 11 лет 6 месяцев

Сообщений: 2


}{otdog · 16-Сен-19 16:54 (спустя 4 дня)

Без всяческого онанизма, настройка одним скриптом. https://it-like.ru/nastroyka-vpn-servera-na-hostinge/ У ТС настройка для параноиков.
[Профиль]  [ЛС] 

Tihra

Стаж: 14 лет 11 месяцев

Сообщений: 8


Tihra · 16-Сен-19 18:03 (спустя 1 час 9 мин.)

Starui3 автор, дай почту, напишу тебе "за денежку поднять vpn"
[Профиль]  [ЛС] 

za4em

Стаж: 13 лет 2 месяца

Сообщений: 123

za4em · 18-Сен-19 18:32 (спустя 2 дня, ред. 18-Сен-19 18:32)

Starui3 ТС, спасибо. 1 параноик проникся. От рекомендуемых - отказался, не в обиду (:
Зы Ещё туды можно присобачить keriovpn, ipsec/l2tp при желании. Но это - на вкус и цвет. За Керио - пока не получилось, но не всё сразу (:
[Профиль]  [ЛС] 

Starui3

Старожил

Стаж: 13 лет 4 месяца

Сообщений: 46

Starui3 · 23-Сен-19 12:21 (спустя 4 дня)

True mut@NT писал(а):
77952744Хороший гайд, спасибо!
Правда своё решение сделал в итоге на shadowsocks/v2ray, считаю что этот вариант лучше подходит если основной целью является обход блокировок. Особенно для применения в мобильных условиях
В сути можно и shadowsocks завернуть на 127.0.0.1 и весь трафик с ПК будет уходить на сервер...
В целом, v2ray классная вещь )
[Профиль]  [ЛС] 

True mut@NT

Стаж: 15 лет 5 месяцев

Сообщений: 22

True mut@NT · 26-Сен-19 13:03 (спустя 3 дня, ред. 26-Сен-19 13:03)

Для меня как раз одним из достоинств Shadowsocks было то, что он позволяет не отправлять внутрь себя весь трафик (да, с vpn такое тоже можно реализовать, но не без дополнительных заморочек на стороне клиента), а только от необходимых программ (в первую очередь от браузера). И с помощью браузерного расширения можно в один клик выбирать как подключаться: напрямую или через сервер (например у того же самого VK, если подключаться не с российского ip - отваливается почти вся музыка).
Ну и, например, от торрентов трафик я бы не хотел отправлять на сервер, я думаю с hetzner тем же самым в этом случае могут быть проблемы.
И даже более того - можно запустить на компе несколько клиентов shadowsocks на разных портах, и браузерным расширением выбирать с какого адреса осуществлять подключение)
[Профиль]  [ЛС] 

EdgeFlare

Стаж: 5 лет 1 месяц

Сообщений: 29


EdgeFlare · 27-Сен-19 15:39 (спустя 1 день 2 часа, ред. 27-Сен-19 15:39)

Такой конфиг определят половина всех DPI, всмысле, что это именно vpn туннель. Даже какое шифрование используется.
Да и как то aes128cbc в 2019 это ну.... Не, конечно все работать будет, но куда лучше собирать все самому. Будут и EC,AEAD шифры,tls1.3.
На примере CentOS 7
0. Ставим "Development Tools"
скрытый текст
Код:
sudo yum group install "Development Tools"
1. обновляем openssl до 1.1.1 (если он конечно уже не стоит на нашем vps)
скрытый текст
Код:
wget https://www.openssl.org/source/openssl-1.1.1d.tar.gz
tar -xvf openssl-1.1.1d.tar.gz
cd openssl-1.1.1d
./config
make
sudo install
Проверяем версию
Код:
openssl version
если выдает старую
Код:
mv /usr/bin/openssl /root/openssl.back
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
снова проверяем, если выдает ошибку libcrypto.so.1.1
Код:
sudo ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
sudo ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/
теперь все должно работать
2. Ставим OpenVPN
скрытый текст
Код:
wget https://swupdate.openvpn.org/community/releases/openvpn-2.4.7.tar.xz
./configure
make
sudo make install
если в процессе компиляции ругается на остуствие каких то зависимостей, ставим их, так на вскидку не вспомню, но это
Код:
lzo, lzo-devel
3. EasyRSA 3
скрытый текст
Код:

git clone git://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
cp vars.example vars
редактируем наш vars фаил, так как нам надо. Единственно что, следует поставить переменную
Код:
set_var EASYRSA_ALGO ec
использовать elliptic crypto mode
далее создадим CA, сертификаты и ключи
процесс немного отличается от easyRSA2
Код:

# create new PKI
./easyrsa init-pki
# build CA
./easyrsa build-ca
# create server cert
./easyrsa gen-req server
# sign server cert
./easyrsa sign-req server server
#create user cert
./easyrsa gen-req client
# sign user cert
./easyrsa sign-req client client
все необходимые файлы созданы
для сервера
Код:
./pki/ca.crt
./pki/issued/server.crt
./pki/private/server.key
для клиента
Код:
/pki/ca.crt
./pki/issued/client.crt
./pki/private/client.key
кидаем все файлы куда надо и осталось совсем чуть чуть
Сгенерируем дополнительный ключ ta.key
Код:
openvpn --genkey --secret /etc/openvpn/ta.key
конфиг сервера, тупо скопировал со своего, у вас может быть иначе, просто для примера, порт лучше использовать не стандартный 1194, мы же не хотим прямо сообщать всем, вот смотрите у нас опенвпн работает ну или можно использовать tcp и 443порт
скрытый текст
Код:
dev tun
proto udp
port ***
resolv-retry infinite
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-crypt /etc/openvpn/ta.key
remote-cert-tls client
server 10.0.0.0 255.255.255.0
push "redirect-gateway def1"
user nobody
group nobody
dh none
keepalive 10 120
auth-nocache
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
comp-lzo no
не пугаемся dh none, это нужно для работы c elliptic crypto mode, так же все прекрасно работает с tls1.3, ради чего собственно этот весь сыр-бор
По умолчанию сервер будет использовать
control channel tls1.3 tls-aes-256-gcm-sha384 и aes256gcm для канала данных
если клиент не поодерживает tls1.3 то будет использоваться
Control Channel: TLSv1.2, cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 и aes256gcm для канала данных
кстати опенвпн, последней версии для винды по умолчанию не использует openssl 1.1.1 и соответственно не поддерживает tls 1.3.
Но можно просто закинуть библиотеки из версии 1,1,1 и все заработает.
В конфиг клиента стоит добавить
Код:
setenv opt block-outside-dns
для исключения dns-leak, тогда все днс запросы будут точно уходить в туннель
вот логи подключения для винды
скрытый текст
Fri Sep 27 15:33:09 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Fri Sep 27 15:33:09 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Sep 27 15:33:09 2019 library versions: OpenSSL 1.1.1b 26 Feb 2019, LZO 2.10
Fri Sep 27 15:33:09 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Sep 27 15:33:09 2019 Need hold release from management interface, waiting...
Fri Sep 27 15:33:10 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'state on'
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'log all on'
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'echo all on'
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'bytecount 5'
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'hold off'
Fri Sep 27 15:33:10 2019 MANAGEMENT: CMD 'hold release'
Fri Sep 27 15:33:18 2019 MANAGEMENT: CMD 'password [...]'
Fri Sep 27 15:33:18 2019 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Sep 27 15:33:18 2019 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Sep 27 15:33:18 2019 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Sep 27 15:33:18 2019 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Sep 27 15:33:18 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]****
Fri Sep 27 15:33:18 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Sep 27 15:33:18 2019 UDP link local: (not bound)
Fri Sep 27 15:33:18 2019 UDP link remote: [AF_INET]****
Fri Sep 27 15:33:18 2019 MANAGEMENT: >STATE:1569587598,WAIT,,,,,,
Fri Sep 27 15:33:18 2019 MANAGEMENT: >STATE:1569587598,AUTH,,,,,,
Fri Sep 27 15:33:18 2019 TLS: Initial packet from [AF_INET]********, sid=***
Fri Sep 27 15:33:18 2019 VERIFY OK: depth=1, C=**, ST=**, L=**, O=**, OU=**, CN=**, emailAddress=**
Fri Sep 27 15:33:18 2019 VERIFY KU OK
Fri Sep 27 15:33:18 2019 Validating certificate extended key usage
Fri Sep 27 15:33:18 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Fri Sep 27 15:33:18 2019 VERIFY EKU OK
Fri Sep 27 15:33:18 2019 VERIFY OK: depth=0, C=**, ST=**, L=**, O=**, OU=**, CN=**, emailAddress=**
Fri Sep 27 15:33:18 2019 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit EC, curve: secp384r1
Fri Sep 27 15:33:18 2019 [server] Peer Connection Initiated with [AF_INET]****
Fri Sep 27 15:33:19 2019 MANAGEMENT: >STATE:1569587599,GET_CONFIG,,,,,,
Fri Sep 27 15:33:19 2019 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Sep 27 15:33:19 2019 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 1.1.1.1,dhcp-option DNS 1.0.0.1,route 10.0.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.0.0.10 10.0.0.9,peer-id 0,cipher AES-256-GCM'
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: route options modified
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: peer-id set
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: adjusting link_mtu to 1625
Fri Sep 27 15:33:19 2019 OPTIONS IMPORT: data channel crypto options modified
Fri Sep 27 15:33:19 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Fri Sep 27 15:33:19 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Sep 27 15:33:19 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Sep 27 15:33:19 2019 interactive service msg_channel=656
Fri Sep 27 15:33:19 2019 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=10 HWADDR=***
Fri Sep 27 15:33:19 2019 open_tun
Fri Sep 27 15:33:19 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{**}.tap
Fri Sep 27 15:33:19 2019 TAP-Windows Driver Version 9.23
Fri Sep 27 15:33:19 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.10/255.255.255.252 on interface {**} [DHCP-serv: 10.0.0.9, lease-time: 31536000]
Fri Sep 27 15:33:19 2019 Successful ARP Flush on interface [29] {C13DB4CA-37EB-49C8-833F-00EC6D713A4E}
Fri Sep 27 15:33:19 2019 MANAGEMENT: >STATE:1569587599,ASSIGN_IP,,10.0.0.10,,,,
Fri Sep 27 15:33:19 2019 Blocking outside dns using service succeeded.
Fri Sep 27 15:33:24 2019 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Fri Sep 27 15:33:24 2019 C:\Windows\system32\route.exe ADD *** MASK 255.255.255.255 192.168.1.1
Fri Sep 27 15:33:24 2019 Route addition via service succeeded
Fri Sep 27 15:33:24 2019 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.0.0.9
Fri Sep 27 15:33:24 2019 Route addition via service succeeded
Fri Sep 27 15:33:24 2019 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.0.0.9
Fri Sep 27 15:33:24 2019 Route addition via service succeeded
Fri Sep 27 15:33:24 2019 MANAGEMENT: >STATE:1569587604,ADD_ROUTES,,,,,,
Fri Sep 27 15:33:24 2019 C:\Windows\system32\route.exe ADD 10.0.0.1 MASK 255.255.255.255 10.0.0.9
Fri Sep 27 15:33:24 2019 Route addition via service succeeded
Fri Sep 27 15:33:24 2019 Initialization Sequence Completed
Fri Sep 27 15:33:24 2019 MANAGEMENT: >STATE:1569587604,CONNECTED,SUCCESS,10.0.0.10,***,,
Но кхм.. и правда куда проще собрать shadowsocks и не мучаться =)
ктати shadowsocks и раза в 3 быстрее, к примеру опенвпн такой конфигурации выдавал около 60-80мбит
shadowsocks за 200мбит с vps в одной из стран прибалтики.
только вот ну ни как у меня не получалось настроить openvpn на использование ipv6, сколько уже бубнов извел а вот shadowsocks даже настраивать не пришлось, все заработало из коробки. Это я к чему пишу, что если клиент поддерживает ipv6, а сервер нет, нужно у клиента этот 6ип отключить, иначе готовтесь к ipv6-leak
[Профиль]  [ЛС] 

ValdikSS

Стаж: 16 лет 11 месяцев

Сообщений: 525


ValdikSS · 28-Сен-19 06:01 (спустя 14 часов, ред. 28-Сен-19 06:01)

EdgeFlare
Вы осознаёте, что TLS в OpenVPN используется только для control channel, внутри своего протокола? Зачем вам в нём поддержка TLS 1.3? Это никаким образом не уменьшит определение протокола системами DPI, они определяют OpenVPN с первого пакета P_CONTROL_HARD_RESET_CLIENT_V2.
Для сокрытия протокола есть опция tls-crypt.
Ваши вредные советы по сборке OpenSSL и OpenVPN из исходников и их установки в /usr/local — ни в какие ворота.
[Профиль]  [ЛС] 

qwertylll

Стаж: 5 лет

Сообщений: 3


qwertylll · 30-Окт-19 12:16 (спустя 1 месяц 2 дня)

Цитата:
77934371Пилим свой vpn на VPS
Хм У меня ipsec поверх l2tp .С маршрутизацией не парюсь .Потом заворот в сквида ,кальмар по acl-ам трафик раскидывает .Что то в тор кидает ,что то на прямую.Удобно очень.
[Профиль]  [ЛС] 

truboprovod

Стаж: 14 лет 6 месяцев

Сообщений: 167

truboprovod · 30-Окт-19 21:15 (спустя 8 часов)

ValdikSS, что на счет SoftEther с родным клиентом под винду? Он же под https маскируется (не уверен, что гарантированно скрывает сей факт от провайдера). Есть вообще гарантированное решение не дающее совать нос провайдеру в трафик? Т.е. так, чтобы провайдер никаким образом не мог знать, что весь мой трафик завернут в туннель или еще куда-то в зашифрованном виде.
[Профиль]  [ЛС] 

qwertylll

Стаж: 5 лет

Сообщений: 3


qwertylll · 31-Окт-19 03:37 (спустя 6 часов)

truboprovod писал(а):
78227486ValdikSS, что на счет SoftEther с родным клиентом под винду? Он же под https маскируется (не уверен, что гарантированно скрывает сей факт от провайдера). Есть вообще гарантированное решение не дающее совать нос провайдеру в трафик? Т.е. так, чтобы провайдер никаким образом не мог знать, что весь мой трафик завернут в туннель или еще куда-то в зашифрованном виде.
ТОлько обфускация трафика
[Профиль]  [ЛС] 

m0rph

Стаж: 8 лет 8 месяцев

Сообщений: 112


m0rph · 02-Ноя-19 05:34 (спустя 2 дня 1 час)

ValdikSS писал(а):
77934812Проще воспользоваться готовым скриптом для установки, например, https://getoutline.org/, https://github.com/trailofbits/algo или https://github.com/Nyr/openvpn-install
Проще "арендовать" чей нибудь микротик и там в пару команд с консоли поднять сервер. Всё. Ну можно ещё конечно ходить по ссылкам автора темы на всякие "случайные" хостинги.
[Профиль]  [ЛС] 

solaris.neon

Стаж: 17 лет 7 месяцев

Сообщений: 227

solaris.neon · 10-Июн-20 10:07 (спустя 7 месяцев)

qwertylll писал(а):
78224880
Цитата:
77934371Пилим свой vpn на VPS
Хм У меня ipsec поверх l2tp .С маршрутизацией не парюсь .Потом заворот в сквида ,кальмар по acl-ам трафик раскидывает .Что то в тор кидает ,что то на прямую.Удобно очень.
Короче мне надо для подключения с телефона есть без костылей и бубна может договоримся сколько там эта VPS стоит и у вас уже настроено дайте доступ а я буду мелким прайсом скидываться и станет VPSка дешевле. я могу что то в консоли но не настолько голову ломать чтобы так сложно время жалко есть у кого камрады такая VPSка и сколько она стоит в месяц я буду давайте полстоимости давать а вы мне доступ? Мелким прайсом в общую тусовку удешевление процесса так сказать. @ValdikSS? Пустите daemonbsd с 4pda в VPS? Хочется титану дать после рута нормальный VPN))))
[Профиль]  [ЛС] 

tyshcan

Стаж: 12 лет 11 месяцев

Сообщений: 74

tyshcan · 06-Янв-22 04:32 (спустя 1 год 6 месяцев, ред. 06-Янв-22 04:32)

EdgeFlare писал(а):
обновляем openssl до 1.1.1
привет, сегодня надо обновлять openssl до последней 3 версии?
может кто знает свежий гайд по хорошей настройке с закрытыми логами, как и хотел автор самого первого поста в этой теме
еще интересует настройка, чтобы интернет блокировался при отключении впс-сервера, такое сейчас есть на всех популярных впн-клиентах
[Профиль]  [ЛС] 

registrationname

Стаж: 14 лет 7 месяцев

Сообщений: 7


registrationname · 23-Янв-22 15:29 (спустя 17 дней, ред. 23-Янв-22 15:29)

Есть альтернатива OpenVPN:
https://www.wireguard.com/
Ест меньше трафика и настройка очень простая. Создание VPN для выхода в Интернет я свой VPS не настраивал. Но если интересно, могу поискать конфу как это сделать и скинуть сюда после тестов.
Единственный минус это то, что работает (помоему) тольно на третьем уровне OSI (пакеты на уровне Data) не тунелит. Но тут могу ошибаться, так как не было необходимости и не углублялся.
Второй минус это программы клиенты под Windows: работают только от админа. Или можно настроить запуск клиента от админа, как сервис. И уже от другого пользователя открывать клиент из трея и включать/отключать VPN.
[Профиль]  [ЛС] 

s3df0x

Стаж: 14 лет 2 месяца

Сообщений: 3


s3df0x · 21-Сен-24 13:00 (спустя 2 года 7 месяцев)

Есть еще Outline, там вообще в "3" клика поднимается, ролики есть на ютьюб
[Профиль]  [ЛС] 

Mixail24

Стаж: 3 года 3 месяца

Сообщений: 1


Mixail24 · 08-Окт-24 13:40 (спустя 17 дней)

Товарищи, у меня ноутбук 2012-го года с лицензионной предустановленной Windows 7. В свое время был топовым и еще очень неплох, одна только проблема, VPN-клиентам, я так понимаю, требуется Windows 10. Есть ли клиенты для динозавров?
[Профиль]  [ЛС] 

Krosky

Старожил

Стаж: 14 лет 2 месяца

Сообщений: 167

Krosky · 08-Окт-24 22:25 (спустя 8 часов, ред. 08-Окт-24 22:25)

Цитата:
VPN-клиентам, я так понимаю, требуется Windows 10. Есть ли клиенты для динозавров?
Работают клиенты WG, SS, Openvpn, Nekoray до версии 3.17 включительно.
Может и AmneziaWG взлетит, тут не знаю.
[Профиль]  [ЛС] 

kuzyara555

Стаж: 15 лет 9 месяцев

Сообщений: 8


kuzyara555 · 11-Окт-24 10:14 (спустя 2 дня 11 часов)

есть ли опыт решения проблемы с IPsec Keep Alive ?
когда после выключения экрана смартфона через определённое время рвётся соединение и его нужно переподключать (android)
[Профиль]  [ЛС] 

reminder

Стаж: 9 лет 4 месяца

Сообщений: 1


reminder · 12-Окт-24 18:56 (спустя 1 день 8 часов)

Mixail24 писал(а):
86813039Товарищи, у меня ноутбук 2012-го года с лицензионной предустановленной Windows 7. В свое время был топовым и еще очень неплох, одна только проблема, VPN-клиентам, я так понимаю, требуется Windows 10. Есть ли клиенты для динозавров?
на старичков надо ставить линуксы какие-нибудь нетребовательные. И там всё можно найти, и амнезию, и псифон
[Профиль]  [ЛС] 

ruskipper

Стаж: 3 года 10 месяцев

Сообщений: 1


ruskipper · 13-Окт-24 21:53 (спустя 1 день 2 часа)

ValdikSS писал(а):
77934812Проще воспользоваться готовым скриптом для установки, например, https://getoutline.org/, https://github.com/trailofbits/algo или https://github.com/Nyr/openvpn-install
благодарю, запустил и настроил outline за пол часа на айхоре... по итогу всё и везде отлично работает. Я не террорист, мне настрать на вединие логов
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error