Установка обратного VPN: нет ничего проще
Простой 5 мин Блог компании RUVDS.com Хостинг Информационная безопасность *Open source *Серверное администрирование * Туториал
Сейчас многие граждане РФ, которые находятся за границей, испытывают проблемы с доступом к некоторым российским ресурсам. По каким-то причинам несколько десятков российских сайтов запрещают доступ с IP-адресов за пределами РФ.
К счастью, эту проблему довольно легко решить, если поднять свой сервер внутри РФ и перенаправить трафик через него. Это так называемый «обратный VPN».
В принципе, его можно организовать на любом компьютере на территории РФ, который постоянно находится в онлайне и подключён к местному провайдеру. Как вариант, заказать услугу VPS за полтора доллара — и поднять систему на внешнем хостинге. И всё, считайте, что вы виртуально переехали обратно в РФ.
Содержание статьи:
▍ Выбираем шаблон
Установка VPS на виртуальном сервере производится предельно просто. На этапе заказа сервера выбираем российский дата-центр. Например, RuCloud или M9.
Затем выбираем шаблон сервера. Тут два варианта:
- VPN L2TP (Windows Server 2019)
- StrongSwan IKEv2/IPSec
Шаблон VPN L2TP с предустановленными ролями RRAS и NPS позволяет сразу после установки подключаться к серверу по VPN, меняя IP-адрес подключившегося.
Подробное руководство по подключению см. здесь. Общий ключ vpn.
Минимальные параметры сервера для этого шаблона:
- CPU: 1×2,2 ГГц
- RAM: 1 ГБ
- Диск: HDD 20 ГБ
Такой сервер стоит 523 руб. в месяц (418 руб. при оплате за год).
Альтернативный шаблон StrongSwan IKEv2/IPSec — гораздо более бюджетный вариант, потому что этот VPN работает под Linux (Debian 11) на сервере с 0,5 ГБ оперативной памяти всего за 130 рублей в месяц (104 руб. при оплате за год).
Конфигурация сервера:
- CPU: 1×2,2 ГГц
- RAM: 0,5 ГБ
- Диск: HDD 10 ГБ
Нужно отметить, что в такой конфигурации будет установлена Debian 11 без GUI, хотя один модуль настройки сервера работает в веб-интерфейсе. Но нам кроме него ничего и не надо. В общем, в отсутствии других требований к серверу выбираем безусловно этот вариант по копеечной цене. Три дня для теста сервера предоставляется бесплатно.
Кроме двух этих шаблонов, всегда можно поднять «голый» сервер с произвольной ОС — и установить на него любое программное обеспечение на свой вкус. Впрочем, то же самое можно сделать и с «шаблонным» сервером, он отличается только тем, что там изначально уже установлена пара программ.
▍ Установка StrongSwan
Выбранный образ содержит предустановленный пакет StrongSwan, необходимые зависимости и плагины, а также небольшую утилиту с веб-интерфейсом, которая позволяет выполнить настройку системы и получить данные для подключения без необходимости заходить по SSH. Через этот веб-интерфейс можно скачать файл .sswan для импорта в strongSwan VPN Client для Android или mobileconfig, также для быстрой настройки подключения, но уже для iOS и MacOS.
Итак, начинаем установку. Заказываем VPS с шаблоном StrongSwan.
Оплачиваем услугу.
Начинается установка сервера:
По окончании установки серверу назначается IP-адрес (в нашем случае 194.87.244.61), а также генерируется пароль для рута. Логин и пароль также приходят по почте.
Всё, с этого момента VPN готов к работе. В браузере с удалённого устройства можно зайти по адресу https://vps_ip_address:5000 (в нашем случае https://194.87.244.61:5000/). Браузер предупреждает об угрозе безопасности в связи с использованием самоподписанного сертификата, это нормально:
После авторизации действительно открывается веб-панель:
Здесь производим инициализацию сервера:
Как понятно из описания, для подключения с мобильных устройств можно скачать файлы конфигурации, а для подключения с персонального компьютера требуется установить корневой сертификат.
Что ж, давайте попробуем работу обратного VPN в действии.
Скачиваем корневой сертификат, файл ca-cert.crt и устанавливаем его:
С нашего голландского IP-адреса 93.190.141.69 многие российские ресурсы недоступны, запросы просто блокируются на территории РФ. Например, попытка доступа к mos.ru не даёт результата, пакеты теряются где-то на просторах РФ:
А теперь подключимся через наш российский сервер. В Windows можно вручную прописать параметры подключения:
После установки сертификата нужно перезагрузить компьютер, чтобы изменения вступили в силу. Затем в «Сетевых подключениях» выбирает созданное VPN-соединение к RUVDS и подключаемся к нему:
Теперь сетевые соединения из ОС Windows перенаправляются через VPN-сервер, и все внешние сайты видят наш IP-адрес 194.87.244.61:
Соответственно, с заходом на mos.ru или другие недоступные из-за границы сайты проблем больше не возникает, он тут практически в соседнем дата-центре:
Таким образом, мы виртуально переместились на территорию РФ и свободно открываем внутренние ресурсы в этой стране.
На свой сервер можно зайти по SSH через любой SSH-клиент вроде PuTTY (под Windows) или Remmina (Linux) — и проверить конфигурацию системы, запущенные программы и количество памяти:
Информация о CPU:
▍ Клиент под Android
Как уже говорилось выше, в Android и iOS можно настроить VPN без установки клиента и импорта файлов конфигурации, стандартными средствами ОС, просто указав там IP-адрес своего сервера, тип IKEv2, логин и пароль для подключения, также как мы сделали под Windows. Использование фирменного клиента — просто дополнительная удобная опция.
Скачиваем клиент StrongSwan под Android, а также файл c сервера для конфигурации клиента (https://194.87.244.61:5000/downloads/vpn-android.sswan). Этот файл содержит ID машины, IP-адрес и сертификат для подключения:
На устройстве инсталлируем клиент и импортируем профиль VPN (файл android.sswan, который мы сгенерировали на сервере), а также вводим сгенерированные логин и пароль:
После этого можно подключаться к созданному соединению, всё работает автоматически.
▍ Список сайтов, недоступных из-за границы
Автор канала ITDog ведёт списки ресурсов, которые можно скачать и использовать для настройки VPN.
Ресурсы, которые доступны только для российских подсетей (71 адрес):
- RAW
- Dnsmasq nfset
- Dnsmasq ipset
- ClashX
▍ В качестве бонуса. Свой DNS-сервер
Кроме установки обратного VPN, на своём хостинге можно разместить и другие элементы базовой инфраструктуры для улучшения общей приватности и безопасности. Например, собственный DNS-сервер, чтобы исключить отправку запросов на внешние DNS-серверы. Дело в том, что этот трафик отслеживается внешними недоброжелателями для определения адресов сайтов, которые вы посещаете. Кроме того, некоторые интернет-провайдеры могут перенаправлять или блокировать определённые DNS-запросы, даже если вы пользуетесь надёжным сервером вроде Google DNS or Cloudflare DNS.
Собственный DNS с настройкой зашифрованных DNS-протоколов DNS-over-TLS, DNS-over-HTTPS или DNS-over-QUIC очень эффективно устраняет эти риски для безопасности.
Например, неплохой опенсорсный проект для своего хостинга Technitium DNS Server. После установки работает прямо «из коробки» с минимальной конфигурацией.
Сервер можно поставить или на своём хостинге, или локально в домашней/корпоративной сети (работает на Windows, Linux, Mac и Raspberry Pi). Кроме повышения приватности, мы также на уровне DNS блокируем рекламные сети. Чёрный список адресов для блокировки обновляется автоматически:
Плюс повышается общая производительность за ускорения резолвинга доменов и активного использования локального DNS-кэша.
Примечание. В данный момент Роскомнадзор готовит изменения в приказ Роскомнадзора от 31.07.2021 № 221, согласно которым цифровые границы Рунета «приравниваются к границам страны». Это означает, что доступ к государственным цифровым ресурсам страны будет запрещён из-за рубежа даже с помощью VPN.
Кроме этого, документ предполагает передачу государству данных о связи IP-адреса с местонахождением его владельца.
Не совсем понятно, как РКН собирается реализовывать этот запрет, но пока постановление не принято, на виртуалках «обратный VPN» нормально работает. Скорее всего, в ближайшее время такой метод доступа продолжит работать без изменений. По крайней мере, до тех пор, пока страна не выйдет на качественно новый уровень блокировок.
Скидки, итоги розыгрышей и новости о спутнике RUVDS — в нашем Telegram-канале 🚀
Теги:
- ruvds_статьи
- RUVDS
- VDS
- хостинг сайтов
- VPN наоборот
- обратный VPN
- DNS-сервер
- Technitium
- DNS-over-TLS
- DNS-over-HTTPS
- DNS-over-QUIC
Хабы:
- Блог компании RUVDS.com
- Хостинг
- Информационная безопасность
- Open source
- Серверное администрирование
