С начала марта перешел на собственный VPN. Необходимо было заменить платный публичный, который стали блокировать и включить в постоянном режиме на роутере, чтобы работало на всех устройствах по Wi-Fi. До марта хватало периодических включений публичного.
При постоянном использовании мне хотелось иметь Ping в районе 5 мс по Speedtest (как без VPN). Пиковые скорости мне не важны, в первую очередь мне важна отзывчивость и стабильность в соединении.
К требуемым показателям удалось приблизиться при развертывании VPN на сервере в Москве. Получились 7 мс, и 49 мс на сервере в Амстердаме.
При использовании через роутер скорость 60 мегабит, через телефон или компьютер 100.
Цели
1. Первое что требовалось, возможность развертывать VPN за реальные 5 минут на любом максимально дешевом VPS у любого хостера. Мне было не понятно насколько это будет разрешено хостером, и чтобы можно было быстро переезжать. Но судя по всему на виртуализации KVM — это разрешено.
2. Второе это совместимость с MacOS, iOS, Android и двумя моими роутерами Asus, один из которых работает на домашнем Билайне, второй на мобильной Yota.
3. Возможность легкого использования непрофессиональными пользователями уже готового VPN.
Сначала попробовал разные решения из статей. В основном предлагается два протокола IPSec IKEv2 и OpenVPN. Про IPSec например есть хорошая статья на данном сайте. Варианты все рабочие, но сложные и долгие. Дальше попробовал ряд готовых скриптов и готовые решения у хостеров. Минус готовых решений у хостера в том что привязка к конкретным хостерам, а я хотел иметь возможность где угодно разворачивать.
В итоге остановился на OpenVPN и вот этом скрипте с github. Скрипт актуальный, последнее изменение 3 месяца назад. Установка проходит за пару минут, нужно только подтвердить ответы на некоторые вопросы.
На выходе получается полностью сконфигурированны OpenVPN сервер со всеми сертификатами и .ovpn файлом, который необходимый для коннекта к серверу с устройств. Данный файл нативно поддерживается моими роутерами, а для телефонов и mac есть официальные приложения OpenVPN. Файл я положил на своём яндекс диске, поэтому его легко можно открыть на любом устройстве в приложении OpenVPN, один раз сохранить и пользоваться, также можно, например, по Telegram его передать.
Из проблем
Если использовать недорогие массовые VPS, то ряд сайтов не будет работать, т.к. IP может оказаться в бан листе. Например Avito, им я даже написал с просьбой разблокировать — отказали, говорят вся подсеть забанена и разбану не подлежит.
С некоторыми магазинами были проблемы типа dns-shop и street-beat. Они оба защищены Variti от ddos, поэтому предполагаю что у Variti так фильтры срабатывают.
В итоге я остановился на более дорогом хостере, где почти всё работает.
Немного теории
На официальном сайте OpenVPN даны следующие рекомендации по серверному железу:
- Память: 1 Гб и далее по 1 Гб на каждые 150 юзеров.
- Процессор: 12 герц на 1 мегабит скорости.
Соответственно VPS с 1 Гб памяти и 1 процессорным ядром — 100 мегабит тянет.
Процессор должен быть с поддержкой инструкций AES-NI, иначе надо в 4 раза больше мощности. Современные серверные, компьютерные и мобильные процессоры это поддерживают.
С роутерами не всё так сладко, мои режут скорость до 60 мегабит. Топовые модели Asus поддерживают данные инструкции и должны тянуть до 200 мегабит, судя по отзывам которые я нашёл на западных форумах.
Как установить
Иметь базовый опыт администрирования серверов
Заказать VPS с виртуализацией KMV с Ubuntu 20 у любого хостера
Зайти по SSH
Воспользоваться данным скриптом https://github.com/angristan/openvpn-install
После добавить строчку «duplicate-cn» в файле /etc/openvpn/server.conf, чтобы одним файлом можно было одновременно коннектиться с разных устройств и рестартнуть VPN командой «service openvpn restart»
Поменять SSH порт на произвольный (по желанию, для безопасности)
- Сгенерированный файл. ovpn использовать на любых устройствах
- Установить приложения из AppStore или Play Store, а для компьютера с официального сайта
В итоге
Целый месяц я работал, как из дома, так и в выездном варианте. Помимо работы использовал торренты. Всё прекрасно работает стабильно без тормозов и сбоев. Рунет стал работать даже лучше чем был до марта.
Оставил себе 2 VPN, один в РФ, второй в Нидерландах, т.к. для ряда западных сервисов нужен зарубежный IP в частности для Strava.
Обожаю свою сферу It как читаю так дух захватывает! Мы айтишники молодцы и главное нам фиолетово где глобальные катаклизмы - вооруженные конфликты, или (пмс), мы вне политики и это важно. Автору респект за контент хотя бы потому что я хрени о политике ни слова не услышал.
Комментарий удален модератором
Комментарий удален модератором
Опыт использования второго в мире платного VPN-сервиса:
1) Оплатили вместе с девушкой (по 1900р с рыла на год).
2) Использовать можно 7 устройств одновременно, скачал, кнопку нажал и погнал (сейчас используется 5).
3) Скорость и пинг практически не отличаются от нормальных значений.
Работ с оплатой/установкой минут на 15.
есть большой риск что его забанят на территории россии, так как он второй в мире
А почему без названия сервиса? Не надо стесняться, здесь всем интересно.
Оплату как осуществляли?
Имхо самый простой и комфортный вариант создания собственного VPN: https://youtu.be/_hiYI7ABnQI
Да, адекватный тоже вариант
WireGuard банят провайдеры
Есть ещё AmneziaVPN - программа автоматически настраивает на сервере нужный ВПН (OpenVPN 3 вариации, WG, Shadowsocks).
https://ru.amnezia.org/
Тоже за этот сервис голосую. Реально простой, не нужны ни какие скрипты. Адрес, логин и пас указал и всё настроиться быстро и само.
Больше геморрой в покупки VPS будет чем в его настройке.
Я покупал у зарубежного хостера, оплачивал криптой. Но говорят есть и наши хостинги с зарубежными площадками. Но я специально выбрал зарубежный, что бы ни каких проблем в будущем не было, а то вдруг наших как нибудь прижимать будут.
Один я, похоже, настроил на роутере, чтобы через ВПН шли только нужные сети, а остальное шло как обычно, напрямую. И никакой ненужной капчи, быстрая скорость и отсутствие нагрузки на впс. С мобильного при необходимости цепляюсь к своему роутеру. Роутер - Mikrotik.
Вот такой вариант интересный, а такие настройки в базе у вашего роутера есть? или что-то специфическое делали? можно например настроить инст/фб чтобы шли через vpn, а остальное так?
"Помимо работы использовал торренты."
Мне вернули мой 2007.
Про 2007 это точно ))
2007 - это DC с локальной сеткой)) Торренты как использовались так и используются
Ничего я не поняла, но сколько это стоит, из чего состоят расходы?
Услуги хостера
Нужно поставить собственный сервер у хостера и настроить на нём VPN. Соответственно цена будет складываться из выбранного тарифа на сервер в месяц. Дешёвый вариант в районе 200 рублей в месяц, подороже до 800.
Сложна, купил подписку на warp + от cloudfloud, полет нормальный.
Заметили разницу с подпиской на варп+ от бесплатного варп?
У них же Play market, который не работает? Или там с сайта есть оплата?
Warp клёвый, но не все провайдеры его могут
https://www.iguides.ru/main/other/v_rossii_zablokirovali_dva_populyarnykh_vpn_servisa/
У меня через одного, более раздрлбайского, все до сих пор ок, через другого не работает
Главные плюсы собственного VPN — дешевизна и меньшие шансы на точечную блокировку. Аргумент насчет заблокированного Авито мне кажется минимально важным — большинство клиентов дают включать-выключать VPN одним кликом или настраивать часть софта/адресов на неиспользование туннеля.
Один из самых дешевых хороших хостов — Gullo's Hosting https://hosting.gullo.me/. за $10 в год (не в месяц, в год, но заплатить надо сразу) можно получить простейший VPS с 128мб памяти, но зато с 1тб трафика в месяц (входящего+исходящего, так что делить пополам для VPN), 1тб/сек каналом и в Европе. Таких мощностей не хватит для докера и настройки через него, но например OpenVPN и Shadowsocks крутятся успешно. Там же есть и немного дороже тарифы с 1гб ram. Оплата — PayPal или криптой USDT через посредника.
Из протоколов — однокликовые скрипты установки есть примерно для всего, ищутся обычно тоже быстро. Мне лично нравится AlgoVPN https://github.com/trailofbits/algo, скрипт ставит связку Wireguard + IPSec. А если хотите подготовиться к блоку VPN и прокси на уровне протоколов — https://privacymelon.com/v2ray-setup-guide/ по этому гайду можно поставить v2ray, свежайшие разработки в области обхода китайского фаервола (даже сам скрипт на китайском, поэтому и гайд нужен).
С трафиком вопрос, 1 Тб это очень мало, если на постоянке использовать.
Комментарий недоступен
Спасибо за интересную информацию!
Можете подсказать, какой следует выбрать тариф на их сайте, а то не пойму. И судя по всему, прайсы у них изменились, нигде не вижу 1TB bandwith за 10$/year
Самый простой личный VPN это DigitalOcean + Outline. Зарегаться и связать аккаунты, всё.
а DigitalOcean еще работают? у меня просто на aws lightsail настроен с начала марта, бесплатный период до мая, а потом придется переезжать, т.к. его уже не оплатишь и вот я думаю - куда?
OpenVPN бесплатен только до двух устройств. Больше — только от десяти и это стоит $75/мес. https://openvpn.net/access-server/pricing/ И еще вопрос какими картами это можно оплатить…
Openvpn бесплатен для любого количества устройств. Openvpn access server действительно платный с третьего устройства, но это не обязательный компонент, а облегчающая жизнь надстройка над бесплатными сервером и клиентом.
Да, я это видел, но я про эти цены я не очень понял, тк я не ставил их окружение админку и тд (то что предлагается по этой ссылке). У меня стоит чисто vpnserver которые ставится командой вида apt install openvpn, я так понимаю в этом случае лимитов нет.
С чем может быть связана более низкая скорость через роутер? Я думал, наоборот, через него будет выше, т.к. отдельная железка будет отвечать именно за то, чтобы траффик гнать куда надо.
И еще, пробовали через АСУС сделать несколько Wi-Fi сетей? Чтобы одна без VPN, другая через Нидерланды, третья через московский впн. Думаю над таким вариантом, пока не до конца понял, как это обустроить
Процессора не хватает как оказалось, нужен с поддержкой AES NI, а это топовые модели 1.8 - 2.2 ГГц . OpenVPN использует только 1 ядро, он не умеет на несколько распределять.
Да несколько пробовал. Ставил прошивку Мерлина, и тогда можно получить например 2 сети по 50 мегабит. Тк в этом случае на каждом ядре будет по 50 мегабит.
В мерлине можно по девайсам распределить VPNы.
Низкая скорость OpenVPN и других VPN-программ, использующих модуль tun/tap для туннелирования, вызвана невозможностью считывания и отправки нескольких пакетов через tun/tap, из-за чего происходит частое переключение контекста между режимом ядра и режимом пользовательских программ, что очень неоптимально и замедляет выполнение.
Нерешенная проблема линукса, короче. У Wireguard и IPsec таких проблем нет — они выполняются в ядре.
Дык в настройках можно уменьшить таймауты попыток и и.п.
А ещё можно так ⬇️
Расскажете как оплачиваете VPS в Нидерландах? )
Многие хостинги предлагающие услуги в РФ имеют иностранные сервера, я ставил впн на голандских впс от инферно, думаю есть и другие
Я у edgecenter.ru купил, наши карты работают. Есть вариант visa prepaid сделать, тогда можно и на зарубежных покупать у того же hetzner.com
Нашёл русского хостера, который дает в аренду сервера в usa или Нидерландах. Оплатав рублях.
Не смог пройти мимо.
IP адреса хостинг-провайдеров включены в DNSBL фильтры и могут блокироваться для предотвращения атак. У меня с таким адресом 25-30% сайтов открывалось капчей Клаудфлары, где-то 10-14 штук и вовсе не пускало. Ну а Яндекс на каждый запрос предлагал решить свою говнокапчу.
Проблема есть, но она и с nordvpn была. И на более массовых хостингах проблем больше, как я написал.
Не всегда. Чем дешевле, тем больше вероятность это да.
Отличный материал, спасибо!
Долго шарился по теме. Остановился на своём virtual private server за бугром (оплатить можно и за биткоины), накатил на него outline по сути одним кликом из приложения outline manager и терминал сервера. Так же легко настраивается соединение через outline client на пк, телефон.. единственное, на android tv пришлось поплясать, так как приложения outline на тв нет. Но есть решение через настройку в приложении shadowsocks на тв подгрузкой заранее отредактированного json-файла в него. Все прекрасно летает без ограничений по скорости и разрывов
Комментарий удален модератором
А я себе поставил прокси на VPS, VPN тоже скорее все сделаю но потом.
По поводу WireGuard единственное где увидел реальные проблемы с ним это в Дубаях...
В подборе сервака мне помог ресурс https://poiskvps.ru/ который я нашел на тематическом форуме IXBT.
Спасибо, если не помрём в этой стране, то может даже пригодится.
а нафига VPS в Москве? все равно же с российским айпишником будет сервак и все будет заблочено
Работает. Блокировки идут на уровне операторов типа Билайна МТС Мегафона. Входы в страну не блокированы, а хостеры напрямую подключены к точкам раздачи, поэтому блокировок нет.
Openvpn на мобиле батарею кушает не хило, в настройке сложней. Shadowsocks нашел для себя актуальным. Так же wireguard.
Любой vpn будет кушать заряд батареи
Не заметил особой разницы в потреблении энергии при VPN. Стоит клиент "OpenVPN для Android" в системе настроил на постоянное подключение, этот клиент позволяет выбрать конкретные приложения, которые будут ходить через VPN, это намного удобнее через на роутере настраивать. Всё работает максимально прозрачно, VPN ни когда не отключается и переподключается автоматически. Так же это не зависит от сети, хоть дома, хоть на улице, везде работает обход.
Батарея да, но можно в настройках приложения openvpn включить чтобы подключался только когда телефон активен. При тестах IPSec тоже батарею кушает, поэтому не однозначно. И кстати работал он менее стабильно были дисконнекты и прочее.
Openvpn на телефоне настраивается секунд за 30, ему же просто скормить файл .ovpn и на этом все.
OpenVPN может потреблять батарею при использовании слишком короткого пинг-интервала, который используется для обнаружения обрыва соединения. Выставьте его в 3-5 минут и проблема исчезнет.
а если нет денег на сервер, то используйте aws.amazon.com, год бесплатно, можно выбрать любое нужное вам ГЕО сервера, работает очень шустро!
Они вроде не регают новые акки для пользователей из РФ.
А у меня нубский вопрос. Тоже сделал себе частный впн на впсе, подключаюсь через openvpn, так вот заметил, что с телефона через оператора, он не всегда подключается к впн (похоже когда сеть оператора загружена, то не проходит подключение), с домашней сети все подключается без проблем. В какую сторону смотреть, что покрутить, понажимать?)
Попробуйте порт сменить на какой-нибудь 443
Комментарий недоступен
Ruvds
Приходите в личку настрою. Вот описание и детали.
https://taplink.cc/familyvpn
А таплинк может заменить инстаграм?
сложные и долгие
Ой! Я, кажется, ссылку уронил
https://github.com/hwdsl2/setup-ipsec-vpn
Шикарно живу месяц с mullvad. Скорость 280мбит. Пинг обычный. Страны разные.
Комментарий удален модератором
Никто не пользовался вечным VPS? Меня прямо тянет приобрести...
Комментарий недоступен
Proton обещали вроде, что не будут блокировать Россию. У них есть ВПН тоже, хотя по скорости не лучший в мире.
Вопрос в обратном , будет ли Россия их блокировать
Про обфускацию автор не говорит ни слова. Но на своём сайте просит 5000₽ за создание “своего VPN”.🤦🏻♂️
Ни слова про хостинги с оплатой по банковскому переводу. Ни слова про хостинги с оплатой по битку. И ни слова о том какие из этих хостинг-провайдеров выдают зарубежные адреса. Ведь едва ли не половина стоимости хостинга VPS приходится на аренду адреса.
Переезд OpenVPN вообще смехота. Там же ничего нет! Чему переезжать? Неужели не проще запустить скрипт, скопировать /etc/openvpn и запустить systemctl enable ?
Статья-кейс, неприменимая вообще ни к кому и ни к чему.
Интересно почитать, почему решили выбрать эту технологию, ведь она уже устарела ? Насколько знаю wg сейчас имеет самый высокий уровень безопасности/скорости из ныне существовавших, а устанавливается можно сказать в 2 кнопки…
С телефона коннект проще простого, не нужно никаких файлов, наводишь камеру на qr код в консоли, готово.
Мой роутер не поддерживает данный протокол
"...Процессор: 12 герц ..."?
На каждый мегабит скорости нужно 12 герц процессора
Можно пользоваться уже готовыми решениями на рынке, устанавливая VPN для всех сотрудников сразу
https://zen.yandex.ru/media/i2crm/zachem-biznesu-korporativnyi-vpnservis-62b1beae37703f171653dbd8?&;;