Пользователь
0,0
рейтинг
6 ноября 2012 в 17:00

Разработка → Создание «островка сетевой свободы» на основе VPS за 30 минут из песочницы tutorial

В связи с вступлением в силу нашумевшего закона 149-ФЗ у многих хабравчан возник вопрос: а что будет дальше? Неужели в России появится аналог Великого Китайского Фаервола, который будет блокировать всё и вся? В данном туториале я хотел бы рассмотреть один из самых эффективных и безопасных способов обеспечения себе свободы информации — собственный VPS сервер, находящийся далеко за границей и связанного с вами с помощью зашифрованного VPN туннеля. В отличие от tor или i2p конфиденциальность передаваемой информации гарантированна, вряд ли кто-то будет пытаться расшифровать ваши данные или устраивать рейд на заграничный сервер (если конечно вы не хакер мирового масштаба).

Какой VPS выбрать?


Бесплатный :) Как это ни странно, но такие бывают, вот например список бесплатных VPS хостингов, который использую я. В основном это всё пробные варианты сроком на 1 месяц, но ничто не мешает через месяц выбрать другой пробный сервис, благо список большой. Но никто ничего не гарантирует, если вам нужно гарантированная конфиденциальность выбирайте платные сервера в Нидерландах, Чехии, Египте и других безопасных государствах. Но я выбрал американский сервер, во-первых он был самый удобный из халявных, а во вторых всё это затевалось не только для безопасности, но и для покупки Nexus 7 через Play Store (ещё одно полезное применение).
Также нужно смотреть на наличие «белого» IP адреса и способ виртуализации сервера. Последнее не столь важно в выбранном мной способе, но если с серверами c изолированным ядром (например KVM) проблем с недостающими модулями обычно не возникает, то если ядро общее и немодифицируемое (например OpenVZ) нужно связываться с техподдержкой (об этом ниже). И при регистрации систему лучше выбрать debian-подобную, она проще и инструкции ниже написаны для неё. Остальное на ваш вкус.

Установка и конфигурирование


На чтение первых двух абзацев, поиск и регистрацию VPS у вас ушло минут 15, осталось ещё столько же. После того как вы получили/оплатили vps сервер, нужно с ним что-то делать, а именно поднимать на нем VPN. Для этого я использовал OpenVPN — бесплатный, безопасный и быстрый в настройке. Если вы выбрали VPS на базе популярного OpenVZ — скорее пишите в ТП, чтобы вам включили модули для поддержки iptables, NAT и tun, первые два скорее всего уже есть, а вот tun вряд ли. Пока техподдержка работает (надеюсь она не будет так быстра и не перезагрузит VPS в критический момент, лично мне повезло), мы подключимся к нему, поставим и настроим OpenVPN:

apt-get install openvpn

Дальше есть два пути: быстрый и надежный

Путь быстрый

Этот способ использует статичный ключ-пароль, но он не отличается безопасностью. Генерируем ключ:

cd /etc/openvpn
openvpn --genkey --secret static.key

Сохраняем его к себе на компьютер (cat + Ctrl-V) и создаем конфиг /etc/openvpn/tun0.conf:

/etc/openvpn/tun0.conf:
dev tun0
ifconfig 192.168.1.1 192.168.1.2
secret /etc/openvpn/static.key

Путь надежный

Этот способ активирует TLS/SSL шифрование на сервере, но он дольше в настройке. Скопируем кухню для создания ключей и сертификатов в папку с openvpn:

cd /etc/openvpn
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/
chmod -R +x easy-rsa/

Инициализируем скрипт:

cd easy-rsa/
source ./vars
./clean-all

Создадим CA сертификат и ключ, нас попросят ввести даные о сертификате, вводим любые, хоть фиктивные:

./build-ca

Создадим сертификат/ключ для сервера

./build-key-server server

Сгенерируем ключи для шифрования SSL/TSL соединения

./build-dh

И создадим ключи для себя:

./build-key myname

В папке /etc/openvpn/easy-rsa/keys теперь есть все необходимые ключи, для авторизации нам нужны только myname.crt, myname.key (свои сертификат с ключом) и ca.crt (сертификат CA)

Создадим и отредактируем вашим любимым текстовым редактором конфиг /etc/openvpn/tun.conf:

port 1194
proto udp # если нужна гарантированная доставка пакетов, исользуем proto tcp
dev tun

ca      /etc/openvpn/easy-rsa/keys/ca.crt    # созданные ключи
cert    /etc/openvpn/easy-rsa/keys/server.crt
key     /etc/openvpn/easy-rsa/keys/server.key  # держать в секрете
dh      /etc/openvpn/easy-rsa/keys/dh1024.pem

server 192.168.1.0 255.255.255.0  # наша виртуальная подсеть, можно выбрать и другую
ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo         # Сжатие трафика, должно быть включено и у клиента
persist-key
persist-tun

status /var/log/openvpn-status.log # собственно логи
log /var/log/openvpn.log

verb 3  # уровень болтливости логов

push "dhcp-option DNS 8.8.8.8" # выдаем по умолчанию DNS сервер от гугла

Проверка


Теперь можно запустить OpenVPN сервер:

service openvpn start

Если всё успешно, то мы сможем подключиться к серверу, используя скачанные выше сертификаты и ключи (не забудьте LZO сжатие на клиенте, если включили на сервере!). А если нет, то в логах скорее всего будет что-то вроде
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory
Это означает, что техподдержка плохо работает и не включила нам tun модуль. А если всё хорошо, мы сможем пинговать VPS, но интернета ещё не будет, для этого нам нужен NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o venet0 -j SNAT --to-source SERVER_IP

Если вы выбрали другую подсеть, то укажите её вместо 192.168.1.0/24. Вместо venet0 укажите интерфейс (привет ifconfig), который смотрит в интернет, а вместо SERVER_IP укажите внешний IP адрес VPS. Теперь можно сохранить настройки iptables:

iptables-save > /etc/iptables.rules

В /etc/rc.local:

iptables-restore < /etc/iptables.rules

Поставить на автозагрузку openvpn и перезагрузить openvpn сервер:

update-rc.d openvpn defaults
service openvpn restart

Всё! Я же говорил, что мы управимся за 30 минут?
Алексей Ветров @noxwell
карма
13,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (94)

  • +13
    Зачем писать подобные статьи? Их вагон и тележка- причем не маленькая…
    И на хабре уже эта тема обсуждалась…
    • +7
      Да, моя промашка, забыл про хабрапоиск, зато здесь есть список бесплатных серверов и быстрый конфиг, а также рассмотрены некоторые проблемные аспекты, с которыми можно столкнуться.
      • 0
        Отличие вашего топика- только в том, что представлен список бесплатных vps- не более.

        Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory
        Это означает, что техподдержка плохо работает и не включила нам tun модуль.

        Это может быт ьи на vps на openvz, и устройство нужно создавать через mknod.
        • 0
          Можно и без openvpn и без tun/tap

          habrahabr.ru/post/157547/#comment_5390647
          • +1
            можно и без этого — у openssh есть режим сокс прокси…
            • 0
              Если вы прочитаете readme про sshutle, то поймете чем он отличается от сокса.
              • 0
                Читал. Понимаю. Но не понимаю что вы мне сказать хотели.
                • 0
                  Как минимум о том, что сокс не очень удобная вещь.
                  • 0
                    Я показал вам альтернативу, а не заставляю ей пользоваться и не собираюсь доказывать, что удобней- это уже кому как.
                    • 0
                      Да я не спорю. Просто если уж совсем тупо, то можно обойтись ssh.
        • 0
          Случайно поставил этому комментарию минус вместо плюса. Очень жаль, что кто-то ещё минусанул. Проблема, затронутая в комментарии, актуальна. Сам сталкивался не раз. И самое печальное — заранее неизвестно: включен ли модуль tun в настройках ядра у покупаемой виртуалки. Узнаётся по факту
    • –17
      И кто меня слил за коментарий выше? И хотелось бы понять, за что…
    • –4
  • –6
    Волшебно как подарок на рождество )) а китайцы так могут?
  • +6
    При выборе VPS хостинга, рекомендую почитать ToS.
    Некоторые хостинги не любят частые VPN-сессии и входящий трафик.
    • +1
      И у многих, особенно пробных, на OpenVZ отключен tun.
      • +1
        Включают, если попросить, я как раз про это в статье говорил
        • 0
          Не все
  • 0
    Я слышал, в дата-центрах ставят железки, которые логгируют подключения к серверам.

    Кто знает, насколько это правда?
    • 0
      В дата-центрах чьих? Провайдера услуг VPS? А чем это может Вам навредить? Цель шифровать траффик и обходить блокировку.
      • 0
        Да.

        Тем, что если владелец дата-центра сотрудничает с органами, я раскрыт.
        • +1
          А оно надо владельцу зарубежного дата-центра сотрудничать с половыми рашкинскими органами?
          • 0
            А Вы возьметесь гарантировать, что конкретный датацентр сотрудничать не будет?
            • 0
              Берите два.
              Лучше три — два для сокрытия, третий для надежности на случай раскрытия одного из них (одиночный как правило открывается сразу по совпадению IP который ты получаешь и IP к которому ты присоединяешься из своей сети).
        • +1
          Подождите раскрыт кто? Факт использования VPN? Так ваш провайдер домашний и так увидит куда вы идете на VPS. А если вы киберпреступник и используете VPN, для сокрытия вашего истинного адреса то это другой разговор но мы сейчас не про это. Наша цель обойти блокировку сайта в Российском сегменте и зашифровать инфу от глаз домашнего провайдера.
          • 0
            А если вы киберпреступник и используете VPN, для сокрытия вашего истинного адреса
            Почему это желающий скрыть свой адрес сразу записывается в преступники? Можно просто быть своеобразным параноиком, или еще чего… tinfoilh.pcx
    • +4
      правда
    • –1
      У нас ничего такого не ставят.
    • +3
      Не только в датацентрах, у провайдеров тоже все логируется, обязаны по закону.
      • 0
        Обязаны… Но там порой такие смешные техтребования, что…
        Знаю небольшого провайдера, у которого в «черный ящик» несколько гигабитных линков зеркалятся по 100mbit порту. При этом техусловия соблюдены и случись чего никого низачто не нагнут. Все довольны.

        А еще есть такая бамажка как «отказник»… С ней можно жить и провайдить годами.
        • +1
          Пока провайдеру везет и из его сети не было ни одного серьезного инцидента, при первом же случае его нагнут вплоть до лишения лицензии и ответе за все не правомерные действия совершенные с его IP, если он не может предоставить нормальный лог. Я сисадмин интернет провайдера, про требования и логи знаю не по наслышке, примерно раз в 2-3 месяца мы получаем запрос из органов на определение того, кто в такое-то время сидел с такого-то ip или в определенный промежуток времени обращался к определенным адресам. Процедура выдачи такой информации отлажена, почти все биллинги это предусматривают штатно. Еще есть определенный список ресурсов, доступ к которым мониторится постоянно и все пользователи, которые туда обращались логируются и списком уходят на спец. ящик. По поводу «отказника» я не знаю как в России, но в Украине мы вынуждены соблюдать этот закон (Обращаем внимание на Статью 39 пункт 4, не путать со статьей 39 пункт 1 подпункт 4). Техтребование — это полный лог в формате NetFlow и линки не зеркалятся, а в ящик уходит только сам лог с оборудования, который в умелых руках предоставляет достаточно информации для анализа и нагибаня виновных. Пока вы «Неуловимый Джо» можно верить в некомпетентность провайдеров и органов, отказников и деда мороза, но попробуйте совершить что-то серьезное из сети своего провайдера и проверить настолько ли вы неуловимы.
          • +1
            ну я вообщем тоже непонаслышке :)

            Если техтребования соблюдены — никто никого не нагнет.
            Ибо введение СОРМа — весчь треугольная. Есть контролирующий орган (для простоты назовем далее его ФСБ), есть афилированые с ним конторы, в одну из которых тебя посылает это ФСБ для пролучения экспертного заключения (а пока заключение не получено — ты можешь работать по «отказнику», если ФСБ не против его дать:), исследования твоей сети и прочая прочая прочая… По результату этой экспертизы выдается/согласовывается план введения СОРМ (на этом этапе можно ой как потянуть время:). потом в соответствии с планом проводятся работы… Угадай как и в каком порядке их надо проводить, чтобы ответственность лежала не на провайдере, а на исполняющей организации.

            я о чем толкую — можно ТУПО исполнять все указания и покупать все что тебе скажут и внедрять так как скажут, но можно и лавировать, внимательно читая законодательство. От позиции провайдера зависит.
            Ну и от финансов. До некой поры нам «отказник» дешевле обходился. Ну а потом, когда всех за%№али — пришлось внедрить.
            • 0
              Полностью согласен если мы говорим о местечковом провайдере на пару тысяч пользователей, но чем крупнее провайдер, тем накладнее ссорится с органами, да и зачем, какой интерес провайдеру? Анализ логов помогает например прогнозировать какие каналы расширять и какие маршруты приоритетней.
              Ладно наш спор к теме топика относится косвенно, думаю можно закончить. Логи есть, никто отрицать не будет, а то в каком они виде оставим на совести провайдеров.
              • 0
                слово «ссориться» тут неуместно.
                я бы применил фразу «разделять ответственность».
          • 0
            Мужик!
    • +2
      В этом случае лучше туннель по SSH пробрасывать. Тут уж точно никто не придирется.
      • +5
        Лучше тогда sshuttle заюзать.

        github.com/apenwarr/sshuttle
        • 0
          Онднозначно лучше!
          sshuttle поднимается на чистом Amazon EC2 инстансе за 10 минут. Двумя командами, одна из которых: git clone
          • +2
            Вам на удаленной стороне нужен только ssh!

            потом:

            sshuttle -r username@sshserver:port 0/0

            END!

            Тут весь трафик, кроме DNS будет отправлятся на удаленную машину.
            Если надо еще и DNS то используем флаг -H.

            Все очень быстро и просто, без всякого вскрывание головного мозга.
            • 0
              Прямо сейчас решаю задачу сокрытия доступа к удалённому серверу. Исходные данные — главный сервер на *nix в германии, ec2 в европе на винде в качестве гейта и клиент из российской сети, причем сидит за корпоративным прокси.

              Настроен туннель через openvpn между клиентом и гейтом, дальше терминальный доступ на гейт и работаем пока оттуда. Нужно сделать второй туннель, чтобы с клиента трафик например по 3306 порту шёл сначала через гейт, потом на главный сервер.

              Пока пробую вариант с putty и port forward на гейте, плюс возможно придется включить ip-роутинг на гейте. Другие варианты можете посоветовать?

              • 0
                Можно схему? После обеда гляну.
                • +1

                  • 0
                    А смысл ec2 на windows?

                    Как по мне, можно взять еще один ec2 c linux (если нужна windows для каких то целей).

                    Клиенты по openvpn соединяются с ec2, на нем сделан тунель ssh (хватит проброс порта ) на сервер mysql в германии. Эти же клиенты могут, через ec2 с linux так же пробератся к ec2 с windows.
                    те ec2 с linux будет неким шлюзом :)

                    Если покупать ec2 с linux не хочится, то на нем еще поднимать openvpn в режиме инфраструктуры, и соединятся с сервером в Германии.
  • 0
    Может кому интересно с помощью «OpenVPN Access Server» openvpn.net/index.php/access-server/overview.html можно одной командой установить себе готовый к употреблению VPN, причём настройка если нужна производится из веб интерфейса, единственное бесплатный вариант позволяет только 2 клиента.
    • 0
      а доп лицензии копеечные. софт стоющий и очень удобно
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Дешевые VPS также можно найти на http://www.lowendbox.com/
  • 0
    Может я чего то не понимаю, но чем не устраивает связка VPN + Proxy без собственного VDS? Например с использованием сервиса proxik.ru? Там уже все настроено, выбирай страну, покупай да подключайся.
    • 0
      небось скорость меньше
    • 0
      Вышеуказанный сервис платный. Тогда уж предлагаю hotspotshield — бесплатный vpn и с поддержкой Windows/iPhone/Android/Mac.
    • 0
      ну ладно, молодцы, объяснили значит объяснили ) пинать то необязательно )
  • НЛО прилетело и опубликовало эту надпись здесь
    • +3
      Ну тогда можно сказать — тупо забанят все зарубежные ресурсы. Одно и тоже.
    • 0
      Это надо чтоб ГД приняла закон о запрете таких сервисов. Или придётся банить каждый IP по решению суда.
  • +4
    а чего не упомянута главная площадка для подобных свистоплясок? :) Micro EC2 инстанс на амазоне? Он тоже вполне себе бесплатный получается даже при интенсивном использовании если «только для себя» :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      В случае Tor запросы генерируете не только вы, но и непонятно кто через вас. В результате это великолепный способ подставиться. Отправит кто-нибудь с вашей машины транзитом сообщение о теракте или запостит CP, и будет как с Александром Янссеном. Правоохранительные органы не станут разбираться, кто там за кем сидит и раскручивать всю цепочку, а повесят всё именно на крайнего. Прецеденты уже есть.
      • +1
        По умолчанию через вас не идет никакой трафик и tor работает как клиент. А у этого чувака был именно tor сервер.
    • 0
      Почитайте про TOR.
      Хоть бы даже в вики почитайте…
      У него очень много слабых мест.
      i2p не сильно заточен для выхода в открытый интернет…
      Ну и выше правильно сказали, что через вас идет всякая гадость при этом.
      • 0
        Хотя бы вики не читайте про такие вещи, а фициальную документацию.
        • 0
          Угу… а еще не читайте про правительство оппозиционную документацию — только официальную)
          Вики не единственный источник, но легко-читаемый неспециалистом.
          Вы можете назвать что в вики неправильно написано по поводу безопасности TOR?
          Или так просто — лишь бы возмутиться?)
          • 0
            Я удивлен конкретно вот этой фразе: «Ну и выше правильно сказали, что через вас идет всякая гадость при этом.» И выше я объяснил почему.
            • 0
              Ну да, «всякая гадость» может идти, а может не идти.
              Как это связанно с возможной компрометацией узла который непосредственно будет выводить наш трафик в интернет? Или с модуляцией загруженности канала?
              Ну или что конкретно в вики вызывает у вас сомнение?
              Да, одна моя фраза была недостаточно достоверна. Но как это касается одного из источников?
              Одно только то, что подозрительный трафик можно через себя не пропускать не делает данные инструменты сразу свободными от других недостатков.
              Я согласен, что в совокупности с другими маскирующими методами можно и TOR использовать. Но чисто им пользоваться неудобно и ненадежно…
              • 0
                Я не понимаю какой смысл парировать утверждения, которых я не делал? Я все объяснил в предыдущем комментарии и не вижу смысла повторяться.
                • 0
                  Простите, плохо себя чувствовал, телепатические способности ослабли, не заметил что это не вы а кто-то другой от вашего имени написал:
                  «Хотя бы вики не читайте про такие вещи, а фициальную документацию. „
                  • 0
                    Вижу, что не только телепатические, поэтому прощаю и цитирую себя: "Я удивлен конкретно вот этой фразе: «Ну и выше правильно сказали, что через вас идет всякая гадость при этом.»"
    • 0
      tor — весьма небезопасная вещь.
      сделана по заказу

      Однажды заметил, что tor модифицирует мой http-траффик, один из серверов по пути вставляет свои заголовки с «левыми» js-скриптами на автозагрузку виндовых троянов. Я, правда, под линуксом сидел и мне пофиг.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Надо заметить, что при совместном анализе логов провайдера и «запрещённого сайта» можно выявить одновременные пересылки данных от некоего абонента к VPN-серверу и того же сервера к сайту. Поэтому для спокойного серфинга по российским ресурсам неплохо было бы иметь два различных VPN-сервера за границей (лучше в разных странах) с туннелем между ними.
  • +3
    А в чем островок свободы-то? Что с чужого IP (ставшего на время аренды «нашим») в мир ходим? Это, в лучшем случае, туннелирование на неизвестный сервер, не более того.

    Если уж Вы задумаетесь сделать так, чтобы СОРМ совсем ничего не заметил в ваших пакетах (даже характера загрузки канала и прочих «мелочей»), очень невредно забить весь канал случайным трафиком (как и каким — вопрос отдельный, как раз для статьи на Хабре), и внимательно выбирать провайдера хостинга на «той» стороне. В конце-концов, выскочить из-под СОРМа мало, еще и ECHELON-у бы не попасться :)

    P.S. Фразу про tor и i2p так и не понял, почему это трафик в нем «негарантированно» зашифрован?
    • 0
      Он зашифрован, но кто его расшифровывает?)
      Не адресат, а промежуточный узел на выходе из TOR.
      Вы его знаете? Доверяете?
      А частная компания в цивилизованной стране без Интерпола вас не выдаст.

      ПЫСЫ: А что вы имеете ввиду под Эшелоном и мусорным трафиком? Шутку с корреляцией объемов загрузки?
      Не думаю что если такая тяжелая артиллерия пойдет в ход, то мусор поможет… Тут уже как минимум без зомбаков и разделения каналов не обойтись… Ну и физической защиты точки входа конечно (типа через бесплатный вайфай сидеть...)
      • +1
        Ой. Развивайте в себе паранойю. По крайней мере, если уж беретесь называть посты (не будем про калибр поста) такими громкими названиями.

        Эшелон работает не лично против Вас, он вообще работает. И частная компания, работающая в любой стране, использует общие каналы связи, так что как бы не случилось «ничего личного, но мы и Вас случайно проверили». Где данные всплывут — лучше нам с Вами никогда не узнать и не столкнуться. Мусор же даст только, что 100% времени по каналу летел одинаковый объем закриптованного трафика — это сильно сужает шансы на алгоритмическое связывание пиков вашего трафика и пиков трафика некой другой точки интернета.
      • +1
        В случае I2P расшифровывает только тот, кому трафик предназначен. Разумеется, если абонент внутри сети, а не через outproxy. Ну и в TOR тоже такая опция есть.
    • 0
      > случайным трафиком (как и каким — вопрос отдельный
      Узел I2P генерирует стабильный «мусорный» (на самом деле мусорным не являющийся) трафик.
      • 0
        Как вариант, можно и его. Но автор про OpenVPN пишет, как об откровении, я же говорю, что сам по себе шифрованный трафик еще не основание звать свой комп островком свободы :)
        • 0
          Автор, видимо, не озабочен вопросами анонимности, а всего лишь обхода цензуры, не скрывая сам факт обхода. И своей статьёй он данный вопрос раскрывает практически полностью.
          А про многофакторную анонимность в «обычных интернетах» я уже выкатывал отдельный пост.
  • 0
    Не мог бы уважаемый анон подсказать зарубежные VPS с просто ssh, iptables и 2-мя IP?
    Особенно бесплатные.
    IMHO — это будет проще всего.
    • 0
      >Особенно бесплатные.
      Это врятли будет. Минимально, но надо будет, что то платить.
      В основном идет ограничение по трафику.
      • –1
        В основном бесплатно только пробники на месяц, я как раз таким пользуюсь, его можно найти по ссылке в статье (ссылку на сам хостинг не выкладываю, ибо хабраэффект). Там есть и iptables, и tun (это же демо, они заинтересованы привлечь потенциальных клиентов)
        • 0
          Когда у меня была цель, находилось и недорогие платные VPS. Которые именно для ssh тунелей/vpn вполне подайдут :)
          • 0
            Я сам как-то видел американский за 3 евро в месяц с IPv6 и трафиком 5ТБ
  • –1
    нидерланды одна из самых «палевных» стран, а вовсе не безопасных.
    • –1
      Были нехорошие прецеденты?
      • –1
        были.
  • +2
    image
    • 0
      Хабраэффект сработал :)
  • –1
    А можно поподробнее как это далее использовать?
    Кроме того фраза «Вместо venet0 укажите интерфейс (привет ifconfig), который смотрит в интернет» требует дополнительной расшифровки…
    • 0
      Приведённая Вами фраза не требует доп. расшифровки. Странно. Посмотрел Ваш профайл. Давний Хабра пользователь, а нагуглить что такое «ifconfig» не догадались
      • –1
        Что такое ifconfig я знаю.
        Но вот системный администратор из меня как из доски гравицапа.
        Что такое venet0 и тоже ли это самое, что eth0 я не знаю.
        Я не могу с уверенностью сказать является ли в моем случае единственный интерфейс «cмотрящим в интернет», хотя подозреваю, что это так.
        Я не могу сказать при заполнении /etc/openvpn/easy-rsa/2.0/vars я ввожу местоположение vpn сервера или предполагаемое свое.

        Стыдно ли мне?
        Пожалуй нет.
        Да, я хотел бы взять учебник по сетям и os unix/linux и обновить знания, разобраться детально в том, как работает vpn и как его наилучшим образом настроить. Но я понимаю, что временной ресурс у меня ограничен. И я предпочту прочесть профильную статью, чем обновлять знания, которые мне понадобяться в достаточно редких случаях.
        Правильно ли это? Я не знаю. Честно. Но сейчас я делаю именно такой выбор.
        И предпочитаю задать этот вопрос тем, кто разбирается в системном администрировании несравнимо лучше, чем я.
        • +2
          Да, автор совсем на деталях не стал останавливаться. Возможно, стоило бы. Но можно и саму найти ответы на вопросы

          Что такое venet0 и тоже ли это самое, что eth0 я не знаю.

          Гугл подскажет:
          www.google.ru/search?q=venet0

          по первой же же ссылке ответ:
          OpenVZ создаёт в хост-системе и в каждом контейнере сетевой интерфейс venet0. Хост-система получает IP-адрес 192.0.2.1 и служит для контейнеров шлюзом по умолчанию:


          В общем, venet0 — это тот виртуальный интерфейс, который появляется на арендованной VDS, если виртуализация основана на решении OpenVZ. И через этот интерфейс виртуалка общается с инетом, вместо привычного eth0.
          В отличных от OpenVZ решениях виртуализации интерфейс может быть иной
      • –1
        И нет, как после настройки VPN им воспользоватся (подключится именно через него) я тоже не знаю.
        И это безмерно меня печалит.
        Подскажите, пожалуйста.
        • +1
          Сделать шлюзом по умолчанию тот адрес, который закрепится за VPN туннелем, удалив предыдущий default gateway.
          Я так понимаю, что в терминах статьи этот адрес будет 192.168.1.1
          • 0
            Спасибо за пояснения.
  • 0

    А у кого есть опыт работы с openvpn на arm-устройствах в плане настройки openvpn на "скорость"?
    Режется втрое минимум, а то и впятеро..

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.