Двойной vpn в один клик. как легко разделить ip-адрес точки входа и выхода

Поведение клиента AnyConnect при приостановке работы системы

Доступна функция перемещения, которая позволяет AnyConnect подключаться повторно после выхода компьютера из режима сна. Клиент продолжает попытки до тех пор, пока не истечет тайм-аут сеанса или тайм-аут по неактивности. Клиент также не отключает туннель сразу после перехода системы в режим гибернации или в режим ожидания. Для клиентов, которым не требуется эта функция, рекомендуется задать более низкое значение тайм-аута сеанса, чтобы предотвратить повторное подключение при выходе из режима сна/возобновлении работы.

Поведением AnyConnect при автоматическом повторном подключении можно управлять с помощью XML-профиля AnyConnect, используя следующую настройку:

       <AutoReconnect UserControllable="true">true         <AutoReconnectBehavior>ReconnectAfterResume</AutoReconnectBehavior>       </AutoReconnect>

После внесения этого изменения AnyConnect попытается выполнить повторное подключение при выходе компьютера из режима сна. Для параметра AutoReconnectBehavior по умолчанию задано значение DisconnectOnSuspend. Это поведение отличается от поведения AnyConnect вып. 2.2. Для повторного подключения после возобновления работы сетевой администратор должен настроить параметр ReconnectAfterResume в профиле или предоставить пользователям права для настройки параметра AutoReconnectBehavior в профиле.

Как ходить через VPN в отдельные сервисы

После того, как получилось подключиться к vpn, я дня два очень радовался, а потом выяснилось, что если подключаться к впн не из офисной сети, то не работает почта. Симптом знакомый, не правда ли?

Почта у нас находится в mail.publicevilcorp.com, а значит не попадает под правило в dnsmasq и адрес почтового сервера ищется через публичный DNS.

Ну а в офисе всё равно используется DNS, в котором этот адрес есть. То есть я так думал. На деле после добавления в dnsmasq строки

ситуация никак не изменилась. ip остался тот же. Пришлось мне ходить на работу.

И уже потом, когда я углубился в ситуацию и немного разобрался в проблеме, один умный человек подсказал мне как её решить. Нужно было подключаться к почтовому серверу не просто так, а через vpn

Я использую vpn-slice, чтобы ходить через VPN по адресам, которые начинаются с 192.168.430. А у почтового сервера не только символьный адрес не является поддоменом evilcorp, у него ещё и ip адрес не начинается с 192.168.430. И из общей сети он конечно никого к себе не пускает.

Для того, чтобы линукс ходил через VPN и к почтовому серверу, нужно добавить в vpn-slice и его. Допустим адрес почтовика- 555.555.555.555

Как предотвратить проникновение хакеров через общедоступную сеть WiFi?

Отключить автоматические подключения. Если вы регулярно пользуетесь каждым общедоступным WiFi-узлом, то можете случайно подключиться к сети. Сначала рекомендуется включить VPN и только потом использовать общую сеть.

Не входить в учетные записи. Не используйте общественный WiFi для доступа к аккаунтам, содержащим информацию конфиденциального характера. Если какой-нибудь хакер обнаружит незащищенную сеть, то получит и все ваши данные.

Отключить общий доступ к файлам и включить брандмауэр. Общий доступ к файлам необходим в домашней сети, но эту опцию нельзя использовать для публичных сетей. Также стоит убедиться, что ваше антивирусное программное обеспечение активно.

Установить надежный VPN. Эффективный VPN гарантирует сильное шифрование, хорошее покрытие и простую настройку. После его установки достаточно выбрать сервер и нажать на кнопку «подключиться» — так все ваши личные устройства будут полностью анонимны и защищены от вредоносных угроз.

Google

Как и другие социальные медиа-платформы, этот технологический гигант построил свой бизнес на трекерах и рекламе. Однако самое плохое в Google то, что он владеет огромным количеством различных платформ, и чем больше приложений вы используете, тем больше информации они собирают о вас. «Профиль пользователя», который они создают, довольно точен и включает в себя много личной информации, такой как ваше местоположение, возраст, пол, вещи, которые вы искали, видео, которые вы смотрели на Youtube. Google отслеживает ваше местоположение, даже если вы отключаете свои настройки.

Он использует технологию распознавания лиц для сканирования ваших фотографий, его роботы ползают по вашим документам Gmail и Google Drive, а Chrome отслеживает все веб-сайты, которые вы посещаете, и объявления, с которыми вы взаимодействуете. Эта информация используется для подачи вам объявлений

Ведущие протоколы VPN туннелирования

OpenVPN

Это очень популярный и безопасный протокол, используемый многими VPN провайдерами. Он работает либо по TCP, либо по UDP интернет-протоколу. Первые гарантируют, что ваши данные будут доставлены в полном объеме и в правильном порядке, а вторые будут сосредоточены на более высоких скоростях. Многие VPN позволят выбрать между ними.

Плюсы:

  • Открытый исходный код, это значит, что он прозрачный. Любой желающий может проверить код на наличие скрытых бэкдоров или уязвимостей, которые могут поставить под угрозу безопасность вашего VPN.
  • Универсальность. Он может использоваться с массивом различных протоколов шифрования и трафика, настроенных для различных целей, или быть настолько безопасным или легким, как вам это нужно.
  • Безопасность. Он может запускать практически любой протокол шифрования, что делает его очень безопасным.
  • Обходит большинство брандмауэров. Совместимость брандмауэра не является проблемой при использовании VPN, но может возникнуть, если вы когда-либо настроите свой собственный VPN. К счастью, с OpenVPN вы сможете легко обойти брандмауэр.

Минусы:

Сложная настройка. Его универсальность означает, что большинство пользователей могут зайти в тупик с выбором и сложностью, если попытаются создать свою собственную OpenVPN.

IPSec/IKEv2

Этот протокол закладывает основу для безопасного VPN соединения, устанавливая зашифрованное соединение. Он был разработан Microsoft и Cisco, чтобы быть быстрым, стабильным и безопасным. Протокол преуспевает на всех этих фронтах, но там, где он действительно блистает — это его стабильность.

Плюсы:

  • Стабильность. IKEv2 обычно использует инструмент IPSec, называемый протоколом Mobility and Multi-homing, который обеспечивает VPN-соединение при перемещении между подключениями к интернету. Эта возможность делает IKEv2 очень надежным и стабильным протоколом для мобильных устройств.
  • Безопасность. Являясь частью пакета IPSec, IKEv2 работает с большинством ведущих алгоритмов шифрования, что делает его одним из самых безопасных VPN.
  • Скорость. Он занимает небольшую полосу пропускания, когда активен, и его обход NAT делает подключение и обмен данными более быстрыми. Это также помогает ему обойти брандмауэры.

Минусы:

Ограниченная совместимость. IKEv2 не совместим со многими системами. Это не будет проблемой для пользователей Windows, так как Microsoft помогла создать этот протокол, но некоторые другие операционные системы будут нуждаться в адаптированных версиях.

Wireguard

Это новейший и самый быстрый протокол туннелирования, о котором говорит вся индустрия VPN. Он использует современную криптографию, которая затмевает нынешних лидеров-OpenVPN и IPSec/IKEv2. Тем не менее, он все еще считается экспериментальным, поэтому провайдерам VPN приходится искать новые решения для преодоления уязвимостей Wireguard.

Плюсы:

  • Бесплатный и с открытым исходным кодом. Любой пользователь может заглянуть в его код, что упрощает развертывание, аудит и отладку.
  • Современный и очень быстрый. Он состоит всего из 4000 строк кодов, что делает его «самым компактным» протоколом из всех существующих. Для сравнения, код OpenVPN содержит в 100 раз больше строк.

Минусы:

Незавершенный. Wireguard обещает стать «большим событием», но его реализация все еще находится на ранней стадии и требует многих улучшений. В настоящее время он не может обеспечить пользователям полную анонимность, поэтому провайдерам VPN необходимо найти пользовательские решения для обеспечения необходимой безопасности без потери скорости.

SSTP

Протокол Secure Socket Tunneling Protocol — это достаточно безопасный VPN протокол, созданный Microsoft. У него есть свои плюсы и минусы, а это означает, что каждый пользователь должен для себя решить, стоит ли использовать этот протокол. Несмотря на то, что SSTP в основном является продуктом Microsoft, он также доступен и на других системах, помимо Windows.

Плюсы:

  • Принадлежит компании Microsoft. Имея львиную долю рынка, вы можете быть уверены, что ваша ОС Windows будет поддерживать SSTP. Это также означает, что если вы попытаетесь настроить его самостоятельно, то это будет легко сделать, и вы можете рассчитывать на поддержку Microsoft.
  • Безопасный. Как и другие ведущие VPN, SSTP поддерживает протокол шифрования AES-256.
  • Обходит брандмауэры. SSTP может пройти через большинство брандмауэров, не прерывая вашу связь.

Минусы:

Принадлежит компании Microsoft, что означает, что код недоступен для тестирования в области безопасности. Некоторые пользователи подозревают, что система может иметь бэкдоры, поэтому многие VPN провайдеры избегают этого протокола.

Установите сервер WireGuard и создайте все необходимые конфигурации

Чтобы создать все необходимые конфигурации автоматически, вы можете использовать скрипт: wg-ubuntu-server-up.sh, который:

  • установит весь необходимый софт
  • настроит правила iptables и включит IPv4 forwarding
  • установит unbound в качестве dns resolver
  • создаст серверную конфигурацию и необходимое количество клиентских конфигураций
  • запустит WireGuard

Установите соединение с дроплетом через SSH и выполните следующие команды, чтобы скачать и запустить скрипт (используйте IP адрес вашего дроплета, вместо xxx.xxx.x.xx):

После выполнения скрипта, сервер WireGuard будет установлен, запущен и готов к работе с клиентами.

Признак корректного запуска WireGuard — после отработки скрипта, вы должны увидеть в консоли что-то похожее на:

Скрипт так же создаст 10 клиентских конфигураций , которые вы можете использовать по одной конфигурации для одного устройства (в один момент времени).

Конфигурации лежат в дроплете, в папке: $HOME/wireguard/

Замечание. Вы можете сконфигурировать WireGuard вручную, без использования скрипта, но тогда это не подходит под определение «быстро» и «без глубокого изучения документации». В следующей статье, если к этому будет интерес, я расскажу о происходящей внутри скриптов магии.

Замечание2. Вы сможете резонно заметить, что еще проще — использовать уже готовый образ в том же самом DO и не запускать никакие скрипты

Соглашусь, но обращу ваше внимание на то, что в предложенных скриптах всего 100 строк кода и легко проверить, что никакого криминала в них нет. В готовом образе это сделать сложнее

Замечание3. Команда для установки соединения с дроплетом (ssh) работает в *nix подобных операционных системах. Если у вас Windows, используйте winscp, PuTTY или другое подобное приложение.

Большинство VPN собирает ваши личные данные и продаёт их

Обычно VPN оценивают по скорости канала, числу каналов на одного пользователя, стоимости месячной подписки. Все это не наш случай. Мы же говорим о безопасности и защите?

Вопреки устоявшемуся мнению, популярность VPN является скорее нежелательным фактором. Больше хайпа = больше пристального внимания к сервису.

А программы лояльности и партнеры сервиса, предлагающие скидки-акции могут собирать личные данные пользователей.

Какие это будут данные? Сможет ответить только партнер, закупающий их. Фактический список данных не обрадует даже обычных пользователей.

Собственные логи, даже с мало-мальски значимой информацией, для настоящих исследователей в области компьютерной безопасности тоже представляют лакомый кусок: любые сбои, преднамеренные или в результате атаки, могут приводить к тому, что в них попадет что-то важное. Кроме того, при необходимости даже шифрованный трафик дешифруется, анализируется и даёт много интересной информации

Если у сервиса есть желание за вами следить, он сможет увидеть абсолютно всё, что вы пишете, ищете и делаете

Кроме того, при необходимости даже шифрованный трафик дешифруется, анализируется и даёт много интересной информации. Если у сервиса есть желание за вами следить, он сможет увидеть абсолютно всё, что вы пишете, ищете и делаете.

Что такое безопасность ngrok

Что такое ngrok? Как использовать ngrok? ngrok позволяет открывать локальные серверы за брандмауэрами, в общедоступный интернет через защищенные туннели. Инструмент требует нулевой конфигурации и поставляется с встроенным сетевым перехватчиком.

Туннелирование распространено уже много лет, большинство VPN также используют концепцию туннелирования для предоставления вам неограниченного доступа к веб-сайтам. Аналогично, ngrok создает безопасный туннель между общедоступным Интернетом и вашим сервером localhost. В принципе, вы можете сделать любой веб-сайт / веб-приложение / веб-сервис на // localhost: 8080 доступным через Интернет с помощью одной команды.

Большинство функций, предлагаемых ngrok, бесплатно использовать. И бесплатные лимиты достаточно хороши для промежуточного разработчика, который хочет проверить свое приложение. Хотя ngrok также предлагается как услуга, совершенно необязательно пропустить эту часть и напрямую загрузить инструмент и начать работу.

Как использовать ngrok

Вы можете зарегистрироваться для ngrok, и это бесплатно. Создание учетной записи позволит вам управлять всеми вашими активными туннелями из облачной информационной панели.

Как открыть локальный веб-сервер в Интернете

Создание туннеля на локальном веб-сервере или на любом сервере очень просто. Загрузите и распакуйте ngrok. Теперь откройте окно CMD / PowerShell и перейдите к папке, в которой находится расстегнутое содержимое.

Теперь выполните следующую команду, чтобы создать безопасный туннель на локальном сервере.

 ./ ngrok http 8080 

Где 8080 порт, на котором слушает ваш сервер. Если вы не уверены в номере порта, перейдите к номеру порта по умолчанию, равному 80.

Если вы хотите подключить этот экземпляр ngrok к своей учетной записи, перед выполнением вышеуказанной команды вы должны предоставить токен аутентификации. Для этого войдите в свою учетную запись ngrok. Получите свой токен авторизации оттуда, а затем выполните следующую команду в окне CMD.

 ./ ngrok authtoken your_token_here 

Это просто одноразовое действие и его не нужно повторять каждый раз.

ve создал туннель, ngrok отобразит общедоступный URL-адрес вашего сервера. Открытый URL-адрес является субдоменом ngrok.io и генерируется случайным образом. Вы даже можете создавать постоянные и легко читаемые настраиваемые поддомены, но для этого вам нужно перейти на платный план.

Я думаю, что URL-адреса по умолчанию достаточно хороши для тестирования вашего приложения. Вы должны рассмотреть возможность обновления только в том случае, если вы хотите что-то из класса производительности и стойкости.

ngrok Interceptor

ngrok также поставляется с встроенным перехватчиком, который можно открыть, открыв //127.0.0.1:4040 , Перехватчик позволит вам просмотреть все входящие сетевые запросы и их ответы. Перехватчик очень удобен, когда вы отлаживаете что-то или хотите просмотреть входящие запросы. Помимо перехватчика вы можете найти вкладку состояния. Эта вкладка позволит вам просмотреть всю информацию о вашем туннеле. Вы можете просмотреть статистику, например соединения, продолжительность подключения, HTTP-запросы, адреса серверов и протоколы.

С бесплатным планом вы можете создавать только один туннель за один раз. Рассмотрите возможность обновления, если вы хотите запустить несколько одновременных туннелей.

ngrok — полезный инструмент для разработчиков и энтузиастов. Он позволяет преобразовать существующий локальный сервер на общедоступный сервер, к которому можно получить доступ из любого места. Меня познакомили с этим инструментом в хакатоне. И ngrok может быть очень полезен в hackathons, демонстрациях, презентациях, тестировании мобильных приложений, интеграции в webhook и во всех тех случаях, когда вы хотите запускать приложение без его фактического развертывания. ngrok имеет право использовать, и туннели очень легко создавать, что позволяет больше сосредоточиться на разработке. Нажмите здесь , чтобы загрузить ngrok.

Способы подключения к VPN

К VPN можно подключиться с помощью специализированных сервисов, которые могут быть платными или бесплатными.

Несколько лучших платных сервисов:

  • Private Internet Access.
  • OpenVPN.
  • NordVPN.
  • SurfShark.
  • ExpressVPN.
  • UltraVPN.
  • StrongVPN.

Такую программу можно настроить на ноутбук, компьютер, макбук, планшет, телефон, смартфон и другие устройства. Платные сервисы можно настроить на нескольких приборах одновременно. Они стабильно работают и постоянно добавляют обновления.

Лучшие бесплатные сервисы:

  • ZenMate
  • HotspotShield.
  • ProtonVPN.
  • Windscribe.
  • hide.me.
  • TunnelBear.
  • OperaVPN — для браузера.
  • Speedify.
  • Betternet VPN.
  • VPNBook.

Все эти сети отличаются друг от друга количеством трафика, протоколами, локациями серверов, наличием или отсутствием обязательной регистрации и другими параметрами.

Важную роль играет совместимость сети шифрования и операционной системы. Есть сервисы, которые подходят ко всем устройствам, существуют, предназначенные только для компьютеров и ноутбуков, а есть программы только для iOS Android или macOS.

Некоторые VPN способны блокировать рекламу, что является для них большим преимуществом.

Есть платные и бесплатные сервисы

Почему вы предоставляли все бесплатно с 2016 по 2018 год, в чем подвох?

Подвоха нет, дело было в двух вещах.

Во-первых, мы, разработчики, сами являемся пользователями системы для своих квартир, дач и небольшого бизнеса. Мы понимаем, что денег на этой системе не заработать, однако, пользу она принести сможет.

Второй момент сугубо технологический. Сделать «анонимный» VPN-доступ в Интернет не сложно. В мире есть множество «анонимных» провайдеров VPN (анонимный, естественно, в кавычках). Однако, сложнее сделать так, чтобы пользователи попадали в свою собственную, не зависимую ни от кого, сеть. Эта технологическая задача и решалась нами в период реализации проекта и она до сих пор проходит тестирование.

Нам иногда приходится слышать: «Вот подключусь к вам и вы будете видеть мой трафик». Что тут ответить? Нам Ваш трафик не интересен. Вы можете шифровать его поверх наших туннелей, можете настраивать правила межсетевых экранов, можете делать все что захотите — нам это безразлично, мы лишь предоставляем вам транспортную сеть.

И да, мы не выпускаем ваш трафик из туннелей в Интернет, а значит через нас проходит не весь ваш Интернет трафик, а лишь тот, который вы сами решили отправить через ваши VPN соединения.

Чем приходится платить за безопасность в Интернете?

  1. Низкая скорость интернета. На дополнительное шифрование требуется время. Также часто трафик проходит большее расстояние, что связано с удаленностью расположения VPN-сервера.

  2. Периодический разрыв VPN-подключения, внезапный выход трафика в публичную сеть. Часто можно не заметить разрыв подключения и утечку данных, также VPN-соединение может не восстанавливаться автоматически, что не удобно. Во современных ОС на базе Windows предусмотрена функция VPN Reconnect. Если ее нет, то придется использовать особые программы или специальные настройки маршрутизации, которые контролируют VPN-соединение и в случае его разрыва сначала блокируют передаваемую информацию, закрывают приложения, потом обновляют VPN-подключение.

  3. К сожалению, IPv6 почти никогда не поддерживается VPN. Следовательно, когда в публичной сети используется IPv6, и в интернет-ресурсе он также поддерживается, трафик пойдет по умолчанию по открытой IPv6 сети. Чтобы такого не произошло можно просто отключить IPv6 в ОС.

  4. DNS-протечки: на практике часто DNS-запросы обрабатываются DNS-серверами публичной сети (а не виртуальной, защищенной). В случае их некорректного ответа можно получить поддельный адрес запрашиваемого домена. Так, ничего не подозревающие пользователи могут быть перенаправлены, например, на сайты мошеннических онлайн-банков. Также по DNS-серверам можно определить примерную геолокацию и интернет-провайдера пользователя.

  5. Присутствуют также разнообразные юридические аспекты. Во-первых, это отличия в законодательстве разных государств. VPN-клиент и VPN-сервер часто находятся в разных странах. Также трафик может проходить через третью страну транзитом. Таким образом существует возможность сохранить себе копию передаваемых данных для дальнейшей расшифровки и изучения.

Существует не только вопрос что шифровать, но и как. Далеко не все криптографические средства разрешены. Из-за этого производители сетевого оборудования (в том числе для организаций VPN) при экспорте в другие страны вынуждены отключать в своей продукции ряд алгоритмов шифрования, а также уменьшать максимально возможную длину ключа.

Проблема кроется еще и в том, что сами мировые стандарты шифрования могут быть уязвимыми. Так, в 2013 году NIST (The National Institute of Standards and Technology – организация, утверждающая стандарты шифрования в США) обвинили в том, что он разрешил включить в новый стандарт уязвимую версию генератора псевдослучайных чисел. Это позволило сильно упростить расшифровку информации, защищенной с применением этого генератора. Более того, составителей стандартов нередко обвиняют в сознательном усложнении описаний стандартов.

А законно ли вообще использовать VPN в России? В России действует закон Яровой, направленный против терроризма и экстремизма. С другой стороны его можно рассматривать как шаг в сторону регулирования и контролирования интернета, потому что этот закон обязует операторов связи хранить всю информацию о деятельности в интернете . Но если провайдер не сохраняет логи, то штрафовать будут его, а не конечных пользователей. Поэтому сейчас существует довольно много VPN-провайдеров, в том числе и бесплатных.

Что такое VPN?

VPN – Virtual Private Network – виртуальная частная сеть.

Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией

Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться

Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.

Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.

Автоматический ввод фиксированной части пароля

К текущему моменту вы скорее всего уже ввели пароль не менее пяти раз и эта процедура вас уже изрядно утомила. Во-первых, потому что пароль длинный, во-вторых потому что при вводе нужно уложиться в фиксированный временной промежуток

Окончательное решения проблемы в статью не вошло, но можно сделать так, чтобы фиксированную часть пароля не пришлось вводить по многу раз.

Положим, фиксированная часть пароля — fixedPassword, а часть из Google Authenticator 567 987. Весь пароль целиком openconnect можно передать через стандартный ввод с помощью аргумента —passwd-on-stdin .

Теперь можно постоянно возвращаться к последней введённой команде и менять там только часть из Google Authenticator.

Шаг 1. Создаем SSH-туннель между серверами.

Ну, что же. Приступим. У нас есть два сервера: Ubuntu-VPS и Ubuntu. На обоих уже установлена операционная система Ubuntu Server, а заодно и OpenSSH. На сервере Ubuntu-VPS желательно создать отдельного пользователя, который по своей настройке прав будет использоваться только и исключительно как пользователь для создания туннеля SSH. Каналы SSH хоть и надежны, но в случае компрометации сервера за NAT, злоумышленник сможет получить доступ и к VPS-серверу, если устанавливать туннель под каким-либо привилегированным пользователем.

При создании тоннеля необходимо помнить, что инициируется туннелирование всегда с того сервера, что располагается за NAT. Соответственно в нашем случае мы должны создавать туннель с сервера Ubuntu. Поэтому логинимся на сервер Ubuntu и проверяем способность его подключиться к серверу Ubuntu-VPS при помощи команды ‘ssh 192.168.1.16’. Где 192.168.1.16 есть адрес сервера Ubuntu-VPS.

Подключение по SSH от сервера за NAT к удаленному серверу

Если все хорошо и подключение установлено, то выходим из него через ‘exit’ и приступаем к созданию туннеля при помощи команды ‘ssh -N -R 8080:localhost:80 vlad@192.168.1.16’. Где, параметр ‘-N’ означает, что после создания туннеля никакая команда на той стороне не будет выполняться. Параметр ‘-R 8080:localhost:80’ означает, что создается так называемый обратный (reverse) туннель. 8080 означает, что входной точкой туннеля на удаленном сервере (в нашем случае это 192.168.1.16 или же Ubuntu-VPS) будет выступать порт 8080. Параметр ‘localhost’ означает адрес того сервера, чей порт будет пробрасываться. В нашем случае, когда используется ресурс с самого сервера можно использовать не только ‘localhost’, но и 127.0.0.1, либо же вообще прописать доменное имя или сетевой адрес нашего сервера Ubuntu. И последний параметр ‘vlad@192.168.1.16’ передает имя пользователя, под которым на удаленном (Ubuntu-VPS) сервере будет создан туннель, а так же и сам адрес (или доменное имя) удаленного сервера. Напомню, что пока мы находимся на сервере Ubuntu.

Устанавливаем SSH-туннель между сервером за NAT и внешним сервером

При подключении удаленный SSH-сервер запросит ввести пароль пользователя указанного для создания туннеля (в нашем случае это vlad). А после… После ничего происходить не будет, кроме как отображение мигающего стимула командной строки. Собственно тоннель уже создан и он работоспособен. Осталось только его проверить. Для этого подключаемся к серверу Ubuntu-VPS (на сервере Ubuntu установлен Apache2 со штатным конфигом) и запускаем команду ‘wget localhost:8080’

Проверка при помощи wget доступность ресурса сервера за NAT

Если все работает, то утилита wget скачает html-страничку доступную на 8080-порту сервера Ubuntu-VPS. Это значит, что SSH-туннель уже есть и он работает! И им уже почти можно пользоваться. Если попробовать подключиться к серверу Ubuntu-VPS на порт 8080 с основной машины или же из локальной сети, то скорее всего браузер вернет ошибку подключения. Как от нее избавиться будет пояснено в шаге 2. Но если в вашей установке браузер сразу же отобразит стандартную html-страничку Apache, то можно смело переходить к шагу 3.

Небольшое замечание по поводу номера порта. Почему я выбрал на Ubuntu-VPS порт 8080, а не 80? Ответ тут прост. Конечно же, можно было бы сформировать параметр и как ’80:localhost:80′, тогда страничка открывалась бы на стандартном порту, но использование портов с номерами ниже 1024 требует администраторских прав. Но ведь мы же не хотим создавать туннель с административным пользователем? Не хотим же? В крайнем случае, можно воспользоваться переназначением портов уже на Ubuntu-VPS, например, через IPTables.

Кстати, туннель можно запускать, не занимая терминальную сессию. Для этого можно применить ключ ‘-f’. В таком случае, после подключения и ввода пароля, ssh на машине-инициаторе туннель уйдет в фон и в этой же терминальной сессии можно будет продолжать работать как и прежде. Но, данный ключик доступен не во всех версиях SSH, поэтому попробуйте обновиться, если вдруг SSH будет ругаться на неверный ключ.

Есть разные алгоритмы шифрования VPN, чем они отличаются?

Основная масса VPN-сервисов предлагает одни и те же варианты шифрования: традиционный MS-CHAP и более современный AES.

MS-CHAP был создан ещё для Windows 3.1, поэтому поддерживается на аппаратном уровне практически любым существующим «железом» и самыми экзотическими операционными системами.

Надежность современных реализаций протокола проверена годами. Ложка дегтя: в традиционных версиях есть ряд известных уязвимостей. Их можно «залечить», но придется приложить руки.

Современные варианты MS-CHAP рекомендуются при аппаратном доступе к VPN на уровне маршрутизаторов и других сетевых устройств. Но только в реализации не ниже v2.

AES стал общепринятым стандартом только в 2002, однако его аппаратная поддержка так же существует — если не на уровне сетевой карты, то на уровне процессора.

Обеспечивает надежную защиту, не имеет крупных уязвимостей (хотя имеет ряд способов дешифровки).

Для базовых нужд достаточно 128-битного ключа, но при передаче данных особой важности требуется AES с длиной ключа 256 символов

Я хочу сделать это просто

В сети существует достаточно много статей о том, как настроить WireGuard, вот некоторые из них:

  • https://www.wireguard.com/quickstart/
  • https://www.stavros.io/posts/how-to-configure-wireguard/
  • https://grh.am/2018/wireguard-setup-guide-for-ios/
  • https://www.digitalocean.com/community/tutorials/how-to-create-a-point-to-point-vpn-with-wireguard-on-ubuntu-16-04
  • https://www.linode.com/docs/networking/vpn/set-up-wireguard-vpn-on-ubuntu/

Но что, если я просто хочу установить WireGuard, без глубокого изучения документации?
Я просто хочу наиболее простым и быстрым способом развернуть VPN сервер и начать использовать его.

Все что мне нужно от инфраструктуры:

  • 1 сервер
  • 5–10 клиентов для меня и моих близких

Ниже — инструкция, как сделать это быстро и просто.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Техноарена
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: