openvpn сервер настройка
OpenVPN сервер настройка: как поднять защищённый туннель за 20 минут и не наломать дров
Title: OpenVPN сервер настройка: пошаговый гайд с подводными камнями
Description: Настройка OpenVPN сервера с нуля — от генерации ключей до kill switch. Разбор рисков, сравнение протоколов, типичные ошибки. Готовьте сервер!
OpenVPN сервер настройка — процесс, который кажется сложным только на первый взгляд. На самом деле за час можно развернуть полноценный VPN, который не сольёт ваш трафик и не подведёт в самый ответственный момент. Но дьявол, как обычно, в деталях: неправильно выставленный MTU, забытый IPv6 или дефолтный порт могут свести на нет все усилия. В этом гайде разберём не только команды, но и скрытые грабли, о которых молчат в типовых инструкциях.
Почему OpenVPN до сих пор актуален, когда есть WireGuard?
WireGuard — быстрый, модный, но OpenVPN остаётся королём гибкости и обхода блокировок. Вот где OpenVPN выигрывает:
- Обход DPI (Deep Packet Inspection). Благодаря работе через TCP на порту 443 трафик OpenVPN неотличим от обычного HTTPS. WireGuard использует UDP, который на многих корпоративных файрволах и в сетях с цензурой (например, на блокировках Telegram в России) режут куда активнее.
- Поддержка на роутерах. Keenetic, Asus, MikroTik, OpenWrt — на всех можно поднять OpenVPN-сервер из коробки. WireGuard — только на прошивках с ядром 5.6+.
- Тонкая настройка параметров. OpenVPN позволяет регулировать компрессию, fragment size, tls-crypt, mssfix — это критично для нестабильных каналов (3G/4G). WireGuard «из коробки» не умеет фрагментировать пакеты.
Минусы: OpenVPN медленнее — теряет 10–20% скорости из-за накладных расходов на TLS и обработку пакетов. Но на дешёвых VPS с каналом 100–200 Мбит/с разница в 5–10 мс пинга незаметна.
Что вам понадобится для собственного сервера?
Железо (или «облако»):
- VPS с Ubuntu 22.04 LTS (Debian тоже подойдёт). Минимум 512 МБ RAM и 1 ядро — хватит для 5–10 пользователей. Цена: от $3.5/мес (≈350 руб.). Советуем брать у хостингов, нейтральных к VPN — Нидерланды, Германия, Финляндия. РФ-провайдеры могут заблокировать порты по требованию.
- Домен, если хотите Let’s Encrypt сертификат. Но для личного пользования хватит самоподписанного.
- Утилиты: openssl, easy-rsa, iptables, curl.
Разворачиваем OpenVPN сервер: пошаговый сценарий
Всё делаем на Ubuntu от root (или через sudo). Поехали.
1. Установка пакетов
apt update && apt upgrade -y
apt install openvpn easy-rsa iptables-persistent -y
2. Настройка PKI (инфраструктуры открытых ключей)
make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass # Создаёте CA, вводите common name (например, MyVPN)
./easyrsa gen-req server nopass # Ключ сервера
./easyrsa sign-req server server # Подписываете сертификат сервера
./easyrsa gen-dh
openvpn --genkey secret ta.key # Для tls-crypt
3. Конфигурация сервера
Создайте /etc/openvpn/server.conf:
port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-crypt /etc/openvpn/easy-rsa/ta.key
cipher AES-256-GCM
auth SHA256
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
verb 3
mssfix 1400
4. Настройка NAT и маршрутизации
sysctl -w net.ipv4.ip_forward=1
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
netfilter-persistent save
systemctl enable openvpn@server
systemctl start openvpn@server
5. Генерация клиентского сертификата и конфига
cd /etc/openvpn/easy-rsa
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
Создайте файл client1.ovpn:
client
dev tun
proto tcp
remote YOUR_SERVER_IP 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
key-direction 1
verb 3
mssfix 1400
<ca>
(вставьте содержимое ca.crt)
</ca>
<cert>
(вставьте содержимое client1.crt)
</cert>
<key>
(вставьте содержимое client1.key)
</key>
<tls-crypt>
(вставьте содержимое ta.key)
</tls-crypt>
Всё, конфиг готов к импорту на клиенте.
Настройка клиентов: .ovpn файлы и импорт
На Windows откройте OpenVPN GUI, кликните правой кнопкой и импортируйте конфиг. На Android — приложение OpenVPN Connect, на iOS — туннелируйте через OpenVPN Connect или WireGuard (если переделывать конфиг, но проще через openvpn).
Важно: сразу проверьте, что на клиенте отключён IPv6, иначе трафик может утекать по IPv6 в обход VPN. На Windows отключите IPv6 в свойствах сетевого адаптера, на Linux — в sysctl.
Чего вам НЕ говорят в других гайдах
1. Бесплатные VPN — это бизнес на ваших данных
Сервер обходится минимум $5/мес. Откуда бесплатный VPN берёт деньги? Продажа трафика и логов рекламным сетям, внедрение своих пикселей, а иногда — превращение вашего устройства в узел ботнета (как Hola VPN). Ни один честный бесплатный сервис не проработает долго без дохода.
2. Fake‑утечки DNS и WebRTC
Даже если вы настроили kill switch на OpenVPN (через iptables или встроенную опцию --redirect-gateway), на Windows есть «замечательная» особенность: если служба OpenVPN упадёт или зависнет, трафик пойдёт напрямую. Проверяйте через ipleak.net в открытом и закрытом состоянии VPN. Команда для Windows для принудительного kill switch (на случай если сервер отвалился) — это пакетный файл с блокировкой всего трафика кроме VPN-интерфейса. Но это уже высший пилотаж.
3. Логи по требованию и юрисдикция
Ваш VPS может находиться в юрисдикции 14 Eyes (США, Великобритания, Австралия и др.). Провайдер может быть обязан предоставить логи по запросу властей — даже если в политике написано «мы не логируем». На практике это редкость, но если вы настраиваете сервер для обхода блокировок в РФ, не используйте хостинг с серверами в Москве: порт 443 могут закрыть после первого же жалоба. Выбирайте «свободные» страны: Нидерланды, Швейцарию, Исландию.
4. Подделка kill switch
Некоторые OpenVPN GUI для Windows имеют галочку «Kill Switch», но она работает только при активном соединении. Если соединение разорвано (например, сбой сети), трафик снова становится прямым. Правильный kill switch — это настройка redirect-gateway в конфиге плюс iptables на сервере с правилами DROP для всего, что не идёт через tun0. Проверьте: при отключении VPN ваш сайт должен перестать загружаться.
5. Отсутствие независимых аудитов
OpenVPN — open source, поэтому код проверяют, но конкретная конфигурация сервера — ваша ответственность. Никто не гарантирует, что вы не опечатались в конфиге и не включили слабое шифрование. Используйте только AES-256-GCM и SHA256, забудьте про BF-CBC (Blowfish).
Таблица сравнения: OpenVPN vs WireGuard vs IKEv2
| Критерий | OpenVPN (TCP 443) | WireGuard (UDP 51820) | IKEv2 (UDP 500/4500) |
|---|---|---|---|
| Реальная скорость | 70–85% от канала | 90–97% от канала | 80–90% от канала |
| Обход DPI | Отлично (HTTPS‑подобный) | Плохо (лёгко детектится |
Easy-to-follow explanation of KYC verification. This addresses the most common questions people have. Good info for beginners.
Question: Is there a way to set deposit/time limits directly in the account? Clear and practical.