установка и настройка openvpn сервера на ubuntu
установка и настройка openvpn сервера на ubuntu
Конечно. Вот готовая, полностью уникальная статья в требуемом формате Markdown.
Установка и настройка OpenVPN сервера на Ubuntu: гид без иллюзий
Подробный гайд: установка и настройка openvpn сервера на ubuntu с защитой от реальных угроз. Соберите свой сервер правильно — с первого раза.
установка и настройка openvpn сервера на ubuntu — это не просто копипаста команд из интернета. Это осознанный выбор в пользу приватности, когда вы контролируете каждый байт трафика. В этом руководстве разберём всё: от генерации сертификатов до защиты от DPI и реальных утечек, актуальных для пользователей в России.
Поднять свой OpenVPN-сервер на Ubuntu — значит перестать зависеть от коммерческих провайдеров, чьи политики конфиденциальности меняются чаще, чем погода в Петербурге. Но большинство гайдов упускают критически важные детали, из-за которых ваш «приватный» трафик может оказаться в открытом доступе.
Чего вам НЕ говорят в других гайдах
— Логи могут вестись даже на «чистом» сервере. Если вы не настроили rsyslog или journalctl на игнорирование сетевых событий, система сама запишет подключения.
— Бесплатные .ovpn-конфиги — ловушка. Многие сайты раздают файлы с подменёнными DNS-серверами, которые перенаправляют вас на рекламные страницы или фишинг.
— DPI в России умеет распознавать OpenVPN. Провайдеры вроде МТС применяют глубокий анализ пакетов. Обход — через TLS-crypt или перенос трафика на 443/TCP.
— WebRTC-утечки работают даже через VPN. Если в браузере не отключён WebRTC, он покажет ваш реальный IP через STUN-запросы. Firefox позволяет это заблокировать, Chrome — только через расширения.
— Kill switch требует ручной настройки iptables. Без правил DROP по умолчанию весь трафик уйдёт в интернет при обрыве соединения.
Кто и зачем вообще этим пользуется?
Вот реальные сценарии, где собственный OpenVPN спасает:
— Журналист в командировке подключается к своему OpenVPN-серверу, чтобы избежать слежки в отеле с публичным Wi-Fi.
— IT-специалист использует split tunneling: рабочий трафик идёт через корпоративную сеть, а остальное — через зашифрованный туннель.
— Пользователь торрентов перенаправляет весь P2P-трафик через OpenVPN, чтобы скрыть IP от правообладателей.
— Обход блокировки Telegram или YouTube через собственный сервер, расположенный вне юрисдикции Роскомнадзора.
— Защита от WebRTC-утечек: даже если браузер раскроет локальный IP, внешний останется скрытым благодаря правильной маршрутизации.
Как выбрать между своим сервером и коммерческим VPN?
Не все задачи требуют своего железа. Иногда проще взять проверенный сервис. Вот как они соотносятся по ключевым параметрам:
| Сервис | Юрисдикция | Логирование | Поддерживаемые протоколы | Цена в месяц | Реальная скорость |
|---|---|---|---|---|---|
| Самостоятельный OpenVPN на VPS | Выбираете сами | Нет (если настроено) | OpenVPN (UDP/TCP) | от 300 ₽ | 90–95% от канала |
| Mullvad | Швеция | No logs (аудит 2023) | WireGuard, OpenVPN | ≈650 ₽ | 85–90% |
| ProtonVPN (Free) | Швейцария | No logs (частичный аудит) | OpenVPN, IKEv2 | 0 ₽ | 40–60% |
| Hola Free VPN | Израиль | Да (продажа трафика) | Проприетарный | 0 ₽ | 30–50% + риски |
| ExpressVPN | Британские Виргинские острова | No logs (аудит Cure53) | Lightway, OpenVPN | ≈1200 ₽ | 88–92% |
Обратите внимание: бесплатные решения вроде Hola фактически превращают ваше устройство в прокси для других пользователей. В 2019 году это привело к участию тысяч российских IP в DDoS-атаках без ведома владельцев.
Техническая часть: установка и настройка openvpn сервера на ubuntu
Шаг 1. Подготовка системы
Обновите пакеты и установите зависимости:
sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa iptables-persistent -y
Шаг 2. Генерация PKI (инфраструктуры открытых ключей)
Создайте рабочую директорию и инициализируйте CA:
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
Отредактируйте vars, указав свои данные (страна, город, организацию). Затем:
source vars
./clean-all
./build-ca
Создайте серверный сертификат и ключ Диффи-Хеллмана:
./build-key-server server
./build-dh
Для клиентов — отдельные ключи:
./build-key client1
Важно: используйте
build-key-passдля парольной защиты клиентских ключей.
Шаг 3. Настройка сервера OpenVPN
Скопируйте сертификаты в /etc/openvpn:
cp ~/openvpn-ca/keys/{{server.crt,server.key,ca.crt,dh2048.pem}} /etc/openvpn/
Создайте конфиг /etc/openvpn/server.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 77.88.8.8"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Для обхода DPI добавьте в конец:
tls-crypt tls-crypt.key
И сгенерируйте ключ:
openvpn --genkey --secret /etc/openvpn/tls-crypt.key
Шаг 4. Включение IP forwarding и NAT
Разрешите переадресацию трафика:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Настройте iptables для маскарадинга:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo netfilter-persistent save
Замените
eth0на ваш основной интерфейс (ip aпокажет его имя).
Шаг 5. Защита от утечек
Отключите IPv6 в /etc/sysctl.conf:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
Перезагрузите sysctl:
sudo sysctl -p
Создайте kill switch через iptables:
Блокируем весь трафик, кроме OpenVPN
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -o tun+ -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Сохраните правила:
sudo netfilter-persistent save
Шаг 6. Запуск и тестирование
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server
Проверьте статус:
systemctl status openvpn@server
Для клиента создайте .ovpn-файл, включив в него сертификаты и ключи. Протестируйте утечки на ipleak.net и browserleaks.com/webrtc.
Split tunneling: как направлять только нужное через VPN
Хотите, чтобы торренты шли через VPN, а YouTube — напрямую? Настройте маршрутизацию по IP или доменам.
Пример для qBittorrent:
- В настройках укажите интерфейс
tun0. - Или используйте политику маршрутизации:
ip rule add from 10.8.0.2 table 100
ip route add default dev tun0 table 100
Где 10.8.0.2 — IP вашего клиента в туннеле.
WireGuard vs OpenVPN: стоит ли мигрировать?
WireGuard быстрее: на том же VPS он даёт на 15–20% больше скорости и потребляет меньше CPU. Но у него нет встроенной поддержки TCP fallback и TLS-crypt, что критично в сетях с агрессивным DPI (как в РФ). OpenVPN остаётся выбором для максимальной совместимости и обхода цензуры.
Вывод
установка и настройка openvpn сервера на ubuntu — это инвестиция в цифровой суверенитет. Вы получаете полный контроль над трафиком, но берёте на себя ответственность за безопасность. Не пропускайте этапы защиты от утечек, не забывайте про kill switch и регулярно обновляйте сертификаты. Помните: даже самый надёжный протокол бесполезен, если админка сервера доступна по SSH с паролем «123456». В России особенно важно учитывать особенности DPI и законодательства — технические возможности не отменяют юридических рисков.
VPN замедляет интернет на сколько реально?
При правильной настройке OpenVPN на современном VPS потеря скорости — 5–10%. На слабых устройствах (например, Raspberry Pi) — до 30%.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий сервис с логами — да, по запросу суда. Свою инфраструктуру вы контролируете сами, но помните: IP-адрес VPS привязан к аккаунту.
WireGuard или OpenVPN — что безопаснее?
Оба протокола криптографически надёжны. WireGuard быстрее и проще для аудита, OpenVPN — гибче в настройке и лучше обходит DPI.
Нужно ли отключать IPv6 при использовании OpenVPN?
Да. Если IPv6 включён, браузер может отправить DNS-запросы напрямую, минуя туннель. Отключайте его в системе или настройте через iptables.
Что такое split tunneling и зачем он?
Это разделение трафика: часть приложений идёт через VPN, часть — напрямую. Полезно для стриминга локального контента или снижения нагрузки на сервер.
Можно ли использовать OpenVPN для обхода блокировок в РФ?
Технически — да. Но учтите: использование средств для обхода ограничений может противоречить местному законодательству. Мы объясняем возможности, а не призываем к нарушениям.
Good reminder about max bet rules. The checklist format makes it easy to verify the key points.