openvpn на vps сервере ubuntu

openvpn на vps сервере ubuntu

OpenVPN на VPS с Ubuntu: как собрать свой приватный тоннель

Подробный гайд: как настроить OpenVPN на VPS сервере ubuntu. Защити трафик от провайдера и обойди блокировки — делай сам, без посредников.

openvpn на vps сервере ubuntu — это не просто набор команд в терминале. Это способ взять под контроль свой интернет-трафик, уйти от слежки провайдера (Ростелеком, МТС или любого другого) и создать защищённый канал между твоим устройством и внешним миром. В этом материале разберём всё: от выбора хостинга до защиты от DNS-утечек и проверки kill switch. Без воды, с цифрами и честными предупреждениями.

Почему «свой» VPN безопаснее бесплатного (и даже многих платных)

Бесплатные сервисы — не благотворительность. Они зарабатывают на тебе. Как? Продажей логов, подменой рекламы, использованием твоего трафика для ретрансляции (как Hola в 2015 году). Даже некоторые коммерческие провайдеры из юрисдикций 14 Eyes обязаны хранить данные и передавать их по запросу спецслужб.

Когда ты разворачиваешь openvpn на vps сервере ubuntu, ты:

• Полностью контролируешь политику логирования (no-log по умолчанию).
• Выбираешь страну размещения вне 14 Eyes (например, Нидерланды, Финляндия, Германия).
• Сам задаёшь параметры шифрования — никаких устаревших RC4 или SHA1.
• Не зависишь от маркетинговых обещаний вроде «военная защита», которые не подтверждены аудитами.

Но есть нюанс: если VPS-провайдер ведёт логи соединений (время, IP), он может передать их по запросу. Поэтому выбирай хостинг с чёткой no-log политикой и оплачивай анонимно (криптовалютой или через приватные платёжные системы).

Чего вам НЕ говорят в других гайдах

Большинство инструкций заканчиваются на systemctl start openvpn. Но реальная безопасность начинается после этого.

Утечки WebRTC и DNS — даже при работающем OpenVPN

OpenVPN шифрует трафик между клиентом и сервером. Но браузер может игнорировать это и отправлять DNS-запросы напрямую провайдеру. WebRTC в Chrome и Firefox раскрывает реальный IP даже через тоннель. Проверь себя на ipleak.net и browserleaks.com/webrtc.

Решение:
- В конфигурации OpenVPN добавь block-outside-dns (Windows) и dhcp-option DNS 1.1.1.1.
- Отключи WebRTC в браузере или используй Firefox с media.peerconnection.enabled = false.

Kill switch — не всегда работает

Многие думают: «раз установлен OpenVPN — всё под защитой». Но при обрыве связи трафик может пойти в обход. Особенно на мобильных устройствах или при переподключении Wi-Fi.

Настоящий kill switch — это iptables-правила, которые блокируют весь трафик, кроме порта OpenVPN. Пример для Ubuntu-сервера:

iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A OUTPUT -j DROP

Это гарантирует: без активного тоннеля — нет интернета.

Юрисдикция VPS-провайдера важнее протокола

Даже AES-256-GCM с perfect forward secrecy не спасёт, если хостинг находится в США и получил subpoena. Провайдер может отключить твой сервер, скопировать диск или перехватить трафик на уровне сети.

Проверяй:
- Страну регистрации компании.
- Есть ли физический доступ к серверам (dedicated лучше, чем shared).
- Историю сотрудничества с властями (например, DigitalOcean часто исполняет DMCA).

Fake-аудиты и «no logs» на словах

Многие хвастаются «независимыми аудитами», но на деле это внутренние отчёты без подписи. Настоящие аудиты — от Cure53, Quarkslab, NCC Group. Они публикуются целиком и содержат список уязвимостей. Если провайдер ссылается на «аудит 2023 года», но не даёт PDF — это красный флаг.

OpenVPN vs WireGuard vs IPsec: кто быстрее и надёжнее?

Выбор протокола — ключевой этап. Вот как они сравниваются в реальных условиях (тесты на VPS с 1 Гбит/с):

Вывод:
- Для скорости и простоты — WireGuard.
- Для обхода цензуры — OpenVPN + obfs4proxy.
- Для корпоративной интеграции — IPsec.

Но помни: WireGuard пока не поддерживает динамические IP в клиентской части без дополнительных скриптов. OpenVPN остаётся самым гибким для кастомизации.

Пошаговая настройка OpenVPN на Ubuntu 22.04 (без скриптов-«чудо-решений»)

Используем официальный пакет openvpn и easy-rsa для генерации сертификатов. Никаких сторонних установщиков.

1. Подготовка сервера

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa iptables-persistent -y

1. Генерация PKI (инфраструктуры открытых ключей)

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

Правим vars:

export KEY_COUNTRY="NL"
export KEY_PROVINCE="Noord-Holland"
export KEY_CITY="Amsterdam"
export KEY_ORG="MyVPN"
export KEY_EMAIL="admin@example.com"
export KEY_NAME="server"

Генерируем:

source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

1. Конфигурация сервера (/etc/openvpn/server.conf)

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-GCM
auth SHA256
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

1. Включаем IP forwarding и NAT

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo netfilter-persistent save

1. Запуск и автозагрузка

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

1. Генерация клиента

cd ~/openvpn-ca
source ./vars
./build-key client1

Собираем .ovpn-файл:

cat > client1.ovpn <<EOF
client
dev tun
proto udp
remote ТВОЙ_IP_СЕРВЕРА 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
key-direction 1
verb 3
<ca>
$(cat keys/ca.crt)
</ca>
<cert>
$(cat keys/client1.crt)
</cert>
<key>
$(cat keys/client1.key)
</key>
<tls-auth>
$(cat keys/ta.key)
</tls-auth>
EOF

Split tunneling: когда не нужно проксировать весь трафик

Не все сервисы требуют анонимности. Например, банковские приложения или локальные ресурсы (NAS, принтеры) работают медленнее через VPN.

В OpenVPN это делается через route-nopull и ручную маршрутизацию:

route-nopull
route 93.184.216.34 255.255.255.255  # только example.com через VPN

Или на клиенте (Windows PowerShell):

Add-VpnConnectionRoute -ConnectionName "MyVPN" -DestinationPrefix "192.168.1.0/24" -PassThru

Проверка на утечки: что делать после настройки

1. Подключись к своему OpenVPN.
2. Зайди на ipleak.net — должен отображаться IP твоего VPS.
3. Проверь DNS: все запросы должны идти через 1.1.1.1 или 8.8.8.8.
4. Открой browserleaks.com/webrtc — реальный IP не должен светиться.
5. Отключи интернет на 10 секунд и включи обратно — убедись, что трафик не пошёл в обход (kill switch сработал).

Если видишь свой домашний IP — где-то ошибка в конфигурации или настройках ОС.

Сценарии использования: кому это реально нужно

Журналист в командировке
Публичные Wi-Fi в аэропортах и отелях — рассадник снифферов. OpenVPN шифрует весь трафик, защищая от MITM-атак и перехвата учётных данных.

Айтишник в кофейне
Ты подключаешься к GitHub, CI/CD, базам данных. Без VPN любой в той же сети может перехватить токены. Особенно если не используется 2FA.

Пользователь торрентов
Хотя торренты не запрещены в РФ, правообладатели массово отправляют уведомления провайдерам. Твой IP в списке раздачи = жалоба на тебя. Через VPS — IP хостинга, который не реагирует на такие запросы.

Обход блокировок Telegram или YouTube
Роскомнадзор блокирует по IP и SNI. OpenVPN маскирует оба параметра. Но будь готов: при массовом использовании одного IP его могут заблокировать. Решение — несколько VPS или смена порта на 443 (HTTPS).

Защита от DPI (Deep Packet Inspection)
Провайдеры в РФ используют DPI для анализа трафика. OpenVPN с UDP и obfs4proxy выглядит как обычный шум. Это особенно актуально при работе с запрещёнными ресурсами (по закону РФ).

VPN замедляет интернет — на сколько реально?

Зависит от протокола и расстояния до сервера. OpenVPN на UDP теряет 15–30% скорости. WireGuard — 2–5%. Если твой VPS в Амстердаме, а ты в Новосибирске, пинг будет 80–100 мс. Это нормально.

Меня найдёт спецслужба при использовании своего OpenVPN?

Если VPS в юрисдикции, сотрудничающей с РФ (например, США), и тебе предъявят обвинение — да, могут запросить логи. Но если сервер в Финляндии, оплачен биткоином, и ты не оставляешь цифровых следов (логин, email), шансы стремятся к нулю.

Технологии будущего🤖

WireGuard или OpenVPN — что безопаснее?

Оба используют современные алгоритмы. WireGuard проще, быстрее и имеет меньше кода (меньше уязвимостей). OpenVPN гибче и лучше обходит блокировки. Для большинства пользователей WireGuard предпочтительнее, если не нужна маскировка трафика.

Можно ли использовать OpenVPN на роутере Keenetic или Asus?

Да, если прошивка поддерживает OpenVPN-клиент (AsusWRT, OpenWrt). Загрузи .ovpn-файл, укажи логин/пароль или сертификаты. Но учти: слабые CPU (например, MT7621) не потянут AES-256 на скоростях выше 50 Мбит/с.

Что такое perfect forward secrecy и почему она важна?

Это когда каждый сеанс использует уникальный ключ шифрования. Даже если злоумышленник запишет весь трафик и позже получит главный ключ, он не расшифрует прошлые сессии. В OpenVPN это достигается через Diffie-Hellman (dh.pem).

🔐Защити свои данные

Бесплатный VPS для OpenVPN — реально?

Нет. Бесплатные VPS (Oracle Cloud Free Tier, Google Cloud) запрещают трафик VPN в ToS. Сервер заблокируют через 1–3 дня. Минимальная стоимость — $3–5/мес (Hetzner, Contabo, TimeWeb). Это цена за стабильность.

Вывод

openvpn на vps сервере ubuntu — это не просто техническое упражнение. Это осознанный выбор в пользу приватности, контроля и отказа от доверия к третьим лицам. Ты получаешь полностью настраиваемый тоннель без сбора данных, без geo-ограничений и без рисков, связанных с коммерческими VPN.

Но помни: безопасность — это процесс, а не разовое действие. Регулярно обновляй систему, меняй ключи каждые 6–12 месяцев, проверяй утечки и следи за юрисдикцией хостинга. Только так твой openvpn на vps сервере ubuntu останется надёжным инструментом в мире, где каждый байт под наблюдением.