linux сделать впн

linux сделать впн

Как на Linux сделать VPN правильно — без утечек и ловушек

Подробный гайд: linux сделать впн с нуля. Защита от слежки, обход блокировок и настройка WireGuard/OpenVPN без рисков.

linux сделать впн — задача, которая кажется простой до первого переподключения. На деле даже опытные пользователи теряют анонимность из‑за DNS-утечек, поддельных kill switch или выбора провайдера из юрисдикции 14 Eyes. В этом материале разберём всё: от базовой настройки до защиты от DPI и фейковых «бесплатных» сервисов. Акцент — на реальные риски и проверенные решения для российских условий: блокировки РКН, цензура Telegram и шпионаж через публичный Wi-Fi в кофейнях.

Почему «просто поставить OpenVPN» — это начало проблем

Многие руководства сводятся к одной команде: sudo apt install openvpn && sudo openvpn --config file.ovpn. Это работает — пока не случится одно из трёх:

1. DNS-запросы уходят мимо туннеля. Провайдер (Ростелеком, МТС) видит, какие сайты вы открываете, даже если трафик зашифрован.
2. При потере соединения весь трафик «вытекает» в открытый интернет. Без правильного kill switch вы скачиваете торренты под родным IP.
3. WebRTC в браузере раскрывает ваш реальный адрес. Особенно актуально в Firefox и Chrome под Linux.

Эти уязвимости не зависят от протокола. Они возникают из‑за неправильной конфигурации системы и игнорирования сетевого стека ядра Linux.

Чего вам НЕ говорят в других гайдах

Большинство инструкций молчат о главном: VPN — это доверенная треть сторона. Вы просто меняете одного наблюдателя (провайдера) на другого (VPN-сервис). Вот что скрывают:

• «No‑log» часто означает «мы не храним трафик, но сохраняем время подключения и IP». Такие данные достаточно для идентификации при запросе ФСБ или суда в США/Великобритании.
• Бесплатные VPN — это бизнес на ваших данных. Например, Hola VPN в 2015 году превратила пользователей в ботнет для продажи прокси-трафика. Аналогичные схемы работают и сегодня.
• Kill switch в клиентском приложении — не гарантия. При аварийном завершении процесса iptables-правила могут не примениться. Надёжнее — настроить политики на уровне ядра.
• Аудиты безопасности часто «косметические». Проверяется только клиентское ПО, но не серверная инфраструктура или практики хранения логов.
• WireGuard сам по себе не даёт анонимности. Он быстр и безопасен, но каждое подключение привязывается к статичному публичному ключу. Если сервер логирует его — вас легко идентифицировать.

Три сценария, где обычный VPN вас подведёт

1. Торренты в кафе на Ubuntu
   Вы подключились к Wi-Fi в «Кофемании», запустили Transmission и включили VPN. Кажется, всё в порядке. Но:
2. Если DNS уходит в сторону — провайдер кафе видит запросы к трекерам.
3. При обрыве связи Transmission продолжает раздавать файлы под вашим реальным IP.
4. WebRTC в браузере может раскрыть адрес, если вы параллельно зашли на торрент-трекер.

Решение: Используйте split tunneling только для торрент-клиента + принудительные iptables-цепочки + отключение WebRTC.

1. Обход блокировки YouTube в регионах РФ
   YouTube периодически недоступен из‑за решений РКН. Простой VPN помогает, но:
2. Многие дешёвые сервисы используют IP, уже занесённые в чёрные списки.
3. Deep Packet Inspection (DPI) в российских сетях умеет распознавать OpenVPN-трафик по сигнатурам.
4. Бесплатные прокси и Shadowsocks часто замедляют видео до 144p.

Решение: WireGuard с obfuscation (например, через udp2raw) или использование Obfsproxy поверх OpenVPN.

1. Корпоративная защита на домашнем ПК
   IT-специалист хочет зашифровать трафик при работе с корпоративными Git-репозиториями. Ошибка — направлять ВЕСЬ трафик через VPN. Это:
2. Замедляет работу с локальными сервисами.
3. Может нарушить доступ к внутренним ресурсам (например, NAS в домашней сети).
4. Увеличивает нагрузку на канал.

Решение: Split tunneling по CIDR-маскам (только трафик в диапазон 10.0.0.0/8 идёт через туннель).

WireGuard vs OpenVPN vs IPsec: кто выживет в 2026?

Итог:
- Для скорости и простоты — WireGuard.
- Для обхода цензуры — OpenVPN с обфускацией.
- Для корпоративных сред — IPsec, если есть поддержка со стороны инфраструктуры.

Пошаговая настройка: как linux сделать впн без утечек

Шаг 1. Выбор протокола и провайдера
Откажитесь от бесплатных сервисов. Минимальные требования:
- Юрисдикция вне 14 Eyes (Швейцария, Панама, Сейшелы).
- Независимый аудит no-log политики.
- Поддержка WireGuard или OpenVPN с TLS 1.3.

Шаг 2. Установка (на Ubuntu/Debian)

Для WireGuard
sudo apt update && sudo apt install wireguard resolvconf

Для OpenVPN
sudo apt install openvpn openresolv

Шаг 3. Настройка конфигурации
WireGuard (/etc/wireguard/wg0.conf):

[Interface]
PrivateKey = ваш_приватный_ключ
Address = 10.6.0.2/24
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = публичный_ключ_сервера
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

OpenVPN: положите .ovpn в /etc/openvpn/client/ и добавьте:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Шаг 4. Блокировка утечек через iptables
Создайте скрипт /usr/local/bin/vpn-killswitch.sh:

#!/bin/bash
IFACE="wg0"  # или tun0 для OpenVPN
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o $IFACE -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT  # локальная сеть
iptables -A OUTPUT -d 10.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -d 172.16.0.0/12 -j ACCEPT

Запускайте его до подключения к VPN.

Шаг 5. Проверка утечек
- DNS/WebRTC: ipleak.net, browserleaks.com/webrtc
- IP-адрес: curl ifconfig.me
- Трафик вне туннеля: sudo tcpdump -i any not port 51820 (для WireGuard)

Если видите запросы к 8.8.8.8 или вашему провайдеру — конфигурация некорректна.

Бесплатный VPN — почему это ловушка (цифры и факты)

Стоимость аренды одного выделенного сервера в Европе — от $5/мес. Пропускная способность — 1 Гбит/с. Чтобы обслуживать 10 000 пользователей, нужно минимум 10 серверов → $50/мес.

Бесплатный сервис не покрывает эти расходы. Откуда деньги?
- Продажа трафика: ваш трафик используется как прокси для рекламных ферм.
- Сбор метаданных: время подключения, объём трафика, список доменов.
- Подмена рекламы: в HTTP-трафик встраиваются баннеры (MITM-атака).

В 2023 году исследователи обнаружили, что 7 из 10 популярных бесплатных Android-VPN передавали данные в Китай. В Linux такие приложения встречаются реже, но опасность остаётся: многие «open source» клиенты содержат закрытые бинарные модули.

Split tunneling: как направлять только нужное через VPN

Иногда хочется, чтобы только торренты шли через туннель, а остальное — напрямую. В Linux это делается через маршрутизацию по UID или таблицам.

Пример для Transmission (работает от пользователя transmission-daemon):

Создаём отдельную таблицу
echo "200 transmission" >> /etc/iproute2/rt_tables

Добавляем маршрут через VPN только для этого UID
ip rule add uidrange 120-120 table transmission
ip route add default dev wg0 table transmission

Запрещаем этому UID использовать основной интерфейс
iptables -A OUTPUT -m owner --uid-owner 120 ! -o wg0 -j REJECT

Теперь только процессы от transmission-daemon используют VPN. Всё остальное — напрямую.

Защита от DPI в российских сетях

Роскомнадзор использует оборудование Sandvine и Huawei для анализа трафика. OpenVPN по UDP на стандартном порту 1194 часто блокируется.

Решения:
1. Смена порта на 443 (TCP) — имитация HTTPS.
2. Obfsproxy — оборачивает трафик в случайные данные.
3. udp2raw — преобразует UDP в TCP/FakeTCP, обманывая DPI.
4. Shadowsocks — легковесный прокси с шифрованием, но требует своего сервера.

Для WireGuard эффективна только смена порта на 53 (DNS) или использование xudp (экспериментальный obfuscator).

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и расстояния до сервера. WireGuard добавляет 3–8 мс пинга и снижает скорость на 3–5%. OpenVPN — 15–40 мс и 20–30% потерь. Если потеря больше 50% — проблема в перегруженном сервере или DPI.

Меня найдёт спецслужба при использовании VPN?

Если VPN-провайдер находится в юрисдикции 14 Eyes (США, Великобритания и др.) и хранит логи — да. При наличии судебного запроса он обязан передать данные. В Швейцарии или Панаме таких обязательств нет, но нельзя исключать взлом серверов.

📖Свобода информации

WireGuard или OpenVPN — что безопаснее?

С точки зрения криптографии — оба используют современные алгоритмы. WireGuard проще, меньше кода → меньше уязвимостей. OpenVPN гибче в обфускации, что критично в странах с цензурой. Для России предпочтителен OpenVPN с обфускацией или WireGuard на нестандартном порту.

Нужно ли отключать IPv6 при использовании VPN?

Да, если ваш провайдер или VPN не поддерживают IPv6. Иначе запросы могут уходить напрямую через IPv6, минуя туннель. Отключите: sysctl -w net.ipv6.conf.all.disable_ipv6=1.

Можно ли использовать VPN на роутере с OpenWrt?

Да, и это лучший вариант: весь трафик в доме защищён. Установите пакет wireguard-tools или openvpn-openssl, загрузите конфиг и настройте firewall. Не забудьте про kill switch через iptables в цепочке FORWARD.

⚙️Технология доступа

Что делать, если после отключения VPN пропал интернет?

Скорее всего, остались правила iptables от kill switch. Сбросьте: iptables -P OUTPUT ACCEPT && iptables -F. Чтобы избежать этого, используйте скрипты с автоматическим восстановлением правил при отключении туннеля.

Вывод

linux сделать впн — это не просто установка пакета и запуск конфига. Это комплексная задача по защите от утечек, обходу DPI и выбору доверенного провайдера. В условиях России особенно критичны: DNS-фильтрация РКН, слежка провайдеров и блокировки мессенджеров. WireGuard идеален для скорости, но OpenVPN с обфускацией надёжнее против цензуры. Главное — не верить обещаниям «полной анонимности» и всегда проверять утечки через ipleak.net. Настройка split tunneling и kill switch на уровне ядра превращает ваш Linux в fortress без компромиссов.