как сделать openvpn сервер
как сделать openvpn сервер
Как сделать OpenVPN сервер: полное руководство без прикрас
Подробный гайд: как сделать openvpn сервер — шаг за шагом, с защитой от утечек, DPI и советами по безопасности для пользователей в России.
как сделать openvpn сервер — вопрос, который задают тысячи пользователей в Рунете. Но большинство гайдов умалчивают о главном: ваш домашний или арендованный сервер может стать точкой сбора данных, если настроить его неправильно. Эта статья покажет не только команды, но и скрытые риски, реальные цифры потерь скорости и способы защиты от слежки даже при падении соединения.
Поднять свой OpenVPN — не просто «скопировать конфиг». Это решение для тех, кто хочет контролировать каждый байт трафика, а не верить обещаниям маркетологов. Ниже — всё, что нужно знать в 2026 году.
Почему «просто поставить OpenVPN» — плохая идея
Большинство инструкций начинаются с apt install openvpn и заканчиваются генерацией сертификатов. Но они не говорят:
- Ваш VPS-провайдер может хранить логи трафика (даже если вы — нет).
- По умолчанию OpenVPN использует UDP на порту 1194 — его легко блокирует DPI (глубокая инспекция пакетов) у провайдеров типа Ростелеком.
- Без настройки
redirect-gateway def1весь трафик не пойдёт через VPN. - DNS-запросы могут уходить напрямую к провайдеру, даже если IP скрыт.
- Kill switch — не встроен. При обрыве соединения трафик пойдёт в открытый интернет.
Это не теория. В 2024 году исследователи обнаружили, что 60% самонастроенных OpenVPN-серверов имели утечки DNS. Ещё 22% не блокировали IPv6, из-за чего часть трафика шла мимо тоннеля.
Как сделать openvpn сервер: пошаговая настройка на Ubuntu 22.04
Важно: Используйте VPS с чистой ОС. Лучше — в юрисдикции вне 14 Eyes (например, Нидерланды, Германия, Швейцария). Избегайте США, Великобритании, Австралии.
Шаг 1. Обновление системы и установка пакетов
sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa iptables-persistent -y
Шаг 2. Генерация PKI (инфраструктуры открытых ключей)
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
Отредактируйте vars — укажите страну (RU), город, организацию. Это важно для сертификатов.
Затем:
source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key
Шаг 3. Конфигурация сервера
Создайте /etc/openvpn/server.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
cipher AES-256-GCM
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Примечание:
AES-256-GCMбыстрее и безопаснее старогоAES-256-CBC.SHA256вместоSHA1— обязательное условие в 2026 году.
Шаг 4. Включение IP-пересылки и NAT
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Настройка iptables:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo netfilter-persistent save
Шаг 5. Запуск и автозагрузка
sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server
Чего вам НЕ говорят в других гайдах
Бесплатные OpenVPN-конфиги — ловушка
Многие сайты предлагают «бесплатные .ovpn-файлы». На деле — это прокси с логированием. В 2023 году Hola VPN продала данные пользователей рекламным сетям. Другие «бесплатные» сервисы внедряли JavaScript-трекеры прямо в веб-интерфейс.
Fake kill switch
Некоторые клиенты заявляют о наличии kill switch, но на деле он работает только в GUI. При запуске через терминал или на Linux — защита отключена. Проверяйте: отключите VPN и сразу откройте ipleak.net. Если IP виден — вы уязвимы.
Юрисдикция VPS имеет значение
Если вы арендуете сервер у DigitalOcean (США) или Hetzner (Германия), помните: по запросу суда данные могут быть переданы. В России такие запросы к зарубежным провайдерам почти бесполезны, но в рамках Five Eyes — нет.
Утечки через WebRTC и IPv6
Даже при идеальном OpenVPN браузер может раскрыть ваш реальный IP через WebRTC. Отключите его в Firefox (media.peerconnection.enabled = false) или используйте расширение uBlock Origin с фильтрами.
IPv6 часто остаётся незаблокированным. Добавьте в конфиг:
push "block-outside-dns"
И отключите IPv6 на клиенте, если не используете.
Нет perfect forward secrecy по умолчанию
OpenVPN поддерживает PFS через --tls-crypt или регулярную смену ключей. Без этого компрометация долгоживущего ключа раскроет весь архив трафика.
Сравнение: самоподнятый OpenVPN vs коммерческие провайдеры
| Сервис | Юрисдикция | Логи | Протоколы | Цена (₽/мес) | Реальная потеря скорости |
|---|---|---|---|---|---|
| Mullvad | Швеция | Нет | WireGuard, OpenVPN | ≈850 ₽/мес | 3–7% |
| Proton VPN | Швейцария | Нет (аудит) | OpenVPN, WireGuard | Бесплатный тариф | 5–12% |
| IVPN | Гибралтар | Нет | WireGuard, OpenVPN | ≈950 ₽/мес | 2–6% |
| NordVPN | Панама | Нет (аудит) | OpenVPN, NordLynx (на WireGuard) | ≈650 ₽/мес | 8–15% |
| Самостоятельный OpenVPN | Зависит от VPS | Только вы | OpenVPN | От 300 ₽/мес (VPS) | 10–25% (зависит от конфигурации) |
Примечание: Самостоятельный сервер дешевле, но требует времени на настройку, мониторинг и обновления. Коммерческие провайдеры часто проходят независимые аудиты (Cure53, Quarkslab), чего нет у частных решений.
Сценарии использования: кому это реально нужно?
Журналист в командировке
При подключении к Wi-Fi в аэропорту Домодедово ваш трафик шифруется. Без VPN провайдер или злоумышленник в сети может перехватить почту, мессенджеры, даже cookies.
Айтишник на кофеварке в кафе
Кофейня «Шоколадница» использует MikroTik с возможностью сниффинга. OpenVPN защищает от MITM-атак и подмены SSL-сертификатов.
Пользователь торрентов
В России раздачи торрентов часто мониторятся правообладателями. Через OpenVPN ваш IP скрыт. Но помните: если на VPS разрешены P2P, уточните это у провайдера (например, OVH разрешает, DigitalOcean — нет).
Обход блокировок Telegram и YouTube
Провайдеры типа МТС или Билайн блокируют по IP и SNI. OpenVPN прячет оба параметра. Для обхода DPI можно использовать obfsproxy или перенести трафик на 443/TCP.
Защита от утечек WebRTC
Даже если сайт заблокирован, браузер может отправить ваш IP через STUN-запросы. OpenVPN + отключённый WebRTC = полная изоляция.
Диагностика: как проверить, что всё работает?
- Подключитесь к OpenVPN.
- Зайдите на ipleak.net — должен отображаться IP вашего VPS.
- Проверьте DNS: должны быть указаны 8.8.8.8 или 1.1.1.1, а не dns.mts.ru.
- Отключите интернет на 5 секунд — трафик не должен «просочиться».
- Используйте
curl ifconfig.me— вывод должен совпадать с IP VPS.
Если что-то не так — проверьте iptables, resolv.conf и наличие IPv6.
Вывод
как сделать openvpn сервер — задача выполнимая, но требующая внимания к деталям. Вы получаете полный контроль над трафиком, но берёте на себя ответственность за безопасность, обновления и защиту от утечек. Это решение для тех, кто не доверяет «облачным» провайдерам и готов тратить время на настройку. Если же вам нужна простота и гарантированная no-log политика — лучше выбрать проверенный коммерческий сервис с аудитами. Но если вы всё же решили идти своим путём — следуйте инструкциям выше, проверяйте каждую строку конфига и регулярно тестируйте систему на утечки.
VPN замедляет интернет на сколько реально?
Потери зависят от протокола и нагрузки сервера. OpenVPN обычно «съедает» 10–25% скорости из-за шифрования и маршрутизации. WireGuard — 2–8%. На 100 Мбит/с это может быть разница между 75 и 95 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если провайдер ведёт логи — да. Если вы используете самоподнятый OpenVPN на VPS в юрисдикции без соглашений о выдаче данных (например, Нидерланды), то только при физическом доступе к серверу или утечке ключей.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. OpenVPN проверен годами, но медленнее. WireGuard — новее, быстрее, но его ключи статичны (если не использовать дополнительные меры). Для большинства пользователей WireGuard предпочтительнее.
Как проверить, не утекает ли мой IP/DNS через WebRTC?
Зайдите на browserleaks.com или ipleak.net. Если видите IP вашего провайдера (Ростелеком, МТС) или DNS-серверы провайдера — есть утечка. Отключите WebRTC в браузере или используйте kill switch.
Можно ли запустить OpenVPN на роутере Keenetic?
Да, но только на моделях с поддержкой Entware. Потребуется установка пакета openvpn через opkg и ручная настройка iptables. Убийца соединения (kill switch) придётся реализовывать скриптом.
Что делать, если OpenVPN не подключается после перезагрузки VPS?
Проверьте, запущена ли служба: systemctl status openvpn@server. Убедитесь, что файл конфигурации server.conf лежит в /etc/openvpn/. Разрешите IP-пересылку: echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf && sysctl -p.
Balanced explanation of how to avoid phishing links. Good emphasis on reading terms before depositing.