openvpn server на ubuntu
openvpn server на ubuntu
OpenVPN Server на Ubuntu: полный гайд с нуля
Установка openvpn server на ubuntu — это не просто «ещё один гайд по настройке». Это техническое решение, которое может защитить ваш трафик от перехвата провайдером, обойти цензуру или обеспечить безопасное подключение к корпоративной сети. Но только если вы понимаете, что делаете. Большинство инструкций в интернете останавливаются на базовой конфигурации и молчат о том, как легко всё сломать — или сделать бесполезным.
В этой статье мы пойдём дальше. Разберём не только установку, но и реальные угрозы, скрытые риски бесплатных решений, юридические последствия и технические детали, которые отличают рабочий сервер от «игрушечного».
Почему «просто поставить OpenVPN» — недостаточно
OpenVPN — проверенный, open-source протокол с поддержкой TLS 1.3, AES-256-GCM и perfect forward secrecy. Он работает поверх UDP или TCP, легко маскируется под обычный HTTPS-трафик и совместим с большинством устройств. Но его безопасность зависит от того, как вы его настраиваете.
Например:
- Если вы используете слабый алгоритм хеширования (
sha1) вместоsha256илиsha512, атакующий может подделать сертификат. - Если не настроены правила
iptables, весь трафик может идти мимо туннеля (утечка IP). - Если сервер находится в юрисдикции 14 Eyes (например, США или Великобритании), данные могут быть переданы спецслужбам по запросу — даже при наличии политики «no logs».
OpenVPN сам по себе не гарантирует анонимность. Он лишь шифрует канал между клиентом и сервером. Всё остальное — ваша ответственность.
Чего вам НЕ говорят в других гайдах
Большинство руководств по «openvpn server на ubuntu» обходят стороной ключевые моменты. Вот что они умалчивают:
- Бесплатные VPN-сервисы — это бизнес на ваших данных
Стоимость аренды одного VPS-сервера в Европе начинается от $3–5 в месяц. При этом бесплатные сервисы обслуживают миллионы пользователей. Откуда деньги?
— Сбор и продажа логов (IP, время подключения, объём трафика).
— Внедрение рекламы через DNS-подмену.
— Использование пользовательских устройств как прокси (как в случае с Hola VPN, который превратил пользователей в ботнет).
- «No logs» — маркетинговый термин, а не юридическая гарантия
Даже если провайдер заявляет «мы не храним логи», он может:
- Хранить временные логи для отладки (и передать их по запросу).
- Не иметь аудита независимой третьей стороной.
- Подчиняться законам страны регистрации. Например, NordVPN зарегистрирован в Панаме — вне 14 Eyes. А Surfshark — в Нидерландах, где действует GDPR, но также есть соглашения о взаимопомощи.
- Kill switch можно подделать
Некоторые клиенты имитируют работу kill switch, но на деле просто блокируют браузер, оставляя торрент-клиент или мессенджер без защиты. Реальный kill switch должен работать на уровне ОС (через iptables или Windows Filtering Platform).
- Утечки WebRTC и DNS — частая проблема
Даже при активном OpenVPN-туннеле браузер может раскрыть ваш реальный IP через WebRTC. То же касается DNS-запросов: если они идут напрямую к провайдеру, а не через туннель, вы теряете анонимность. Проверить это можно на ipleak.net или browserleaks.com.
- Сертификаты без отзыва — риск компрометации
Если вы не настроили CRL (Certificate Revocation List) или OCSP, скомпрометированный клиентский сертификат будет работать вечно. Это особенно опасно в корпоративной среде.
OpenVPN против WireGuard и IPsec: кто быстрее, кто надёжнее?
| Критерий | OpenVPN | WireGuard | IPsec/IKEv2 |
|---|---|---|---|
| Шифрование | AES-256-CBC/GCM, ChaCha20 | ChaCha20 + Poly1305 | AES, 3DES, SHA |
| Скорость (на 1 Гбит/с) | ~700 Мбит/с | ~950 Мбит/с | ~800 Мбит/с |
| Поддержка NAT | Да (через UDP) | Требует статического порта | Да |
| Размер кода | >100 000 строк | ~4 000 строк | Зависит от реализации |
| Аудиты безопасности | Cure53 (2019), OSTIF | Quarkslab (2020), NCC Group | Частичные (Cisco, StrongSwan) |
| Обход DPI | Да (через obfsproxy, stunnel) | Сложнее (меньше сигнатур) | Иногда блокируется |
| Юрисдикция разработки | США | Франция / США | IETF (международный стандарт) |
Вывод:
- Для максимальной скорости и простоты — WireGuard.
- Для совместимости со старыми устройствами и обхода цензуры — OpenVPN.
- Для корпоративных сетей с мобильными клиентами — IKEv2/IPsec.
Но помните: WireGuard пока не поддерживает динамическую смену IP (проблема при роуминге), а OpenVPN требует больше ресурсов CPU.
Сценарии использования: когда OpenVPN действительно нужен
- Работа из публичного Wi-Fi (кофейня, аэропорт)
Провайдеры и злоумышленники в открытых сетях легко перехватывают трафик. OpenVPN шифрует всё, включая логины в почту и банковские сессии. Особенно важно, если вы IT-специалист и подключаетесь к внутренним системам компании.
- Обход блокировок (Telegram, YouTube, сайты)
Роскомнадзор блокирует ресурсы по IP и доменам. OpenVPN позволяет выйти в интернет через сервер за границей. Но учтите: использование VPN для доступа к запрещённым в РФ материалам может повлечь административную ответственность (ст. 13.41 КоАП). Мы не призываем к нарушению закона — только объясняем техническую возможность.
- Торренты и P2P
Провайдеры («Ростелеком», «МТС», «Билайн») часто отправляют уведомления о нарушении авторских прав. OpenVPN скрывает ваш IP от раздачи. Однако:
- Не все серверы разрешают P2P.
- Некоторые провайдеры анализируют трафик и могут ограничить скорость при обнаружении BitTorrent-сигнатур.
- Защита от DPI (Deep Packet Inspection)
В странах с жёсткой цензурой (включая Россию) используется DPI для анализа содержимого пакетов. OpenVPN + TLS-обфускация (например, через obfs4) помогает маскировать трафик под обычный HTTPS.
- Корпоративный удалённый доступ
Компании используют OpenVPN для создания secure tunnel к внутренним ресурсам (CRM, базы данных). Здесь критичны:
- Двухфакторная аутентификация (2FA).
- Разделение прав доступа.
- Автоматический отзыв сертификатов при увольнении сотрудника.
Пошаговая настройка OpenVPN Server на Ubuntu 22.04
Предполагается чистая установка Ubuntu Server 22.04 LTS. Все команды выполняются от root или с
sudo.
Шаг 1. Обновление системы
apt update && apt upgrade -y
Шаг 2. Установка OpenVPN и Easy-RSA
apt install openvpn easy-rsa -y
Шаг 3. Создание PKI (инфраструктуры открытых ключей)
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
Отредактируйте vars:
nano vars
Укажите:
set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "Moscow"
set_var EASYRSA_REQ_CITY "Moscow"
set_var EASYRSA_REQ_ORG "MyOrg"
set_var EASYRSA_REQ_EMAIL "admin@example.com"
set_var EASYRSA_REQ_OU "IT"
Инициализируйте PKI:
./easyrsa init-pki
./easyrsa build-ca
(задайте пароль CA и Common Name, например MyCA)
Шаг 4. Генерация сертификата сервера
./easyrsa gen-req server nopass
./easyrsa sign-req server server
Шаг 5. Генерация Diffie-Hellman и TLS-ключа
./easyrsa gen-dh
openvpn --genkey --secret pki/ta.key
Шаг 6. Копирование файлов в /etc/openvpn/server/
cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key pki/dh.pem pki/ta.key /etc/openvpn/server/
Шаг 7. Настройка файла конфигурации
Создайте /etc/openvpn/server/server.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
cipher AES-256-GCM
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Шаг 8. Включение IP forwarding
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p
Шаг 9. Настройка iptables
ufw allow 1194/udp
ufw allow OpenSSH
Замените eth0 на ваш внешний интерфейс (ip a)
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables-save > /etc/iptables/rules.v4
Шаг 10. Запуск службы
systemctl enable --now openvpn-server@server
Шаг 11. Генерация клиентского профиля
Для каждого клиента:
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
Создайте .ovpn-файл:
client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
key-direction 1
verb 3
<ca>
(вставьте содержимое ca.crt)
</ca>
<cert>
(вставьте client1.crt)
</cert>
<key>
(вставьте client1.key)
</key>
<tls-auth>
(вставьте ta.key)
</tls-auth>
Как проверить, что всё работает — и нет утечек
- Подключитесь к серверу.
- Зайдите на ipleak.net:
- Ваш IP должен совпадать с IP сервера.
- DNS-серверы — те, что вы указали (
8.8.8.8,1.1.1.1). - Проверьте WebRTC на browserleaks.com/webrtc: реальный IP не должен отображаться.
- Запустите торрент-клиент и убедитесь, что раздача идёт с IP сервера (через трекер или
transmission-show). - Отключите интернет на 10 секунд и проверьте, не «выскочил» ли трафик в обход туннеля (kill switch).
Split tunneling: когда не нужно шифровать всё
Split tunneling позволяет направлять только определённый трафик через VPN. Например:
- Всё, кроме стриминговых сервисов (чтобы Netflix работал с локальным каталогом).
- Только корпоративные домены (*.company.local).
В OpenVPN это делается через route в клиентском конфиге:
route-nopull
route 192.168.10.0 255.255.255.0
Или на сервере — через push "route ...", но с фильтрацией.
FAQ
VPN замедляет интернет — на сколько реально?
Зависит от протокола и расстояния до сервера. OpenVPN на AES-256-GCM добавляет 10–30% задержки и снижает скорость на 15–40%. WireGuard — всего 5–10%. На 100 Мбит/с вы можете получить 60–85 Мбит/с через OpenVPN.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой сервер в юрисдикции, где вас могут запросить данные (например, РФ), — да. Если сервер в Панаме или Швейцарии, а вы не оставляете цифровых следов (логины, платежи), — крайне маловероятно. Но абсолютной анонимности не существует.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. WireGuard имеет меньший attack surface (меньше кода), но не поддерживает динамическую смену IP и сложнее маскируется под HTTPS. OpenVPN гибче в обходе блокировок, но медленнее.
Можно ли использовать OpenVPN бесплатно?
Да, если вы развернёте свой сервер на VPS (от 200 ₽/мес). Но бесплатные публичные VPN — почти всегда ловушка: они продают ваши данные или используют устройство как прокси.
Что делать, если OpenVPN не подключается?
Проверьте: 1) открыт ли порт 1194/UDP в фаерволе; 2) правильность сертификатов (Common Name, срок действия); 3) логи: journalctl -u openvpn-server@server; 4) MTU — иногда помогает mssfix 1200.
Нужно ли обновлять OpenVPN?
Да. Уязвимости находят регулярно (например, CVE-2022-39347). Обновляйте пакеты через apt upgrade или следите за релизами на GitHub. Лучше использовать LTS-версии Ubuntu — они получают патчи безопасности.
Вывод
Настройка openvpn server на ubuntu — это мощный инструмент для контроля над своим трафиком, но не волшебная таблетка от всех угроз. Без правильной конфигурации, понимания юрисдикции и регулярного мониторинга на утечки вы получите ложное чувство безопасности.
Если вы готовы потратить несколько часов на изучение принципов шифрования, настройку iptables и тестирование утечек — ваш сервер станет надёжным щитом. Если же вы ищете «быстрое решение» без технических знаний, лучше выбрать проверенный коммерческий VPN с независимым аудитом и прозрачной политикой логирования.
Помните: в информационной безопасности нет «установил и забыл». Есть постоянная гигиена, проверка и адаптация.
Good reminder about support and help center. The checklist format makes it easy to verify the key points.