свой vpn на ubuntu
свой vpn на ubuntu
Свой VPN на Ubuntu: как не подставить себя при настройке
свой vpn на ubuntu — это не просто строка в терминале. Это решение, которое может либо усилить вашу приватность до уровня «невидимки» в публичном Wi-Fi, либо, при неправильной конфигурации, выдать провайдеру и третьим лицам даже больше данных, чем без него. В этом гайде разберём всё: от выбора протокола до защиты от DNS-утечек и юридических ловушек, характерных для российского сегмента.
Почему «сделай сам» — не всегда безопаснее
Многие считают: если я сам поднимаю сервер на VPS, значит, полностью контролирую трафик. Это правда лишь отчасти. Да, вы выбираете ОС, протокол и политику логирования. Но:
- Хостинг-провайдер видит ваш IP и объёмы трафика. Даже если вы не сохраняете логи, провайдер (например, Hetzner, DigitalOcean) может хранить метаданные по закону своей юрисдикции.
- VPS — не физический сервер. Вы делитесь ресурсами с другими клиентами. При атаке side-channel (типа Spectre) возможна утечка данных между виртуальными машинами.
- Обновления безопасности — ваша ответственность. Забыли обновить ядро Ubuntu? Привет, эксплойт через уязвимость в WireGuard или OpenVPN.
Если вы ставите свой VPN ради экономии — подумайте дважды. Серьёзный VPS стоит от 500–700 ₽/мес. А качественный коммерческий VPN с аудитами и no-log policy — от 300 ₽/мес. Разница минимальна, но уровень защиты — разный.
Чего вам НЕ говорят в других гайдах
Большинство инструкций сводятся к «скопируй эти команды — и всё заработает». Но реальные риски остаются за кадром:
Бесплатные скрипты — трояны в обёртке
На GitHub полно «one-click-install» скриптов для WireGuard/OpenVPN. Многие из них:
- Подключают сторонние репозитории без проверки подписи.
- Отправляют данные о вашем сервере на внешние домены (например, stats.vpn-setup.example).
- Не настраивают firewall, оставляя порты открытыми для брутфорса.
Проверяйте каждый скрипт вручную. Или лучше — собирайте конфиг вручную.
«Kill switch» — не панацея
Даже если вы настроили iptables так, чтобы весь трафик шёл только через tun/tap-интерфейс, при перезагрузке или сбое демона правила могут сброситься. В этот момент ваш реальный IP уходит в сеть. Особенно критично при торрент-раздаче.
Решение: используйте systemd-сервис с ExecStartPre и ExecStopPost, который блокирует весь исходящий трафик до старта и после остановки VPN.
Логи «по требованию суда» — миф?
В России и странах 14 Eyes (США, Великобритания, Канада и др.) провайдеры обязаны хранить метаданные. Если ваш VPS арендован в Германии — она не входит в 14 Eyes, но сотрудничает с Europol. При запросе от российских спецслужб через международный запрос данные могут передать.
Fake-утечки: когда тест показывает «всё чисто», а на деле — нет
Сайты вроде ipleak.net проверяют WebRTC и DNS. Но они не видят:
- Утечки через IPv6 (если он включён, а в конфиге VPN — только IPv4).
- Утечки через NTP-запросы к локальному пулу.
- Утечки через приложения, которые игнорируют системные настройки (например, Telegram Desktop на Linux иногда использует прямое соединение).
WireGuard vs OpenVPN: цифры вместо слов
Выбор протокола — ключевой этап. Вот как они отличаются на практике в Ubuntu 24.04:
| Критерий | WireGuard | OpenVPN (UDP) |
|---|---|---|
| Шифрование | ChaCha20 + Poly1305 | AES-256-GCM или CBC |
| Пинг (до Европы) | +5–8 мс | +15–25 мс |
| Пропускная способность | 95–98% от исходного канала | 70–85% |
| Настройка | 10 строк в .conf | 30+ строк в .ovpn |
| Поддержка PFS* | Нет (статичный ключ) | Да (через TLS handshake) |
| Скрытность от DPI | Требует obfs4 или Shadowsocks | Может маскироваться под HTTPS |
*Perfect Forward Secrecy — свойство, при котором компрометация одного сеанса не раскрывает предыдущие.
Вывод:
WireGuard быстрее, проще и современнее. Но если вам критична PFS или нужно обходить DPI (глубокую инспекцию пакетов), OpenVPN с obfsproxy или Shadowsocks надёжнее.
Пошаговая настройка WireGuard на Ubuntu (без воды)
Требования: Ubuntu 22.04 LTS или новее, root-доступ, VPS с публичным IPv4.
- Установка
sudo apt update && sudo apt install wireguard resolvconf -y
Пакет resolvconf нужен для корректной подмены DNS.
- Генерация ключей
cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey
Никогда не копируйте приватный ключ за пределы сервера.
- Конфиг сервера (
/etc/wireguard/wg0.conf)
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <ваш_privatekey>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <публичный_ключ_клиента>
AllowedIPs = 10.0.0.2/32
Замените eth0 на ваш основной интерфейс (ip a покажет его имя).
- Включение IP forwarding
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
- Запуск и автозагрузка
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
- Клиентская конфигурация (Ubuntu)
Создайте /etc/wireguard/wg0-client.conf:
[Interface]
PrivateKey = <приватный_ключ_клиента>
Address = 10.0.0.2/24
DNS = 1.1.1.1, 8.8.8.8
[Peer]
PublicKey = <публичный_ключ_сервера>
Endpoint = ваш.vps.ip:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Запустите: sudo wg-quick up wg0-client.
Защита от утечек: что проверять ОБЯЗАТЕЛЬНО
-
DNS-утечка:
bash nslookup ya.ru
Ответ должен приходить от указанного вами DNS (1.1.1.1 или другого), а не от провайдера (Ростелеком, МТС). -
WebRTC-утечка:
Откройте browserleaks.com/webrtc. Должен отображаться IP вашего VPS, а не локальный. -
IPv6-утечка:
Если у вас включен IPv6, но в конфиге только IPv4 — трафик пойдёт напрямую.
Решение: либо отключите IPv6 (sysctl net.ipv6.conf.all.disable_ipv6=1), либо настройте туннель и для него. -
Утечка при отключении:
Выполнитеsudo wg-quick down wg0-clientи сразу зайдите на ipleak.net. Ваш реальный IP не должен появиться.
Сценарии использования: когда «свой vpn на ubuntu» — оправдан
- Работа из кафе или аэропорта
Публичные сети — рассадник MITM-атак. Свой VPN шифрует весь трафик, даже если сайт без HTTPS. Особенно важно для банковских приложений и корпоративных CRM.
- Обход блокировок (технически, не юридически)
Если YouTube или Telegram заблокированы провайдером (как было в 2018 году), трафик через ваш VPS в Германии или Финляндии обходит DPI. Но помните: в РФ использование средств для обхода блокировок может быть расценено как нарушение закона о связи.
- Торренты с минимальным риском
Если вы раздаёте контент, защищённый авторским правом, даже свой VPN не спасёт от претензий хостера. Но он скроет ваш IP от трекеров и других пиров. Главное — отключите DHT, Peer Exchange и Local Peer Discovery в клиенте.
- Корпоративный доступ к внутренним ресурсам
Поднимите WireGuard-сервер в облаке и настройте AllowedIPs = 192.168.10.0/24. Теперь вы получаете доступ к корпоративной сети так же, как из офиса.
Бесплатный VPN — почему это ловушка
Рассмотрим экономику:
- Аренда VPS с 1 ТБ трафика: ~600 ₽/мес.
- Стоимость канала 1 Гбит/с: от $50/мес у дата-центров.
- Поддержка, мониторинг, резервное копирование: ещё $20–30.
Бесплатный сервис не может покрыть эти расходы. Поэтому он:
- Продаёт ваши данные маркетологам.
- Встраивает рекламу в HTTP-трафик (MITM через поддельный сертификат).
- Использует ваше устройство как выходной узел для других пользователей (как Hola VPN в 2015 году).
В 2023 году исследователи обнаружили, что 7 из 10 бесплатных Android-VPN отправляли IMEI, список приложений и геолокацию третьим лицам.
Split tunneling: когда не весь трафик должен идти через VPN
Иногда нужно, чтобы только определённые приложения использовали туннель. Например:
- Telegram — через VPN (для обхода блокировки).
- СберБанк Онлайн — напрямую (для снижения задержки и соответствия требованиям банка).
В Ubuntu это делается через network namespaces или iptables с owner match:
Создаём namespace
sudo ip netns add vpn_only
Запускаем приложение в нём
sudo ip netns exec vpn_only telegram-desktop
Но проще использовать firejail или настроить маршрутизацию по UID.
Юридические нюансы в РФ: что можно и нельзя
- Использование VPN не запрещено. Закон не запрещает шифрование трафика.
- Обход блокировок — серая зона. Роскомнадзор может потребовать от провайдера ограничить доступ к вашему VPS, если он используется для массового обхода.
- Хранение логов на своём сервере — ваше право, но при запросе от правоохранительных органов вы обязаны предоставить данные (ст. 102 ФЗ-149).
Не рекламируйте свой сервер как «инструмент для пиратства» — это повышает юридические риски.
Вывод
«свой vpn на ubuntu» — мощный инструмент, но только если вы понимаете, как он работает под капотом. Самостоятельная настройка даёт контроль, но требует знаний в сетевой безопасности, iptables и управлении ОС. Если вы готовы тратить время на мониторинг, обновления и тестирование утечек — вперёд. Если же вам нужна «просто защита» без головной боли — лучше выбрать проверенный коммерческий сервис с прозрачной политикой no-log и независимыми аудитами. Помните: главная уязвимость — не в протоколе, а в человеке за клавиатурой.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard на VPS в Финляндии добавляет 5–10 мс пинга и снижает скорость на 2–5%. OpenVPN — на 15–30%. Если падение больше 40% — проблема в CPU VPS или перегруженном канале.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой VPS — да, через данные аренды (паспорт, карта). Если коммерческий VPN с no-log policy в юрисдикции вне 14 Eyes — шансы минимальны. Но абсолютной анонимности не существует: достаточно одной ошибки (логин в аккаунт без Tor, утечка WebRTC).
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии — оба используют проверенные алгоритмы. WireGuard проще, меньше кода → меньше уязвимостей. OpenVPN гибче: поддерживает PFS, маскировку под HTTPS, работу через TCP. Для большинства пользователей WireGuard предпочтительнее.
Нужно ли отключать IPv6 при использовании VPN?
Да, если ваш VPN не настроен на IPv6. Иначе часть трафика (особенно в новых приложениях) пойдёт напрямую через провайдера. Лучше отключить: sysctl net.ipv6.conf.all.disable_ipv6=1.
Можно ли использовать свой VPN для торрентов в РФ?
Технически — да. Юридически — рискованно. Если вы раздаёте контент, нарушающий авторские права, правообладатель может подать жалобу хостинг-провайдеру. Тот — запросить ваши данные у платежной системы. Анонимность не гарантируется.
Как проверить, работает ли kill switch?
Остановите VPN (sudo wg-quick down) и сразу выполните curl ifconfig.me. Если вернулся ваш реальный IP — kill switch не сработал. Настоящий kill switch блокирует ВЕСЬ исходящий трафик при отсутствии туннеля через iptables или nftables.
Комментарии
Комментариев пока нет.
Оставить комментарий