настройка openvpn ubuntu

Настройка OpenVPN на Ubuntu: инструкция, о которой молчат гуру

Первое, что нужно знать перед настройкой OpenVPN на Ubuntu

Настройка OpenVPN Ubuntu — это не просто импорт файла .ovpn и нажатие «Подключиться». Если ты хочешь реально защитить трафик, а не просто поставить галочку «VPN включён», придётся копать глубже. Провайдеры вроде «Ростелекома» или «МТС» давно научились распознавать стандартные OpenVPN-соединения через Deep Packet Inspection (DPI). А бесплатные сервисы, которые предлагают «бесплатный VPN Ubuntu» — это чаще всего троян, маскирующийся под защиту.

В этом гайде мы не просто настроим OpenVPN, а закроем все дыры: утечки DNS, WebRTC, IPv6, настроим kill switch, разберёмся с выбором шифрования и сделаем так, чтобы ваш трафик не просочился наружу, даже если VPN отвалится.

Почему OpenVPN, а не WireGuard?

WireGuard быстрее (всего 5–10 мс дополнительной задержки против 15–30 мс у OpenVPN) и проще в настройке. Но у OpenVPN есть преимущества:

• Обход DPI: OpenVPN можно запустить на порту 443 через TCP, маскируясь под HTTPS.
• Гибкость: поддерживает tap-режим (bridge) для корпоративных сетей.
• Совместимость: работает даже на старых роутерах и девайсах.
• Множество алгоритмов шифрования: можно выбрать AES-256-GCM или ChaCha20 через сторонние патчи.

Однако OpenVPN тяжелее на CPU — на слабых устройствах (например, Raspberry Pi Zero) скорость может упасть до 20–30 Мбит/с. Если ваш канал быстрее 100 Мбит/с, лучше посмотреть в сторону WireGuard. Но для задач, где нужна маскировка трафика, OpenVPN остаётся королём.

Какие файлы конфигурации вам понадобятся

Обычно провайдер VPN присылает архив с файлами:
- client.ovpn — основной конфиг
- ca.crt — сертификат центра сертификации
- client.crt и client.key — клиентские сертификат и ключ (могут быть встроены в .ovpn)
- ta.key — ключ для TLS-аутентификации

Настройка OpenVPN Ubuntu начинается с того, что мы проверим подлинность этих файлов. Если ваш провайдер не предоставляет ta.key — это звоночек: его отсутствие делает возможной MITM-атаку.

Пошаговая настройка OpenVPN на Ubuntu — от установки до первого подключения

Установка OpenVPN и импорт конфигурации

Открой терминал и выполни:

sudo apt update
sudo apt install openvpn easy-rsa network-manager-openvpn-gnome

Второй пакет (network-manager-openvpn-gnome) даст графический интерфейс для импорта .ovpn через настройки сети. Но мы пойдём ручным путём — он надёжнее.

Скопируй свой .ovpn-файл в /etc/openvpn/client/:

sudo mkdir -p /etc/openvpn/client
sudo cp /path/to/your/config.ovpn /etc/openvpn/client/client.conf

Если в конфиге прописаны пути к сертификатам, перепиши их на абсолютные:

ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client.crt
key /etc/openvpn/client/client.key
tls-auth /etc/openvpn/client/ta.key 1

Теперь запусти тестовое подключение:

sudo openvpn --config /etc/openvpn/client/client.conf

Если в логах появилось `Initialization Sequence Completed» — всё работает. Жми Ctrl+C, отключай.

Настройка kill switch с помощью iptables

Большинство гайдов говорят: «поставь галочку kill switch в клиенте». На деле программный kill switch часто отваливается при переподключении или смене интерфейса. Надёжный вариант — правила iptables, которые блокируют любой трафик вне VPN-интерфейса.

Создай скрипт /etc/openvpn/client/killswitch.sh:

#!/bin/bash
# Разрешаем трафик только через интерфейс tun0 (VPN)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
# Разрешаем DNS-запросы к серверу VPN (если DNS через VPN)
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
# Разрешаем DHCP
iptables -A OUTPUT -p udp --dport 67:68 -j ACCEPT

Сделай файл исполняемым и добавь его запуск в up-скрипт OpenVPN. В файл client.conf добавь строки:

script-security 2
up /etc/openvpn/client/killswitch.sh
down /etc/openvpn/client/killswitch_down.sh

Не забудь создать скрипт killswitch_down.sh, который сбрасывает правила:

#!/bin/bash
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F

Этот kill switch не отвалится даже при краше OpenVPN, потому что утилита down срабатывает при любом завершении процесса.

Split tunneling: как пустить только нужный трафик через VPN

Иногда не нужно гнать весь трафик через VPN — только, например, торренты или доступ к заблокированному сайту. OpenVPN поддерживает routing policy.

Создай файл /etc/openvpn/client/split_tunnel.sh:

#!/bin/bash
# Добавляем маршрут только для подсети 10.0.0.0/8 (пример)
ip route add 10.0.0.0/8 dev tun0
# Или для одного IP
ip route add 5.255.255.119 dev tun0

А в конфиг пропиши:

route-nopull
script-security 2
route-up /etc/openvpn/client/split_tunnel.sh

route-nopull запрещает серверу заливать свои маршруты — ты сам решаешь, что направлять в VPN.

Автозапуск OpenVPN при старте системы

Если хочешь, чтобы VPN поднимался автоматически, используй systemd:

sudo systemctl enable openvpn-client@client
sudo systemctl start openvpn-client@client

Где client — имя твоего конфига без расширения. Убедись, что в конфиге не запрошен пароль (или используй файл с паролем auth-user-pass /etc/openvpn/client/auth.txt).

Чего вам НЕ говорят в других гайдах

Настройка OpenVPN Ubuntu в 2025 году — это минное поле. Вот о чём молчат даже «топовые» блогеры.

Бесплатные VPN — это ловушка

Аренда VPS для OpenVPN стоит минимум 500–700 руб/мес ($5–7). Если сервис предлагает бесплатно — он зарабатывает на тебе: продаёт трафик рекламным сетям, внедряет трекеры, а иногда и использует твой компьютер как выходной узел ботнета. Вспомни скандал с Hola VPN, когда пользователи стали участниками DDoS-атак.

Цена бесплатного — твои данные и уголовная ответственность. Даже условный Windscribe с 10 ГБ бесплатного трафика логирует твои действия по требованию суда. А в России суды выбивают логи из любого провайдера, зарегистрированного в стране.

Утечки DNS и WebRTC: как проверить

Даже если VPN подключён, запросы к DNS могут уходить через провайдера. Почему? Потому что в системе может быть прописан DNS от «Ростелекома», и твой браузер использует его, игнорируя DNS-сервера VPN.

Тест на утечку:
1. Зайди на ipleak.net или browserleaks.com.
2. Если видишь DNS-сервера, не принадлежащие VPN, — утечка.

Решение: принудительно задай DNS в конфиге OpenVPN:

dhcp-option DNS 10.10.0.1  # адрес DNS-сервера VPN
dhcp-option DNS 1.1.1.1     # резервный

И отключи IPv6 в системе (многие провайдеры VPN его не поддерживают, и трафик уходит напрямую):

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1

WebRTC — вообще отдельная боль. Даже с VPN, если ты откроешь страницу с WebRTC, браузер может определить твой настоящий IP через STUN-запросы. Используй расширения типа WebRTC Leak Prevent или просто отключи WebRTC в настройках браузера (about:config для Firefox).

Поддельный kill switch и логи по требованию

Многие «платные» VPN (особенно российские) рисуют в интерфейсе красивый тумблер «Kill Switch», но на деле он лишь отключает интернет при падении VPN через блокировку DNS или порта. Это не защищает от утечки в момент переподключения или если VPN упал на 1 секунду.

Ещё один сюрприз: VPN-провайдеры, зарегистрированные в России, обязаны хранить логи подключений (закон Яровой). Они могут не вести логи содержимого, но точное время, объём трафика и IP назначения фиксируются. Если к тебе придёт силовик — отдадут всё.

DPI и блокировки OpenVPN в России

С 2021 года Роскомнадзор активно борется с VPN, используя DPI. Стандартный OpenVPN на порту 1194 (UDP) блокируется почти мгновенно. Даже протокол OpenVPN over TCP на 443 (HTTPS) может быть заблокирован, если трафик слишком явно пахнет VPN (нестандартные handshake, отсутствие TLS-расширений).

Решения:
- Используй obfuscation (обфускацию) — например, через shadowsocks или OpenVPN с плагином --tls-crypt-v2.
- Поднимай OpenVPN на нестандартном порту (например, 53 для прикрытия DNS).
- Комбинируй с протоколом xray или v2ray для дополнительного слоя маскировки.

Сравнение VPN-решений для Ubuntu

Полезные ссылки

👉 Забери в Telegram-боте

🔥 Получи на сайте сайте