Навигация
Данный пост автоматически перенесён с предыдущего варианта сайта. Возможны Неизбежны ошибки.

Другая ссылка (но тоже, скорее всего, с ошибками 🤷‍♂️): https://zlonov.ru/clientless-vpn

Добавлено 28.02.2024
Основаниями для включения в Единый реестр (доменных имен, указателей страниц сайтов в сети “Интернет” и сетевых адресов, позволяющих идентифицировать сайты в сети “Интернет”, содержащие информацию, распространение которой в Российской Федерации запрещено) является наличие […]
«м) информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации».
Источник: Федеральный закон от 31.07.2023 № 406-ФЗ

{::comment}

Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям.

Добавлено 20.09.2021
Текущие условия для реферальной ссылки: Everyone you refer gets $100 in credit over 60 days.

Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу.

Вот что потребуется сделать, если быть кратким:

  1. Удостовериться, что вас не пугает командная строка.
  2. Создать аккаунт на Digital Ocean.
  3. Настроить IKEv2 VPN Server.
  4. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android.
  5. Наслаждаться персональным VPN-сервером за $5/месяц.

Первый шаг - регистрация на Digital Ocean

По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847

{% include one_image_new2.html picture_name="$50 на 30 дней" picture_path=“2019/2019-08-06-clientless-vpn/50for30.png” %}

Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту.

{% include one_image_new2.html picture_name=“Банковская карта или PayPal” picture_path=“2019/2019-08-06-clientless-vpn/Банковская-карта-или-PayPal.png” %}

Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security

{% include one_image_new2.html picture_name=“2FA” picture_path=“2019/2019-08-06-clientless-vpn/2FA.png” %}

Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04

Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов.

{% include one_image_new2.html picture_name=“Создание Droplet” picture_path=“2019/2019-08-06-clientless-vpn/Создание-Droplet.png” %}

На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц.

Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой.

Третий шаг - настройка VPN-клиентов

Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах.

Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection.

Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте.

C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare.

В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим.

В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN.

Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный.

Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =)

А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет.

{:/comment}