Создание «островка сетевой свободы» на основе VPS за 30 минут

В связи с вступлением в силу нашумевшего закона 149-ФЗ у многих хабравчан возник вопрос: а что будет дальше? Неужели в России появится аналог Великого Китайского Фаервола, который будет блокировать всё и вся? В данном туториале я хотел бы рассмотреть один из самых эффективных и безопасных способов обеспечения себе свободы информации — собственный VPS сервер, находящийся далеко за границей и связанного с вами с помощью зашифрованного VPN туннеля. В отличие от tor или i2p конфиденциальность передаваемой информации гарантированна, вряд ли кто-то будет пытаться расшифровать ваши данные или устраивать рейд на заграничный сервер (если конечно вы не хакер мирового масштаба).

Какой VPS выбрать?

Бесплатный :) Как это ни странно, но такие бывают, вот например список бесплатных VPS хостингов, который использую я. В основном это всё пробные варианты сроком на 1 месяц, но ничто не мешает через месяц выбрать другой пробный сервис, благо список большой. Но никто ничего не гарантирует, если вам нужно гарантированная конфиденциальность выбирайте платные сервера в Нидерландах, Чехии, Египте и других безопасных государствах. Но я выбрал американский сервер, во-первых он был самый удобный из халявных, а во вторых всё это затевалось не только для безопасности, но и для покупки Nexus 7 через Play Store (ещё одно полезное применение).
Также нужно смотреть на наличие «белого» IP адреса и способ виртуализации сервера. Последнее не столь важно в выбранном мной способе, но если с серверами c изолированным ядром (например KVM) проблем с недостающими модулями обычно не возникает, то если ядро общее и немодифицируемое (например OpenVZ) нужно связываться с техподдержкой (об этом ниже). И при регистрации систему лучше выбрать debian-подобную, она проще и инструкции ниже написаны для неё. Остальное на ваш вкус.

Установка и конфигурирование

На чтение первых двух абзацев, поиск и регистрацию VPS у вас ушло минут 15, осталось ещё столько же. После того как вы получили/оплатили vps сервер, нужно с ним что-то делать, а именно поднимать на нем VPN. Для этого я использовал OpenVPN — бесплатный, безопасный и быстрый в настройке. Если вы выбрали VPS на базе популярного OpenVZ — скорее пишите в ТП, чтобы вам включили модули для поддержки iptables, NAT и tun, первые два скорее всего уже есть, а вот tun вряд ли. Пока техподдержка работает (надеюсь она не будет так быстра и не перезагрузит VPS в критический момент, лично мне повезло), мы подключимся к нему, поставим и настроим OpenVPN:

apt-get install openvpn

Дальше есть два пути: быстрый и надежный

Путь быстрый

Этот способ использует статичный ключ-пароль, но он не отличается безопасностью. Генерируем ключ:

cd /etc/openvpn
openvpn --genkey --secret static.key

Сохраняем его к себе на компьютер (cat + Ctrl-V) и создаем конфиг /etc/openvpn/tun0.conf:

/etc/openvpn/tun0.conf: dev tun0 ifconfig 192.168.1.1 192.168.1.2 secret /etc/openvpn/static.key

 

Путь надежный

Этот способ активирует TLS/SSL шифрование на сервере, но он дольше в настройке. Скопируем кухню для создания ключей и сертификатов в папку с openvpn:

cd /etc/openvpn
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/
chmod -R +x easy-rsa/

Инициализируем скрипт:

cd easy-rsa/
source ./vars
./clean-all

Создадим CA сертификат и ключ, нас попросят ввести даные о сертификате, вводим любые, хоть фиктивные:

./build-ca

Создадим сертификат/ключ для сервера

./build-key-server server

Сгенерируем ключи для шифрования SSL/TSL соединения

./build-dh

И создадим ключи для себя:

./build-key myname

В папке /etc/openvpn/easy-rsa/keys теперь есть все необходимые ключи, для авторизации нам нужны только myname.crt, myname.key (свои сертификат с ключом) и ca.crt (сертификат CA)

Создадим и отредактируем вашим любимым текстовым редактором конфиг /etc/openvpn/tun.conf:

port 1194 proto udp # если нужна гарантированная доставка пакетов, исользуем proto tcp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt # созданные ключи cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # держать в секрете dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 192.168.1.0 255.255.255.0 # наша виртуальная подсеть, можно выбрать и другую ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo # Сжатие трафика, должно быть включено и у клиента persist-key persist-tun status /var/log/openvpn-status.log # собственно логи log /var/log/openvpn.log verb 3 # уровень болтливости логов push "dhcp-option DNS 8.8.8.8" # выдаем по умолчанию DNS сервер от гугла

 

Проверка

Теперь можно запустить OpenVPN сервер:

service openvpn start

Если всё успешно, то мы сможем подключиться к серверу, используя скачанные выше сертификаты и ключи (не забудьте LZO сжатие на клиенте, если включили на сервере!). А если нет, то в логах скорее всего будет что-то вроде
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory
Это означает, что техподдержка плохо работает и не включила нам tun модуль. А если всё хорошо, мы сможем пинговать VPS, но интернета ещё не будет, для этого нам нужен NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o venet0 -j SNAT --to-source SERVER_IP

Если вы выбрали другую подсеть, то укажите её вместо 192.168.1.0/24. Вместо venet0 укажите интерфейс (привет ifconfig), который смотрит в интернет, а вместо SERVER_IP укажите внешний IP адрес VPS. Теперь можно сохранить настройки iptables:

iptables-save > /etc/iptables.rules

В /etc/rc.local:

iptables-restore < /etc/iptables.rules

Поставить на автозагрузку openvpn и перезагрузить openvpn сервер:

update-rc.d openvpn defaults
service openvpn restart

Всё! Я же говорил, что мы управимся за 30 минут?