Грамадства1313

Як уласнымі рукамі стварыць VPN-сервер, які цяжка будзе заблакаваць — падрабязны гайд

У Расіі і Беларусі ўсё болей рэсурсаў заблакаваныя. А ў Расіі ўвогуле думаюць пра поўную забарону асноўных VPN-пратаколаў. Калі такое здарыцца і ў Беларусі, то ўсе папулярныя VPN папросту перастануць працаваць. Але ёсць рашэнні, якія могуць дапамагчы.

Як купіць сервер?

Пакуль карыстацца ВПНам — законна, але калі раптам ВПНы паставяць па-за законам, тады бяспечней купляць будзе з замежнай карткі ці праз крыптавалюты.

Тут ёсць вялікі спіс такіх сэрвісаў. 

Калі вы маеце магчымасць купіць сервер з замежнай карткі, то вам падыдзе сервіс ServerHunter, які дазваляе абраць з дзясяткаў тысяч правайдараў. Тут вы можаце абраць усе патрэбныя параметры сервера, што вам і давядзецца зрабіць.

Важна таксама, каб на серверы была віртуалізацыя KVM — некаторыя функцыі з іншымі тыпамі могуць не працаваць. Звярніце ўвагу і на тое, што вам патрабуецца сервер з не менш чым гігабайтам вольнай прасторы і, пажадана, гігабайтам аператыўнай памяці, а таксама з дастатковай прапускной магутнасцю. Пажадана, каб ён не меў абмежаванняў на ўваходны і выходны трафік, а таксама дастаткова магутны працэсар, каб размяркоўваць нагрузку.

Звярніце ўвагу — на пошту, якую вы пазначылі пры рэгістрацыі (у выпадку, калі набывалі VPS-сервер), прыйдзе першапачатковы пароль з імем карыстальніка root або вам выдадуць яго ў нейкім іншым выглядзе. Ён спатрэбіцца для наладжвання сервера.

Таксама вы можаце набыць сервер праз Google Cloud Platform, Amazon Web Services або DigitalOcean. Першыя два маюць таксама бясплатны пробны перыяд, за які вам не трэба плаціць за сервер, але агулам яны каштуюць даражэй, чым аналагі ад іншых платформаў на тым жа Serverhunt.

Outline і Amnezia — у чым розніца

Спачатку мы разглядзім гэтыя два серверы, створаных адмыслова для абыходу цэнзуры. Абодва сервісы — гэта платформы для стварэння ўласнага VPN-сервісу на базе проксі, якія выкарыстоўваюць тэхналогіі маскіравання трафіку і таму заблакаваць іх цяжэй. Але ў кожнага з іх ёсць нюансы і ў выпадку блакавання доступу, як у 2020-м, незразумела, які з іх будзе працаваць.

Outline створаны ў інкубатары Jigsaw. Гэты інкубатар запачаткаваны Google-ом. Адтуль ён атрымаў сваё першае фінансаванне. Сервіс працуе з адным пратаколам перадачы даных.

Outline прайшоў шэраг аўдытаў (1,2,3), якія даказалі, што ён больш-менш бяспечна сканструяваны і пры гэтым не мае доступу да трафіку карыстальнікаў.

Сярод мінусаў — для ягонай схемы работы сервіс запісвае IP-адрас вашага сервера і тое, колькі трафіку вы праз яго «прагналі». Гэта зроблена для таго, каб аптымізаваць працу сервераў самога Outline.

Але ў цэлым бяспецы Outline можна давяраць.

Amnezia створаны праграмістамі з Расіі. Стваральнікі сервісу фінансаваліся з НДА «Роскамсвабода» і «Цяпліцы сацыяльных тэхналогіяў», якія, здаецца, не паспелі замазацца ў скандалах.

Увесь код Amnezia адкрыты і даступны на Github. Год таму ён прайшоў аўдыт еўрапейскай кампаніі 7ASecurity, якая цалкам базуецца ў ЕС, пры падтрымцы міжнароднага фонда OpenTech Fund. Гэта не дазволіць стваральнікам сервісу ўставіць туды «жучкі» незаўважна для карыстальнікаў.

Ён дэкларуе, што не збірае аніякіх вашых звестак. Таксама не вядзе логаў.

Outline

Вось як усталяваць Outline.

Калі вы ўжо набылі сервер, то зайдзіце на сайт і спампуйце Outline Manager. Усталюйце, а пасля адкрыйце яе.

Першае акно Outline Manager. Абярыце тут ваш тып сервера

У нашым выпадку мы абіралі «Set up Outline anywhere», бо набылі сервер на іншым сервісе. Пасля гэтага вам адкрыецца радок, які трэба ўставіць на сервер.

Радок, які трэба «скарміць» вашаму серверу

Для таго, каб падключыцца да сервера, мы раім выкарыстоўваць ваш логін ды пароль, а таксама ssh, убудаваны ў любы камандны радок на Windows, Linux ды Mac. На Windows адкрыйце «Камандны радок» праз меню пуск або націсніце Win+R і ўвядзіце «cmd». На Mac зайдзіце ў меню Launchpad ды абярыце Terminal.

У камандным радку ўвядзіце каманду ssh root@*імя сервера* і націсніце Enter (так пасля ўсіх камандаў). Пасля гэтага камандны радок запытаецца, ці давяраеце вы серверу (націсніце Y і больш у вас перапытваць не будуць), а пасля — пароль ад уліковага запісу root (яго можна скапіраваць або ўвесці ўручную).

Пачатак падлучэння да сервера на Terminal у Mac

Пасля таго, як вы далучыліся, увядзіце каманду sudo apt update && sudo apt update — гэта трэба, каб абнавіць праграмнае забеспячэнне сервера. Калі сервер прапануе выдзеліць свабоднае месца пад абнаўленні, націсніце Y.

Пасля ўвода Y націсніце Enter

Пасля абнаўлення праграмнага забеспячэння лепш перазагрузіць сервер, увёўшы каманду reboot. Перазагрузка займае дзве-тры хвіліны і пасля можна перападлучацца да яго зноўку.

Пасля ўвядзення каманды reboot націсніце Enter

Пасля гэтага скапіюйце ў камандны радок каманду, патрэбную для ўсталёўкі Outline: sudo bash -c «$(wget -qO— https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh)». Пасля пачнецца ўсталёўванне і калі Outline будзе бракаваць нейкай праграмы для ўсталёўвання, давядзецца націскаць Y, каб дазволіць усталяванне.

У нашым выпадку не хапала Docker і трэба было даць дазвол на ўсталёўванне праграмы

Пасля ўсталёўвання ў камандным радку зялёным колерам будзе адзначаны той радок, які трэба скапіяваць у Outline Manager (на нашым скрыншоце замазаны і пачынаецца з apiUrl). Зрабіце гэта, а пасля ў Outline Manager націсніце Done. Пасля гэтага адкрыецца наступнае акно.

Акно Outline Manager, у які ўжо дададзены сервер

Цяпер вам трэба спампаваць кліент Outline з афіцыйнага сайта. Ён існуе для ўсіх папулярных платформаў і нават як плагін для Google Chrome. Пасля гэтага вярніцеся ў Outline Manager і націсніце значок «падзяліцца» (выглядае як ламаная лінія з трыма з'яднанымі між сабой кропкамі).

Так выглядае старонка «Падзяліцца» ў Outline Manager

Націсніце клавішу Copy access key і дашліце яго самому сабе ці чалавеку, для якога вы наладжваеце VPN. Пасля трэба ўвайсці ў кліент (на прыкладзе Android). Спачатку адкрыйце праграму. Калі вы скапіявалі ключ загадзя, то праграма адразу ўставіць яго ў радок дадавання ключа сервера, калі не, то скапіруйце яго і ўстаўце туды.

Усталёўваецца Outline максімальна проста: усталёўваецца Outline на прыладзе, капіююце ключ з інструкцыі і ўстаўляеце.

Меню дадавання сервера ў Outline

Пасля гэтага з'явіцца сервер. Усё, што вам трэба зрабіць, каб ён запрацаваў — націснуць «падключыцца» (Connect).

Так выглядае меню Outline з дадазеным у яго серверам

Пасля гэтага кружок стане зялёным, а таксама з'явіцца надпіс «падключана» (Connected).

Меню Outline, калі праграма падключаная да серверу

Калі вы не хочаце, каб пры аглядзе камп'ютара можна было адназначна сцвярджаць, што вы падключаліся да сервера, пасля наладжвання выдаліце файл known_hosts. У Windows ён знаходзіцца па шляху C:\Users\*імя_карыстальніка*\.ssh або ў іншай папцы — падрабязнасці ёсць тут. У Mac ён заўжды па адрасе /Users/*імя_карыстальніка*/.ssh/.

Таксама мае сэнс выдаліць праграму Outline Manager з вашага камп'ютара, бо яна можа даказваць, што менавіта вы адмініструеце сервер.

Калі на тым камп'ютары, дзе наладжвалі сервер, сляды гэтага выдаліць, на іншых прыладах ім усё адно можна будзе карыстацца.

Amnezia

Стваральнікі паспрабавалі «пазбавіць» карыстальнікаў ад таго, каб яны самастойна заходзілі на VPN-сервер. Замест гэтага пры рэгістрацыі прапануецца ўказаць звесткі вашага сервера, а ён наладзіцца самастойна. Стваральнікі Amnezia сцвярджаюць, што праграмы нікому не перадаюць гэтыя звесткі і гэта падобна на праўду, бо іначай гэта мусіла б ускрыцца.

Спачатку спампуйце кліент для вашай сістэмы і ўсталюйце яго. Пасля запусціце — адкрыецца акно кліента.

Галоўнае меню праграмы Amnezia

Націсніце «Наладзіць уласны сервіс» (Set up your own server) і адкрыецца наступнае акенца.

Наступнае меню наладжвання ўласнага серверу ў Amnezia

Тут трэба ўвесці адрас сервера (які вы ўжо ўводзілі падчас наладжвання Outline), імя карыстальніка root і пароль ад яго. Націсніце «Падлучыцца» (Connect). Калі праграма здолела падлучыцца да сервера, то адкрыецца новае акно.

Наступнае акно ў Amnezia

Тут вам трэба абраць «Запусціць інсталятар» (Run Setup Wazard). Калі ўсё добра, вас прапусціць на наступнае акенца.

Наступнае акно наладжвання Amnezia

Пасля гэтага вам прапануюць абраць «узровень цэнзуры ў вашай краіне». Паколькі Outline, які вы ўжо ўсталявалі, прапануе Shadowsocks, які заблакуюць першым ці адным з першых у выпадку сур'ёзных блакаванняў, то мы раім абіраць High censorship level.

Яшчэ адно акно наладжвання Amnezia

Далей вам прапануюць абраць, пад які рэсурс будзе маскавацца трафік OpenVPN over Cloak. Мы раім абраць нешта нейтральнае — rutube.ru, youtube.com, belta.by, maps.google.com або нешта такога кшталту. Націсніце «Далей» (Next) і пачнецца наладжванне сервера, якое зойме прыкладна 5—10 хвілінаў. Пасля гэтага адкрыецца новая старонка.

Старонка Amnezia пасля стварэння сервера

Цяпер вы можаце спакойна падключацца да яго, націскаючы на шэрую кнопку «Уключыць». Каб падзяліцца ключом для далучэння да сервера з іншымі, або падлучыцца да прылады, увайдзіце ў налады, націснуўшы кнопку ў верхнім правым куце.

Меню наладаў Amnezia

Націсніце «Падзяліцца падключэннем» (Share connection).

Меню «Падзяліцца падключэннем» кліента Amnezia

Цяпер націсніце «Share for Amnezia». Адкрыецца яшчэ адно акно.

Акно Share for Amnezia

Цяпер трэба націснуць «Згенераваць канфігурацыю». Пасля нядоўгага чакання з'явіцца ключ падключэння і QR-код. Апошні можна сфатаграфаваць са смартфона, код жа — скапіраваць або захаваць у файл для перасылкі.

Згенераваныя ключ і QR-код, у нашым выпадку — закрытыя чорнымі квадратамі

Пасля гэтага вы можаце падлучыцца да VPN, перайшоўшы ў яго са стартавага меню праграмы ў любым кліенце.

Зноўку — стартавае меню Amnezia

Тут можна як скапіяваць ключ, гэтак і імпартаваць. У мабільных версіях кліента ёсць таксама опцыя «Адсканаваць QR код» (Scan QR code).

Сярод іншых магчымасцяў праграмы — у наладах вы можаце праз налады сервера дадаць іншыя пратаколы (але, здаецца, пакуль хопіць і гэтага). 

Галоўная перасцярога, на якую варта звярнуць увагу — калі ў вас на камп'ютары будзе стаяць кліент Amnezia, з якога вы наладжвалі сервер, то гэта будзе адназначна ўказваць на тое, што вы ягоны адміністратар, а не проста карыстальнік. Магчыма, бяспечней будзе папрасіць стварыць яго сябра за мяжой або ставіць кліент на камп'ютары, да якога не дабяруцца сілавікі пры вобшуку.

Уласны «звычайны» VPN ці больш складаны сервіс для абыходу цэнзуры

У прынцыпе, вы можаце стварыць свой «звычайны» VPN-сервер. Вялікай перавагі, па вялікім рахунку, гэта не дае — у выпадку блакаванняў VPN, як цяпер у Расіі, гэты варыянт не будзе працаваць. Але распавесці пра яго варта.

Існуюць некалькі асноўных пратаколаў VPN і для кожнага з іх ёсць добрыя гайды. Сярод папулярных пратаколаў ёсць некалькі, раскажам троху пра тры найбольш вядомыя.

Першы — OpenVPN, «залаты стандарт» пратаколаў. Ён распрацоўваецца даўно і мае няшмат уразлівасцяў, падтрымліваецца ўсімі магчымымі аперацыйнымі сістэмамі і вельмі добра абаронены. Праўда, ён і адзін з самых складаных ва ўсталяванні — тут ёсць падрабязны гайд па ўсталёўванні праз скрыпт (пры выбары DNS мы раім абраць варыянт 1.1.1.1). Тут ёсць вялікі гайд па ўсталёўванні і наладах сервера OpenVPN без скрыпта — гэта больш бяспечны варыянт.

IKEv2, пратакол, распрацаваны Microsoft і Cisco з прыцэлам на высокую хуткасць з дастатковай бяспекай. Праблема ў тым, што кліенты для падлучэння да яго ёсць не ва ўсіх сістэмах (акрамя Windows). Вось гайд па ягоным наладжванні на серверы. 

Wireguard — самы новы, самы хуткі і параўнальна просты ў наладжванні. Але ён мае праблемы з прыватнасцю. Напрыклад, калі вы яго ўсталюеце на свой сервер, ён будзе весці там логі падключэнняў да перазагрузкі сервера (якая магчымая дэ-факта толькі ўручную). Таксама Wireguard назначае статычныя адрасы сервера кожнаму карыстальніку, што вельмі непрактычна. То-бок, ставіць яго варта з асцярожнасцю. Вось гайд па ўсталёўцы Wireguard на Ubuntu.

Акрамя іх, калі вы маеце сілы і жаданне, варта засвоіць і іншыя магчымасці. Да прыкладу, тут расказваецца, як стварыць уласны сервер v2ray для абыходу блакіровак. А ў гэтым артыкуле ёсць добрае апісанне таго, якія яшчэ сучасныя тэхналогіі існуюць і як імі скарыстацца. Ёсць яшчэ праект Geneva, які прапануе прааналізаваць трафік у заблакаваным асяроддзі, каб прапанаваць варыянт абыходу блакаванняў па «сцэнарах» унутры праграмы.

Можна паспрабаваць і браўзер TOR, пра які мы падрабязней пісалі ў нашым гайдзе па абыходзе цэнзуры.

Вынік

На жаль, на сёння існуе вельмі мала простых сервісаў па стварэнні ўласных сервісаў абыходу цэнзуры, якія патрабуюць мінімуму дзеянняў і ведаў ад карыстальніка. Нават Outline і Amnezia патрабуюць пэўных тэхнічных ведаў, хоць з'яўляюцца дэ-факта самымі простымі.

Але важна ведаць — сервісы абыходу блакаванняў мае сэнс вывучаць і наладжваць загадзя, бо ў момант блакавання будзе ўжо позна.

«Наша Нiва» — бастыён беларушчыны

ПАДТРЫМАЦЬ

Каментары13

  • Anatol Starkou
    23.09.2023
    Ніяк. я карыстаюся крутой прогай, за якую заплаціў, а аднойчы праз іншую убачыў свой IP.
    Так што КОМУ НАДО видят вас как в рентгене.
  • Этот как ево
    23.09.2023
    Идея в целом хорошая. Но хочу напомнить за что сейчас сроки дают - за донаты. Точно такие же вопросы возникнут к тем, кто с личной карты заплатит за сервис. Не стоит самостоятельно подымать проксик, нужен кто-то из друзей, который вне страны и оплатит. Не платите со своей карты беларуской, а то в дверь могут грубо постучать и берегите себя. Тольско крипта или дружественные земляки за кордоном.
  • Nezumu
    23.09.2023
    Рубрыка "наладка linux" на "нашай ніве"? Гэта вельмі нечакана

Кубракоў даводзіў, што міліцыянт Згірскі не датычны да банды налётчыкаў. Цяпер таго судзяць — пагражае да 20 гадоў3

Кубракоў даводзіў, што міліцыянт Згірскі не датычны да банды налётчыкаў. Цяпер таго судзяць — пагражае да 20 гадоў

Усе навіны →
Усе навіны

Навукоўцы атрымалі першую ў гісторыі выяву фатона5

У Лукашэнкі спыталі, як будуць абіраць нявесту для Колі14

Дызайнерка патлумачыла, чаму беларускія брэнды шыюць мала адзення плюс-сайз5

У Брэсце навабранец зрабіў прапанову дзяўчыне падчас прысягі3

Кітайскія хакеры маглі атрымаць доступ да тэлефонаў Трампа і звыш сотні топ-чыноўнікаў ЗША2

«Дынамалёт» не даляцеў да Калінінграда і вымушана вярнуўся ў Мінск2

Падарыў кватэру сваяку, а пасля пашкадаваў. Ці можна адмяніць дагавор?

Фірма, якая належала мадэлі з Мінска, адпраўляла ў Расію брытанскую вайсковую оптыку6

У 52 гады памёр лукашэнкаўскі прапагандыст Дзмітрый Крат16

больш чытаных навін
больш лайканых навін

Кубракоў даводзіў, што міліцыянт Згірскі не датычны да банды налётчыкаў. Цяпер таго судзяць — пагражае да 20 гадоў3

Кубракоў даводзіў, што міліцыянт Згірскі не датычны да банды налётчыкаў. Цяпер таго судзяць — пагражае да 20 гадоў

Галоўнае
Усе навіны →