Jak ułasnymi rukami stvaryć VPN-siervier, jaki ciažka budzie zabłakavać — padrabiazny hajd

U Rasii i Biełarusi ŭsio bolej resursaŭ zabłakavanyja. A ŭ Rasii ŭvohule dumajuć pra poŭnuju zabaronu asnoŭnych VPN-pratakołaŭ. Kali takoje zdarycca i ŭ Biełarusi, to ŭsie papularnyja VPN paprostu pierastanuć pracavać. Ale jość rašeńni, jakija mohuć dapamahčy.

23.09.2023 / 18:21

Jak kupić siervier?

Pakul karystacca VPNam — zakonna, ale kali raptam VPNy pastaviać pa-za zakonam, tady biaśpiečniej kuplać budzie z zamiežnaj kartki ci praz kryptavaluty.

Tut jość vialiki śpis takich servisaŭ. 

Kali vy majecie mahčymaść kupić siervier z zamiežnaj kartki, to vam padydzie siervis ServerHunter, jaki dazvalaje abrać ź dziasiatkaŭ tysiač pravajdaraŭ. Tut vy možacie abrać usie patrebnyja paramietry sierviera, što vam i daviadziecca zrabić.

Važna taksama, kab na sierviery była virtualizacyja KVM — niekatoryja funkcyi ź inšymi typami mohuć nie pracavać. Źviarnicie ŭvahu i na toje, što vam patrabujecca siervier ź nie mienš čym hihabajtam volnaj prastory i, pažadana, hihabajtam apieratyŭnaj pamiaci, a taksama z dastatkovaj prapusknoj mahutnaściu. Pažadana, kab jon nie mieŭ abmiežavańniaŭ na ŭvachodny i vychodny trafik, a taksama dastatkova mahutny pracesar, kab raźmiarkoŭvać nahruzku.

Źviarnicie ŭvahu — na poštu, jakuju vy paznačyli pry rehistracyi (u vypadku, kali nabyvali VPS-siervier), pryjdzie pieršapačatkovy parol ź imiem karystalnika root abo vam vydaduć jaho ŭ niejkim inšym vyhladzie. Jon spatrebicca dla naładžvańnia sierviera.

Taksama vy možacie nabyć siervier praz Google Cloud Platform, Amazon Web Services abo DigitalOcean. Pieršyja dva majuć taksama biaspłatny probny pieryjad, za jaki vam nie treba płacić za siervier, ale ahułam jany kaštujuć daražej, čym anałahi ad inšych płatformaŭ na tym ža Serverhunt.

Outline i Amnezia — u čym roźnica

Spačatku my razhladzim hetyja dva sierviery, stvoranych admysłova dla abychodu cenzury. Abodva siervisy — heta płatformy dla stvareńnia ŭłasnaha VPN-siervisu na bazie proksi, jakija vykarystoŭvajuć technałohii maskiravańnia trafiku i tamu zabłakavać ich ciažej. Ale ŭ kožnaha ź ich jość niuansy i ŭ vypadku błakavańnia dostupu, jak u 2020-m, niezrazumieła, jaki ź ich budzie pracavać.

Outline stvorany ŭ inkubatary Jigsaw. Hety inkubatar zapačatkavany Google-om. Adtul jon atrymaŭ svajo pieršaje finansavańnie. Siervis pracuje z adnym pratakołam pieradačy danych.

Outline prajšoŭ šerah aŭdytaŭ (1,2,3), jakija dakazali, što jon bolš-mienš biaśpiečna skanstrujavany i pry hetym nie maje dostupu da trafiku karystalnikaŭ.

Siarod minusaŭ — dla jahonaj schiemy raboty siervis zapisvaje IP-adras vašaha sierviera i toje, kolki trafiku vy praź jaho «prahnali». Heta zroblena dla taho, kab aptymizavać pracu siervieraŭ samoha Outline.

Ale ŭ cełym biaśpiecy Outline možna daviarać.

Amnezia stvorany prahramistami z Rasii. Stvaralniki siervisu finansavalisia z NDA «Roskamsvaboda» i «Ciaplicy sacyjalnych technałohijaŭ», jakija, zdajecca, nie paśpieli zamazacca ŭ skandałach.

Uvieś kod Amnezia adkryty i dastupny na Github. Hod tamu jon prajšoŭ aŭdyt jeŭrapiejskaj kampanii 7ASecurity, jakaja całkam bazujecca ŭ ES, pry padtrymcy mižnarodnaha fonda OpenTech Fund. Heta nie dazvolić stvaralnikam siervisu ŭstavić tudy «žučki» niezaŭvažna dla karystalnikaŭ.

Jon dekłaruje, što nie źbiraje anijakich vašych źviestak. Taksama nie viadzie łohaŭ.

Outline

Voś jak ustalavać Outline.

Kali vy ŭžo nabyli siervier, to zajdzicie na sajt i spampujcie Outline Manager. Ustalujcie, a paśla adkryjcie jaje.

Pieršaje akno Outline Manager. Abiarycie tut vaš typ sierviera

U našym vypadku my abirali «Set up Outline anywhere», bo nabyli siervier na inšym siervisie. Paśla hetaha vam adkryjecca radok, jaki treba ŭstavić na siervier.

Radok, jaki treba «skarmić» vašamu siervieru

Dla taho, kab padklučycca da sierviera, my raim vykarystoŭvać vaš łohin dy parol, a taksama ssh, ubudavany ŭ luby kamandny radok na Windows, Linux dy Mac. Na Windows adkryjcie «Kamandny radok» praź mieniu pusk abo naciśnicie Win+R i ŭviadzicie «cmd». Na Mac zajdzicie ŭ mieniu Launchpad dy abiarycie Terminal.

U kamandnym radku ŭviadzicie kamandu ssh root@*imia sierviera* i naciśnicie Enter (tak paśla ŭsich kamandaŭ). Paśla hetaha kamandny radok zapytajecca, ci daviarajecie vy siervieru (naciśnicie Y i bolš u vas pierapytvać nie buduć), a paśla — parol ad ulikovaha zapisu root (jaho možna skapiravać abo ŭvieści ŭručnuju).

Pačatak padłučeńnia da sierviera na Terminal u Mac

Paśla taho, jak vy dałučylisia, uviadzicie kamandu sudo apt update && sudo apt update — heta treba, kab abnavić prahramnaje zabieśpiačeńnie sierviera. Kali siervier prapanuje vydzielić svabodnaje miesca pad abnaŭleńni, naciśnicie Y.

Paśla ŭvoda Y naciśnicie Enter

Paśla abnaŭleńnia prahramnaha zabieśpiačeńnia lepš pierazahruzić siervier, uvioŭšy kamandu reboot. Pierazahruzka zajmaje dźvie-try chviliny i paśla možna pierapadłučacca da jaho znoŭku.

Paśla ŭviadzieńnia kamandy reboot naciśnicie Enter

Paśla hetaha skapijujcie ŭ kamandny radok kamandu, patrebnuju dla ŭstaloŭki Outline: sudo bash -c «$(wget -qO— https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh)». Paśla pačniecca ŭstaloŭvańnie i kali Outline budzie brakavać niejkaj prahramy dla ŭstaloŭvańnia, daviadziecca naciskać Y, kab dazvolić ustalavańnie.

U našym vypadku nie chapała Docker i treba było dać dazvoł na ŭstaloŭvańnie prahramy

Paśla ŭstaloŭvańnia ŭ kamandnym radku zialonym koleram budzie adznačany toj radok, jaki treba skapijavać u Outline Manager (na našym skrynšocie zamazany i pačynajecca z apiUrl). Zrabicie heta, a paśla ŭ Outline Manager naciśnicie Done. Paśla hetaha adkryjecca nastupnaje akno.

Akno Outline Manager, u jaki ŭžo dadadzieny siervier

Ciapier vam treba spampavać klijent Outline z aficyjnaha sajta. Jon isnuje dla ŭsich papularnych płatformaŭ i navat jak płahin dla Google Chrome. Paśla hetaha viarniciesia ŭ Outline Manager i naciśnicie značok «padzialicca» (vyhladaje jak łamanaja linija z tryma źjadnanymi miž saboj kropkami).

Tak vyhladaje staronka «Padzialicca» ŭ Outline Manager

Naciśnicie kłavišu Copy access key i dašlicie jaho samomu sabie ci čałavieku, dla jakoha vy naładžvajecie VPN. Paśla treba ŭvajści ŭ klijent (na prykładzie Android). Spačatku adkryjcie prahramu. Kali vy skapijavali kluč zahadzia, to prahrama adrazu ŭstavić jaho ŭ radok dadavańnia kluča sierviera, kali nie, to skapirujcie jaho i ŭstaŭcie tudy.

Ustaloŭvajecca Outline maksimalna prosta: ustaloŭvajecca Outline na pryładzie, kapijujucie kluč ź instrukcyi i ŭstaŭlajecie.

Mieniu dadavańnia sierviera ŭ Outline

Paśla hetaha źjavicca siervier. Usio, što vam treba zrabić, kab jon zapracavaŭ — nacisnuć «padklučycca» (Connect).

Tak vyhladaje mieniu Outline z dadazienym u jaho siervieram

Paśla hetaha kružok stanie zialonym, a taksama źjavicca nadpis «padklučana» (Connected).

Mieniu Outline, kali prahrama padklučanaja da siervieru

Kali vy nie chočacie, kab pry ahladzie kampjutara možna było adnaznačna śćviardžać, što vy padklučalisia da sierviera, paśla naładžvańnia vydalicie fajł known_hosts. U Windows jon znachodzicca pa šlachu C:\Users\*imia_karystalnika*\.ssh abo ŭ inšaj papcy — padrabiaznaści jość tut. U Mac jon zaŭždy pa adrasie /Users/*imia_karystalnika*/.ssh/.

Taksama maje sens vydalić prahramu Outline Manager z vašaha kampjutara, bo jana moža dakazvać, što mienavita vy administrujecie siervier.

Kali na tym kampjutary, dzie naładžvali siervier, ślady hetaha vydalić, na inšych pryładach im usio adno možna budzie karystacca.

Amnezia

Stvaralniki pasprabavali «pazbavić» karystalnikaŭ ad taho, kab jany samastojna zachodzili na VPN-siervier. Zamiest hetaha pry rehistracyi prapanujecca ŭkazać źviestki vašaha sierviera, a jon naładzicca samastojna. Stvaralniki Amnezia śćviardžajuć, što prahramy nikomu nie pieradajuć hetyja źviestki i heta padobna na praŭdu, bo inačaj heta musiła b uskrycca.

Spačatku spampujcie klijent dla vašaj sistemy i ŭstalujcie jaho. Paśla zapuścicie — adkryjecca akno klijenta.

Hałoŭnaje mieniu prahramy Amnezia

Naciśnicie «Naładzić ułasny siervis» (Set up your own server) i adkryjecca nastupnaje akienca.

Nastupnaje mieniu naładžvańnia ŭłasnaha siervieru ŭ Amnezia

Tut treba ŭvieści adras sierviera (jaki vy ŭžo ŭvodzili padčas naładžvańnia Outline), imia karystalnika root i parol ad jaho. Naciśnicie «Padłučycca» (Connect). Kali prahrama zdoleła padłučycca da sierviera, to adkryjecca novaje akno.

Nastupnaje akno ŭ Amnezia

Tut vam treba abrać «Zapuścić instalatar» (Run Setup Wazard). Kali ŭsio dobra, vas prapuścić na nastupnaje akienca.

Nastupnaje akno naładžvańnia Amnezia

Paśla hetaha vam prapanujuć abrać «uzrovień cenzury ŭ vašaj krainie». Pakolki Outline, jaki vy ŭžo ŭstalavali, prapanuje Shadowsocks, jaki zabłakujuć pieršym ci adnym ź pieršych u vypadku surjoznych błakavańniaŭ, to my raim abirać High censorship level.

Jašče adno akno naładžvańnia Amnezia

Dalej vam prapanujuć abrać, pad jaki resurs budzie maskavacca trafik OpenVPN over Cloak. My raim abrać niešta niejtralnaje — rutube.ru, youtube.com, belta.by, maps.google.com abo niešta takoha kštałtu. Naciśnicie «Dalej» (Next) i pačniecca naładžvańnie sierviera, jakoje zojmie prykładna 5—10 chvilinaŭ. Paśla hetaha adkryjecca novaja staronka.

Staronka Amnezia paśla stvareńnia sierviera

Ciapier vy možacie spakojna padklučacca da jaho, naciskajučy na šeruju knopku «Uklučyć». Kab padzialicca klučom dla dałučeńnia da sierviera ź inšymi, abo padłučycca da pryłady, uvajdzicie ŭ nałady, nacisnuŭšy knopku ŭ vierchnim pravym kucie.

Mieniu naładaŭ Amnezia

Naciśnicie «Padzialicca padklučeńniem» (Share connection).

Mieniu «Padzialicca padklučeńniem» klijenta Amnezia

Ciapier naciśnicie «Share for Amnezia». Adkryjecca jašče adno akno.

Akno Share for Amnezia

Ciapier treba nacisnuć «Zhienieravać kanfihuracyju». Paśla niadoŭhaha čakańnia źjavicca kluč padklučeńnia i QR-kod. Apošni možna sfatahrafavać sa smartfona, kod ža — skapiravać abo zachavać u fajł dla pierasyłki.

Zhienieravanyja kluč i QR-kod, u našym vypadku — zakrytyja čornymi kvadratami

Paśla hetaha vy možacie padłučycca da VPN, pierajšoŭšy ŭ jaho sa startavaha mieniu prahramy ŭ lubym klijencie.

Znoŭku — startavaje mieniu Amnezia

Tut možna jak skapijavać kluč, hetak i impartavać. U mabilnych viersijach klijenta jość taksama opcyja «Adskanavać QR kod» (Scan QR code).

Siarod inšych mahčymaściaŭ prahramy — u naładach vy možacie praz nałady sierviera dadać inšyja pratakoły (ale, zdajecca, pakul chopić i hetaha). 

Hałoŭnaja pieraściaroha, na jakuju varta źviarnuć uvahu — kali ŭ vas na kampjutary budzie stajać klijent Amnezia, ź jakoha vy naładžvali siervier, to heta budzie adnaznačna ŭkazvać na toje, što vy jahony administratar, a nie prosta karystalnik. Mahčyma, biaśpiečniej budzie paprasić stvaryć jaho siabra za miažoj abo stavić klijent na kampjutary, da jakoha nie dabiarucca siłaviki pry vobšuku.

Ułasny «zvyčajny» VPN ci bolš składany siervis dla abychodu cenzury

U pryncypie, vy možacie stvaryć svoj «zvyčajny» VPN-siervier. Vialikaj pieravahi, pa vialikim rachunku, heta nie daje — u vypadku błakavańniaŭ VPN, jak ciapier u Rasii, hety varyjant nie budzie pracavać. Ale raspavieści pra jaho varta.

Isnujuć niekalki asnoŭnych pratakołaŭ VPN i dla kožnaha ź ich jość dobryja hajdy. Siarod papularnych pratakołaŭ jość niekalki, raskažam trochu pra try najbolš viadomyja.

Pieršy — OpenVPN, «załaty standart» pratakołaŭ. Jon raspracoŭvajecca daŭno i maje niašmat uraźlivaściaŭ, padtrymlivajecca ŭsimi mahčymymi apieracyjnymi sistemami i vielmi dobra abaronieny. Praŭda, jon i adzin z samych składanych va ŭstalavańni — tut jość padrabiazny hajd pa ŭstaloŭvańni praz skrypt (pry vybary DNS my raim abrać varyjant 1.1.1.1). Tut jość vialiki hajd pa ŭstaloŭvańni i naładach sierviera OpenVPN biez skrypta — heta bolš biaśpiečny varyjant.

IKEv2, pratakoł, raspracavany Microsoft i Cisco z prycełam na vysokuju chutkaść z dastatkovaj biaśpiekaj. Prablema ŭ tym, što klijenty dla padłučeńnia da jaho jość nie va ŭsich sistemach (akramia Windows). Voś hajd pa jahonym naładžvańni na sierviery. 

Wireguard — samy novy, samy chutki i paraŭnalna prosty ŭ naładžvańni. Ale jon maje prablemy z pryvatnaściu. Naprykład, kali vy jaho ŭstalujecie na svoj siervier, jon budzie vieści tam łohi padklučeńniaŭ da pierazahruzki sierviera (jakaja mahčymaja de-fakta tolki ŭručnuju). Taksama Wireguard naznačaje statyčnyja adrasy sierviera kožnamu karystalniku, što vielmi niepraktyčna. To-bok, stavić jaho varta z aściarožnaściu. Voś hajd pa ŭstaloŭcy Wireguard na Ubuntu.

Akramia ich, kali vy majecie siły i žadańnie, varta zasvoić i inšyja mahčymaści. Da prykładu, tut raskazvajecca, jak stvaryć ułasny siervier v2ray dla abychodu błakirovak. A ŭ hetym artykule jość dobraje apisańnie taho, jakija jašče sučasnyja technałohii isnujuć i jak imi skarystacca. Jość jašče prajekt Geneva, jaki prapanuje praanalizavać trafik u zabłakavanym asiarodździ, kab prapanavać varyjant abychodu błakavańniaŭ pa «scenarach» unutry prahramy.

Možna pasprabavać i braŭzier TOR, pra jaki my padrabiaźniej pisali ŭ našym hajdzie pa abychodzie cenzury.

Vynik

Na žal, na siońnia isnuje vielmi mała prostych siervisaŭ pa stvareńni ŭłasnych siervisaŭ abychodu cenzury, jakija patrabujuć minimumu dziejańniaŭ i viedaŭ ad karystalnika. Navat Outline i Amnezia patrabujuć peŭnych techničnych viedaŭ, choć źjaŭlajucca de-fakta samymi prostymi.

Ale važna viedać — siervisy abychodu błakavańniaŭ maje sens vyvučać i naładžvać zahadzia, bo ŭ momant błakavańnia budzie ŭžo pozna.

Čytajcie taksama:

Jak čytać niezaležnyja ŚMI i nie padstaŭlacca — padrabiazny hajd

Mnohija VPN źbirajuć danyja i mohuć pieradać ich siłavikam. Raskazvajem, jak ad hetaha abaranicca i pieraličvajem nadziejnyja biaspłatnyja VPN

«Ëść sposaby». Minčuk raskazaŭ, jak jon i jaho siabry minimizujuć ryzyki čytańnia niezaležnych ŚMI

Nashaniva.com