Персональный VPN-сервер с возможностью подключения штатными средствами

Персональный VPN-сервер с возможностью подключения штатными средствами

Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям.

Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу.

Вот что потребуется сделать, если быть кратким:

  1. Удостовериться, что вас не пугает командная строка.
  2. Создать аккаунт на Digital Ocean .
  3. Настроить IKEv2 VPN Server .
  4. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android .
  5. Наслаждаться персональным VPN-сервером за $5/месяц.

Первый шаг — регистрация на Digital Ocean

По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847

$50 на 30 дней

Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту.

Банковская карта или PayPal

Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security

2FA

Второй шаг — создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04

Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов.

Создание Droplet

На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц.

Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой.

Третий шаг — настройка VPN-клиентов

Самое приятное в варианте со StrongSwan (в отличие от OpenVPN ) — это возможность использовать штатный VPN-клиент во многих современных операционных системах.

Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 – Testing the VPN Connection .

Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте.

C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа — и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare .

В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый ( supervised ) режим.

В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN.

Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа — например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный.


Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =)

А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования — полёт нормальный, нареканий нет.


Ссылки по теме:

Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.