Журналист
Журналист
- Статус
- offline
- Регистрация
- 28.09.2022
- Сообщения
- 892
- Репутация
- 889
Сейчас многие граждане РФ, которые находятся за границей, испытывают проблемы с доступом к некоторым российским ресурсам. По каким-то причинам несколько десятков российских сайтов запрещают доступ с IP-адресов за пределами РФ.
К счастью, эту проблему довольно легко решить, если поднять свой сервер внутри РФ и перенаправить трафик через него. Это так называемый «обратный VPN».
В принципе, его можно организовать на любом компьютере на территории РФ, который постоянно находится в онлайне и подключён к местному провайдеру. Как вариант, заказать услугу VPS за полтора доллара — и поднять систему на внешнем хостинге. И всё, считайте, что вы виртуально переехали обратно в РФ.
К счастью, эту проблему довольно легко решить, если поднять свой сервер внутри РФ и перенаправить трафик через него. Это так называемый «обратный VPN».
В принципе, его можно организовать на любом компьютере на территории РФ, который постоянно находится в онлайне и подключён к местному провайдеру. Как вариант, заказать услугу VPS за полтора доллара — и поднять систему на внешнем хостинге. И всё, считайте, что вы виртуально переехали обратно в РФ.
▍ Выбираем шаблон
Установка VPS на виртуальном сервере производится предельно просто. На этапе заказа сервера выбираем российский дата-центр. Например, RuCloud или M9.
![afgpk_en2fyaixmd11esueqcypk.png](https://habrastorage.org/r/w1560/webt/af/gp/k_/afgpk_en2fyaixmd11esueqcypk.png)
Затем выбираем шаблон сервера. Тут два варианта:
- VPN L2TP (Windows Server 2019)
Шаблон VPN L2TP с предустановленными ролями RRAS и NPS позволяет сразу после установки подключаться к серверу по VPN, меняя IP-адрес подключившегося.
Подробное руководство по подключению см. здесь. Общий ключ vpn.
Минимальные параметры сервера для этого шаблона:
- CPU: 1x2,2 ГГц
- RAM: 1 ГБ
- Диск: HDD 20 ГБ
Такой сервер стоит 523 руб. в месяц (418 руб. при оплате за год).
Альтернативный шаблон StrongSwan IKEv2/IPSec — гораздо более бюджетный вариант, потому что этот VPN работает под Linux (Debian 11) на сервере с 0,5 ГБ оперативной памяти всего за 130 рублей в месяц (104 руб. при оплате за год).
Конфигурация сервера:
- CPU: 1x2,2 ГГц
- RAM: 0,5 ГБ
- Диск: HDD 10 ГБ
Нужно отметить, что в такой конфигурации будет установлена Debian 11 без GUI, хотя один модуль настройки сервера работает в веб-интерфейсе. Но нам кроме него ничего и не надо. В общем, в отсутствии других требований к серверу выбираем безусловно этот вариант по копеечной цене. Три дня для теста сервера предоставляется бесплатно.
Кроме двух этих шаблонов, всегда можно поднять «голый» сервер с произвольной ОС — и установить на него любое программное обеспечение на свой вкус. Впрочем, то же самое можно сделать и с «шаблонным» сервером, он отличается только тем, что там изначально уже установлена пара программ.
▍ Установка StrongSwan
Выбранный образ содержит предустановленный пакет StrongSwan, необходимые зависимости и плагины, а также небольшую утилиту с веб-интерфейсом, которая позволяет выполнить настройку системы и получить данные для подключения без необходимости заходить по SSH. Через этот веб-интерфейс можно скачать файл .sswan для импорта в strongSwan VPN Client для Android или mobileconfig, также для быстрой настройки подключения, но уже для iOS и MacOS.
Итак, начинаем установку. Заказываем VPS с шаблоном StrongSwan.
![jlgjlxwqyxqd8itdb6en_u5xxte.png](https://habrastorage.org/r/w1560/webt/jl/gj/lx/jlgjlxwqyxqd8itdb6en_u5xxte.png)
Оплачиваем услугу.
![0r0nbi8i_b9fpfas7mjddbhouoi.png](https://habrastorage.org/r/w1560/webt/0r/0n/bi/0r0nbi8i_b9fpfas7mjddbhouoi.png)
Начинается установка сервера:
![vnzukjbtw5yevthddyhxn5chktq.png](https://habrastorage.org/r/w1560/webt/vn/zu/kj/vnzukjbtw5yevthddyhxn5chktq.png)
По окончании установки серверу назначается IP-адрес (в нашем случае 194.87.244.61), а также генерируется пароль для рута. Логин и пароль также приходят по почте.
Всё, с этого момента VPN готов к работе. В браузере с удалённого устройства можно зайти по адресу https://vps_ip_address:5000 (в нашем случае https://194.87.244.61:5000/). Браузер предупреждает об угрозе безопасности в связи с использованием самоподписанного сертификата, это нормально:
![hdekrtayd8zmcc3bqb5i5gt4xzq.png](https://habrastorage.org/r/w1560/webt/hd/ek/rt/hdekrtayd8zmcc3bqb5i5gt4xzq.png)
После авторизации действительно открывается веб-панель:
![g-1hu-hj7q7z2t6bllgtqvyhggs.png](https://habrastorage.org/r/w1560/webt/g-/1h/u-/g-1hu-hj7q7z2t6bllgtqvyhggs.png)
Здесь производим инициализацию сервера:
![4dr31kmju3xoi8a1a3crkqs8_zo.png](https://habrastorage.org/r/w1560/webt/4d/r3/1k/4dr31kmju3xoi8a1a3crkqs8_zo.png)
Как понятно из описания, для подключения с мобильных устройств можно скачать файлы конфигурации, а для подключения с персонального компьютера требуется установить корневой сертификат.
Что ж, давайте попробуем работу обратного VPN в действии.
Скачиваем корневой сертификат, файл ca-cert.crt и устанавливаем его:
![svi0x_qlnbuk1fngedgreto0vfa.png](https://habrastorage.org/r/w1560/webt/sv/i0/x_/svi0x_qlnbuk1fngedgreto0vfa.png)
С нашего голландского IP-адреса 93.190.141.69 многие российские ресурсы недоступны, запросы просто блокируются на территории РФ. Например, попытка доступа к mos.ru не даёт результата, пакеты теряются где-то на просторах РФ:
![pjbuk9mflghx_nwbj9n1uz8i-n8.png](https://habrastorage.org/r/w1560/webt/pj/bu/k9/pjbuk9mflghx_nwbj9n1uz8i-n8.png)
А теперь подключимся через наш российский сервер. В Windows можно вручную прописать параметры подключения:
![dwrg5dqmialxahwjuot5dgprnya.png](https://habrastorage.org/r/w1560/webt/dw/rg/5d/dwrg5dqmialxahwjuot5dgprnya.png)
После установки сертификата нужно перезагрузить компьютер, чтобы изменения вступили в силу. Затем в «Сетевых подключениях» выбирает созданное VPN-соединение к RUVDS и подключаемся к нему:
![m2sba8mzeok4mryeq6j8swsi4hu.png](https://habrastorage.org/r/w1560/webt/m2/sb/a8/m2sba8mzeok4mryeq6j8swsi4hu.png)
Теперь сетевые соединения из ОС Windows перенаправляются через VPN-сервер, и все внешние сайты видят наш IP-адрес 194.87.244.61:
![oujl2jyvbak4kmqehvkynak8yo8.png](https://habrastorage.org/r/w1560/webt/ou/jl/2j/oujl2jyvbak4kmqehvkynak8yo8.png)
Соответственно, с заходом на mos.ru или другие недоступные из-за границы сайты проблем больше не возникает, он тут практически в соседнем дата-центре:
![op3fgqzgcalveuqnh0w3mxykhxq.png](https://habrastorage.org/r/w1560/webt/op/3f/gq/op3fgqzgcalveuqnh0w3mxykhxq.png)
Таким образом, мы виртуально переместились на территорию РФ и свободно открываем внутренние ресурсы в этой стране.
На свой сервер можно зайти по SSH через любой SSH-клиент вроде PuTTY (под Windows) или Remmina (Linux) — и проверить конфигурацию системы, запущенные программы и количество памяти:
![w0sbd-kv0w32bv5i1ydyime-bbu.png](https://habrastorage.org/r/w1560/webt/w0/sb/d-/w0sbd-kv0w32bv5i1ydyime-bbu.png)
Информация о CPU:
![-pevd97iy9p9ev3cv5-s007uguy.png](https://habrastorage.org/r/w1560/webt/-p/ev/d9/-pevd97iy9p9ev3cv5-s007uguy.png)
▍ Клиент под Android
Как уже говорилось выше, в Android и iOS можно настроить VPN без установки клиента и импорта файлов конфигурации, стандартными средствами ОС, просто указав там IP-адрес своего сервера, тип IKEv2, логин и пароль для подключения, также как мы сделали под Windows. Использование фирменного клиента — просто дополнительная удобная опция.
Скачиваем клиент StrongSwan под Android, а также файл c сервера для конфигурации клиента (https://194.87.244.61:5000/downloads/vpn-android.sswan). Этот файл содержит ID машины, IP-адрес и сертификат для подключения:
![vvjj5eirqd3nnmwo8z7nq6gv8ty.png](https://habrastorage.org/r/w1560/webt/vv/jj/5e/vvjj5eirqd3nnmwo8z7nq6gv8ty.png)
На устройстве инсталлируем клиент и импортируем профиль VPN (файл android.sswan, который мы сгенерировали на сервере), а также вводим сгенерированные логин и пароль:
![r2ly_xrv7mreze62bkwonxq1yvq.png](https://habrastorage.org/r/w1560/webt/r2/ly/_x/r2ly_xrv7mreze62bkwonxq1yvq.png)
После этого можно подключаться к созданному соединению, всё работает автоматически.
▍ Список сайтов, недоступных из-за границы
Автор канала ITDog ведёт списки ресурсов, которые можно скачать и использовать для настройки VPN.
Ресурсы, которые доступны только для российских подсетей (71 адрес):
- RAW
▍ В качестве бонуса. Свой DNS-сервер
Кроме установки обратного VPN, на своём хостинге можно разместить и другие элементы базовой инфраструктуры для улучшения общей приватности и безопасности. Например, собственный DNS-сервер, чтобы исключить отправку запросов на внешние DNS-серверы. Дело в том, что этот трафик отслеживается внешними недоброжелателями для определения адресов сайтов, которые вы посещаете. Кроме того, некоторые интернет-провайдеры могут перенаправлять или блокировать определённые DNS-запросы, даже если вы пользуетесь надёжным сервером вроде Google DNS or Cloudflare DNS.
Собственный DNS с настройкой зашифрованных DNS-протоколов DNS-over-TLS, DNS-over-HTTPS или DNS-over-QUIC очень эффективно устраняет эти риски для безопасности.
Например, неплохой опенсорсный проект для своего хостинга Technitium DNS Server. После установки работает прямо «из коробки» с минимальной конфигурацией.
![rh7zjnaoygvtyf3zh-8odwmtgn8.png](https://habrastorage.org/r/w1560/webt/rh/7z/jn/rh7zjnaoygvtyf3zh-8odwmtgn8.png)
Сервер можно поставить или на своём хостинге, или локально в домашней/корпоративной сети (работает на Windows, Linux, Mac и Raspberry Pi). Кроме повышения приватности, мы также на уровне DNS блокируем рекламные сети. Чёрный список адресов для блокировки обновляется автоматически:
![tlsrlfpr2h6hie_9jq2f_z58ut0.png](https://habrastorage.org/r/w1560/webt/tl/sr/lf/tlsrlfpr2h6hie_9jq2f_z58ut0.png)
Плюс повышается общая производительность за ускорения резолвинга доменов и активного использования локального DNS-кэша.
Примечание. В данный момент Роскомнадзор готовит изменения в приказ Роскомнадзора от 31.07.2021 № 221, согласно которым цифровые границы Рунета «приравниваются к границам страны». Это означает, что доступ к государственным цифровым ресурсам страны будет запрещён из-за рубежа даже с помощью VPN.
Кроме этого, документ предполагает передачу государству данных о связи IP-адреса с местонахождением его владельца.
Не совсем понятно, как РКН собирается реализовывать этот запрет, но пока постановление не принято, на виртуалках «обратный VPN» нормально работает. Скорее всего, в ближайшее время такой метод доступа продолжит работать без изменений. По крайней мере, до тех пор, пока страна не выйдет на качественно новый уровень блокировок.
Последнее редактирование: