Собственный VPN для своих

Всем привет,

С учётом обстоятельств, думаю никому не надо объяснять о необходимости VPN
Для своих я поднял дома малинку ( Raspberry Pi 3B+) и запустил на ней VPN сервер
Соответсвенно все мои, кто по той стороне файрвола, установили приложение WireGuard (оно ставится на всё, от мобил до ноутбуков) и получили аккаунты в виде QR кодов ( WireGuard сканирует QR, создаёт туннель, который потом можно включать и выключать по необходимости)

Это бесплатно и будет работать до тех пор, пока в РФ не начнут блокировать туннели
используя DPI (анализ содержимого трафика, типа: а похож ли этот трафик на VPN туннель? да - блокируем!)

Это альтернатива платным сервисам, которые, как мне видится, накроют очень скоро (если не уже) ввиду их массовости и, как результат, видимости перед соответсвующими органами.

Что имею сказать?
Если вы хотите решить проблему доступа вовне РФ для ваших друзей и родственников,
вы можете поставить подобный микросервер у себя дома.
Со своей стороны могу помогать по мере наличия времени.
Например пошаговой инструкцией как это сделать,
начиная с того, что конкретно надо проверить сначала на "нашей" (НЛ) стороне
(есть тоже определённые требования к вашему провайдеру),
до того как начать подъём VPN сервера.

Дабы понять спрос - прилагаю опрос.

Есть в вопросы - пишите в теме

 

Я пользуюсь mullvad.net, он разрешает 5 устройств с одного аккаунта, стоит 5 в месяц. Они принимают даже кэш к оплате (прямо в конверте).
Т.е. например за 20 в месяц можно дать туннель 20 человекам, я уже предлагал знакомым и готов платить сам, но пока отказываются, говорят, что уже используют какие-то решения. Там тоже WG и OVPN есть. По-моему это проще, чем поднимать домашний сервер. Плюс там есть прокси, редирект портов, безопасный DNS и т.д.

Для DIY я бы ещё рекомендовал поднять OpenVPN с сертификатами через порт 443. Там DPI не сработает. Но он существенно медленее будет, особенно на rpi.

 

моё видение: все платные в один прекрасный момент скажут "мяу"
Я не обсуждаю тут выбор платных. Это не по теме, есть другая тема - просьба туда писать.

имеете ввиду, что будет сложнее понять "это VPN или просто шифрованный веб-сервер"?

Пока кручу на 8080, но может и здравая мысль подмахнуться под 443

На малине крутится PiVPN. Я что-то не так описал?

 

Угу, траффик там неотличим от веб.

У вас WireGuard был упомянут в посте, но я глянул, да, OVPN тоже есть. WireGuard намного проще заблокировать, но у него скорость намного выше.

 

У них нет серверов в РФ, а это тоже может неожиданно стать актуальным.

 

Я так понимаю, что я не указал, что использую клиент, а вы про то, что проще заблокировать сервер.

Клиент WireGuard единожды установленный из AppStore или Google Play никак не блокируется, разве что только его могут выпилить из русской части этих магазинов.

Касательно сервера WireGuard - не в курсе что это, и не о нём тут.

 

Да, VPN нужен в обе стороны. В сторону РФ знаю уже как минимум 4 платных сервиса, что более не работают. Сейчас без VPN уже нельзя зайти на сайты кучи РФ банков, РБК и кучу других серверов

В Москве малинки ещё более-менее есть в наличии

Одно замечание: VPN можно поднимать на чём угодно.
Хотите на ноуте - не вопрос, вопрос только в том, что для удобного использования сервис VPN должен работать 24x7. Я выбрал малину, потому как она маленькая, кушать не просит, висит сразу на выходе из роутера и готов помогать только по малине. На остальное времени нет.

 

Ваш VPN сервер на RaspberryPi, он же на WireGuard протоколе, как вы сами написали. Его легко задетектировать. И, соответственно, заблокировать клиенты (порт/протокол) по ту сторону. Поэтому для надежности лучше иметь запасной вариант с OpenVPN.

 

Если вообще все закроют, то опций не будет никаких. Если оставят веб (443), то OpenVPN достаточно просто настроить на стороне клиента: поставить приложение и импортировать .ovpn файл с профилем.

 

я это и собираюсь организовать (это варианты ответов "Интересна - собираюсь, но явно есть пробелы и нужна помощь" и "Интересна - нет времени заниматься, можно просто купить максимально готовое решение?")
пока смотрю, скольким это интересно.

 

WireGuard пока ещё доступен (вчера друга подключил)
Android:
https://play.google.com/store/apps/details?id=com.wireguard.android
App Store
https://apps.apple.com/us/app/wireguard/id1441195209

приложение можно пока просто установить и я бы рекомендовал сделать это прямо сейчас.

когда сервер будет готов - просто присылается конфигурация в виде QR кода.
родители открывают приложение и "показывают" этот QR код, далее дают название туннелю и на этом вся настройка закончена.
на следующем этапе появляется кнопка ВКЛ/ВЫКЛ с названием туннеля
когда надо - включают, когда не надо - выключают.
во включённом состоянии весь трафик идёт на VPN сервер (и как результат не будет работать Сбербанк, к примеру), при выключении трафик идёт как обычно, Фейсбук, соответственно, не работает.

Касательно обнаружат этот протокол, давайте на другом - на малине подымается второй сервер, который будет работать по другому [возможно менее заметному] протоколу. Если софт второго сервера позволяет, то присылается такой же QR и в приложение добавляется ещё один туннель. Если нет, то придётся в менее комфортной обстановке (ручками) вбить параметры туннеля в том же приложение (клиенте WireGuard)

 

OpenVPN запустить не проблема, а с внешним IP-адресом как быть? Еще может проще держать EC2-instance в Амазоне? Может даже дешевле выйдет чем покупать Raspberry Pi.

--- Сообщения объединены, 7 мар 2022, дата первого сообщения: 7 мар 2022 ---

В плане совсем уж экзотики, можно подумать про спутниковый телефон (Iridium, Inmarsat), правда скорость будет порядка 14400, если память не изменяет.

 

Там причем appliance есть уже, в три клика поднимается: https://openvpn.net/vpn-server-resources/amazon-web-services-ec2-tiered-appliance-quick-start-guide/

 

Дмитрий,
Можете выкладку сделать, сколько это стоит? (вижу там как-то всё временем измеряется, типа 750 часов бесплатно ежемесячно - это имеется ввиду, что дают одно ядро бесплатно, а если нагрузка больше, чем одно ядро, то платим дополнительно?)
И на сколько тривиально получить/настроить статический адрес? У меня опыта с облачными сервисами ноль

Т.е. запуск виртуалки из appliance с трафиком 120GB/месяц (это столько у меня 3 разных человека тратят)
Загруз проца на малине почти нулевой.

Расходы на малину выходят около 70-100 евро разово, но в НЛ, похоже, их все раскупили (сегодня на BOL.com последняя pi4 ушла, остались только в наборах за 125-155 евро)

И последний вопрос: а диапазон адресов Amazon не прикроют? (вижу, что такой риск рассматривали, когда ФБК делал своё приложение)

 

Я могу спросить нашего devops'а, если дадите входные данные. У нас почти вся инфраструктура на AWS, он должен знать. 120G траффик, 24/7? Я думаю там small instance хватит. Так оценочно будет 10-20 в месяц, я думаю. В длительной перспективе RPi дешевле, конечно.

Можно статический IP, лучше DNS, я считаю. Если поменяете хостинг или инстанс, не надо переконфигурировать все клиенты.

Могут конечно, это главный риск хостинга своего VPN в облаке и один из selling points у ВПН-сервисов, у которых сервера по всему миру.

 

да я смотрю только в сторону того, что они называют AWS Free Tier
как я понимаю, это бесплатно всегда

в голове привязался к статическому IP, хотя тут можно и оплатить на год DNS в какой-нибудь дешёвой зоне
и если что подменять его на разные IPшки

В общем надо понять, на сколько AWS Free Tier может решить наши проблемы
(к примеру - может ли быть такая ситуация, что бесплатных "ресурсов" при определённом потреблении будет хватать на пол месяца, а потом просто ждать следующего месяца, когда обнулят счётчик? если так, то это тоже решение, если платить не надо)

 

Еще можно траффик разделить, и через VPN слать только то что реально нужно, вроде с помощью iptables такое можно сделать.

 

Это первый год, потом платить надо. Хотя через год может дата-центр разбомбят и проблема решится сама собой.

 

всё верно, если DNS гугла (или какой возьмём) продолжит ресолвить Internet и рунет как надо и сервисы, которым нужен будет VPN, не будут менять адреса сеток как перчатки. иначе будет косячно и лучше остаться в парадигме VPN_ВКЛ/ VPN_ВЫКЛ
как говорится, за двумя зайцами...