Что такое VPN. Установка и настройка. Инструкция

Инструкция обновлена: май 2022 года

Содержание

1. Что такое VPN и для чего он нужен

1.1 Плюсы и минусы различных VPN

2. Пошаговый алгоритм создания сервера с использованием арендованного виртуального сервера

2.1 Выбор хостинга

2.2 Подключение к серверу

2.2.1 Алгоритм подключения через Windows

2.2.2 Алгоритм подключения через MacOS

2.3 Установка ПО и добавление учетных записей

2.4 Подключение к VPN

3. Выбор платного VPN

4. Double VPN

5. Kill Switch

1. Что такое VPN и для чего он нужен?

В марте 2022 года жители России столкнулись с проблемой доступа к различным интернет-ресурсам, сайтам и социальным сетям и, по сути, уже не так важно — заблокирован ли доступ Роскомнадзором или извне.

Проблема с получением доступа в интернет в определенных обстоятельствах была и ранее, например, в путешествиях. Простое решение — подключаться к Wi-Fi в отелях, аэропортах, кафе и других публичных местах. Но информации о провайдере чаще всего нет, и ничего не известно о таких сетях: кем они были созданы, насколько надежны и нет ли у кого-либо доступа к вашему трафику. При подключенном антивирусе вы получите предупреждение об опасности, но это не всегда спасает.

Беззаботное подключение к Wi-Fi в общественных местах или к любым публичным сетям небезопасно и в своей стране. Вероятность, что ваш трафик прослушивается* злоумышленниками, очень высока. Отличный пример показан на видео (смотри в Яндекс-браузере с переводом на русский).

*Прослушивание сетевого трафика является методом, с помощью которого нарушитель может скомпрометировать безопасность сети в пассивном режиме.

При каждом подключении к сети ваши данные подвергаются опасности.

Обезопасить данные поможет VPN.

VPN (англ. Virtual private network) — виртуальная приватная сеть. Весь трафик в этой сети проходит от вашего устройства по зашифрованному каналу к серверу, сервер, в свою очередь, выполняет запросы, которые были ему переданы от себя, а затем передает полученную информацию по зашифрованному каналу обратно на устройство.

Использование VPN-соединения помогает решить обозначенные проблемы:

• Получить доступ к заблокированным в стране ресурсам
• Защитить от прослушивания* трафика

Как это реализовать:

• Воспользоваться бесплатным VPN-сервисом
• Воспользоваться коммерческим VPN-сервисом
• Создать свой VPN-сервер

1.1 Плюсы и минусы различных VPN

Бесплатный VPN

Плюсы:

• бесплатный

Минусы:

• ограничения по скорости
• нарушение конфиденциальности
• возможны рекламные интеграции
• нет возможности выбрать сервер для подключения
• возможно подключение только одного устройства
• отслеживание действий посторонними сайтами

Коммерческий VPN

Плюсы:

• подключить быстрее, чем создать собственный
• более удобный интерфейс в сравнении с использованием собственного VPN
• скорость загрузки данных существенно выше, чем у бесплатного VPN
• нет рекламных интеграций
• возможность сохранять анонимность
• защита персональных данных
• помощь техподдержки

Минусы:

• трафик передается компаниям, с которыми взаимодействуете
• возможны высокий пинг, нестабильное подключение, просадки в скорости
• к одному VPN-серверу подключаются сотни пользователей, а значит вы храните и используете данные в одном месте с другими пользователями
• стоимость
• возможны проблемы с оплатой

Собственный VPN

Плюсы:

• никто не заблокирует
• дешевле, чем хороший коммерческий VPN
• можно использовать на любом количестве устройств
• скорость загрузки данных существенно выше, чем у бесплатного VPN
• нет рекламных интеграций

Минусы:

• создание собственного VPN-сервера лишает нас определенных удобств в использовании, однако перекрывает почти все минусы бесплатных и коммерческих сервисов.
• возможны проблемы с оплатой

ВАЖНО! TTM Academy не рекомендует использовать бесплатные VPN-сервисы:

VPN-сервисы требуют средств на свое содержание. Нужно обслуживать серверы, платить за оборудование, электричество. Если не платите вы, значит платит кто-то другой. Это создает прямую угрозу вашим данным, ключам, средствам на некастодиальных кошельках.

2. Пошаговый алгоритм создания сервера с использованием арендованного виртуального сервера

Алгоритм создания сервера:

2.1 Выбрать хостинг

2.2 Подключение к серверу

2.3 Установка ПО и добавление учетных записей

2.4 Подключение к VPN

2.1 Выбор хостинга

Несколько возможных хостингов:

• Vultr — от $3.5 в месяц, при регистрации по реферальной ссылке дадут $100 на месяц.
• DigitalOcean — от $5 в месяц, по реферальной ссылке дадут $100 на два месяца.
• Linode — от $5 в месяц, по реферальной ссылке ничего не дают, зато считают использование по часам — можно экспериментировать за гроши.
• Amazon Web Services — за создание и использование Amazon Virtual Private Cloud (VPC) дополнительная плата не взимается, а дополнительные возможности VPC оплачиваются по факту использования.
• Zomro — от €3,75 в месяц.

2.2 Подключение к серверу

Рассмотрим на примере Zomro, так как он русифицирован, проверен опытом экспертов TTM Academy и достаточно дешев в использовании, учитывая наличие твердотельного накопителя.

Шаг 1. Пройти регистрацию на сервисе.

Шаг 2. Перейти в раздел “Виртуальные серверы” и нажать кнопку «Заказать».

Шаг 3. Выбрать обычный Micro SSD (нам будет достаточно).

Шаг 4. В качестве операционной системы выбирать Ubuntu-20.04-amd64 (остальное не трогаем).

Шаг 5. Добавить в корзину и оплатить сервер.

Важно! Возможно использовать другой хостинг, однако необходимо, чтобы операционная система совпадала с Ubuntu-20.04.

После оплаты заказа сервер начнут подготавливать. Данные с именем пользователя и паролем придут на email. Подготовка занимает несколько часов.

Шаг 6. Подключиться.

2.2.1 Алгоритм подключения через Windows

• Для подключения к серверу установим программу PuTTY.

Скачать по ссылке: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html .

PuTTY — свободно распространяемый клиент для удаленного подключения.

• После того как установили и получили письмо на почту:
• откройте PuTTY
• введите IP-адрес из письма
• нажмите кнопку «Open»

• Откроется терминал, в котором необходимо авторизоваться. Введите сначала имя пользователя из раздела информации о сервере из письма, затем введите пароль.

Важно! Пароль при вводе не будет отображаться, это сделано в целях безопасности в Unix-системах, так как это ваша арендованная система. В случае успешного входа вы получите следующую картину:

2.2.2 Алгоритм подключения через MacOS

Для подключения в окне Finder откройте папку «Программы/Утилиты»:

• Дважды нажмите приложение «Терминал».
• В терминале введите команду, заменив соответствующий текст адресом вашего сервера из письма.

Например, ssh root@ip-адрес-сервера

2.3 Установка ПО и добавление учетных записей

Вы можете переписывать команды вручную или копировать их из статьи и вставлять в терминал нажатием правой кнопки мыши.

Внимание! При вставке команд в терминал у вас на устройстве должна быть выбрана английская раскладка.

Команда № 1

apt update && apt upgrade -y

Команда обновит текущее ПО на сервере. В случае появления сообщения на скриншоте ниже, выбираем второй пункт.

Настроим сервер:

Команда № 2

apt install docker.io

Команда устанавливает такую утилиту, как Docker. Получаем вопрос «Do you want to continue?», жмем Enter.

Ожидаем завершения установки.

Команда №3

После завершения установки Docker нам необходимо установить Docker-compose, он поставляется отдельно. Для этого вводим:

apt install docker-compose

Команда № 4 создает файл для настроек:

mkdir -p ~/wireguard/config

Команда №5 необходима для создания файла ~/wireguard/docker-compose.yml.

vim ~/wireguard/docker-compose.yml

• В файл вручную вводим следующие параметры, через ENTER:

version: “2.1”

services:

wireguard:

image: ghcr.io/linuxserver/wireguard

container_name: wireguard

cap_add:

- NET_ADMIN

- SYS_MODULE

environment:

- PUID=1000

- PGID=1000

- TZ=Europe/London

- SERVERURL=wireguard.domain.com #optional

- SERVERPORT=51820 #optional

- PEERS=1 #optional

- PEERDNS=auto #optional

- INTERNAL_SUBNET=10.13.13.0 #optional

- ALLOWEDIPS=0.0.0.0/0 #optional

volumes:

- ~/wireguard/config

- /lib/modules:/lib/modules

ports:

- 51820:51820/udp

sysctls:

- net.ipv4.conf.all.src_valid_mark=1

restart: unless-stopped

• Внесем в него некоторые изменения. Если файл не разрешает редактирование, нажимаем «i» на английской раскладке:
• Переменной окружения SERVERURL, вместо текущего wireguard.domain.com, необходимо присвоить значение IP-адреса вашего виртуального сервера.
• Переменной окружения PEERS — присвоить достаточное количество клиентов, для которых планируется использовать VPN. К примеру, если мы планируем подключаться с одного ноутбука + 2-х смартфонов + 1-го роутера (всего 4 устройства), то установим PEERS=4.

У вас должно получиться следующее:

• Нажатием ESC выходим из режима редактирования и вводим: :w
• Чтобы сохранить, изменения вводим: :q

Для завершения конфигурации, закрытия текстового файла и перехода к командной строке — создадим и запустим VPN:

• Вводим последовательно:

cd ~/wireguard

docker-compose up -d

• Когда скачается образ и запустится контейнер, проверяем, что контейнер запущен командой docker ps

При успешном запуске в выводе будет следующее:

Теперь настройка сервера закончена. Но не спешите закрывать PuTTY и переходите к следующему шагу алгоритма для подключения с ваших устройств к только что созданному VPN-серверу.

2.4 Подключение к VPN

Настроим подключения с устройств к созданному VPN-серверу.

Настройка смартфонов

Проще всего проверить подключение со смартфона. Для этого необходимо установить клиент из магазина приложений:

• Google play
• App Store
• Официальный сайт WireGuard.

Затем — отсканировать QR-код.

Шаг 1. Но предварительно, чтобы вывести на экран QR-код для VPN, необходимо на сервере PuTTY выполнить команду:

docker exec -it wireguard /app/show-peer 1

Шаг 2. Далее — развернуть терминал на полный экран, чтобы увидеть QR-код полностью.

Шаг 3. Добавляем подключения в приложении WireGuard на телефоне:

1. Нажимаем на «+».
2. Выбираем «сканировать QR-код».
3. Сканируем полученный QR-код.
4. В открывшемся окне переключаем ползунок.
5. Принимаем запрос на подключение.

Все пункты действий отображены на скриншотах ниже:

Настройка ПК

Внимание! Настройка на ПК требует предварительной настройки с телефона, вернитесь к предыдущему разделу, если пропустили его.

1. Установите настольную версию WirenGuard с официального сайта: https://www.wireguard.com/install/
2. Зайдите в настройки VPN на телефоне.
3. Нажмите «экспорт тоннелей в zip-файл».
4. Перенесите получившийся файл любым известным вам способом на ПК — например, отправкой в Saved Messages в мессенджере Telegram или загрузкой на GoogleDisk.
5. Откройте полученный файл в установленном WirenGuard, нажав на кнопку «добавить тоннель».
6. Нажимаем кнопку «подключить».

Теперь VPN успешно создан и подключен.

3. Выбор платного VPN

Разберемся, как выбирать и оценивать параметры платных коммерческих VPN.

Какие конкретно параметры нужно оценивать?

Любой VPN-сервис НЕ должен:

• Предлагать программы лояльности
• Собирать и хранить хоть какие-то логи пользователей
• Располагаться в стране-участнице альянсов «5/9/14 глаз».

Идеальный сервис должен предлагать:

• Обезличенную оплату (криптовалютой, анонимными кошельками)
• PGP-ключ для общения с сервером
• Собственные DNS-серверы
• Шифрование с помощью SSL-сертификата с поддержкой современных стандартов.

Важно! Огромное значение имеет страна, где зарегистрирован сервис VPN и расположена его инфраструктура.

Расположение сервиса напрямую влияет на ответственность: пользователь VPN подчиняется законам территории, на которой физически установлены серверы.

В некоторых странах торренты или пиратские игры могут оказаться причиной уголовного преследования. И у ряда стран с РФ налажена передача лиц, находящихся под следствием.

Обходите стороной VPN в странах, которые делятся данными с разведкой.

«Альянсы «глаз» — это страны, которые заключили соглашение об обмене разведывательной информацией. На данный момент в этот список входят страны: США, Великобритания, Канада, Австралия, Новая Зеландия, Дания, Франция, Голландия, Норвегия, Германия, Бельгия, Италия, Швеция, Испания.

В сотрудничестве с ними «подозреваются» Израиль, Япония, Сингапур, Южная Корея.

Уместно предположить, что если какая-либо из этих 14 стран получит доступ к онлайн-данным пользователя, то и все остальные 13 стран также получат свои копии информации.

ТТМ АCADEMY рекомендует следующие VPN-сервисы:

• NordVPN
• SecureVPN
• AzireVPN
• ExpressVPN

Рассмотрим более детально параметры рекомендуемых VPN-сервисов.

NordVPN

Геолокация:

Республика Панама

С точки зрения закона:

Работа сервера подчинена законам этой страны. Панаму можно считать раем для VPN-сервиса, ведь страна не входит в альянс 14 глаз, имеет лояльные законы. В частности, Панама не заставляет провайдеров хранить информацию пользователей.

Особенности:

Это высокотехнологичный сервис, который поддерживает такие функции как Kill Switch, Double VPN — о них расскажем в дальнейшем. Доступна оплата в криптовалютах.

Минусы:

• Платежи в Панаму считаются подозрительными для ряда компаний, поэтому NordVPN оплачивается через компанию, зарегистрированную в США. На работу сервиса это не влияет, но сам факт оплаты по вашей почте будет зафиксирован.
• NordVPN достаточно дорог в использовании и предлагает всего три тарифа:

$11,99 ежемесячно при оплате по одному месяцу; $4,99 в месяц при оплате 12 месяцев; $3,49 в месяц при оплате сразу 24 месяцев.

SecureVPN

Геолокация:

Для подключения доступно 37 серверов в 26 странах мира. Если какой-то страны нет, ее всегда можно запросить в техподдержке.

С точки зрения закона:

Распределенная сеть анонимных серверов может гарантировать безопасность использования.

Особенности:

Технологически продвинутый сервис. Позволяет менять «белые адреса», поддерживает все необходимое, что только может потребоваться: Double VPN, смена IP, TOR-сервера. Предлагается большее количество тарифов, чем в NordVPN. Тарифы различаются не только по времени, но и по предоставляемым технологиям. Например, при месячной оплате по тарифу Basic с возможностью подключения одного устройства стоимость — $7.9; по тарифу Advanced с возможностью подключения трех устройств — $10.9; по тарифу Pro с функцией Double VPN и сменой геолокации без переподключения — $17.9. Доступна оплата в криптовалютах.

Минусы:

Принудительная регистрация и возможность подключения небольшого количества устройств.

AzireVPN

Геолокация:

Зарегистрирован в Швеции, которая входит в альянс «14 глаз». Законодательство страны достаточно лояльно.

Особенности:

Достаточно бюджетный вариант VPN-сервиса, предоставляющий подключение по собственным серверам.

Шифрование и все необходимые технические возможности на высоте. Много серверов в разных странах мира и 5 соединений на аккаунт. Увы, доступен не везде.

Минусы:

• Доступен не везде.
• Нет возможности подключения через Double VPN.

ExpressVPN

Геолокация:

Британские Виргинские острова.

С точки зрения закона:

На Британских Виргинских островах нет никаких законов о хранении и выдаче данных, что позволяет VPN-провайдерам ставить в приоритет конфиденциальность пользователей.

Особенности:

Должное шифрование, отсутствие хранения ваших данных, высокая скорость при подключении — все это про ExpressVPN. Сервис поддерживает функцию Kill Switch (на сайте она названа как Network Lock).

На официальном сайте часто предлагаются скидки. На текущий момент стоимость сервиса на 1 месяц составляет $12.25 при приобретении одного месяца; $8.32 — при приобретении 12 месяцев и $9.99 — при приобретении 6 месяцев.

Минусы:

Достаточно дорогой вариант VPN-сервиса. Однако можно с уверенностью сказать, что он стоит своих денег.

4. Double VPN

Двойной VPN или Double VPN — технология с говорящим названием. При подключении используется сразу несколько VPN-серверов и тоннелей.

Данные о подключениях, хранить достаточно просто: факт подключения условного IP-адреса 1.1.1.1 к адресу 2.2.2.2 в определенное время суток записывается. Имея доступ к такой информации в масштабах провайдера, города или страны, достаточно просто установить, кто именно скрывается за VPN. Чтобы повысить уровень приватности при использовании VPN, необходимо разделить точку подключения и точку выхода в интернет на уровне IP.

Виды «двойных» VPN

Под «двойным» VPN часто понимают разное, но почти всегда это значит разнесенные территориально или на сетевом уровне узлы подключения и выхода в интернет. Иногда это просто маркетинговый трюк VPN-провайдеров, который не значит абсолютно ничего, такие услуги могут называться «тройным» и «четверным» VPN.

Разберем типовые схемы, которые применяют на практике.

VPN между серверами

Самый распространенный способ. В таком режиме клиент устанавливает VPN-подключение только к первому серверу. На первом сервере настроен тоннель ко второму, и весь трафик от клиента уходит ко второму серверу и так далее. Промежуточных серверов может быть несколько. При этом тоннель между серверами может быть установлен по любому другому протоколу, отличному от протокола, по которому подключен клиент.

Добавьте описание

VPN через Proxy

Тоже достаточно распространенный способ. Часто используется для маскирования VPN-трафика под другой протокол, например, в Китае. Такой способ удобнее цепочки из прокси, потому что с помощью VPN легко маршрутизировать весь системный трафик в тоннель. Существуют также инструменты для перехватывания системных вызовов программ и перенаправления их в прокси: ProxyCap, Proxifier. Они менее стабильны, так как иногда пропускают запросы, которые уходят мимо прокси, или работают некорректно с некоторыми программами.

В этом режиме прокси-сервер не видно в трассировке маршрута.

Добавьте описание

VPN внутри VPN

Три VPN-сервера, каждый из которых знает только отправителя и зашифрованный канал. Это технология похожа на технологию Tor по своей структуре.

Самый параноидальный и медленный способ. Все тоннели поднимаются на стороне клиента, при этом — каждый внутри другого. Такой способ требует хитрой настройки маршрутов на стороне клиента и запуска всех VPN-клиентов в нужном порядке. Это плохо сказывается на задержках и производительности, зато промежуточные сервера не имеют доступа к открытому трафику клиента.

Все накладные расходы по инкапсуляции суммируются, и максимальный размер пакета (MTU), доступный в итоге клиенту, уменьшается в зависимости от числа тоннелей. Промежуточные серверы не видны в трассировке маршрутов.

Добавьте описание

VPN с разделенными точками входа

Самый легкий способ настроить VPN с разделенными точками входа и выхода — подключить несколько IP-адресов на один виртуальный сервер.

Позволяет получить максимальную скорость и минимальные задержки, так как, по сути, трафик терминируется на одном сервере.

5. Kill Switch

У подключения через VPN есть недостаток. Пока VPN-подключение еще не установлено, все приложения на вашем компьютере (включая открытые вкладки браузера) получают доступ в интернет в обход VPN-подключения. Подобное происходит и когда подключение разрывается. В случае если сервер разорвал ваше соединение, то ваши вкладки в браузере могут транслировать информацию через вашего провайдера. Именно для обработки таких ситуаций придумана технология Kill Switch или аварийный выключатель.

Экстренный переключатель VPN постоянно контролирует подключение к серверу VPN. Однако если это соединение прервется, аварийный выключатель полностью отключит интернет-соединение. Значит соединение с интернетом временно будет отключено, чтобы данные, такие как IP-адрес, не попали в чужие руки. Экстренный выключатель похож на защитную стену. Он оберегает ваши данные от случайного раскрытия.

Соединение будет заблокировано, пока не будет восстановлен зашифрованный тоннель или вы сами не отключите Kill Switch для VPN.

Важно! Такая технология по умолчанию используется в платных VPN-сервисах NordVPN и SecureVPN, которые рекомендует TTM Academy.

👉В наших соцсетях много полезной информации и ламповая атмосфера, присоединяйтесь!

🔹 Сайт TTM Academy 🔹 Telegram 🔹 Дзен 🔹 Вконтакте 🔹YouTube 🔹VC 🔹Pikabu