Приветствую Если ты открыл эту статью, значит, скорее всего, сталкиваешься с проблемами блокировок. Здесь ты узнаешь, как создать свой собственный ***, чтобы обойти эти ограничения, не тратя деньги на подписки, а оставаясь хозяином своей онлайн-безопасности. ПОДГОТОВКА Идем на любой хостинг где можно взять недорогой дедик. Учтите, что в ряде стран доступно подключение со скоростью 10 Гбит/с. Естественно, предпочтение стоит отдавать таким локациям. Для операционной системы выбирайте Ubuntu или Debian. Поле "Доменное имя" оставляйте пустым, а дополнительные опции не трогайте — они не понадобятся. После оплаты сервера вам предоставят данные для доступа: IP-адрес и root-пароль. СОБСТВЕННО СОЗДАНИЕ *** Мы будем настраивать *** на сервере с Ubuntu (На Debian примерно также) самостоятельно. Для этого выберем проверенный и надежный протокол Open***, который поддерживается большинством современных роутеров. Подключаемся к дедику как root, создаем новго пользователя и добавляем его в sudo: adduser user usermod -aG sudo user Code adduser user usermod -aG sudo user Далее подключаемся к серверу под пользователем user и выполняем все последующие команды от его имени. Обновим списки пакетов и установим Open*** вместе с Easy-RSA, который используется для управления сертификатами в инфраструктуре открытых ключей дедика: sudo apt update -y sudo apt install open*** easy-rsa -y Code sudo apt update -y sudo apt install open*** easy-rsa -y В домашней папке пользователя создаем директорию, настраиваем для нее символическую ссылку и необходимые права: mkdir ~/easy-rsa ln -s /usr/share/easy-rsa/* ~/easy-rsa/ chmod 700 ~/easy-rsa Code mkdir ~/easy-rsa ln -s /usr/share/easy-rsa/* ~/easy-rsa/ chmod 700 ~/easy-rsa Создаем файл конфигурации для Easy-RSA и инициализируем инфраструктуру открытых ключей дедика: cd ~/easy-rsa echo -e 'set_var EASYRSA_ALGO ec\nset_var EASYRSA_DIGEST sha512' > vars ./easyrsa init-pki Code cd ~/easy-rsa echo -e 'set_var EASYRSA_ALGO ec\nset_var EASYRSA_DIGEST sha512' > vars ./easyrsa init-pki Генерируем ключи для центра сертификации: ./easyrsa build-ca nopass Code ./easyrsa build-ca nopass [size="5"][/size][size="5"][/size]Система предложит ввести универсальное имя — можно просто нажать Enter. Далее выпустим и подпишем пару «ключ-сертификат» для сервера:[/SIZE][/SIZE] ./easyrsa gen-req server nopass ./easyrsa sign-req server server Code ./easyrsa gen-req server nopass ./easyrsa sign-req server server При выполнении первой команды вам будет предложено ввести Common Name — просто нажмите Enter. Для второй команды нужно подтвердить запрос, введя yes. Затем копируем созданные файлы в каталог Open***: sudo cp ~/easy-rsa/pki/private/server.key /etc/open***/server sudo cp ~/easy-rsa/pki/issued/server.crt /etc/open***/server sudo cp ~/easy-rsa/pki/ca.crt /etc/open***/server Code sudo cp ~/easy-rsa/pki/private/server.key /etc/open***/server sudo cp ~/easy-rsa/pki/issued/server.crt /etc/open***/server sudo cp ~/easy-rsa/pki/ca.crt /etc/open***/server Для повышения безопасности создадим предварительный общий ключ (PSK), который будет использоваться с директивой tls-crypt: sudo open*** --genkey secret /etc/open***/server/ta.key Code sudo open*** --genkey secret /etc/open***/server/ta.key Выпускаем и подписываем пару «ключ-сертификат» для клиента client1: ./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1 Code ./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1 При выполнении первой команды, когда система запросит указать Common Name, нажмите Enter. Во второй команде подтвердите запрос, введя yes. Теперь создадим директорию для клиентских конфигураций, скопируем туда необходимые файлы и установим соответствующие права: mkdir ~/open***-clients chmod -R 700 ~/open***-clients cp ~/easy-rsa/pki/private/client1.key ~/open***-clients/ cp ~/easy-rsa/pki/issued/client1.crt ~/open***-clients/ sudo cp /etc/open***/server/{ca.crt,ta.key} ~/open***-clients/ sudo chown user ~/open***-clients/* Code mkdir ~/open***-clients chmod -R 700 ~/open***-clients cp ~/easy-rsa/pki/private/client1.key ~/open***-clients/ cp ~/easy-rsa/pki/issued/client1.crt ~/open***-clients/ sudo cp /etc/open***/server/{ca.crt,ta.key} ~/open***-clients/ sudo chown user ~/open***-clients/* Настроим конфигурацию Open*** на основе стандартного шаблона. Для этого скопируем файл server.conf в рабочую директорию: [CODE=code]sudo cp /usr/share/doc/open***/examples/sample-config-files/server.conf /etc/open***/server/[/CODE]Открываем файл server.conf для редактирования с помощью любого текстового редактора:[CODE=code]sudo vim /etc/open***/server/server.conf[/CODE]В этом файле необходимо внести следующие изменения: заменить dh dh2048.pem на dh none Удалить комментарий с строки `push "redirect-gateway def1 bypass-dhcp"` Удалить комментарий с двух строк содержащих DNS-серверы: [CODE=code]push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"[/CODE]По умолчанию здесь указаны адреса публичных DNS серверов от OpenDNS. Рекомендую сразу их заменить на DNS сервера от CloudFlare (1.1.1.1, 1.0.0.1) или Google (8.8.8.8 и 8.8.4.4)заменить tls-auth ta.key 0 на tls-crypt ta.key заменить cipher AES-256-CBC на cipher AES-256-GCM и после этой строки добавить еще одну новую – auth SHA256 добавить в конце файла две строки: user nobody group nogroup Чтобы активировать переадресацию пакетов, уберите комментарий со строки `net.ipv4.ip_forward=1` в файле/etc/sysctl.conf (можно сделать это вручную или с помощью утилиты sed) и примените изменения:[CODE=code]sudo sed -i '/net.ipv4.ip_forward=1/s/^#//g' /etc/sysctl.conf sudo sysctl -p[/CODE]Теперь необходимо настроить форвардинг и маскарадинг в iptables. Для начала определим имя публичного сетевого интерфейса на сервере:[CODE=code]ip route list default [/CODE]Пример вывода команды приведен ниже. Имя нужного интерфейса отображается сразу после слова "dev": В данном примере интерфейс называется ens3, но в вашем случае его имя может быть другим. Разрешаем переадресацию и настраиваем маскарадинг (это метод преобразования сетевых адресов (NAT, Network Address Translation), используемый для обеспечения доступа устройств локальной сети к внешнему интернету через один общий публичный IP-адрес.) В iptables. При необходимости замените имя интерфейса (ens3) на свое в трех местах:[CODE=code]sudo apt install iptables-persistent -y sudo iptables -A INPUT -i tun+ -j ACCEPT sudo iptables -A FORWARD -i tun+ -j ACCEPT sudo iptables -A FORWARD -i ens3 -o tun+ -j ACCEPT sudo iptables -A FORWARD -i tun+ -o ens3 -j ACCEPT sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE sudo netfilter-persistent save[/CODE]Добавляем сервис Open*** в автозагрузку и запускаем:[CODE=code]sudo systemctl enable open***-server@server.service sudo systemctl start open***-server@server.service[/CODE]Проверить состояние ***-сервиса можно с помощью команды:[CODE=code]sudo systemctl status open***-server@server.service [/CODE]Осталось создать конфигурационный файл ].o***, который клиент будет использовать для подключения к ***. Этот файл должен включать базовые настройки, сертификаты и ключи. Чтобы избежать ручного объединения, создадим небольшой ]Bash-скрипт]: create_client_config.sh #!/bin/bash # Формат использования: create_client_config.sh <clientname> # Перед использованием в SERVER_IP вместо X.X.X.X необходимо указать IP адрес вашего сервера SERVER_IP=X.X.X.X DIR=~/open***-clients cat <(echo -e \ "# Client Open*** config file"\ "\nclient" \ "\ndev tun" \ "\nproto udp" \ "\nremote $SERVER_IP 1194" \ "\nresolv-retry infinite" \ "\nnobind" \ "\nuser nobody" \ "\ngroup nogroup" \ "\npersist-key" \ "\npersist-tun" \ "\nremote-cert-tls server" \ "\nkey-direction 1" \ "\ncipher AES-256-GCM" \ "\nauth SHA256" \ "\nverb 3" \ ) \ <(echo -e "\n<ca>") \ ${DIR}/ca.crt \ <(echo -e "</ca>\n\n<cert>") \ ${DIR}/${1}.crt \ <(echo -e "</cert>\n\n<key>") \ ${DIR}/${1}.key \ <(echo -e "</key>\n\n<tls-crypt>") \ ${DIR}/ta.key \ <(echo -e "</tls-crypt>") \ > ${DIR}/${1}.o*** В скрипте замените ]X.X.X.X] на IP-адрес вашего сервера. Затем сохраните файл в любой удобной директории и сделайте его исполняемым:[CODE=code]chmod +x create_client_config.sh [/CODE]Генерируем .o*** файл для клиента client1:[CODE=code]./create_client_config.sh client1 [/CODE] Готово! В папке ]~/open***-clients] появился файл ]client1.o***]. Скачайте его и импортируйте в любой Open***-клиент или на роутер, поддерживающий эту функцию. Теперь у вас собственный *** и вы можете делать что угодно с ним.
я эти 3 команды использую wget https://git.io/*** -O open***-install.sh sudo chmod +x open***-install.sh sudo bash open***-install.sh и готово
Тема слишком длинная, wireguard панель на сервер можно поставить, создать конфиг и всё https://github.com/denisxab/ext_disk/tree/1.0
Достаточно подробно расписано. Как раз хотел установить опен, а то надоели блокировки. Думаешь опен*** ещё актуален?
MandalorSTAR, ну думаю да это просто самый довольно популярный и простой способ на сегодняшний день но всегда могут заблокировать