Как стать автором
Обновить

Бесплатный VPN сервис Wireguard на AWS

Время на прочтение 11 мин
Количество просмотров 129K
Всего голосов 59: ↑55 и ↓4 +51
Комментарии 135

Комментарии 135

НЛО прилетело и опубликовало эту надпись здесь
Согласен. Свобода одного заканчивается там, где начинается свобода другого. Но не там, где чекистская хунта узурпировавшая власть в стране создает свой чебурнет.
Очень забавно, когда вы хотите соблюдения правил в отношении вас, но не хотите соблюдать правил в отношении их. Да и лозунги у вас сомнительные.
Это не лозунги, а личное мнение, на которое имею полное право.

Причем имеете не только право, но и возможность его высказать совершенно безопасно, несмотря на то, что чекистскую хунту обвиняют в покушении на свободу слова не первый десяток лет.

Расскажите об этом Немцову.
То есть заштатный и забытый всеми Немцов — жертва чекистской хунты, а куда более яркий и деятельный Навальный даже катается по миру несмотря на непогашенную судимость, собирает митинги, занимается успешной пропагандой.

Удивительная непоследовательность чекистской хунты и удивительная нетребовательность к обоснованиям у вас.
А ты на мост Немцова сходи, посмотри какой он забытый. Как ни стараются власти, не получается замять память об этом преступлении nemtsov-most.org
Ну да, только после того, как его объявили невинно убиенным мучеником его и вспомнили. Очень удобно получилось.

А впрочем и сейчас его снова забыли, и это конечно же проделки хунты, которая борется с его памятью иза всех сил.

Очень странные ощущения вызывает чтение этого треда через 4 года.

Какая ещё свобода «их»? Автор запрещает кому-то из «них» выходить в интернет?
Свобода заканчивается там, где начинается насилие над другими людьми. Укажите пожалуйста, в каком месте статьи автор насилует кого-либо?
А это уже конституция а не декларация.
Вы зря апеллируете к закону.
Самые большие злодеяния в истории человечества, были совершенно законны.
Я понимаю что декларация прав человека это как бы не закон, но всё одно зря.
Что-бы человечество не написало в законах, реальный мир, от этого не изменится.

добавлю насчёт амазона, что назначение elastic ip здесь несколько излишне – амазон будет брать за него деньги если машинку остановить, не освободив адрес. автоназначенные IP ничем не хуже, только амазон сразу заберёт его обратно если машинку остановить (ребут не считается остановкой) – и не будет брать денег… так что мой совет на 2.1.2 оставить настройки по умолчанию и полностью пропустить 2.2…


второй совет – полученный айпишник сразу проверить на телеграмовском боте @rknblockbot – хоть подсети амазона и разблокировали, отдельных айпишников в блоке осталось огромное множество, и время от времени они пользователям выпадают. если айпишник был автоназначен – достаточно остановить и снова запустить машинку. если используется elastic ip – его надо release-нуть и выделить заново…


третий совет – история показывает, что амазон могут заблокировать целиком или частично в любой момент, и особенно подвержены блокировкам как раз регионы, которые удобны для размещения VPN пользователей из России – Лондон и Франкфурт. кроме того часто влетают в блок адреса из стандартного региона – Северной Вирджинии и почему-то Огайо. я бы вообще не пользовался для VPN амазоном – для него подойдёт любой самый дешёвый KVM. можно подобрать на lowendbox.com любой в Европе с достаточно большим лимитом на трафик – и настроить его точно таким же образом…

Вот за что люблю Хабр, за то, что всегда тут дадут дельные советы. Спасибо.
Учту ваши замечания в следующей версии скрипта и документации. Или ссылку дам на этот комментарий.

лучше уже не скрипт + картинки + документация, а terraform || cloudformation || ansible || etc.

Да, следующий мануал — разворачивание Wireguard через ansible

Деньги за EIP берутся только в случае если он не прикреплен к инстансу

Чем хуже Outline от Google? Можно также создать инстанс в AWS и развернуть Outline всего лишь одной командой.
Да думаю ничем не хуже, только регулярно надо платить, 5$ в месяц, если я не ошибаюсь. А тут на год бесплатно. Особо изворотливые могут зарегистрировать еще аккаунт по истечении года на другую виртуальную карту. Хотя это конечно противоречит соглашению об использовании сервисов AWS, и так делать нехорошо. Ну либо перенести Wireguard на Google Cloud, Azure, там схожие условия бесплатного использования на 1 год.
Так AWS ведь предоставляет бесплатный инстанс сроком на 12 месяцев, как Вы и написали в этой статье.
Outline предназначен только для выхода в Интернет, т.е. работает как обычный коммерческий VPN — и всё.

Wireguard позволяет клиентам общаться друг с другом, т.е. можно построить защищённую виртуальную сеть и иметь удалённый доступ одновременно ко всем своим хостам, можно разграничить её (например, чтобы ноутбук мог ходить на рабочий компьютер и домашний сервер, а рабочий компьютер домашний сервер не видел).
Статья в первую очередь про обход блокировки. Поэтому я и привёл в пример Outline
Это понятно, но если есть возможность получить расширенный функционал за те же деньги — почему бы его не получить.

У Outline плюс именно в однокнопочности, этого не отнять. Больше ничего интересного в нём не увидел.
У wireguard'а есть одна проблема: если указать на сервере пиру в AllowedIps 0.0.0.0/0, то будет ходить мультикаст, но остальные клиенты не смогут подключиться, а если указать конкретный IP, то подключиться сможет много клиентов, но к ним не будет ходить мультикаст.

На своем сервере пришлось создать два интерфейса: один для домашнего роутера, чтобы ospf работал, другой — для телефонов/ноутбуков.
Благодарю, полезное уточнение. Хотя надо еще «поиграться» с этим конечно. Поднять несколько тестовых конфигураций. Я лично еще не сталкивался с такими ограничениями.
Если нужно подключить несколько роутеров, телефонов и ноутбуков на один интерфейс, то можно использовать bgp вместо ospf.
А BGP разве не через мультикаст ходит? Давно с этим разбирался, но вроде бы все это семейство протоколов работало очень похоже

BGP для своих сообщений использует юникастный TCP. Главная идея в том, что пиры чаще всего не находятся в одном бородкаст-домене. А OSPF — да, мультикастит.

Тогда да, можно пробовать и тестить
Хотя вроде бы BGP сильно сложнее настраивать
У wireguard'а есть одна проблема: если указать на сервере пиру в AllowedIps 0.0.0.0/0, то будет ходить мультикаст

мультикаст?
в амазоне?
вы шутите?

Какая разница, амазон или кто-то еще, если мы говорим про туннель?
Спасибо за подробное толковое описание настроек.
Будем надеяться, что нам не отключат оплату картами. Это будет один из самых действенных методов по части борьбы с VPN имхо.
Если вы пишете статью, ориентированную на людей «далеких от ИТ», то было бы здорово добавить информацию о том, как защитить свой аккаунт, как добавить двухфакторную аутентификацию, роли, политику паролей, как настроить мониторинг счета, чтобы оперативно получить письмо о том, что вам выставляют счет за что-то. Иначе есть риск в один прекрасный день обнаружить на своем аккаунте кучу машин и получить за это немаленький счет, как это было в статье

Опять же, то, что при регистрации говорится, что аккаунт бесплатный — это не значит, что бесплатно будет все. Об этом тоже стоит сказать. Я в свое время забыл отключить два белых IP-адреса, на которых тестил работу. За ночь, пока они висели, пришлось заплатить пару долларов.

По поводу подтверждения аккаунта добавлю немного от себя. Год назад регил также бесплатный аккаунт для учебы. Спустя пару минут его заблокировали и попросили прислать в качестве подтверждения адреса фото какого-нибудь документа, где видно мое имя и мой почтовый адрес. Я отправил им фото квитанции за коммунальные услуги) После этого аккаунт разблокировали. Спрашивал потом у ребят в группе, у всех было примерно то же самое.
Если вы пишете статью, ориентированную на людей «далеких от ИТ», то было бы здорово добавить информацию о том…
Мне кажется, это совсем отдельная тема и лучше найти мануал конкретно по ней, чем превращать эту статью в глобальный справочник по AWS.
Иначе есть риск в один прекрасный день обнаружить на своем аккаунте кучу машин и получить за это немаленький счет, как это было в статье


Вопрос безопасности осветить нужно обязательно, 12к$ не шутки.
Эта статья точно не для людей далеких от ИТ, скорее для опытных пользователей. Далеким точно не стоит свой разворачивать а просто купить или найти бесплатный.
НЛО прилетело и опубликовало эту надпись здесь
Таких целей не преследую. Да и майнинг нынче дело неблагодарное. Да даже если бы и благодарное было бы. Тем и хорош opensource что всегда можно проинспектировать код. Шила в мешке не утаишь.
Кстати, спасибо что помогли найти ошибку. Тут другой репозиторий должен быть github.com/isystem-io/wireguard-aws. Забыл исправить.
Ни у кого не возникло проблем с оплатой? У меня Visa Virtuon, которой давно оплачиваю всё в интернете, интернет-транзакции на ней открыты. Пробные 1-долларовые снятия в Плэй маркете или Апп сторе проходят всегда. А AWS не смог снять.
Почему именно Wireguard? Чем он лучше обычного и привычного OpenVPN? Хоть в двух словах расскажите об особенностях этого сервиса.
Не понял, зачем надо было клонировать git? На сайте проекта есть репозиторий, его можно подключить и устанавливать обычным способом, через apt-get.

Рекомендую все до 4 пункта — убрать под спойлер, ибо там все совсем для домохозяек. Ясное дело, это тоже полезно, но на этом ресурсе, скорее не обязательно. Если кто даст ссылку на статью далекому от всего этого человеку — то подробный мануал он найдет под спойлером, а если человек в теме, он не будет скроллить простыню скринов.

Ну или сделайте оглавление и расставьте якоря по статье.
Я для себя решил использовать wireguard вместо openvpn, потому что нет долгого хендшейка.
То есть при переходе с LTE на WiFi и обратно телефон просто продолжает работать.
В случае с OpenVPN получается соединение секунд на 15.

Да, еще значительно меньшая нагрузка на проц. После подключения wireguard телефон стал разряжаться на 10% в день больше. OpenVPN отжирал 30-40%
Странно… Я на разных виртуалках поднимал ОпенВПН, в разных странах и разных системах. 15 секунд это очень долго, проблема не в ОпенВПН, надо искать в другом месте.

Только что проверил на смарте. К DO, в данный момент, коннектится секунды 4 и это долго по моему, к ITLDC меньше секунды и это нормально.
Может быть настройка у меня не оптимальна, но wireguard даже секунды не дает :)
Плюс скорость все же чуток повыше, чем через ovpn (хоть и не в разы)
Так я же написал, что коннект меньше чем за секунду — это норма для ОпенВПН. Скорость больше всего на Shadowsocks, там сервис меньше грузит процессор.

Вопщем, выбор странный и мне, как не специалисту — непонятен. Клиент для ОпенВПН откуда угодно можно скачать, все привычно и стандартно.
А можно клиентский конфиг ovpn? У меня вот такой

dev tap
tls-client
client
resolv-retry infinite
redirect-gateway def1
nobind
ca ca.crt
cert cert.crt
key cert.key
tls-auth ta.key 1
comp-lzo
ns-cert-type server
verb 3
cipher AES-128-CBC
Как-то так:
Заголовок спойлера
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 195.***.***.*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Certificate:
Data:
Version: 3 (0x2)
Serial Number:

Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=ChangeMe
Validity
Not Before: Apr 20 10:02:29 2018 GMT
Not After : Apr 17 10:02:29 2028 GMT
Subject: CN=itlds-01
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:

Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Subject Key Identifier:

X509v3 Authority Key Identifier:

DirName:/CN=ChangeMe

X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage:
Digital Signature
Signature Algorithm: sha256WithRSAEncryption

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN

Static key V1-----
</tls-auth>


Ключи и сертификаты поскипал, айпишник тоже.
На телефоне сейчас не настроено, на ноуте подключение шло 9 секунд. Судя по логу подключения дольше всего выполняется client.up скрипт (7 секунд).
А не настоящий сварщик, вот конкретно этот конфиг сгенерен одним из скриптов, которые разворачивают ОпенВПН в Докере. Образ и скрипт качал с Гитхаба. Коннектится меньше секунды, детальные логи не смотрел.
Почему именно Wireguard? Чем он лучше обычного и привычного OpenVPN?

Тут есть ответы: https://habr.com/en/post/432686/
О Интересно, как я это пропустил. Спасиб, сейчас почитаю )
Мне кажется, что люди, далекие от ИТ, ничего не смогут сделать по этому ману, да все понятно и подробно, но слишком он большой и нифига не юзерфрендли.
Я бы предложил, для людей далеких от ИТ, использовать protonVPN.
Бесплатный, рекламы нет, в плане проблем с безопасностью пока не засветился, ну и для работы надо просто поставить приложение и нажать кнопку Connect.
это действительно юзерфрендли.
Проблема в том, что подобные публичные сервисы уже кошмарят во всю. А свой собственный VPN крутится на виртуалке и никто к нему не докопается. У меня один VPN на DO еще с 12 года работает, все лишнее там закрыто, система и сервис не обновлялся уже несколько лет — но пашет без единой проблемы.
Ну, заблокировать proton крайне просто — он на узком диапазон ip сидит, и нигде кроме vpn и шифрованных мейлов не используется. Как только появится достаточное количество клиентов, его просто заблочат вместе с protonmail. А амазон — наоборот, заблочить не получилось — разблокировали после жалоб.
полностью с вами согласен, но я говорил о том что для людей далеких от ИТ этот ман, к сожалению, ничем не поможет.

Далёкие люди не сидят на хабре.

Человек не с Хабра — может нагуглить этот мануал. Индексируется он только в путь и ранжируется в выдаче высоко.

Далекие люди не будут гуглить как поднять свой VPN, а если все таки нагуглят, то наверное это реально самый простой мануал по настройке VPN сервера.

В пунктах 2.2.4, 2.2.5 и 2.2.7 забыли замазать свой адрес.
Вот спасибо. Как ни старался все замазать, все равно проглядел! Придется теперь выделять другой адрес и переконфигурировать wireguard

Как уже выше писали, заблокируют амазон и опять это вас не спасет от блокировок. Так что решение сомнительное. К тому же вы палите все свои персональные данные амазону. Где гарантия, что амазон не предоставит их по запросу правоохранительных органов РФ?


Скорость даже до 20Мбит не дотягивает… смешно! Ну а чего вы хотели за бесплатно?


Не те цели вы себе поставили. Хотите бороться с блокировками? — вступайте в Пиратскую Партию России (вход бесплатный), участвуйте в митингах, да хоть в спорт-лото пишите… хоть как-то проявляйте свою гражданскую позицию!


На счет способов обхода блокировок РКН: сам по себе обход блокировки уже является противозаконным действием и за это могут привлечь (статью ищите сами, если не найдете, ожидайте что привлекут за создание и распространение вредоносного ПО, как это уже было с разработчиком хака для 1С). Так что если уж нарушать, так нарушать — качай [удалено], ломай забугорные роутеры, включай VPN на них — скорость, анонимность, бесплатно, не попадает в массовые блокировки, проще чем поднять AWS. Кстати обойтись можно и без хак-утилит, уже все взломано на 3wifi и Shodan.

К тому же вы палите все свои персональные данные амазону.

ув. кул-хацкер уверен, или просто так: абы набросить?

Уверен. Скрин морды регистрации для ленивых:
image
А так же советую почитать agreement по ссылке из чекбокса, который всегда надо отмечать не читая.
За обращение «ув.» я так и быть переведу для вас первые два подпункта гугл-переводчиком:
1.1 Основное. Вы можете получить доступ и использовать услуги в соответствии с настоящим Соглашением. Соглашения об уровне обслуживания и условия обслуживания применяются к определенным предложениям услуг. Вы обязуетесь соблюдать условия данного соглашения и все законы, правила и положения, применимые к использованию предлагаемых услуг.

1.2 Ваш аккаунт. Для доступа к сервисам необходимо иметь учетную запись AWS, связанную с действительным адресом электронной почты и действительной платежной формой. Если это явно не разрешено условиями обслуживания, вы создадите только одну учетную запись на адрес электронной почты.

Под законами может пониматься в том числе местное законодательство (обрати внимание на п.4.2). Под платежной формой понимается счет в банке, по которому вас смогут идентифицировать.
Еще советую обратить внимание на п.7.2b(ii)C, исходя из которого можно сделать вывод, что с правительствами они сотрудничают, в отличае от Telegram.
Для минусующих советую прочитать таки agreement хотя бы раз в жизни, чтоб иметь хотябы предсталение о чем там пишут.
После прочтения задайте себе пару вопросов:
1. Может ли AWS получить доступ к ключам шифрования и вскрыть весь траффик?
2. Может ли AWS передать полученные данные по запросу правоохранительных органов?
НЛО прилетело и опубликовало эту надпись здесь
Я где-то слышал, что AWS и GCP могут чарджнуть по факту выжранных ресурсов по самое не хочу. От их использования останавливало только это. Можно как-то залимитить, чтобы с меня не могли списать лишнего? что если я привяжу виртуалку с небольшим балансом?
Можно настроить алерты по куче параметров, я настроил на бабло, если у меня расходы на AWS превышают 5 баксов — он мне кричит в мейл.
Если расходы превышают 5 баксов на 995 баксов алерт будет бесполезен.
И каким образом можно попасть на килобакс при работе в бесплатных лимитах ФриТир? Конечно аккаунт могут мзломать и повесить туда майнера на ГПУ, но реально то что должно произойти в ВПС?
И каким образом можно попасть на килобакс при работе в бесплатных лимитах ФриТир?
Вы карту привязали при регистрации? Чекбокс на agreement поставили?
Вариант 1, на карте есть килобакс: Списание производится не сразу, а например раз в сутки. За сутки набежало траффика/нагрузки на килобакс, списали. Виртуалок на одном аккаунте может быть много.
Вариант 2, на карте нет килобакса, но он есть на соседнем счету: Подадут в суд Люксембурга, выиграют дело, претензию передадут ваш банк, банк спишет в их пользу.
В AWS платный трафик, так что даже «бесплатная» виртуалка может накачать неплохо. Ломанут, утекут ключи или ещё какая-нить беда может приключиться.
Еще хочу сказать, что в метрошном wifi (Москва) после рекламного переподключения любой vpn кроме как через tcp 80/443 отваливается минут через 10. Да и в публичных wifi разных организаций часто блочат все порты кроме 80 и 443.
После того, как Мегафон сделал стабильный коннект по тоннелям где я обычно езжу — я больше не вижу смысла в этом метрошном вайфае.
А можно ещё подробно написать, где и как можно попасть на деньги при этом подходе? Не снимут ли деньги по истечении года? Какие ещё могут быть засады?
Да, я видимо не уделил должного внимания этому вопросу. Так как сам во время использования AWS заплатил непредвиденные затраты на сумму чуть меньше доллара.
Как уже сказали выше, зарезервировал Elastic IP для второго инстанса, а машину остановил. И за простой Elastic IP пришлось заплатить несколько центов. Плюс иногда забывал отключать на телевизионной приставке соединение (в Казахстане частенько Youtube и Facebook по вечерам блочат) и в итоге превышал к концу месяца лимит в 15 Gb, и пару центов тоже счета выставляли.
Тут такой подход — включил — попользовался и отключил. Тогда все будет хорошо, и лимиты не превысишь.

Чтобы не заботиться о лимитах, можно арендовать какой-нибудь VPS недорогой с безлимитным трафиком — установить этим же скриптом, и забыть об ограничениях.
Тут такой подход — включил — попользовался и отключил
Пробовал так делать, но постоянно куда-то лазить и дергать инстанс туда-сюда — настолько быстро надоедает, что проще оставить постоянно включенным и пользоваться им разумно, выключая клиент, а не сервер.
Я про клиент и имел ввиду. Инстанс останавливать нельзя, иначе пойдут счета за аренду неиспользуемого Elastic IP
Нафиг такую халяву. Всего на год, с ограничениями, с палевом своих данных еще и с риском попасть на деньги. Проще нормальный недорогой vps найти.
Ну тут уж каждый решает сам, что ему проще и выгоднее. Мне вот проще оказалось поднять бесплатный инстанс на AWS, чем покупать VPS.
Это только кажется, что бесплатный год — долго. На самом деле пойдёт он достаточно быстро и начнётся поиск, где ближе и дешевле. Причём, Амазон не так давно снизил цены, а 5-6 при назад их самый простой инстанс стоил дороже, чем у DO.
Да, согласен. Год пролетит и не заметишь. Так и произошло. Вроде недавно настроил. А уже год к концу подходит. Но у меня есть еще Google Cloud и Azure. Еще 2 года в запасе.
НЛО прилетело и опубликовало эту надпись здесь
типа, сделай так, и сможешь нарушать закон как угодно


Обход блокировки не считается нарушением закона.

А нарушать закон не стоит в любом случае. С ВПН или без него.
Wireguard написал известный профессионал в области информационной безопасности. Прочитай про это него.
1. Могу еще добавить, что в качестве карты лучше использовать виртуальную на которой небольшая сумма денег (100руб), и в случае ошибки больше этой суммы — не спишется.
2. Через год финт с бесплатным vpn можно повторить. Для этого:
— я перевыпустил виртуальную карту, чтобы номер изменился (в яндекс-деньгах это бесплатно, но аккаунт должен быть идентифицированный)
— зарегистрировал новый аккаунт в amazon (c новой симки + новый e-mail, но не факт что новая симка необходима)
3. Чтобы меньше зависеть от elastic-ip адреса, который меняется как минимум раз в год, можно зарегать бесплатный домен в tk-зоне (dot.tk) и раздавать друзьям\родственникам vpn\proxy по доменному имени, а не ip-адресу. Эти tk-домены бесплатны 1 год, но за 2 недели до окончания срока, можно заходить в личный кабинет и продливать еще на год бесплатно.
У меня раньше на AWS именно OpenVPN крутился. Но он менее удобен и быстр чем Wireguard. К тому же поехал в Египет — а там его детектят на раз, и блокируют. После этого и решил перейти на Wireguard.
Можно сказать даже что OpenVPN — это устаревшая технология. Но если и использовать, то уж лучше тогда не образ, я поднимал так же автоматически с помощью скрипта github.com/redgeoff/openvpn-server-vagrant
Клиент Wireguard ещё очень хорош на мобильных устройствах (если ядро собрано с его поддержкой). Он меньше расходует заряд аккумулятора.
НЛО прилетело и опубликовало эту надпись здесь
Кстати да. Отличный набор и удобно настраивается.
Ну вот спасибо. Благодаря этому посту узнал о такой классной штуке.
Какие-то у Вас совсем грустные пинги до Европы… Но в любом случае, из Ваших speedtest'ов я выбрал бы Франкфурт, а не Лондон, т.к. с ним latency меньше, а при увеличении latency скорость внутри тоннеля падает просто катастрофически.

В Вашем случае, т.к. скорость до VPN-сервера сама по себе не велика, это может быть незаметно, но если условия позволяют рассчитывать хотя бы на 50-100 Мбит/с — то тут каждые 10 мс пинга очень сильно меняют картинку. Хотя Wireguard в этом случае заметно лучше OpenVPN справляется, да.
Какая-то жесть. github.com/trailofbits/algo для кого сделали? Все заработает из каропки, в том числе профили IPSec для windows 10
Использование wg-quick не кошерно для информационной безопасности. И если есть постоянный IP дома, то лучше указать его при настройках открытия портов вместо 0.0.0.0/0. При наличии доступа к аккаунту AWS при необходимости это легко меняется.
Лучше все реализовывать через Ansible, как это сделали в Streisand.
Про ElasticIP уже написали, но не упомянули про хороший сервис AWS Instance Scheduler позволяющий настроить запуск и остановку инстанса. При этом Вы можете держать до 3 инстансов в бесплатной версии AWS, запуская их с соблюдением условия общего времени работы 750 час. в месяц. Ну и еще один плюс при выключении и включении IP адрес AWS инстанса меняется, но доменное имя остается.
Для тех кто не понял шутки автора про Nur-Sultan:
Это конечно да, но я вот с этого упал под стол, правда чтобы это понять, надо быть казахом, или прожить жизнь в Казахстане
А почему не softether?
Куча протоколов, включая свой, пробивает любой NAT (хоть сервер за NAT ставь), штатные клиенты на андроиде и винде, возможность косить под https…
ГУёвая настройка (виндовая утилитка)…
Ставится на любой утюг легко и просто…
На Андроиде у него есть только обычный ОпенВПН без плюшек.
l2tp/ipsec штатным андроидовским клиентом цепляется.
Хотя, пройдёт ли он через нат на стороне сервера — не знаю — скорее всего нет.
А… ну да. без софтового клиента «родной» протокол по 443 порту не прокатит.
Но всёравно 2 варианта — либо openvpn, либо l2tp/ipsec
Но вообще после openvpn, softether мне показался куда проще и приятнее и в установке, и в настройке.
Вообще на распберри чуть ли ни первой модели, на 4г флешки крутится дома. А тут — целая бубунта и 30 г диска.
Софтэзер странно развивается, официально не поддерживается даже Убунту и установка там костыльно-велосипедная из исходников. ОпенВПН — самый обычный apt-get из репозитория, на любой системе, плюс куча готовых скриптов, много готовых предустановленных образов у облачных провайдеров, докерных контейнеров и тд тп тд тп.

А клиент на Андроиде обычный — ОпенВПН у обоих сервисов.
Подскажите, пожалуйста, как клиент и сервер будут соединяться, если оба за NATом?
Если сервер за NAT, можно настроить проброс портов.
Через «облачный релей», насколько я понял.
Сервер и клиент коннектятся к удалённому серверу, и гонят шифрованный трафик через него.
я честно не земетил преимуществ скорости WireGuard над OpenVPN которое вроде как должно быть, но тут видимо aruba виновата) а вот установка и настройка много удобнее как по мне
в итоге и то и то держу, ибо роутер не умеет ничего вроме OpenVPN(
OpenWRT имеет пакет Wireguard
да просто нет смысла его шить уже, менять надо (ибо только 2,4 и тд), вот перееду в скором времени, так сразу)
Уже давно не возвращают 1$ (года 2 как, хотя конечно если через год когда начнете платить то и вычтут — не доходил до этого этапа). Но все равно, 1 бакс за год использования пусть и слабеньким но ВПС — оно того стоит.
мне возвращали
А как VPN поможет против DPI, который собрались вводить уже осенью?
На хабре есть пост, возможные решения. Маскировать VPN тоннель под другие разрешенные соединения.
надеюсь что поможет. А то у меня подписка к tunelBear скоро заканчивается, вот думаю — продлять или нет )
Эммм, у меня есть смутное подозрение что этот конфиг не защищает от ipv6 утечки, когда провайдер вам дает еще и ipv6 адрес, и весь трафик уходит туда, а не в ipv4 туннель.
Хотел настроить, это не так сложно, AWS мне не дал настроить ipv6 на уровне бесплатного использования, хотя это может я туплю.

настройка ipv6 на aws возможна, но кнопки «вкл» для этого нет :)


во-первых, ipv6 надо добавить в виртуальную сеть (vpc), в которой размещена машинка.


а) открываем отдельную консоль VPC (сверху services -> network and management -> vpc), потом б) идём в Your VPCs, выбираем свою сеть и нажимаем Actions -> Edit CIDRs. скорее всего там будет ipv4-сеть и для ipv6 будет 1 remaining рядом с кнопкой Add. в) жмём Add и получаем сеть /56


в этом месте думаем о том что ipv6-адреса у машинок всегда фиксированные и всегда публичные – то есть если на машинке есть что-то чувствительное и нет фаервола – через ipv6 туда смогут ходить все желающие…


после того как сетка выделена на сеть, её нужно раскидать на подсетки по AZ, идём в Subnets – тут можно «обработать» все subnets или только те, в которых запущены машинки (если лень :) ). так что г) выбираем subnet и жмём actions -> edit ipv6 cidrs. скорее всего там тоже будет 1 remaining. нажимаем Add – указываем числовой префикс (например 00) и получаем /64 на конкретный subnet. д) опять выбираем этот subnet и жмём actions -> modify auto-assign ip settings. там ставим галку чтобы автоматом назначать ipv6 всем новым машинкам, этот пункт опционален. теперь надо поставить ipv6 на маршрутизацию в интернет – е) выбираем слева route tables, выбираем табличку для своей vps и жмём actions -> edit routes, там жмём add route и указываем ::/0 в destination и в target копируем igw тот же что для ipv4-маршрута.


на этом настройка vpc закончилась, но уже запущенная машинка стоит без ipv6-адреса. ж) возвращаемся в ec2-консоль, выбираем машинку и жмём actions -> networking -> manage ip addresses. там в блоке ipv6 addresses нажимаем assign new ip и в поле оставляем auto-assign. нажимаем yes, update, закрываем диалог и – квест завершён! всем спасибо за внимание :)

Мое уважение!
Хотелось бы добавить. Я не уверен что это надо делать в случае с AWS, но обычно при выдаче клиенту какого-либо ipv6 адреса нужно настроить proxy_ndp на сервере чтобы он отвечал на ipv6 arp запросы. Для этого нужно при подключении клиента добавить его адресс
ip -6 neigh add proxy client:ip:v:6 dev to_the_world

Ну а при пропадании туннеля нужно соответственно этот адрес удалить. Либо настроить ndppd на сервере.
Скажите пожалуйста, если отойти от рекламы где и как купить VPN, то не легче ли будет просто с помощью putty, или уже в установленном по дефолту в windows 10 pro клиенте ssh, подключиться по ssh с поднятием туннеля, и уже в туннель(в локальный порт) заворачивать свои приложения на компьютере, отдельный трафик, разве так не легче, (ведь тогда никакие дополнительные настройки VPN вообще не требуются)?
Далеко не все программы умеют работать с socks-proxy, который вы предлагаете в своём варианте. Ещё меньше таких программ заработают на телефоне/телевизоре/прочих устройствах. Особенность полноценного VPN ещё и в том, что его можно перенести на роутер и получить желаемый результат на всех устройствах в сети.
Не забывайте что американская компания Амазон может заблокировать ваш аккаунт в подозрении что вы государственный троль который хочет сорвать очередные американские выборы.

Вмешательство в выборы, в США, пригожинских троллей — это не подозрение а уже доказанный факт. Сам Пригожин — работает на одного мужчину с пониженной социальной ответственностью, известного под кличками «окурок\моль\][уйло»
И таки да, заблокирует, если действительно тролль.
А какой лимит датацентов/виртуалок в бесплатной подписке? Могу ли я запустить дополнительную виртуалку в другом датацентре? Будет ли за это взиматься допплата?
750 часов бесплатных часов в месяц/ 24 часа = 31.25 дней может работать одна виртуалка бесплатного уровня.
Можно запускать хоть 10 виртуалок бесплатного уровня в разных датацентрах, но главное чтобы их совокупное время работы не превышало 750 часов.
Выше говорили о планировщике AWS, можно его настроить чтобы автоматом инстансы включались и отключались, и чтобы их общее время работы не превысило 750 часов.
У амазона можно через curl интерфейс узнать внешние и внутренние адреса машинки.

Тоесть можно это просто добавить в скрипт и не заставлять пользователя разбираться.

Вот тут описано как
stackoverflow.com/questions/38679346/get-public-ip-address-on-current-ec2-instance
Вот спасибо. Учту в следующей версии обязательно. Век живи, век учись.
pprometey С чего можно начать дебажить если почему то не подключается не с телефона, не с компьютера?
Напишите пожалуйста что использование VPN не противоречит их ToS
Спасибо за интересную статью. Подскажите, что надо сделать, чтоб открыть доступ в сети TOR и I2P?

У Wireguard вижу 3 недостатка, о которых скромно умалчивают все авторы мануалов:

1. Декстоп-клиент для Windows требует админских прав для установки соединения(!). Нет, на роутер установить нелья, пользователь работает на ноуте с разных мест.
2. В конфигурации можно указать адреса подсетей, куда нужно ходить "мимо туннеля", но нельзя указать "ходи через туннель только для вот этих адресов/доменов". Про опции PreUp, PostUp, PreDown, PostDown знаю, но ... см. п. 1
3. Если что-то случилось с сервером (пропал инет-канал до него, сам сервер остановлен или некорректно настроен) - клиент бодро подключается, не сообщая об ошибке (!), "заворачивая маршрутизацию на себя", и ... клиентское место остаётся без связи с внешним миром...

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории