Фигаро здесь, Фигаро там. Обзор сервисов и VPS-хостеров для создания VPN

Введение

Преж­де все­го, опре­делим­ся со сфе­рой исполь­зования VPN и отли­чиями его как от Tor, так и от обыч­ных прок­си. Перед пос­ледни­ми у тон­нелей есть гро­мад­ное пре­иму­щес­тво — они обес­печива­ют шиф­рование, что поз­воля­ет защитить­ся от сни­фин­га на уров­не про­вай­дера. Если же срав­нивать VPN с Tor, очень мно­гое зависит от того, нас­коль­ко ты доверя­ешь выход­ным узлам лукович­ной сети. В слу­чае с тон­нелями так­же мож­но исполь­зовать два (и более) сер­вера.

Су­щес­тву­ет нес­коль­ко типов VPN, одна­ко нас инте­ресу­ют глав­ным обра­зом те, которые мы можем соз­дать сами на осно­ве VPS. Понят­но, что бес­плат­но подоб­ного не быва­ет (а если и быва­ет, то качес­тво оставля­ет желать луч­шего), но зато боль­шинс­тво хос­теров пре­дос­тавля­ет проб­ный пери­од, в течение которо­го мож­но оце­нить, под­ходит ли дан­ный вир­туаль­ный сер­вер для VPN.

Тем не менее, помимо самос­борных VPN, сущес­тву­ют уже готовые сер­висы, которые пре­дос­тавля­ют шиф­рован­ные тон­нели. Нас­чет их кон­фиден­циаль­нос­ти слож­но ска­зать что‑то опре­делен­ное, но сре­ди дан­ных сер­висов есть и бес­плат­ные, чего для обхо­да цен­зуры в ряде слу­чаев дос­таточ­но.

Проб­лему выбора и нас­трой­ки VPN — как готовых, так и на осно­ве VPS — мы и рас­смот­рим.

Подготовка и обзор готовых VPN-сервисов

Спер­ва рас­смот­рим готовые VPN-сер­висы. Речь, разуме­ется, не идет о прог­раммах, которые работа­ют на осно­ве каких‑то сво­их про­токо­лов. Мы говорим о стан­дар­тных средс­твах, под­держи­ваемых Linux. К их чис­лу отно­сят­ся сле­дующие про­токо­лы и при­ложе­ния:

• PPTP — ста­рый (даже мож­но ска­зать, древ­ний) про­токол, раз­работан­ный в Microsoft и при­меня­емый аж с 1996 года. На дан­ный момент его при­мене­ние не рекомен­дует­ся из‑за уяз­вимос­тей;
• IPSec — семей­ство про­токо­лов для VPN. Зачас­тую при­меня­ется вмес­те с L2TP. На мой взгляд, дан­ное семей­ство избы­точ­но слож­но;
• OpenVPN — на сегод­няшний день самая популяр­ная реали­зация VPN. В качес­тве бэкен­да исполь­зует­ся про­токол TLS и драй­веры TUN/TAP.

Есть еще менее рас­простра­нен­ные вари­анты соз­дания VPN-соеди­нения — нап­ример, мож­но сде­лать шиф­рован­ный тон­нель, исполь­зуя PPP поверх OpenSSH. Но эти методы мы в статье зат­рагивать не будем.

В даль­нейшем нам понадо­бит­ся OpenVPN, так что нелиш­ним будет уста­новить дан­ный пакет на кли­ент­ской сто­роне, а заод­но и пла­гин для Network Manager (пред­полага­ется, что исполь­зует­ся какая‑либо из пос­ледних вер­сий Ubuntu):

Пе­рей­дем наконец к VPN-сер­висам.

vpngate.net

Су­щес­тву­ют ресур­сы, где мож­но най­ти спи­сок обще­дос­тупных VPN-про­вай­деров. Нап­ример, vpngate.net — япон­ский ресурс, соз­данный в качес­тве иссле­дова­тель­ско­го про­екта Цукуб­ско­го уни­вер­ситета. При­соеди­нить­ся к про­екту может любой жела­ющий, что, таким обра­зом, соз­дает некий ана­лог сети Tor. Для того что­бы под­клю­чить­ся к какому‑нибудь VPN-сер­веру из дан­ного спис­ка, нуж­но выб­рать его на свой вкус (понят­но, луч­ше все­го под­ходят машины с малым вре­менем пин­га и широкой полосой про­пус­кания), затем выб­рать тип соеди­нения (пос­коль­ку мы рас­смат­рива­ем OpenVPN, то и под­клю­чать­ся будем к OpenVPN) и, наконец, выб­рать файл кон­фигура­ции. Как пра­вило, их на каж­дый сер­вер четыре шту­ки — hostname/TCP, hostname/UDP, IP-адрес/TCP и IP-адрес/UDP.

Пос­ле выбора и заг­рузки кон­фига отту­да нуж­но вытащить сер­тификат — для это­го откры­ваем ска­чан­ный файл и копиру­ем все, что находит­ся меж­ду , в отдель­ный файл с рас­ширени­ем crt, сох­раняя tuj в UNIX-фор­мате строк. Затем (в слу­чае исполь­зования Network Manager) добав­ляем новое соеди­нение и в типе соз­дава­емо­го соеди­нения ука­зыва­ем «Импорти­ровать сох­ранен­ные парамет­ры VPN», пос­ле чего выбира­ем файл, который мы ска­чали. Ука­зыва­ем тип аутен­тифика­ции по паролю, вби­ваем имя поль­зовате­ля и пароль (на момент написа­ния статьи это была пара vpn/vpn) и выбира­ем ранее сох­ранен­ный сер­тификат ЦС. Все, пос­ле сох­ранения мож­но под­клю­чать­ся.

В коман­дной же стро­ке все еще про­ще — для под­клю­чения дос­таточ­но наб­рать сле­дующее:

Вмес­то vpngate_vpn417604226.opengw.net_udp_1512.ovpn, естес­твен­но, нуж­но пос­тавить свое имя фай­ла. Кро­ме того, сто­ит обра­тить вни­мание, что в слу­чае исполь­зования этой коман­ды дол­жен быть ука­зан пуб­личный DNS-сер­вер — ина­че домен­ные име­на поп­росту не будут резол­вить­ся.

А вот с кон­фиден­циаль­ностью у дан­ного про­екта не очень, о чем нас чес­тно пре­дуп­режда­ют на самом сай­те vpngate. Логи пакетов (точ­нее, заголов­ков) хра­нят­ся в течение двух недель. Логи же соеди­нений (кто ког­да с кем) и того боль­ше — три и более месяца. Так­же они реаги­руют на абу­зы.

vpnbook.com

Этот сер­вис пре­дос­тавля­ет VPN в Румынии и Гер­мании. Сам веб‑сер­вер тоже находит­ся в Румынии, одна­ко в кон­тактах ука­зана Швей­цария. Ресурс обще­извес­тный, так что впол­не веро­ятно, что его уже вез­де переба­нили. Кро­ме того, сре­ди дос­тупных сер­веров име­ются еще и сер­веры США и Канады, которые заточе­ны под веб‑сер­финг и для P2P не годят­ся. Нас­трой­ка с исполь­зовани­ем Network Manager прак­тичес­ки иден­тична пре­дыду­щему слу­чаю — за исклю­чени­ем того, что пароли там меня­ются раз в две недели, а DNS нуж­но про­писы­вать руч­ками. Для это­го на вклад­ке «Парамет­ры IPv4» в спо­собе нас­трой­ки ста­вим «Авто­мати­чес­ки (VPN, толь­ко адрес)», а в DNS-сер­верах про­писы­ваем какой‑либо пуб­личный.

О самом сер­висе мож­но ска­зать, что тор­рент‑фай­лы филь­тру­ются, — даже учи­тывая сло­ва на его стра­нич­ке о том, что P2P-тра­фик зап­рещен толь­ко на аме­рикан­ских сер­верах. Так­же непонят­на фак­тичес­кая юрис­дикция дан­ного сер­виса — домен­ное имя зарегис­три­рова­но через пос­редни­ка.

frootvpn.com

FrootVPN уси­лен­но рек­ламиру­ется на The Pirate Bay. Пре­дос­тавля­ет швед­ские адре­са, меня­ющиеся при каж­дом под­клю­чении. Ско­рость при­лич­ная. При регис­тра­ции нуж­но ука­зать email, логин и пароль, при­чем логин и пароль будут исполь­зовать­ся и для под­клю­чения. Пре­дос­тавля­ется как PPTP/L2TP, так и OpenVPN. К сожале­нию, при исполь­зовании Network Manager некото­рые мар­шру­ты по неиз­вес­тным при­чинам не про­писы­вают­ся в таб­лице мар­шру­тиза­ции. Поэто­му при исполь­зовании дан­ного VPN-сер­виса нуж­но запус­кать OpenVPN из коман­дной стро­ки.

На веб‑ресур­се сер­виса утвер­жда­ется, что логи они не хра­нят. В то же вре­мя они не ука­зыва­ют никаких усло­вий исполь­зования. Сами же вла­дель­цы дан­ного сер­виса неиз­вес­тны.

seed4.me

Для раз­нооб­разия рас­ска­жу и о плат­ном PPTP-сер­висе seed4.me. Он под­держи­вает соеди­нение от IP, находя­щих­ся в раз­ных стра­нах, в том чис­ле нидер­ланд­ских, бри­тан­ских, гон­конг­ских... Регис­тра­ция по приг­лашени­ям.

Вкрат­це опи­шу, как нас­тра­ивать в Ubuntu c исполь­зовани­ем Network Manager. Убе­дим­ся, что уста­нов­лен соот­ветс­тву­ющий пакет:

За­тем в самом Network Manager соз­даем PPTP-соеди­нение, в качес­тве шлю­за про­писы­ваем пред­почти­тель­ный по стра­не, имя поль­зовате­ля / пароль — твои email с паролем, которые ты исполь­зовал при регис­тра­ции. Не забыва­ем пос­тавить чек­бокс «Исполь­зовать шиф­рование MPPE» в допол­нитель­ных парамет­рах и выб­рать 128-бит­ное шиф­рование.

Сам сер­вис, как уже было ска­зано, плат­ный, но проб­ный пери­од — неделя — пре­дос­тавля­ется бес­плат­но. При каж­дом под­клю­чении адрес выделя­ется динами­чес­ки. Сер­вис чес­тно пре­дуп­режда­ет, что может в слу­чае чего собирать информа­цию о поль­зовате­лях. К сожале­нию, с некото­рых IP-адре­сов тор­рент (Ubuntu 14.10) качать­ся не желал — но, полагаю, это вина мес­тно­го про­вай­дера, пре­дос­тавля­юще­го IP для VPN, не самого сер­виса. А вот полосу про­пус­кания сер­вис режет — пос­коль­ку поч­ти на всех про­тес­тирован­ных ранее VPN дан­ный тор­рент качал­ся со ско­ростью более 1 Мбит/с. Здесь же выше 800 Кбит/с ско­рость никог­да не под­нималась.

VPN своими руками. Подготовка

Но что, если ты не доверя­ешь VPN-сер­висам? В этом слу­чае есть один путь — под­нять свой собс­твен­ный VPN на осно­ве VPS. Пре­иму­щес­тво это­го спо­соба хотя бы в том, что меж­ду тобой и дата‑цен­тром мень­ше пос­редни­ков. А недос­таток... воз­можный штраф за наруше­ние законов стра­ны юрис­дикции VPS.

Да­вай пос­мотрим, какие у нас тре­бова­ния к VPS. Во‑пер­вых, дол­жна быть под­дер­жка TUN/TAP — и если в гипер­визоре Xen или KVM она име­ет мес­то, то в OpenVZ ее зачас­тую отклю­чают. Во‑вто­рых, он дол­жен недоро­го сто­ить. В‑треть­их, он дол­жен быть более‑менее ста­билен. Кро­ме того, нуж­но вни­матель­но смот­реть пра­вила исполь­зования — в про­тив­ном слу­чае твой акка­унт поп­росту заб­локиру­ют (если не чего хуже).

Да­лее я опи­шу нес­коль­ко VPS, которые более‑менее соот­ветс­тву­ют задан­ным парамет­рам.

openhosting.com

Это на удив­ление неп­лохой облачный VPS, цена на который начина­ется от 9 дол­ларов за KVM вир­туаль­ную машину (кон­фигура­ция которой впол­не дос­таточ­на для запус­ка OpenVPN), дает­ся пять дней три­ала. Регис­тра­ция три­ала тре­бует ука­зания номера кар­точки VISA, при этом сни­мает­ся один цент, но сра­зу же воз­вра­щает­ся обратно. Пос­ле регис­тра­ции нуж­но соз­дать новую вир­туаль­ную машину (я соз­дал с обра­зом CentOS 6) и при­вязать к ней ста­тичес­кий IP-адрес. Сле­дом же нуж­но ее запус­тить и под­соеди­нить­ся к ней через веб‑интерфейс.

По умол­чанию пароль для root при вхо­де с веб‑интерфей­са (выс­тупа­юще­го в роли локаль­ной кон­соли) отсутс­тву­ет. Его мож­но пос­тавить стан­дар­тным спо­собом. Для уста­нов­ки же OpenVPN нуж­но спер­ва пос­тавить репози­торий EPEL:

За­тем нуж­но изме­нить файл репози­тория — по неиз­вес­тным при­чинам соеди­нение по HTTPS не уста­нав­лива­ется.

На­конец, ста­вим пакет OpenVPN:

Нас­тра­иваем сам OpenVPN. В интерне­те мно­го матери­ала по нас­трой­ке, поэто­му под­робно опи­сывать смыс­ла не име­ет. Вкрат­це же — копиру­ем каталог со скрип­тами генера­ции сер­тифика­тов, нас­тра­иваем парамет­ры, генери­руем их, затем нас­тра­иваем парамет­ры OpenVPN-сер­вера (мож­но най­ти на врез­ке), раз­реша­ем IP-фор­вардинг, уста­нав­лива­ем пра­вило iptables для NAT и... все. Мож­но нас­тра­ивать кли­ент (луч­ше исполь­зовать коман­дную стро­ку). Единс­твен­ное — лич­но у меня на сер­вере было спе­шащее вре­мя, из‑за чего были неболь­шие труд­ности с сер­тифика­том.

Про сам VPS-хос­тинг мож­но ска­зать, что он край­не ста­билен (есть даже SLA, что и неуди­витель­но, пос­коль­ку это круп­ная кон­тора). Тех­поддер­жка реаги­рует прак­тичес­ки момен­таль­но. Полоса про­пус­кания обес­печива­ет минимум 1 Мбит/с по шиф­рован­ному каналу. Пра­вила исполь­зования доволь­но стан­дар­тны (DMCA, ого­вари­вание дос­тупа к дан­ным на хос­тинге...). На исполь­зование VPN, рав­но как и на исполь­зование P2P, огра­ниче­ний не нак­ладыва­ется.

GleSYS

Швед­ская фир­ма, пре­дос­тавля­ющая VPS (как Xen, так и OpenVZ) в Нью‑Йор­ке, Амстер­даме, Фаль­кен­берге и Сток­голь­ме. Сто­имость начина­ется от семи‑вось­ми евро — что по сов­ремен­ным мер­кам доволь­но дорого. На OpenVZ под­держи­вают­ся Debian, CentOS и Ubuntu.

Пос­ле регис­тра­ции и опла­ты мы соз­даем сер­вер с жела­емым мес­тополо­жени­ем, выбирая самые минималь­ные нас­трой­ки (их впол­не дос­таточ­но), затем заходим через HTML5-VNC, уста­нав­лива­ем пакеты OpenVPN и SSH — на Debian для это­го нуж­но наб­рать коман­ду

И, зай­дя по SSH, нас­тра­иваем OpenVPN. Проб­лем быть не дол­жно — раз­ве что в деби­анов­ском пакете для OpenVPN не соз­дает­ся UID/GID, и эти опции в кон­фиге мы отклю­чаем.

Как уже было ска­зано, VPS доволь­но дорогой — одна­ко, пос­коль­ку он находит­ся в Шве­ции, пра­вила его исполь­зования в некото­рых аспектах либераль­нее, чем в США. В час­тнос­ти, DMCA на Шве­цию пока не рас­простра­няет­ся. Ско­рость же дос­таточ­но ста­биль­но дер­жится на отметке 1 Мбит/с.

Заключение

VPN — инс­тру­мент раз­нопла­новый. И нес­мотря на то, что он в основном фигури­рует в сюжетах с кри­миналь­ным душ­ком, его впол­не мож­но (а с уче­том нынеш­них тен­денций даже и необ­ходимо) при­менять и законо­пос­лушным граж­данам.

VPN-сер­висы — даже бес­плат­ные — впол­не дос­таточ­ны для обыч­ного сер­финга. Основное огра­ниче­ние боль­шинс­тва бес­плат­ных VPN — один‑единс­твен­ный ста­тичес­кий IP-адрес, который с боль­шой долей веро­ятности уже занесен в чер­ные спис­ки некото­рых сер­висов. Кро­ме того, на некото­рых бес­плат­ных VPN нель­зя качать тор­ренты и есть огра­ниче­ния на полосу про­пус­кания. Еще один момент — бес­плат­ные VPN-про­вай­деры могут собирать и даже ана­лизи­ровать тра­фик (отдель­ные об этом пря­мо пре­дуп­режда­ют).

Плат­ные же сер­висы сво­бод­ны от боль­шинс­тва наз­ванных недос­татков. Тем не менее важ­но осоз­навать, что у них тоже есть пра­вила исполь­зования, завися­щие от их юрис­дикции. В час­тнос­ти, в Гер­мании за ска­чива­ние музыки может при­лететь более чем солид­ный штраф от GEMA.

Ес­ли же ты покупа­ешь VPS, что­бы под­нять свой VPN, — ты избавля­ешь­ся от одно­го из пос­редни­ков, но при­обре­таешь голов­ную боль юрис­та, пос­коль­ку тебе нуж­но учи­тывать законы стра­ны, в дата‑цен­тре которой ты его купил. Кро­ме того, как пра­вило, VPS сто­ит дороже, чем покуп­ка VPN у пос­редни­ка. Дешевые же VPS име­ют свой­ство падать из‑за перег­рузок, и работать по VPN ста­новит­ся сом­нитель­ным удо­воль­стви­ем.

Под­водя ито­ги, для ано­ними­зации VPN име­ет смысл при­менять толь­ко в сочета­нии с дру­гими средс­тва­ми. А вот для обыч­ного сер­финга по зап­рещен­ным в Рос­сии сай­там или, к при­меру, в зарубеж­ной поез­дке, где есть откры­тый Wi-Fi, VPN под­ходит иде­аль­но.