Таблица с мерами из приказов ФСТЭК

Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям.

Добавлено 20.09.2021
Текущие условия для реферальной ссылки: Everyone you refer gets $100 in credit over 60 days.

Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу.

Вот что потребуется сделать, если быть кратким:

  1. Удостовериться, что вас не пугает командная строка.
  2. Создать аккаунт на Digital Ocean.
  3. Настроить IKEv2 VPN Server.
  4. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android.
  5. Наслаждаться персональным VPN-сервером за $5/месяц.

Первый шаг - регистрация на Digital Ocean

По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847

  $50 на 30 дней
$50 на 30 дней

Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту.

  Банковская карта или PayPal
Банковская карта или PayPal

Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security

  2FA
2FA

Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04

Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов.

  Создание Droplet
Создание Droplet

На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц.

Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой.

Третий шаг - настройка VPN-клиентов

Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах.

Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection.

Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте.

C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare.

В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим.

В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN.

Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный.


Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =)

А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет.

--- === @zlonov === ---