Настройка VPN + проброс портов при сером IP (за натом)

[Rolzzandik1337]

Привет, девочки и мальчики. Смотрел я что-то VPN сервис и пробросом портов и охуел от цен.

Спойлер: Пиздец цены

Тут есть возможность открытия портов. Однако с этим гайдом мы сможем не только сэкономить деньгу, но и получить вычислительные мощности)

Я самолет, мне похуй. Палетели

Спойлер: Поиск VDS

Сначало надо определиться с характеристиками VDS. И так, что же нам надо?
1. Linux дистрибутив (Желательно Ubuntu 18.04 / Debian 8/9)
2. KVM виртуализация (Про OpenVZ забудьте, не подойдет, в конце гайда напишу, почему)
3. Хороший канал (У меня инет 200 мбит/с, но я решил поискать VDS с 500мбит/с). Здесь абсолютно ваше решение, выбирайте под свои задачи, но не забывайте, что скорость при использовании падает.
Относительно все.
Лично я выбрал

Пожалуйста, авторизуйтесь для просмотра ссылки.

. (Все не реф. ссылки в конце гайда)
Хороший вариант:
Виртуализация: KVM, Процессор: 2 ядра(3ghz), Память: 2 Гб, Диск: 96 Гб HDD+SSD, Канал: 500 Мбит/c
Т.е туда можно по желанию еще какую нибудь хуйню вкатать.

Спойлер: Выбор VPN-сервера

У нас есть небольшой выбор: OpenVPN, IPsec, Wireguard.
Теперь смотрим пикчу

Спойлер: IMG

Ага ебать. Wireguard самый топовый, на нем и останавливаемся.

Спойлер: Настраиваем систему

Если вы покупали на Hostglobal, то там мы получаем инструкцию:

Подключаемся по SSH. Обновляем пакеты

apt update
apt upgrade

Ставим все нужное для Wireguard:

apt-get install software-properties-common
add-apt-repository ppa:wireguard/wireguard
apt-get update
apt-get install wireguard-dkms linux-headers-$(uname -r)

Спойлер: Установка и настройка Wireguard

apt-get install wireguard-tools mawk grep iproute2 qrencode

Крута. Теперь у нас установлен Wireguard.
Дальше есть два стула - пики точеные или хуи дроченые ручная настройка и автоматическая.
Мы выберем второй.

cd ~
mkdir wg
cd wg
wget https://raw.githubusercontent.com/burghardt/easy-wg-quick/master/easy-wg-quick
chmod +x easy-wg-quick

Тада. С Wireguard'ом почти покончено.
Теперь создаем конфиг для сервера и для устройства:

./easy-wg-quick

Рекомендую сразу делать именные конфиги!
Чтобы добавить настройки ещё для одного клиента, надо ещё раз выполнить эту же команду, указав имя нового профиля:

./easy-wg-quick xuy_sosi

Дальше устанавливаем конфиг и запускаем Wireguard:

cp wghub.conf /etc/wireguard/wghub.conf
systemctl enable wg-quick@wghub
systemctl start wg-quick@wghub

Для рестарта:

systemctl restart wg-quick@wghub

Для просмотра статистики и соединений

wg show

Выдаем интернет клиентам:

nano /etc/sysctl.conf

Найти и изменить net.ipv4.ip_forward = 0 на net.ipv4.ip_forward = 1

 

[Rolzzandik1337]

Спойлер: Подключение клиента

Перекидываем конфиг на нужное нам устройство.
Конфиги клиента находятся тут: ~/wg в формате wgclient_залупа.conf
Перекинуть файл можно через SFTP. (FTP via SSH)
Windows:
Скачиваем нужную версию (x32(x86) или x64):

Пожалуйста, авторизуйтесь для просмотра ссылки.

Устанавливаем, открываем. Жмем "Add tunnel" снизу справа.
Выбираем наш конфиг.
Android:
Скачиваем из GP(При отсутствии GP используем 4pda):

Пожалуйста, авторизуйтесь для просмотра ссылки.

Тыкаем "+" -> импорт из файла или архива. Выбираем конфиг
MacOS:
А хуй знает, скорее альтернативно с windows.
Link:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Linux:
Устанавливаем все пакеты:

apt update
apt upgrade
apt-get install software-properties-common
add-apt-repository ppa:wireguard/wireguard
apt-get update
apt-get install wireguard-dkms linux-headers-$(uname -r)
apt-get install wireguard-tools mawk grep iproute2 qrencode

Устанавливаем конфиг:

cp названиеконфига.conf /etc/wireguard/названиеконфига.conf
systemctl enable wg-quick@названиеконфига

Запуск: systemctl start wg-quick@названиеконфига
Остановка: systemctl stop wg-quick@названиеконфига
Ребут: systemctl restart wg-quick@названиеконфига

АЕ. Клиент у нас подключен. Круто. Осталось научится пробрасывать порты.

Спойлер: Проброс портов

Открываем конфиг клиента, у которого хотим пробросить порты.
Находим там строку: Address = ip_addr/колво IP.
Оттуда нам интересен только ip_addr.
Тажке находим строку: Endpoint = ip_addr_server'a:port
Оттуда нам интересен только ip_addr_server'a.
Запоминаем или сохраняем.
Ставим iptables:

apt install iptables
apt install iptables-persistent

Узнаем наш интерфейс:

ifconfig

Вывод примерно такой:

enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.13  netmask 255.255.255.0  broadcast 192.168.1.255
        ether mac_addr  txqueuelen 1000  (Ethernet)
        RX packets 3635508  bytes 795764860 (795.7 MB)
        RX errors 0  dropped 86847  overruns 0  frame 0
        TX packets 4465056  bytes 900194671 (900.1 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 1089  bytes 521806 (521.8 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1089  bytes 521806 (521.8 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Отсюда нам нужен интерфейс, в моем случае enp1s0

Дальше настраиваем iptables:

iptables -t nat -A POSTROUTING -s 10.127.0.0/24 -o enp1s0 -j SNAT --to-source ip_addr_server'a
iptables -t nat -A POSTROUTING -s 10.127.0.0/24 -j MASQUERADE

И наконец пробрасываем порт:

iptables -t nat -A PREROUTING -d ip_addr_server'a/32 -i enp1s0 -p tcp -m tcp --dport 1337 -j DNAT --to-destination ip_addr:25565

Это сделает службу TCP, работающую на клиенте, ip_addr:25565 доступной из Интернета по адресу ip_addr_server'a:1337

Сохраняем iptables: iptables-save > /etc/iptables/rules.v4

На этом все. Если что-то не понятно - спрашивайте.
Хост:

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[elleqt]

Годно

 

[Rolzzandik1337]

Кстати забыл написать, почему OpenVZ нельзя, я долбоеб. Редачить лень, поэтому напишу сюда.
Проблема OpenVZ в том, что она наследует ядро линукса от хоста, и обновить его нельзя. Чаще всего стоит ядро версии 2.x. А нам нужно 3.2 и выше из-за ебанных зависимостей с libc6++

 

[FiZzzy]

Годнота, крутой гайд ?

 

[Rolzzandik1337]

Еще одна особенность. Если вы так пробрасываете порты, то так вас нельзя задудосить. Первой упадет вдс, а дальше пакеты не пойдут (Спасибо nat'у)

 

[Rolzzandik1337]

Ты такой глупый

Это сейчас к чему было?

 

[Wine]

Это сейчас к чему было?

новокек сообщения крутит

 

[Rolzzandik1337]

новокек, какой смысл сообственного vds сервера за 200 руб в месяц? лучше акк норда купить за 10 руб)

а проброс портов мне покажи в норде

 

[EarlyGamer]

а проброс портов мне покажи в норде

Немного посмеялся с "Чёрного IP-адреса", его называют серым :sweatsmile:

 

[Rolzzandik1337]

Немного посмеялся с "Чёрного IP-адреса", его называют серым :sweatsmile:

Белый ип - статик
серый ип - динамик, но не за натом
черный ип - за натом

 

[EarlyGamer]

Белый ип - статик
серый ип - динамик, но не за натом
черный ип - за натом

Боюсь тебя огорчить, серый (статика или динамика не важно) как раз таки находится за натом, имеется в придачу белый динамический IP и белый статический IP. Работаю в интернет-провайдере в Приморском крае, знаю о чём говорю ;-)

 

[Rolzzandik1337]

Боюсь тебя огорчить, серый (статика или динамика не важно) как раз таки находится за натом, имеется в придачу белый динамический IP и белый статический IP. Работаю в интернет-провайдере в Приморском крае, знаю о чём говорю ;-)

да пихуй.
главное, чтобы смысл был понятен

 

[Rolzzandik1337]

Боюсь тебя огорчить, серый (статика или динамика не важно) как раз таки находится за натом, имеется в придачу белый динамический IP и белый статический IP. Работаю в интернет-провайдере в Приморском крае, знаю о чём говорю ;-)

Есть статика за натом? O_o

 

[EarlyGamer]

Белый ип - статик
серый ип - динамик, но не за натом
черный ип - за натом

Такого понятия как чёрный IP не существует, либо я никогда не встречал такого обозначения в мануалах и статьях.
Всё что за NAT - Серые / Локальные адреса (в зависимости от сети, от понимания. IP будет считаться серым, если находится внутри сети провайдера, если ты на своей жезеке, допустим MikroTik поставишь NAT, то это будет считаться локальным адресом, хотя они в своём понимании схожи. Т.к. серый будет являться локальным для провайдера, ну думаю ты понял...)
Белый динамический IP - обычный IP адрес, который уже не подконтролен NAT-у, вот NAS-у ещё возможно, но точно не NAT-у, ну и меняется спустя какое-то время, обычной перезагрузки будет достаточно (если сессия завершилась, обычно регистрация сессии длится 2 часа), либо сменить мак и сделать регистрацию в сети провайдера
Белый статический IP - тот же белый, но не меняется самостоятельно, только если удалить регистрацию у провайдера, либо сменить мак и сделать её

 

[EarlyGamer]

Есть статика за натом? O_o

Есть такая фигня как NAS, если на определённый узел сделать фиксацию, то у тебя будет серая статика по сути дела (могу ошибаться, но вроде верно)

 

[EarlyGamer]

да пихуй.
главное, чтобы смысл был понятен

Это да, просто повеселило... :blush:

 

[EarlyGamer]

У меня инет 200 мбит/с

Повезло вам, у нас тут на Дальнем востоке максималка (стандартная) это 100мбит и стоит 790р, а макс. тариф в Приморье о котором я знаю, это 300 мбит и стоит 1490. А ещё пинг до Европы +110, на Японию хоть пинг и идёт в 40мс когда норма, но зачастую он меняется если на серверах происходят манипуляции, ибо меняется маршрут и идёт он через задницу... Бывает такое что маршрут в Азию идёт через Европу, это вообще забей...

 

[EarlyGamer]

Спойлер: Тема

Привет, девочки и мальчики. Смотрел я что-то VPN сервис и пробросом портов и охуел от цен.

Спойлер: Пиздец цены

Посмотреть вложение 67510

Тут есть возможность открытия портов. Однако с этим гайдом мы сможем не только сэкономить деньгу, но и получить вычислительные мощности)

Я самолет, мне похуй. Палетели

Спойлер: Поиск VDS

Сначало надо определиться с характеристиками VDS. И так, что же нам надо?
1. Linux дистрибутив (Желательно Ubuntu 18.04 / Debian 8/9)
2. KVM виртуализация (Про OpenVZ забудьте, не подойдет, в конце гайда напишу, почему)
3. Хороший канал (У меня инет 200 мбит/с, но я решил поискать VDS с 500мбит/с). Здесь абсолютно ваше решение, выбирайте под свои задачи, но не забывайте, что скорость при использовании падает.
Относительно все.
Лично я выбрал

Пожалуйста, авторизуйтесь для просмотра ссылки.

. (Все не реф. ссылки в конце гайда)
Хороший вариант:
Виртуализация: KVM, Процессор: 2 ядра(3ghz), Память: 2 Гб, Диск: 96 Гб HDD+SSD, Канал: 500 Мбит/c
Т.е туда можно по желанию еще какую нибудь хуйню вкатать.

Спойлер: Выбор VPN-сервера

У нас есть небольшой выбор: OpenVPN, IPsec, Wireguard.
Теперь смотрим пикчу

Спойлер: IMG

Посмотреть вложение 67512

Ага ебать. Wireguard самый топовый, на нем и останавливаемся.

Спойлер: Настраиваем систему

Если вы покупали на Hostglobal, то там мы получаем инструкцию:
Посмотреть вложение 67513
Подключаемся по SSH. Обновляем пакеты

apt update
apt upgrade

Ставим все нужное для Wireguard:

apt-get install software-properties-common
add-apt-repository ppa:wireguard/wireguard
apt-get update
apt-get install wireguard-dkms linux-headers-$(uname -r)

Спойлер: Установка и настройка Wireguard

apt-get install wireguard-tools mawk grep iproute2 qrencode

Крута. Теперь у нас установлен Wireguard.
Дальше есть два стула - пики точеные или хуи дроченые ручная настройка и автоматическая.
Мы выберем второй.

cd ~
mkdir wg
cd wg
wget https://raw.githubusercontent.com/burghardt/easy-wg-quick/master/easy-wg-quick
chmod +x easy-wg-quick

Тада. С Wireguard'ом почти покончено.
Теперь создаем конфиг для сервера и для устройства:

./easy-wg-quick

Рекомендую сразу делать именные конфиги!
Чтобы добавить настройки ещё для одного клиента, надо ещё раз выполнить эту же команду, указав имя нового профиля:

./easy-wg-quick xuy_sosi

Дальше устанавливаем конфиг и запускаем Wireguard:

cp wghub.conf /etc/wireguard/wghub.conf
systemctl enable wg-quick@wghub
systemctl start wg-quick@wghub

Для рестарта:

systemctl restart wg-quick@wghub

Для просмотра статистики и соединений

wg show

Выдаем интернет клиентам:

nano /etc/sysctl.conf

Найти и изменить net.ipv4.ip_forward = 0 на net.ipv4.ip_forward = 1

Гайд годный, но мне кажется просто купить VDS и настроить поход через его маршрут будет легче.
Так ты паришься со всякими клиентами и т.д. А так просто пробросил VPN-туннель и через роутер сделал к нему подключение (если он нормальный а не какой-нибудь TP-Link от Альянса и т.п.), так и на всех устройствах будет работать и проще в разы (как по мне).

Ну и так, просто к мануалу добавлю IPSec - это не VPN, это метод шифрования совмещённый с VPN
P.s. ну я залетел так, чисто повыёживаться :-) | Мануал хороший, поставил симпатяшек за старание

 

[Rolzzandik1337]

Ну и так, просто к мануалу добавлю IPSec - это не VPN, это метод шифрования совмещённый с VPN

Похуй.

Через роутер сделал к нему подключение (если он нормальный а не какой-нибудь TP-Link от Альянса и т.п.), так и на всех устройствах будет работать и проще в разы (как по мне).

ээээ. У меня асус, который не умеет в такие приколы.