Установка AmneziaVPN
1. Покупка VPS
Некоторые пулы адресов хостеров могут быть заблокированы ТСПУ Роскомнадзора или Украины, если есть возможность, рекомендуется купить минимальный тариф на наименьший срок для тестирования.
Стоит избегать крупных хостеров, вроде GoDaddy или Digital Ocean
Найдите в интернете удобного хостера, к примеру:
Закажите сервер
После оплаты и заказа хостер высылает данные для подключения к серверу, это может быть внутренняя почта прямо в панели управления, либо на почту указанную при регистрации.
В сообщении будут указаны данные, ищите строку содержащую "SSH", скопируйте следующие строки: адрес, логин и пароль.
Часто вся связка имеет такой вид: Address: 255.255.255.255 User: root Password: coolPass
2. Установка AmneziaVPN
Скачайте и установите клиент Амнезии на своё устройство
Клиент для Windows - скачать
После установки выберите Self-hosted VPN и введите данные сервера, которые вы ранее скопировали
Выбор протокола
Далее будет выбор протокола по которому будет работать сервер. Самые интересные это AmneziaWG и Xray.
AmneziaWG - это оболочка поверх обычного Wireguard, сочетает в себе хорошую скорость и приемлемое шифрование. Пока что ТСПУ Роскомпозора не научились адекватно обнаруживать данные AWG.
Xray - это самое сильное шифрование которого может достичь Амнезия, протокол жёстко контролирует попытки систем DPI расшифровки ваших пакетов, в случае обнаружения подсовывает маскировочный адрес. Для DPI это выглядит будто вы тянете трафик из какого-то сайта, к примеру гугла. Этот протокол активно используется в Китае для обхода Великого Китайского Файрволла
В большинстве случаев достаточно первого варианта, но есть возможность установить одновременно сразу несколько протоколов и переключаться между ними при необходимости.
В случае выбора Xray необходимо ввести сайт который вам доступен и является зарубежным!
После подтверждения установки, Амнезия сама выполнит подключение к серверу, установит всё необходимое и даст доступ к подключению к VPN
3. Выдача доступа другим пользователям
Перейдите на вкладку "Поделиться", введите имя пользователя, выберите протокол и нажмите кнопку "Поделиться", будет сгенерирован конфиг для подключения, вы можете передать его любому пользователю следующими путями:
QR-код
Ключ доступа
Конфиг-файл
Пользователю достаточно добавить конфиг любым удобным способом и подключиться
Выдача доступа таким образом НЕ даёт пользователю права управлять сервером или переключаться между протоколами
4. Уязвимости
Сервера хостеров всегда сканируются ботами и подвергаются атакам по перебору паролей. Крайне рекомендуется установить на сервере Fail2Ban для бана всех попыток входа через SSH перебором.
Откройте командую строку (Win+R > cmd)
Введите команду подключения:
ssh 255.255.255.255 -l rootВведите пароль, он будет вводиться, но не будет видно, это нормально. Кстати, его можно вставить правой кнопкой мыши
После успешного подключения выполните следующую команду, копируйте целиком:
sudo apt install -y fail2ban && \
sudo systemctl enable --now fail2ban && \
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local && \
sudo truncate -s 0 /etc/fail2ban/jail.local && \
sudo echo -e "[DEFAULT]\n\
bantime = -1\n\
findtime = 10m\n\
maxretry = 3\n\
backend = systemd\n\
banaction = iptables-multiport\n\
banaction_allports = iptables-allports\n\
blocktype = DROP\n\
\n\
[sshd]\n\
enabled = true\n\
port = ssh\n\
logpath = /var/log/auth.log\n\
action = iptables[name=SSH, port=ssh, protocol=tcp, blocktype=DROP]" | sudo tee /etc/fail2ban/jail.local > /dev/null && \
sudo systemctl restart fail2banLast updated