Если вам нужен VPN определенной страны с не меняющимся постоянным белым IP адресом, то платные сервисы не помогут. К тому же никакой платный сервис не предоставит полную анонимность, что бы они об этом не писали.
В данной статье описаны все шаги для создания своего VPN сервера. Если вы не обладаете знаниями в сетях, то можете заказать настройку у меня. Все консультации по настройке платные.
Покупка сервера
Регистрируемся на vdsina, подтверждаем почту и входим в кабинет:
Debian 11
Стандартные сервера
Тариф (самый дешевый)
Локация (в зависимости от ваших требований)
Отключаем резервное копирование
Нажимаем Создать
Скачиваем и устанавливаем PuTTY — https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
Установка Cloud Hosted Router
Обновляем список пакетов: apt update
Ставим архиватор: apt install unzip -y
Скачиваем CHR: wget —inet4-only —no-check-certificate https://download.mikrotik.com/routeros/6.48.6/chr-6.48.6.img.zip
Распаковываем: unzip chr-6.48.6.img.zip
Смотрим список устройств: fdisk -l
Записываем образ на диск: dd if=chr-6.48.6.img of=/dev/vda bs=4M oflag=sync
Перезапустим машину:
echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger
Доступ на Cloud Hosted Router
После перезапуска нужно подключиться к машине через VNC.
Логин: admin, пароля нет
Первым делом создаем администратор и удаляем старого:
/user add name=MikroTik password=1Q2w3e4r group=full
/user remove admin
Назначаем IP адрес на интерфейс ether1:
/ip address add interface=ether1 address=1.1.1.2/24
Вместо 1.1.1.2 брать IP адрес, который указан в этой VNC панели. Маска /24 означает маску 255.255.255.0
Добавим маршрут по умолчанию:
/ip route add gateway=1.1.1.1
Вместо 1.1.1.1 брать GATEWAY адрес, который указан в этой VNC панели
Скачиваем WinBox — https://mt.lv/winbox64 и подключаемся по IP, логину и паролю:
Активация Cloud Hosted Router
Регистрируемся в кабинете https://mikrotik.com/client
Добавление в CHR DNS сервера
8.8.8.8
Активация CHR
Указываем данные от кабинета MikroTik, в котором ранее зарегистрировались
Мы получили 60 дневную лицензию Cloud Hosted Router, которая будет работать вечно, если не обновлять систему. То есть если по истечению 60 дней обновить систему — лицензия слетит и скорость ограничится 1Мбит.
Настройка Firewall
Сразу защитим сервер. Сменим стандартные порты управления и откроем только нужные порты.
Так как это базовая настройка и расписывать каждое правило не имеет смысла, копируйте и вставляйте в терминал настройки:
/interface list
add name=WAN
add name=Tunnel
/interface list member
add interface=ether1 list=WAN
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment=PPTP dst-port=1723 protocol=tcp
add action=accept chain=input comment=SSTP dst-port=443 protocol=tcp
add action=accept chain=input comment=LetsEncrypt dst-port=80 protocol=tcp
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=OpenVPN dst-port=1194 protocol=udp
add action=accept chain=input comment="accept MGMT" dst-port=22121,22122 protocol=tcp
add action=drop chain=input comment="drop all WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=22121
set api disabled=yes
set winbox port=22122
set api-ssl disabled=yes
/system identity
set name=VPN
/ip dhcp-client remove 0После настройки, вход через WinBox будет с указанием порта 22122, например 1.1.1.2:22122
Настройка NAT
IP > Firewall > NAT
Вместо 1.1.1.2 укажите IP сервера
Настройка DNS over HTTPS
Используется для шифрования DNS запросов от провайдера.
Настройку выполняйте построчно:
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""Настройка VPN сервера L2TP и PPTP
Создание пула адресов для VPN:
/ip pool
add name=pool_VPN ranges=172.31.250.10-172.31.250.200Создание профиля VPN:
PPP > Profiles
Если у вас частые обрывы связи, лучше поставить no
/ppp profile
add change-tcp-mss=yes interface-list=Tunnel local-address=pool_VPN name=profile_VPN only-one=yes remote-address=pool_VPN use-compression=no use-encryption=required use-mpls=no use-upnp=noВключение PPTP
Включение L2TP Server
Указываем IPsec Secret и принудительное использование IPsec
Создание пользователей VPN
PPP > Secrets
Использование DoH для VPN
В настройках PPP профиля указать адрес DNS сервера сам MikroTik
Подключение Android к VPN
Подключение Windows к VPN
Проверка DoH
На сайте https://1.1.1.1/help статус работы DNS over HTTPS
Особенности работы L2TP IPsec
При нахождении двух клиентов в одной сети (за одним NAT) L2TP работать не будет, используйте PPTP
Настройка SSTP
VPN для продвинутых пользователей, если вы не знаете как купить домен и сделать SSL сертификат, этот вариант вам не подходит.
Обновление Cloud Hosted Router
Нужно обновиться до RouterOS 7 через System > Package > Check For Updates
Покупка домена
На том же vdsina покупаем доменное имя в ru зоне
Создаем A запись на поддомене vpn.super-vpn-vasys.ru и указываем IP адрес сервера VPN
Вместо 1.1.1.2 указывайте IP сервера
Получение сертификата
certificate/enable-ssl-certificate dns-name=vpn.super-vpn-vasya.ruДолжно появиться уведомление: progress: [success] ssl certificate updated
Включение SSTP сервера
PPP > SSTP Server
Подключение к SSTP
Встроенная поддержка SSTP есть только на Windows, мобильные устройства только через сторонний клиент. Настройка не отличается от PPTP
