💾 Archived View for gemini.danis.one › about_vpn captured on 2024-12-17 at 09:49:17. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2024-09-29)

-=-=-=-=-=-=-

Про VPN и всё такое

Пост долго зрел. Очень хотелось рассказать и о блокировках, и о бизнес-целях, и о смежных понятиях типа прокси. Надеюсь, получится.

Про VPN и всё такое

Опять обложка сгенерирована Midjourney.

ℹ️ Пост изначально планировался эксклюзивно для Gemini, но чуть позже решено было разместить копию в гуглодиске. Это вынужденная мера. В рунете нынче такие посты под запретом. Рано или поздно придётся выбирать: либо удалять пост, либо доступ к сайту из России закроют (и пост всё равно будет недоступным). Я не очень хочу блокировки своему сайту, поскольку верю в ценность свободы распространения информации. Однако, я надеюсь, в Роскомнадзоре не справятся с задачей блокировки не-http(s)-трафика, поэтому Geminispace я тут вижу как этакий даркнет, где не очень много анонимности, но до которого государству пока нет никакого дела.

⚠️ Отказ от ответственности: несмотря на то, что VPN — технология очень близкая к моей профессиональной сфере интересов, я могу быть неправ в некоторых вопросах. Не следуйте слепо инструкциям из этого поста. По возможности проверяйте скрипты и исходники программ, которые собираетесь использовать. В сфере безопасности есть много способов «выстрелить себе в колено», так что будьте внимательны и осторожны. А если не будете — пеняйте на себя. Особенно, если понесёте убытки из-за моей криворукости.

История VPN

Давным давно, когда п̶о̶ ̶З̶е̶м̶л̶е̶ ̶х̶о̶д̶и̶л̶и̶ ̶д̶и̶н̶о̶з̶а̶в̶р̶ы̶ на вопросы о блокировках в интернете отвечали снисходительной улыбкой и чем-то типа «да кому это вообще нужно», люди придумали концепцию, названную Virtual Private Network. Смысл её был довольно простым, но для интересующихся ниже небольшой ликбез.

Если посмотреть на типовую сеть какого-нибудь предприятия, то в ней все компьютеры внутри одного филиала соединены в единую внутреннуюю сеть. Такую сеть называют обычно Local Area Network (LAN), в переводе просто локальной сетью, а в народе локалкой. Если у ней есть выход в интернет, то где-то в сети должен быть так называемый шлюз, который одним «концом» смотрит в локальную сеть, а другим подключен к провайдеру интернета.

Для админов локальноя сеть выглядит понятной и безопасной — в ней все устройства свои. А вот внешняя сеть выглядит несколько непредсказуемой: в ней непонятно, кому будут принадлежать устройства, через которые трафик будет идти от компьютера сотрудника до какого-нибудь сайта. В некотором роде это похоже на задачу по отправке открытки, например, бизнес-партнёру. Директор принес открытку, написал на ней несколько приятных слов, отдал секретарю — тут пока всё прозрачно. А затем секретарь, исполняя роль шлюза, отдал открытку курьеру, и дальше мы не знаем, что будет происходить с открыткой. Она может потеряться. Она может сменить десять курьеров, каждый из которых прочитает содержимое и допишет что-то своё. Она может не дойти до адресата, может попасть вообще не к тому адресату, её могут украсть из машины курьера, и управлять этим принципиально невозможно. Для маленькой конторки вся эта магия может выглядет как-то так.

Грубая схема подключения сотрудника офиса к внешнему ресурсу: зелёным отмечено безопасное соединение, а красным неподконтрольная цепочка подключений.

Откровенно говоря, современная домашняя сеть выглядит примерно так же, только помимо компьютеров в ней ещё телефоны, планшеты, телевизоры и умные устройства. Домашние роутеры точно так же создают локальную сеть, в которой устройства могут напрямую обращаться друг к другу. Это позволяет печатать документы на сетевом принтере, транслировать картинку с телефона на телевизор или обращаться к сетевому хранилищу, т.е. NAS. Как правило, роутер обеспечивает безопасность сети, блокируя прямой доступ к ней из внешнего мира.

Однако, в отличие от домохозяйств, компании растут, и иногда открывают филиалы. Зачастую для бизнеса важно, чтобы сотрудники из разных филиалов могли взаимодействовать с одними и теми же сервисами так, словно они сидят в соседних кабинетах, и подключены к одной сети. При этом предоставлять доступ к внутренним ресурсам нужно только сотрудникам, но никак не каким-то анонимусам из всего интернета, так что открывать всё для внешних пользователей — не вариант.

Дорогое решение — расширить физическую сеть. Протянуть километры кабелей между офисами, объединив их в одну огромную локальную сеть. Но есть решение подешевле и попроще — создать некий аналог локальной сети поверх глобального интернета — виртуальную частную сеть, то есть тот самый VPN.

А так филиалы и домашние офисы объединяются в виртуальную сеть. Полный путь трафика мы всё ещё не контролируем, но уже можем отличать своих от чужих и подключаться к нужным ресурсам.

Проводя аналогию с почтой, в хорошем случае это выглядит так, словно у компании теперь есть свои сотрудники-курьеры, которые ездят на такси и возят документы из филиала в филиал. Такси стороннее, потому что на свой автопарк тратиться невыгодно. Но курьеры свои, доверенные, которые точно не подменят документы по пути. Получается сервис поверх сервиса. Так же и VPN реализует надёжную сеть поверх обычного интернета. Теперь, если ценный бизнесу ресурс правильно настроен, он будет доступен только из виртуальной сети, к которой будут подключены все офисы и удалённые сотрудники.

Частный случай использования VPN — банкоматы. Многие банки предпочитают оборачивать трафик между банкоматом и банковской системой в VPN, чтобы обеспечить дополнительную защиту канала связи от вмешательств со стороны недобросовестных сотрудников провайдеров. Когда речь заходит о деньгах, бездумно доверять, знаете ли, не стоит вообще никому, даже компаниям-партнёрам.

Как правило, компаниям не требуется полностью весь трафик гонять через VPN: на скорости сети это сказывается обычно негативно, а смысла в этом обычно нет. Пример VPN-сервиса, который позволял объединить несколько компьютеров в виртуальную сеть, но не оборачивать весь трафик в VPN — Hamachi. Олды помнят, как через неё играли в онлайн-игры, рассчитанные на игру внутри локальной сети, типа старых версий Counter-Strike. А одним из корпоративных стандартов до сих пор остаётся OpenVPN, несмотря на ряд недостатков, среди которых относительно низкая скорость работы. Но банкомату 100 мегабит точно хватит. И даже 10 хватит.

Однако, OpenVPN позволяет создать настройку, при которой абсолютно весь трафик будет проходить через виртуальную сеть. В таком случае общение обывателя с любыми сайтами будет происходить более длинным путём, чем обычно, поскольку шлюзом будет выступать уже не домашний роутер, а VPN-сервер или шлюз внутри виртуальной сети. А канал связи с шлюзом будет дополнительно зашифрован.

Про безопасность

Напомню сказанное чуть выше: VPN задумывался как способ обеспечить безопасность для бизнеса в большом и непредсказуемом интернете. В этом параграфе разберём подробнее, как это применялось раньше и чем оно поможет нам теперь.

Итак, возьмём типовой случай из далёкого 2007 года. Случайный пользователь сидит в кафе с ноутбуком. Он подключается к местному открытому вайфаю, открывает новую модную соцсеть, вводит логин и пароль... И тут происходит очень страшная штука, на самом деле. Пятнадцать лет назад мало какая соцсеть всерьёз задумывалась о своей безопасности. Трафик гоняли по нешифрованному протоколу HTTP. В то же время, открытый вайфай создаёт ту же проблему: вайфай-модуль ноутбука общается с точкой доступа, никак не шифруя передаваемые данные. В итоге логин и пароль пользователя разносится по всему ближайшему радиоэфиру в открытом виде. А следом там же передаются все сообщения и вообще вся информация, которую пользователь передавал или получал. Можно подслушать при помощи любого другого ноутбука и сохранить к себе. Мы с друзьями тоже пробовали такое воспроизводить в стерильных домашних условиях, и вполне успешно перехватывали свои же сообщения друг другу. В таких случаях применение VPN может спасти пользователя: данные будут шифроваться на стороне пользователя и расшифровываться VPN-сервером, а значит, сведения, транслируемые в радиоэфир, будут в безопасности: злоумышленник за соседним столиком не сможет их прочитать.

Впрочем, отказ от открытого вайфая не гарантирует безопасности. Мы ничего не знаем об оборудовании, которое пропускает через себя трафик. Возможно, злой админ кафешки настроил его на сохранение всех данных, а по ночам сидит и выискивает в сохраненном трафике пароли. Или это может делать админ не кафешки, а вредный сотрудник провайдера. А ещё это может делать государство.

Серьёзно. Помните такую штуку, как «пакет Яровой»? Он вводил требование к провайдерам: все передаваемые пользователем данные должны сохраняться и предоставляться спецслужбам по первому запросу. С тех пор утекло много воды, и современные требования ещё круче: доступ к данным должен быть открыт для спецслужб без каких-либо действий со стороны провайдера. И да, сразу отмечу, что такие нормы действуют далеко не только в России. Любое государство в той или иной степени стремится установить хоть какой-нибудь контроль за действиями пользователей в интернете.

Да, сейчас мир чуточку безопаснее. Все нормальные пацаны давно подключили себе SSL-шифрование (вообще-то, уже давно TLS, просто SSL закрепилось в речи), а кто не подключил, того принято стыдить за неуважение к своим пользователям. Во многом здесь можно сказать спасибо проекту Let’s Encrypt, который снабжает бесплатными сертификатами десятки миллионов сайтов. Поэтому почти весь ваш трафик, который собрал провайдер, выглядит как практически нечитаемая мешанина из байтов, на расшифровку которой, скорее всего, потребуются годы. Видите замочек рядом с адресом сайта? Значит, ваше соединение с сайтом зашифровано. Означает ли это, что вы теперь в безопасности? Ну, если честно, не совсем, но об этом как-нибудь потом. Но без замочка совсем беда.

Мой блог, например, не исключение — трафик шифруется. А вот значок щита, добавленный файерфоксом, к шифрованию никакого отношения не имеет, увы.

Однако, у любого, даже очень зашифрованного запроса, всегда есть одна маленькая открытая часть: адрес назначения. Как у письма, лежащего в конверте, тоже есть надпись «кому и куда». И, вообще-то, этого как правило достаточно, чтобы, перехватив данные, оборвать соединение. К тому же, в России сейчас используются значительно более продвинутые способы анализа данных (для любопытных, можно почитать про DPI — Deep Packet Inspection). В случае с простым трафиком, зашифрованным посредством SSL, это означает, что оборудование на стороне провайдера, прекрасно понимает, к какому сайту вы обращаетесь и даже примерно понимает, что вы передаёте или получаете: текст, картинку, видео и т.п. Та же методика, к слову, помогает различать виды зашифрованного трафика, и понимать, что пользователь смотрит какой-то сайт, качает торрент, играет в игру или обернул свой трафик в один из нескольких легко распознаваемых видов VPN.

И ещё немножко об адресах. Во многих странах законы обязывают хранить и передавать государству сведения о пользователях, в том числе, их IP-адреса. Если пользователь и сервис находятся в одной юрисдикции, и пользователь совершает какие-то действия, которые не нравятся государству, то есть риск, что рано или поздно государство получит данные о пользователе не из сохранённого трафика, а от самого сервиса. Сопоставив IP-адрес со сведениями провайдера, государство легко определит, кто совершил то или иное действие. Использование VPN позволит скрыть IP-адрес, выданный провайдером, от конечного сервиса. Более того, иногда это позволяет получить доступ к материалам, недоступным в отдельных странах. Например, используя VPN, размещённый в США, зачастую можно спокойно смотреть Netflix.

Итого: классический VPN, может служить нескольким целям:

1. Связывать несколько устройств, находящихся в разных сетях, словно они находятся рядом.

2. Ограничивать доступ к ресурсам, блокируя доступ не из виртуальной сети.

3. Перенаправлять поток трафика к определённым или всем ресурсам.

4. Обеспечивать дополнительный уровень шифрования трафика.

Но в контексте обхода блокировок нас интересуют лишь последние два случая.

Можно не забивать гвозди молотком

На самом деле, использовать VPN для перенаправления трафика может оказаться несколько избыточной затеей. С задачами вида «Как бы направить трафик через определённый узел» бизнес сталкивается уже давно, и решение было найдено много лет назад. Тип таких технологий называется proxy, и на русский переводится буквально как прокси. По-хорошему, слово не склоняется, однако в профессиональном жаргоне частенько проскакивает вариация «прокся», которую склоняют как только могут.

Итак, принцип примитивен: клиент обращается к проксе с просьбой переадресовать запрос к другому серверу и вернуть ответ. В итоге, для сервера запрос выглядит так, словно его отправила прокся, и он может забыть про региональные ограничения или бан по IP-адресу, и ответить другим контентом.

Самые простые протоколы проксей не обеспечивают никакого дополнительного шифрования: нешифрованный трафик будет летать нешифрованным, и провайдер отлично увидит, куда мы идём и что запрашиваем. А вот продвинутые протоколы не просто шифруют данные, но ещё и маскируются.

Интересное отличие прокси от VPN — это невозможность установления подключений к клиентам. Если VPN позволяет создать настройку, при которой можно на личном компьютере поднять какой-то сервис (например, захостить игровую сессию), а остальным клиентам подключиться к нему, то прокси таких возможностей не предоставляет.

С проксями, впрочем, многие уже сталкивались в эпоху первых блокировок Telegram, когда для их обхода использовали специальные настройки клиента. В принципе, раньше прокси так и использовали, настраивая их только для конкретных приложений, поддерживающих такую возможность.

Но любопытно другое: многие решения, которые люди привыкли называть VPN, фактически являются прокси, использующими довольно сложные и специфичные протоколы. Приложения сами по себе редко могут похвастаться возможностью поддержки таких протоколов, поэтому устанавливается приложение-клиент, направляющий весь трафик или его часть в прокси-сервер. Для пользователя это выглядит так же, как и работа с VPN, но без возможности обращаться к другим клиентам этого прокси-сервера.

Таким образом, грань между VPN и прокси стирается, когда речь заходит об обходе блокировок, поскольку VPN реализует те же задачи, для которых создавались прокси.

Как блокируют VPN-сервисы

Точно ответить на этот вопрос невозможно, однако из известных случаев блокировок в разных странах можно предположить несколько вариантов:

Первые три варианта точно применяются в России. Третий нечасто и с переменным успехом. До четвертого пока не дошли, но это вопрос времени.

Как выбрать VPN-сервис

Ниже будет субъективное мнение, основанное на предполагаемых рисках.

Не доверяйте бесплатным сервисам и по-возможности избегайте их. Помните, что бесплатный сыр бывает только в мышеловке. Если вы не платите за услугу, значит кто-то другой может получить выгоду от того, что вы ими пользуетесь. Даже если весь ваш трафик зашифрован посредством SSL, какие-то обобщённые сведения о вашей активности можно продать, например, рекламным сетям. Или государствам.

А ещё ваше устройство может быть использовано для перенаправления чужого трафика.

Будьте осторожны с VPN-решениями с закрытым исходным кодом. Если вы выбрали какой-то малоизвестный сервис, не факт, что он не лишён тех же недостатков, что бесплатный. Что же касается популярных сервисов, с ними есть сложность: их легко заблокировать. Во-первых, они используют довольно ограниченные наборы адресов. Во-вторых, при должном усердии, можно выявить некоторые общие признаки трафика, проходящего через их сети, и заблокировать трафик по этим признакам. А ещё крупные VPN-сервисы отлично распознаются как VPN-сервисы, и им порой запрещают доступы к тем или иным ресурсам.

Если вам в целом не критичны такие риски, то следует обратить внимание на некоторые возможности, которые обычно готовые сервисы могут предоставить: можно ли быстро менять страну, через которую пойдёт трафик, может ли сервис быстро адаптироваться к блокировкам протоколов, какие у него есть ограничения в целом.

Если же вам угрозы кажутся существенными, то вы, как и я, оказываетесь перед единственным решением: разворачивать VPN-сервер самостоятельно на каком-либо хостинге серверов. Это, кстати, может оказаться ещё и дешевле. За условные 3—5€ в месяц можно поднять сервис дл�� себя, всей своей семьи и ещё нескольких друзей. Маловероятно, что ваш сервер будут блокировать по адресу. А если вы столкнётесь с блокировкой по признаку определённого типа (протокола) VPN, можно будет быстро поменять протокол на том же сервере, затем выпустить новые файлы конфигурации и продолжить пользоваться тем же самым сервисом. В большинстве случаев, у вас будет лимит по трафику, но у нормальных чуваков он очень большой: от терабайта и выше. Ну и до кучи, всегда можно использовать арендованный сервер для каких-нибудь других несложных задач. Например, держать там сайт-визитку (но осторожно, это вас деанонимизирует).

Что разворачивать

Изначально тут был список технологий, которые можно применять, но пока я писал пост, очень многое кардинально поменялось. Поэтому по некоторым теперь я готов лишь пробегаться вскользь.

Совсем не рекомендуются: OpenVPN, Wireguard, L2TP/IPsec. Да, это хорошие протоколы: OpenVPN — стандарт индустрии, Wireguard — очень быстрый, но их очень легко обнаружить при анализе трафика. У многих российских провайдеров они уже давно блокируются.

С осторожностью: Outline(Shadowsocks). По сути, это сильно модернизированный протокол socks-прокси. С точки зрения DPI он выглядит как что-то очень непонятное. В некоторых случаях провайдеры настроены блокировать и такой трафик, поэтому я на него, к сожалению, мало могу надеяться.

Интересное: VLESS/XTLS, Trojan, Hysteria и что угодно over Cloak. Тут можно остановиться подробнее.

VLESS и Trojan очень неплохо маскируются под HTTPS-трафик. То же самое делает и Cloak, однако он лишь отвечает за маскировку трафика, позволяя гонять внутри шифрованых пакетов, например, OpenVPN или Shadowsocks. Есть загвоздка: китайские цензоры уже умеют выявлять трафик, представляющий собой дважды шифрованные данные, что характерно для этих протоколов при передаче HTTPS-трафика: пакет сперва шифруется ключом конечного сервера, а затем ещё раз ключом прокси. Для этих целей придумали надстройку над VLESS под названием XTLS, которая шифрует лишь часть данных, а остальные, уже зашифрованные данные, передаёт «как есть». Субъективно, это сейчас одно из самых перспективных решений.

Hysteria работает похожим образом, только маскируется под протокол QUIC, что в целом тоже неплохо, если ваш провайдер не решит вдруг прирезать этот протокол.

Есть и другие протоколы, весьма перспективные, но ввиду низкой популярности их рассматривать особого смысла пока нет.

В целом, под обозначенную цель хорошо подходят готовые решения, позволяющие развернуть VPN/прокси за несколько кликов. Мои фавориты на текущий момент — это 3x-ui и Marzban. Их функционал весьма схож, но пока я пользуюсь 3x-ui, поскольку наткнулся на него раньше. Ниже будет инструкция будет именно про него. Но сперва разберёмся с арендой сервера, на котором будет развёрнут VPN или прокси.

Как выбрать хостинг для VPN

Это, на мой взгляд, самая сложная задача. Развернуть сервер проще, чем выбрать хостера. Если вам эту статью скинул знакомый, который в этом разбирается, попросите у него рекомендацию (а может и реферральную ссылку со скидкой).

Если же вы хотите пройти этот путь самостоятельно, то для начала надо понять задачу и риски, которые принесёт её реализация.

Если вы хотите получить доступ к ресурсам, заблокированным в вашей стране, очевидно, нужно выбирать хостинг где-то за пределами этой страны. Если нужен доступ к ресурсам, разрешённым в определённой стране, то и сервер должен быть в этой стране.

Если есть основания полагать, что пользование средствами обхода блокировок и их администрирование в будущем будут наказуемыми, надо выбирать хостинг в принципе вне юрисдикции вашей страны. И в идеале его следует оплачивать иностранной картой (тут можно обратиться за помощью к друзьям) или криптой.

Ресурсов сервера много не надо. На компашку из 10-20 человек запросто хватит гигабайта RAM и пары гигов SSD/HDD. Из важного — смотрите на лимит трафика.

И самое главное — проверьте, что хостер не запрещает разворачивать VPN.

Не оплачивайте хостинг сразу на долгий период. Если что-то пойдёт не так, не факт, что вам вернут деньги. Полгода-год — это, пожалуй, предельный срок.

Ну и со всеми этими условиями теперь можно спокойно гуглить сайты-рейтинги хостингов виртуальных машин (VPS/VDS), сравнивать цены, условия и отзывы.

Скрипт и инструкция ниже рассчитаны на Debian, Ubuntu и CentOS (но только версии 9), поэтому при заказе выбирайте их в качестве операционной системы.

Если вам уже сложно

Для совсем нежелающих разбираться в установке есть вариант — AmneziaVPN. Чуваки автоматизировали весь процесс. Достаточно арендовать сервер и скормить его данные (IP-адрес, логин и пароль) приложению, а оно само развернёт нужные сервисы и сгенерирует конфигурацию. Есть, впрочем, и подводный камень: приложение частенько работает нестабильно.

Подробная инструкция по установке Amnezia

Также из легких решений можно рассмотреть Outline, но с поправкой на риск, что его вам могут заблокировать.

Инструкция по установке Outline

И ещё многие хостинги в последние годы стали предоставлять образы операционных систем с уже развёрнутыми и настроенными VPN-сервисами. Это очень кайфово, как по мне, однако иногда хочется чуть больше контроля за своими ресурсами.

То, ради чего мы тут собрались: инструкция

0. Для начала надо подключиться к серверу

Для подключения нам понадобятся IP-адрес сервера, логин и пароль. Как правило, после создания сервера их отправляют на электропочту.

Дальше нам понадобится ssh-клиент, который поможет выполнить нужные команды на сервере.

Под виндой, начиная с десятки, клиент обычно уже предустановлен и доступен из командной строки. Под макосью аналогично, клиент доступен в терминале. А пользователи линуксов, думаю, и так знают, где у них терминал. Для подключения нам нужно будет выполнить команду:

ssh ИМЯ_ПОЛЬЗОВАТЕЛЯ@IP_АДРЕС

Скорее всего имя пользователя будет root. Итоговая команда будет выглядеть примерно как “ssh root@123.45.67.89”. При первом подключении вас спросят, уверены ли вы в этом сервере. Пишем yes и оказываемся в консоли сервера.

0.1. Только для Debian

Если у вас Debian, то, возможно, в вашей поставке нет curl. Установим его:

apt update && apt install -y curl

1. Устанавливаем нужные сервисы

Всё автоматизировано. Просто выполняем:

curl -sSL https://raw.githubusercontent.com/danis-devaccount/3x-ui-autodeploy/main/script.sh | bash

Если всё прошло хорошо, то в конце процесса мы получим сообщение: Добро пожаловать в свободный интернет. Запишите адрес, логин и пароль. Скопируйте адрес и откройте его в браузере.

2. Настраиваем

Браузер при первом входе в админ-панель ругнётся на сертификат. Это нормально: мы используем самоподписанный сертификат, и это для обычных сервисов нетипичная ситуация. Но нам подойдёт. Соглашаемся с рисками и видим форму для входа.

Скорее всего, панель встретит нас уже приветствием на русском языке. Если нет, то можно выбрать русский язык, поскольку гайд написан с переводом на русский. Вводим логин и пароль, которые нам выдал скрипт, попадаем в админку.

После входа сразу переходим в раздел «Подключения» и нажимаем кнопку «Добавить подключение». Нам тут полезно несколько полей:

«Примечание» — штука весьма опциональная, но если вы хотите создать несколько подключений с разными протоколами, можно заполнить чем-то удобным.

«Протокол» — в данном случае будем использовать только «vless». С остальными можно экспериментировать по желанию позже.

«Порт» — рекомендуется установить 443. Это опционально, но с ним чуть надёжнее.

«Общий расход» — это тоже опциональная настройка. Я для этого примера использую сервер с лимитом трафика в 1ТБ, поэтому решил пока ради интереса ограничить доступный трафик до половины.

Клиентов добавим позже, поэтому этот раздел пока игнорируем.

Скроллим до раздела «Безопасность» и выбираем «REALITY». Будем действовать на опережение и не ждать, когда впн будут детектить.

В полях «Dest» и «SNI» можно указать какой-нибудь сайт, который будет выдавать наш сервер при попытках проверки пауками роскомнадзора. Я видел, как по соседству чуваки использовали вк и whatsapp: возможно, это позволяет тарифицировать мобильный трафик как «соцсети и мессенджеры» и экономить, но проверить не могу.

«ShortID» уже предзаполнен, и нас вполне устроят значения по умолчанию.

«SpiderX» можно для пущей надёжности заполнить каким-нибудь значением, начинающимся на /. Но не обязательно.

Поля «Приватный ключ» и «Публичный ключ» будут заполнены автоматически, но для этого надо нажать на кнопку «Get New Cert»

И всё, нажимаем «Создать»

В моём случае пример настройки выглядит как-то так

Возможно, ваш хостер будет недоволен, если через него будут качать торренты. На этот случай есть настройка в разделе Настройки Xray -> Базовый шаблон -> Блокировка конфигураций -> Запрет использования BitTorrent. Она может быть включена по умолчанию. После смены настроек их надо сохранить и нажать на кнопку перезапуска рядом, чтобы они вступили в силу.

В целом, панель очень функциональная, и в ней можно настроить разные подходы, но пока остановимся на минимуме.

3. Создаём пользователей.

После создания подключения у нас появится новая строчка в уже открытом разделе «подключения». Если нажать на плюсик рядом с ней, мы увидим первого пользователя с рандомным набором символов в графе «клиент». Можно сделать аналогичных пользователей:

Нажимаем на три точки в верхней строке и выбираем «Добавить пользователя».

В поле «Email» указываем любой способ идентифицировать пользователя. Хоть имя, хоть никнейм. Главное, чтобы уникально и понятно.

«ID» и «Flow» можно оставить как есть.

«Общий расход» позволяет ограничить трафик пользователя, если есть потребность. А «Дата окончания» сделает конфигурацию временной: после этой даты ключ перестанет работать. Как работает режим «Начало использования» я не очень понял, но кажется, делает ключ временным с момента первого входа и на сколько-то дней.

И всё. Нажимаем «Добавить пользователя»

Как-то так выглядит типичная настройка пользователя без лимитов

У пользователей не рекомендуется менять ID, иначе настройку придётся выдавать заново. А вот email и лимиты запросто.

С подключением в целом ситуация такая же: лимиты, примечания, расход менять можно без рисков, а вот ключи, настройки маскировки и порты обязательно сломают старые конфигурации.

4. Раздаём конфиги и подключаемся.

Конфигурацией можно поделиться двумя способами:

Первый — QR-кодом. Соответствующая иконка около пользователя отобразит QR-код с настройкой, который можно отсканировать клиентом. О клиентах чуть ниже.

Второй — ссылкой. Ссылку можно скопировать из окна «Информация», которое откроется при нажатии на иконку с буквой i в кружке. Её тоже нужно будет скопировать и вставить в клиент. Так проще пересылать в мессенджерах.

В принципе, один ключ может работать сразу на множестве устройств. Но для удобства можно создавать и по ключу на каждое устройство.

Вот эти кнопки отвечают за экспорт конфигурации для пользователей

Клиенты рекомендуют в основном следующие:

Для Android:

v2rayNG

тот же v2rayNG, но сразу со сборкой от разработчика, в разделе Assets брать версию arm64-v8a или universal

NekoBox, в разделе Assets выбирайте версию arm64-v8a

Для iOS и MacOS

 Streisand: хороший, но не подходит для маков на процессорах Intel

 FoxRay: тоже хорош и универсален, но некоторые функции платные

Для Windows

v2rayN, в разделе Assets выбирать версию With Core selfcontained

NekoRay, в разделе Assets выбрать версию windows

Для Linux

NekoRay, в разделе Assets выбрать пакет для своего дистрибутива

Процесс добавления настроек везде примерно одинаковый: либо сканируем QR-код, либо копируем настройку в виде ссылки и вставляем. В NekoRay он может быть самым сложным, но там есть Program -> Add profile from clipboard. В остальных клиентах обычно кнопки сканирования QR-кодов и вставки из буфера доступны либо сразу, либо из главного меню, либо по кнопке с плюсиком.

Заключение

Если у вас всё получилось, то смело делитесь этим постом с друзьями. Можете перепечатывать его себе, но не забывайте указывать ссылку на оригинальный пост (gemini://gemini.danis.one/about_vpn).

Если же в процессе возникли сложности и затруднения или есть желание уточнить и дополнить, то смело пишите в комментах:

пост в телеграме, под которым можно оставлять комменты.

© Danis? All rights reserved.