Налаштування VPN на VPS для безпечного доступу

Як встановити VPN на сервері VPS

🔹 Навіщо потрібен VPN

VPN (Virtual Private Network) створює зашифрований тунель між вашим пристроєм і сервером VPS.
Він дозволяє:

• захистити трафік у відкритих Wi-Fi або публічних мережах;
  
• безпечно працювати з внутрішніми корпоративними ресурсами;
  
• приховати ваш справжній IP-адрес;
  
• забезпечити безпечне адміністрування серверів.

⚙️ 1. Підготовка сервера

1. Створіть VPS з операційною системою Ubuntu 22.04 LTS (або новішою).
   
2. Оновіть пакети системи: sudo apt update && sudo apt upgrade -y
   
3. Переконайтеся, що відкриті потрібні порти:
   
   • 22 — для SSH-підключення
     
   • 51820 (WireGuard) або 1194 (OpenVPN) — для VPN

🔐 2. Вибір типу VPN

Існує кілька популярних рішень:

• WireGuard — новий, швидкий і простий у налаштуванні протокол.
  
• OpenVPN — перевірене рішення з великою кількістю готових клієнтів.
  
• SoftEther — універсальний VPN, який підтримує L2TP, OpenVPN і SSTP.

Для більшості користувачів найкращим вибором буде WireGuard — простий, легкий і стабільний.

🧱 3. Встановлення WireGuard (рекомендований варіант)

На VPS-сервері:

1. Встановіть WireGuard:
   
   sudo apt install wireguard -y
   
2. Згенеруйте ключі:
   
   wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
   
3. Створіть конфігураційний файл /etc/wireguard/wg0.conf:
   
   [Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
[Peer]
PublicKey = <client_public_key>
AllowedIPs = 10.0.0.2/32
   
4. Увімкніть IP-маршрутизацію:
   
   echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
   
5. Активуйте сервіс:
   
   sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

💻 4. Налаштування клієнта

На пристрої користувача (Windows, Linux або смартфон):

1. Створіть власні ключі.
   
2. Зробіть конфігураційний файл, наприклад:
   
   [Interface]
PrivateKey = <client_private_key>
Address = 10.0.0.2/24 DNS = 1.1.1.1
[Peer]
PublicKey = <server_public_key>
Endpoint = <SERVER_IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
   
3. Підключіться через застосунок WireGuard або через командний рядок.

🔄 5. Захист VPS

1. Активуйте фаєрвол (ufw):
   
   sudo ufw allow 22
sudo ufw allow 51820/udp
sudo ufw enable
   
2. Вимкніть вхід за паролем, залишивши лише доступ по SSH-ключу.
   
3. Регулярно оновлюйте ОС і пакети WireGuard для безпеки.

🧩 6. Додавання нових користувачів

Для кожного клієнта створюються окремі ключі та IP-адреси, наприклад:
10.0.0.3/24, 10.0.0.4/24 тощо.

Додайте нові блоки [Peer] у /etc/wireguard/wg0.conf, після чого перезапустіть сервіс:

sudo systemctl restart wg-quick@wg0