Настройка VPN на VPS для безопасного доступа

Как установить VPN на сервере VPS

🔹 Зачем нужен VPN

VPN (Virtual Private Network) создаёт зашифрованный туннель между вашим устройством и сервером VPS.
Он позволяет:

• защитить интернет-трафик в общественных или незащищённых сетях;
  
• безопасно подключаться к внутренним корпоративным ресурсам;
  
• скрыть реальный IP-адрес;
  
• администрировать сервер через защищённое соединение.

⚙️ 1. Подготовка сервера

1. Разверните VPS с Ubuntu 22.04 LTS (или более новой версией).
   
2. Обновите систему: sudo apt update && sudo apt upgrade -y
   
3. Убедитесь, что открыты нужные порты:
   
   • 22 — для SSH
     
   • 51820 (WireGuard) или 1194 (OpenVPN) — для VPN

🔐 2. Выбор типа VPN

Наиболее распространённые решения:

• WireGuard — современный, быстрый, простой в настройке;
  
• OpenVPN — надёжный, поддерживается большинством клиентов;
  
• SoftEther — гибкий вариант с поддержкой нескольких протоколов (L2TP, OpenVPN, SSTP).

Для большинства пользователей оптимальным выбором будет WireGuard — лёгкий, безопасный и удобный.

🧱 3. Установка WireGuard (рекомендуется)

На VPS-сервере:

1. Установите WireGuard:
   
   sudo apt install wireguard -y
   
2. Сгенерируйте ключи:
   
   wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
   
3. Создайте конфигурационный файл /etc/wireguard/wg0.conf:
   
   [Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
[Peer]
PublicKey = <client_public_key>
AllowedIPs = 10.0.0.2/32
   
4. Включите IP-переадресацию:
   
   echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
   
5. Запустите сервис:
   
   sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

💻 4. Настройка клиента

На клиентском устройстве (Windows, Linux или мобильном):

1. Сгенерируйте ключи.
   
2. Создайте конфигурационный файл:
   
   [Interface]
PrivateKey = <client_private_key>
Address = 10.0.0.2/24 DNS = 1.1.1.1
[Peer]
PublicKey = <server_public_key>
Endpoint = <SERVER_IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
   
3. Подключитесь через приложение WireGuard или из терминала.

🔄 5. Защита сервера

1. Включите фаервол UFW:
   
   sudo ufw allow 22
sudo ufw allow 51820/udp
sudo ufw enable
   
2. Отключите вход по паролю — используйте только SSH-ключи.
   
3. Регулярно обновляйте систему и WireGuard для защиты от уязвимостей.

🧩 6. Добавление новых пользователей

Для каждого клиента создаются собственные ключи и IP-адреса, например:
10.0.0.3/24, 10.0.0.4/24 и т. д.

Добавьте новые блоки [Peer] в /etc/wireguard/wg0.conf и перезапустите сервис:

sudo systemctl restart wg-quick@wg0