Сервер VPN, на что обратить внимание?

Что-то ещё нужно делать, чтобы сам сервер не взломали?

Лично я первым делом меняю номер порта ssh на нестандартный. Это не столько для безопасности, сколько для уменьшения логов. На стандартном порту непрерывно пытаются подобрать пароль.

VPN + мегафон, как?

Я взял дешманский VDS и накатил easy-openvpn-server. Дел на 10 минут, чтобы разобраться.

У хетцнера сразу при билде ключ ssh заливается, пароля нема.

шоб не взломали, надо открыть порты только для ssh и для впн. И в ssh авторизация по ключу. Тогда взломают только если дыру найдут где то глубоко под капотом.

Взломают, за пару минут заново развернешь заново. Если не шпион, какие могут быть проблемы.

И всё? Закрыть лишние порты и ключ для SSH.

А как тогда порталы взламывают? Может ещё что-то сделать нужно?

И все? Что-то просто очень.

Что сразу пришло в голову - смена ssh порта и вход по ключикам.

Намного лучше настроить portknock и вообще не отсвечивать задом в интернеты. Решается обычным nftables.

У меня так и порт openvpn прикрыт и ssh.

Стучаться можно обычным netcat. Есть и для android

Какая разница как взламывают порталы, если ты не собираешься хостить портал?

Тебе за жизнь поговорить или vpn?

Просто берешь VDS, у провайдера в панели задаешь ssh ключ при создании, и потом ставишь через snap easy-openvpn-server. Больше ничего не надо.

Дальше по инструкции клепаешь «юзеров» под каждый девайс и дампишь конфиги с консоли.

И все?

Иди делай уже. Сам увидишь потом, что так и оно есть

Ок. Спасибо.

Проще всего использовать сокс прокси. Он встроен в ssh.

Логично. Вообще ничего поднимать не надо.

ну vpn сервер в России - нафиг не сдался, так как на него наложены все те же ограничения роскомпозора. А сервер за пределами России сейчас попробуй арендуй. То что было оплачено на год вперед то поотрубали, а про новый и речи нет.

ну vpn сервер в России - нафиг не сдался, так как на него наложены все те же ограничения роскомпозора

Не факт. У меня был сервер на вдсине когда-то, я специально проверял - на нём ограничений никаких не увидел, рутрекер открывался нормально. Не знаю, как сейчас.

В относительно свободном Казахстане ещё можно, и ещё cast
CYB3R

Казахстан точно нескоро будут банить в России, но всё моё оборудование в Финляндии, а это недружественное государство. Как только что случится, сразу забанят все финские IP и придётся мне гнать весь трафик через Казахстан (или РБ).

Я взял VPS в Молдове (она не в списке недружественных) https://pq.hosting/?from=31535. ВПН поднял вот этот https://getoutline.org - в два клика.

Я в итоге взяла vps у firstbyte за 100р в Болгарии. Но у них как-то странно, доступ через root по ssh. Не подскажете, как отключить root пароль, чтобы не остаться без доступа к серверу?

Надо ssh-ключ поставить. Но это гуглить лучше - вопрос общего характера, а я не умею базовые вещи бегинерам объяснять (многие это делают намного лучше меня).

Если пароль рандомный (не 123secret), я бы предложил оставить все как есть и не париться. Вы по-моему страшилок перечитали и ищете проблемы там где их нет.

Спасибо, не буду тогда заморачиваться. Поставила fail2ban с блоком на сутки при попытках подобрать пароль, думаю этого хватит для защиты.
Кроме VPN там важного ничего нет в принципе.

Неправильно всё. Гугли в сторону shadowsocks.

Вот. Единственный полезный совет в теме.

Сегодня этот(bill.pq.hosting) хостинг без объяснения причин удалил виртуалку которая использовался в качестве резервного DNS и балансировщика

так что не рекомендую деньги не вернули, по сути просто украли

занятненько. спасибо за предупреждение.

1. проверка IP, можно здесь

https://isitblockedinrussia.com/


2. проверка блокировок на самом VPS, особенно если он в стране, где такое возможно,
curl, ping, tracert на запрещенный ресурс

3. проверка скорости
speedtest-cli (может врать)
или http://speedtest.tele2.net/
также iperf3 в помощь


4. какой нибудь простенький бенчмарк проца... (я испольщую свой самопальный, так что без рекомендаций конкретики)


5. hdparm -tT --direct /dev/sda
бенчмарк накопителя данных



Обычно этого будет необходимо и достаточно чтобы понять с чем имеешь дело.

Настроить OpenVPN и сделать подключение по сертификату.

Так он уже не 100 рублей.

220 руб. уже, но это самое недорогое сейчас, вроде. Мне для впн с головой хватает. Поменяла порт ssh, отключила логин по паролю, настроила fail2ban. Сутками нет попыток левых авторизаций.
В общем я спокойна.

Настроить OpenVPN

Я wireguard настроила, через него скорость == тому, что даёт мой провайдер + у него легкое мобильное приложение, которое не высаживает батарею

Ну этого достаточно, делать что-то больше - паранойя :)