Привет!
Из образовательных соображений дабы удовлетворить своё любопытство решил сделать то, что давно откладывал, как-то не было особой нужды - а именно поднял свой VPN сервер (на базе strongswan) на облаке (в качестве примера на Digital Ocean, но выбор поставщика тут не принципиален).
Воспользовался вот этой инструкцией https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-18-04-2
Понял две вещи. Во-первых, хостинг - это дороговато (в сравнении с готовыми «коробочными» решениями), будет сжирать на самом дешёвом тарифе $4-6 в месяц (не считая домена, без которого можно жить, ну или бесплатный поискать), в то время как самые дешёвые коммерческие VPN-сервисы предлагают за $2-3 в месяц (при заключении контракта на пару лет, важное уточнение, без него может и подороже). Во-вторых, это всего лишь один сервер в одном дата-центре, а коммерческие VPN предлагают кучу «плюшек», самое простое - 20-30+ стран на выбор. Например, мне был бы полезен хостинг в России (так как нахожусь за её пределами) на случай, если какой-то российский сайт не открывается (был какой-то сбой на госуслугах, например - вроде починили), а родне наоборот, где-нибудь в ЕС, чтобы те же новости читать. «Перебить» такое сложно, зато плюс к приватности (абсолютной приватность считать не будем, всё-таки у облачного провайдера физический доступ к чему угодно, что я у него покупаю, но это уже паранойа).
Но в качестве игрушки (pet project) довольно интересно. Плюс можно что угодно дополнительно туда установить на вкус и цвет, никаких ограничений. Кстати, некоторые коммерческие VPN тоже якобы предлагают блокировку рекламы (не изучал, насколько хорошо они работают).
Два вопроса.
-
Первый достаточно глупый (ламерский), так как большого опыта в этом нет. Напомню, протокол IKEv2. Я устанавливаю в клиентское устройство самописный сертификат. После чего всё работает, но вылезает назойливое предупреждение (по крайней мере на Android точно) о том, что теперь мой трафик прослушивается. Почему это происходит, я понимаю (собственно, я сам его и якобы «прослушиваю»), а можно ли как-то от него избавиться? Надо как-то подписать мой сертификат каким-то корневым, уже установленным во все современные ОС? Как обычно серьёзные бизнесы делают, когда открывают свой собственный сайт в HTTPS, например? Куда они идут? Это платная услуга? Вряд ли буду это делать, просто хочу знать, если вдруг.
-
Второе - какие есть решения добавить «банерорезку» в это облако? Нужно ли устанавливать дополнительный http proxy server, или необязательно, можно средствами netfilter? Не хочется делать вообще всё вручную, может, есть где-то готовая инструкция, а ещё лучше, готовое ПО, умеющее такое? По аналогии с adfree для android - принцип той программы до безобразия прост - она добавляет в /etc/hosts все известные адреса, единственной целью которых является распространение рекламы… Блокируется не всё, но что-то.
Зачем хочу это сделать? Хочу все устройства (ipad/iphone и т.п.) пускать в интернет (что по wifi, что по мобильной сети) через этот VPN и посмотреть, как оно будет работать…
В ИТОГЕ: порешал все с сертификатами через letsencrypt и strongswan, в итоге смог заставить работать без ручной установки сертификата на хранилище в клиенте, но пришлось повозиться. Помогли разработчики этого strongswan, довольно быстро ответили. Позже дойду до того чтобы записать это куда-то в виде инструкции, а пока спрашивайте напрямую сюда, подскажу, если кому интересно будет. (инструкция по ссылке в Блокировка рекламы на своём облаке (комментарий) устарела и не работает, надо немного по-другому).
С рекламой и dnsmasq попозже разберусь - но думаю, тут всё намного проще, с x509 сертификатами мне было сложнее разобраться, а тут всё уже куда более прозрачно.
