Блог

Host server through vpn

Как выбрать подходящий хостинг. Отличительные черты плохого хостинга. История о том, как мы долго искали и нашли хостинг в России. Почему IPv6 — хорошо. Изменение конфигурации OpenVPN на лету, без перезапуска сервера и отключения клиентов. Балансировка нагрузки между серверами и процессами OpenVPN Тонкая настройка Linux для большого числа подключений Особенности кривых операционных систем и роутеров пользователей Наш опыт будет полезен для тех, кто собирается развернуть VPN для личных нужд, и тех, кто хочет создать сервис с большим числом клиентов.

Сразу же пользователи начали жаловаться, что из-за европейских IP-адресов Яндекс. Музыка и музыка VK. Мы начали искать подходящий хостинг в СНГ. Оказалось, что отечественных хостеров, сравнимых по уровню услуг с европейскими, не существует. Почти всегда это низкое качество услуг при высокой цене, сложная процедура заказа, устаревшие технологии. За время поиска мы успели сформировать список отличительных черт плохого хостинга. Хоть в самой аббревиатуре нет ничего страшного, это своего рода черная метка, которая практически гарантирует низкий уровень сервиса и интерфейс панели управления из х годов.

Процесс заказа сервера в таких панелях выполняется в несколько этапов. Панель управления самим сервером обычно находится на отдельном от панели заказа поддомене, с отдельным логином-паролем, переход в которую осуществляется не самым очевидным способом.

Процесс заказа или изменения услуги превращается в настоящие мучение, часто требующее обращение в техподдержку. Если процедура заказа сервера требует больше нескольких кликов и занимает больше двух минут — это плохой хостинг. Интерфейс панели управления BillManager — отличительная черта устаревшего хостинга Непонимание принципов IPv6.

Многие хостеры выделяют один IPv6-адрес и требуют плату за каждый дополнительный. Виртуализация OpenVZ. Такие адреса нельзя нормально раздавать клиентам VPN. Попробовав несколько хостингов, мы почти отчаялись. Казалось, что в России просто не существует нормального хостинг-провайдера для наших нужд.

Я разослал письмо всем хостерам, которых смог найти на сайтах-агрегаторах хостинга, в котором описал наши требования, и попросил бесплатно предоставить нам площадку в обмен на рекламу на нашем сайте.

OpenVZ в большинстве случаев не позволяет нормально управлять IPv6-адресами, имеет ограничения на настройку переменных ядра sysctl. Мощный серверный процессор. Бывают даже серверы на процессорах VIA. На таких системах OpenVPN работает медленно, но не из-за шифрования, как можно было бы предположить. Модуль tun, который используется OpenVPN для создания сетевого интерфейса, не оптимизирован под высокие нагрузки: Чем медленнее частота памяти и дешевле процессор, тем медленнее происходит переключение.

Кроме того, в коде OpenVPN используются системные вызовы recv и send, оперирующие единичными сетевыми пакетами, из-за чего отправка зашифрованных пакетов тоже происходит не самым оптимальным образом.

Поэтому для нормальной работы OpenVPN важно иметь быстрый процессор и память. Безлимитный трафик и хорошие каналы. Пользователи потребляют много медиа-контента в социальных сетях, трафик расходуется очень. Тарифы с низкой квотой трафика 1ТБ расходуются за сутки.

Отдельная маршрутизируемая сеть IPv6 необходима для прямого выделения реальных адресов клиентам. Большинство хостеров даже не понимают, что это значит, и просто назначают на сетевом интерфейсе гипервизора требуемую подсеть, а не создают запись в таблице маршрутизации через существующую или через link-local-адрес.

Это не позволяет без костылей назначить выданный диапазон на сетевой интерфейс VPN и выдавать IPv6-адреса напрямую клиентам: Существуют NDP-проксикоторые позволяют обойти эту проблему, но это неудобно, и из-за этого может создаваться дополнительная нагрузка на гипервизор и маршрутизаторы хостера.

На наш запрос откликнулось около десятка компаний, но почти все из них имели признаки убогого хостинга и не подходили. Как мы подружились с Veesp. Это единственный хостер, который знал как правильно готовить IPv6. У них есть две линейки тарифов VPS. Сервера на этом тарифе имеют процессор Intel Xeon X Есть даже оплата через Bitcoin! На текущий момент мы полностью переехали на площадку Veesp. Музыка в VK и Яндексе снова работает, пользователи довольны.

IPv6 Я очень люблю IPv6. Он позволяет избавиться от кучи ненужных сущностей, вроде NAT и проброса портов. К сожалению, многие хостинг-провайдеры и системные администраторы противятся и недолюбливают этот протокол, из-за этого его неправильно настраивают и используют. Самая распространенная ошибка — выдавать один IPv6-адрес на сервер. Сайт slash Такой подход избавит от путаницы и угадывания, как именно настроена сеть на каждом отдельном узле. Меньшее потребление памяти на маршрутизаторах.

Сетевому администратору достаточно маршрутизировать на ваш одну большую подсеть, а не несколько мелких. Если вы, вдруг, захотите сделать полноценную локальную сеть L2 поверх интернета, в ней будет корректно работать IPv6.

Свой VPN-сервер быстро и просто: устанавливаем Pritunl

IPv6-адреса не должны продаваться поштучно. Чтобы выдавать клиентам VPN IPv6-адреса напрямую без костылей, нужно иметь отдельную маршрутизируемую сеть через IPv6-адрес на сервере, то есть подсеть, из которой планируется раздавать адреса клиентам, не должна быть назначена на интерфейс сервера, но должна маршрутизироваться через какой-либо адрес на сетевом интерфейсе сервера.

Существует два распространенных варианта раздачи маршрутизируемах сетей. Первый вариант: Второй вариант: У большинства хостеров выделенную сеть нужно заказывать отдельно.

К сожалению, даже продвинутые хостеры, вроде DigitalOcean, не предоставляют такой услуги. Здесь есть список хостеров, предоставляющих данную услугу version6.

Где в Европе поднять VPN? — babileto.info

NAT и Firewall На серверах забороны больше двух сотен правил iptables, по несколько на каждый диапазон из списка запрещенных в Украине сетей. Сложный набор правил неудобно обслуживать стандартными средствами iptables-save и iptables-restoreпотому что в случае изменения одного правила, необходимо будет редактировать сотни однотипных строк. Упрощаем написание правил файрволла с помощью ferm Ferm — утилита для управления сложными правилами iptables со своим синтаксическим сахаром.

Она позволяет создать удобочитаемую конфигурацию iptables, использовать переменные, массивы и циклы, но не ограничивает вас, в отличие от других надстроек над iptables: Простой пример: В обычном случае нужно было бы написать тысячи одинаковых правил для каждого интерфейса.

Вот как эта задача решается через ferm: Такая запись легко читается и занимает в три раза меньше строк. Ее проще редактировать. В нашем случае iptables выполняет три функции: Разберем каждую задачу подробно. Для того, чтобы выпустить клиентов в IPv4-интернет, нужно использовать преобразование сетевых адресов NAT. Тем же самым занимается ваш домашний WiFi-роутер. На каждое исходящие соединение клиента создается трансляция в памяти сервера, которая хранит информацию о том, кому какое подключение принадлежит.

Несмотря на то, что эта операция требует мало ресурсов сервера, при огромном количестве подключений десятки тысячэто может стать ресурсоемкой задачей для слабого сервера. Серверу остается только перебрасывать пакеты с одного интерфейса на другой, без создания трансляций и хранения информации о каждом подключении.

Ограничение доступа в другие сети Любой пользователь может добавить опцию redirect-gateway в конфиг OpenVPN и использовать наши сервера как маршрут по умолчанию. Нужно закрыть доступ ко всем сетям, кроме заблокированных в Украине. Для лучшей утилизации всех ядер процессора, число процессов должно равняться количеству ядер на сервере. Балансировка между процессами выполняется с помощью модуля statisticкоторый случайном образом перенаправляет входящие подключения на разные внутренние порты.

Балансировка между серверами Мы используем самый простой способ балансировки — с помощью множественных А-записей DNS. Все клиенты подключаются к серверу через доменное имя vpn. Этот домен имеет шесть А-записей, которые направлены на все сервера. В итоге, в момент подключения, клиент выбирает случайный сервер из доступных.

Так общее число подключений равномерно распределяется между всеми серверами. Панель управления DNS-записями. Балансировка с помощью множественых А-записей. Малое значение TTL позволяет быстро удалять адреса из общего списка. Можно быстро посмотреть, на какие IP-адреса резолвится домен из разных точек планеты, с помощью сервиса host-tracker.

Результат для домена vpn. Это не так просто сделать, потому что в новых версиях Windows запросы могут уходить ко всем DNS-серверам в системе, и будет использоваться тот, который ответит быстрее. DNS-сервер провайдера находится физически ближе к клиенту, поэтому, с большой вероятностью, система быстрее получит подмененный ответ провайдера, а не корректный ответ DNS внутри VPN, и сайт останется заблокирован.

Разворачивание сервера В комментариях к предыдущей статье меня упрекали в том, что некоторые этапы, которые мне казались очевидными, не описаны. Здесь я опишу полный набор команд для разворачивания сервера забороны. Конфиги максимально унифицированы и могут быть без изменений развернуты на сервере.

Это удобно при использоватии инструментов автоматического деплоя, вроде Ansible. На серверах используется Ubuntu Все остальные пакеты ставим из стандартной поставки. Число процессов OpenVPN настраивает по числу ядер на сервере, в нашем случае 2. Каждый отдельный процесс имеет свой конфиг: Чтобы избежать путаницы, я буду называть процессы OpenVPN демонами, но сути это несколько отдельных серверов, запущенных внутри одного VPS.

Нам не нужен L2 уровень. Уникален для каждого сервера. Эта опция позволяет назначить индивидуальные опции для каждого пользователя. Файл перечитывается заново при каждом подключении клиента, поэтому изменения можно выполнять без перезапуска сервера.

А у нас тут можно получить грант на тестовый период Яндекс. Читают. Вы не сможете решить эту задачу на собеседовании 20k Поддержать автора Отправить деньги. Платежная система. Деньги PayPal. Me Webmoney. Поделиться публикацией. Похожие публикации. Специалист технической поддержки. Евробайт Возможна удаленная работа.

Специалист по тестированию веб-приложений. Mirafox Возможна удаленная работа. Специалист отдела технической поддержки. PiRL Ventures Москва. Системы автоматизации Казань. Все вакансии. Подозреваю что на каком-то этапе AWS просто всех выкосил.

Среднему бизнесу довольно тяжко или может у меня просто задачи очень специфичные. Из всех зарубежных хостеров, мне очень нравится Linode. Они настоящие профессионалы, за несколько лет никаких проблем. Всегда компетентная поддержка и качественные услуги.

Setup Your Own VPN Server In 10 Minutes! (Tutorial)

К сожалению нет тарифов с безлимитным трафиком. Linode и DigitalOcean — только виртуалки, то есть про высокие нагрузки можно забыть. Ну и объема трафа там копейки — 10ТБ в месяц макс. Насчет трафика Вы правы.

Но хочу заметить, что это качественные каналы и гарантированная полоса. Например, когда мы еще держали сервера в Европе, пользователи жаловались на сервер Scaleway у которого хоть и безлимитный трафик, но реальная ширина канала значительно ниже заявленой.

Так что для продакшена я предпочту хостинг с ограниченной квотой трафика, но предсказуемым качеством сети. Видимо тем, кому нравится переживать о ломающихся жестких дисках и писать в поддержку письма с просьбой поменять HDD на сервере. Я не спорю, что для некоторых задач выделенные сервера нужны, но на них обычно тоже ставят гипервизор и оперируют внутри виртуалками.

Это проще и быстрее. Из всех опробованных виртуальных сетевых интерфейсов vmware, xen и пр. Умножаем на три, чтоб держать те же нагрузки. По поводу ломающихся дисков — не встречал конфигураций кроме совсем запущенных случаев с одним диском, а когда два диска в зеркале и мониторинг — то переживать не о. Rathil 24 июня в Хм нет, не знаком.

Судя по локации, они реселят S4U. На S4U мы жили первые три года, пока не осознали, насколько порезанные у них сети, причем как в VIP ServerLoft так и в бюджетном варианте.

Gasaraki 23 июня в Цены там вполне приятные. ValdikSS 23 июня в IPv6 setup in two hosting providers compared: OVH был бы идеальным провайдером дедиков — отличное Intel-овское железо материнки и лучшие сетевые карточки из всех что встречалсказочные цены, более-менее вменяемый суппорт.

Были даже попытки кастомизации под нас, как под крупного клиента, но в итоге мы проиграли битву с их великим фаерволом и потеряли несколько важных клиентов. Скорее не фаервол, а антиддос. Мы в свое время из-за него туда ушли, но у нас просто сайт был который ддосили неделями до этого и hetzner нам просто доступ к серваку вырубил из-за 6гбит ддоса.

Holms 24 июня в Посмотрите https: Akuma 23 июня в На самом деле при выборе хостера нужно отталкиваться от поставленных задач.

игровой панель хостинг серверов скачать

Вам нужен безлимтный трафик — а я никогда не превышал этот 1 Тб в месяц. Виртуализацию выбирает 1 человек из и то в лучшем случае. Остальные просто не знают между ними разницу, да оно им и не. Не рекламы ради, но мне например нравится Vscale. Все шустро, дешево. Меня устраивает. И, да, я понятия не имею чем там делается виртуализация, хотя при выборе тафира кажется было написано.

Я не защищаю перечисленных 1Gb, Mh, reg. Они совсем другая история. Отчасти согласен. В статье описаны именно наши требования под VPN сервера. Мне кажется странным, когда в целой стране отсутствует хостинг под эту задачу, тем более что она вполне стандартная. Особенно раздражают ситуации, когда нужно пройти десять экранов заказа сервера и идти в отдельную панель чтобы включить его после покупки. В reg. Vscale нам тоже советовали.

Поднимаем VPN-туннель из мира домой в обход NAT / Хабр

Возможно он вполне хороший. Есть информация о том, как у них с IPv6? Можем спросить об этом amarao. IPv6 мы делаем по запросу, в основном в приватных регионах. Выкатывание в паблик осложняется уязвимостью в openstack, позволяющей одному тенанту подделать RA для другого тенанта. ISPmanager действительно не очень удобная панель, вспоминаю как мучался с ней лет 7 назад, когда она была на пике популярности.

Странно, что нормальных аналогов до сих пор никто не придумал. Я имел в виду не только ISP, но и сам биллинг. А рядовому пользователю, чтобы добавить какой-нибудь сайт на php, знать ssh думаю не обязательно. У veesp в описании storage-виртуалок речь идёт об ограничении в мбит. For better utilization of all processor cores, the number of processes must equal the number of cores on the server. Balancing between processes is performed using the module statistic which randomly forwards incoming connections to different internal ports.

We use the simplest method of balancing — using multiple A-records DNS. All clients connect to the server through the domain name vpn. This domain has six A-records, which are directed to all servers. As a result, at the time of connection, the client selects a random server from the available ones. So the total number of connections is evenly distributed among all servers. The control panel of DNS records. Balancing with the help of multiple A-records.

The small value of TTL allows you to quickly remove addresses from the general list. You can quickly see which IP addresses are resolved by a domain from different locations on the planet, using the service host-tracker.

Result for the domain vpn. Many Ukrainian providers block DNS requests to the forbidden domains, intercepting requests, including to third-party DNS-servers, like 8.

Therefore, it is important that customers send DNS requests through the VPN tunnel, where they can not be modified by the provider. This is not so easy to do, because in newer versions of Windows, requests can go to all DNS servers in the system, and the one that answers faster will be used. In the comments to the previous article, I was reproached that certain stages that seemed obvious to me were not described. Here I will describe the full set of commands for deploying the server of fence.

The configurations are maximally unified and can be undeployed on the server. This is convenient when using automatic de-fileing tools, such as Ansible. The distribution repository contains an outdated version of OpenVPN 2. All other packages are delivered from standard delivery. The number of processes OpenVPN configures by the number of cores on the server, in our case 2. Each separate process has its own config: Конфиги разных демонов отличаются только номером порта для входящих соединений и диапазоном IP-адресов, выдаваемых клиентам.

Первое время мы постоянно реадктировали список заблокированных сетей, из-за этого приходилось перезапускать демоны OpenVPN каждый раз при изменении конфигов. Из-за этого у клиентов разрывалось подключение к серверу. Решением этой проблемы стала опция client-config-dir.

Она используется для того, чтобы назначит индивидуальные настройки поименно каждому пользователю. Хитрость в том, что файл перечитывается заново при каждом подключении клиента и не требует перезапуска сервера для применения настроек.

В результате мы можем редактировать настройки сервера без отключения клиентов. Так как пользователи рано или поздно в любом случае перподключаются, новые настройки со временем применяются всем клиентам. По-умолчанию, после установки, пакет ferm сразу активирует стандартный набор правил в котором запрещены все соединения, кроме SSH на 22 порту.

Так что если у вас SSH сервер находится на другом порту, будьте аккуратны, чтобы не заблокировать. Для сравнения, вот как выглядит тот же набор правил, полученный через iptables-save:. Так, подключения равномерно распределяются между двумя процессами OpenVPN. Если бы процессов было больше, нужно было бы добавить дополнительные правила на каждый процесс и изменить вероятность срабатывания каждого правила.

По-умолчанию dnsmasq принимает запросы только с локального интерфейса Файл systctl. Старт сервисов После того, как все сервисы настроены, можно добавить их старт в автозагрузку.

Предварительно увеличиваем лимит на число открытых файловых дескрипторов для процессов OpenVPN, иначе при большом числе клиентов мы их превысим и получим ошибку Too many open files из-за большого числа открытых сокетов. Для проверки корректности настроек, можно перезагрузить сервер и убедиться что все сервисы запущены.

У значительной доли пользователей оказались устаревшие, сломанные ОС. Мы завели Wiki на Github, в которую пользователи самостоятельно могут добавлять инструкции.

Там описаны решения некоторых распространенных проблем. Вот наиболее типичные случаи кривого пользовательского окружения:. На ней не работет много современных программ, веб-браузеры, а также последняя версия OpenVPN 2. Этой теме посвящена отдельная статья в нашей Wiki github. У многих пользователей отключены автоматические обновления Windows. Почему-то, в такой конфигурации на Windows 7 часто ломается IPv6. При подключении в логах OpenVPN появляется такая ошибка:.

Причину этой аномалии не удалось выяснить. Зато у Microsoft есть специальная утилита на такой случай — IPv6 Re-enabler. Многие сборки Android имеют проблемы, которые не поддаются объяснению, например часто жалуются на то, что при подключенном VPN DNS запросы выполняются по несколько секунд. В Android 4.

Как персонаж появился в комиксах, с кем он сражается и что ещё стоит посмотреть о герое. Шесть действующих способов, которые применимы и на работе, и в обычной жизни. Готовьте классику, добавляйте фасоль, грибы и чернослив — такие варианты порадуют не только в пост. Серия роликов о том, как снимали и отрисовывали самые жуткие и самые сексуальные сцены. Получай лучшее на почту. Сергей Почекутов. Сервер находится в стране, которая не подпадает под юрисдикцию российских органов власти, но находится достаточно близко к вашему реальному местоположению.

Пойдём по порядку: IP-адрес должен совпадать с IP-адресом, который вы получили в письме от хостера. Протокол оставьте по умолчанию UDP. Какой DNS использовать — выберите Google. Client name — укажите имя пользователя. Можно оставить client. Press any key — ещё раз нажмите Enter и дождитесь окончания настройки. У OpenVPN есть также клиенты для мобильных устройств.

Загрузить QR-Code. OpenVPN Connect. OpenVPN Technologies. Показать ещё. Лучшее за неделю Просмотры Комментарии. Сколько можно и нужно заниматься сексом. Читайте. Если нашли ошибку, выделите текст и нажмите. Материалы сайта предназначены для лиц старше 18 лет.