Поднимаем OPENVPN вручную. Боремся с утечкой DNS

Итак, собственно, поднимаем OpenVPN-server вручную Ссылка доступна только зарегистрированным пользователям.​

Начнем с установки каких-то пакетов. Некоторые из этих пакетов мы устанавливали в Ссылка доступна только зарегистрированным пользователям.

Обновим систему:
Код:
apt-get update && apt-get dist-upgrade -y
apt-get install -y sudo nano htop curl perl python wget git openssl ca-certificates iptables
И три основных пакета:
Код:
apt-get install -y openvpn easy-rsa ufw
После установки пакетов, разархивируем пример конфигурационного файла в папку /etc/openvpn/:
Код:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz >/etc/openvpn/server.conf
Файл /etc/openvpn/server.conf - основной серверный конфигурационный файл OpenVPN.

Теперь немного отредактируем его:
Код:
nano /etc/openvpn/server.conf
Файл длиный, с большим количесвом комментариев (все, что идет в строчке после символа # - комментарий). Строки, которые начинаются с символа ; в данном файле - тоже комментарии.

Частичный разбор конфига будет ниже в статье.
Редактируем. В самом верху сразу будет port:
Код:
port 1194
Я поменяю порт на какой-нибудь совсем не стандартный:
Код:
port 16122
(Диапазон от 0 до 65000), я выбрал рандомно. Не займите порт, который слушает другой сервис, например в моем случае sshd случает 1488.

Идем дальше. Выбираем протокол - пара строк ниже:
Код:
proto udp
И видим, что она никак не закоментированная. Потому что по-умолчанию OpenVPN будет работать по UDP. Если вам нужен TCP, выше есть строчка proto tcp - раскоментируйте ее, удалите символ ; в нчале строки, а proto udp закоментируйте, добавив символ #. Оба нельзя, или то или другое. Я буду показывать на примере UDP, поэтому оставляю как есть.

Опускаемся ниже в конфиге и находим строку:
Код:
dh dh1024.pem
Меняем на dh2048.pem:
Код:
dh dh2048.pem
Идем ниже и находим закоментированную строку:
Код:
;push "redirect-gateway def1 bypass-dhcp"
Раскоментируем:
Код:
push "redirect-gateway def1 bypass-dhcp"
Еще чуть ниже находим две раскоментированные строки рядом:
Код:
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Это то, какой DNS будет использоваться. По-умолчанию прописаны сервера OpenDNS, но можем прописать публичные сервера Google:
Код:
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
Можете оставить и OpenDNS.

Идем дальше и натыкаемся на строку
Код:
;tls-auth ta.key 0# This file is secret
Просто раскоментируем:
Код:
tls-auth ta.key 0# This file is secret
Листаем ниже и находим строку:
Код:
;cipher AES-128-CBC # AES
Это шифрование. Раскоментируем строку и переделаем на AES-256-CBC:
Код:
cipher AES-256-CBC
Еще чуть ниже в файле находим две закоментированные строки:
Код:
;user nobody
;group nogroup
Раскоментим их:
Код:
user nobody
group nogroup
Далее, ниже находим строку, которая начинается со слова status и переделываем ее в следующий вид:
Код:
#status /dev/null 2>&1
Закоментированная.

Еще чуть ниже, находим строку, которая начинается со слова log, и придаем ей такой вид:
Код:
log /dev/null2>&1
Не закоментированная.
Код:
https://bdf.ms/threads/dediki-shpiony-ili-pochemu-ne-stoit-ehkonomit-na-rabochej-srede.4915/
. Отключить логирование OpenVPN нельзя в привычном понимании, поскольку если закоментировать строку, то по-умолчанию будет писаться в syslog файл (/var/log/syslog).

Строку
Код:
;log-appendp>