Як встановити VPN на VPS?

Власний VPN-сервер на VPS – зручний спосіб забезпечити приватність з’єднання, обійти географічні обмеження та захистити передані дані. Власники сайтів, вебмайстри й початківці-програмісти часто обирають такий підхід, щоб мати повний контроль над конфігурацією мережі й не залежати від сторонніх провайдерів. У цій статті ми розглянемо дві популярні VPN-технології: OpenVPN та WireGuard. Ви дізнаєтесь, як підготувати віртуальну машину, встановити необхідні пакети, налаштувати клієнтські пристрої та підвищити безпеку сервера.

Вибір і підготовка VPS

Перш ніж приступити до налаштування, варто визначитися з параметрами віртуального сервера. Для VPN-рішень зазвичай достатньо 1–2 ГБ оперативної пам’яті й одного виділеного ядра. Однак усе залежить від кількості користувачів, які підключатимуться, і передбачуваного навантаження. Зверніть увагу на такі моменти:

• Розташування дата-центру. Чим ближче сервер до кінцевих користувачів, тим менша затримка в мережі;
• Пропускна здатність каналу. Для повноцінної передачі великих файлів необхідний достатній трафік;
• Зручність панелі керування. Багатьом простіше працювати з готовими шаблонами (наприклад, Ubuntu 20.04).

На нашому хостингу доступний широкий вибір тарифів VPS, які точно підійдуть для цього завдання. Після вибору тарифу підходить стандартна процедура підготовки. Переконайтеся, що у вас є SSH-доступ (логін і пароль або ключ), і виконайте основні оновлення операційної системи:

sudo apt-get update
sudo apt-get upgrade

або аналогічні команди залежно від дистрибутива Linux.

Встановлення та налаштування OpenVPN

OpenVPN – один із найпоширеніших варіантів. Він пропонує гарну сумісність з Windows, macOS, Linux і мобільними платформами.

Встановлення необхідних компонентів

sudo apt-get install openvpn easy-rsa

Після цього в системі з’являться потрібні файли й утиліти для генерації сертифікатів.

Підготовка PKI (Public Key Infrastructure)

Перейдіть у директорію Easy-RSA і скопіюйте шаблон:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

Потім відредагуйте файл vars, вказавши назву організації й країну, після чого виконайте команди для створення CA (Certificate Authority) і ключів.

Створення конфігурації OpenVPN

У папці /etc/openvpn відредагуйте серверний файл, вказавши порт, протокол і шлях до сертифікатів. Часто використовується шаблон /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz.

Розархівуйте його й внесіть потрібні зміни (наприклад, порт 1194 і протокол udp).

Генерація клієнтських профілів

Для кожного користувача створіть окремий ключ і сертифікат. Підсумковий .ovpn-файл міститиме всі параметри, включаючи адресу VPN-сервера (його IP-адресу або ім’я).

Запуск і перевірка

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

За коректного налаштування служба автоматично запускається під час старту системи.

Встановлення та налаштування WireGuard

WireGuard – відносно нова технологія, відома високою швидкістю й простотою. Вона використовує сучасну криптографію й зазвичай працює швидше OpenVPN.

Встановлення WireGuard

У свіжих версіях Ubuntu та Debian достатньо ввести:

sudo apt-get install wireguard

На інших дистрибутивах може знадобитися окреме підключення репозиторіїв.

Генерація ключів

Кожен вузол WireGuard має пару «privatekey» і «publickey». Створіть їх командою:

wg genkey | tee privatekey | wg pubkey > publickey

Аналогічні ключі знадобляться для клієнта.

Файл конфігурації

У /etc/wireguard/wg0.conf пропишіть такі параметри:

[Interface]
Address = 10.8.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = <Вміст файлу privatekey>

[Peer]
PublicKey = <Відкритий ключ клієнта>
AllowedIPs = 10.8.0.2/32

«Address» визначає віртуальну підмережу, а «ListenPort» – порт, на якому працюватиме WireGuard. «Peer» – це клієнт.

Старт і автозавантаження

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

«wg-quick» – утиліта, що спрощує роботу з WireGuard. Після перезапуску сервера з’єднання автоматично відновлюється.

Налаштування клієнтських пристроїв

На стороні користувача потрібно встановити відповідне ПЗ:

OpenVPN-клієнт

Завантажте GUI-додаток (наприклад, «OpenVPN GUI» для Windows або «Tunnelblick» для macOS) і імпортуйте отриманий .ovpn-файл. Переконайтеся, що в конфігурації вказано правильну IP-адресу сервера й враховано шляхи до ключів і сертифіката.

WireGuard-клієнт

На Windows встановіть «WireGuard for Windows», на macOS – «WireGuard.app», а на Linux – пакет «wireguard-tools». Створіть профіль (зазвичай .conf), прописавши [Interface] і [Peer], додайте «PrivateKey» клієнта й «PublicKey» сервера. У полі «Endpoint» впишіть адресу свого VPS.

Після збереження конфігурації достатньо натиснути кнопку «Підключитися», і трафік піде через VPN-мережу.

Забезпечення безпеки VPN-сервера

Щоб захистити свій сервер, слід дотримуватись кількох рекомендацій:

• Обмежте доступ по SSH. Налаштуйте авторизацію по ключах і переконайтесь, що пароль вимкнено. Задайте нестандартний порт, якщо дозволяє політика мережі;
• Використовуйте фаєрвол. Переконайтесь, що відкриті лише необхідні порти: 1194 (OpenVPN), 51820 (WireGuard) та SSH. Решту закрийте через iptables або ufw;
• Оновлюйте систему. Регулярне встановлення оновлень допоможе усунути вразливості, своєчасно отримуючи патчі для ядра та мережевих пакетів.

Тестування й усунення неполадок

Після налаштування перевірте працездатність з’єднання. Підключіться до VPN з клієнтського пристрою й відкрийте сервіс, який показує вашу IP-адресу, наприклад whatismyip. Якщо все зроблено правильно, ви побачите IP VPS замість домашньої. У разі виникнення проблем перегляньте журнали:

• OpenVPN: sudo journalctl -u openvpn@server
• WireGuard: sudo journalctl -u wg-quick@wg0

Поширені помилки включають неправильно вказані ключі, невірну IP-адресу сервера або не відкритий порт. Іноді забувають дозволити пересилання пакетів у /etc/sysctl.conf (параметр net.ipv4.ip_forward=1).

Висновок

Встановлення VPN на VPS – доволі корисне рішення, яке дає повний контроль над каналом зв’язку та допомагає убезпечити передачу даних. Ви можете обрати OpenVPN як класичний варіант або WireGuard для швидшої роботи. В обох випадках важливо переконатися, що конфігурація коректно налаштована, користувачі мають надійні ключі, а мережеві порти належним чином відкриті. Регулярне оновлення системи й ретельна перевірка логів дозволять тримати сервер у безпечному й стабільному стані.

FAQ

Чим OpenVPN відрізняється від WireGuard?

OpenVPN – це перевірений і гнучкий протокол, сумісний з багатьма платформами. WireGuard – відносно новий і швидкий протокол.

Навіщо потрібен файл конфігурації VPN-клієнта?

У ньому містяться параметри підключення до VPN-сервера: адреса, порти, ключі. Він необхідний для встановлення захищеного з’єднання.

Що таке PKI в контексті OpenVPN?

Це інфраструктура відкритих ключів, яка використовується для генерації й керування сертифікатами. Вона забезпечує безпечну автентифікацію між сервером і клієнтом.

Чому важливо оновлювати VPS-сервер?

Оновлення усувають вразливості та підвищують безпеку системи. Регулярне встановлення патчів захищає від потенційних атак.

Що таке «AllowedIPs» у конфігурації WireGuard?

Це список IP-адрес, яким дозволено передаватись через VPN-тунель. Він визначає, який трафік буде спрямований через VPN.

Як перевірити, що VPN працює правильно?

Після підключення зайдіть на сайт, який показує вашу IP-адресу. Якщо відображається IP-адреса VPS – значить VPN працює.

Чому важлива авторизація по SSH-ключах?

Це безпечніший спосіб підключення до сервера, ніж пароль. Ключі складніше підібрати, що знижує ризик злому.