Бесплатный VPN от riseup.net. Часть 2.

Получение данных для нормального запуска VPN, без bitmask и на любом линуксе.

Подготовка

1. Ставим Debian x64. Я ставил 8.10 на виртуалку в VMWare 9 с netinst установщика, при установке можно выбрать LXDE, чтоб быстрее поставилось и тянуло меньше ерунды с инета.

2. Заходим в консоль и переключаемся под root
su

3. Обновляем списки пакетов после установки (из консоли)
apt update

4. Для удобства можно поставить mc
apt install mc

4. Ставим Openvpn
apt install openvpn

5. Качаем Bitmask (bundle-версию) отсюда копия на всякий случай и распаковываем его в отдельный каталог в пользовательской директории.

Регистрация

Первый вариант, на сайте https://riseup.net. Переходим по ссылке, придумываем имя пользователя и пароль.

Вариант второй — через Bitmask
1. Запускаем bitmask и в появившемся окне жмем New account…

2. Жмем плюсик, в появившемся окне вводим riseup.net

3. Оно подумает, добавит провайдера и выведет его описание. Жмем Next

4. Придумываем имя пользователя, пароль и вводим данные

Кнопка подтверждения регистрации чуть ниже, надо прокрутить окно.

При вводе пароля программа показывает его надежность (нагло врет и подло дезинформирует) в виде времени, необходимого для взлома. В результате пароли из имени жены, кошки и года рождения (типа murka1999ludka) кажутся непосвященному пользователю очень надежными с временем для взлома аж джва года. Не обольщайтесь.

5. ФАНФАРЫ!

Регистрация успешна, теперь надо получить данные для использования VPN

Глюки и зависания Bitmask

Bitmask оказался каким-то нестабильным и висючим, периодически при запуске делая бочку:

Отчего он так себя вел, непонятно совершенно. Лечилось либо убийством с помощью pkill и последующим перезапуском, либо запуском через консоль и двойным Ctrl+C (на одиночный он прячется в трей), или удалением каталога программы и каталога .config/leap из домашней директории. Накрайняк была копия HDD виртуалки.

Получение сертификатов VPN

Запускаем bitmask, вводим логин (в виде login@riseup.net) и пароль, логинимся и попадаем в главное окно, или если через bitmask и регистрировались, то сразу попадаем в главное окно, можно даже не пытаться соединиться, сертификаты уже получены.

При первом запуске с ранее зарегистрированным через сайт логином и без заранее добавленного в bitmask провайдера riseup.net может возникнуть следующая картина

Жмем Install Helper Files, после чего несколько раз будет запрошен пароль root, после чего можно нажать кнопку Trun ON
По началу у меня все очень долго соединялось, я так и не дождался. Но на момент написания данного текста все заработало сразу же, я так понял, товарищи из Riseup починили голландский сервер, висевший до этого пару дней.

Нужные сертификаты лежат в домашнем каталоге пользователя:
/home/username/.config/leap/providers/riseup.net/keys/ca/cacert.pem
/home/username/.config/leap/providers/riseup.net/keys/client/openvpn.pem

Получение параметров Openvpn.

Bitmask, как выяснилось, фактически навороченная обертка над Openvpn. Соединением VPN управляет именно он. А параметры можно получить независимо от того, удалось ли соединиться с помощью bitmask, или bitmask долго думает над соединением, например, из-за какого-нибудь одного зависшего сервера. Откроем консоль и посмотрим:

ps -Af|grep openvpn

Ага! Вот и все нужные нам параметры, из которых вполне можно сделать конфиг для Openvpn:

nobody 2934 2515 0 05:27 ? 00:00:00 /usr/sbin/openvpn --setenv LEAPOPENVPN 1 --nobind --client --dev tun --tls-client --remote-cert-tls server --management-signal --script-security 1 --user nobody --persist-key --persist-local-ip --persist-remote-ip --group nogroup --verb 1 --remote 5.79.86.180 443 udp --remote 199.58.81.145 443 udp --remote 198.252.153.28 443 udp --tls-cipher DHE-RSA-AES128-SHA --cipher AES-128-CBC --auth SHA1 --keepalive 10 30 --management-client-user kvakushka --management /tmp/leap-tmpzK6zDA/openvpn.socket unix --ca /home/kvakushka/.config/leap/providers/riseup.net/keys/ca/cacert.pem --cert /home/kvakushka/.config/leap/providers/riseup.net/keys/client/openvpn.pem --key /home/kvakushka/.config/leap/providers/riseup.net/keys/client/openvpn.pem
kvakush+ 9906 2676 0 05:56 pts/3 00:00:00 grep openvpn

Ссылка на готовые конфиги копия

DNS-сервер

Этот VPN использует свой локальный DNS-сервер, дабы данные клиента не уходили к его провайдеру или, например, корпорации добра. IP можно подсмотреть в скрипте bitmask-root в каталоге с bundle bitmask’а в директории apps/helpers

NAMESERVER = "10.42.0.1"

В общем, сохраняем параметры Openvpn в текстовый файл, запоминаем адрес DNS-сервера, копируем на флэшку или закидываем в облако сертификаты, и можно настраивать данный VPN на любом другом компьютере. Но Bitmask или вообще жесткий диск виртуалки, советую куда-нибудь забэкапить. Он может потребоваться в будущем для обновления сертификатов. Как их выковырнуть вручную я, пока что, недопетрил, а Riseup периодически сертификаты обновляет.

Начало

Продолжение следует…

12 Responses to Бесплатный VPN от riseup.net. Часть 2.

  1. > /home/username/.config/leap/providers/riseup.net/keys/ca/cacert.pem
    > /home/username/.config/leap/providers/riseup.net/keys/client/openvpn.pem

    но при этом openvpn.pem Bitmask, видимо, как-то генерирует, да? исходя из конкретного логина/пароля? потому что cacert.pem в самом приложении есть, Bitmask его просто копирует, наверное. а вот openvpn.pem внутрях Bitmask я не нашел… 🙂

    • Ось чого не знаю, того не знаю. cacert, он, по-моему, качает с сайта провайдера, тому ще в bundle я этого сертификата не нашел, зато в .config лежит json с параметрами провайдера и один из параметров ссылка на ca.srt В исходниках с гитхаба сертификаты лежат, хотя, рискну предположить, что они там для тестов и примеров.
      Чтоб до конца разобраться, надо знать питон, а тут я никак от слова абсолютно. Если знакомый питонщик поможет, то может и до конца разберусь.

  2. А торренты через этот VPN качать-раздавать не возбраняется? А то я сейчас на протоновском сижу, а там на бесплатном плане торренты под запретом. А хотелось бы, чтобы можно было и этот трафик прикрыть от ZOG.

    • Официально запрещены только tor-овские выходные ноды и CP, про торренты ничего не сказано, хотя, лично я стараюсь особо не маньячить по поводу торрентов, чтоб не нагружать сеть. А фактически они работают.
      Что насчёт детской порнографии, наркотиков, коррупции и проч. Будете ли вы сопротивляться закону, если ваши пользователи будут заниматься чем-то подобным?

      Всё это нарушает условия использования Riseup, в отличие от некоторых более “американско-либертарианских” поставщиков услуг, мы существуем не для предоставления тайны личной жизни для того, чтобы делать всё, что вы хотите. Мы будем закрывать учётные записи тех людей, которые делают подобные вещи, наш коллектив может решить даже помочь властям в преследовании таких людей, мы не позволим использовать это для отключения наших серверов и уничтожения нашей организации и вашей электронной почты.

      If you are thinking of running a Tor Exit node on the Riseup VPN, please read this. There is nothing wrong with running a Tor Exit node on top of the VPN, however it can cause a problem that we’d like to avoid.

      Tor exit nodes are listed regularly in block lists. This is due to heavy abuse that happens over Tor, so there are lists that are automatically created for every Tor exit node that registers itself on the network. This wouldn’t be a big deal, except that the block lists block the entire network, not just the single IP that you are using. This causes problems for other services, such as sending mail.

  3. > наш коллектив может решить даже помочь властям в преследовании таких людей

    что как бы недвусмысленно намекает, что логи у них есть.

    • ХЗ, «помогать» можно разными способами. Например, отвечать на официальные письма, в таком же стиле, как Миша Вербицкий отвечает. Типа «на ваш запрос могу сообщить, что я ничего не знаю, поскольку сервер логов не ведет». Или кинуть клич по своим: «какая-то редиска с наших IP распространяет Роскомнадзор и барыжит Роскомнадзором! Нас могут закрыть! Кто дал инвайт этой редиске, скажите». Но, конечно, всякое может быть, хотя для жителей СНГ все скорее всего безопаснее, чем для жителей США. Жил бы в США, наоборот, юзал бы какой-нибудь российский/беларусский/казахский VPN

  4. Арчевский пакет Bitmask, как оказалось, мало того, что старый (мейнтейнер на него положил с прибором), да ещё и ставиться не захотел нормально. Только образ качал-ставил зря (ну не дурак же я на боевом железе тестить :))

    В результате, поставил в виртуалку Демьянку и сделал всё по инструкции. За исключением того, что вместо скриптов скормил файлы кедовской гуёвой конфигурялке, предварительно закомментив строчки с путями к скриптам. Всё отлично фунциклирует: скорость пристойная, торренты качать можно. Единственно, до штатовского и канадского серверов пинг адоват, на протоновском значительно лучше.

    Тащемта, надо будет итальянским камрадам, с ближайшей хорошей шабашки, заслать в оркестр, на хороший магарыч.

    • Жалко, конечно, что с арчевским пакетом не взлетело…
      вместо скриптов скормил файлы кедовской гуёвой конфигурялке
      А оно у тебя работает без прописывания DNS? Или ты руками/в гуе как-то прописал?

      Тащемта, надо будет итальянским камрадам, с ближайшей хорошей шабашки, заслать в оркестр, на хороший магарыч.
      Несомненный факт!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*