Лучший VPN сервер и как настроить частичный проброс трафика?

Question

[astatium135]

Есть VPS под Ubuntu 22.04 и два офиса с Windows'ами в паре км друг от друга, которых нужно связать в одну локалку, желательно без проброса всего трафика, только внутреннего общения между машинами. Маскирование трафика, надеюсь, не нужно (сервера VPS-хостинга в одном городе с офисами, и вряд ли Роскомнадзор будет блокировать туннели в пределах одного города). Посоветуйте лучшее решение и где почитать про настройку.

Comments

[Aptwel]

WireGuard- легкий, быстрый

[Кот Абсолютный]

wg, ovpn, ipsec - че удастся асилить :)

[Valdemar Smörman]

Aptwel, ну на счёт быстрый ты хватил конечно.
А так с обфускацией работает на УРА!

[Aptwel]

Valdemar Smörman, А что, он не быстрый? У меня три филиала на wg на микротах, банальная сетевая шара использует ~90% ширины канала, до этого сидели на l2TP и вспоминаю как страшный сон. По поводу РКН, ну тут два варианта, либо хэндшейки прошли и всё работает-летает, либо хэндшейки не прошли и ничего не работает.

[Valdemar Smörman]

Aptwel, у меня Ростелеком оптика 800 Mbps.
Так вот WG максимум выдаёт 230-250.
VLESS 380-420.
XHTTP+VLESS+REALITY 520-560.

[Tagiev001]

Wg подойдет , думаю. Дока по wg на офф сайте не очень информативная по параметрам, но вот тут подробно каждый параметр конфига рассмотрен с пояснениями
https://github.com/pirate/wireguard-docs?tab=readm...

Я недавно закончил простенький ansible для настройки wg делать(на линуксовые узлы устанавливается wg tools, публичные ключи узлов складываются на контроллере, заполнение конфигураций, поднятие соединения), может для себя какие-то идеи возьмете.
Проводил тест моя локальная сеть(3-4 узла(rocky linux)) + vps(ubuntu) с белым ип(нидерланды) в качестве шлюза, все поднялось
https://github.com/tagiev001/wg-ansible-deploy

[ForeverRED66]

Хоть l2tp делайте хоть wg, у меня есть случаи где между клиентами в одном городе блочатся все впн протоколы ,тут от провайдера видимо зависит ещё.

Answer 1

[Hardoman]

Классикой для таких задач уже стал wireguard.

Comments

[TaTaRiN86]

wireguard провайдер заблочил еще в 2025, OpenVPN после НГ в 2026 году.
Вот https://github.com/xVRVx/autoXRAY вам в помощь

Ну а проброс нужных пакетов настраивал в роутере Keenetic, могу дамп маршрутов кинуть

[Hardoman]

TaTaRiN86, чушь. Wireguard между юрлицами и их активами не только не блочится, но и рекомендуется.
Блок на ТСПУ для коннектов заграницу.
Кроме того, ТСПУ между РФ ДЦ вообще нет.
Для обеления IP необходимо подать заявку в РКН. Для этого используется типовая форма.

Answer 2

[Drno]

nebula slack

openvpn

ocserv

zerotier

выбирай

Answer 3

[AntHTML]

А на сколько дороже этого поднять прямой mpls через провайдера?
А так, брать VPS у того же провайдера и регистрировать VPN как рабочий в белых списках РКН, но это 50/50 - попадет/не попадет под блокировку.
Да и если провайдер маленький, то VPS в городе может не помочь, т.к. они могут заказывать услугу "ТСПУ" и ваш трафик полетит через MSK IX.

Answer 4

[rPman]

без проброса всего трафика, только внутреннего общения между машинами

очень многое зависит от того, какой именно трафик нужно передавать.

Вообще универсально, практически все что нужно можно сделать с помощью ssh (и желательно linux, так как некоторые функции не доступны на windows машинах).

Типичный пример, если вам нужен доступ к локальному http серверу (и любому другому tcp серверу, просто обычно http вещь в себе самодостаточная), то вам не нужно поднимать vpn в принципе и достаточно ssh перенаправления портов, причем можно сделать так что даже без организации сложной маршрутизации, можно на условном сервере настроить дополнительный ip адрес, такой же как у удаленного сервиса в другой локальной сети (если подсети у обоих сетях одинаковые, то тогда даже маршрутизацию настраивать не придется) поднять ssh подключение (клиент подключается к удаленной машине), указав этот адрес как целевой, и теперь любой, кто подключается к этому ip адресу по указанному порту, будет перенаправляться на удаленный сервер, указанный в настройках подключения ssh... прозрачно и незаметно (для удаленного http сервера это будет подключение из его локальной сети от ssh сервера).

ssh умеет поднимать полноценный vpn туннель, как point-to-point так и ethernet (ключ -w 0:0 только не windows машины), но настраивать маршруты и ip адреса придется вручную. Важный момент, высоких скоростей и отзывчивости у такого vpn не будет, так как это userspace и главное инкапсуляция в tcp (все будет работать но если ваш провайдер чуть залагает, все ваши подключения в этой ssh сессии так же залагают, хотя это решается - разные подключения на разные сессии и перенаправления)

ssh умеет поднимать socks прокси (ключ -Dlocal_ip:port), который можно прописать например в браузере, указать что его использовать можно только для указанных адресов (например с помощью .pac файла автонастройки прокси или с помощью плагинов типа foxyproxy), тогда при использовании этого прокси будет подключение как из удаленной локальной сети.

p.s. если внутренний трафик - это локальная сеть windows для передачи файлов или домен контроллер, то лучше поднимать vpn туннель, иначе очень геморно делать это через перенаправления определенных портов... с другой стороны wins майкрософт доломала окончательно, а просто передача файлов до конкретного ip может быть простой