клиент и сервер openvpn keenetic

клиент и сервер openvpn keenetic

Title: Твой трафик под замком: секреты безопасного туннеля
Description: Ищешь, как работает pfsense openvpn server настройка? Разбираем Firewall, сертификаты и защиту от утечек DNS. Залетай внутрь!
Архитектура доверия: строим периметр, а не просто «кнопку»
Грамотная pfsense openvpn server настройка спасает от перехвата трафика в сетях Ростелекома и блокирует утечки DNS. Разберем, как поднять туннель без дыр. Многие системные администраторы и энтузиасты информационной безопасности совершают одну и ту же ошибку: они воспринимают OpenVPN как черную коробку. Нажал «Generate», скачал .ovpn файл, импортировал в клиент — и чувствуешь себя в танке. Но в реальности вы просто создали трубу, по которой ваш трафик может утекать через микротрещины, невидимые для невооруженного глаза.
Когда вы поднимаете собственный шлюз на базе pfSense, вы берете на себя роль архитектора доверия. Вы больше не зависите от политик коммерческих провайдеров, но получаете полную ответственность за криптографию, маршрутизацию и фильтрацию. В этой статье мы вскроем капот, посмотрим на handshake-пакеты, настроим обход DPI (Deep Packet Inspection) и сделаем так, чтобы ваш домашний или корпоративный роутер стал непробиваемой крепостью.
Архитектура доверия: почему ваш «защищённый» туннель течёт
Прежде чем лезть в веб-интерфейс pfSense, нужно понять, как провайдеры (МТС, Билайн, Мегафон) и системы DPI пытаются вас раскрыть. OpenVPN по умолчанию использует UDP порт 1194. Пакет инициализации соединения (Hard Reset) имеет специфическую сигнатуру. DPI просто смотрит на размер и структуру первых байтов и режет скорость до 1 Мбит/с или полностью блокирует порт, помечая трафик как «туннельный».
Чтобы этого избежать, на этапе создания сервера в pfSense (VPN -> OpenVPN -> Servers) нужно смотреть глубже стандартных галочек.
TLS-Crypt против TLS-Auth
В старых гайдах 2018 года вам посоветуют использовать tls-auth. Это статический ключ, который добавляет HMAC-подпись к каждому пакету, защищая от DoS-атак и подделки. Но он не шифрует сам факт установки соединения. DPI видит, что вы стучитесь на порт 1194, и блокирует вас.
Решение в pfSense: переключиться на TLS Crypt (требует OpenVPN 2.4+). Этот механизм шифрует весь контрольный канал. Для DPI ваш туннель теперь выглядит как случайный набор байтов, неотличимый от обычного HTTPS-трафика или мусора.
Идеальная прямая секретность (Perfect Forward Secrecy)
Если вы используете стандартные настройки RSA для обмена ключами, вы уязвимы. Если злоумышленник записал ваш зашифрованный трафик сегодня, а через год каким-то образом получил ваш приватный RSA-ключ (или взломал его квантовым компьютером в будущем), он расшифрует весь ваш архив сессий.
Включите ECDHE (Elliptic Curve Diffie-Hellman Ephemeral). В pfSense это настраивается в разделе TLS Key Parameters. Каждый сеанс генерирует уникальный временный ключ. Скомпрометировать один сеанс невозможно, даже если главный ключ сервера украден.
MTU и фрагментация: убийцы скорости
Вы настроили туннель, но торренты качают на скорости 15 Мбит/с при канале в 500 Мбит/с? Проблема в MTU (Maximum Transmission Unit). Стандартный Ethernet MTU — 1500 байт. Заголовок OpenVPN (UDP + IP + OpenVPN header) съедает около 80-100 байт. Если пакет не помещается, он фрагментируется. DPI ненавидит фрагментацию и дропает такие пакеты, а TCP начинает терять время на ретрансмиссию.
В дополнительные параметры OpenVPN сервера в pfSense обязательно впишите:
mssfix 1420
fragment 1300
Это принудительно уменьшит размер полезной нагрузки, исключив фрагментацию на уровне провайдера. Пинг упадет на 2-3 мс, а скорость упрется только в ограничения вашего процессора.
Чего вам НЕ говорят в других гайдах
Информационное пространство переполнено поверхностными инструкциями. Но есть темная сторона индустрии и самохостинга, о которой молчат.
Иллюзия бесплатных и дешевых коммерческих VPN
Если вы читаете это и думаете «зачем мне pfSense, если есть бесплатный VPN», вспомните инцидент с Hola VPN. Сервисы, которые не берут деньги, продают ваш исходящий трафик. Ваш IP-адрес становится выходным узлом для ботнета, который рассылает спам или атакует корпоративные сети. Дешевые VPN (до $2/мес) часто просто перепродают ваши метаданные брокерам данных. Аренда одного выделенного сервера стоит от $5 в месяц. Если сервис дешевле — товар это вы.
Fake-утечки и маркетинг страха
Многие приложения показывают вам всплывающее окно «Обнаружена утечка DNS!» сразу после подключения. В 90% случаев это фейк, сгенерированный для того, чтобы вы купили премиум-версию с «улучшенной защитой». Реальная проверка требует нейтральных инструментов, а не встроенных в коммерческий софт.
Логиобязательства и домашний хостинг
Поднимая pfSense дома, вы должны честно признать: вы не анонимны для государства. Ваш внешний IP-адрес жестко привязан к договору с провайдером и вашему паспорту. Если через ваш туннель пойдет незаконный трафик, запрос в РФ или СНГ придет не в офшор, а к вашему домашнему интернет-провайдеру. Самописный VPN защищает от корпоративной слежки, перехвата в публичных Wi-Fi сетях и цензуры DPI, но он не делает вас невидимым для спецслужб вашей страны юрисдикции.
Подделка Kill Switch
Коммерческие VPN клянутся, что у них есть Kill Switch. Но в Windows или macOS системные обновления или смена сети (Wi-Fi на мобильный интернет) могут сбросить таблицу маршрутизации. Клиент VPN падает, а Kill Switch не успевает пересоздать правила Firewall. Трафик утекает в открытый вид. В pfSense Kill Switch — это не функция клиента, это жесткое правило на уровне ядра системы, которое мы настроим ниже.
Под капотом: сертификаты, Firewall и магия маршрутизации
Переходим к практике. Забываем про мастер настройки (Wizard), он создает избыточные правила и дыры в безопасности.
1. Криптография и Топология
Идем в System -> Cert. Manager. Не используйте RSA 2048. Для домашнего роутера на базе x86 (например, Netgate или сборка на Intel N100) шифрование AES-256-GCM с RSA 4096 не составит труда. Но если у вас слабое ARM-железо, выбирайте ECDSA (кривая secp384r1). Она обеспечивает тот же уровень безопасности, что и RSA 3072, но работает в разы быстрее и потребляет меньше CPU.
В настройках сервера OpenVPN обязательно выберите Topology: Subnet. Старая топология net30 создает по одному виртуальному интерфейсу на каждого клиента, что убивает производительность при 10+ подключениях. Subnet выделяет единую подсеть (например, 10.8.0.0/24), что позволяет клиентам видеть друг друга и упрощает маршрутизацию.
2. Firewall: закрываем двери
Самая частая ошибка — правило Pass All на интерфейсе OpenVPN.
Идем в Firewall -> Rules -> OpenVPN.
Создаем Alias (Firewall -> Aliases), в который вносим IP-адреса только тех устройств, которым разрешен доступ (например, 10.8.0.10 для вашего ноутбука).
Создаем правило:
* Action: Pass
* Interface: OpenVPN
* Source: Alias_Your_Devices
* Destination: This firewall (или конкретные LAN подсети)
Все, что не проходит по этому правилу, должно утилизироваться дефолтным правилом Default deny rule on OpenVPN interface.
3. Outbound NAT: чтобы трафик ходил
Если вы не настроите NAT, клиенты получат IP из подсети 10.8.0.x, но интернет-провайдер не знает, как маршрутизировать этот приватный адрес обратно.
Идем в Firewall -> NAT -> Outbound.
Переключаем в Hybrid Outbound NAT.
Добавляем правило:
* Interface: WAN
* Source: OpenVPN subnet (10.8.0.0/24)
* Translation / target: WAN address
Теперь pfSense будет подменять виртуальный IP клиента на свой внешний WAN-адрес при выходе в интернет.
Split Tunneling и Kill Switch: спасаем локалку и блокируем сливы
В российских реалиях чистый туннель — это боль. Вам нужно оплатить ЖКХ через Сбербанк Онлайн (который банит иностранные IP), посмотреть локальную IP-камеру или подключиться к домашнему NAS. Если весь трафик идет через VPN, локальные сервисы отваливаются.
Настраиваем Split Tunneling по IP
В дополнительные параметры сервера OpenVPN добавляем:
push "route 192.168.1.0 255.255.255.0"
push "route 10.0.0.0 255.0.0.0"
Эти команды заставляют клиентский ПК отправлять трафик для локальных подсетей напрямую, в обход туннеля.
Маршрутизация по доменам (высший пилотаж)
OpenVPN умеет маршрутизировать только по IP-адресам. Но как пустить через туннель только Telegram, а YouTube оставить на провайдере?
Решение через DNS.
1. В pfSense настраиваем Services -> Unbound DNS.
2. Создаем Custom Options, чтобы домены telegram.org и telesco.pe резолвились в конкретные IP-адреса Telegram.
3. В OpenVPN сервере добавляем push "route [IP_Telegram_1] 255.255.255.255" и так далее для всех IP.
Теперь, когда клиент запрашивает DNS, он получает IP Telegram, и правило OpenVPN автоматически заворачивает этот трафик в туннель. Остальной трафик идет напрямую.
Железобетонный Kill Switch
Чтобы реализовать настоящий Kill Switch, мы используем Policy Routing.
В Firewall -> Rules -> LAN создаем правило для группы устройств, которые обязаны ходить через VPN.
* Source: Alias_VPN_Users
* Destination: Any
* Gateway: Выбираем шлюз OpenVPN (он появляется в списке, если туннель активен).
* Advanced Options -> Schedule: (опционально, для гибкости).
Если OpenVPN сервер упадет или канал до него оборвется, шлюз станет недоступен. Правило Firewall перестанет матчиться, а дефолтное правило Default deny на LAN интерфейсе заблокирует трафик. Интернет на этих устройствах просто исчезнет. Никаких сливов.
Сравнение платформ: где правда, а где маркетинг
Чтобы понять место self-hosted решения в экосистеме безопасности, давайте честно сравним его с альтернативами.
| Критерий | Самописный pfSense (OpenVPN/WireGuard) | Топовый коммерческий (No-Log, Аудиты) | Бесплатный / Дешевый масс-маркет |
| :--- | :--- | :--- | :--- |
| Юрисдикция и суды | Ваш домашний/офисный адрес. Мгновенная идентификация по запросу МВД/ФСБ. | Офшоры (Панама, БВО). Физическое отсутствие серверов в странах 14 Eyes. | Страна регистрации (часто РФ/СНГ). Хранение логов по закону Яровой. |
| Устойчивость к DPI и блокировкам | Зависит от ваших навыков (обфускация, смена портов, маскировка под HTTPS). | Встроенные протоколы (Shadowsocks, VLESS, собственные обфусцированные). | Отсутствует. Блокируются первыми за 5 минут. |
| Реальная скорость (RU серверы) | Упирается только в мощность CPU роутера и аплинк провайдера (до 1-5 Гбит/с). | 100-300 Мбит/с из-за оверсайзинга (на один физический сервер сажают 1000+ юзеров). | 5-20 Мбит/с. Троттлинг и приоритизация платных пользователей. |
| Прозрачность (Аудиты и No-Log) | Нулевая. Вы должны доверять только себе и своему коду. | Ежегодные независимые аудиты (Cure53, Deloitte). Открытый исходный код клиентов. | Закрытый код. Продажа метаданных и баннерная подмена рекламы. |
| Цена владения (в год) | $0 за софт + $50-100 за железо (разово) + оплата домашнего интернета. | $50 - $120 (подписка). | $0 (оплата вашими данными и трафиком). |
Диагностика параноика: ищем утечки
Вы настроили pfSense, подключились, зашли на ipleak.net и видите свой новый IP. Расслабляться рано. Браузер — это дырявое ведро.
Утечка WebRTC
WebRTC (Web Real-Time Communication) нужен для видеозвонков в браузере. Он использует STUN-серверы, чтобы узнать ваш реальный локальный и публичный IP, и делает это в обход прокси и VPN.
Как проверить: заходим на browserleaks.com/webrtc. Если видите свой реальный IP от Ростелекома — туннель не помогает.
Как лечить: pfSense тут бессилен, трафик идет из браузера. В Firefox в about:config ставим media.peerconnection.enabled в false. В Chrome используем расширение uBlock Origin (включить опцию блокировки WebRTC) или браузер Brave, где это вырезано на уровне ядра.
Утечка IPv6
Многие провайдеры раздают IPv6. Если в настройках OpenVPN сервера в pfSense вы не отключили IPv6 или не настроили туннелирование IPv6-трафика, браузер попытается резолвить сайты по IPv6 напрямую, минуя ваш IPv4-туннель.
Решение: в System -> Advanced -> Networking снимаем галочку Allow IPv6. Либо настраиваем отдельный IPv6-in-IPv4 туннель, что для 99% домашних задач избыточно и только усложняет поддержку. Проще полностью отключить IPv6 на уровне pfSense.
DNS Leak
Если ваш клиент получает DNS-серверы от DHCP провайдера, а не от pfSense, провайдер видит, какие домены вы запрашиваете, даже если сам трафик идет через туннель.
В настройках OpenVPN сервера в pfSense убедитесь, что стоит галочка Provide a DNS server list to clients. В System -> General Setup или в Unbound DNS укажите надежные резолверы (например, Cloudflare 1.1.1.1 или Quad9 9.9.9.9), либо поднимите свой локальный Unbound, чтобы кешировать запросы и блокировать рекламу на уровне DNS.
Вывод
Путь от новичка до человека, который понимает, как работает настоящая pfsense openvpn server настройка, лежит через отказ от иллюзий. Вы больше не верите маркетинговым обещаниям о «100% анонимности». Вы понимаете, что безопасность — это не продукт, а непрерывный процесс контроля над переменными: от длины ключа ECDHE и топологии подсети до правил Outbound NAT и блокировки WebRTC.
Собственный шлюз на pfSense дает вам абсолютный контроль. Вы сами решаете, какой трафик шифровать, как обходить DPI, и какие устройства принудительно заворачивать в туннель. Да, это требует времени, изучения логов и понимания сетевых стеков. Но в мире, где ваши данные — это валюта, а приватность — роскошь, умение построить собственный периметр безопасности становится базовым навыком выживания в цифровой среде.

WireGuard или OpenVPN — что безопаснее для домашнего роутера?

С точки зрения криптографии WireGuard современнее: он использует фиксированный набор алгоритмов (ChaCha20, Curve25519), что исключает ошибки конфигурации. Его код занимает всего 4000 строк, что позволяет легко провести аудит. Однако у WireGuard есть архитектурный минус: он хранит IP-адреса клиентов в памяти до перезагрузки, что усложняет реализацию динамического DHCP. OpenVPN старше, тяжелее, но гибче. Для обхода жесткого DPI в РФ OpenVPN с TLS-crypt и обфускацией все еще надежнее, так как WireGuard имеет специфичные UDP-паттерны, которые провайдеры учатся блокировать быстрее.

🛡️Защита от утечек

VPN замедляет интернет на сколько реально?

Зависит от протокола и железа. На хорошем x86 роутере с WireGuard и AES-NI (аппаратное ускорение) потеря скорости составляет 3-5%, а пинг вырастает всего на 2-4 мс. Если вы используете OpenVPN на слабом ARM-процессоре (например, старый роутер за 3000 рублей), шифрование AES-256 съест весь CPU, и скорость упадет до 10-20 Мбит/с, а пинг подскочит на 30-50 мс. Всегда проверяйте загрузку CPU в pfSense (Status -> System -> Processes) при пиковых нагрузках.

Меня найдёт спецслужба при использовании домашнего VPN?

Домашний VPN не делает вас анонимным для государства. Ваш внешний IP-адрес, который видят целевые серверы (Telegram, Google, банки), принадлежит вашему домашнему провайдеру. По запросу силовых структур провайдер мгновенно предоставит логи (по закону Яровой они хранятся долго), которые укажут на ваше физическое устройство и MAC-адрес. Домашний pfSense защищает вас от корпоративного шпионажа, перехвата в публичных сетях и цензуры, но он не заменяет инструменты операционной безопасности (Tor, Tails) для скрытия факта связи от государственных структур.

Почему не работает Kill Switch при обрыве связи?

Классическая проблема Kill Switch в коммерческих клиентах — они полагаются на то, что их приложение запущено и имеет приоритет. Если Windows обновляет сетевой стек, происходит смена Wi-Fi на мобильный интернет или приложение падает с ошибкой, правила Firewall могут не успеть пересоздаться. В pfSense Kill Switch работает на уровне ядра (через Policy Routing и Gateway Groups). Если туннель падает, маршрут становится недействительным, и срабатывает дефолтное правило `deny`. Это аппаратно-программная блокировка, которую невозможно обойти перезапуском службы.

🔒Конфиденциальные туннели

Как пробросить через туннель только Telegram, а остальное пустить напрямую?

OpenVPN оперирует IP-адресами, а не доменами. Вам нужно узнать все актуальные IP-подсети Telegram (они есть в реестрах ASN или на специализированных GitHub-репозиториях). Затем в настройках сервера pfSense через директиву `push "route IP_ПОДСЕТЬ МАСКА"` вы заставляете клиент отправлять трафик на эти IP в туннель. Для автоматизации можно написать скрипт на Python, который парсит список IP Telegram и генерирует конфигурационный файл `.ovpn` с актуальными маршрутами, обновляя его раз в неделю.

Безопасно ли использовать бесплатные клиенты (OpenVPN Connect) для подключения?

Официальный клиент OpenVPN Connect (доступный в магазинах приложений) имеет закрытый исходный код и, по данным независимых исследователей, собирает телеметрию (версия ОС, тип устройства, IP-адрес подключения). Для параноидального уровня безопасности используйте открытые клиенты с проверенным репозиторием, такие как OpenVPN for Android (от Arne Schwabe) или TunSafe/WireGuard-клиенты с открытым кодом. На ПК лучше использовать классический OpenVPN GUI или встроенный клиент WireGuard, избегая проприетарных оболочек.