• FAQ

      Важная информация

      • Панель управления: панель управления доступна по адресу: zzz.com.ua/panel/.
      • Почта: почта доступна по адресу: zzz.com.ua/mail/.
      • FTP: простой доступ к FTP обеспечивает менеджер пакетов по адресу: zzz.com.ua/ru/ftplogin.
      • Форум: если вам нужна помощь, вы можете найти её на нашем форуме по адресу: zzz.com.ua/forum/.

      Основная информация

      • Правила пользования услугами хостинга вы найдете по адресу: zzz.com.ua/ru/pravila/.
      • Чтобы войти в панель управления, введите имя пользователя, /адрес своего сайта/ или почтовый адрес, а также пароль, который вы указали при создании аккаунта.
      • Чтобы пользоваться почтой, вы должны сначала создать почтовый аккаунт в панели управления.
      • Например, если у вас есть аккаунт "happy" для сайта "happy.zzz.com.ua" и после входа в панель управления вы создадите почтовый аккаунт “user”, то логином к вашей почте и адресом электронной почты будет: "user@happy.zzz.com.ua".

        Электронные письма можно отправлять и получать при помощи внешних программ типа Microsoft Outlook, Mozilla Thunderbird и др. Логин и пароль такие же, как для почтового интерфейса в браузере.

      • Почтовый сервер — mail.zzz.com.ua
      • Сервер FTP — это адрес вашей страницы (например, happyuser.zzz.com.ua)
      • Если у вас есть собственный домен, то при создании нового аккаунта с собственным доменом вся информация, нужная для указания на наши серверы DNS, будет автоматически добавлена. После создания такого аккаунта вам останется только указать в панели регистратора вашего домена на наши серверы DNS:
        • ns1.zzz.com.ua
        • ns2.zzz.com.ua
      • Необходимость указывать серверы DNS не касается доменов, купленных у нас — они автоматически настроены и прикреплены к выбранному аккаунту.

      • Все правила, которые касаются аккаунтов с нашими доменами, касаются также аккаунтов с собственными доменами.
      • Например, логин FTP может выглядеть "happy@happyuser.zzz.com.ua", если вы создадите аккаунт FTP “happy” и являетесь владельцем домена happyuser.zzz.com.ua. Главный домен (связанный, например, с логинами FTP) — это всегда первый домен данного хостингового аккаунта, то есть тот, на который был создан этот хостинговый аккаунт. Для почтовых аккаунтов данного хостингового аккаунта часть после символа "@" может быть выбрана произвольно из доменов, прикрепленных к этому хостинговому аккаунту.

      • Если возникнут трудности, заходите на наш форум.

      Часто задаваемые вопросы

      • Является ли пользование услугами пакета FREE бесплатным?

        ДА, вы совершенно НИЧЕГО не должны платить за использование этих услуг. Но на сайте будет отображаться ссылка на наш хостинг, местоположение которой менять нельзя (всегда внизу).

      • Мне не нравится ссылка на бесплатный хостинг внизу, могу ли я как-то изменить её положение или убрать её?

        Менять местоположение ссылки нельзя. Именно благодаря этой ссылке вы можете пользоваться нашими услугами бесплатно.
        Ссылку можно убрать со страницы, только купив пакет услуг PRO или VIP. На время действия пакета услуг ссылка не отображается на сайте пользователя.

      • Сколько аккаунтов можно иметь на ZZZ.com.ua?

        На один почтовый адрес можно создать один хостинговый аккаунт (профиль) в панели управления ZZZ.com.ua.
        Один профиль в панели управления ZZZ.com.ua может содержать любое количество хостинговых аккаунтов — каждый аккаунт является независимым веб-сайтом с независимыми доменами, аккаунтами MySQL, FTP, почтой и т.д.

      • Если я приобрету платный пакет услуг PRO или VIP, он будет действовать для всех моих хостинговых аккаунтов в панели управления ZZZ.com.ua?

        Нет. Каждый аккаунт — это независимо функционирующий веб-сайт. Их пакеты услуг и купленные дополнения функционируют независимо. Такая система создана для пользователей, которые хотели бы размещать у нас разные сайты. Она позволяет им полностью приспособить параметры хостинга для каждого отдельного сайта.

      • Выставляете ли вы счета с учетом налога на добавленную стоимость и счета про форма? Выставляете ли вы счета на фирму?

        К сожалению, мы не выставляем счета с учетом налога на добавленную стоимость, мы выставляем только счета без учета этого налога. Мы можем выставить счет как на физическое лицо, так и на фирму. После произведения оплаты счет доступен в закладке "Платежи" в панели управления. Если вам нужен счет про форма, напишите нам: {supportMail}, мы выставим счет к оплате на 7 или 14 дней.

      • Я не могу ввойти в хостинговый аккаунт/аккаунт FTP/базу данных/почтовый аккаунт, что делать?

        Если вы забыли пароль для входа в хостинговый аккаунт, воспользуйтесь функцией восстановления пароля. Если у вас нет доступа к почтовому аккаунту, на который должно прийти письмо для вознобновления пароля, - напишите нам: {supportMail}.

        Если вы забыли пароль для входа в аккаунт FTP, вы можете установить новый в закладке "Аккаунты FTP" в панели управления.

        Если вы забыли пароль для входа в базу данных, вы можете установить новый в закладке "Базы данных" в панели управления. Но после этого появится ошибка на сайте, говорящая о проблеме соединения с базой данных. Нужно изменить пароль также в файлах сайта (либо в настройках CMS).

        Если вы забыли пароль для входа в почтовый аккаунт, вы можете установить новый в закладке "Почта" в панели управления.

      • Я хотел бы связаться с администрацией хостинга, как мне это сделать?

        С администрацией можно связаться несколькими способами:

        • Через форум, где несколько пользователей имеют непосредственную связь с администраторами и при необходимости сообщат им;
        • При помощи электронной почты по адресу: {supportMail}, где вы получите помощь от нашей службы поддержки;
        • Через индивидуальную систему тем с высоким приоритетом (закладка "Поддержка" в панели ZZZ.com.ua);
        • На нашей странице в Facebook: www.facebook.com/zzz.com.ua.

      • Я нашел ошибку в работе аккаунта или другой функции, что делать?

        Сообщите нам об этом одним из вышеприведённых способов.

      • Я получил электронное письмо с просьбой предоставить логин и пароль к моему аккаунту/базе данных от администрации ZZZ.com.ua, что делать?

        Администрация ZZZ.com.ua не рассылает электронные письма своим пользователям, тем более с просьбой предоставить логины и пароли. Это письмо от мошенника, который пытается получить ваши данные доступа к аккаунту.

      • Я получил электронное письмо от администрации ZZZ.com.ua с просьбой предоставить скан моего паспорта после того, как я зарегистрировал домен в зоне .uk (или другой), что делать?

        Администрация ZZZ.com.ua обязана проверять, верны ли персональные данные владельцев доменов, и самый простой способ это сделать - это проверить ваши документы. Так делают все хостинги, поэтому не стоит бояться: сосканируйте свой паспорт и пришлите скан на нашу почту: {supportMail}. Если вы этого не сделаете в течении 30 дней после регистрации, домен будет заблокирован.

      • Я нашел сайт, нарушающий правила ZZZ.com.ua! / Я нашел сайт, который является плагиатом моего сайта!

        Сообщите об этом в этой теме на форуме.

      • Как создать базу данных? Какие данные для доступа к базе MySQL? Сколько может быть пользователей базы данных?

        Базу данных можно создать в панели управления ZZZ.com.ua в закладке "Базы данных". Нужно только кликнуть "+ Добавить" и установить имя пользователя (логин) и пароль. Имя базы данных будет создано автоматически на основе адреса вашего сайта (специальные символы будут заменены на символ "_"). Например, для сайта happyuser.zzz.com.ua база данных будет иметь такие параметры:

        • Сервер MySQL: mysql.zzz.com.ua
        • Сервер MySQL для подключения извне: Ваш домен (например, happyuser.zzz.com.ua). Внимание: подключения извне доступны только для платных аккаунтов.
        • Порт: 3306 (phpBB By Przemo: 80)
        • Логин, пароль: такие, какие были установлены при создании базы
        • Название базы данных: создано автоматически на основе адреса сайта, например, happyuser_zzz_com_ua

        На одном хостинговом аккаунте может быть только один пользователь базы данных. Количество баз данных зависит от пакета услуг, для бесплатных может быть только одна база (но есть возможность приобрести больше без необходимости переходить на платный пакет услуг).

      • Как создать аккаунт FTP? Какие данные для доступа к FTP? Какие действуют ограничения?

        После создания аккаунта автоматически создается один аккаунт FTP, его название имеет формат: admin@adresstranicy (например, admin@happyuser.zzz.com.ua). Это одновременно является логином к аккаунту FTP. Пароль к этому аккаунту по умолчанию такой же, как пароль к панели управления ZZZ.com.ua.
        Аккаунтами FTP можно управлять в панели управления ZZZ.com.ua в закладке "Аккаунты FTP". Там есть возможность их добавлять, удалять и изменять пароли к ним.
        На сервер FTP можно попасть при помощи нашего файлового менеджера или при помощи внешней программы, например, FileZilla.

        Данные для доступа к FTP:

        • Сервер FTP: адрес вашего сайта (например, happyuser.zzz.com.ua)
        • Логин: по умолчанию admin@adres (например. admin@happyuser.zzz.com.ua)
        • Пароль: по умолчанию такой же, как для панели ZZZ.com.ua (если вы его не меняли)
        • Порт: 21 или 210
        • Режим: пассивный

        Ограничение одновременных соединений для одного аккаунта FTP — это четыре соединения одновременно. В случае превышения этого лимита сервер заблокирует сессию на несколько секунд — нужно немного подождать и попробовать снова с меньшим количеством соединений (обычно это количество можно установить в настройках клиента FTP).
        Максимальный размер файла, который можно загрузить на FTP, составляет:

        • Для аккаунтов FREE: 10 MБ
        • Для аккаунтов PRO и VIP: 1 ГБ
      • Какие домены обслуживает ZZZ.com.ua?

        ZZZ.com.ua обслуживает домены .com, .biz, .net, .org, .info, .de, .uk, .co.uk, .tv и .xyz.

      • Я зарегистрировал домен и хочу его прикрепить к аккаунту на ZZZ.com.ua / хочу купить домен и создать на него аккаунт либо прикрепить его к аккаунту на ZZZ.com.ua, как это сделать?

        При создании аккаунта впишите полностью ваш домен (перед этим вы должны зарегистрировать его у другого регистратора доменных имен).
        Укажите в панели своего регистратора на наши серверы DNS:

        • ns1.zzz.com.ua
        • ns2.zzz.com.ua

        После обновления информации об измененных DNS в сети (это может длиться до 48 часов) домен будет окончательно прикреплен к вашему аккаунту.

        Если вы покупаете домен у нас (либо создаёте аккаунт и одновременно покупаете для него домен), все настройки будут автоматически установлены сразу после оплаты.

        Как после покупки, так и при прикреплении домена к аккаунту есть 48-часовой период, во время которого домен не будет работать правильно. Этот период называется временем распространения DNS по сети и является обязательным — в это время информация о существовании нового домена расходится по сети. Обычно он длится меньше, чем 48 часов — до нескольких часов.

      • Я зарегистрировал домен у вас. Как мне изменить его DNS и MХ-записи?

        В панели управления в закладке "Домены" кликните "Редактировать" напротив домена. В окне в поле "Прикрепить к хостиновому аккаунту" выберите "Нет хостинга". Внизу появятся поля, в которых можно изменить нужные данные.

      • Как купить сертификат SSL? Могу ли я его использовать для домен, которые не указывают на сервер ZZZ.com.ua?

        Чтобы это сделать, в закладке "Домены" кликните "SSL" напротив нужного домена. На нашем хостинге нельзя использоваться сертификаты SSL, купленные не у нас. Сертификаты SSL можно активировать только для доменов, которые указывают на наш сервер. Сертификат SSL можно купить только для платных доменов и только на 1 год или больше.

        Если у вас есть бесплатный домен (например, happyuser.{brandingNameLC}) и субдомен/ы (например, very.happyuser.{brandingNameLC}) и вы купите сертификат SSL для этого домена, то он будет активный для всех субдоменов. Но если вы сначала купили сертификат для домена, после этого создали субдомены, сертификат для них не будет активирован. Для таких субдоменов вы можете купить отдельный сертификат SSL - нажмите "SSL" напротив нужного субдомена в закладке "Домены" в панели управления и следуйте инструкциям.

      • Как передать права на владение доменом?

        Чтобы передать зарегистрированный у нас домен другому человеку, заполните эту форму: "Передача доменного имени", подпишите, отсканируйте и пришлите нам: {supportMail}. После этого данные на WHOIS будут изменены и домен будет передан новому владельцу.

      • Я ввожу адрес страницы в браузере, но мой сайт не отображается!

        Удалите index.html, который был создан вместе с аккаунтом. Убедитесь, что вы загрузили в главный каталог файл index.html (может быть в формате .php или .htm). То же может касаться любой подстраницы — если, например, вы создадите ссылку на stranica.html, но забудете загрузить этот файл, вы будете перенаправлены на страницу 404.

      • Мои статистики не отображаются — почему?

        Скорее всего, вы проверяете статистику в тот же день, когда создали аккаунт — а статистики обновляются каждые сутки в 3 часа ночи. Подождите до следующего дня и статистики появятся.

      • У меня аккаунт FREE, я пытаюсь загрузить файл размером 15 MБ и не могу, почему?

        Максимальный размер файла, который можно загрузить на аккаунт FREE — это 10 МБ. У аккаунтов PRO и VIP этот лимит увеличен до 1 ГБ.

      • Почему на других сайтах вместо моих картинок отображается лого ZZZ.com.ua?

        Потому что это хотлинк, а это нарушает правила ZZZ.com.ua. Хотлинки позволены только аккаунтам PRO и VIP.

      • Мой аккаунт Pro изменился на Free до окончания срока действия пакета услуг, почемy?

        Если на аккаунте Pro был превышен лимит передачи данных, он автоматически изменяется на Free. Вам нужно заплатить за дополнительную передачу данных, чтобы вернуться на Pro.

      • После загрузки файлов сайта (или изменения настроек защищенных разделов) появляется окно, где нужно вписать логин и пароль, а потом "Authorization Required"

        Скорее всего, вместе с файлами сайта вы загрузили какой-нибудь файл .htaccess и не знаете к нему правильного логина и пароля. Войдите на FTP при помощи клиента, в котором можно отобразить скрытые файлы, и удалите или переименуйте все файлы .htaccess.

      • У меня проблема с работой почты, что делать?

        Здесь нет единственного метода решения проблемы. Скопируйте, пожалуйста, сообщение ошибки и создайте тему на форуме в разделе "Поддержка клиентов ZZZ.com.ua", или опишите свою проблему в уже открытой теме. Вы также можете создать новую тему в закладке "Поддержка" в панели ZZZ.com.ua или написать нам электронное письмо: {supportMail}

      • Как настроить почтовый клиент, чтобы я мог получать письма из адреса *@*zzz.com.ua / *@*kl.com.ua / *@*adr.com.ua?

        Сервер приходящей почты: mail.zzz.com.ua
        Сервер исходящей почты: mail.zzz.com.ua
        SMTP - порт 587 - STARTTLS
        IMAP - порт 993 - SSL/TLS
        POP3 - порт 995 - SSL/TLS
        Авторизация: пароль (PLAIN/LOGIN)
        Логин: ваш адрес электронной почты.

      • У меня аккаунт Free и я использую функцию PHP mail() для отправки писем, но они не доходят к адресатам, в чем может быть причина?

        Чтобы использовать функцию PHP mail() на бесплатных аккаунтах, вам нужно создать почтовый ящик в панели управления в закладке "Почта" и вписать этот адрес как адрес отправителя в заголовке From.
        Пример:

        • $to = 'nobody@example.com';
        • $subject = 'the subject';
        • $message = 'hello';
        • $headers = 'From: webmaster@happyuser.zzz.com.ua';
        • mail($to, $subject, $message, $headers);

        Внимание: не используйте почтовые ящики на Yandex в качестве адресата в функции PHP mail(), поскольку в связи с их высокими требованиями к рассылке письма не будут доставлены.

  • Главное
    Серверы VPS
  • CMS
  • Решение проблем

Как создать VPN на VPS

Для этой статьи мы будем использовать Ubuntu 16.04 и команды, в основном используемые в дистрибутивах, основанных на Debian.

Установка OpenVPN:

Чтобы установить openvpn и easy-rsa, выполним команды:
# apt update && apt upgrade 
# apt install easy-rsa openvpn -y

Первая команда обновит vps, вторая - установит VPN сервер.

Установите каталог для CA-сертификатов. OpenVPN является TLS/SSL-ориентированным VPN. Это значит, он использует сертификаты для шифрования трафика между сервером и клиентом. Чтобы выпустить доверенные сертификаты, нам понадобится установить наш собственный простой удостоверяющий центр (CA). 1. Для начала, скопируем каталог с easy-rsa шаблоном в наш домашний каталог командой make-cadir:

$ make-cadir ~/openvpn-ca

2. Перейдем в новосозданный каталог, чтобы начать настройку CA:

$ cd ~/openvpn-ca

3. Сконфигурируем переменные CA. Чтобы сконфигурировать те значения, которые будет использовать наш CA, нам нужно отредактировать файл vars в каталоге. Откроем этот файл в текстовом редакторе.

$ nano vars
Внутри вы найдете несколько переменных, которые можно регулировать, чтобы определить как именно будут созданы ваши сертификаты. Мы будем работать только с некоторыми из них. Ближе к концу файла найдите настройки, устанавливающие значения по умолчанию для новых сертификатов. Это должно выглядеть, например, так:

. . .
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
. . .
Отредактируйте значения по вашему усмотрению, но не оставляйте их пустыми.

. . .
export KEY_COUNTRY="UA"
export KEY_PROVINCE="Kiyv"
export KEY_CITY="Kiyv"
export KEY_ORG="ABC Hosting"
export KEY_EMAIL="happyuser@zzz.com.ua"
export KEY_OU="Community"
. . .
Пока мы здесь, отредактируем значение переменной KEY_NAME прямо под разделом, который заполняет поле subject. Чтобы упростить, в этом руководстве назовём его "server":

export KEY_NAME="server"
Когда закончите, сохраните и закройте файл. Чтобы сделать это его в редакторе nano, используйте комбинацию ctrl+o, а после этого нажмите enter, чтобы сохранить текущий файл, и ctrl+x, чтобы выйти из редактора. 4. Теперь мы можем использовать установленные нами переменные и утилиты easy-rsa чтобы собрать собственный центр сертификации. Убедитесь, что вы находитесь в своем CA каталоге, выполните команду source vars (файл, который вы только что редактировали):

$ cd ~/openvpn-ca
$ source vars
Если команда была выполнена корректно, вы должны увидеть следующее: NOTE: If you run
./clean-all
, I will be doing a
rm -rf on /home/sammy/openvpn-ca/keys
Убедитесь, что мы действуем в "чистом" окружении, набрав:
$ ./clean-all
Теперь мы можем собрать наш корневой CA. Выполним:

$ ./build-ca
Это запустит процесс создания ключа корневого CA и сертификата. Так как ранее мы отредактировали файл vars, все значения должны быть выставлены автоматически. Просто нажимайте ENTER во время сеанса чтобы подтвердить выбранные значения.

Пример вывода:
Generating a 2048 bit RSA private key
..........................................................................................+++
...............................+++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated 
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [UA]:
State or Province Name (full name) [Kyiv]:
Locality Name (eg, city) [Kyiv]:
Organization Name (eg, company) [ABC Hosting]:
Organizational Unit Name (eg, section) [Community]:
Common Name (eg, your name or your server's hostname) [ABC Hosting CA]:
Name [server]:
Email Address [happyuser@zzz.com.ua]:
Теперь у нас есть CA, который можно использовать для создания оставшихся нужных нам файлов. 5. Создадим сертификат сервера, ключ и файлы для шифрования Далее мы генерируем пару ключ и сертификат сервера, а также некоторые дополнительные файлы, используемые в процессе шифрования. Запускаем создание пары сертификата сервера и ключа. Мы можем сделать это, набрав:
$ ./build-key-server server
На заметку: если вы выберете здесь имя, отличное от server, вы должны будете скорректировать некоторые моменты ниже, пользуясь данной инструкцией. Например, когда копируете сгенерированные файлы в каталог /etc/openvpn, нужно заменить имена на корректные. Позже вы должны будете также модифицировать файл /etc/openvpn/server.conf чтобы указать правильные файлы .crt и .key. Итак, переменные будут иметь значения по умолчанию, основанные на аргументах, которые мы только что передали (server), и содержимом полученного нами файла vars. Принимайте значения по умолчанию, нажимая ENTER. Не вводите пароль для этой установки. Ближе к концу вы должны будете ответить 'y' на два вопроса, чтобы подписать и подтвердить сертификат.
Примерный вывод:
. . .

Certificate is to be certified until May  1 17:51:16 2026 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Далее мы сгенерируем несколько дополнительных элементов. Мы можем сгенерировать стойкие ключи Диффи-Хеллмана, чтобы использовать во время обмена ключами, набрав:
$ ./build-dh
Это может занять несколько минут. После мы можем сгенерировать подпись HMAC, чтобы усилить возможности проверки целостности TLS сервера:
$ openvpn --genkey --secret keys/ta.key
6. Генерация пары клиентского сертификата и ключа. Далее мы можем сгенерировать пару клиентского сертификата и ключа. Хотя это можно сделать на клиентской машине и затем подписать сервером/CA из соображений безопасности, в этом руководстве для простоты мы сгенерируем подписанный ключ на сервере. Cгенерируем единичный клиентский ключ/сертификат для этого руководства, но если у вас более одного клиента, вы можете повторить этот процесс столько раз, сколько потребуется. Передайте скрипту уникальное значение для каждого клиента. Потому как вы можете вернуться к этому шагу позже, мы перевыпустим файл vars. В этом руководстве мы будем использовать client1 как значение для нашей первой пары сертификат/ключ. Для создания полномочий без пароля, для автоматических соединений, используйте команду сборки ключа:
$ cd ~/openvpn-ca
$ source vars
$ ./build-key client1
И наоборот, если вы желаете создать защищенные паролем данные доступа, используйте команду build-key-pass:
$ cd ~/openvpn-ca
$ source vars
$ ./build-key-pass client1
Настройки по умолчанию снова должны быть установлены, поэтому вы можете просто нажать ENTER для продолжения. Оставьте запрос пароля пустым и нажмите ENTER на подсказку "y", когда попросит подписать и запомнить сертификат. 7. Настройка сервиса OpenVPN Далее мы можем начать настройку сервиса OpenVPN, используя данные доступа и сгенерированные нами файлы. Для начала мы должны скопировать файлы, которые нам нужны в каталог настройки /etc/oopenvpn. Мы можем начать с тех файлов, которые мы только что сгенерировали. При создании они были помещены в каталог
~/openvpn-ca/keys
. Нам нужно переместить наш CA, сертификат и ключ, сертификат сервера и ключ, подпись HMAC и файл Диффи-Хеллмана:
$ cd ~/openvpn-ca/keys
$ sudo cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
Далее нам нужно скопировать и разархивировать примерный файл конфигурации OpenVPN в каталог настройки, который мы сможем использовать как основу для нашей установки:
# gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Перейдем к отладке конфигурации OpenVPN. Наши файлы готовы, и мы можем изменять файл конфигурации сервера:
$ sudo nano /etc/openvpn/server.conf
Во-первых, найдем секцию HMAC с помощью поиска директивы tls-auth. Удалим ";" чтобы раскомментировать строку tls-auth. Под ней добавим параметр key-direction и установим его значение "0":
/etc/openvpn/server.conf:
tls-auth ta.key 0 # This file is secret
key-direction 0
Далее, найдите секцию криптографического шифра c помощью поиска закомментированной строки шифра. AES-128-CBC является высоким уровнем шифрования и хорошо поддерживается. Удалите ";", чтобы раскомментировать строку шифра AES-128-CBC:
/etc/openvpn/server.conf:
cipher AES-128-CBC
Ниже добавьте аутентификационную строку для выбора алогоритма сообщений HMAC. SHA256 - хороший выбор для этого.
/etc/openvpn/server.conf:
auth SHA256
И наконец, найдите настройки пользователя и группы и удалите ";" в начале, чтобы раскомментировать эти строки.
/etc/openvpn/server.conf:
user nobody
group nogroup
(Опционально) Возможна также передача настроек DNS, чтобы перенаправить весь трафик через VPN. Настройки выше создадут соединение VPN между двумя машинами, но не перенаправят все соединения в туннели. Если вы желаете использовать VPN для маршрутизации всего вашего трафика, вы, вероятно, захотите передать настройки DNS клиентскому компьютеру. Вы можете это сделать, раскомментировав некоторые директивы, которые сконфигурируют клиентскую машину, чтобы перенаправить весь веб-трафик через VPN. Найдите раздел redirect-gateway и удалите точку с запятой в начале строки, чтобы раскомментировать её:
/etc/openvpn/server.conf:
push "redirect-gateway def1 bypass-dhcp"
Прямо под ней найдите секцию dhcp-option. Снова удалите ";" в начале обоих строк, чтобы раскомментировать их:
/etc/openvpn/server.conf:
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
Это должно помочь клиентам перенастроить их установки DNS, чтобы использовать VPN-туннель как шлюз по умолчанию. (Опционально) Дополнительно можно настроить порт и протокол. По умолчанию, сервер OpenVPN использует порт 1194 и протокол UDP для приема клиентских соединений. Если вам нужно использовать другой порт из-за сетевых ограничений, в которых могут находиться ваши клиенты, вы можете изменить опцию port. Если вы не размещаете веб-контент на вашем OpenVPN-сервере, порт 443 - это популярное решение, потому как обычно является разрешенным для доступа фаерволом.
/etc/openvpn/server.conf:
# Optional!
port 443
Зачастую, доступ к этому порту по протоколу запрещён. Если это так, измените протокол с UDP на TCP:
/etc/openvpn/server.conf:
# Optional!
proto tcp
Если вам не нужно использовать другой порт, лучше оставить эти две настройки по умолчанию. (Опционально) Установка данных доступа не по умолчанию. Если вы ранее выбрали другое имя во время выполнения команды ./build-key-server, измените строки cert и key чтобы указать подходящие файлы .crt и .key. Если вы использовали сервер по умолчанию, это должно уже быть установлено правильно:
/etc/openvpn/server.conf:
cert server.crt
key server.key
После окончания сохраните и закройте файл. 8. Настройка сетевой конфигурации сервера Далее нам нужно настроить некоторые аспекты сетевой конфигурации сервера, так чтобы OpenVPN мог правильно маршрутизировать трафик. Разрешим IP Forwarding (передача пакетов между интерфейсами). Во-первых, нам нужно разрешить серверу пересылку трафика между интерфейсами. Это довольно существенно для желаемой функциональности нашего VPN сервера. Мы можем настроить это, изменив файл /etc/sysctl.conf
# sudo nano /etc/sysctl.conf
В нем найдем строку, которая устанавливает net.ipv4.ip_forward. Удалим символ "#" в начале строки, чтобы раскомментировать эту настройку:
/etc/sysctl.conf:
net.ipv4.ip_forward=1
Когда закончите, сохраните и закройте файл. Чтобы открыть файл и применить значения в текущем сеансе наберите:
# sudo sysctl -p
Теперь нам нужно установить iptables и настроить правила фаервола:
# apt install iptables
Для настройки правил выполните следующее:
# iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
# iptables -A INPUT -i tun+ -j ACCEPT
# iptables -A FORWARD -i tun+ -j ACCEPT
# iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
# iptables -A OUTPUT -o tun+ -j ACCEPT
Также, пожалуйста, выполните это действие, чтобы исправить файл службы systemd для openvpn:
$ sudo sed -i 's/LimitNPROC=10 /#LimitNPROC=10 /' /lib/systemd/system/openvpn@.service
9. Нам нужно запустить сервер OpenVPN указанием имени нашего конфигурационного файла как переменной экземпляра после имени файла systemd. Наш конфигурационный файл для нашего сервера называется /etc/openvpn/server.conf, так что мы добавим @server в конец unit файла при его вызове:
$ sudo systemctl start openvpn@server
Если всё прошло правильно, ваш вывод должен выглядеть приблизительно так:
openvpn@server.service - OpenVPN connection to server
   Loaded: loaded (/lib/systemd/system/openvpn@.service; disabled; vendor preset: enabled)
   Active: active (running) since Tue 2016-05-03 15:30:05 EDT; 47s ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
  Process: 5852 ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/%i.conf --writepid /run/openvpn/%i.pid (code=exited, sta
 Main PID: 5856 (openvpn)
    Tasks: 1 (limit: 512)
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           └─5856 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid

May 03 15:30:05 openvpn2 ovpn-server[5856]: /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
May 03 15:30:05 openvpn2 ovpn-server[5856]: /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
May 03 15:30:05 openvpn2 ovpn-server[5856]: GID set to nogroup
May 03 15:30:05 openvpn2 ovpn-server[5856]: UID set to nobody
May 03 15:30:05 openvpn2 ovpn-server[5856]: UDPv4 link local (bound): [undef]
May 03 15:30:05 openvpn2 ovpn-server[5856]: UDPv4 link remote: [undef]
May 03 15:30:05 openvpn2 ovpn-server[5856]: MULTI: multi_init called, r=256 v=256
May 03 15:30:05 openvpn2 ovpn-server[5856]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
May 03 15:30:05 openvpn2 ovpn-server[5856]: IFCONFIG POOL LIST
May 03 15:30:05 openvpn2 ovpn-server[5856]: Initialization Sequence Completed
Также вы можете проверить, доступен ли интерфейс OpenVPN tun0, набрав команду:
$ ip addr show tun0
Вы должны увидеть отлаженый интерфейс:
4: tun0: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1500 qdisc noqueue state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
10. Создание инфраструктуры клиентской конфигурации. Далее нам нужно установить систему которая позволит нам легко создать файлы клиентской конфигурации. Создайте структуру каталогов в вашем домашнем каталоге, чтобы сохранить файлы:
$ mkdir -p ~/client-configs/files
Как только клиентские ключи будут встроены в наши файлы конфигурации, необходимо заблокировать к ним доступ во внутреннем каталоге:
$ chmod 700 ~/client-configs/files
Для создания базовой конфигурации скопируем пример клиентской конфигурации в наш каталог, чтобы использовать его как базовый:
$ cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
Откройте этот новый файл в текстовом редакторе:
$ nano ~/client-configs/base.conf
Внутри нам нужно сделать несколько правок. Во-первых, найдем директиву remote. Она направляет клиента на адрес нашего OpenVPN сервера. Это дожен быть публичный IP-адрес сервера OpenVPN. Если вы изменили порт, который прослушивает OpenVPN сервер, измените 1194 на выбранный:
~/client-configs/base.conf:
. . .
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote server_IP_address 1194
. . .
Удостоверьтесь, что протокол совпадает со значением, которое используется в серверной конфигурации:
~/client-configs/base.conf:
proto udp
Далее, удалением ";" раскомментируйте директивы user и group:
~/client-configs/base.conf:
# Downgrade privileges after initialization 
user nobody
group nogroup
Найдите директивы, устанавливающие центр сертификации, сертификат и ключ. Раскомментируйте эти директивы, поскольку мы будем добавлять сертификаты и ключи в сам файл:
~/client-configs/base.conf:
# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
#ca ca.crt
#cert client.crt
#key client.key
Отразите настройки cipher и auth, установленные нами в файле /etc/openvpn/server.conf:
~/client-configs/base.conf:
cipher AES-128-CBC
auth SHA256
Далее добавьте директиву key-direction где-нибудь в файле. Она должна быть установлена в значение "1" для работы с сервером:
~/client-configs/base.conf:
key-direction 1
И наконец, добавьте несколько раскомментированных строк. Мы используем их в каждом конфиге, но включать их следует только для Linux-клиентов с файлом /etc/openvpn/update-resolv-conf:
~/client-configs/base.conf:
# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf
Если ваш клиент запущен в Linux и использует файл /etc/openvpn/update-resolv-conf, то вы должны раскомментировать эти строки из сгенерированного клиентского конфигурационного файла OpenVPN. Сохраните файл, когда закончите. Далее мы создадим простой скрипт, для компиляции нашей базовой конфигурации с соответствующими файлами сертификата, ключа и шифрования. Он поместит сгенерированную конфигурацию в каталог ~/client-configs/files. Создайте и откройте файл, названный как make_config.sh в каталоге ~/client-configs:
$ nano ~/client-configs/make_config.sh
Внутри вставьте следующий скрипт:
~/client-configs/make_config.sh:
#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '\n') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '\n') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '\n') \
    ${KEY_DIR}/ta.key \
    <(echo -e '') \
    > ${OUTPUT_DIR}/${1}.ovpn
Сохраните и закройте файл, когда закончите. Пометьте файл как исполняемый, набрав:
$ chmod 700 ~/client-configs/make_config.sh
Создание клиентских настроек происходит таким образом. Если вы следовали этому руководству, вы содали сертификат и ключ клиента, названные client1.crt and client1.key благодаря запуску команды ./build-key client1. Мы можем сгенерировать конфиг для этих учетных данных перемещением в наш каталог ~/client-configs и использованием созданного скрипта:
$ cd ~/client-configs
$ ./make_config.sh client1
Если действия были выполнены правильно, то в каталоге ~/client-configs/files должен появиться файл client1.ovpn:
$ ls ~/client-configs/files
Вывод:
client1.ovpn
Также нам нужно передать файл клиентской конфигурации на соответствующее устройство. Например, это может быть ваш локальный компьютер или мобильное устройство. Хотя выбор конкретного приложения, которое будет спользоваться для передачи, будет зависеть от вашего выбора и операционной системы устройства, желательно, чтобы приложение использовало протокол SFTP (SSH FTP) или SCP (Secure Copy). Это передаст файлы вашей клиентской VPN аутентификации через зашифрованное соединение. Вот пример использования команды SFTP с использованием нашего файла client1.ovpn. Эта команда может быть выполнена с вашего локального компьютера (на OS X или Linux). Она помещает файл .ovpn в ваш домашний каталог:
$ scp sammy@openvpn_server_ip:client-configs/files/client1.ovpn ~/
Для безопасной передачи файлов с сервера на локальный компьютер, можно использовать, например, WinSCP, Filezilla. Файл OVPN может быть использован OpenVPN клиентом на Windows или Mac OS. В Linux имеется графический Network Manager, который может работать с файлами .ovpn.