Облачный сервер с Pritunl

Pritunl — программное обеспечение с открытым исходным кодом для создания VPN-инфраструктуры. Позволяет создать безопасное и удобное подключение к локальной сети по типу client-to-site.

Можно создать облачный сервер с готовым приложением Pritunl, а затем настроить на нем VPN-сервер. После настройки VPN-сервера пользователи смогут подключиться к VPN.

Создать облачный сервер с Pritunl⁠

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Нажмите Создать сервер.

3. В блоке Имя и расположение:

   3.1. В поле Имя введите имя сервера. Оно будет установлено как имя хоста в операционной системе.

   3.2. В полях Регион и Пул выберите регион и сегмент пула, в котором будет создан сервер. От сегмента пула зависит список доступных конфигураций сервера и стоимость ресурсов. После создания сервера изменить сегмент пула нельзя.

4. В блоке Источник откройте вкладку Приложения.

5. Выберите Cloud Pritunl.

6. Опционально: если вам нужна версия приложения ниже, в поле Версия выберите нужную версию.

7. В блоке Конфигурация выберите конфигурацию сервера от 1 vCPU, RAM от 1 ГБ и размером загрузочного диска от 10 ГБ. Можно выбрать:

   • фиксированную конфигурацию — линейки, в которых зафиксировано соотношение ресурсов;
   • или произвольную конфигурацию, в которой можно указать любое соотношение ресурсов.

   В конфигурациях используются разные процессоры в зависимости от линейки и сегмента пула.

   7.1. Чтобы выбрать фиксированную конфигурацию, нажмите Фиксированная, откройте вкладку с нужной линейкой и выберите конфигурацию. Объем оперативной памяти, который выделяется серверу, может быть меньше указанного в конфигурации — ядро операционной системы резервирует часть оперативной памяти в зависимости от версии ядра и дистрибутива. Выделенный объем на сервере можно проверить с помощью команды sudo dmesg | grep Memory.

   После создания сервера можно изменить конфигурацию.

   7.2. Чтобы выбрать произвольную конфигурацию, нажмите Произвольная, укажите количество vCPU и размер RAM.

   7.3. Выберите загрузочный диск сервера:

   • если в качестве загрузочного диска сервера нужно выбрать локальный диск, отметьте чекбокс Локальный SSD NVMe диск;
   • если в качестве загрузочного диска сервера нужно выбрать сетевой диск, снимите чекбокс Локальный SSD NVMe диск. В поле Тип диска выберите тип сетевого загрузочного диска. И укажите размер диска в ГБ или ТБ. Учитывайте лимиты сетевых дисков на максимальный размер.

   7.4. Опционально: чтобы добавить дополнительные сетевые диски сервера. В поле Тип диска выберите тип сетевого диска и укажите размер сетевого диска в ГБ или ТБ. Учитывайте лимиты сетевых дисков на максимальный размер.

   После создания сервера можно отключить от него дополнительные диски или подключить новые.

8. В блоке Сеть подключите существующую приватную подсеть с облачным роутером или создайте новую:

   Существующая приватная подсеть

   8.1. Нажмите Приватная подсеть.

   8.2. В поле Публичный IP-адрес для доступа из интернета выберите Новый публичный IP-адрес.

   8.3. Разверните блок с настройками приватной подсети.

   8.4. В поле Подсеть выберите существующую подсеть.

   8.5. В поле Приватный IP укажите приватный IP-адрес сервера. Публичный IP-адрес будет автоматически подключен к приватному адресу.

   Новая приватная подсеть

   8.1. Нажмите Приватная подсеть.

   8.2. В поле Публичный IP-адрес для доступа из интернета выберите Новый публичный IP-адрес.

   8.3. Разверните блок с настройками приватной подсети.

   8.4. Если у вас есть существующие сети в проекте, в поле Подсеть выберите Новая подсеть.

   8.5. Опционально: измените CIDR подсети.

   8.6. Опционально: включите тумблер DHCP.

   8.7. Опционально: в поле Шлюз измените IP-адрес шлюза по умолчанию.

   8.8. В поле Сеть выберите существующую сеть, в которой будет создана подсеть, или Новая сеть. Для приватной подсети с публичным IP-адресом автоматически будет создан роутер router-<network_name>, где <network_name> — имя сети.

   8.9. Если вы выбрали Новая сеть, введите имя сети.

9. Выберите группы безопасности для фильтрации трафика на портах сервера. Без групп безопасности трафик будет запрещен. Если блок отсутствует, в сети сервера выключена фильтрация трафика (port security). С выключенной фильтрацией трафика весь трафик будет разрешен.

10. В блоке Доступ:

10.1. Разместите на сервере SSH-ключ для безопасного подключения:

• если SSH-ключ добавлен в облачную платформу, в поле SSH-ключ выберите существующий ключ;
• если SSH-ключ не добавлен в облачную платформу, нажмите Добавить SSH-ключ, введите имя ключа, вставьте публичный SSH-ключ в формате OpenSSH и нажмите Добавить.

10.2. Опционально: в поле Пароль для «root» скопируйте пароль пользователя root (пользователь с неограниченными правами на все действия над системой). Сохраните пароль в безопасном месте и не передавайте в открытом виде.

11. В блоке Дополнительные настройки:

11.1. Опционально: если вы планируете создать несколько серверов и хотите повысить отказоустойчивость инфраструктуры, добавьте сервер в группу размещения. Чтобы создать новую группу, нажмите Создать группу, введите имя группы и выберите политику размещения на разных хостах:

• желательно — система постарается разместить серверы на разных хостах (soft-anti-affinity). Если при создании сервера не будет подходящего хоста, он будет создан на том же хосте;
• обязательно — серверы в группе обязательно располагаются на разных хостах (anti-affinity). Если при создании сервера не будет подходящего хоста, сервер не будет создан.

Если группа создана, в поле Группа размещения выберите группу размещения.

11.2. Опционально: чтобы добавить дополнительную информацию или фильтровать серверы в списке, добавьте теги сервера. Автоматически добавляются теги операционной системы и конфигурации. Чтобы добавить новый тег, в поле Теги введите тег.

12. Проверьте цену облачного сервера.

13. Нажмите Создать.

Настроить VPN-сервер⁠

1. Инициализируйте Pritunl.

2. Создайте организацию в которой будет располагаться VPN-сервер.

3. Создайте VPN-сервер.

4. Добавьте VPN-сервер в организацию.

5. Настройте маршрутизацию через VPN-сервер.

6. Запустите VPN-сервер.

7. Создайте пользовательскую конфигурацию.

1. Инициализировать Pritunl⁠

1. Подключитесь к облачному серверу.

2. Сгенерируйте ключ для установки Pritunl:

   sudo pritunl setup-key

3. Скопируйте сгенерированный ключ.

4. Откройте в браузере страницу:

    http://<ip_address>

   Укажите <ip_address> — публичный IP-адрес облачного сервера, можно посмотреть в панели управления в верхнем меню нажмите Продукты → Облачные серверы → страница сервера → вкладка Порты → в карточке порта нажмите рядом с публичным IP-адресом.

5. В поле Enter Setup Key вставьте ключ, который вы скопировали на шаге 3.

6. Нажмите Save.

7. Браузер выдаст предупреждение о небезопасном подключении из-за отсутствия сертификата. Проигнорируйте предупреждение и откройте страницу.

8. В CLI выведите логин и пароль для авторизации:

   sudo pritunl default-password

9. Скопируйте логин и пароль.

10. В браузере авторизуйтесь в панели pritunl. В поле Username и Password вставьте логин и пароль, которые вы скопировали на шаге 9.

11. Нажмите Sign in. Дождитесь окончания процесса инициализации настроек.

12. Снимите чекбокс Accept IPv6 Connections.

13. Опционально: в поле New Password введите новый пароль. В целях безопасности мы рекомендуем изменить пароль.

14. Опционально: в поле Lets Encrypt Domain введите домен, А-запись которого ведет на IP-адрес сервера.

15. Нажмите Save.

2. Создать организацию⁠

1. В панели pritunl откройте вкладку Users.

2. Нажмите Add Organization.

3. В поле Name введите название организации.

4. Нажмите Add.

3. Создать VPN-сервер⁠

1. В панели pritunl откройте вкладку Servers.

2. Нажмите Add Server.

3. В поле Name введите имя сервера.

4. Нажмите Add.

4. Добавить VPN-сервер в организацию⁠

1. В панели pritunl откройте вкладку Servers.

2. Нажмите Attach Organization.

3. В поле Select an organization выберите организацию, в которую нужно добавить VPN-сервер.

4. В поле Select a server выберите VPN-сервер.

5. Нажмите Attach.

5. Настроить маршрутизацию через VPN-сервер⁠

1. В панели pritunl откройте вкладку Servers.

2. Выберите нужный VPN-сервер.

3. В блоке 0.0.0.0/0 нажмите Remove Route.

4. Чтобы подтвердить удадление маршрута по умолчанию, нажмите Remove.

5. Нажмите Add Route.

6. В поле Network введите приватную подсеть, в которой расположен облачный сервер. Можно посмотреть в панели управления в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети.

7. В поле Select a server выберите VPN-сервер.

8. Нажмите Attach.

6. Запустить VPN-сервер⁠

1. В панели pritunl откройте вкладку Servers.

2. Выберите нужный VPN-сервер.

3. Нажмите Start Server.

7. Создать пользовательскую конфигурацию⁠

1. В панели pritunl откройте вкладку Users.

2. Нажмите Add User.

3. В поле Name введите имя пользователя.

4. В поле Select an organization выберите организацию, в которую нужно добавить пользовательскую конфигурацию.

5. Нажмите Add.

6. В строке пользователя нажмите Get temporary profile links.

7. Скопируйте и передайте пользователю VPN-сервера подходящую ссылку для скачивания файла конфигурации.

Подключиться к VPN⁠

1. Установите Pritunl Client.

2. Загрузите файл конфигурации.

3. Подключитесь к серверу.

1. Установить Pritunl Client⁠

На сайте Pritunl скачайте Pritunl Client и установите его.

2. Загрузить файл конфигурации⁠

1. Откройте Pritunl Client.

2. Нажмите Import.

3. В поле Profile URL вставьте ссылку на файл конфигурации, которую вам передал администратор VPN-сервера.

4. Нажмите Import.

3. Подключиться к серверу⁠

1. Откройте Pritunl Client.

2. Перейдите в профиль клиента VPN-сервера.

3. Нажмите Connect.