Есть куча разных протоколов, OpenVPN считается самым популярным, но мы же не идём слепо за массой — нам важны скорость, качество и современность. Мы не ищем лёгких путей, потому что нет ничего невозможного, ну и мы не такие как все, чтобы юзать то, что юзает большинство.

Поэтому самый лучший и современный VPN — это WireGuard. Он супер быстрый, не режет скорость, и при этом максимально простой в настройке.

В этой статье я покажу, как настроить WireGuard с нуля, объясню каждый термин, чтобы ты не просто бездумно копипастил, а понимал каждую строчку.

Поехали!

Что такое WireGuard простыми словами

WireGuard — это peer-to-peer VPN, работает просто, быстро и стабильно. Он встроен в ядро Linux, использует самую новую криптографию, и запускается за секунды. В WireGuard нет клиента и сервера в классическом смысле — все равны. Каждое устройство может быть как клиентом так и сервером, отличает кто есть кто только файл конфигурации. В настройках сервер это Peer и клиент это Interface.

WireGuard работает через ключи, у каждого участника есть Private Key и Public Key и конфиге указываются ключи друг друга.

Основные фишки WireGuard:

• Максимум скорости — в 2–3 раза быстрее OpenVPN, нет лишней нагрузки, всё работает на уровне ядра
• Никаких сложных настроек — всё максимально прозрачно 1 конфиг = 1 файл
• Безопасность на уровне — всё шифруется по-современному, и без старья вроде TLS, как у OpenVPN

Настройки WireGuard?

Структура работы VPN WireGuard делится всего на 2 типа секций Interface и Peer.

• Interface — это всегда своя сторона, текущее устройство на котором заполняется файл.
• Peer — а это всегда удаленная сторона.

Тоесть в файле на сервере Interface это сам сервер а Peer это удаленные клиенты которые будут подсоеденяться к серверу. А у клиента Interface это сам клиент, а Peer это будет удаленный сервер к которому клиент хочет подсоедениться.

[interface] имеет следующие параметры:

• PrivateKey — (сервер* и клиент*) — Приватный ключ текущего устройства. НИКОГДА не шарится, всегда пишется в настройках interface, только на твоем текущем устройстве.
• Address — (сервер* и клиент*) — IP-адрес по которому устройство будет отзываться в VPN сети. Да WireGuard не имеет DHCP для VPN все IP нужно прописывать всегда для сервера и каждого клиента вручную, конечно каждое устройство должно иметь уникальный IP. Пример 10.0.1.1/24 или 10.0.1.2/24 или без подсети.
• ListenPort — (сервер*) — Обычно WireGuard слушает UDP 51820 порт, но можно любой написать.
• DNS — (только на клиентах) — DNS-сервер, который будет использовать клиент при подключении к интернету. Например 1.1.1.1, 10.0.0.1 или 8.8.8.8, 8.8.4.4. Но имеет смысл только в связке с AllowedIPs = 0.0.0.0/0 или в AllowedIPs должен быть IP этого DNS.
• MTU — (сервер и клиент) — Максимальный размер пакета (обычно 1420)
• PreUp / PostUp — (сервер и клиент) — Команда, которая выполнится при старте интерфейса, например, iptables или ip route
• PreDown / PostDown — (сервер и клиент) — Команда, которая выполнится при остановке. Чистка iptables, маршрутов и т.п.
• Table — (сервер и клиент) — Номер таблицы маршрутизации или off — если не хочешь, чтобы WireGuard сам добавлял маршруты.

[peer] имеет следующие параметры:

• PublicKey — (сервер* и клиент*) — Публичный ключ сгенерированный второй стороной будь то клиент или сервер.
• PresharedKey — Это один дополнительный ключ для повышения безопасности, пишется для каждой пары (сервер+клиент) свой. Это не обязательно, но если используем, то писать надо один и тот же ключ и на клиенте и на сервере для каждого пира свой. Тут нет публичного или приватного. Команда для генерации ключа — wg genpsk
• AllowedIPs — (сервер* и клиент*) — Очень важный параметр. Тут пишем IP-адреса, через запятую если несколько, которые разрешены от/до этого пира. Имеет разное поведение в настройках сервера и клиента.
  • На сервере — говорит какие IP-адреса считаются принадлежащими этому клиенту.
    Обычно указывают IP клиента из VPN-сети (например, 10.0.1.10/32), тот же IP что и в его interface->Address, только подсеть не 24 а 32 чтобы чтобы указать что клиент получатель трафика только один.
    Но если клиент это роутер и дальше у него много клиентов, то в таком случае допускается подсеть, например 10.0.1.0/24.
  • На клиенте — говорит, какой трафик нужно направлять в VPN туннель к серверу.
    • 0.0.0.0/0 — говорит что весь трафик клиента будет отправляться через VPN сеть WireGuard. (Full Tunnel). Если хочешь полноценный VPN то используй именно этот параметр + DNS в Interface, чтобы интернет работал.
    • 10.0.1.0/24, 192.168.1.0/24, 10.0.0.0/24 — если написать подсети, то VPN будет использоваться только для доступа к другим устройствам подключенным к этим сетям. А остальной трафик будет идти через обычный интернет.
• Endpoint — (клиент*) — [IP-адрес или домен]:порт, куда подключаться. Пример vpn.domain.com:51820.
• PersistentKeepalive — (клиент*) — клиент будет периодически “стучаться”, чтобы не терять соединение за NAT. Обычно — 25

Примеры конфигурации WireGuard сервера и клиентов.

wg0.conf — конфиг WireGuard-сервера:

[Interface]
PrivateKey = SERVER_PRIVATE_KEY
Address = 10.0.1.1/24
ListenPort = 51820
MTU = 1420
# Разрешаем маршрутизацию для систем с iptables:
PostUp = sysctl -w net.ipv4.ip_forward=1; \
         iptables -A FORWARD -i wg0 -j ACCEPT; \
         iptables -A FORWARD -o wg0 -j ACCEPT; \
         iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = sysctl -w net.ipv4.ip_forward=0; \
           iptables -D FORWARD -i wg0 -j ACCEPT; \
           iptables -D FORWARD -o wg0 -j ACCEPT; \
           iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Альтернатива для систем с nftables:
# PostUp = sysctl -w net.ipv4.ip_forward=1; \
#          sysctl -w net.ipv6.conf.all.forwarding=1; \
#          nft add table inet wireguard-wg0; \
#          nft add chain inet wireguard-wg0 PREROUTING { type nat hook prerouting priority 0\; }; \
#          nft add chain inet wireguard-wg0 POSTROUTING { type nat hook postrouting priority 100\; }; \
#          nft add rule inet wireguard-wg0 POSTROUTING ip saddr 10.0.1.0/24 oifname eth0 masquerade; \
#          nft add rule inet wireguard-wg0 POSTROUTING ip6 saddr fd00::/8 oifname eth0 masquerade

# PostDown = sysctl -w net.ipv4.ip_forward=0; \
#            sysctl -w net.ipv6.conf.all.forwarding=0; \
#            nft delete table inet wireguard-wg0

[Peer]
# Клиент A
PublicKey = CLIENT_A_PUBLIC_KEY
PresharedKey = CLIENT_A_PRESHARED_KEY
AllowedIPs = 10.0.1.10/32

[Peer]
# Клиент B
PublicKey = CLIENT_B_PUBLIC_KEY
PresharedKey = CLIENT_B_PRESHARED_KEY
AllowedIPs = 10.0.1.11/32

Конфигурация клиента A (client-a.conf)

[Interface]
PrivateKey = CLIENT_A_PRIVATE_KEY
Address = 10.0.1.10/24
DNS = 8.8.8.8, 8.8.4.4
MTU = 1420

[Peer]
PublicKey = SERVER_PUBLIC_KEY
PresharedKey = CLIENT_A_PRESHARED_KEY
Endpoint = vpn.domain.com:51820 
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Конфигурация клиента B (client-b.conf)

[Interface]
PrivateKey = CLIENT_B_PRIVATE_KEY
Address = 10.0.1.11/24
DNS = 8.8.8.8, 8.8.4.4
MTU = 1420

[Peer]
PublicKey = SERVER_PUBLIC_KEY
PresharedKey = CLIENT_B_PRESHARED_KEY
Endpoint = vpn.domain.com:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Команды для быстрой установки WireGuard сервера

Установка WireGuard на сервер:

sudo apt install -y wireguard wireguard-tools

Создание ключей на сервере:

umask 077
wg genkey | tee /etc/wireguard/server.key | wg pubkey > /etc/wireguard/server.pub

Дальше проверяем на сервере какой у нас интерфейс для доступа к интернету обычно eth0, но нужно проверить.

ip route | grep default
ip -br a

дальше сохраняем значение чтобы потом вставить ниже в файл

cat /etc/wireguard/server.key

Создание конфигурации сервера:

sudo nano /etc/wireguard/wg0.conf

внутрь файла положи настройки сервера, где нужно поменять правильные IP где 10.0.1.0/24 это сеть VPN а 192.168.0.0/24 локальная сеть сервера, PrivateKey и <WAN_IF> — заменить на что-то типа ens18, eth0

[Interface]
Address = 10.0.1.1/24
ListenPort = 51820
PrivateKey = <вставь что вернет - cat /etc/wireguard/server.key>

PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o ens18 -j MASQUERADE; iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -d 192.168.0.0/24 -o ens19 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -s 10.0.1.0/24 -o ens18 -j MASQUERADE; iptables -t nat -D POSTROUTING -s 10.0.1.0/24 -d 192.168.0.0/24 -o ens19 -j MASQUERADE

не забудь поменять IP, PrivateKey и eth0 на твой интерфейс <WAN_IF> для выхода в интернет

Включить IP-форвардинг

echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-wireguard.conf
sudo sysctl --system

Если есть firewall то нужно еще порт открыть:

sudo sed -i 's/DEFAULT_FORWARD_POLICY="DROP"/DEFAULT_FORWARD_POLICY="ACCEPT"/' /etc/default/ufw
sudo ufw reload
cat /etc/default/ufw | grep DEFAULT_FORWARD_POLICY
sudo ufw allow 51820/udp
ufw status

Запуск и автозагрузка

sudo systemctl enable --now wg-quick@wg0

Проверка:

sudo wg

Приложения wireguard клинеты скачиваются с официального сайта, в них нужно сгенерировать ключи. Приватный ключ положить в конфигурацию на клиенте, а публичный ключ добавить в конфигурацию на сервере. Генерировать ключи и конфиг файл можно конечно и на сервере, и потом отправить приватный ключ на клиент, но тогда сервер будет знать сразу и приватный и публичный ключ клиента, что не очень хорошо. Но если хотим сгенерировать ключь на сервере то делаем так:

sudo mkdir -p /etc/wireguard/clients
sudo chmod 700 /etc/wireguard/clients
umask 077
wg genkey | tee /etc/wireguard/clients/client1.key | wg pubkey > /etc/wireguard/clients/client1.pub
wg genpsk > /etc/wireguard/clients/client1.psk

Итак, у нас есть уже ключи, мы их либо сгенерировали на сервере или в самом клиенте, теперь составим файл конфигурации клиента для подключения к нашему серверу:

[Interface]
PrivateKey = <вставь что вернет - cat /etc/wireguard/clients/client1.key>
Address = 10.0.1.10/24
DNS = 1.1.1.1
MTU = 1420PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -s 10.10.251.0/24 -o ens18 -j MASQUERADE; iptables -t nat -A POSTROUTING -s 10.10.251.0/24 -d 192.168.0.0/24 -o ens19 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -s 10.10.251.0/24 -o ens18 -j MASQUERADE; iptables -t nat -D POSTROUTING -s 10.10.251.0/24 -d 192.168.0.0/24 -o ens19 -j MASQUERADE

[Peer]
PublicKey = <вставь что вернет - cat /etc/wireguard/server.pub>
PresharedKey = <вставь что вернет - cat /etc/wireguard/clients/client1.psk>
AllowedIPs = 0.0.0.0/0
Endpoint = vpn.example.com:51820
PersistentKeepalive = 25

Это настройки именно на стороне клиента, теперь надо сделать так чтобы сервер знал что этот клиент будет подключаться, для этого снова открываем файл wg0.conf и добавляем устройство которое может подключаться:

sudo nano /etc/wireguard/wg0.conf

[Peer]
PublicKey = <вставь что вернет - cat /etc/wireguard/client1.pub>
PresharedKey = <вставь что вернет - cat /etc/wireguard/client1.psk>
AllowedIPs = 10.0.1.10/32

Дальше чтобы применить изменения надо перезагрузить сервер WireGuard:

sudo systemctl restart wg-quick@wg0

Можно это же сделать и не вручную а с помощью специальной команды, она позволяет добавить в конфиг сервера еще один Peer.

sudo wg set wg0 \
  peer <КЛИЕНТ_PUBKEY> \
  preshared-key <(cat client1.psk) \
  allowed-ips 10.0.1.10/32

Для простоты есть генератор QR кода для клиента:

sudo apt install qrencode
qrencode -t ansiutf8 < client1.conf

Быстрый автоматический способ установки WireGuard я писал в другой статье.

Сообщение Что такое WireGuard — полное, подробное описание и настройка появились сначала на Wiki | PWODEV.

Сегодня мы установим WireGuard сервер на Ubuntu. Есть способ установки нативно, но там прийдется заморочиться с настройками, поэтому сразу перейду к более простому способу через WireGuard Manager:

curl -O https://raw.githubusercontent.com/complexorganizations/wireguard-manager/main/wireguard-manager.sh
chmod +x wireguard-manager.sh
sudo ./wireguard-manager.sh

Тут соглашаемся с настройками по умолчанию, кроме DNS. Как только вы увидите это сообщение, выбирайте 2) Custom (Advanced)

Which DNS provider would you like to use?
  1) Unbound (Recommended)
  2) Custom (Advanced)

А дальше выбираем DNS какие больше всего нравятся, например Cloudflare или Google

Select the DNS provider you wish to use with your WireGuard connection:
  1) Cloudflare (Recommended)
  2) AdGuard
  3) NextDNS
  4) OpenDNS
  5) Google
  6) Verisign
  7) Quad9
  8) FDN
  9) Custom (Advanced)

Дальше все по умолчанию. В самом конце появится QR код и настройки клиента. Теперь осталось скачать и установить клиент на ваше устройство с официального сайта https://www.wireguard.com/install/

На этом все, можно наслаждаться своим собственным, супер быстрым VPN.

Сообщение Устанавливаем самый быстрый WireGuard VPN Server появились сначала на Wiki | PWODEV.

Для начала нам необходимо купить следующее оборудование:

• Geekworm KVM-A3
• Raspberry Pi 4 (4GB)
• Power supply USB-C 5.1V, 3A
• microSDHC SanDisk Extreme 32 GB
• HDMI Cable

Оборудование купили теперь можно собирать.

Полную сборку можно посмотреть в этом видео:

Сборка Geekworm KVM-A3 с Raspberry Pi 4

Официальный сайт этой замечательной коробочки со всей нужной информацией: https://wiki.geekworm.com/PiKVM-A3

Собираем PiKVM в следующем порядке:

1. Раскручиваем корпус (8 болтов) и вытаскиваем из него пакетик с болтиками и наклейками
2. Приклеиваем рамочку на крышку
3. Приклеиваем 4 резиновые ножки к корпусу
4. Распаковываем Raspberry Pi 4
5. Приклеиваем 3 охлаждения к Raspberry Pi 4
6. Берем пакет с платой HDMI IN и вытаскиваем шлейф и черный кабель с белыми разъемами это аудио кабель.
7. Подключаем аудио кабель в разъем на плате HDMI IN
8. Подключаем шлейф к Raspberry Pi 4 надписями вверх и синей наклейкой к разъему
9. Берем пакет в платой KVM вытаскиваем из него болты, нам нужны 4 столбика золотого цвета
10. Дальше берем 4 болтика золотого цвета (из пакета от корпуса) и ставим на них Raspberry Pi 4, с другой стороны прикручиваем 4 столбика.
11. Берем плату KVM и одеваем ее на Raspberry Pi 4. Шлейф должен пройти в отверстие в плате.
12. Прикручиваем 4 черными болтами плату KVM к золотым столбикам на Raspberry Pi.
13. Берем плату HDMI IN и вставляем торчащий из KVM шлейф в плату (синей наклейкой вверх).
14. Берем 3 черных болта и прикручиваем HDMI IN плату к KVM плате, шлейф должен аккуратно ложиться.
15. Подключаем аудио разъем из платы HDMI IN в KVM плату
16. Берем коробочку с дисплеем
17. Вставляем дисплей в разъем на плате KVM и прикручиваем 2 длинными болтами (шли в коробке с дисплеем),
18. Отклеиваем пленку на дисплее
19. Вставляем все в корпус, 4 ножки что на Raspberry Pi должны совпасть с дырками на корпусе
20. Прикручиваем корпус и ножки Raspberry Pi 4 черными болтами из пакета с корпусом
21. Одеваем крышку корпуса и прикручиваем его 8 черными болтами из первого пункта.

Корпус собран, теперь идем к компьютеру устанавливать PiKVM OS на MicroSD карточку.

1. Вставляем MicroSD в компьютер
2. Идем на сайт PiKVM и скачиваем последнюю версию PiKVM OS (V3 Pre-Assembled)
3. Скачиваем и устанавливаем установщик Raspberry Pi OS
4. Запускаем установщик Raspberry Pi OS
5. Выбираем девайс — Raspberry Pi 4
6. Выбираем OS — Use custom в самом низу списка, и выбираем скаченный нами образ PiKVM OS из пункта 2
7. Выбираем MicroSD который мы вставили в пункте 1
8. Жмем далее
9. потом NO (мы не хотим кастомные настройки сохранять)
10. потом YES (да мы понимаем что с MicroSD все удалится)
11. Процесс установки пошел, ждем.
12. После того как процесс закончился, вытаскиваем MicroSD из компьютера и вставляем еще раз, чтобы записать по умолчанию настройки WIFI.
13. Заходим на MicroSD ищем файл pikvm.txt открываем его и дописываем настройки WIFI:

WIFI_ESSID='mynet' 
WIFI_PASSWD='p@s$$w0rd'

при этом FIRST_BOOT=1 должно остаться.

14. Сохраняем файл и отключаем MicroSD
15. Готовый MicroSD подключаем в Raspberry Pi 4 через соответствующее отверстие в корпусе KVM
16. Подключаем LAN кабель к KVM
17. Затем подключаем KVM к питанию и ждем пока на дисплее появится IP адрес KVM.

Готово, если мы видим IP адрес то система работает правильно.

Теперь нужно поменять пароли. По умолчанию пароли для web интерфейса:
Юзер: admin
Пароль: admin
И для ssh:
Юзер: root
Пароль: root
Заходим в браузере по IP который мы видим на дисплее КВМ, вводим юзер и пароль по умолчанию admin, admin. Дальше выбираем Терминал по очереди и пишем следующие команды:

залогинеться как root:

su

открыть систему для записи:

rw

поменять пароль root:

passwd root

поменять пароль веб интерфейса:

kvmd-htpasswd set admin

сделать по умолчанию Full HD:

kvmd-edidconf --import-preset=v3.1080p-by-default

закрыть систему для записи:

ro

запустить обновление:

pikvm-update

После этого система перезагрузиться, и мы получим обновленный pikvm с новыми паролями. Дальше выключаем питание и переходим к подключению, через плату переходник, пинов кнопок питания, ресета и LED на материнской плате компьютера куда будем ставить KVM.

После установки платы в компьютер можно делать финальное подключение KVM к компьютеру. Берем наш собранный KVM и подключаем следующие разъемы:

1. ATX — подключаем желтым LAN кабелем из комплекта в плату что мы установили в компьютер (управляет кнопками питания и ресета компютера)
2. HDMI IN — подключаем HDMI кабелем (не входит в комплект) к любому HDMI разъему компьютера, лучше к видео карте если имеется.
3. Ethernet — подключаем LAN кабелем к роутеру или свичу локальной сети где есть DHCP. Нужно для доступа к KVM. Можно также настроить и фиксированный IP, если нет DHCP или KVM должен быть доступен на прямую в интернет (что не рекомендую из соображений безопасности и не нужного использовании публичного IP адреса)
4. OTG — подключаем USB-C to USB-A кабель (входящий в комплект) в любой USB разъем компьютера. Для имитации клавиатуры, мышки, и внешней флешки
5. PWR IN — подключаем в самую последнюю очередь блок питания USB-C 5.1V, 3A.

Готово! Система загрузится, мы увидим IP адрес, и теперь мы можем через веб интерфейс пользоваться компьютером удаленно.

WIFI

Если мы не записали настройки WIFI при загрузки или нам надо поменять настройки вайфай подключаемся к PiKVM через ssh или веб интерфейс заходим в терминал и делаем следующие команды:

su

чтобы наверняка выполнять команды от администратора

rw

чтобы включить режим записи настроек

nano /etc/systemd/network/wlan0.network

открываем файл или создаем если не существует и заполняем его следующими настройками:

[Match]
Name=wlan0

[Network]
DHCP=yes
DNSSEC=no

[DHCP]
ClientIdentifier=mac
RouteMetric=50

сохраняем и делаем настройки самой сети WIFI не забудьте поменять mynet и password на свои от своего WIFI:

wpa_passphrase 'mynet' 'p@s$$w0rd' > /etc/wpa_supplicant/wpa_supplicant-wlan0.conf

дальше делаем правильные права на файл:

chmod 640 /etc/wpa_supplicant/wpa_supplicant-wlan0.conf

активируем настройки

systemctl enable wpa_supplicant@wlan0.service

выходим из режима записи

ro

теперь можно перезагрузить и после перезагрузки wifi должен подсоедениться, если нет попробуй повторить.

Static IP

чтобы сделать для LAN статический IP это же применимо и для WIFI нам надо поменять настройки. Для начала переходим в режим записи

rw

потом открываем файл eth0.network или для WIFI wlan0.network

nano /etc/systemd/network/eth0.network

меняем тут DHCP=yes на DHCP=no и добавляем статические данные IP выглядит оно примерно так:

[Network]
DHCP=no
DNSSEC=no
Address=192.168.178.20/24
Gateway=192.168.178.1
DNS=192.168.178.1
DNS=8.8.8.8

сохраняем и выходим из режима записи:

ro

теперь надо перезагрузиться и настройки применятся. Готово

Сообщение PiKVM — Делаем KVM на основе Raspberry Pi 4 появились сначала на Wiki | PWODEV.

Устанавливаем Centos 9, при установке не забываем подправить диск так чтобы root занимала все пространство.

После установки заходим по временному паролю через ssh и меняем пароль:

passwd

обновляем centos до последней версии и устанавливаем нужные нам приложения:

yum update -y && yum upgrade -y && yum makecache
yum -y install epel-release
yum -y install nano htop mc wget git chrony

перепроверяем что никакие порты не заняты, должно вывести пустоту

ss -tlpn | grep -E -w '25|80|110|143|443|465|587|993|995|4190'

Если нет, стопаем сервисы что юзают эти порты. Скорее всего это порт 25 и это postfix.

systemctl stop postfix
yum remove postfix -y

дальше проверяем чтобы часы правильно работали и синхронизировались:

timedatectl status

обрати внимание чтобы было время правильное и включена синхронизация.

Установка докер:

сначала ставим докер:

curl -sSL https://get.docker.com/ | CHANNEL=stable sh
systemctl enable --now docker

Проверяем установлен ли Selinux.

rpm -qa | grep container-selinux

Эта команда должна что-то вывести, если выводит — идем дальше, если нет, то нужно установить Selinux. Теперь проверяем включен ли Selinux в докере:

docker info | grep selinux

Если выключен, а он обычно выключен то открываем файл:

nano /etc/docker/daemon.json

и добавляем текст:

{
  "selinux-enabled": true
}

после этого сохраняем и перезапускаем докер:

systemctl restart docker

теперь еще рас проверим докер на наличие selinux

docker info | grep selinux

теперь выведет selinux и значит мы с докером закончили

Установка Mailcow

теперь делаем следующие команды:

su

потом

umask

должно вывести 0022, дальше скачиваем с гита mailcow и запускаем установщик:

git clone https://github.com/mailcow/mailcow-dockerized /home/mailcow
cd /home/mailcow
./generate_config.sh

1. Первое что спросит это hostname. Тут пишем название вашего домена для сервера mail.youdomain.com.
2. таймзона — жмем энтер
3. жмем 1 чтобы использовать стабильную версию

Теперь добавляем сразу редирект http -> https для этого создаем файл:

nano data/conf/nginx/redirect.conf

заполняем:

server {
  root /web;
  listen 80 default_server;
  listen [::]:80 default_server;
  include /etc/nginx/conf.d/server_name.active;
  if ( $request_uri ~* "%0A|%0D" ) { return 403; }
  location ^~ /.well-known/acme-challenge/ {
    allow all;
    default_type "text/plain";
  }
  location / {
    return 301 https://$host$uri$is_args$args;
  }
}

Если надо подправить настройки идем сюда:

nano mailcow.conf

Тут можно добавить список дополнительных доменов если надо, через запятую пишем домены в этих параметрах:

ADDITIONAL_SAN=mail.secondemail.com,mail.secondemail1.com
ADDITIONAL_SERVER_NAMES=mail.secondemail.com,mail.secondemail1.com

или разрешить администратору заходить в почты всех юзеров, параметр:

ALLOW_ADMIN_EMAIL_LOGIN=y

Теперь можно скачать контейнеры и запускать докер.

docker compose pull
docker compose up -d

Лог посмотреть можно следующей командой:

docker compose logs --tail=200 -f acme-mailcow

как только контейнеры стартовали идем в браузер по IP на котором запустили сервак: https://1.2.3.4 Стандартный пароль в админку:
admin
moohoo

Меняем сразу пароль и добавляем в админке домены. После этого берем ключ dkim и идем настраивать DNS:

A    mail    1.2.3.4
AAAA    mail    1111:111:111
CNAME    autodiscover   mail.youdomain.com. 
CNAME    autoconfig    mail.youdomain.com. 
MX 10    @    mail.youdomain.com. 
TXT    @    v=spf1 a mx ip4:1.2.3.4 ip6:1111:111:111 -all
TXT    _dmarc    v=DMARC1; p=none; sp=none; rua=mailto:postmaster@youdomain.com; ruf=mailto:postmaster@youdomain.com; fo=1; ri=86400;
TXT    dkim._domainkey    v=DKIM1;k=rsa;t=s;s=email;p=****************

вместо 1.2.3.4 надо написать IPv4 и вместо 1111:111:111 — IPv6 адрес вашего меил сервера и вместо youdomain.com надо написать ваш домен к которому делаем изменения DNS, и вместо **************** dkim ключ который мы получили в админке.

После этого можно добавлять почтовые адреса и тестировать почту с помощью сервиса https://www.mail-tester.com/

Проверяем правильность по следующим сервисам:

• https://mxtoolbox.com/ или https://intodns.com/ проверка DNS записей
• https://dmarcly.com/tools/ и https://powerdmarc.com/analyzer/— еще сервисы для проверки правильности DNS
• https://www.mail-tester.com/ — тест отправки мейла

Сообщение Поднимаем Mailcow на Centos 9 появились сначала на Wiki | PWODEV.

nano /etc/ssh/sshd_config

в этом файлике находим строки и раскомментируем и исправляем если нужно. Должно быть так:

PermitRootLogin yes

потом редактируем это:

PasswordAuthentication yes

после этого перезапускаем ssh:

systemctl restart sshd

теперь можно залогинеться удаленно через ssh с помощью root.

Сообщение Debian ssh root — Permission denied, please try again. появились сначала на Wiki | PWODEV.

Для этого заходим на наш сервер centos 7 где установлен наш докер с Mailcow и создаем файлик:

nano /home/backup.sh

Содержимое файлика следующее:

lftp -c "set ftp:list-options -a;
set ssl:verify-certificate no;
open ftp://username:password@backupserverhost;
lcd /home/mail_backup;
cd /backupserver/backup/dir;
mirror --reverse --parallel=3"

Заменяем username, password, backupserverhost и пути с которого (lcd) и на который (cd).

Теперь нам надо установить утилиту для работы с FTP в Centos 7

yum install lftp -y

После этого меняем права файлу и можем запустить наш скрипт и проверить что все нормально закачивается на наш другой сервер.

chmod +x /home/backup.sh
/home/backup.sh

Если все хорошо, то можно запустить cron

crontab -e

в конец добавляем

0 1 * * * /home/backup.sh

Готово, учитывая что мы создаем бекап по крону каждый день в 0:00, с помощью нашего сегодняшнего крипта, мы будем закачивать на FTP бекап каждый день в 1:00, то-есть через час после локального бекапа. Работу выполнили успешно, теперь можно отдохнуть 🙂

Сообщение Автоматически отправляем Mailcow backup по FTP появились сначала на Wiki | PWODEV.

Мы будем работать с файлом настроек mailcow:

cd /opt/mailcow-dockerized/
nano mailcow.conf

в этом файле проверяем самый первый параметр: MAILCOW_HOSTNAME=mail.yourdomain.com

Этот параметр и будет главным доменом нашего почтового сервера.

Дальше идем в DNS настройки домена и добавляем следующие записи по документации:

• MXE Record | тут вводим IP адрес сервера для примера буду использовать 111.111.111.111
• A Record | Host: mail | Value: 111.111.111.111
• CNAME Record | Host: autoconfig | Value: mail.yourdomain.com
• CNAME Record | Host: autodiscover | Value: mail.yourdomain.com
• TXT Record | Host: @ | Value: v=spf1 a mx ip4:111.111.111.111 ~all
• TXT Record | Host: _dmarc | Value: v=DMARC1; p=reject; sp=quarantine
• TXT Record | Host: dkim._domainkey | Value: (эту строку мы берем из админки->глобальные настройки->ARC/DKIM ключи)
• PTR или оrDNS надобно тоже настроить, это делается на стороне поставщика IP адреса

После этого можно создать в админке меил адрес и попробовать протестировать правильность заполнения DNS записей. Учитывайте что применение настроек DNS может сразу не отобразиться, и вам нужно будет подождать немного.

Сайт для тестирования мейла:

• https://www.mail-tester.com/
• https://dmarcian.com/domain-checker

Добавляем дополнительный мейлы:

Инструкция в официальной документации

Mailcow поддерживает мультидомены Multidomain. То есть мы можем на нашем сервере хостить сразу несколько мейл доменов. Это делается очень легко, для начала нам нужно так же как и в предыдущем шаге заполнить настройки DNS на DNS сервере. После этого заходим опять в настройки mailcow:

cd /opt/mailcow-dockerized/
nano mailcow.conf

И дописываем все наши дополнительные мейлы в параметрах ADDITIONAL_SAN и ADDITIONAL_SERVER_NAMES через запятую:

ADDITIONAL_SAN=mail.secondemail.com

ADDITIONAL_SERVER_NAMES=mail.secondemail.com

После этого рестартим сервис:

docker-compose restart acme-mailcow
docker-compose up -d
# Now check the logs for a renewal
docker-compose logs --tail=200 -f acme-mailcow

Теперь можем так же как и в предыдущем случае протестировать мейлы.

Сообщение Добавляем домен в mailcow появились сначала на Wiki | PWODEV.

yum update -y && yum upgrade -y && yum makecache
yum install epel-release -y
yum install nano htop mc wget git -y

Тут мы обновили обновления, и приложения которые возможно нам понадобятся. Дальше скорее всего понадобится установить локализацию. Открываем или создаем файл:

nano /etc/environment

Внутри этого файла пишем следующее:

LANG=en_US.utf-8
LC_ALL=en_US.utf-8

Docker

На этом мы закончили подготовительные работы. Переходим к установке докера и докеркомпоза:

curl -sSL https://get.docker.com/ | CHANNEL=stable sh
systemctl enable --now docker
curl -L https://github.com/docker/compose/releases/download/$(curl -Ls https://www.servercow.de/docker-compose/latest.php)/docker-compose-$(uname -s)-$(uname -m) > /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

Selinux

теперь надо проверить настройку selinux

rpm -qa | grep container-selinux

должно хоть что-то вывести, значит работает selinux, дальше проверяем наличие selinux в докере командой:

docker info | grep selinux

скорее всего пусто будет, ничего не выведет. Если выводит пустоту то открываем файлик:

nano /etc/docker/daemon.json

и заполняем содержимим:

{
  "selinux-enabled": true
}

Сохраняем и перезагружаем докер:

systemctl restart --now docker

Дальше проверяем команду:

su
umask

должно вывести 0022, если все ок идем дальше.

Установка Mailcow

Теперь устанавливаем Mailcow:

cd /opt
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.sh

Вводим название домена: mail.***yourdomain.com в соответствии с вашим доменом. в самом начале лучше добавить mail.*****, также заполняем все что просит установщик

Теперь нужно остановить стандартный почтовик postfix и уберем его сразу из автозагрузки

systemctl stop postfix
systemctl disable postfix

Дальше делаем так чтобы у нас по умолчанию всегда был HTTPS, для этого создаем файл:

nano data/conf/nginx/redirect.conf

С содержимым файла:

server {
  root /web;
  listen 80 default_server;
  listen [::]:80 default_server;
  include /etc/nginx/conf.d/server_name.active;
  if ( $request_uri ~* "%0A|%0D" ) { return 403; }
  location ^~ /.well-known/acme-challenge/ {
    allow all;
    default_type "text/plain";
  }
  location / {
    return 301 https://$host$uri$is_args$args;
  }
}

теперь можно запускать докер:

docker-compose pull
docker-compose up -d

после этого наш почтовый сервер должен начать работать. Заходим по адресу куда установили сервер: mail.***yourdomain.com

Вводим начальный логин admin и пароль moohoo

Меняем пароль админу. И делаем нужные нам настройки.

Переносим главную папку

Давайте перенесем рабочую папку мейл программы. Официальная документация тут

1. Для начала остановим докер
2. Создадим новую рабочую папку в /home/mail_data
3. Скопируем старую папку в подпапку в ***_data_backup
4. Залинкуем старую папку в новую в /home/mail_data
5. Запустим докер.

Все это одним кодом:

cd /opt/mailcow-dockerized/
docker-compose down
mkdir /home/mail_data
mv /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data_backup
ln -s /home/mail_data /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data
docker-compose up -d

Готово, теперь наш меил сервер будет сохранять свои данные в /home/mail_data

Это же желательно повторить для solr, а лучше перенести весь докер в папку /home/docker вот статья

Бекап

Документация для Backup и Restore. Мы создадим папку в которой будут храниться наши бекапы:

mkdir /home/mail_backup

И теперь закинем в эту папку бекап, если нужен и можем восстановить все с бекапа:

./helper-scripts/backup_and_restore.sh restore

Теперь когда у нас все восстановилось, лучше всего сделать автоматический бекап. Для этого добавим в крон наши бекапы:

crontab -e

дописываем сюда скрипт для автоматического бекапа каждый день в 0:00, и будем хранить бекапы только последних 10 дней

0 0 * * * cd /opt/mailcow-dockerized/; MAILCOW_BACKUP_LOCATION=/home/mail_backup /opt/mailcow-dockerized/helper-scripts/backup_and_restore.sh backup all --delete-days 10

Готово. Можем пользоваться нашим новым мейл сервером

Сообщение Поднимаем свой меил сервер на mailcow появились сначала на Wiki | PWODEV.

Остановить сервисы Solr

sudo service solr stop

Запустить сервисы Solr

sudo service solr start

Сообщение Solr cli команды появились сначала на Wiki | PWODEV.

Имеется Synology DS918+ у него есть 2 LAN гигабитных порта. По умолчанию 1 порт работает как подстраховка на случай если один LAN порт перестанет работать, у нас есть LAN другой. Это означает что скорость работы с Synology у нас не привышает 1 гигабит. Получается другой порт просто простаивает. В этом никакого смысла нет, поэтому задействуем этот порт с помощью агрегации портов. обьеденим эти 2 гигабитных порта чтобы скорость коммуникации с Сайнолоджи было 2 гигабита.

Ребята из Synology уже продумали этот вопрос и предоставили свои настройки по этому вопросу. Заходим в панельку Сайнолоджи, открываем Панель управления -> Сеть -> Сетевой интерфейс. Тут нужно либо создать Bond либо редактировать уже существующий Bond. Мы должны попасть на этот скрин:

Если ты заметил то у меня не выбранный ни один параметр. Это потому что ни один из этих параметров не делает то что мы хотим, а именно сбалансировать трафик между LAN портами.

Режимы Link Aggregation имеющиеся в Synology:

Для примера будем использовать Synology NAS подключенный двумя LAN портами к роутеру и 1 или 3 ноутбука, подключенных по LAN или WIFI к роутеру. Представим что каждый ноут может качать по 1,5 гигабита каждый. Рассматривать будем 2 примера к каждому режиму:

1. 1 ноут качает с NAS
2. 3 ноута качают с NAS

• Адаптивное распределение нагрузки — распределяет нагрузку по клиенту.
  • Пример 1:
    LAN 1 будет загружен на 100% (1 Гбит/с) ноутом
    LAN 2 будет пустовать
    Вывод: NAS отдает данные со скоростью 1 Гбит/с
  • Пример 2:
    LAN 1 работает на 100% — 1 Гбит/с
    LAN 2 выдаст тоже 100% (1 Гбит/с)
    Вывод: NAS отдает данные со скоростью 2 Гбит/с
• IEEE 802.3ad Dynamic Link Aggregation — на практике делает то же самое что и предыдущий пример. Но требует настройки объединения портов на роутере.
• Распределение XOR — на практике то же что и предыдущий пример. Но требует еще больше настроек роутера и НАС сервера
• Активно/Режим ожидания — это самый бредовый режим, означает что один порт будет страховать другой порт, если тот выйдет из строя.

Исходя из этого всего выходит что всегда один из LAN портов будет загружен на 100% а другой по надобности например 20%. Но нет режима где скорость распределяется равномерно, загружая оба канала на 50% — Adaptive Load Balancing.

Как включить скрытый режим делающий равномерное распределение трафика по LAN портам Synology

Есть спасение ребята! Synology работает на LINUX, а это означает что мы уже по умолчанию имеем нужный нам режим. Он скрытый не показывается в панельке Synology. Его просто нужно активировать через командную строку. Заходим в наш NAS админом через SSH и делаем следующие команды:

Для начала редактируем файл настройки сети. У меня это ifcfg-bond0 у вас может быть ifcfg-bond1.

sudo nano /etc/sysconfig/network-scripts/ifcfg-bond0

Разумеется редактор nano должен быть установлен.

В файле ищем строку BONDING_OPTS и там параметр mode=6 или любой другой и меняем это значение в mode=0 и сохраняем файл.

Содержимое файла должно получиться примерно следующее:

DEVICE=bond0
BOOTPROTO=dhcp
ONBOOT=yes
IPV6INIT=dhcp
IPV6_ACCEPT_RA=1
BONDING_OPTS="mode=0 use_carrier=1 miimon=100 updelay=100 lacp_rate=fast"
USERCTL=no

Следующий шаг это перезапустить сеть командой:

sudo /etc/rc.network restart

Готово.

Теперь в DSM админке Synology в настройках агрегации, ты видишь такой же скриншот что я привел в самом начале. Выбранного режима нет. А при тестировании сети будет следующее:

• Пример 1:
  LAN 1 работает на 75% (0.75 Гбит/с) ноутом 1
  LAN 2 тоже работает на 75% (0.75 Гбит/с) ноутом 1
  Вывод: NAS отдает данные со скоростью 1.5 Гбит/с то-есть максимум что может получить ноут в нашем тесте.
• Пример 2: тут ничего не поменяется.
  LAN 1 как и раньше работает на 100% (1 Гбит/с)
  LAN 2 также 100% (1 Гбит/с)
  Вывод: NAS отдает данные со скоростью 2 Гбит/с

Это именно то что мы хотели получить. Вот и решили мы эту задачу 🙂 Жду от тебя фитбека получилось ли у тебя так же хакнуть Synology?

Сообщение Равномерное распределение трафика по LAN портам Synology появились сначала на Wiki | PWODEV.