Лига Сисадминов

Что понадобится:

1. Собственный сервер с ОС Ubuntu 22 на борту
   2. Доменное имя - ниже расскажу где как и забесплатно
   3. 10 минут времени на настройку и небоязнь подключаться по ssh, нужно будет выполнить несколько команду, всю настройку я подготовил и завернул в простые башскрипты выложенные на гитхаб

Пункт 1

И так, нам понадобится сервер, где купить и как купить решайте сами. RuVDS, VDSina, Veesp т.д.
Можете воспользоваться моей реферальной ссылкой на Veesp, в благодарность так сказать. Как купить у них я рассказывал в прошлой статье.

В общем покупаем или не покупаем сервер, находим его IP адрес и пароль пользователя root в письме от провайдера или панели управления вашего хостинга.

Пункт 2

Тут нам понадобится доменное имя, но бесплатных доменных имен второго уровня к сожалению не бывает, зато есть бесплатные доменные именя третьего уровня, или субдомены. Для этих целей более чем и главное бесплатно.

Идем на https://www.duckdns.org/ и авторизуемся одним из предложенных способов, есть Google, persona, github или twitter

Далее придумываем своему серверу доменное имя, нажимаем кнопку add, если такой субдомен свободен то он появится в списке ниже, если нет нужно будет придумать что-то еще, главное что бы вы легко его запомнили. Потом в списке вводим IP адрес вашего сервера и нажимаем кнопку update ip.

Доменное имя получили и настроили, теперь можно проверить заработало ли оно, открываем терминал или cmd в windows и пробуем пропинговать его командой:

ping test-vps.duckdns.org

Вместо test-vps нужно указывать домен который вы придумали. Если видите ответы от IP адреса вашего сервера как на скришоте снизу значит все хорошо и можно переходить к следующему шагу

Пункт 3

Подключаемся к вашему серверу по SSH, как это сделать можно узнать в интернетах и приступаем к настройке
1. Скачиваем скрипты и заходим в папку со скриптами

git clone https://github.com/mozaroc/bash-hooks.git

cd bash-hooks

Если git не установлен, то его нужно установить

apt-get install git -y

2. Выдаем права на исполнение

chmod +x cert-bot.sh dnsdist.sh wire-guard.sh

3. Запускаем первый скрипт, который установит установит необходимое ПО для получения SSL сертификата, получит его и настроит автопродление

./cert-bot.sh test-vps.duckdns.org

test-vps.duckdns.org нужно заменить на ваше доменное имя полученное ранее

4. Запускаем второй скрипт, который установит и настроит необходимое ПО для DoH

./dnsdist.sh test-vps.duckdns.org

Опять для скрипта указываем доменное имя, что бы все прошло хорошо. Данный скрипт установит DNS load balancer dnsdist. На обычные DNS запросы он отвечать не будет, только по протоколу HTTPS, в качастве аплинков указан набор публичных открытых DNS серверов, каждый следующий запрос будет отправляться на случайно выбранный сервер из списка

5. Запускаем третий скрипт, он установит и настроит Wireguard и WGdashboard для управления
Важно, если у вас уже есть установленный Wireguard или Wireguard и WGdashboard, то скрипт может не отработать, либо сотрет текущие настройки, лучше запускать скрипт на чистой системе.

./wire-guard.sh test-vps.duckdns.org

Если же вы все равно хотите его запустить то рекомендую забекапить настройки Wireguard например вот так:

mkdir -p /root/backup
cp -r /etc/wireguard/* /root/backup
cp /wgdashboard/src/wg-dashboard.ini /root/backup/

А после выполнения скрипта положить бекапы на место

rm -rf /etc/wireguard/*

rm -rf /wgdashboard/src/wg-dashboard.ini

cp -r /root/backup/* /etc/wireguard/

cp /root/backup//wg-dashboard.ini /wgdashboard/src/wg-dashboard.ini

wg-quick down wg0

wg-quick up wg0

systemctl restart wg-dash

На этом можно считать настройку сервера законченной, теперь к интерфейс WGdashboard можно зайти по доменному имени, https://test-vps.duckdns.org:10086, ни каких ошибок сертификата и прочего. Какие настройки нужно произвести в панели управления и настроить клиентские подключения можно посмотреть в моей прошлой статье

Настройка DoH в браузере

Теперь настроим то ради чего была написана эта статья

Открываем настройки браузера, в поле поиска вводим dns. Я покажу на примере Firefox, в Chrome и Opera настройки примерно в том же месте и выглядят примерно аналогичным образом.

Ставим галочку Enable DNS over HTTPS, в поле Use Provider выбираем Custom, в поле Custom вводим адрес нашего сервера https://ДОМЕННОЕ-ИМЯ-ВАШЕГО-СЕРВЕРА/dns-query
Нажимаем ОК

Если не хотите делать свой сервер вполне можно остаться на дефолтном, но включить этот функционал я рекомендую в любом случае.

Проверить работу можно здесь
Заходим, нажимаем большую оранжевую кнопку Check My Browser, в результатах должно быть примерно такое:

Вот эти три галочки должны стоять, там есть еще четвертая, но на нее можно не обращать внимания.

Вот собственно и все, спасибо за внимание.

Не расширялся - с одной стороны нанимать сотрудников и мой простой ИП становился сложным, да и компании «по знакомству» косяком не шли, не та воронка.

Джуны, мидлы, HR, собеседования….. и другие страшные слова, те, которые меня не касались с тех лет совсем (а до 2009 года их и не было чтоб вот на слуху конкретно). Я на ХХ зарегистрировался на той неделе первый раз за вообще! По молодости на джоб.ру был, помнится))

Первый звоночек прозвонил в 2017 году, когда одна из моих компаний покрупнее стухла, причем с моим баблом. Тогда я и задумался, что, по сути, рынок обо мне не знает, я вроде и тут и нигде. В каком-то вакууме блин. Компанию ту кое-как заменил, но осадочек остался.

В очередной раз задумался, что нужно что-то менять. Но семья, бытовая всякая тема, машину почини, то се, увлечения какие-то свои, в общем прокрастинация по теме. Но «лавешка мутится» и это главный ДЕмотиватор.

А потом случилась пандемия.

Из интересного – к тому времени я все свои компании научил работать на удаленке, чтоб не дергались они в офис когда можно сделать и удаленно (и я заодно).

И когда кругом активно что-то мучались с переходом, мои даже не заметили) Правда, похоже, и не оценили….

В общем пандемия мне не мешала, но начала подпиливать моих работодателей…..

А в прошлом году «специальная операция» их почти добила.

Параллельно понимаю что я отстал в плане каких-то развитий чтоль, стал как старый комп – дело в том, что подобный бизнес, он имеет потолок, он не особо развивает, охватывается достаточно узкий круг задач, круг тоже развивается, но это не то. Новая версия 1с не сильно напрягает тертого сисадмина, так сказать (можно сделать что-то новое, но это только для себя и то, если время есть).

Имею пачку компетенций, их много, но они все такие, или специфические, или глубины на сколько нужно, неглубоко. Я хорошо/быстро/качественно умею малый бизнес-малый офис, небольшие компании, их потребности я уже переварил, ну и вот.

И встал я перед интересным выбором.

• Перестать быть временно it, и стать маркетологом каким-то, сделать сайт, дать рекламу, искать компании (я пока не знаю насколько это сейчас востребовано), не сидеть ровно, стало некуда сидеть.

Или (читаю сейчас треды, где айтишник в 35 уже никому не нужен, если он ниже мидла+):

• «Зайти в айти», еще раз, в 42 (о чем пожалуй нужен еще один пост).

5. Добавление элемента в temporary_ipset с таймаутом, отличным от заданного, невозможно через firewall-cmd. В этом случае нам также поможет утилита ipset -
"ipset add temporary_ipset 11.12.13.144 timeout 500".

6. Чтобы переопределить таймаут уже добавленного элемента, необходимо через утилиту ipset сначала удалить элемента, а после добавить с иным таймаутом.

(Небольшой бонус)
7. Удаление temporary_ipset осуществляется уже стандартно -
"firewall-cmd --permanent --delete-ipset=temporary_ipset".
После необходимо выполнить "firewall-cmd --reload". Если этого не сделать, то ipset всё ещё будет доступен через одноимённую утилиту.

Если по каким-то причинам нежелательно проводить reload, то исполняем команду удаления ipset-а (выше), а после удаляем temporary_ipset посредством команды
"ipset destroy temporary_ipset".