На главную

Настройка каскадного Amnezia VPN в BeAdmin

Пошаговое руководство: как собрать каскад Amnezia из двух серверов BeAdmin — узла входа и узла выхода.

В каскадном режиме две независимые установки BeAdmin работают как единый маршрут: устройство подключается к ближнему серверу, а реальный выход в интернет происходит на дальнем. К нему прибегают, когда одиночного сервера AmneziaWG уже недостаточно — его IP стал недоступен или вам просто нужно, чтобы трафик выходил в определённой стране. Разнеся вход и выход по двум сетям, вы добиваетесь того, что проблема на одном конце не тянет за собой другой.

Как работает каскад

Обычно клиент AmneziaWG и открытый интернет встречаются в одной точке — на вашем сервере. Каждый сайт, который вы открываете, фиксирует IP этого сервера, а провайдер видит подключение к нему. Каскад разносит эти две роли:

  • Узел входа — та сторона, которую наблюдает ваш провайдер. В канале это просто обфусцированный трафик AmneziaWG, который трудно отличить от случайного шума.
  • Узел выхода — та сторона, которую видит конечный сайт. Сайты фиксируют запрос как пришедший с IP этого узла, как правило в другой сети и в другой стране.

Слоёв уровня Tor это не даёт — здесь один-единственный дополнительный узел, ровно чтобы сменить выходной IP, и не более того.

Роль задаётся пользователю, а не серверу

Каскад настраивается для каждого пользователя по отдельности, а не включается на всю установку. На одном сервере одновременно уживаются обычные пользователи, узлы входа и узлы выхода — и ничто не мешает одной установке быть входом для одних цепочек и выходом для других.

Что понадобится

  • Два сервера BeAdmin в разных локациях. Каскад оправдывает себя только тогда, когда его концы стоят в разных сетях, так что одной машиной не обойтись. Установите модуль Amnezia на оба — назовём их установка A (вход) и установка B (выход).
  • Узел входа держите ближе к пользователю, в идеале в той же стране. Именно это плечо устройство держит открытым, поэтому чем оно короче, тем стабильнее связь. Дальний сервер становится узлом выхода — его выбирают ради того IP, который вы хотите показать интернету.
  • Понадобятся права на редактирование в обеих панелях. Автоматического связывания нет — вы соединяете их вручную, перенося ссылку из одной панели в другую.

Для каскада нужно два пользователя

Каждая цепочка стоит двух пользователей — узла выхода на одном сервере и узла входа на другом, — и каждый занимает слот в лицензии того сервера, где он живёт. Нужен второй каскад? Это ещё по лицензии на каждый сервер.

Ещё не обзавелись двумя серверами? Fornex сдаёт VPS на NVMe с полным root-доступом в целом ряде стран — выбирайте локации под свою задачу: одну поближе к пользователю, другую под выход. Заказать VPS.

Создание узла выхода на установке B

Связывание идёт в одну сторону, и вы управляете им вручную: узел выхода выпускает ссылку awgmh://…, которую вы переносите и вставляете в узел входа на другом сервере. Сначала собирайте выходной конец, потом входной.

  1. На установке B откройте модуль Amnezia и нажмите Создать пользователя.
  2. В поле Режим работы выберите Каскад — появится селектор Роль в каскаде; выберите Узел выхода. Заполните остальные поля и сохраните.
  3. У узла выхода нет ни собственной конфигурации, ни QR-кода; в раскрытой строке так прямо и сказано — пометка о том, что настроек подключения у него нет. Так и задумано: он лишь передаёт входящий трафик дальше и сам никуда не подключается.
  4. Нажмите Ссылка для узла входа. Панель соберёт ссылку awgmh://… и скопирует её в буфер обмена — в ней зашиты параметры подключения этого узла. Передайте её на установку A любым удобным способом.

Раскрытая строка узла выхода Amnezia: заглушка вместо QR-кода и кнопка «Ссылка для узла входа» Строка узла выхода: вместо QR-кода — кнопка «Ссылка для узла входа»

Создание узла входа на установке A

  1. На установке A откройте модуль Amnezia и нажмите Создать пользователя.
  2. В поле Режим работы выберите Каскад, затем в поле Роль в каскадеУзел входа.
  3. Появится поле Ссылка на узел выхода — вставьте в него ссылку awgmh://… из предыдущего шага.
  4. Заполните остальные поля и сохраните.

Диалог создания узла входа Amnezia: режим «Каскад», роль «Узел входа» и поле «Ссылка на узел выхода» Создание узла входа: режим «Каскад», роль «Узел входа» и вставленная ссылка awgmh://

Со ссылкой можно не спешить

Ссылку на узел выхода можно вставить как при создании пользователя, так и позже — то же поле есть в диалоге Редактировать пользователя у узла входа.

В отличие от своего выходного собрата, узел входа — обычный, подключаемый пользователь. Разверните его строку, и вы найдёте два QR-кода — по одному на вкладках AmneziaVPN и AmneziaWG — и файл .conf для скачивания. Их вы выдаёте конечному устройству ровно так же, как любому пользователю; дальше трафик пойдёт по цепочке сам.

Наши услуги и сервисы

ХостингРаботает на сверхбыстрых NVMe дисках. Подходит для сайтов любой сложности.
Заказать
VPSМожно динамически менять параметры и гибко настраивать ОС. Бесплатное администрирование включено.
Заказать
Выделенные серверыДоступны различные сборки на базе Supermicro с процессорами Intel и AMD на борту.
Заказать

Проверка статуса каскада

Разверните строку узла входа — увидите плитку Статус каскада, которая показывает, дотягивается ли он до своего выхода. Когда связь настроена, рядом появляется плитка Узел выхода с его адресом.

Статус Что значит и что делать
Активен Связь есть, узел выхода отвечает — цепочка работает.
Проверка… Панель ещё опрашивает выход. Подождите немного — статус обновится сам.
Выход не привязан Ссылка ещё не вставлена. Откройте узел входа на редактирование и добавьте ссылку awgmh://….
Выход недоступен Выход не отвечает. Проверьте, что на установке B запущен сервис Amnezia, сервер включён и до него есть сеть, а его адрес и порт не изменились.

Превращение существующего пользователя в узел выхода

Роль узла выхода можно отдать и существующему пользователю: откройте Редактировать пользователя, переключите Режим работы на Каскад, а роль — на Узел выхода. Поскольку у узла выхода нет собственной конфигурации, панель остановится на подтверждении диалогом Превратить в узел выхода: сохранение сотрёт настройки подключения пользователя и оборвёт любую активную сессию. Если этим пользователем сейчас пользуются устройства, сперва взвесьте — после превращения импортировать им будет нечего.

Перепривязка и отвязка узла выхода

Выход, на который смотрит конкретный вход, не зафиксирован навсегда:

  • Навести его на другой выход. Сгенерируйте свежую ссылку awgmh://… на новом узле выхода и вставьте её в поле Ссылка на узел выхода в диалоге редактирования входа — прежняя привязка уступит место новой. Поле всегда открывается пустым: ссылка секретна и панель не показывает её повторно, поэтому текущая привязка указана в строке Привязан к … прямо над полем.
  • Сбросить выход совсем. В раскрытой строке узла входа нажмите Отвязать. Пользователь вернётся к прямому выходу в интернет — через сам узел входа, без второго сервера.

Смена выхода никак не затрагивает конечные устройства — у входа остаются те же QR-коды и .conf, так что переимпортировать ничего не нужно.

Чего каскад не делает

  • Не сливает две панели в одну. A и B остаются отдельными установками, и каждая связь прокладывается вручную. Обратного потока тоже нет — узел выхода понятия не имеет, какие входы его питают.
  • Это не анонимность. Всё, что видит посетитель, — IP узла выхода: вы сменили адрес, а не стёрли свой след.

Помощь

Если у вас возникли вопросы или требуется помощь, пожалуйста, свяжитесь с нами через систему тикетов — мы обязательно вам поможем!

Нужна помощь?Наши инженеры бесплатно помогут с любым вопросом за считанные минутыНаписать нам