Бесплатные Oracle Cloud серверы и Mikrotik — Site-to-Site VPN +16


Предоставление бесплатных серверов от малопопулярного облачного провайдера - это не новость. А новость в том, что теперь Oracle, вдобавок к двум едва живым бесплатным x86_64 серверам, открывает доступ к мощностям на ARM64 - для всех, даром, и пусть никто не уйдет обиженным!© Предложение по ARM значительно более производительное, чем на традиционных процессорах. Добавляя к этому остальные бесплатные "плюшки", я задаюсь вопросом: а зачем я до сих пор плачу за VPS и держу собственный серверок в подвале?! Все это можно выкинуть если удастся надежно и безопасно связать дата центр с домашней сетью.

Бесплатные плюшки (https://www.oracle.com/ru/cloud/free/#always-free)
Бесплатные плюшки (https://www.oracle.com/ru/cloud/free/#always-free)

Создание ресурсов

Описывать создание ресурсов (виртуальных машин, сетей и правил) я не буду, все это достаточно подробно описано в статье "Получаем бесплатные сервера в Oracle Cloud Free Tier". Замечу только, что для получения именно ARM64 инстанса нужно сменить Shape при создании Compute Instance на Ampere и выбрать выделяемые ресурсы (для бесплатного использования обещают 1 instance с 4 OCPU и 24 GB RAM или 4 кратно меньших, т.е. 1 OCPU/6 GB).

Выбор arm сервера
Выбор arm сервера

А что дальше?

После создания кластера из 6 4 виртуальных машин (UPDATE: спасибо @ky0. суммарный бесплатный объем диска 200 ГБ, а минимальный объем загрузочного диска для VM - 47 ГБ, т.е. больше 4 машин на Free Tier создать не получится. Официальное подтверждение тут), нагрузив их самой минимальной полезной нагрузкой стало понятно, что хочется большего. Хочется переложить все домашние сервисы на датацентры oracle, а именно: мелкие базы данных всех мастей, полезные при разработке ПО, сервер автоматизации рутины n8n, локальный gitea для backup'ов github репозиториев, Pi-hole и прочие прелести доморощенного хостинга. Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак.

Мне поможет VPN! Были рассмотрены варианты:

  • VPN сервер на Mikrotik + VPN клиент в облаке. Этот вариант требует либо настройки VPN на каждом интансе, либо настройки маршрутизации внутри облачной сети через один "главный" инстанс, а уже на нем VPN. Такой вариант мне не понравился тем, что требует настройки каждый раз при пересоздании инстанса, а пересоздавать их иногда хочется.

  • VPN сервер на одном из инстансов + VPN клиент на Mikrotik. Вариант уже лучше, но все равно, появляется "священная корова" - инстанс с VPN сервером, который нельзя убивать, с ним нужно очень аккуратно экспериментировать, и при пересоздании устанавливать все по новой.

  • Site-to-Site VPN. Нужно всего-то настроить VPN со стороны Oracle Cloud, настроить VPN на Mikrotik, профит! Проблема была только в одном. В сети нет инструкции как это делать. Будем разбираться... (тут важно отметить, что для реализации этого варианта обязательно наличие белого IP на вашем Mikrotik).

Итак, имея за плечами скромный опыт настройки VPN, понимание компьютерных сетей на университетском уровне и отсутствие опыта работы с облачными провайдерами, я приступил к настройке.

Хочу предостеречь профессионального читателя, в тексте могут быть и будут ляпы, связанные с пониманием предметной области в криптографии и маршрутизации, статья не претендует на энциклопедическую точность, а лишь призвана обобщить и сохранить тот опыт, который автор собрал, наступая на грабли и исследуя различные источники при создании Site-to-Site VPN на Mikrotik.

Настройка Oracle

На панели управления ресурсами есть мастер настройки сети, который проведет пользователя через все нужные шаги в одном месте.

Выбираем VPN:

Если вы создали хотя бы один вычислительный инстанс в инфраструктуре Oracle, у вас должен был автоматически создаться служебный элемент "Virtual Cloud Network", выберите его, если он не выбран в мастере. Если это первая попытка создания VPN, в мастере нужно выбрать создание нового "Dynamic Routing Gateway" (DRG), имя заполнится автоматически. При повторных попытках создания VPN можно выбирать существующий DRG.

Подсети и безопасность. Security List позволяет настроить правила файервола. Можно, конечно, выбрать автоматически создавшийся при создании первого инстанса Default Security List, но я рекомендую все же создать новый, чтобы иметь возможность независимо настраивать внутреннюю безопасность и внешнюю.

Следующий шаг позволяет выбрать настройки маршрутизации. Если читателю знаком протокол динамической маршрутизации BGP, он может быть настроен здесь. В статье же я ограничусь более простым вариантом - это статическая маршрутизация. Если у вас дома стоит Mikrotik, вы наверняка знаете какие подсети используются у вас во внутренней сети. В моем случае это 192.168.6.0/24, именно для нее Oracle будет отправлять трафик через VPN на ваш Mikrotik.

Со стороны Oracle создается два туннеля - это просто дублирование для надежности.

При желании можно настроить мониторинг состояния туннелей, это позволит получать уведомления при разрыве соединения, но я не стал этого делать.

Дальше, ответственный момент - указание IP-адреса вашего маршрутизатора. Проверить его можно на ifconfig.io или в любом другом подобном сервисе, тот же самый IP-адрес должен быть на одном из интерфейсов вашего маршрутизатора.

Проверьте, что все указано правильно.

Дальше запускается облачная магия.

Спустя несколько секунд ваш туннель со стороны Oracle готов, можно просмотреть его настройки.

Нажатие кнопки View VPN покажет нам состояние и адреса двух туннелей со стороны Oracle, не закрывайте страницу, адреса нам еще пригодятся.

Еще нам понадобится Shared Secret для одного (или каждого) туннеля, посмотреть его можно провалившись внутрь по ссылке с названием туннеля, там есть кнопка для отображения ключа.

Настройка Mikrotik

Самая трудоемкая и неудобная часть пройдена, осталось настроить домашний маршрутизатор. Здесь во многом мне помогла статья "AWS Site-to-Site VPN with MikroTik (RouterOS)", спасибо автору. Дополнить ее пришлось параметрами из документации Oracle и экспериментами.

Дальше я приведу необходимые параметры и рабочую очередность их настройки, без объяснения что это и зачем оно нужно, пытливый читатель сможет найти описания и объяснения в документации Oracle или Mikrotik.

# Настройки ipsec proposal должны соответствовать настройкам Phase2
# PFC group 5 = modp1536
/ip ipsec proposal add auth-algorithms=sha256 \
    enc-algorithms=aes-256-gcm lifetime=1h name=oracle-proposal-phase2 \
    pfs-group=modp1536

# Настройки ipsec profile должны соответствовать настройкам Phase1
/ip ipsec profile add dh-group=ecp384 enc-algorithm=aes-256 \
    hash-algorithm=sha384 lifetime=8h name=oracle-profile-phase1

# Здесь нужно вставить IP адрес
/ip ipsec peer add address=<Oracle VPN 1 IP> name=oracle1-peer \
    profile=oracle-profile-phase1

# Здесь нужно использовать Shared Secret который мы получили на последнем шаге настройки Oracle
/ip ipsec identity add peer=oracle1-peer \
    secret="<Oracle VPN1 Shared Secret>"

# В этот момент должна появиться запись в таблице Active Peers
/ip ipsec active-peers print
# #  STATE        UPTIME  REMOTE-ADDRESS
# 0  established  2m22s   <Oracle VPN 1 IP>

# Здесь нужно указать настройки из шага Subnets and Security 
# для Oracle подсети и из шага Site-to-Site VPN - Static Routing 
# для внутренней сети Mikrotik 
/ip ipsec policy add dst-address=<Oracle VCN подсеть> peer=oracle1-peer \
    proposal=oracle-proposal-phase2 \
    src-address=<Локальная подсеть Mikrotik> tunnel=yes

# В этот момент обновиться состояние policy
/ip ipsec policy print
# Flags: T - TEMPLATE; A - ACTIVE; * - DEFAULT
# Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
# #     PEER          TUNNEL  SRC-ADDRESS     DST-ADDRESS  PROTOCOL  ACTION   LEVEL    PH2-COUNT
# 0 T *                       ::/0            ::/0         all
# 1  A  oracle1-peer  yes     <Локальная подсеть Mikrotik>  <Oracle VCN подсеть>  all       encrypt  require          2

# Если вы используете NAT на своем Mikrotik (а вы, наверняка, используете)
# нужно добавить правило обхода NAT для IPSec трафика
/ip firewall nat add action=accept chain=srcnat \
    src-address=<Локальная подсеть Mikrotik> \
    dst-address=<Oracle VCN подсеть> place-before=0

Внимание! Важно чтобы правило обхода NAT было в списке выше, чем правило NAT c Action "masquerade"!

/ip firewall nat print
# Flags: X - disabled, I - invalid; D - dynamic
#  0    chain=srcnat action=accept src-address=<Локальная подсеть Mikrotik> dst-address=<Oracle VCN подсеть> log=no log-prefix=""
#  1    chain=srcnat action=masquerade ...
#  2    chain=srcnat action=masquerade ...
#  3 X  chain=srcnat action=masquerade ...
#  4 X  chain=dstnat action=dst-nat ...
#  5    chain=dstnat action=dst-nat ...

# Если это не так используйте команду
/ip firewall nat move numbers=<Номер правила> destination=0

Если все сделано правильно, то между сетями должна появиться связь, пинги и данные начнут ходить в соответствии с настройками выбранного SecurityList из Oracle Cloud.

При желании можно создать второй туннель, но Mikrotik не позволяет создать 2-х Policy с одинаковыми Source Address и Destination Address. Вариантов использования второго туннеля несколько:

  1. Задать для одного policy несколько peer, в таком случае первый будет основным, если он недоступен, используется следующий и так далее.

  2. Разделить вашу подсеть на сегменты, и использовать для них разные peer. Например, имея подсеть 192.168.Х.0/24, поделим ее на 192.168.Х.0/25 и 192.168.Х.128/25, дальше можно создать для каждой из них отдельный policy, тогда трафик будет балансироваться в зависимости от сегмента, в котором находится источник трафика.

  3. Если на вашем Mikrotik не одна сеть, а больше, то можно чередовать пиры для разных подсетей. Этот вариант также поможет балансировать трафик в зависимости от подсети из/в которую направлен трафик.

  1. Прописать дополнительный peer к существующему policy, в этом случае туннель будет активироваться при проблемах с основным peer.

  2. Разделить локальную или удаленную подсеть на 2 части (например 192.168.Х.0/24, можно поделить более мелкие сегменты 192.168.X.0/25 + 192.168.X.128/25) и использовать разные туннели для разных сегментов.

  3. Для тех у кого на Mikrotik настроена более чем одна сеть настроить разные сети через разные туннели.

# Создать Peer используя созданный ранее профиль
/ip ipsec peer add address=<Oracle VPN 2 IP> name=oracle2-peer \
    profile=oracle-profile-phase1

# Создать identity указав адрес второго туннеля со стороны Oracle
/ip ipsec identity add peer=oracle2-peer \
    secret="<Oracle VPN2 Shared Secret>"

# Вариант 1: добавить peer к существующему policy
# для получения номера правила: /ip ipsec policy print
/ip ipsec policy edit number=<Номер правила> peer
# В редакторе дописываем второго peer, чтобы получилось
# oracle1-peer,oracle2-peer
# Нажимаем Ctrl+O

# Вариант 3: добавить policy для другой подсети
/ip ipsec policy add dst-address=<Oracle VCN подсеть> \
    peer=oracle2-peer proposal=oracle-proposal-phase2 \
    src-address=<Другая локальная подсеть Mikrotik> tunnel=yes

Собственно, на этом все. Состояние туннелей можно контролировать на портале Oracle Cloud.




Комментарии (88):

  1. SuAlUr
    /#23943939

    Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак

    Инструкция нужная, спасибо. Как альтернатива - ZeroTier на каждую виртуалку Oracle - тоже достаточно быстро и гибко.

  2. NeoCode
    /#23944035 / +4

    А мне так и не удалось зарегиться на Oracle Cloud Free. Вроде и карту признали, и транзакция прошла, но результат нулевой:(

    • Dzzzen
      /#23944261 / +3

      Аналогично, успешно подтверждаю платеж по карте, ставлю галку Соглашение, нажимаю кнопку "Начать бесплатное пробное использование", и выдает ошибку:

      Не удалось завершить регистрацию. Распространенные ошибки при регистрации: (а) Использование предоплаченных карт. Oracle принимает только кредитные и дебетовые карты. (б) Преднамеренное или непреднамеренное маскирование местоположения или идентификационных данных. (в) Ввод неполных или неточных данных счета. Если вы допустили одну их вышеперечисленных ошибок, повторите попытку. В противном случае обратитесь в службу поддержки клиентов Oracle.

      Карты пробовал разных банков, данные указывал реальные, пробовал заходить и через vpn и напрямую. Одна и та же ошибка. В поддержку писать бесполезно, она не отвечает.

      • Evengard
        /#23945121 / +2

        Только что регистрировался, с первой попытки была такая же штука, а вот со второй (с той же карточкой, но я вбил почтовый адрес на английском языке вместо русского) всё сработало.

        Другая беда, что в выбранном мной регионе нету доступных мощностей...

      • onvova
        /#23947283 / +1

        Такая же ситуация.
        Поддержка правда ответила — Unfortunately, we are unable to resolve this or process the transaction. This is all the information we can provide.

      • VladimirKalachikhin
        /#23947285 / +1

        Сбербанк вполне подходит, причина неудачной регистрации, возможно, в отсутствии ресурсов в выбранном датацентре в момент регистрации. Можно выбрать другой датацентр, можно просто попробовать зарегистрироваться через пару дней.

        Я, лично, не мог зарегистрироваться в течение месяца, плюнул, а через неделю всё прошло без проблем. Но это было больше года назад. а сейчас машину на Ampere мне не удалось создать уже три раза: говорит, нет ресурсов, попробуйте позже.

      • fedorro
        /#23947543 / +1

        От бывших Я.Денег карта (пластик) прошла с первого раза, дело было летом, пару раз ещё чекнули списанием-возвратом, и с тех порт всё работает. Можно попробовать виртуальную от Ю-Мани.

        • Sad_Bro
          /#23949439

          у меня не вышло с Юмани, пластиком мастеркард, и с виртуальной от сбера тоже не вышло, на прошлой неделе пробовал(.
          Написал в сапорт, пока ответа нет.

    • artemkaxboy
      /#23944333 / +1

      От коллег тоже слышал жалобы. Меня проблема обошла стороной, все сработало с первого раза с виртуальной картой Mastercard от Тинькофф.

      • izogfif
        /#23945047

        с виртуальной картой

        А давно уже регистрировались? Виртуальные карты вроде бы живут пару месяцев от силы, а тут люди поговаривают, что Oracle раз в несколько месяцев берет 10 евро на on hold и возвращает обратно.

        Или же вы имели в виду не "виртуальная", а "обычная, просто когда оформлял карту, отказался от физического носителя - пластикового прямоугольника"?

        Не подскажете, что вы в полях "Billing address" указывали? И на каком языке - на русском или на английском? А то перерыл интернет, везде пишут, что в российских банках billing address не используется в принципе, а поле в форме регистрации обязательное, пустым оставить нельзя.

        • telpos
          /#23945333

          В приложении Тинкоффа можно дополнително выпускать и уничтожать несколько виртуальных карт и индивидуально настраивать лимиты (срок 8 лет).

          Про billing address не важно насколько оно обязательно, так как эмитент всё равно (вроде бы) не предоставляет эти данные эквайеру для проверки.

        • artemkaxboy
          /#23945605 / +2

          Регистрировался недавно, ещё триал не закончился.

          Карту выпускал в личном кабинете, как сказал @telpos их можно выпускать в любое время.

          В качестве адреса всегда в таких случаях всегда пишу настоящий город, а адрес Lenina, 1, ни разу не было проблем

          • Paranoich
            /#23946075

            А как вы заполняли адрес? Там и город указывать надо и сам адрес (3 поля, одно обязательное). Наверное, если бы я жил в Москве, например, и проблем бы не возникло. А у меня Московская область, район X, пгт (или деревня, не суть) Y, улица, дом. Что здесь город? Москва? X или Y?

            Мои данные не проходят, как не пробовал. Не подскажете?

    • Naglec
      /#23944851

      У меня так же

      • NeoCode
        /#23946753 / +1

        Может есть в сети какие-то форумы где это обсуждается? Я не могу даже предположить причину. Первая попытка - пытался использовать карту Qiwi, она оказалась предоплаченная. Затем взял дебетовую карту ВТБ, с ней все вроде как прошло и карту приняли, но дальше что-то пошло не так.

        UPD: вот сейчас решил повторить, чтобы подробнее написать сюда - и всё получилось! Единственная разница - вводил адрес в американском формате. Т.е. <Номер дома> <Название улицы> APT <Номер квартиры>

        • Dzzzen
          /#23946863

          А в самом первом пункте вы территорию "Россия" укзывали?

          • NeoCode
            /#23946879 / +1

            Да, конечно. А в качестве "домашнего региона" (это, как я понимаю, где физически будет сервер) указал Амстердам.
            Все же вопрос про форумы остается актуальным, т.к. опыта работы с такими виртуалками у меня нет.

            • Dzzzen
              /#23947431

              Короче, сейчас тоже указал адрес в американском формате, и все получилось. До этого месяц не получалось пройти процедуру регистрации.

    • tester_17
      /#23947291 / +1

      Пытался регаться с картами типа qiwi и яндекса - не давала, прокатила только карта сбера. После того как проверило карту (не помню сколько списывало/возвращало - какую то мелочь) что-то написало, не дословно, но где-то "проверятся/ожидается". Так висело около недели.. уже думал плюнуть и забить. Потом неожидано прилетает списание 11 долларов (или евро) и сразу возврат. После этого пустило в аккаунт и с теп пор все ок.

  3. Alekseyz
    /#23944195 / +1

    Примерно полгода использую Oracle Cloud Free для VPN https://github.com/hwdsl2/setup-ipsec-vpn полет нормальный, единственное что надо держать 10 евро на карточке, периодически проверяют твой баланс путем частичного списания

    • dartraiden
      /#23944601

      Уже год с лишним использую, на карточке всегда ноль (т.к. это карточка для покупок в тех местах, где не принимают «Мир» и на ней я деньги не храню), никаких проблем.

      • Alekseyz
        /#23945259 / +1

        Первые пару недель регулярно списывали и зачисляли обратно 5 евро. Сейчас успокоились, но все же держу на ней остаток

  4. AcidVenom
    /#23944237 / +1

    Вместо добавления разрешающего правила в НАТ, можно использовать ipsec-policy=out,none в основном правиле маскарада или SRC-NAT.

    • artemkaxboy
      /#23944305

      Спасибо! Обязательно попробую. Это будет удобней, т.к. сейчас приходится для каждой подсети микротика добавлять по правилу.

  5. solver
    /#23944243 / +11

    я задаюсь вопросом: а зачем я до сих пор плачу за VPS и держу собственный серверок в подвале?!

    Хочется переложить все домашние сервисы на датацентры oracle

    Хороший способ в один прекрасный момент оказаться с инфраструктурой, пусть и не такой большой, потерянной или нуждающейся в приличной оплате где-то во блаках)
    Такие бесплатные ресурсы хороши для совершенно незначимых вещей, экспериментов. Перенастроить которые не должно занимать много времени. Ну VPN там поднять для линых нужд, постоянно держа в голове, в любую секунду оно может отвалиться и надо будет что-то с этим делать.

    Но переносить всю личную инфру на халяву как-то стремнова-то) У меня вот не один день уйдёт на переподнятие всего, если эти облака "растворятся в воздухе".

    Ну и есть ещй такой немаловажный аспект, ИМХО. Как только все налягут на халяву, гоняя её и в хвост и в гриву, есть большая вероятность, что производитель прикроет эту самую халяву.

    • NAI
      /#23944275 / +1

      Если все правильно звернуть в Ansible\Terraform и прочие jenkins'ы c vagrant то перенос инфраструктуры становится не таким уж и страшным делом. Емко первый раз описать все что вам надо, зато потом вся инфраструктура поднимается в разы быстре

    • artemkaxboy
      /#23944277 / +1

      Да, такая опасность есть всегда, еще и санкции всякие. Тут только один рецепт, весь деплой скриптовать, я использую ansible, а все данные бэкапить.

    • vectorplus
      /#23944373

      Производитель обещает, что халява будет всегда.

      • ConstSe
        /#23944467 / +3

        Там есть небольшая хитрость: если у тебя создана и работает виртуалка, то она продолжает нормально жить после окончания пробного периода. Однако, стоит её удалить, и создать новую уже не получится - оно пишет, что свободных арм ядер нет и берите две машины на амд, а там два тормозных ядра и гигабайт оперативы. Формально всё в порядке, а по сути - маркетинговое налюбилово.

        • vectorplus
          /#23944475

          Спасибо, буду знать. То есть, вместо четырех слабых инстансов сделать один мощный не получится? Хитро.

          • NoOne
            /#23944491 / +1

            Что-то не то говорит человек выше. У меня с сентября работала виртуалка. Удалил в январе, создал две половинчатых вм, все ок. Поигрался, удалил, создал одну большую - тоже все ок, работает.

            Вероятно, можно попасть на такую ситуацию, когда пул всех бесплатных виртуалок в данной локации кончается, тогда новую не сможешь создать.

            • vectorplus
              /#23944503

              Возможно, не закончился пробный период?

              • NoOne
                /#23944535

                я ж написал - с сентября работала виртуалка ;) а триальный период, вроде как, месяц

              • dartraiden
                /#23944611

                Нет, там дело именно в свободных ресурсах в конкретном регионе в данный момент.

                Например, на прошлой неделе в Амстердама спокойно можно было создать максимально возможный ARM-инстанс.

                На Хабре была статья о том, как написать скрипт, который будет автоматически мониторить доступность халявы.

        • fedorro
          /#23947563

          А я вместо двух половинчатых собрал одну большую, через пол года, -при создании было сообщение что лимит исчерпан, и ядер и памяти, нооо ... кнопка создания была активна машина создалась, и работает уже два месяца, никаких списаний или даже проверок карты.

      • Areso
        /#23944979 / +1

        Там многих забанили слепые обезьянки, и формально претензии выставить нельзя.

        Плюс, я так уже обжегся с GCP, тоже обещали "бесплатно навсегда".

        Теперь плачу 3,5 доллара не облачному хостинг провайдеру в месяц и сплю спокойно :)

        • vectorplus
          /#23945023

          Так у GCP до сих пор есть free tier. Только он ограничен по времени в месяц.

          Free Tier resources are provided at intervals, usually monthly.

          У Оракла такого нет.

          • Chupaka
            /#23951585

            Что ещё за месяц? А то я не в курсе, и они до сих пор (много лет уже) бесплатно предоставляют мне машинку, и счёт выставляют только за сетевой трафик, несколько центов в месяц

            • vectorplus
              /#23951691

              Там ограничение по времени в месяц, сколько-то часов, не помню. После этого начинают денюжку снимать. Трафик, по идее, тоже бесплатный до определенного уровня.

              Upd: https://cloud.google.com/free/docs/gcp-free-tier#free-tier-usage-limits

              • Chupaka
                /#23951791

                Вот по вашей ссылке и читаю: ограничение - столько часов, сколько часов в текущем месяце. Т.е. если одна машинка будет круглосуточно работать - за рамки этого ограничения вы не выйдете. Где ж тут можно обжечься?

                • vectorplus
                  /#23951821

                  Сори, не знаю. У меня инстанс на GCP платный был.

  6. dartraiden
    /#23944635

    появляется «священная корова» — инстанс с VPN сервером, который нельзя убивать, с ним нужно очень аккуратно экспериментировать, и при пересоздании устанавливать все по новой.

    Существуют резервные копии загрузочных томов. Кроме того, том можно клонировать, это даже рекомендуется, когда хочется «поиграться»:
    Rapidly duplicate an existing environment. For example, you can use a clone to test configuration changes without impacting your production environment.

  7. dmbarsukov
    /#23944687 / +2

    Ходят слухи, что оракл иногда суспендит аккаунты без объяснения причин, например за использование на бесплатных виртуалках впн-сервера и жалоб на него DMCA.

    • BugM
      /#23945603 / +1

      Оракл. Корпорация тесно связанная с правительственными контрактами и всем таким. Это не секрет.

      Вы пытаетесь делать что-то хотя бы чуть-чуть незаконное в их локации на их мощностях. Зачем?

      • dmbarsukov
        /#23951549

        я написал "например". оставить один раз запущенный торрент-треккер и запустить ВПН подключение для доступа например к отключенным в россии сайтам и получить перманентный бан на весь аккаунт - это легко. Нужно за этим следить.

        так же раз оракл банит аккаунты - то нужно внимательно относится к размещению там важных для вас данных, иначе есть шанс потерять все с момента последнего бэкапа. например пару дней работы.

        • DaemonGloom
          /#23952953 / +1

          Всегда нужно внимательно относится к размещению важных данных. Не важно — оракл это будет, гугл или мэйлру.

    • chukov
      /#23947303

      У меня так аккаунт засуспендили.

    • Astro1247
      /#23947305

      Зашёл в комменты написать об этом как раз) Пытался воспользоваться бесплатными плюшками оракла, захостил там небольшой оф сервер Factorio, с паролем на пару слотов для друзей, на ~20 дней аккаунт "terminated" без объяснения причин. Все попытки что-то узнать у саппорта (в том числе звонки на ГЛ в США) не увенчались успехом, потерял сейвы игры и карту, благо это было самое ценное (и единственное) что успел поставить на тот сервер.

    • dartraiden
      /#23948513

      Да, у них нулевая терпимость к деятельности, связанной с компьютерным пиратством.

    • vectorplus
      /#23951747

      К меня на сервере Оракл мой личный VPN сервер на OpenVPN. Год уже без проблем. Я использую его для обычного интернет серфинга и почты. Надо, чтобы какая-то специфическая активность была, чтобы засуспендили? А то я что-то напрягся, не хотелось бы потерять, удобная штука.

      • dmbarsukov
        /#23952655 / +1

        старайтесь торренты не врубать раздачу когда ВПН подключен. Могут накатать абузу на всех раздающих по списку, и вам прилетит.

        • vectorplus
          /#23952877

          O, a я торренты вообще не качаю через ВПН, отлично.

          Спасибо за наводочку.

          • dmbarsukov
            /#23953323

            Тут есть тонкость. Зацепить может, даже если вы качали без впн, докачали, забыли отключить клиент битторрент и он немного раздал, а вы как раз в это время врубили. Так что внимательно следить и вырубать трекер.

            • vectorplus
              /#23953833

              Я мало что качаю, и нелегальное точно не раздаю. Не потому что я вредный, просто в Канаде провайдеры за этим следят. Мне пару раз письмо приходило, смешное такое. Типа, нам тут пришло сообщение от правообладателя, что вы раздаете его интеллектуальную собственность. Мы уверены, что это ошибка, письмо прилагается. Такие зайчики. Ну я и не раздаю уже много лет. Но у меня постоянно стоит на раздаче гимп, убунта и прочий опенсорц, за год с ораклом проблем не было. Может, стоит выключить от греха. Как они узнают по шифрованному трафику, что я ваниль раздаю.

  8. ky0
    /#23944701 / +3

    После создания кластера из 6 виртуальных машин...

    … вы обнаруживаете, что перестали влезать в Free Tier, потому что минимальный размер boot volume составляет у Оракла 47 ГБ, а бесплатно дают только 200 гигов суммарно.

    Так что всё-таки четыре, к сожалению.

    • artemkaxboy
      /#23945607

      Спасибо за информацию! У меня просто ещё триал не закончился

  9. NikaLapka
    /#23944729

    Спасибо. Но это, просто ещё одна услуга в списке услуг в сервисе Оракл. Может стоит как-нибудь скомпоновать или просто сделать ссылку на табличку, https://www.oracle.com/ru/cloud/free/#always-free и покончить с этим?

    Просто, как VPN до VM, решение спорное, есть множество дефолтных,на выбор(l2tp,ipsec,ovpn,wg,ssh tunel,..), кому что милее, где априори стабильнее(ну ладно, скорее результат более предсказуем), и даже с поддержкой, если возникнут трудности(гугл, оверфлоу,..).

    Как VPN для "того, что бы", но простите, микротик отлично поднимает ipsec, к примеру, до бесплатного протонвпн, что намного проще, удобнее, безопаснее, и без карточки, банов.

    • SadLion
      /#23945459

      микротик отлично поднимает ipsec, к примеру, до бесплатного протонвпн

      Давно они это открыли всем желающим? В своё время писал им в сапорт и они отвечали, что это возможно только на платной подписке, а бесплатный протонвпн только через их приложение.

      • NikaLapka
        /#23946085

        А они и не закрывали. Сколько помню, ещё года 2 назад, там всегда на бесплатном тарифе можно было загрузить или обычный .ovpn файл или вот вам IKEv2 логин и пароль и делайте, что хотите.

        Просто служба поддержки протон, не особо хотела вникать и логично отписалась "работа стороннего оборудования целиком и полностью лежит на разработчиках этого оборудования", и лишь спустя время, сообщество поддержало(или подопнуло, например https://forum.mikrotik.com/viewtopic.php?t=158227#p790090 мол в микротик вики есть инструкция по нордвпн и если поменять значения, то всё работает и с протонвпн) и появился гайд https://protonvpn.com/support/vpn-mikrotik-router/ (правда, лично моё мнение, что некоторые настройки там излишние, например, микротик по дефолту хорошо работает с ikev2 dpd так зачем в гайде его отключать..).

  10. x-tray
    /#23945135 / -3

    wireguard -- ??? не , не слышал ... )

    • Silvarum
      /#23946031 / +2

      Site-to-Site в исполнении Оракла не умеет wireguard, только старый добрый IPSec. Да и что не так с IPSec в данном случае? Это дефолтная технология для большинства энтерпрайз продуктов, на которые Оракл Клауд в первую очередь и рассчитан.

  11. avelor
    /#23945255

    на всякий случай, если кто-то побежал регать аккаунт в оракле

    Однако экземпляры сервиса Ampere A1 Compute отключаются, когда срок действия пробной версии заканчивается, а затем удаляются через 30 дней, если Вы не перейдете на платную учетную запись. Чтобы продолжить использование экземпляров Ampere A1 Compute в качестве пользователя Always Free, необходимо удалить существующие экземпляры Ampere A1 Compute и создать новые.

    • ky0
      /#23945287

      Мне кажется, то, что вы процитировали, работает, когда во время 30-дневного пробного периода, когда дают возможность насоздавать услуг на 300 долларов, пользуешься этой возможностью. Если же и в первый месяц юзать только «always free eligible», ничего пересоздавать не придётся.

      Вообще логично, что инстансы, вылезающие за возможности вечно-бесплатного тарифа, после окончания пробного периода выключаются.

      • avelor
        /#23945385

        возможно. но меня насторожило, что Ampere A1 прям выведены отдельным пунктом в FAQ, а толкование условно-двоякое. но сам я не проверял :) может меня поправят коллеги, которые пользуются этой штукой, но кажется стоит на период пробного периода не крутить ничего такого, что сложно будет вжжух и перенакатить на новый инстанс

        • 4aba
          /#23945813

          У меня не удалился. Но с ними надо быть аккуратным, т.к. можно вылезти за пределы free даже после месяца триала. Я не совсем понял как это получилось, но 27ого числа пришло письмо что инстанс остановлен, т.к. вышел за пределы бесплатного. Запустить смог только 1ого, на всякий случай понизил колво процов и памяти. Но понимания не нашел.

          • lohmatij
            /#23953685

            Можете не понижать процы. Эти инстансы удаляются при переходе с бесплатного расширенного на always free tier, что происходит через месяц от начала пользования услугами.

      • artemkaxboy
        /#23945659

        Я подозреваю, что@avelor прав, на Ampere не появляется значок Always Free, для меня было загадкой, почему. Видимо, поэтому. Через неделю закончится триал, смогу проверить. Здесь опять приходит в голову совет, все скриптовать ansible или другими способами, чтобы не приходилось повторять работать руками.

        • lohmatij
          /#23945669

          Через неделю как закончится триал у вас эти инстансы удалят.

          Нужно будет зайти и пересоздать их. При создании можно выбрать ту же подсеть и те же загрузочные тома (они не удаляются), все восстановится в исходном виде.

        • Yarik217
          /#23945987

          У меня имеются аналогичные серверы, после окончания триала ничего не произошло. Всё работает с октября до настоящего момента. Надписи про бесплатное использование действительно нет.

          • set
            /#23946289

            А у меня произошло так, как написано выше (к сожалению, я не видел подобную информацию раньше, когда всё настраивал) — отключили, инстанс всё ещё был в списке, но включить его не было возможности. Пришлось удалить и создать заново. Всё получилось, но через месяц-два отключили, т.к. не смогли подтвердить мою платежеспособность, хотя деньги на карте на этот случай лежат.

        • fedorro
          /#23947571 / +1

          не появляется значок Always Free

          На реддите накопал что это баг\фича интерфейса. У меня ни разу 4/24 виртуалка не остановливалась, но я её создал уже после того как триал закончился. Работает уже несколько месяцев без единого разрыва пересозданий. А когда триал начинался - там ещё АРМ-инстансов и не было, по моему.

          • lohmatij
            /#23953683

            Речь о том что ampere, созданный во время триала после окончания триала удаляют.

            Если создать его после окончания триала то он остается навсегда.

        • dartraiden
          /#23948521

          Можно сделать проще — после регистрации выждать месяц, чтобы триал закончился (он заканчивается либо после исчерпания триального баланса, либо через 30 дней, в зависимости от того, что случится раньше). После этого вы сможете использовать лишь те ресурсы, которые влезают в Always Free*, и созданные после окончания триала инстансы уже никто не удалит.

          * при этом, всё же, стоит следить за трафиком, т.к. трафик, превышающий 10 ТБ в месяц, оплачивается.

          Я обоим своим аккаунтам именно так и давал «отлежаться».

  12. Un_ka
    /#23946363

    С Oracle у вас будут как минимум две проблемы:

    1. Невозможность зарегистрировать.ся

    2. Сильно отличная от нуля вероятность блокировки аккаунта и потери всех данных.

    Со вторым можно справиться, используя тот же rclone для бекапов в другие облачные хранилища. Я же пользуюсь пробными периодами в AWS — там простая регистрация, также я ещё нигде не слышал, что кого-нибудь банили. Недавно AWS расширили лимит трафика до 100Гб.

    Да, всего лишь на год. Да, EC2 nano 1 amd ядро и 1гб RAM с 10Гб диска, но лучше синица в руке, чем журавль в небе. Необходимось миграции каждый год держит навыки по резервному восстановлению на уровне.

  13. fedorro
    /#23947591

    Все это можно выкинуть если удастся надежно и безопасно связать дата центр с домашней сетью.

    Но все это очень не хочется выставлять в интернет, даже с паролями, даже с файерволами, совсем никак.

    А SSH по сертификату с пробросом нужных портов? Сейчас использую такой вариант - по моему вполне безопасный. Или нет?

    Сама статья полезная - спасибо!

    • artemkaxboy
      /#23947803

      Если нужен только SSH, вход по паролю отключен, только сертификат, то вполне нормально. Но мне нужно больше, я поднимаю и базы, и HTTP сервисы которые должны быть всегда доступны, а их даже за паролями страшно открывать, брутфорс, уязвимости, опасно такое делать.

      • fedorro
        /#23947831

        Если нужен только SSH, вход по паролю отключен, только сертификат, то вполне нормально

        По умолчанию виртуалки так и создаются, и даже приватный ключ только на этапе создания в браузере доступен.

        А веб сервера я в докере запускаю - по идее даже если в них уязвимость, то надо ещё из контейнера сбежать. Надо, конечно, тогда пароли из самого контейнера ещё вырезать.

        • artemkaxboy
          /#23947845

          Если веб просто раздает контент, то можно и не заморачиваться. Но вот, например, если кем-то будет получен доступ к веб-интерфейсу portainer, можно лишиться управления машиной. Portainer даёт полное управление docker'ом на хосте.

          • fedorro
            /#23947857

            Да, поэтому портрейнер слушает порт на локалхосте и этот порт по shh редиректится на локальный.

  14. NeoCode
    /#23947717

    Глупый вопрос: а что является username и password при входе в веб-интерфейс Оракла?

    Я зарегистрировался, сгенерировал ssh ключи, через putty подключился к виртуалке, поделал там что-то... А вот на веб-интерфейс Оракла попасть не могу. Захожу на https://www.oracle.com/ru/cloud/sign-in.html , ввожу Cloud account name (то что при регистрации называлось "имя учетной записи Oracle Cloud"), пароль при этом не спрашивают, меня перебрасывает на страницу https://login.eu-amsterdam-1.oraclecloud.com/ , там уже отображается введенный логин, но предлагается ввести еще какое-то имя и пароль: "Sign in with your Oracle Cloud Infrastructure credentials". Что это? Логин и пароль которые я вводил при регистрации не подходят...

    • artemkaxboy
      /#23947823 / +1

      Там используется адрес электронной почты основного пользователя и пароль который был при регистрации. Потом через панель управления можно создавать других пользователей и наделять из доступом к вашей облачной инфраструктуре.

      • NeoCode
        /#23947867

        Спасибо!
        Кстати на амстердамском сервере создать виртуалку на Ampere уже не удается, "out of capacity". Ну ладно, мне пока и на AMD хватит, это в общем для экспериментов и на всякий случай в качестве персонального vpn, если с другими способами совсем будет плохо.

    • lohmatij
      /#23953689

      Там есть такая возможность как логин, его вы придумываете и он отвечает за весь ваш аккаунт. К нему можно несколько пользователей привязать.

      Вот сначала вводится этот логин а после переброса вводите почту и пароль.

      Если логин забыли то его можно восстановить по почте.

  15. RiverFlow
    /#23948275

    Забил давно на облака и перешл на серверов в подвале

  16. OstJoker
    /#23948633

    Зарегался в оракл клауд, настроил базовые вещи. Через 3 недели меня забанили без объяснения причин, я даже пользоваться не начал тем что планировал. Конфиг RouterOS забрать не дали, поддержка игнорит. Такой вот бесплатный сыр в мышеловке, подойдёт только тем у кого очень мало денег и очень много свободного времени

    • coolmiha
      /#23949193

      Аналогично, забанили после 30 дней, техподдержка ничего не могла сказать