Vir wat?
Met die toenemende sensuur van die internet deur outoritêre regimes, word 'n toenemende aantal nuttige internetbronne en -werwe geblokkeer. Insluitend tegniese inligting.
Dit word dus onmoontlik om die internet ten volle te gebruik en skend die fundamentele reg op vryheid van spraak, verskans in .
Artikel 19
Elkeen het die reg op vryheid van mening en uitdrukking; hierdie reg sluit vryheid in om opinies sonder inmenging te huldig en om inligting en idees deur enige media en ongeag grense te soek, te ontvang en oor te dra.
In hierdie gids sal ons ons eie freeware* in 6 stappe ontplooi. gebaseer op tegnologie , in wolkinfrastruktuur (AWS), met 'n gratis rekening (vir 12 maande), op 'n instansie (virtuele masjien) wat bestuur word deur .
Ek het probeer om hierdie deurloop so vriendelik as moontlik vir nie-IT-mense te maak. Die enigste ding wat nodig is, is volharding in die herhaal van die stappe wat hieronder beskryf word.
Let daarop
- AWS verskaf vir 'n tydperk van 12 maande, met 'n beperking van 15 gigagrepe se verkeer per maand.
- Die mees onlangse weergawe van hierdie handleiding kan gevind word by
stadiums
- Sluit aan vir 'n gratis AWS-rekening
- Skep 'n AWS-instansie
- Koppel aan 'n AWS-instansie
- Konfigurasie Wireguard
- Die opstel van VPN-kliënte
- Kontroleer die korrektheid van die VPN-installasie
nuttige skakels
1. Registrasie van 'n AWS-rekening
Om vir 'n gratis AWS-rekening aan te meld, vereis 'n regte telefoonnommer en 'n geldige Visa- of Mastercard-kredietkaart. Ek beveel aan om virtuele kaarte te gebruik wat gratis verskaf word of . Om die geldigheid van die kaart na te gaan, word $ 1 tydens registrasie afgetrek, wat later teruggestuur word.
1.1. Maak die AWS-bestuurskonsole oop
Jy moet 'n blaaier oopmaak en gaan na:
Klik op die "Registreer" knoppie
1.2. Die invul van persoonlike data
Vul die data in en klik op die "Gaan voort" knoppie
1.3. Die invul van kontakbesonderhede
Vul kontakinligting in.
1.4. Spesifikasie van betalingsinligting.
Kaartnommer, vervaldatum en naam van die kaarthouer.
1.5. Rekeningverifikasie
Op hierdie stadium word die telefoonnommer bevestig en $ 1 word direk van die betaalkaart gedebiteer. 'n 4-syfer kode word op die rekenaarskerm vertoon, en die gespesifiseerde foon ontvang 'n oproep van Amazon. Tydens 'n oproep moet jy die kode wat op die skerm gewys word, skakel.
1.6. Keuse van tariefplan.
Kies - Basiese plan (gratis)
1.7. Teken in op die bestuurskonsole
1.8. Die keuse van die ligging van die datasentrum
1.8.1. Spoedtoetsing
Voordat u 'n datasentrum kies, word dit aanbeveel om deur te toets spoed van toegang tot die naaste datasentrums, in my ligging die volgende resultate:
- Singapoer
- Parys
- Frankfurt
- Stockholm
- London
Die datasentrum in Londen toon die beste resultate wat spoed betref. So ek het dit gekies vir verdere aanpassing.
2. Skep 'n AWS-instansie
2.1 Skep 'n virtuele masjien
2.1.1. Kies 'n instansietipe
By verstek word die t2.micro-instansie gekies, wat is wat ons nodig het, druk net die knoppie Volgende: Stel instansiebesonderhede op
2.1.2. Stel instansie-opsies in
In die toekoms sal ons 'n permanente publieke IP aan ons instansie koppel, so op hierdie stadium skakel ons outomatiese toewysing van 'n publieke IP af, en druk die knoppie Volgende: Voeg berging by
2.1.3. Berging konneksie
Spesifiseer die grootte van die "hardeskyf". Vir ons doeleindes is 16 gigagrepe genoeg, en ons druk die knoppie Volgende: Voeg etikette by
2.1.4. Die opstel van etikette
As ons verskeie gevalle geskep het, kan hulle deur etikette gegroepeer word om administrasie te vergemaklik. In hierdie geval is hierdie funksionaliteit oorbodig, druk dadelik op die knoppie Volgende: Stel sekuriteitsgroep op
2.1.5. Maak poorte oop
In hierdie stap konfigureer ons die firewall deur die vereiste poorte oop te maak. Die stel oop poorte word die Sekuriteitsgroep genoem. Ons moet 'n nuwe sekuriteitsgroep skep, dit 'n naam, beskrywing gee, 'n UDP-poort (Custom UDP Rule) byvoeg, in die Rot Range-veld, 'n poortnommer uit die reeks toewys 49152-65535. In hierdie geval het ek poortnommer 54321 gekies.
Nadat u die vereiste data ingevul het, klik op die knoppie Hersien en begin
2.1.6. Oorsig van alle instellings
Op hierdie bladsy is daar 'n oorsig van al die instellings van ons instansie, ons kyk of al die instellings in orde is, en druk die knoppie Begin
2.1.7. Skep toegangsleutels
Vervolgens kom 'n dialoogkassie wat bied om 'n bestaande SSH-sleutel te skep of by te voeg, waarmee ons later op afstand aan ons instansie sal koppel. Ons kies die opsie "Skep 'n nuwe sleutelpaar" om 'n nuwe sleutel te skep. Gee dit 'n naam en klik op die knoppie Laai sleutelpaar afom die gegenereerde sleutels af te laai. Stoor dit op 'n veilige plek op jou plaaslike rekenaar. Sodra dit afgelaai is, klik op die knoppie. Begin Gevalle
2.1.7.1. Stoor toegangsleutels
Hier word die stap getoon om die gegenereerde sleutels van die vorige stap te stoor. Nadat ons die knoppie gedruk het Laai sleutelpaar af, word die sleutel gestoor as 'n sertifikaatlêer met *.pem-uitbreiding. In hierdie geval het ek dit 'n naam gegee wireguard-awskey.pem
2.1.8. Oorsig van instansieskeppingsresultate
Vervolgens sien ons 'n boodskap oor die suksesvolle bekendstelling van die instansie wat ons pas geskep het. Ons kan na die lys van ons gevalle gaan deur op die knoppie te klik gevalle sien
2.2. Skep 'n eksterne IP-adres
2.2.1. Begin met die skep van 'n eksterne IP
Vervolgens moet ons 'n permanente eksterne IP-adres skep waardeur ons aan ons VPN-bediener sal koppel. Om dit te doen, kies die item in die navigasiepaneel aan die linkerkant van die skerm Elastiese IP's uit kategorie NETWERK & SEKTUURITEIT en druk die knoppie Ken nuwe adres toe
2.2.2. Opstel van die skepping van 'n eksterne IP
In die volgende stap moet ons die opsie aktiveer Amazon swembad (by verstek aangeskakel), en klik op die knoppie Ken
2.2.3. Oorsig van die resultate van die skep van 'n eksterne IP-adres
Die volgende skerm sal die eksterne IP-adres wat ons ontvang het, vertoon. Dit word aanbeveel om dit te memoriseer, en dit is selfs beter om dit neer te skryf. dit sal meer as een keer handig te pas kom in die proses om die VPN-bediener verder op te stel en te gebruik. In hierdie gids gebruik ek die IP-adres as voorbeeld. 4.3.2.1. Sodra jy die adres ingevoer het, druk die knoppie Sluiting
2.2.4. Lys van eksterne IP-adresse
Vervolgens word ons 'n lys van ons permanente openbare IP-adresse (elastics IP) aangebied.
2.2.5. Toewysing van 'n eksterne IP aan 'n instansie
In hierdie lys kies ons die IP-adres wat ons ontvang het, en druk die regtermuisknoppie om 'n aftreklys op te roep. Kies die item daarin geassosieerde adresom dit toe te wys aan die instansie wat ons vroeër geskep het.
2.2.6. Eksterne IP-toewysing-instelling
In die volgende stap, kies ons instansie uit die aftreklys en druk die knoppie Mede-
2.2.7. Oorsig van eksterne IP-toewysingsresultate
Daarna kan ons sien dat ons instansie en sy private IP-adres aan ons permanente openbare IP-adres gekoppel is.
Nou kan ons van buite af aan ons nuutgeskepte instansie koppel, vanaf ons rekenaar via SSH.
3. Koppel aan 'n AWS-instansie
is 'n veilige protokol vir die afstandbeheer van rekenaartoestelle.
3.1. Verbinding via SSH vanaf 'n rekenaar na Windows
Om aan 'n rekenaar te koppel met Windows, eers moet jy die program aflaai en installeer .
3.1.1. Voer privaat sleutel vir Putty in
3.1.1.1. Nadat jy Putty geïnstalleer het, moet jy die PuTTYgen-hulpprogram wat daarmee saamkom, hardloop om die sertifikaatsleutel in PEM-formaat in te voer in 'n formaat wat geskik is vir gebruik in Putty. Om dit te doen, kies die item in die boonste kieslys Omskakelings-> Voer sleutel in
3.1.1.2. Kies 'n AWS-sleutel in PEM-formaat
Kies dan die sleutel wat ons voorheen in stap 2.1.7.1 gestoor het, in ons geval sy naam wireguard-awskey.pem
3.1.1.3. Stel sleutelinvoeropsies in
By hierdie stap moet ons 'n opmerking vir hierdie sleutel (beskrywing) spesifiseer en 'n wagwoord en bevestiging vir sekuriteit stel. Dit sal elke keer as jy koppel aangevra word. Dus beskerm ons die sleutel met 'n wagwoord teen onvanpaste gebruik. Jy hoef nie 'n wagwoord te stel nie, maar dit is minder veilig as die sleutel in die verkeerde hande val. Nadat ons die knoppie gedruk het Stoor privaat sleutel
3.1.1.4. Stoor tans 'n ingevoerde sleutel
'n Stoor lêer-dialoog word oopgemaak en ons stoor ons private sleutel as 'n lêer met die uitbreiding .ppkgeskik vir gebruik in die program Putty.
Spesifiseer die naam van die sleutel (in ons geval wireguard-awskey.ppk) en druk die knoppie Save.
3.1.2. Skep en konfigurasie van 'n verbinding in Putty
3.1.2.1. Skep 'n verbinding
Maak die Putty-program oop, kies 'n kategorie Sessie (dit is by verstek oop) en in die veld Gasheernaam voer die openbare IP-adres van ons bediener in, wat ons in stap 2.2.3 ontvang het. In die veld Gestoorde sessie voer 'n arbitrêre naam vir ons verbinding in (in my geval wireguard-aws-londen), en druk dan die knoppie Stoor om die veranderinge wat ons gemaak het te stoor.
3.1.2.2. Stel gebruiker outologin op
Meer in kategorie verband, kies 'n subkategorie data en in die veld Outo-aanmeld gebruikersnaam voer gebruikersnaam in ubuntu — is 'n standaardgebruiker van 'n instansie op AWS met Ubuntu.
3.1.2.3. Kies 'n privaat sleutel om via SSH te koppel
Gaan dan na die subkategorie Verbinding/SSH/Auth en langs die veld Privaat sleutellêer vir stawing druk die knoppie Snuffel… om 'n lêer met 'n sleutelsertifikaat te kies.
3.1.2.4. Maak 'n ingevoerde sleutel oop
Spesifiseer die sleutel wat ons vroeër by stap 3.1.1.4 ingevoer het, in ons geval is dit 'n lêer wireguard-awskey.ppk, en druk die knoppie oop.
3.1.2.5. Stoor instellings en begin 'n verbinding
Keer terug na kategoriebladsy Sessie druk weer die knoppie Stoor, om die veranderinge wat ons vroeër in die vorige stappe (3.1.2.2 - 3.1.2.4) gemaak het, te stoor. En dan druk ons die knoppie Opening om die afgeleë SSH-verbinding wat ons geskep en gekonfigureer het oop te maak.
3.1.2.7. Die opstel van vertroue tussen gashere
In die volgende stap, die eerste keer wat ons probeer koppel, word ons 'n waarskuwing gegee, ons het nie vertroue wat tussen die twee rekenaars opgestel is nie, en vra of ons die afgeleë rekenaar moet vertrou. Ons sal die knoppie druk Ja, waardeur dit by die lys van vertroude gashere gevoeg word.
3.1.2.8. Voer 'n wagwoord in om toegang tot die sleutel te kry
Daarna word 'n terminale venster oop, waar jy gevra word vir die wagwoord vir die sleutel, as jy dit vroeër by stap 3.1.1.3 gestel het. Wanneer 'n wagwoord ingevoer word, vind geen aksie op die skerm plaas nie. As jy 'n fout maak, kan jy die sleutel gebruik Backspace.
3.1.2.9. Welkomboodskap oor suksesvolle verbinding
Nadat die wagwoord suksesvol ingevoer is, word ons 'n welkomsteks in die terminaal gewys, wat ons vertel dat die afgeleë stelsel gereed is om ons opdragte uit te voer.
4. Konfigurasie van die bediener Wireguard
Die mees onlangse installasie- en gebruiksinstruksies Wireguard Jy kan die bewaarplek besigtig deur die skrifte hieronder te gebruik:
4.1. Installasie Wireguard
Voer die volgende opdragte in die terminaal in (jy kan na die knipbord kopieer en in die terminaal plak deur die regtermuisknoppie te druk):
4.1.1. Kloning van 'n bewaarplek
Kloon die bewaarplek met installasieskripte Wireguard
git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws4.1.2. Skakel oor na die gids met skrifte
Gaan na die gids met die gekloonde bewaarplek
cd wireguard_aws4.1.3 Begin van die inisialiseringskrip
Voer die installasieskrip as administrateur (wortelgebruiker) uit Wireguard
sudo ./initial.shTydens die installasieproses sal u gevra word vir sekere inligting wat nodig is vir die konfigurasie. Wireguard
4.1.3.1. Verbindingspunt-invoer
Voer die eksterne IP-adres in en maak die poort oop Wireguard bediener. Ons het die bediener se eksterne IP-adres in stap 2.2.3 verkry en die poort in stap 2.1.5 oopgemaak. Ons spesifiseer hulle saam, geskei deur 'n dubbelpunt, byvoorbeeld 4.3.2.1:54321en druk dan die sleutel Tik
Uitset voorbeeld:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:543214.1.3.2. Voer die interne IP-adres in
Voer die bediener se IP-adres in Wireguard in 'n veilige VPN-subnet, as jy nie weet wat dit is nie, druk net Enter om die standaardwaarde in te stel (10.50.0.1)
Uitset voorbeeld:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):4.1.3.3. Spesifikasie van 'n DNS-bediener
Voer die IP-adres van die DNS-bediener in, of druk net die Enter-sleutel om die verstekwaarde in te stel 1.1.1.1 (Cloudflare publieke DNS)
Uitset voorbeeld:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):4.1.3.4. Spesifikasie van die WAN-koppelvlak
Vervolgens moet u die naam van die eksterne netwerkkoppelvlak invoer wat op die interne VPN-netwerkkoppelvlak sal luister. Druk net Enter om die verstekwaarde vir AWS (eth0)
Uitset voorbeeld:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):4.1.3.5. Spesifikasie van die kliënt se naam
Voer jou VPN-gebruikersnaam in. Die punt is dat die VPN-bediener Wireguard Dit sal nie kan begin totdat ten minste een kliënt bygevoeg is nie. In hierdie geval het ek die naam ingevoer Alex@mobile
Uitset voorbeeld:
Enter VPN user name: Alex@mobileHierna behoort 'n QR-kode met die konfigurasie van die nuut bygevoegde kliënt op die skerm te verskyn, wat met die mobiele kliënt geskandeer moet word. Wireguard op Android of iOS, om dit te konfigureer. Die teks van die konfigurasielêer sal ook onder die QR-kode verskyn as jy kliënte handmatig konfigureer. Hoe om dit te doen, sal hieronder bespreek word.
4.2. Voeg 'n nuwe VPN-gebruiker by
Om 'n nuwe gebruiker by te voeg, moet jy die skrip in die terminale uitvoer add-client.sh
sudo ./add-client.shDie skrif vra vir 'n gebruikersnaam:
Uitset voorbeeld:
Enter VPN user name: Die naam van gebruikers kan ook as 'n skripparameter deurgegee word (in hierdie geval Alex@mobile):
sudo ./add-client.sh Alex@mobileAs gevolg van die script uitvoering, in die gids met die kliënt se naam langs die pad /etc/wireguard/clients/{ИмяКлиента} kliënt konfigurasie lêer sal geskep word /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, en die terminaalskerm sal 'n QR-kode vertoon vir die opstel van mobiele kliënte en die inhoud van die konfigurasielêer.
4.2.1. Gebruiker konfigurasie lêer
U kan die inhoud van die .conf-lêer op die skerm vertoon, vir handmatige konfigurasie van die kliënt, deur die opdrag te gebruik cat
sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.confuitvoering resultaat:
[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321Beskrywing van die kliënt konfigurasie lêer:
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения4.2.2. QR-kode vir kliëntkonfigurasie
Jy kan 'n konfigurasie QR-kode vir 'n voorheen geskepde kliënt op die terminale skerm vertoon deur die opdrag te gebruik qrencode -t ansiutf8 (in hierdie voorbeeld word 'n kliënt genaamd Alex@mobile gebruik):
sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf | qrencode -t ansiutf85. Die opstel van VPN-kliënte
5.1. Stel die Android-mobiele kliënt op
Amptelike kliënt Wireguard vir Android is dit moontlik
Daarna moet jy die konfigurasie invoer deur die QR-kode met die kliëntkonfigurasie te lees (sien paragraaf 4.2.2) en dit 'n naam te gee:
Nadat u die konfigurasie suksesvol ingevoer het, kan u die VPN-tonnel aktiveer. 'n Suksesvolle verbinding sal aangedui word deur 'n sleutelstash in die Android-stelselbalk
5.2. Kliëntopstelling Windows
Eerstens moet u die program aflaai en installeer - dit is 'n kliënt Wireguard vir Windows.
5.2.1. Skep 'n invoerkonfigurasielêer
Regskliek om 'n tekslêer op die lessenaar te skep.
5.2.2. Kopieer die inhoud van die konfigurasielêer vanaf die bediener
Dan keer ons terug na die Putty-terminaal en vertoon die inhoud van die konfigurasielêer van die gewenste gebruiker, soos beskryf in stap 4.2.1.
Klik dan met die rechtermuisknop op die konfigurasieteks in die Putty-terminaal, nadat die keuse voltooi is, sal dit outomaties na die knipbord gekopieer word.
5.2.3. Kopieer die konfigurasie na 'n plaaslike konfigurasielêer
In hierdie veld keer ons terug na die tekslêer wat ons vroeër op die lessenaar geskep het, en plak die konfigurasieteks vanaf die knipbord daarin.
5.2.4. Stoor tans 'n plaaslike konfigurasielêer
Stoor die lêer met uitbreiding .conf (in hierdie geval genoem london.conf)
5.2.5. Voer tans 'n plaaslike konfigurasielêer in
Vervolgens moet u die konfigurasielêer in die TunSafe-program invoer.
5.2.6. Stel 'n VPN-verbinding op
Kies hierdie konfigurasielêer en koppel deur op die knoppie te klik Skakel in.
6. Kontroleer of die verbinding suksesvol was
Om die sukses van die verbinding deur die VPN-tonnel na te gaan, moet u 'n blaaier oopmaak en na die webwerf gaan
Die vertoonde IP-adres moet ooreenstem met die een wat ons in stap 2.2.3 ontvang het.
Indien wel, werk die VPN-tonnel suksesvol.
Van die terminaal na Linux Jy kan jou IP-adres nagaan deur die volgende opdrag in te voer:
curl http://zx2c4.com/ipOf jy kan net na pornhub gaan as jy in Kazakstan is.
Bron: will.com
