Vir wat?
Met die toenemende sensuur van die internet deur outoritêre regimes, word 'n toenemende aantal nuttige internetbronne en -werwe geblokkeer. Insluitend tegniese inligting.
Dit word dus onmoontlik om die internet ten volle te gebruik en skend die fundamentele reg op vryheid van spraak, verskans in .
Artikel 19
Elkeen het die reg op vryheid van mening en uitdrukking; hierdie reg sluit vryheid in om opinies sonder inmenging te huldig en om inligting en idees deur enige media en ongeag grense te soek, te ontvang en oor te dra.
In hierdie gids sal ons ons eie freeware* in 6 stappe ontplooi. gebaseer op tegnologie , in wolkinfrastruktuur (AWS), met 'n gratis rekening (vir 12 maande), op 'n instansie (virtuele masjien) wat bestuur word deur .
Ek het probeer om hierdie deurloop so vriendelik as moontlik vir nie-IT-mense te maak. Die enigste ding wat nodig is, is volharding in die herhaal van die stappe wat hieronder beskryf word.
Let daarop
- AWS verskaf vir 'n tydperk van 12 maande, met 'n beperking van 15 gigagrepe se verkeer per maand.
- Die mees onlangse weergawe van hierdie handleiding kan gevind word by
stadiums
- Sluit aan vir 'n gratis AWS-rekening
- Skep 'n AWS-instansie
- Koppel aan 'n AWS-instansie
- Wireguard-konfigurasie
- Die opstel van VPN-kliënte
- Kontroleer die korrektheid van die VPN-installasie
nuttige skakels
1. Registrasie van 'n AWS-rekening
Om vir 'n gratis AWS-rekening aan te meld, vereis 'n regte telefoonnommer en 'n geldige Visa- of Mastercard-kredietkaart. Ek beveel aan om virtuele kaarte te gebruik wat gratis verskaf word of . Om die geldigheid van die kaart na te gaan, word $ 1 tydens registrasie afgetrek, wat later teruggestuur word.
1.1. Maak die AWS-bestuurskonsole oop
Jy moet 'n blaaier oopmaak en gaan na:
Klik op die "Registreer" knoppie
1.2. Die invul van persoonlike data
Vul die data in en klik op die "Gaan voort" knoppie
1.3. Die invul van kontakbesonderhede
Vul kontakinligting in.
1.4. Spesifikasie van betalingsinligting.
Kaartnommer, vervaldatum en naam van die kaarthouer.
1.5. Rekeningverifikasie
Op hierdie stadium word die telefoonnommer bevestig en $ 1 word direk van die betaalkaart gedebiteer. 'n 4-syfer kode word op die rekenaarskerm vertoon, en die gespesifiseerde foon ontvang 'n oproep van Amazon. Tydens 'n oproep moet jy die kode wat op die skerm gewys word, skakel.
1.6. Keuse van tariefplan.
Kies - Basiese plan (gratis)
1.7. Teken in op die bestuurskonsole
1.8. Die keuse van die ligging van die datasentrum
1.8.1. Spoedtoetsing
Voordat u 'n datasentrum kies, word dit aanbeveel om deur te toets spoed van toegang tot die naaste datasentrums, in my ligging die volgende resultate:
- Singapoer
- Parys
- Frankfurt
- Stockholm
- London
Die datasentrum in Londen toon die beste resultate wat spoed betref. So ek het dit gekies vir verdere aanpassing.
2. Skep 'n AWS-instansie
2.1 Skep 'n virtuele masjien
2.1.1. Kies 'n instansietipe
By verstek word die t2.micro-instansie gekies, wat is wat ons nodig het, druk net die knoppie Volgende: Stel instansiebesonderhede op
2.1.2. Stel instansie-opsies in
In die toekoms sal ons 'n permanente publieke IP aan ons instansie koppel, so op hierdie stadium skakel ons outomatiese toewysing van 'n publieke IP af, en druk die knoppie Volgende: Voeg berging by
2.1.3. Berging konneksie
Spesifiseer die grootte van die "hardeskyf". Vir ons doeleindes is 16 gigagrepe genoeg, en ons druk die knoppie Volgende: Voeg etikette by
2.1.4. Die opstel van etikette
As ons verskeie gevalle geskep het, kan hulle deur etikette gegroepeer word om administrasie te vergemaklik. In hierdie geval is hierdie funksionaliteit oorbodig, druk dadelik op die knoppie Volgende: Stel sekuriteitsgroep op
2.1.5. Maak poorte oop
In hierdie stap konfigureer ons die firewall deur die vereiste poorte oop te maak. Die stel oop poorte word die Sekuriteitsgroep genoem. Ons moet 'n nuwe sekuriteitsgroep skep, dit 'n naam, beskrywing gee, 'n UDP-poort (Custom UDP Rule) byvoeg, in die Rot Range-veld, 'n poortnommer uit die reeks toewys 49152-65535. In hierdie geval het ek poortnommer 54321 gekies.
Nadat u die vereiste data ingevul het, klik op die knoppie Hersien en begin
2.1.6. Oorsig van alle instellings
Op hierdie bladsy is daar 'n oorsig van al die instellings van ons instansie, ons kyk of al die instellings in orde is, en druk die knoppie Begin
2.1.7. Skep toegangsleutels
Vervolgens kom 'n dialoogkassie wat bied om 'n bestaande SSH-sleutel te skep of by te voeg, waarmee ons later op afstand aan ons instansie sal koppel. Ons kies die opsie "Skep 'n nuwe sleutelpaar" om 'n nuwe sleutel te skep. Gee dit 'n naam en klik op die knoppie Laai sleutelpaar afom die gegenereerde sleutels af te laai. Stoor dit op 'n veilige plek op jou plaaslike rekenaar. Sodra dit afgelaai is, klik op die knoppie. Begin Gevalle
2.1.7.1. Stoor toegangsleutels
Hier word die stap getoon om die gegenereerde sleutels van die vorige stap te stoor. Nadat ons die knoppie gedruk het Laai sleutelpaar af, word die sleutel gestoor as 'n sertifikaatlêer met *.pem-uitbreiding. In hierdie geval het ek dit 'n naam gegee wireguard-awskey.pem
2.1.8. Oorsig van instansieskeppingsresultate
Vervolgens sien ons 'n boodskap oor die suksesvolle bekendstelling van die instansie wat ons pas geskep het. Ons kan na die lys van ons gevalle gaan deur op die knoppie te klik gevalle sien
2.2. Skep 'n eksterne IP-adres
2.2.1. Begin met die skep van 'n eksterne IP
Vervolgens moet ons 'n permanente eksterne IP-adres skep waardeur ons aan ons VPN-bediener sal koppel. Om dit te doen, kies die item in die navigasiepaneel aan die linkerkant van die skerm Elastiese IP's uit kategorie NETWERK & SEKTUURITEIT en druk die knoppie Ken nuwe adres toe
2.2.2. Opstel van die skepping van 'n eksterne IP
In die volgende stap moet ons die opsie aktiveer Amazon swembad (by verstek aangeskakel), en klik op die knoppie Ken
2.2.3. Oorsig van die resultate van die skep van 'n eksterne IP-adres
Die volgende skerm sal die eksterne IP-adres wat ons ontvang het, vertoon. Dit word aanbeveel om dit te memoriseer, en dit is selfs beter om dit neer te skryf. dit sal meer as een keer handig te pas kom in die proses om die VPN-bediener verder op te stel en te gebruik. In hierdie gids gebruik ek die IP-adres as voorbeeld. 4.3.2.1. Sodra jy die adres ingevoer het, druk die knoppie Sluiting
2.2.4. Lys van eksterne IP-adresse
Vervolgens word ons 'n lys van ons permanente openbare IP-adresse (elastics IP) aangebied.
2.2.5. Toewysing van 'n eksterne IP aan 'n instansie
In hierdie lys kies ons die IP-adres wat ons ontvang het, en druk die regtermuisknoppie om 'n aftreklys op te roep. Kies die item daarin geassosieerde adresom dit toe te wys aan die instansie wat ons vroeër geskep het.
2.2.6. Eksterne IP-toewysing-instelling
In die volgende stap, kies ons instansie uit die aftreklys en druk die knoppie Mede-
2.2.7. Oorsig van eksterne IP-toewysingsresultate
Daarna kan ons sien dat ons instansie en sy private IP-adres aan ons permanente openbare IP-adres gekoppel is.
Nou kan ons van buite af aan ons nuutgeskepte instansie koppel, vanaf ons rekenaar via SSH.
3. Koppel aan 'n AWS-instansie
is 'n veilige protokol vir die afstandbeheer van rekenaartoestelle.
3.1. Verbind via SSH vanaf 'n Windows-rekenaar
Om aan 'n Windows-rekenaar te koppel, moet jy eers die program aflaai en installeer .
3.1.1. Voer privaat sleutel vir Putty in
3.1.1.1. Nadat jy Putty geïnstalleer het, moet jy die PuTTYgen-hulpprogram wat daarmee saamkom, hardloop om die sertifikaatsleutel in PEM-formaat in te voer in 'n formaat wat geskik is vir gebruik in Putty. Om dit te doen, kies die item in die boonste kieslys Omskakelings-> Voer sleutel in
3.1.1.2. Kies 'n AWS-sleutel in PEM-formaat
Kies dan die sleutel wat ons voorheen in stap 2.1.7.1 gestoor het, in ons geval sy naam wireguard-awskey.pem
3.1.1.3. Stel sleutelinvoeropsies in
By hierdie stap moet ons 'n opmerking vir hierdie sleutel (beskrywing) spesifiseer en 'n wagwoord en bevestiging vir sekuriteit stel. Dit sal elke keer as jy koppel aangevra word. Dus beskerm ons die sleutel met 'n wagwoord teen onvanpaste gebruik. Jy hoef nie 'n wagwoord te stel nie, maar dit is minder veilig as die sleutel in die verkeerde hande val. Nadat ons die knoppie gedruk het Stoor privaat sleutel
3.1.1.4. Stoor tans 'n ingevoerde sleutel
'n Stoor lêer-dialoog word oopgemaak en ons stoor ons private sleutel as 'n lêer met die uitbreiding .ppkgeskik vir gebruik in die program Putty.
Spesifiseer die naam van die sleutel (in ons geval wireguard-awskey.ppk) en druk die knoppie Save.
3.1.2. Skep en konfigurasie van 'n verbinding in Putty
3.1.2.1. Skep 'n verbinding
Maak die Putty-program oop, kies 'n kategorie Sessie (dit is by verstek oop) en in die veld Gasheernaam voer die openbare IP-adres van ons bediener in, wat ons in stap 2.2.3 ontvang het. In die veld Gestoorde sessie voer 'n arbitrêre naam vir ons verbinding in (in my geval wireguard-aws-london), en druk dan die knoppie Stoor om die veranderinge wat ons gemaak het te stoor.
3.1.2.2. Stel gebruiker outologin op
Meer in kategorie verband, kies 'n subkategorie data en in die veld Outo-aanmeld gebruikersnaam voer gebruikersnaam in Ubuntu is die standaardgebruiker van die instansie op AWS met Ubuntu.
3.1.2.3. Kies 'n privaat sleutel om via SSH te koppel
Gaan dan na die subkategorie Verbinding/SSH/Auth en langs die veld Privaat sleutellêer vir stawing druk die knoppie Snuffel… om 'n lêer met 'n sleutelsertifikaat te kies.
3.1.2.4. Maak 'n ingevoerde sleutel oop
Spesifiseer die sleutel wat ons vroeër by stap 3.1.1.4 ingevoer het, in ons geval is dit 'n lêer wireguard-awskey.ppk, en druk die knoppie oop.
3.1.2.5. Stoor instellings en begin 'n verbinding
Keer terug na kategoriebladsy Sessie druk weer die knoppie Stoor, om die veranderinge wat ons vroeër in die vorige stappe (3.1.2.2 - 3.1.2.4) gemaak het, te stoor. En dan druk ons die knoppie Opening om die afgeleë SSH-verbinding wat ons geskep en gekonfigureer het oop te maak.
3.1.2.7. Die opstel van vertroue tussen gashere
In die volgende stap, die eerste keer wat ons probeer koppel, word ons 'n waarskuwing gegee, ons het nie vertroue wat tussen die twee rekenaars opgestel is nie, en vra of ons die afgeleë rekenaar moet vertrou. Ons sal die knoppie druk Ja, waardeur dit by die lys van vertroude gashere gevoeg word.
3.1.2.8. Voer 'n wagwoord in om toegang tot die sleutel te kry
Daarna word 'n terminale venster oop, waar jy gevra word vir die wagwoord vir die sleutel, as jy dit vroeër by stap 3.1.1.3 gestel het. Wanneer 'n wagwoord ingevoer word, vind geen aksie op die skerm plaas nie. As jy 'n fout maak, kan jy die sleutel gebruik Backspace.
3.1.2.9. Welkomboodskap oor suksesvolle verbinding
Nadat die wagwoord suksesvol ingevoer is, word ons 'n welkomsteks in die terminaal gewys, wat ons vertel dat die afgeleë stelsel gereed is om ons opdragte uit te voer.
4. Konfigurasie van die Wireguard Server
Die mees onlangse instruksies vir die installering en gebruik van Wireguard met behulp van die skrifte wat hieronder beskryf word, kan in die bewaarplek gevind word:
4.1. Installeer WireGuard
Voer die volgende opdragte in die terminaal in (jy kan na die knipbord kopieer en in die terminaal plak deur die regtermuisknoppie te druk):
4.1.1. Kloning van 'n bewaarplek
Kloon die bewaarplek met die Wireguard-installasieskrifte
git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws4.1.2. Skakel oor na die gids met skrifte
Gaan na die gids met die gekloonde bewaarplek
cd wireguard_aws4.1.3 Begin van die inisialiseringskrip
Begin as administrateur (wortelgebruiker) die Wireguard-installasieskrip
sudo ./initial.shDie installasieproses sal vra vir sekere data wat nodig is om Wireguard op te stel
4.1.3.1. Verbindingspunt-invoer
Voer die eksterne IP-adres en oop poort van die Wireguard-bediener in. Ons het die eksterne IP-adres van die bediener in stap 2.2.3 gekry en die poort in stap 2.1.5 oopgemaak. Ons dui hulle saam aan en skei hulle byvoorbeeld met 'n dubbelpunt 4.3.2.1:54321en druk dan die sleutel Tik
Uitset voorbeeld:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:543214.1.3.2. Voer die interne IP-adres in
Voer die IP-adres van die Wireguard-bediener op die veilige VPN-subnet in, as jy nie weet wat dit is nie, druk net die Enter-sleutel om die verstekwaarde in te stel (10.50.0.1)
Uitset voorbeeld:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):4.1.3.3. Spesifikasie van 'n DNS-bediener
Voer die IP-adres van die DNS-bediener in, of druk net die Enter-sleutel om die verstekwaarde in te stel 1.1.1.1 (Cloudflare publieke DNS)
Uitset voorbeeld:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):4.1.3.4. Spesifikasie van die WAN-koppelvlak
Vervolgens moet u die naam van die eksterne netwerkkoppelvlak invoer wat op die interne VPN-netwerkkoppelvlak sal luister. Druk net Enter om die verstekwaarde vir AWS (eth0)
Uitset voorbeeld:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):4.1.3.5. Spesifikasie van die kliënt se naam
Voer die naam van die VPN-gebruiker in. Die feit is dat die Wireguard VPN-bediener nie sal kan begin voordat ten minste een kliënt bygevoeg is nie. In hierdie geval het ek die naam ingevoer Alex@mobile
Uitset voorbeeld:
Enter VPN user name: Alex@mobileDaarna moet 'n QR-kode met die opstelling van die nuut bygevoegde kliënt op die skerm vertoon word, wat gelees moet word deur die Wireguard-selfoonkliënt op Android of iOS te gebruik om dit op te stel. En ook onder die QR-kode, sal die teks van die konfigurasielêer vertoon word in geval van handmatige konfigurasie van kliënte. Hoe om dit te doen, sal hieronder bespreek word.
4.2. Voeg 'n nuwe VPN-gebruiker by
Om 'n nuwe gebruiker by te voeg, moet jy die skrip in die terminale uitvoer add-client.sh
sudo ./add-client.shDie skrif vra vir 'n gebruikersnaam:
Uitset voorbeeld:
Enter VPN user name: Die naam van gebruikers kan ook as 'n skripparameter deurgegee word (in hierdie geval Alex@mobile):
sudo ./add-client.sh Alex@mobileAs gevolg van die script uitvoering, in die gids met die kliënt se naam langs die pad /etc/wireguard/clients/{ИмяКлиента} kliënt konfigurasie lêer sal geskep word /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, en die terminaalskerm sal 'n QR-kode vertoon vir die opstel van mobiele kliënte en die inhoud van die konfigurasielêer.
4.2.1. Gebruiker konfigurasie lêer
U kan die inhoud van die .conf-lêer op die skerm vertoon, vir handmatige konfigurasie van die kliënt, deur die opdrag te gebruik cat
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]uitvoering resultaat:
[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321Beskrywing van die kliënt konfigurasie lêer:
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения4.2.2. QR-kode vir kliëntkonfigurasie
Jy kan 'n konfigurasie QR-kode vir 'n voorheen geskepde kliënt op die terminale skerm vertoon deur die opdrag te gebruik qrencode -t ansiutf8 (in hierdie voorbeeld word 'n kliënt genaamd Alex@mobile gebruik):
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf85. Die opstel van VPN-kliënte
5.1. Stel die Android-mobiele kliënt op
Die amptelike Wireguard-kliënt vir Android kan wees
Daarna moet jy die konfigurasie invoer deur die QR-kode met die kliëntkonfigurasie te lees (sien paragraaf 4.2.2) en dit 'n naam te gee:
Nadat u die konfigurasie suksesvol ingevoer het, kan u die VPN-tonnel aktiveer. 'n Suksesvolle verbinding sal aangedui word deur 'n sleutelstash in die Android-stelselbalk
5.2. Windows kliënt opstelling
Eerstens moet u die program aflaai en installeer is die Wireguard-kliënt vir Windows.
5.2.1. Skep 'n invoerkonfigurasielêer
Regskliek om 'n tekslêer op die lessenaar te skep.
5.2.2. Kopieer die inhoud van die konfigurasielêer vanaf die bediener
Dan keer ons terug na die Putty-terminaal en vertoon die inhoud van die konfigurasielêer van die gewenste gebruiker, soos beskryf in stap 4.2.1.
Klik dan met die rechtermuisknop op die konfigurasieteks in die Putty-terminaal, nadat die keuse voltooi is, sal dit outomaties na die knipbord gekopieer word.
5.2.3. Kopieer die konfigurasie na 'n plaaslike konfigurasielêer
In hierdie veld keer ons terug na die tekslêer wat ons vroeër op die lessenaar geskep het, en plak die konfigurasieteks vanaf die knipbord daarin.
5.2.4. Stoor tans 'n plaaslike konfigurasielêer
Stoor die lêer met uitbreiding .conf (in hierdie geval genoem london.conf)
5.2.5. Voer tans 'n plaaslike konfigurasielêer in
Vervolgens moet u die konfigurasielêer in die TunSafe-program invoer.
5.2.6. Stel 'n VPN-verbinding op
Kies hierdie konfigurasielêer en koppel deur op die knoppie te klik Skakel in.
6. Kontroleer of die verbinding suksesvol was
Om die sukses van die verbinding deur die VPN-tonnel na te gaan, moet u 'n blaaier oopmaak en na die webwerf gaan
Die vertoonde IP-adres moet ooreenstem met die een wat ons in stap 2.2.3 ontvang het.
Indien wel, werk die VPN-tonnel suksesvol.
Vanaf die Linux-terminale kan jy jou IP-adres nagaan deur te tik:
curl http://zx2c4.com/ipOf jy kan net na pornhub gaan as jy in Kazakstan is.
Bron: will.com