Nə üçün?

Avtoritar rejimlər tərəfindən internetə qarşı senzuranın artması ilə daha çox faydalı internet resursları və saytlar bloklanır. Texniki məlumatlar daxil olmaqla.
Beləliklə, internetdən tam istifadə etmək qeyri-mümkün olur və qanunda təsbit olunmuş əsas söz azadlığı hüququnu pozur. Ümumdünya İnsan Hüquqları Bəyannaməsi.

Maddə 19
Hər kəsin fikir və ifadə azadlığı hüququ vardır; bu hüquqa hər hansı bir media vasitəsi ilə və dövlət sərhədindən asılı olmayaraq müdaxilə olmadan öz fikirlərinə sahib olmaq, məlumat və ideyaları axtarmaq, almaq və yaymaq azadlığı daxildir.

Bu təlimatda biz öz pulsuz proqramımızı* 6 addımda yerləşdirəcəyik. VPN xidməti texnologiyaya əsaslanır Qulaq asmaq, bulud infrastrukturunda Amazon Web Services (AWS), pulsuz hesabdan istifadə edərək (12 ay ərzində) tərəfindən idarə olunan nümunədə (virtual maşın) Ubuntu Server 18.04LTS.
Mən mümkün qədər qeyri-IT insanlar üçün bu keçidi etməyə çalışmışam. Tələb olunan yeganə şey aşağıda təsvir olunan addımları təkrarlamaqda əzmkarlıqdır.

Qeyd

• AWS təmin edir pulsuz istifadə səviyyəsi ayda 12 giqabayt trafik limiti ilə 15 ay müddətinə.
• Bu təlimatın ən müasir versiyasını burada tapa bilərsiniz https://wireguard.isystem.io

Səhnələr

1. Pulsuz AWS hesabı üçün qeydiyyatdan keçin
2. AWS nümunəsi yaradın
3. AWS nümunəsinə qoşulma
4. Wireguard Konfiqurasiyası
5. VPN Müştərilərinin Konfiqurasiyası
6. VPN quraşdırılmasının düzgünlüyünün yoxlanılması

Faydalı linklər

• AWS-də Wireguard üçün avtomatik quraşdırma skriptləri

1. AWS hesabının qeydiyyatı

Pulsuz AWS hesabı üçün qeydiyyatdan keçmək üçün real telefon nömrəsi və etibarlı Visa və ya Mastercard kredit kartı lazımdır. Pulsuz təqdim olunan virtual kartlardan istifadə etməyi məsləhət görürəm Yandex.Money və ya qiwi pul kisəsi. Kartın etibarlılığını yoxlamaq üçün qeydiyyat zamanı 1 ABŞ dolları tutulur, sonradan geri qaytarılır.

1.1. AWS İdarəetmə Konsolunun açılması

Brauzeri açıb aşağıdakı ünvana keçməlisiniz: https://aws.amazon.com/ru/
"Qeydiyyatdan keç" düyməsini basın

1.2. Şəxsi məlumatların doldurulması

Məlumatları doldurun və "Davam et" düyməsini basın

1.3. Əlaqə məlumatlarının doldurulması

Əlaqə məlumatlarını doldurun.

1.4. Ödəniş məlumatlarının dəqiqləşdirilməsi.

Kartın nömrəsi, istifadə müddəti və kart sahibinin adı.

1.5. Hesab Doğrulaması

Bu mərhələdə telefon nömrəsi təsdiqlənir və ödəniş kartından 1 dollar birbaşa debet edilir. Kompüter ekranında 4 rəqəmli kod göstərilir və göstərilən telefona Amazondan zəng gəlir. Zəng zamanı ekranda göstərilən kodu yığmaq lazımdır.

1.6. Tarif planının seçimi.

Seçin - Əsas plan (pulsuz)

1.7. İdarəetmə konsoluna daxil olun

1.8. Məlumat mərkəzinin yerinin seçilməsi

1.8.1. Sürət testi

Məlumat mərkəzini seçməzdən əvvəl sınaqdan keçirmək tövsiyə olunur https://speedtest.net ən yaxın məlumat mərkəzlərinə giriş sürəti, mənim yerimdə aşağıdakı nəticələr:

• Sinqapur
  
• Paris
  
• Frankfurt
  
• Stockholm
  
• London
  

Londondakı məlumat mərkəzi sürət baxımından ən yaxşı nəticələri göstərir. Ona görə də əlavə fərdiləşdirmə üçün onu seçdim.

2. AWS nümunəsi yaradın

2.1 Virtual maşın yaradın

2.1.1. Nümunə növünün seçilməsi

Varsayılan olaraq, t2.micro nümunəsi seçilir, bizə lazım olan budur, sadəcə düyməni basın Sonrakı: Nümunə təfərrüatlarını konfiqurasiya edin

2.1.2. Nümunə Seçimlərinin qurulması

Gələcəkdə biz daimi ictimai IP-ni nümunəmizə bağlayacağıq, buna görə də bu mərhələdə ictimai IP-nin avtomatik təyin edilməsini söndürürük və düyməni sıxırıq. Sonrakı: Yaddaş əlavə edin

2.1.3. Saxlama bağlantısı

"Sabit diskin" ölçüsünü təyin edin. Məqsədlərimiz üçün 16 gigabayt kifayətdir və biz düyməni basırıq Sonrakı: Teqlər əlavə edin

2.1.4. Teqlərin qurulması

Bir neçə nümunə yaratsaq, idarəni asanlaşdırmaq üçün onları etiketlərlə qruplaşdırmaq olar. Bu halda, bu funksionallıq artıqdır, dərhal düyməni basın Sonrakı: Təhlükəsizlik Qrupunu konfiqurasiya edin

2.1.5. Portların açılması

Bu addımda biz lazımi portları açaraq firewall-u konfiqurasiya edirik. Açıq portlar dəsti Təhlükəsizlik Qrupu adlanır. Biz yeni təhlükəsizlik qrupu yaratmalı, ona ad, təsvir verməli, UDP portu əlavə etməliyik (Xüsusi UDP Qaydası), Rort Range sahəsində, diapazondan port nömrəsi təyin etməliyik. dinamik portlar 49152-65535. Bu halda mən 54321 nömrəli portu seçdim.

Lazımi məlumatları doldurduqdan sonra düyməni basın Nəzərdən keçirin və işə salın

2.1.6. Bütün parametrlərə ümumi baxış

Bu səhifədə nümunəmizin bütün parametrlərinin icmalı var, biz bütün parametrlərin qaydasında olub olmadığını yoxlayırıq və düyməni sıxırıq. Başlat

2.1.7. Giriş açarlarının yaradılması

Daha sonra mövcud SSH açarını yaratmağı və ya əlavə etməyi təklif edən bir dialoq qutusu gəlir, onunla daha sonra nümunəmizə uzaqdan qoşulacağıq. Yeni açar yaratmaq üçün "Yeni açar cütü yarat" seçimini seçirik. Bir ad verin və düyməni basın Açar cütünü yükləyinyaradılan açarları yükləmək üçün. Onları yerli kompüterinizdə təhlükəsiz yerdə saxlayın. Yüklədikdən sonra düyməni basın. Nümunələri işə salın

2.1.7.1. Giriş açarlarının saxlanması

Burada əvvəlki addımdan yaradılan açarların saxlanması addımı göstərilir. Düyməni basdıqdan sonra Açar cütünü yükləyin, açar *.pem uzantısı ilə sertifikat faylı kimi saxlanılır. Bu halda mən ona bir ad verdim wireguard-awskey.pem

2.1.8. Nümunə Yaratma Nəticələrinə İcmal

Sonra, yeni yaratdığımız nümunənin uğurla işə salınması haqqında bir mesaj görürük. Düyməni klikləməklə nümunələrimizin siyahısına keçə bilərik misallara baxın

2.2. Xarici IP ünvanının yaradılması

2.2.1. Xarici IP-nin yaradılmasına başlamaq

Sonra, VPN serverimizə qoşulacağımız daimi xarici IP ünvanı yaratmalıyıq. Bunu etmək üçün ekranın sol tərəfindəki naviqasiya panelində elementi seçin Elastik IP-lər kateqoriyadan ŞƏBƏKƏ VƏ TƏHLÜKƏSİZLİK və düyməni basın Yeni ünvan ayırın

2.2.2. Xarici IP-nin yaradılmasının konfiqurasiyası

Növbəti addımda seçimi aktiv etməliyik Amazon hovuzu (standart olaraq aktivdir) və düyməni basın Ayrın

2.2.3. Xarici IP ünvanının yaradılması nəticələrinə ümumi baxış

Növbəti ekranda aldığımız xarici IP ünvanı göstəriləcək. Onu əzbərləmək tövsiyə olunur, hətta yazmaq daha yaxşıdır. VPN serverinin daha da qurulması və istifadəsi prosesində bir dəfədən çox faydalı olacaq. Bu təlimatda mən IP ünvanını nümunə kimi istifadə edirəm. 4.3.2.1. Ünvanı daxil etdikdən sonra düyməni basın yaxın

2.2.4. Xarici IP ünvanlarının siyahısı

Sonra bizə daimi ictimai IP ünvanlarımızın siyahısı təqdim olunur (elastik IP).

2.2.5. Nümunəyə Xarici IP təyin edilməsi

Bu siyahıda aldığımız IP ünvanını seçirik və açılan menyunu açmaq üçün siçanın sağ düyməsini sıxırıq. Bunun içərisində elementi seçin əlaqəli ünvanonu əvvəllər yaratdığımız nümunəyə təyin etmək üçün.

2.2.6. Xarici IP təyinatının qəbulu

Növbəti addımda, açılan siyahıdan nümunəmizi seçin və düyməni basın Əlaqələndirmək

2.2.7. Xarici IP Təyinatı Nəticələrinə İcmal

Bundan sonra nümunəmizin və onun şəxsi IP ünvanının daimi ictimai IP ünvanımıza bağlı olduğunu görə bilərik.

İndi biz yeni yaradılmış nümunəmizə xaricdən, kompüterimizdən SSH vasitəsilə qoşula bilərik.

3. AWS nümunəsinə qoşulun

SSH kompüter cihazlarının uzaqdan idarə edilməsi üçün təhlükəsiz protokoldur.

3.1. Windows kompüterindən SSH vasitəsilə qoşulma

Windows kompüterinə qoşulmaq üçün əvvəlcə proqramı yükləməli və quraşdırmalısınız Yaxı.

3.1.1. Putty üçün şəxsi açarı idxal edin

3.1.1.1. Putty-ni quraşdırdıqdan sonra sertifikat açarını PEM formatında Putty-də istifadə üçün uyğun formata idxal etmək üçün onunla birlikdə gələn PuTTYgen yardım proqramını işə salmalısınız. Bunu etmək üçün yuxarı menyudan elementi seçin Dönüşümlər->İdxal Açarı

3.1.1.2. PEM Formatında AWS Açarının seçilməsi

Sonra, 2.1.7.1-ci addımda əvvəllər saxladığımız açarı, bizim vəziyyətimizdə onun adını seçin wireguard-awskey.pem

3.1.1.3. Əsas idxal seçimlərinin qurulması

Bu addımda biz bu açar üçün şərh (təsvir) təyin etməli və təhlükəsizlik üçün parol və təsdiq təyin etməliyik. Bu, hər dəfə qoşulduqda tələb olunacaq. Beləliklə, açarı qeyri-münasib istifadədən parolla qoruyuruq. Parol təyin etmək lazım deyil, lakin açar səhv əllərə düşərsə, daha az təhlükəsizdir. Düyməni basdıqdan sonra Şəxsi açarı yadda saxlayın

3.1.1.4. Import edilmiş açar yadda saxlanılır

Faylı saxlama dialoqu açılır və biz şəxsi açarımızı uzantılı fayl kimi saxlayırıq .ppkproqramda istifadə üçün uyğundur Yaxı.
Açarın adını göstərin (bizim vəziyyətimizdə wireguard-awskey.ppk) və düyməni basın Saxlamaq.

3.1.2. Putty-də əlaqə yaratmaq və konfiqurasiya etmək

3.1.2.1. Əlaqə yaradın

Putty proqramını açın, kateqoriya seçin sessiya (defolt olaraq açıqdır) və sahədə Host Adı 2.2.3-cü addımda aldığımız serverimizin ictimai IP ünvanını daxil edin. Sahədə Yadda saxlanmış sessiya əlaqəmiz üçün ixtiyari ad daxil edin (mənim vəziyyətimdə wireguard-aws-london) və sonra düyməni basın Yadda saxla etdiyimiz dəyişiklikləri saxlamaq üçün.

3.1.2.2. İstifadəçi avtoloqunun qurulması

Kateqoriyada daha çox DeBloc | XNUMX + On,es, alt kateqoriya seçin Tarix və sahədə Avtomatik giriş istifadəçi adı istifadəçi adını daxil edin ubuntu Ubuntu ilə AWS-də nümunənin standart istifadəçisidir.

3.1.2.3. SSH vasitəsilə qoşulmaq üçün şəxsi açarın seçilməsi

Sonra alt kateqoriyaya keçin Bağlantı/SSH/Auth və sahənin yanında Doğrulama üçün şəxsi açar faylı Düyməyə bas Göz atın ... açar sertifikatı olan faylı seçmək üçün.

3.1.2.4. Import edilmiş açarın açılması

Daha əvvəl 3.1.1.4-cü addımda idxal etdiyimiz açarı göstərin, bizim vəziyyətimizdə bu bir fayldır wireguard-awskey.ppk, və düyməni basın açıq.

3.1.2.5. Parametrlər saxlanılır və əlaqə başlayır

Kateqoriya səhifəsinə qayıdır sessiya düyməni yenidən basın Yadda saxla, əvvəlki addımlarda daha əvvəl etdiyimiz dəyişiklikləri saxlamaq üçün (3.1.2.2 - 3.1.2.4). Və sonra düyməni basırıq açıq yaratdığımız və konfiqurasiya etdiyimiz uzaq SSH bağlantısını açmaq üçün.

3.1.2.7. Hostlar arasında etibarın qurulması

Növbəti addımda, ilk dəfə qoşulmağa cəhd etdiyimiz zaman bizə bir xəbərdarlıq verilir, iki kompüter arasında konfiqurasiya edilmiş etibarımız yoxdur və uzaq kompüterə etibar edib-etməməyi soruşur. Düyməni basacağıq Bəli, bununla da onu etibarlı hostlar siyahısına əlavə edin.

3.1.2.8. Açara daxil olmaq üçün parolun daxil edilməsi

Bundan sonra, 3.1.1.3-cü addımda əvvəllər təyin etsəniz, açar üçün parol tələb olunduğu bir terminal pəncərəsi açılır. Parol daxil edərkən ekranda heç bir hərəkət baş vermir. Səhv etsəniz, açardan istifadə edə bilərsiniz Backspace.

3.1.2.9. Uğurlu əlaqə haqqında xoş gəlmisiniz

Şifrəni uğurla daxil etdikdən sonra terminalda bizə uzaq sistemin əmrlərimizi yerinə yetirməyə hazır olduğunu bildirən salamlama mətni göstərilir.

4. Wireguard Serverinin konfiqurasiyası

Aşağıda təsvir edilən skriptlərdən istifadə edərək Wireguard-ı quraşdırmaq və istifadə etmək üçün ən müasir təlimatları depoda tapa bilərsiniz: https://github.com/isystem-io/wireguard-aws

4.1. WireGuard quraşdırılması

Terminalda aşağıdakı əmrləri daxil edin (buferə köçürə və siçan sağ düyməsini basaraq terminala yapışdıra bilərsiniz):

4.1.1. Anbarın klonlanması

Wireguard quraşdırma skriptləri ilə deponu klonlayın

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Skriptlərlə qovluğa keçid

Klonlanmış depo ilə qovluğa gedin

cd wireguard_aws

4.1.3 İnisiallaşdırma skriptinin işə salınması

Wireguard quraşdırma skriptini administrator (kök istifadəçi) kimi işə salın

sudo ./initial.sh

Quraşdırma prosesi Wireguard-ı konfiqurasiya etmək üçün tələb olunan müəyyən məlumatları tələb edəcəkdir

4.1.3.1. Bağlantı nöqtəsi girişi

Xarici IP ünvanını daxil edin və Wireguard serverinin portunu açın. 2.2.3-cü addımda serverin xarici IP ünvanını əldə etdik və 2.1.5-ci addımda portu açdıq. Məsələn, onları iki nöqtə ilə ayıraraq birlikdə göstəririk 4.3.2.1:54321və sonra düyməni basın Daxil edin
Nümunə çıxışı:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Daxili IP ünvanının daxil edilməsi

Təhlükəsiz VPN alt şəbəkəsində Wireguard serverinin IP ünvanını daxil edin, əgər onun nə olduğunu bilmirsinizsə, standart dəyəri təyin etmək üçün Enter düyməsini sıxmağınız kifayətdir (10.50.0.1)
Nümunə çıxışı:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNS Serverinin təyin edilməsi

DNS serverinin IP ünvanını daxil edin və ya standart dəyəri təyin etmək üçün Enter düyməsini sıxın 1.1.1.1 (Cloudflare ictimai DNS)
Nümunə çıxışı:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WAN interfeysinin təyin edilməsi

Bundan sonra, VPN daxili şəbəkə interfeysində dinlənəcək xarici şəbəkə interfeysinin adını daxil etməlisiniz. AWS üçün standart dəyəri təyin etmək üçün sadəcə Enter düyməsini sıxın (eth0)
Nümunə çıxışı:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Müştərinin adının dəqiqləşdirilməsi

VPN istifadəçisinin adını daxil edin. Fakt budur ki, Wireguard VPN serveri ən azı bir müştəri əlavə olunana qədər başlaya bilməyəcək. Bu halda mən adı daxil etdim Alex@mobile
Nümunə çıxışı:

Enter VPN user name: Alex@mobile

Bundan sonra ekranda yeni əlavə edilmiş müştərinin konfiqurasiyası olan QR kodu göstərilməlidir ki, onu konfiqurasiya etmək üçün Android və ya iOS-da Wireguard mobil müştərisindən istifadə etməklə oxumaq lazımdır. Həm də QR kodunun altında müştərilərin əl ilə konfiqurasiyası zamanı konfiqurasiya faylının mətni göstəriləcək. Bunu necə etmək aşağıda müzakirə olunacaq.

4.2. Yeni VPN istifadəçisi əlavə edilir

Yeni istifadəçi əlavə etmək üçün terminalda skripti icra etməlisiniz add-client.sh

sudo ./add-client.sh

Skript istifadəçi adı tələb edir:
Nümunə çıxışı:

Enter VPN user name: 

Həmçinin, istifadəçilərin adı skript parametri kimi ötürülə bilər (bu halda Alex@mobile):

sudo ./add-client.sh Alex@mobile

Skriptin icrası nəticəsində, yol boyunca müştərinin adı ilə kataloqda /etc/wireguard/clients/{ИмяКлиента} müştəri konfiqurasiya faylı yaradılacaq /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, və terminal ekranında mobil müştərilərin qurulması üçün QR kodu və konfiqurasiya faylının məzmunu göstərilir.

4.2.1. İstifadəçi konfiqurasiya faylı

Müştərinin əl ilə konfiqurasiyası üçün əmrdən istifadə edərək, .conf faylının məzmununu ekranda göstərə bilərsiniz. cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

icra nəticəsi:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Müştəri konfiqurasiya faylının təsviri:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. Müştəri konfiqurasiyası üçün QR kodu

Komandadan istifadə edərək terminal ekranında əvvəllər yaradılmış müştəri üçün konfiqurasiya QR kodunu göstərə bilərsiniz qrencode -t ansiutf8 (bu nümunədə Alex@mobile adlı müştəri istifadə olunur):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. VPN Müştərilərinin Konfiqurasiyası

5.1. Android mobil müştərisinin qurulması

Android üçün rəsmi Wireguard müştəri ola bilər rəsmi Google Play Store-dan quraşdırın

Bundan sonra, müştəri konfiqurasiyası ilə QR kodunu oxumaqla konfiqurasiyanı idxal etməlisiniz (bax paraqraf 4.2.2) və ona ad verin:

Konfiqurasiyanı uğurla idxal etdikdən sonra VPN tunelini aktivləşdirə bilərsiniz. Uğurlu bir əlaqə Android sistem tepsisindəki əsas zibillə göstəriləcək

5.2. Windows müştəri quraşdırması

Əvvəlcə proqramı yükləməli və quraşdırmalısınız Windows üçün TunSafe Windows üçün Wireguard müştərisidir.

5.2.1. İdxal konfiqurasiya faylının yaradılması

Masaüstündə mətn faylı yaratmaq üçün sağ klikləyin.

5.2.2. Konfiqurasiya faylının məzmununu serverdən kopyalayın

Sonra Putty terminalına qayıdırıq və 4.2.1-ci addımda təsvir olunduğu kimi istədiyiniz istifadəçinin konfiqurasiya faylının məzmununu nümayiş etdiririk.
Sonra, Putty terminalında konfiqurasiya mətnini sağ klikləyin, seçim tamamlandıqdan sonra o, avtomatik olaraq panoya kopyalanacaq.

5.2.3. Konfiqurasiyanın yerli konfiqurasiya faylına kopyalanması

Bu sahədə iş masasında əvvəllər yaratdığımız mətn faylına qayıdırıq və konfiqurasiya mətnini buferdən ona yapışdırırıq.

5.2.4. Yerli konfiqurasiya faylı saxlanılır

Faylı uzadılması ilə yadda saxlayın .konf (bu halda adlanır london.conf)

5.2.5. Yerli konfiqurasiya faylının idxalı

Sonra, konfiqurasiya faylını TunSafe proqramına idxal etməlisiniz.

5.2.6. VPN bağlantısı qurulur

Bu konfiqurasiya faylını seçin və düyməni basaraq qoşulun Birləşdirmək.

6. Bağlantının uğurlu olub-olmadığını yoxlamaq

VPN tuneli vasitəsilə əlaqənin uğurunu yoxlamaq üçün brauzeri açıb sayta daxil olmalısınız https://2ip.ua/ru/

Göstərilən IP ünvanı 2.2.3-cü addımda aldığımız ünvana uyğun olmalıdır.
Əgər belədirsə, onda VPN tuneli uğurla işləyir.

Linux terminalından IP ünvanınızı yazaraq yoxlaya bilərsiniz:

curl http://zx2c4.com/ip

Və ya Qazaxıstandasınızsa, sadəcə pornhub-a gedə bilərsiniz.

Mənbə: www.habr.com