Za šta?
Sa sve većom cenzurom interneta od strane autoritarnih režima, sve veći broj korisnih internet resursa i sajtova se blokira. Uključujući tehničke informacije.
Time postaje nemoguće u potpunosti koristiti internet i krši osnovno pravo na slobodu govora, sadržano u .
Član 19
Svako ima pravo na slobodu mišljenja i izražavanja; ovo pravo uključuje slobodu mišljenja bez uplitanja i traženja, primanja i prenošenja informacija i ideja putem bilo kojeg medija i bez obzira na granice
U ovom vodiču ćemo implementirati vlastiti besplatni softver* u 6 koraka. zasnovano na tehnologiji , u infrastrukturi oblaka (AWS), korišćenjem besplatnog naloga (12 meseci), na instanci (virtuelnoj mašini) kojom upravlja .
Pokušao sam da ovo uputstvo učinim što je moguće prijateljskim za ljude koji nisu IT. Jedino što je potrebno je upornost u ponavljanju koraka opisanih u nastavku.
primjedba
- AWS pruža na period od 12 mjeseci, uz ograničenje od 15 gigabajta prometa mjesečno.
- Najnoviju verziju ovog priručnika možete pronaći na
Faze
- Prijavite se za besplatni AWS nalog
- Kreirajte AWS instancu
- Povezivanje na AWS instancu
- Wireguard Configuration
- Konfiguriranje VPN klijenata
- Provjera ispravnosti VPN instalacije
korisni linkovi
1. Registracija AWS naloga
Za registraciju za besplatni AWS račun potreban je pravi broj telefona i važeća Visa ili Mastercard kreditna kartica. Preporučujem korištenje virtuelnih kartica koje su besplatne ili . Za provjeru valjanosti kartice prilikom registracije se oduzima 1 $, koji se kasnije vraća.
1.1. Otvaranje AWS konzole za upravljanje
Morate otvoriti pretraživač i otići na:
Kliknite na dugme "Registracija".
1.2. Popunjavanje ličnih podataka
Popunite podatke i kliknite na dugme "Nastavi".
1.3. Popunjavanje kontakt podataka
Popunite kontakt podatke.
1.4. Određivanje informacija o plaćanju.
Broj kartice, datum isteka i ime vlasnika kartice.
1.5. Podtverždenie računa
U ovoj fazi se potvrđuje broj telefona i 1 $ se direktno tereti sa platne kartice. 4-cifreni kod se prikazuje na ekranu računara, a navedeni telefon prima poziv od Amazona. Tokom poziva morate birati kod prikazan na ekranu.
1.6. Izbor tarifnog plana.
Odaberite - Osnovni plan (besplatno)
1.7. Prijavite se na upravljačku konzolu
1.8. Odabir lokacije data centra
1.8.1. Testiranje brzine
Prije nego što odaberete data centar, preporučuje se da ga testirate brzina pristupa najbližim data centrima, na mojoj lokaciji slijedeći rezultati:
- Сингапур
- Pariz
- Frankfurt
- Stockholm
- London
Data centar u Londonu pokazuje najbolje rezultate u pogledu brzine. Zato sam ga odabrao za dalju prilagodbu.
2. Kreirajte AWS instancu
2.1 Kreirajte virtuelnu mašinu
2.1.1. Odabir tipa instance
Podrazumevano je odabrana instanca t2.micro, što nam treba, samo pritisnite dugme Sljedeće: Konfigurirajte detalje o instanci
2.1.2. Postavljanje opcija instance
U budućnosti ćemo na našu instancu povezati trajnu javnu IP adresu, tako da u ovoj fazi isključimo automatsko dodjeljivanje javne IP adrese i pritisnemo dugme Sljedeće: Dodaj pohranu
2.1.3. Priključak za skladištenje
Odredite veličinu "hard diska". Za naše potrebe, dovoljno je 16 gigabajta i pritisnemo dugme Sljedeće: Dodaj oznake
2.1.4. Postavljanje oznaka
Ako bismo kreirali nekoliko instanci, onda bi se mogle grupirati po oznakama kako bi se olakšala administracija. U ovom slučaju, ova funkcionalnost je suvišna, odmah pritisnite dugme Sljedeće: Konfigurirajte sigurnosnu grupu
2.1.5. Otvaranje portova
U ovom koraku konfigurišemo zaštitni zid otvaranjem potrebnih portova. Skup otvorenih portova naziva se Sigurnosna grupa. Moramo kreirati novu sigurnosnu grupu, dati joj ime, opis, dodati UDP port (prilagođeno UDP pravilo), u polju Rort Range morate dodijeliti broj porta iz raspona 49152-65535. U ovom slučaju, izabrao sam broj porta 54321.
Nakon što unesete tražene podatke, kliknite na dugme Pregledajte i pokrenite
2.1.6. Pregled svih postavki
Na ovoj stranici se nalazi pregled svih postavki naše instance, provjeravamo da li su sve postavke u redu i pritisnemo dugme lansiranje
2.1.7. Kreiranje pristupnih ključeva
Zatim dolazi dijaloški okvir koji nudi ili kreiranje ili dodavanje postojećeg SSH ključa, s kojim ćemo se kasnije daljinski povezati s našom instancom. Odabiremo opciju "Kreiraj novi par ključeva" da kreiramo novi ključ. Dajte mu ime i kliknite na dugme Preuzmite par ključevaza preuzimanje generiranih ključeva. Sačuvajte ih na sigurnom mestu na vašem lokalnom računaru. Nakon preuzimanja kliknite na dugme. Pokrenite instance
2.1.7.1. Čuvanje pristupnih ključeva
Ovdje je prikazan korak spremanja generiranih ključeva iz prethodnog koraka. Nakon što smo pritisnuli dugme Preuzmite par ključeva, ključ se čuva kao datoteka certifikata sa ekstenzijom *.pem. U ovom slučaju, dao sam mu ime wireguard-awskey.pem
2.1.8. Pregled rezultata kreiranja instance
Zatim vidimo poruku o uspješnom pokretanju instance koju smo upravo kreirali. Možemo otići na listu naših instanci klikom na dugme pogledajte instance
2.2. Kreiranje eksterne IP adrese
2.2.1. Početak kreiranja eksterne IP adrese
Zatim moramo kreirati stalnu eksternu IP adresu preko koje ćemo se povezati na naš VPN server. Da biste to učinili, u navigacijskoj ploči na lijevoj strani ekrana odaberite stavku Elastični IP -ovi iz kategorije MREŽA I SIGURNOST i pritisnite dugme Dodijelite novu adresu
2.2.2. Konfiguriranje kreiranja eksterne IP adrese
U sljedećem koraku moramo omogućiti opciju Amazon bazen (podrazumevano omogućeno) i kliknite na dugme Dodijeliti
2.2.3. Pregled rezultata kreiranja eksterne IP adrese
Sljedeći ekran će prikazati eksternu IP adresu koju smo primili. Preporučljivo je zapamtiti, a bolje je čak i zapisati. više puta će vam dobro doći u procesu daljeg postavljanja i korištenja VPN servera. U ovom vodiču koristim IP adresu kao primjer. 4.3.2.1. Kada unesete adresu, pritisnite dugme blizu
2.2.4. Lista eksternih IP adresa
Zatim nam je predstavljena lista naših stalnih javnih IP adresa (elastične IP adrese).
2.2.5. Dodjeljivanje eksterne IP adrese instanci
Na ovoj listi biramo IP adresu koju smo primili i pritiskom na desnu tipku miša otvorimo padajući meni. U njemu odaberite stavku adresa saradnikada ga dodijelimo instanci koju smo kreirali ranije.
2.2.6. Postavka eksterne IP dodjele
U sljedećem koraku odaberite našu instancu sa padajuće liste i pritisnite dugme pomoćnik
2.2.7. Pregled rezultata eksterne IP dodjele
Nakon toga, možemo vidjeti da su naša instanca i njena privatna IP adresa vezani za našu stalnu javnu IP adresu.
Sada se možemo povezati sa našom novokreiranom instancom izvana, sa našeg računara preko SSH-a.
3. Povežite se na AWS instancu
je siguran protokol za daljinsko upravljanje računarskim uređajima.
3.1. Povezivanje preko SSH sa Windows računara
Da biste se povezali sa Windows računarom, prvo morate preuzeti i instalirati program .
3.1.1. Uvezite privatni ključ za Putty
3.1.1.1. Nakon što instalirate Putty, trebate pokrenuti uslužni program PuTTYgen koji dolazi s njim da biste uvezli ključ certifikata u PEM formatu u format pogodan za korištenje u Puttyju. Da biste to učinili, odaberite stavku u gornjem meniju Konverzije->Ključ za uvoz
3.1.1.2. Odabir AWS ključa u PEM formatu
Zatim izaberite ključ koji smo prethodno sačuvali u koraku 2.1.7.1, u našem slučaju njegovo ime wireguard-awskey.pem
3.1.1.3. Postavljanje opcija uvoza ključeva
U ovom koraku moramo navesti komentar za ovaj ključ (opis) i postaviti lozinku i potvrdu radi sigurnosti. Zatražit će se svaki put kada se povežete. Na taj način štitimo ključ lozinkom od neprikladne upotrebe. Ne morate postavljati lozinku, ali je manje sigurna ako ključ padne u pogrešne ruke. Nakon što pritisnemo dugme Sačuvaj privatni ključ
3.1.1.4. Čuvanje uvezenog ključa
Otvara se dijalog za spremanje datoteke i mi spremamo naš privatni ključ kao datoteku sa ekstenzijom .ppkpogodan za upotrebu u programu git.
Navedite naziv ključa (u našem slučaju wireguard-awskey.ppk) i pritisnite dugme zadržati.
3.1.2. Kreiranje i konfiguriranje veze u Puttyju
3.1.2.1. Stvorite vezu
Otvorite program Putty, odaberite kategoriju sjednica (podrazumevano je otvoreno) i u polju Ime hosta unesite javnu IP adresu našeg servera, koju smo dobili u koraku 2.2.3. Na terenu Sačuvana sesija unesite proizvoljno ime za našu vezu (u mom slučaju wireguard-aws-london), a zatim pritisnite dugme Save da sačuvamo promene koje smo napravili.
3.1.2.2. Podešavanje automatske prijave korisnika
Više u kategoriji priključak, odaberite podkategoriju podaci i na terenu Korisničko ime za automatsku prijavu unesite korisničko ime ubuntu je standardni korisnik instance na AWS-u sa Ubuntuom.
3.1.2.3. Odabir privatnog ključa za povezivanje putem SSH-a
Zatim idite na potkategoriju Veza/SSH/Auth i pored terena Datoteka privatnog ključa za autentifikaciju pritisnite dugme Pretražite ... da odaberete datoteku sa certifikatom ključa.
3.1.2.4. Otvaranje uvezenog ključa
Navedite ključ koji smo ranije uvezli u koraku 3.1.1.4, u našem slučaju to je datoteka wireguard-awskey.ppk, i pritisnite dugme Otvorite.
3.1.2.5. Čuvanje postavki i uspostavljanje veze
Povratak na stranicu kategorije sjednica ponovo pritisnite dugme Save, da sačuvate promjene koje smo napravili ranije u prethodnim koracima (3.1.2.2 - 3.1.2.4). I onda pritisnemo dugme otvoreno za otvaranje udaljene SSH veze koju smo kreirali i konfigurisali.
3.1.2.7. Uspostavljanje povjerenja između domaćina
U sljedećem koraku, kada prvi put pokušamo da se povežemo, dobijamo upozorenje, nemamo konfigurisano poverenje između dva računara i pita da li da verujemo udaljenom računaru. Pritisnut ćemo dugme Da, dodajući ga na listu pouzdanih hostova.
3.1.2.8. Unošenje lozinke za pristup ključu
Nakon toga otvara se prozor terminala u kojem se od vas traži lozinka za ključ, ako ste ga ranije postavili u koraku 3.1.1.3. Kada unesete lozinku, na ekranu se ne dešava nikakva radnja. Ako pogriješite, možete koristiti ključ Backspace.
3.1.2.9. Poruka dobrodošlice o uspješnoj vezi
Nakon uspješnog unosa lozinke, u terminalu nam se prikazuje tekst dobrodošlice koji nam govori da je udaljeni sistem spreman za izvršavanje naših naredbi.
4. Konfiguriranje Wireguard servera
Najnovija uputstva za instalaciju i korištenje Wireguarda pomoću skripti opisanih u nastavku možete pronaći u spremištu:
4.1. Instaliranje WireGuarda
U terminalu unesite sljedeće naredbe (možete kopirati u međuspremnik i zalijepiti u terminal pritiskom na desnu tipku miša):
4.1.1. Kloniranje spremišta
Klonirajte spremište sa instalacijskim skriptama Wireguarda
git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws4.1.2. Prelazak na direktorij sa skriptama
Idite na direktorij s kloniranim spremištem
cd wireguard_aws4.1.3 Pokretanje skripte za inicijalizaciju
Pokrenite instalacijsku skriptu Wireguarda kao administrator (root korisnik).
sudo ./initial.shProces instalacije će tražiti određene podatke potrebne za konfiguraciju Wireguarda
4.1.3.1. Ulaz priključne tačke
Unesite eksternu IP adresu i otvorite port Wireguard servera. Dobili smo eksternu IP adresu servera u koraku 2.2.3, a otvorili port u koraku 2.1.5. Označavamo ih zajedno, odvajajući ih, na primjer, dvotočkom 4.3.2.1:54321a zatim pritisnite tipku ući
Uzorak izlaza:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:543214.1.3.2. Unos interne IP adrese
Unesite IP adresu Wireguard servera na sigurnoj VPN podmreži, ako ne znate šta je to, samo pritisnite tipku Enter da postavite zadanu vrijednost (10.50.0.1)
Uzorak izlaza:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):4.1.3.3. Određivanje DNS servera
Unesite IP adresu DNS servera ili jednostavno pritisnite tipku Enter da postavite zadanu vrijednost 1.1.1.1 (Cloudflare javni DNS)
Uzorak izlaza:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):4.1.3.4. Određivanje WAN interfejsa
Zatim morate unijeti naziv vanjskog mrežnog sučelja koje će slušati na VPN internom mrežnom sučelju. Samo pritisnite Enter da postavite zadanu vrijednost za AWS (eth0)
Uzorak izlaza:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):4.1.3.5. Određivanje imena klijenta
Unesite ime VPN korisnika. Činjenica je da Wireguard VPN server neće moći da se pokrene dok se ne doda barem jedan klijent. U ovom slučaju, unio sam ime Alex@mobile
Uzorak izlaza:
Enter VPN user name: Alex@mobileNakon toga, na ekranu bi trebao biti prikazan QR kod s konfiguracijom novododatog klijenta, koji se mora pročitati pomoću Wireguard mobilnog klijenta na Androidu ili iOS-u da biste ga konfigurirali. Takođe ispod QR koda će se prikazati tekst konfiguracionog fajla u slučaju ručne konfiguracije klijenata. Kako to učiniti bit će riječi u nastavku.
4.2. Dodavanje novog VPN korisnika
Da biste dodali novog korisnika, morate izvršiti skriptu u terminalu add-client.sh
sudo ./add-client.shSkripta traži korisničko ime:
Uzorak izlaza:
Enter VPN user name: Također, ime korisnika može se proslijediti kao parametar skripte (u ovom slučaju Alex@mobile):
sudo ./add-client.sh Alex@mobileKao rezultat izvršavanja skripte, u direktoriju sa imenom klijenta duž putanje /etc/wireguard/clients/{ИмяКлиента} bit će kreiran konfiguracijski fajl klijenta /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, a na ekranu terminala će se prikazati QR kod za postavljanje mobilnih klijenata i sadržaj konfiguracijske datoteke.
4.2.1. Korisnički konfiguracijski fajl
Možete prikazati sadržaj .conf datoteke na ekranu, za ručnu konfiguraciju klijenta, koristeći naredbu cat
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]rezultat izvršenja:
[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321Opis klijentske konfiguracijske datoteke:
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения4.2.2. QR kod za konfiguraciju klijenta
Možete prikazati konfiguracijski QR kod za prethodno kreiranog klijenta na ekranu terminala pomoću naredbe qrencode -t ansiutf8 (u ovom primjeru se koristi klijent pod imenom Alex@mobile):
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf85. Konfiguriranje VPN klijenata
5.1. Postavljanje Android mobilnog klijenta
Zvanični Wireguard klijent za Android može biti
Nakon toga morate uvesti konfiguraciju čitanjem QR koda sa konfiguracijom klijenta (pogledajte paragraf 4.2.2) i dati joj ime:
Nakon uspješnog uvoza konfiguracije, možete omogućiti VPN tunel. Uspješna veza će biti označena ključem u Android sistemskoj traci
5.2. Podešavanje Windows klijenta
Prvo morate preuzeti i instalirati program je Wireguard klijent za Windows.
5.2.1. Kreiranje konfiguracijske datoteke za uvoz
Kliknite desnim tasterom miša da kreirate tekstualnu datoteku na radnoj površini.
5.2.2. Kopirajte sadržaj konfiguracijske datoteke sa servera
Zatim se vraćamo na Putty terminal i prikazujemo sadržaj konfiguracijske datoteke željenog korisnika, kao što je opisano u koraku 4.2.1.
Zatim kliknite desnim tasterom miša na tekst konfiguracije u Putty terminalu, nakon što je odabir završen, automatski će se kopirati u međuspremnik.
5.2.3. Kopiranje konfiguracije u lokalnu konfiguracijsku datoteku
U ovom polju se vraćamo na tekstualnu datoteku koju smo ranije kreirali na radnoj površini i nalijepimo tekst konfiguracije u nju iz međuspremnika.
5.2.4. Spremanje lokalne konfiguracijske datoteke
Sačuvajte fajl sa ekstenzijom .conf (u ovom slučaju imenovano london.conf)
5.2.5. Uvoz lokalne konfiguracijske datoteke
Zatim morate uvesti konfiguracijsku datoteku u program TunSafe.
5.2.6. Postavljanje VPN veze
Odaberite ovu konfiguracijsku datoteku i povežite se klikom na dugme spojiti.
6. Provjera da li je veza bila uspješna
Da biste provjerili uspješnost konekcije kroz VPN tunel, potrebno je otvoriti pretraživač i otići na stranicu
Prikazana IP adresa mora odgovarati onoj koju smo dobili u koraku 2.2.3.
Ako je tako, onda VPN tunel uspješno radi.
Sa Linux terminala možete provjeriti svoju IP adresu upisivanjem:
curl http://zx2c4.com/ipIli možete jednostavno otići na pornhub ako ste u Kazahstanu.
izvor: www.habr.com