Perchè chì?
Cù a censura crescente di l'Internet da i regimi autoritarii, un numeru crescente di risorse è siti Internet utili sò stati bluccati. Includendu infurmazione tecnica.
Cusì, diventa impussibile d'utilizà cumplettamente l'Internet è viola u dirittu fundamentale à a libertà di parolla, sancitu in .
Articulu 19
Ognunu hà u dirittu à a libertà d'opinione è di spressione ; stu dirittu include a libertà di tene opinioni senza interferenza è di circà, riceve è sparte infurmazioni è idee per ogni media è senza cunfini di e fruntiere.
In questa guida, implementeremu u nostru propiu freeware * in 6 passi. basatu nantu à a tecnulugia , in infrastruttura cloud (AWS), utilizendu un contu gratuitu (per 12 mesi), nantu à una istanza (macchina virtuale) gestita da .
Aghju pruvatu à fà stu passaghju u più amichevule per e persone chì ùn sò micca IT. L'unicu ciò chì hè necessariu hè a perseveranza in ripetiri i passi descritti quì sottu.
Vita
- AWS furnisce per un periudu di 12 mesi, cù un limitu di 15 gigabyte di trafficu per mese.
- A versione più aghjurnata di stu manuale pò esse truvata à
Fasi
- Iscriviti per un contu AWS gratuitu
- Crea una istanza AWS
- Cunnessione à una istanza AWS
- Configurazione Wireguard
- Configurazione di Clienti VPN
- Verificate a correttezza di a stallazione VPN
E ligami utili
1. Registrazione di un contu AWS
A registrazione per un contu AWS gratuitu richiede un veru numeru di telefunu è una carta di creditu Visa o Mastercard valida. Vi cunsigliu di utilizà carte virtuali chì sò furnite gratuitamente o . Per verificà a validità di a carta, $ 1 hè dedutu durante a registrazione, chì hè più tardi tornata.
1.1. Apertura di a Console di gestione AWS
Avete bisognu di apre un navigatore è andate à:
Cliccate nant'à u buttone "Register".
1.2. Riempimentu di dati persunali
Riempite i dati è cliccate nant'à u buttone "Cuntinuà".
1.3. Riempite i dati di cuntattu
Riempite l'infurmazioni di cuntattu.
1.4. Specificà l'infurmazioni di pagamentu.
U numeru di a carta, a data di scadenza è u nome di u titulare di a carta.
1.5. Verificazione di u contu
À questu stadiu, u numeru di telefunu hè cunfirmatu è $ 1 hè direttamente debitu da a carta di pagamentu. Un codice di 4 cifri hè visualizatu nantu à u screnu di l'urdinatore, è u telefunu specificatu riceve una chjama da Amazon. Durante una chjama, duvete dial u codice mostratu nantu à u screnu.
1.6. Scelta di u pianu di tariffu.
Sceglie - Pianu basicu (gratuitu)
1.7. Accedi à a cunsola di gestione
1.8. Sceglie u locu di u centru di dati
1.8.1. Test di velocità
Prima di sceglie un centru di dati, hè cunsigliatu di pruvà à traversu rapidità di accessu à i centri di dati più vicini, in u mo locu i risultati seguenti:
- Сингапур
- Parigi
- Francoforte
- Stoccolma
- Londra
U centru di dati in Londra mostra i megliu risultati in termini di rapidità. Allora l'aghju sceltu per più persunalizazione.
2. Crea una istanza AWS
2.1 Crea una macchina virtuale
2.1.1. Selezzione di un tipu di istanza
Per automaticamente, l'istanza t2.micro hè sceltu, chì hè ciò chì avemu bisognu, basta appughjà u buttone Next: Configurate i dettagli di l'istanza
2.1.2. Stabbilimentu di l'Opzioni di istanza
In u futuru, cunnetteremu una IP publica permanente à a nostra istanza, cusì in questa tappa disattivemu l'assignazione automatica di una IP publica, è appughjà u buttone. Next: Add Storage
2.1.3. Cunnessione di almacenamiento
Specificate a dimensione di u "discu duru". Per i nostri scopi, 16 gigabytes hè abbastanza, è pressu u buttone Next: Add Tags
2.1.4. Configurazione di tag
Se avemu creatu parechje istanze, allora puderanu esse raggruppati per tag per facilità l'amministrazione. In questu casu, sta funziunalità hè superflua, appughjà immediatamente u buttone Next: Configure Security Group
2.1.5. Apertura di porti
In questu passu, cunfiguremu u firewall aprendu i porti necessarii. U gruppu di porti aperti hè chjamatu Gruppu di Sicurezza. Avemu da creà un novu gruppu di sicurità, dà un nome, descrizzione, aghjunghje un portu UDP (Custom UDP Rule), in u campu Rort Range, assignate un numeru di portu da a gamma. 49152-65535. In questu casu, aghju sceltu u numeru di portu 54321.
Dopu à riempie i dati dumandati, cliccate nant'à u buttone Revisione è Lanciamentu
2.1.6. Panoramica di tutti i paràmetri
In questa pagina ci hè una panoramica di tutti i paràmetri di a nostra istanza, verificamu se tutti i paràmetri sò in ordine, è appughjà u buttone Launch
2.1.7. Creazione di e chjave d'accessu
In seguitu vene una finestra di dialogu chì offre à creà o aghjunghje una chjave SSH esistente, cù quale avemu da cunnette remotamente à a nostra istanza. Selezziunà l'opzione "Crea una nova coppia di chjave" per creà una nova chjave. Dà un nome è cliccate u buttone Scaricate Key Pairper scaricà e chjave generate. Salvà in un locu sicuru in u vostru urdinatore lucale. Una volta scaricatu, cliccate nantu à u buttone. Lanciare l'istanze
2.1.7.1. Salvà e chjave d'accessu
Dimustratu quì hè u passu di salvà i chjavi generati da u passu precedente. Dopu avemu pressatu u buttone Scaricate Key Pair, a chjave hè salvata cum'è un schedariu di certificatu cù l'estensione *.pem. In questu casu, aghju datu un nome wireguard-awskey.pem
2.1.8. Panoramica di i risultati di creazione di istanza
In seguitu, vedemu un missaghju nantu à u lanciu successu di l'istanza chì avemu appena creatu. Pudemu andà à a lista di i nostri casi clicchendu nant'à u buttone vede istanze
2.2. Crià un indirizzu IP esternu
2.2.1. Cumincià a creazione di una IP esterna
Dopu, avemu bisognu di creà un indirizzu IP esternu permanente per mezu di quale avemu da cunnette à u nostru servitore VPN. Per fà questu, in u pannellu di navigazione à a manca di u screnu, selezziunate l'elementu IP elastichi da categuria RETE & SECURITY è appughjà u buttone Attribuisce un novu indirizzu
2.2.2. Configurazione di a creazione di una IP esterna
In u prossimu passu, avemu bisognu di attivà l'opzione Piscina Amazon (attivatu per difettu), è cliccate nant'à u buttone Allocà
2.2.3. Panoramica di i risultati di a creazione di un indirizzu IP esternu
U prossimu schermu mostrarà l'indirizzu IP esternu chì avemu ricevutu. Hè cunsigliatu di memorizà, è hè megliu ancu di scrive. serà utile più di una volta in u prucessu di più stallà è aduprà u servitore VPN. In questa guida, aghju utilizatu l'indirizzu IP cum'è un esempiu. 4.3.2.1. Una volta avete intrutu in l'indirizzu, appughjà u buttone chiudi
2.2.4. Lista di l'indirizzi IP esterni
In seguitu, ci sò presentati cù una lista di i nostri indirizzi IP publichi permanenti (IP elastici).
2.2.5. Assignà una IP Esterna à una Istanza
In questa lista, selezziunà l'indirizzu IP chì avemu ricevutu, è appughjà u buttone drittu di u mouse per appughjà un menù drop-down. In questu, selezziunate l'elementu indirizzu assuciatuper assignà à l'istanza chì avemu creatu prima.
2.2.6. Configurazione di assignazione IP esterna
In u prossimu passu, selezziunà a nostra istanza da a lista drop-down, è appughjà u buttone assuciatu
2.2.7. Panoramica di i risultati di l'assignazione IP Esterna
Dopu quì, pudemu vede chì a nostra istanza è u so indirizzu IP privatu sò ligati à u nostru indirizzu IP publicu permanente.
Avà pudemu cunnette à a nostra nova istanza creata da fora, da u nostru computer via SSH.
3. Cunnette à una istanza AWS
hè un protokollu sicuru per u cuntrollu remoto di i dispositi informatici.
3.1. Cunnessione via SSH da un computer Windows
Per cunnette à un computer Windows, avete prima bisognu di scaricà è stallà u prugramma .
3.1.1. Importa a chjave privata per Putty
3.1.1.1. Dopu avè installatu Putty, avete bisognu di eseguisce l'utilità PuTTYgen chì vene cun ellu per impurtà a chjave di certificatu in formatu PEM, in un formatu adattatu per l'usu in Putty. Per fà questu, selezziunate l'elementu in u menù superiore Cunversione-> Import Key
3.1.1.2. Scelta di una Chiave AWS in Formatu PEM
Dopu, selezziunate a chjave chì avemu salvatu prima in u passu 2.1.7.1, in u nostru casu u so nome wireguard-awskey.pem
3.1.1.3. Stabbilimentu di l'opzioni d'importazione chjave
À questu passu, avemu bisognu di specificà un cumentu per questa chjave (descrizzione) è stabilisce una password è cunferma per a sicurità. Serà dumandatu ogni volta chì vi cunnette. Cusì, prutegemu a chjave cù una password da l'usu inappropriatu. Ùn avete micca bisognu di stabilisce una password, ma hè menu sicura se a chjave casca in e mani sbagliate. Dopu avemu appughjà u buttone Salvà a chjave privata
3.1.1.4. Salvà una chjave impurtata
Un dialogu di salvezza di u schedariu apre è salvemu a nostra chjave privata cum'è un schedariu cù l'estensione .ppkadattatu per l'usu in u prugramma Putty.
Specificate u nome di a chjave (in u nostru casu wireguard-awskey.ppk) è appughjà u buttone t'ani.
3.1.2. Crea è cunfigurà una cunnessione in Putty
3.1.2.1. Crea una cunnessione
Aprite u prugramma Putty, selezziunate una categuria Corsica Madness (hè apertu per difettu) è in u campu Nome di l'ospite entre in l'indirizzu IP publicu di u nostru servitore, chì avemu ricevutu in u passu 2.2.3. In campu Sessione salvata entre un nome arbitrariu per a nostra cunnessione (in u mo casu wireguard-aws-londra), è dopu appughjà u buttone Cruciani per salvà i cambiamenti chì avemu fattu.
3.1.2.2. Configurazione di l'autologin di l'utilizatori
Più in categuria A cunnessione, sceglite una subcategoria Dati è in u campu Nome d'utilizatore di login automaticu entre u nome d'utilizatore ubuntu su hè l'utilizatore standard di l'istanza in AWS cù Ubuntu.
3.1.2.3. Sceglie una chjave privata per cunnette via SSH
Allora andate à a subcategoria Cunnessione / SSH / Auth è accantu à u campu File di chjave privata per l'autentificazione appughjà u buttone Esplora ... per selezziunà un schedariu cù un certificatu chjave.
3.1.2.4. Apertura di una chjave impurtata
Specificate a chjave chì avemu impurtatu prima à u passu 3.1.1.4, in u nostru casu hè un schedariu wireguard-awskey.ppk, è appughjà u buttone Apertu.
3.1.2.5. Salvà i paràmetri è inizià una cunnessione
Riturnà à a pagina di categuria Corsica Madness appughjà u buttone di novu Cruciani, per salvà i cambiamenti chì avemu fattu prima in i passi previ (3.1.2.2 - 3.1.2.4). E poi pressu u buttone Open per apre a cunnessione SSH remota chì avemu creatu è cunfiguratu.
3.1.2.7. Stabbilimentu di a fiducia trà l'ospiti
In u prossimu passu, a prima volta chì pruvemu à cunnette, ci hè datu un avvisu, ùn avemu micca fiducia cunfigurata trà i dui computer, è dumanda se fidà di l'urdinatore remotu. Premu u buttone chì, aghjunghjendu cusì à a lista di l'ospiti di fiducia.
3.1.2.8. Ingressu una password per accede à a chjave
Dopu quì, si apre una finestra di terminal, induve vi dumandate a password per a chjave, se l'avete stabilitu prima à u passu 3.1.1.3. Quandu si inserisce una password, ùn ci hè micca azzione nantu à u screnu. Se fate un sbagliu, pudete aduprà a chjave Backspace.
3.1.2.9. Missaghju di benvenutu nantu à a cunnessione successu
Dopu avè inseritu bè a password, ci hè mostratu un testu di benvenutu in u terminal, chì ci dice chì u sistema remotu hè prontu à eseguisce i nostri cumandamenti.
4. Configurazione di u Wireguard Server
L'istruzzioni più recenti per installà è aduprà Wireguard cù i scripts descritti quì sottu ponu esse truvati in u repository:
4.1. Installazione di WireGuard
In u terminal, inserite i seguenti cumandamenti (pudete copià in u clipboard, è incollà in u terminal pressendu u buttone dirittu di u mouse):
4.1.1. Clonà un repository
Clone u repository cù i script di installazione Wireguard
git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws4.1.2. Cambia à u cartulare cù scripts
Andate à u repertoriu cù u repositoriu clonatu
cd wireguard_aws4.1.3 Esecuzione di u script d'inizializazione
Eseguite cum'è amministratore (utente root) u script d'installazione di Wireguard
sudo ./initial.shU prucessu di stallazione dumandarà certi dati necessarii per cunfigurà Wireguard
4.1.3.1. Ingressu di u puntu di cunnessione
Inserite l'indirizzu IP esternu è u portu apertu di u servitore Wireguard. Avemu l'indirizzu IP esternu di u servitore in u passu 2.2.3, è hà apertu u portu in u passu 2.1.5. Li indichemu inseme, sepanduli cù un colon, per esempiu 4.3.2.1:54321è poi appughjà a chjave Rinsignate
Esempiu di output:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:543214.1.3.2. Ingressu l'indirizzu IP internu
Inserite l'indirizzu IP di u servitore Wireguard in a subnet VPN sicura, se ùn sapete micca ciò chì hè, basta appughjà a chjave Enter per stabilisce u valore predeterminatu (10.50.0.1)
Esempiu di output:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):4.1.3.3. Specificà un servitore DNS
Inserite l'indirizzu IP di u servitore DNS, o basta appughjà a chjave Enter per stabilisce u valore predeterminatu 1.1.1.1 (DNS publicu Cloudflare)
Esempiu di output:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):4.1.3.4. Specificà l'interfaccia WAN
In seguitu, avete bisognu di entre u nome di l'interfaccia di a reta esterna chì ascolterà l'interfaccia di a reta interna VPN. Basta appughjà Enter per stabilisce u valore predeterminatu per AWS (eth0)
Esempiu di output:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):4.1.3.5. Specificà u nome di u cliente
Inserite u nome di l'utilizatore VPN. U fattu hè chì u servitore Wireguard VPN ùn puderà principià finu à chì almenu un cliente hè statu aghjuntu. In questu casu, aghju intrutu u nome Alex@mobile
Esempiu di output:
Enter VPN user name: Alex@mobileDopu quì, un codice QR cù a cunfigurazione di u cliente novu aghjuntu deve esse visualizatu nantu à u screnu, chì deve esse lettu cù u cliente mobile Wireguard in Android o iOS per cunfigurà lu. È ancu sottu à u codice QR, u testu di u schedariu di cunfigurazione serà visualizatu in casu di cunfigurazione manuale di i clienti. Cumu fà questu serà discutitu quì sottu.
4.2. Aghjunghjendu un novu utilizatore VPN
Per aghjunghje un novu utilizatore, avete bisognu di eseguisce u script in u terminal add-client.sh
sudo ./add-client.shU script dumanda un nome d'utilizatore:
Esempiu di output:
Enter VPN user name: Inoltre, u nome di l'utilizatori pò esse passatu cum'è un paràmetru di script (in questu casu Alex@mobile):
sudo ./add-client.sh Alex@mobileIn u risultatu di l'esekzione di script, in u cartulare cù u nome di u cliente longu u percorsu /etc/wireguard/clients/{ИмяКлиента} U schedariu di cunfigurazione di u cliente serà creatu /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, è a pantalla di u terminal mostrarà un codice QR per stallà i clienti mobili è u cuntenutu di u schedariu di cunfigurazione.
4.2.1. File di cunfigurazione di l'utilizatori
Pudete vede u cuntenutu di u schedariu .conf nantu à u screnu, per a cunfigurazione manuale di u cliente, usendu u cumandimu cat
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]risultatu di l'esecuzione:
[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321Descrizzione di u schedariu di cunfigurazione di u cliente:
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения4.2.2. Codice QR per a cunfigurazione di u cliente
Pudete vede un codice QR di cunfigurazione per un cliente creatu prima nantu à a pantalla di u terminal usendu u cumandimu qrencode -t ansiutf8 (in questu esempiu, un cliente chjamatu Alex@mobile hè utilizatu):
sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf85. Configurazione Clienti VPN
5.1. Configurazione di u cliente mobile Android
U cliente Wireguard ufficiale per Android pò esse
Dopu quì, avete bisognu di impurtà a cunfigurazione leghjendu u codice QR cù a cunfigurazione di u cliente (vede u paràgrafu 4.2.2) è dà un nome:
Dopu avè impurtatu successu a cunfigurazione, pudete attivà u tunnel VPN. Una cunnessione successu serà indicata da una chjave stash in a bandeja di u sistema Android
5.2. Configurazione di u cliente Windows
Prima vi tocca à scaricà è stallà u prugrammu hè u cliente Wireguard per Windows.
5.2.1. Crià un schedariu di cunfigurazione d'importazione
Cliccate cù u dirittu per creà un schedariu di testu nantu à u desktop.
5.2.2. Copia u cuntenutu di u schedariu di cunfigurazione da u servitore
Allora vultemu à u terminal Putty è vede u cuntenutu di u schedariu di cunfigurazione di l'utilizatore desideratu, cum'è descrittu in u passu 4.2.1.
Dopu, cliccate right-click u testu di cunfigurazione in u terminal Putty, dopu chì a selezzione hè cumpleta, serà automaticamente copiatu in u clipboard.
5.2.3. Copia a cunfigurazione in un schedariu di cunfigurazione lucale
In questu campu, turnemu à u schedariu di testu chì avemu creatu prima nantu à u desktop, è incollà u testu di cunfigurazione in questu da u clipboard.
5.2.4. Salvà un schedariu di cunfigurazione lucale
Salvà u schedariu cù estensione .conf (in stu casu chjamatu london.conf)
5.2.5. Importazione di un schedariu di cunfigurazione lucale
Dopu, avete bisognu di impurtà u schedariu di cunfigurazione in u prugramma TunSafe.
5.2.6. Configurazione di una cunnessione VPN
Selezziunate stu schedariu di cunfigurazione è cunnette clicchendu u buttone cunnette.
6. Verificate s'ellu a cunnessione hè successu
Per verificà u successu di a cunnessione attraversu u tunnel VPN, avete bisognu di apre un navigatore è andate à u situ
L'indirizzu IP affissatu deve currisponde à quellu chì avemu ricevutu in u passu 2.2.3.
Sì cusì, allora u tunnel VPN funziona bè.
Da u terminal Linux, pudete verificà u vostru indirizzu IP scrivendu:
curl http://zx2c4.com/ipO pudete solu andà in pornhub sè site in Kazakhstan.
Source: www.habr.com