Mille eest?

Kuna autoritaarsed režiimid tsenseerivad Internetti üha enam, blokeeritakse üha rohkem kasulikke Interneti-ressursse ja saite. Sealhulgas tehniline teave.
Seega muutub Interneti täismahus kasutamine võimatuks ja rikub seaduses sätestatud sõnavabaduse põhiõigust. inimõiguste ülddeklaratsioon.

Artikli 19
Igaühel on õigus arvamus- ja sõnavabadusele; see õigus hõlmab vabadust omada arvamusi ilma sekkumiseta ning otsida, saada ja levitada teavet ja ideid mis tahes meedia kaudu ja sõltumata piiridest

Selles juhendis juurutame oma vabavara* 6 sammuga. VPN-teenus põhineb tehnoloogial Trossikaitse, pilve infrastruktuuris Amazon Web Services (AWS), kasutades tasuta kontot (12 kuud), eksemplaris (virtuaalne masin), mida haldab Ubuntu server 18.04 LTS.
Olen püüdnud selle läbikäigu teha võimalikult sõbralikuks mitte-IT-inimestele. Ainus asi, mida on vaja, on visadus allpool kirjeldatud sammude kordamisel.

Märkus

• AWS pakub tasuta kasutustase 12 kuu jooksul, piiranguga 15 gigabaiti liiklust kuus.
• Selle juhendi kõige ajakohasema versiooni leiate aadressilt https://wireguard.isystem.io

Etapid

1. Registreeruge tasuta AWS-i konto saamiseks
2. Looge AWS-i eksemplar
3. Ühenduse loomine AWS-i eksemplariga
4. Juhtmekaitse konfiguratsioon
5. VPN-i klientide konfigureerimine
6. VPN-i installimise õigsuse kontrollimine

Kasulikud lingid

• Wireguardi automaatsed installiskriptid AWS-is

1. AWS-i konto registreerimine

Tasuta AWS-i konto registreerimiseks on vaja päris telefoninumbrit ja kehtivat Visa või Mastercardi krediitkaarti. Soovitan kasutada tasuta pakutavaid virtuaalkaarte Yandex.Money või qiwi rahakott. Kaardi kehtivuse kontrollimiseks võetakse registreerimisel maha 1 dollar, mis hiljem tagastatakse.

1.1. AWS-i halduskonsooli avamine

Peate avama brauseri ja minema aadressile: https://aws.amazon.com/ru/
Klõpsake nuppu "Registreeri".

1.2. Isikuandmete täitmine

Täitke andmed ja klõpsake nuppu "Jätka".

1.3. Kontaktandmete täitmine

Täida kontaktandmed.

1.4. Makseandmete täpsustamine.

Kaardi number, aegumiskuupäev ja kaardiomaniku nimi.

1.5. Konto kinnitamine

Selles etapis kinnitatakse telefoninumber ja 1 dollar debiteeritakse otse maksekaardilt. Arvutiekraanil kuvatakse 4-kohaline kood ja määratud telefon saab Amazonilt kõne. Kõne ajal peate valima ekraanil kuvatava koodi.

1.6. Tariifiplaani valik.

Vali – põhipakett (tasuta)

1.7. Logige sisse halduskonsooli

1.8. Andmekeskuse asukoha valimine

1.8.1. Kiiruse testimine

Enne andmekeskuse valimist on soovitatav läbi testida https://speedtest.net lähimatele andmekeskustele juurdepääsu kiirus, minu asukohas järgmised tulemused:

• Singapur
  
• Pariisis
  
• Frankfurt
  
• Stockholmi
  
• London
  

Kiiruse osas näitab parimaid tulemusi Londoni andmekeskus. Seega valisin selle edasiseks kohandamiseks.

2. Looge AWS-i eksemplar

2.1 Looge virtuaalmasin

2.1.1. Eksemplari tüübi valimine

Vaikimisi on valitud eksemplar t2.micro, mida me vajame, vajutage lihtsalt nuppu Järgmine: konfigureerige eksemplari üksikasjad

2.1.2. Eksemplari valikute määramine

Tulevikus ühendame oma eksemplariga püsiva avaliku IP-aadressi, nii et praeguses etapis lülitame avaliku IP automaatse määramise välja ja vajutame nuppu Järgmine: salvestusruumi lisamine

2.1.3. Salvestusühendus

Määrake "kõvaketta" suurus. Meie eesmärkidel piisab 16 gigabaidist ja vajutame nuppu Järgmine: lisage sildid

2.1.4. Siltide seadistamine

Kui loome mitu eksemplari, saab need haldamise hõlbustamiseks siltide järgi rühmitada. Sel juhul on see funktsioon üleliigne, vajutage kohe nuppu Järgmine: turvarühma konfigureerimine

2.1.5. Portide avamine

Selles etapis konfigureerime tulemüüri, avades vajalikud pordid. Avatud portide komplekti nimetatakse turvarühmaks. Peame looma uue turvagrupi, andma sellele nime, kirjelduse, lisama UDP-pordi (kohandatud UDP-reegel), väljale Rort Range määrama vahemikust pordi numbri. dünaamilised pordid 49152-65535. Sel juhul valisin pordi numbri 54321.

Pärast nõutud andmete täitmist klõpsake nuppu Vaadake üle ja käivitage

2.1.6. Ülevaade kõigist seadetest

Sellel lehel on ülevaade kõigist meie eksemplari seadistustest, kontrollime, kas kõik seaded on korras ja vajutame nuppu Algatama

2.1.7. Juurdepääsuvõtmete loomine

Järgmisena ilmub dialoogiboks, mis pakub olemasoleva SSH-võtme loomist või lisamist, mille abil loome hiljem kaugühenduse oma eksemplariga. Valime uue võtme loomiseks valiku "Loo uus võtmepaar". Andke sellele nimi ja klõpsake nuppu Laadige alla võtmepaarloodud võtmete allalaadimiseks. Salvestage need oma kohalikus arvutis kindlasse kohta. Pärast allalaadimist klõpsake nuppu. Käivitage Instances

2.1.7.1. Pääsuvõtmete salvestamine

Siin on näidatud eelmises etapis loodud võtmete salvestamise etapp. Pärast seda, kui vajutasime nuppu Laadige alla võtmepaar, salvestatakse võti sertifikaadifailina laiendiga *.pem. Sel juhul panin sellele nime wireguard-awskey.pem

2.1.8. Eksemplari loomise tulemuste ülevaade

Järgmisena näeme teadet äsja loodud eksemplari eduka käivitamise kohta. Saame oma eksemplaride loendisse minna, klõpsates nuppu näidete vaatamine

2.2. Välise IP-aadressi loomine

2.2.1. Välise IP loomise alustamine

Järgmiseks peame looma püsiva välise IP-aadressi, mille kaudu loome ühenduse oma VPN-serveriga. Selleks valige ekraani vasakus servas oleval navigeerimispaneelil üksus Elastsed IP-d kategooriast VÕRK JA TURVALISUS ja vajutage nuppu Määra uus aadress

2.2.2. Välise IP loomise konfigureerimine

Järgmises etapis peame selle valiku lubama Amazonase bassein (vaikimisi lubatud) ja klõpsake nuppu Jagage

2.2.3. Välise IP-aadressi loomise tulemuste ülevaade

Järgmisel ekraanil kuvatakse saadud väline IP-aadress. Soovitatav on see pähe õppida ja parem isegi üles kirjutada. see on VPN-serveri edasise seadistamise ja kasutamise käigus kasulik rohkem kui üks kord. Selles juhendis kasutan näitena IP-aadressi. 4.3.2.1. Kui olete aadressi sisestanud, vajutage nuppu lähedal

2.2.4. Väliste IP-aadresside loend

Järgmisena esitatakse meile meie alaliste avalike IP-aadresside loend (elastics IP).

2.2.5. Eksemplarile välise IP määramine

Selles loendis valime saadud IP-aadressi ja vajutame rippmenüü kuvamiseks hiire paremat nuppu. Valige selles üksus sidusaadresset määrata see varem loodud eksemplarile.

2.2.6. Välise IP määramise seade

Järgmises etapis valige ripploendist meie eksemplar ja vajutage nuppu Partner

2.2.7. Välise IP määramise tulemuste ülevaade

Pärast seda näeme, et meie eksemplar ja selle privaatne IP-aadress on seotud meie püsiva avaliku IP-aadressiga.

Nüüd saame luua ühenduse oma vastloodud eksemplariga väljastpoolt, oma arvutist SSH kaudu.

3. Ühendage AWS-i eksemplariga

SSH on turvaline protokoll arvutiseadmete kaugjuhtimiseks.

3.1. Ühenduse loomine SSH kaudu Windowsi arvutist

Windowsi arvutiga ühenduse loomiseks peate esmalt programmi alla laadima ja installima kitt.

3.1.1. Importige Putty privaatvõti

3.1.1.1. Pärast Putty installimist peate käivitama sellega kaasasoleva PuTTYgeni utiliidi, et importida sertifikaadivõti PEM-vormingus Putty jaoks sobivasse vormingusse. Selleks valige ülemisest menüüst üksus Konversioonid-> Impordi võti

3.1.1.2. AWS-võtme valimine PEM-vormingus

Järgmiseks valige võti, mille me eelnevalt sammus 2.1.7.1 salvestasime, meie puhul selle nimi wireguard-awskey.pem

3.1.1.3. Võtmete importimise valikute määramine

Selles etapis peame määrama selle võtme (kirjelduse) kommentaari ning määrama turvalisuse tagamiseks parooli ja kinnituse. Seda küsitakse iga kord, kui ühendate. Seega kaitseme võtit parooliga sobimatu kasutamise eest. Sa ei pea parooli määrama, kuid see on vähem turvaline, kui võti satub valedesse kätesse. Pärast seda, kui vajutame nuppu Salvesta privaatvõti

3.1.1.4. Imporditud võtme salvestamine

Avaneb faili salvestamise dialoog ja me salvestame oma privaatvõtme laiendiga failina .ppksobib programmis kasutamiseks kitt.
Määrake võtme nimi (meie puhul wireguard-awskey.ppk) ja vajutage nuppu Säilitama.

3.1.2. Ühenduse loomine ja seadistamine Putty's

3.1.2.1. Looge ühendus

Avage programm Putty, valige kategooria istung (see on vaikimisi avatud) ja väljal Host Name sisestage meie serveri avalik IP-aadress, mille saime sammus 2.2.3. Põllul Salvestatud seanss sisestage meie ühendusele suvaline nimi (minu puhul wireguard-aws-london) ja seejärel vajutage nuppu Säästa tehtud muudatuste salvestamiseks.

3.1.2.2. Kasutaja automaatse sisselogimise seadistamine

Rohkem kategoorias Ühendus, valige alamkategooria kuupäev ja põllul Automaatne sisselogimine kasutajanimi sisesta kasutajanimi ubuntu on eksemplari tavakasutaja Ubuntu AWS-is.

3.1.2.3. Privaatvõtme valimine SSH kaudu ühenduse loomiseks

Seejärel minge alamkategooriasse Ühendus/SSH/Auth ja põllu kõrval Privaatvõtme fail autentimiseks vajuta nuppu Sirvi ... võtmesertifikaadiga faili valimiseks.

3.1.2.4. Imporditud võtme avamine

Määrake võti, mille me varem impordisime sammus 3.1.1.4, meie puhul on see fail wireguard-awskey.ppkja vajutage nuppu avatud.

3.1.2.5. Seadete salvestamine ja ühenduse loomine

Kategoorialehele naasmine istung vajutage uuesti nuppu Säästa, et salvestada muudatused, mille tegime eelmistes etappides (3.1.2.2–3.1.2.4). Ja siis vajutame nuppu avatud meie loodud ja konfigureeritud SSH-kaugühenduse avamiseks.

3.1.2.7. Usalduse loomine hostide vahel

Järgmises etapis, kui proovime esimest korda ühendust luua, antakse meile hoiatus, kahe arvuti vahel pole usaldust konfigureeritud ja küsitakse, kas usaldada kaugarvutit. Me vajutame nuppu Jah, lisades selle seega usaldusväärsete hostide loendisse.

3.1.2.8. Võtmele juurdepääsuks parooli sisestamine

Pärast seda avaneb terminaliaken, kus küsitakse võtme parooli, kui määrasite selle varem sammus 3.1.1.3. Parooli sisestamisel ei toimu ekraanil mingeid toiminguid. Kui teete vea, võite kasutada võtit Backspace.

3.1.2.9. Tervitusteade eduka ühenduse kohta

Pärast parooli edukat sisestamist kuvatakse meile terminalis tervitustekst, mis annab teada, et kaugsüsteem on valmis meie käske täitma.

4. Wireguardi serveri konfigureerimine

Kõige ajakohasemad juhised Wireguardi installimiseks ja kasutamiseks allpool kirjeldatud skriptide abil leiate hoidlast: https://github.com/isystem-io/wireguard-aws

4.1. WireGuardi installimine

Sisestage terminalis järgmised käsud (saate kopeerida lõikepuhvrisse ja kleepida terminali, vajutades hiire paremat nuppu):

4.1.1. Hoidla kloonimine

Kloonige hoidla Wireguardi installiskriptidega

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Skriptidega kataloogi lülitumine

Minge kloonitud hoidlaga kataloogi

cd wireguard_aws

4.1.3 Initsialiseerimisskripti käitamine

Käivitage administraatorina (juurkasutajana) Wireguardi installiskript

sudo ./initial.sh

Installimisprotsess küsib teatud andmeid, mis on vajalikud Wireguardi konfigureerimiseks

4.1.3.1. Ühenduspunkti sisend

Sisestage Wireguardi serveri väline IP-aadress ja avage port. Saime serveri välise IP-aadressi sammus 2.2.3 ja pordi avasime sammus 2.1.5. Märgime need koos, eraldades need näiteks kooloniga 4.3.2.1:54321ja seejärel vajutage klahvi sisene
Näidisväljund:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Sisemise IP-aadressi sisestamine

Sisestage turvalise VPN-i alamvõrgu Wireguardi serveri IP-aadress, kui te ei tea, mis see on, vajutage vaikeväärtuse määramiseks sisestusklahvi (10.50.0.1)
Näidisväljund:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNS-serveri määramine

Sisestage DNS-serveri IP-aadress või vajutage vaikeväärtuse määramiseks lihtsalt sisestusklahvi 1.1.1.1 (Cloudflare'i avalik DNS)
Näidisväljund:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WAN-liidese määramine

Järgmisena peate sisestama välise võrguliidese nime, mis kuulab VPN-i sisevõrgu liidest. AWS-i vaikeväärtuse määramiseks vajutage lihtsalt sisestusklahvi (eth0)
Näidisväljund:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Kliendi nime täpsustamine

Sisestage VPN-i kasutaja nimi. Fakt on see, et Wireguard VPN-server ei saa käivituda enne, kui on lisatud vähemalt üks klient. Sel juhul sisestasin nime Alex@mobile
Näidisväljund:

Enter VPN user name: Alex@mobile

Pärast seda peaks ekraanile ilmuma QR-kood koos äsja lisatud kliendi konfiguratsiooniga, mida tuleb konfigureerimiseks lugeda Androidi või iOS-i Wireguardi mobiilikliendi abil. Ja ka QR-koodi all kuvatakse klientide käsitsi seadistamise korral konfiguratsioonifaili tekst. Kuidas seda teha, arutatakse allpool.

4.2. Uue VPN-i kasutaja lisamine

Uue kasutaja lisamiseks peate terminalis käivitama skripti add-client.sh

sudo ./add-client.sh

Skript küsib kasutajanime:
Näidisväljund:

Enter VPN user name: 

Samuti saab kasutajate nimesid edastada skriptiparameetrina (antud juhul Alex@mobile):

sudo ./add-client.sh Alex@mobile

Skripti täitmise tulemusena kliendi nimega kataloogis tee ääres /etc/wireguard/clients/{ИмяКлиента} luuakse kliendi konfiguratsioonifail /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.confja terminali ekraanil kuvatakse QR-kood mobiiliklientide seadistamiseks ja konfiguratsioonifaili sisu.

4.2.1. Kasutaja konfiguratsioonifail

Saate kuvada .conf-faili sisu ekraanil kliendi käsitsi seadistamiseks, kasutades käsku cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

täitmise tulemus:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Kliendi konfiguratsioonifaili kirjeldus:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR-kood kliendi seadistamiseks

Käsu abil saate terminali ekraanil kuvada varem loodud kliendi konfiguratsiooni QR-koodi qrencode -t ansiutf8 (selles näites kasutatakse klienti nimega Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. VPN-i klientide seadistamine

5.1. Androidi mobiilikliendi seadistamine

Ametlik Wireguardi klient Androidile võib olla installige ametlikust Google Play poest

Pärast seda peate importima konfiguratsiooni, lugedes QR-koodi koos kliendi konfiguratsiooniga (vt lõik 4.2.2) ja andma sellele nime:

Pärast konfiguratsiooni edukat importimist saate lubada VPN-tunneli. Edukast ühendusest annab märku Androidi süsteemses salves olev võtmehoidik

5.2. Windowsi kliendi seadistamine

Kõigepealt peate programmi alla laadima ja installima TunSafe Windowsi jaoks on Wireguardi klient Windowsi jaoks.

5.2.1. Impordi konfiguratsioonifaili loomine

Paremklõpsake töölaual tekstifaili loomiseks.

5.2.2. Kopeerige konfiguratsioonifaili sisu serverist

Seejärel pöördume tagasi Putty terminali ja kuvame soovitud kasutaja konfiguratsioonifaili sisu, nagu kirjeldatud punktis 4.2.1.
Järgmisena paremklõpsake Putty terminalis konfiguratsiooni tekstil, pärast valiku lõpetamist kopeeritakse see automaatselt lõikepuhvrisse.

5.2.3. Konfiguratsiooni kopeerimine kohalikku konfiguratsioonifaili

Sellel väljal naaseme töölaual varem loodud tekstifaili juurde ja kleepime sellesse lõikepuhvrisse konfiguratsiooniteksti.

5.2.4. Kohaliku konfiguratsioonifaili salvestamine

Salvestage fail laiendiga .conf (antud juhul nimega london.conf)

5.2.5. Kohaliku konfiguratsioonifaili importimine

Järgmiseks peate importima konfiguratsioonifaili TunSafe'i programmi.

5.2.6. VPN-ühenduse seadistamine

Valige see konfiguratsioonifail ja looge ühendus, klõpsates nuppu Võta meiega ühendust.

6. Ühenduse õnnestumise kontrollimine

VPN-tunneli kaudu ühenduse õnnestumise kontrollimiseks peate avama brauseri ja minema saidile https://2ip.ua/ru/

Kuvatav IP-aadress peab ühtima sellega, mis saime sammus 2.2.3.
Kui jah, siis VPN-tunnel töötab edukalt.

Linuxi terminalist saate oma IP-aadressi kontrollida, tippides:

curl http://zx2c4.com/ip

Või võite lihtsalt minna pornhubi, kui olete Kasahstanis.

Allikas: www.habr.com