Kuna autoritaarsed režiimid tsenseerivad Internetti üha enam, blokeeritakse üha rohkem kasulikke Interneti-ressursse ja saite. Sealhulgas tehniline teave.
Seega muutub Interneti täismahus kasutamine võimatuks ja rikub seaduses sätestatud sõnavabaduse põhiõigust. inimõiguste ülddeklaratsioon.
Artikli 19
Igaühel on õigus arvamus- ja sõnavabadusele; see õigus hõlmab vabadust omada arvamusi ilma sekkumiseta ning otsida, saada ja levitada teavet ja ideid mis tahes meedia kaudu ja sõltumata piiridest
Selles juhendis juurutame oma vabavara* 6 sammuga. VPN-teenus põhineb tehnoloogial Trossikaitse, pilve infrastruktuuris Amazon Web Services (AWS), kasutades tasuta kontot (12 kuud), eksemplaris (virtuaalne masin), mida haldab Ubuntu server 18.04 LTS.
Olen püüdnud selle läbikäigu teha võimalikult sõbralikuks mitte-IT-inimestele. Ainus asi, mida on vaja, on visadus allpool kirjeldatud sammude kordamisel.
Märkus
AWS pakub tasuta kasutustase 12 kuu jooksul, piiranguga 15 gigabaiti liiklust kuus.
Tasuta AWS-i konto registreerimiseks on vaja päris telefoninumbrit ja kehtivat Visa või Mastercardi krediitkaarti. Soovitan kasutada tasuta pakutavaid virtuaalkaarte Yandex.Money või qiwi rahakott. Kaardi kehtivuse kontrollimiseks võetakse registreerimisel maha 1 dollar, mis hiljem tagastatakse.
Kaardi number, aegumiskuupäev ja kaardiomaniku nimi.
1.5. Konto kinnitamine
Selles etapis kinnitatakse telefoninumber ja 1 dollar debiteeritakse otse maksekaardilt. Arvutiekraanil kuvatakse 4-kohaline kood ja määratud telefon saab Amazonilt kõne. Kõne ajal peate valima ekraanil kuvatava koodi.
1.6. Tariifiplaani valik.
Vali – põhipakett (tasuta)
1.7. Logige sisse halduskonsooli
1.8. Andmekeskuse asukoha valimine
1.8.1. Kiiruse testimine
Enne andmekeskuse valimist on soovitatav läbi testida https://speedtest.net lähimatele andmekeskustele juurdepääsu kiirus, minu asukohas järgmised tulemused:
Singapur
Pariisis
Frankfurt
Stockholmi
London
Kiiruse osas näitab parimaid tulemusi Londoni andmekeskus. Seega valisin selle edasiseks kohandamiseks.
2. Looge AWS-i eksemplar
2.1 Looge virtuaalmasin
2.1.1. Eksemplari tüübi valimine
Vaikimisi on valitud eksemplar t2.micro, mida me vajame, vajutage lihtsalt nuppu Järgmine: konfigureerige eksemplari üksikasjad
2.1.2. Eksemplari valikute määramine
Tulevikus ühendame oma eksemplariga püsiva avaliku IP-aadressi, nii et praeguses etapis lülitame avaliku IP automaatse määramise välja ja vajutame nuppu Järgmine: salvestusruumi lisamine
2.1.3. Salvestusühendus
Määrake "kõvaketta" suurus. Meie eesmärkidel piisab 16 gigabaidist ja vajutame nuppu Järgmine: lisage sildid
2.1.4. Siltide seadistamine
Kui loome mitu eksemplari, saab need haldamise hõlbustamiseks siltide järgi rühmitada. Sel juhul on see funktsioon üleliigne, vajutage kohe nuppu Järgmine: turvarühma konfigureerimine
2.1.5. Portide avamine
Selles etapis konfigureerime tulemüüri, avades vajalikud pordid. Avatud portide komplekti nimetatakse turvarühmaks. Peame looma uue turvagrupi, andma sellele nime, kirjelduse, lisama UDP-pordi (kohandatud UDP-reegel), väljale Rort Range määrama vahemikust pordi numbri. dünaamilised pordid 49152-65535. Sel juhul valisin pordi numbri 54321.
Pärast nõutud andmete täitmist klõpsake nuppu Vaadake üle ja käivitage
2.1.6. Ülevaade kõigist seadetest
Sellel lehel on ülevaade kõigist meie eksemplari seadistustest, kontrollime, kas kõik seaded on korras ja vajutame nuppu Algatama
2.1.7. Juurdepääsuvõtmete loomine
Järgmisena ilmub dialoogiboks, mis pakub olemasoleva SSH-võtme loomist või lisamist, mille abil loome hiljem kaugühenduse oma eksemplariga. Valime uue võtme loomiseks valiku "Loo uus võtmepaar". Andke sellele nimi ja klõpsake nuppu Laadige alla võtmepaarloodud võtmete allalaadimiseks. Salvestage need oma kohalikus arvutis kindlasse kohta. Pärast allalaadimist klõpsake nuppu. Käivitage Instances
2.1.7.1. Pääsuvõtmete salvestamine
Siin on näidatud eelmises etapis loodud võtmete salvestamise etapp. Pärast seda, kui vajutasime nuppu Laadige alla võtmepaar, salvestatakse võti sertifikaadifailina laiendiga *.pem. Sel juhul panin sellele nime wireguard-awskey.pem
2.1.8. Eksemplari loomise tulemuste ülevaade
Järgmisena näeme teadet äsja loodud eksemplari eduka käivitamise kohta. Saame oma eksemplaride loendisse minna, klõpsates nuppu näidete vaatamine
2.2. Välise IP-aadressi loomine
2.2.1. Välise IP loomise alustamine
Järgmiseks peame looma püsiva välise IP-aadressi, mille kaudu loome ühenduse oma VPN-serveriga. Selleks valige ekraani vasakus servas oleval navigeerimispaneelil üksus Elastsed IP-d kategooriast VÕRK JA TURVALISUS ja vajutage nuppu Määra uus aadress
2.2.2. Välise IP loomise konfigureerimine
Järgmises etapis peame selle valiku lubama Amazonase bassein (vaikimisi lubatud) ja klõpsake nuppu Jagage
2.2.3. Välise IP-aadressi loomise tulemuste ülevaade
Järgmisel ekraanil kuvatakse saadud väline IP-aadress. Soovitatav on see pähe õppida ja parem isegi üles kirjutada. see on VPN-serveri edasise seadistamise ja kasutamise käigus kasulik rohkem kui üks kord. Selles juhendis kasutan näitena IP-aadressi. 4.3.2.1. Kui olete aadressi sisestanud, vajutage nuppu lähedal
2.2.4. Väliste IP-aadresside loend
Järgmisena esitatakse meile meie alaliste avalike IP-aadresside loend (elastics IP).
2.2.5. Eksemplarile välise IP määramine
Selles loendis valime saadud IP-aadressi ja vajutame rippmenüü kuvamiseks hiire paremat nuppu. Valige selles üksus sidusaadresset määrata see varem loodud eksemplarile.
2.2.6. Välise IP määramise seade
Järgmises etapis valige ripploendist meie eksemplar ja vajutage nuppu Partner
2.2.7. Välise IP määramise tulemuste ülevaade
Pärast seda näeme, et meie eksemplar ja selle privaatne IP-aadress on seotud meie püsiva avaliku IP-aadressiga.
Nüüd saame luua ühenduse oma vastloodud eksemplariga väljastpoolt, oma arvutist SSH kaudu.
3. Ühendage AWS-i eksemplariga
SSH on turvaline protokoll arvutiseadmete kaugjuhtimiseks.
3.1. Ühenduse loomine SSH kaudu Windowsi arvutist
Windowsi arvutiga ühenduse loomiseks peate esmalt programmi alla laadima ja installima kitt.
3.1.1. Importige Putty privaatvõti
3.1.1.1. Pärast Putty installimist peate käivitama sellega kaasasoleva PuTTYgeni utiliidi, et importida sertifikaadivõti PEM-vormingus Putty jaoks sobivasse vormingusse. Selleks valige ülemisest menüüst üksus Konversioonid-> Impordi võti
3.1.1.2. AWS-võtme valimine PEM-vormingus
Järgmiseks valige võti, mille me eelnevalt sammus 2.1.7.1 salvestasime, meie puhul selle nimi wireguard-awskey.pem
3.1.1.3. Võtmete importimise valikute määramine
Selles etapis peame määrama selle võtme (kirjelduse) kommentaari ning määrama turvalisuse tagamiseks parooli ja kinnituse. Seda küsitakse iga kord, kui ühendate. Seega kaitseme võtit parooliga sobimatu kasutamise eest. Sa ei pea parooli määrama, kuid see on vähem turvaline, kui võti satub valedesse kätesse. Pärast seda, kui vajutame nuppu Salvesta privaatvõti
3.1.1.4. Imporditud võtme salvestamine
Avaneb faili salvestamise dialoog ja me salvestame oma privaatvõtme laiendiga failina .ppksobib programmis kasutamiseks kitt.
Määrake võtme nimi (meie puhul wireguard-awskey.ppk) ja vajutage nuppu Säilitama.
3.1.2. Ühenduse loomine ja seadistamine Putty's
3.1.2.1. Looge ühendus
Avage programm Putty, valige kategooria istung (see on vaikimisi avatud) ja väljal Host Name sisestage meie serveri avalik IP-aadress, mille saime sammus 2.2.3. Põllul Salvestatud seanss sisestage meie ühendusele suvaline nimi (minu puhul wireguard-aws-london) ja seejärel vajutage nuppu Säästa tehtud muudatuste salvestamiseks.
3.1.2.2. Kasutaja automaatse sisselogimise seadistamine
Rohkem kategoorias Ühendus, valige alamkategooria kuupäev ja põllul Automaatne sisselogimine kasutajanimi sisesta kasutajanimi ubuntu on eksemplari tavakasutaja Ubuntu AWS-is.
3.1.2.3. Privaatvõtme valimine SSH kaudu ühenduse loomiseks
Seejärel minge alamkategooriasse Ühendus/SSH/Auth ja põllu kõrval Privaatvõtme fail autentimiseks vajuta nuppu Sirvi ... võtmesertifikaadiga faili valimiseks.
3.1.2.4. Imporditud võtme avamine
Määrake võti, mille me varem impordisime sammus 3.1.1.4, meie puhul on see fail wireguard-awskey.ppkja vajutage nuppu avatud.
3.1.2.5. Seadete salvestamine ja ühenduse loomine
Kategoorialehele naasmine istung vajutage uuesti nuppu Säästa, et salvestada muudatused, mille tegime eelmistes etappides (3.1.2.2–3.1.2.4). Ja siis vajutame nuppu avatud meie loodud ja konfigureeritud SSH-kaugühenduse avamiseks.
3.1.2.7. Usalduse loomine hostide vahel
Järgmises etapis, kui proovime esimest korda ühendust luua, antakse meile hoiatus, kahe arvuti vahel pole usaldust konfigureeritud ja küsitakse, kas usaldada kaugarvutit. Me vajutame nuppu Jah, lisades selle seega usaldusväärsete hostide loendisse.
Pärast seda avaneb terminaliaken, kus küsitakse võtme parooli, kui määrasite selle varem sammus 3.1.1.3. Parooli sisestamisel ei toimu ekraanil mingeid toiminguid. Kui teete vea, võite kasutada võtit Backspace.
3.1.2.9. Tervitusteade eduka ühenduse kohta
Pärast parooli edukat sisestamist kuvatakse meile terminalis tervitustekst, mis annab teada, et kaugsüsteem on valmis meie käske täitma.
Installimisprotsess küsib teatud andmeid, mis on vajalikud Wireguardi konfigureerimiseks
4.1.3.1. Ühenduspunkti sisend
Sisestage Wireguardi serveri väline IP-aadress ja avage port. Saime serveri välise IP-aadressi sammus 2.2.3 ja pordi avasime sammus 2.1.5. Märgime need koos, eraldades need näiteks kooloniga 4.3.2.1:54321ja seejärel vajutage klahvi sisene Näidisväljund:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Sisemise IP-aadressi sisestamine
Sisestage turvalise VPN-i alamvõrgu Wireguardi serveri IP-aadress, kui te ei tea, mis see on, vajutage vaikeväärtuse määramiseks sisestusklahvi (10.50.0.1) Näidisväljund:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. DNS-serveri määramine
Sisestage DNS-serveri IP-aadress või vajutage vaikeväärtuse määramiseks lihtsalt sisestusklahvi 1.1.1.1 (Cloudflare'i avalik DNS) Näidisväljund:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. WAN-liidese määramine
Järgmisena peate sisestama välise võrguliidese nime, mis kuulab VPN-i sisevõrgu liidest. AWS-i vaikeväärtuse määramiseks vajutage lihtsalt sisestusklahvi (eth0) Näidisväljund:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Kliendi nime täpsustamine
Sisestage VPN-i kasutaja nimi. Fakt on see, et Wireguard VPN-server ei saa käivituda enne, kui on lisatud vähemalt üks klient. Sel juhul sisestasin nime Alex@mobile Näidisväljund:
Enter VPN user name: Alex@mobile
Pärast seda peaks ekraanile ilmuma QR-kood koos äsja lisatud kliendi konfiguratsiooniga, mida tuleb konfigureerimiseks lugeda Androidi või iOS-i Wireguardi mobiilikliendi abil. Ja ka QR-koodi all kuvatakse klientide käsitsi seadistamise korral konfiguratsioonifaili tekst. Kuidas seda teha, arutatakse allpool.
4.2. Uue VPN-i kasutaja lisamine
Uue kasutaja lisamiseks peate terminalis käivitama skripti add-client.sh
sudo ./add-client.sh
Skript küsib kasutajanime: Näidisväljund:
Enter VPN user name:
Samuti saab kasutajate nimesid edastada skriptiparameetrina (antud juhul Alex@mobile):
sudo ./add-client.sh Alex@mobile
Skripti täitmise tulemusena kliendi nimega kataloogis tee ääres /etc/wireguard/clients/{ИмяКлиента} luuakse kliendi konfiguratsioonifail /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.confja terminali ekraanil kuvatakse QR-kood mobiiliklientide seadistamiseks ja konfiguratsioonifaili sisu.
4.2.1. Kasutaja konfiguratsioonifail
Saate kuvada .conf-faili sisu ekraanil kliendi käsitsi seadistamiseks, kasutades käsku cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR-kood kliendi seadistamiseks
Käsu abil saate terminali ekraanil kuvada varem loodud kliendi konfiguratsiooni QR-koodi qrencode -t ansiutf8 (selles näites kasutatakse klienti nimega Alex@mobile):
Pärast seda peate importima konfiguratsiooni, lugedes QR-koodi koos kliendi konfiguratsiooniga (vt lõik 4.2.2) ja andma sellele nime:
Pärast konfiguratsiooni edukat importimist saate lubada VPN-tunneli. Edukast ühendusest annab märku Androidi süsteemses salves olev võtmehoidik
5.2. Windowsi kliendi seadistamine
Kõigepealt peate programmi alla laadima ja installima TunSafe Windowsi jaoks on Wireguardi klient Windowsi jaoks.
5.2.1. Impordi konfiguratsioonifaili loomine
Paremklõpsake töölaual tekstifaili loomiseks.
5.2.2. Kopeerige konfiguratsioonifaili sisu serverist
Seejärel pöördume tagasi Putty terminali ja kuvame soovitud kasutaja konfiguratsioonifaili sisu, nagu kirjeldatud punktis 4.2.1.
Järgmisena paremklõpsake Putty terminalis konfiguratsiooni tekstil, pärast valiku lõpetamist kopeeritakse see automaatselt lõikepuhvrisse.
5.2.3. Konfiguratsiooni kopeerimine kohalikku konfiguratsioonifaili
Sellel väljal naaseme töölaual varem loodud tekstifaili juurde ja kleepime sellesse lõikepuhvrisse konfiguratsiooniteksti.
5.2.4. Kohaliku konfiguratsioonifaili salvestamine
Salvestage fail laiendiga .conf (antud juhul nimega london.conf)