Mitä?

Kun autoritaariset hallitukset lisäävät Internetin sensuuria, yhä useammat hyödylliset Internet-resurssit ja -sivustot estetään. Sisältää tekniset tiedot.
Näin ollen Internetin täysimääräinen käyttö tulee mahdottomaksi ja loukkaa sananvapautta koskevaa perusoikeutta, joka on kirjattu Ihmisoikeuksien yleismaailmallinen julistus.

Article 19
Jokaisella on oikeus mielipiteen- ja sananvapauteen; tämä oikeus sisältää vapauden pitää mielipiteitä häiritsemättä sekä vapauden etsiä, vastaanottaa ja levittää tietoa ja ajatuksia minkä tahansa tiedotusvälineen kautta ja rajoista riippumatta

Tässä oppaassa otamme käyttöön oman ilmaisohjelmistomme* 6 vaiheessa. VPN-palvelu perustuu teknologiaan suojaverkko, pilviinfrastruktuurissa Amazon Web Services (AWS), käyttämällä ilmaista tiliä (12 kuukauden ajan) ilmentymässä (virtuaalisessa koneessa), jota hallinnoi Ubuntu Server 18.04LTS.
Olen yrittänyt tehdä tästä läpikäynnistä mahdollisimman ystävällisen ei-IT-ihmisille. Ainoa asia, jota vaaditaan, on sinnikkyys alla kuvattujen vaiheiden toistamisessa.

Huomata

• AWS tarjoaa ilmainen käyttötaso 12 kuukauden ajaksi ja liikennerajoitus 15 gigatavua kuukaudessa.
• Tämän oppaan viimeisin versio löytyy osoitteesta https://wireguard.isystem.io

vaiheet

1. Rekisteröidy saadaksesi ilmainen AWS-tili
2. Luo AWS-esiintymä
3. Yhdistetään AWS-instanssiin
4. Johdinsuojan kokoonpano
5. VPN-asiakkaiden määrittäminen
6. VPN-asennuksen oikeellisuuden tarkistaminen

Hyödyllisiä linkkejä

• Automaattiset asennusskriptit Wireguardille AWS:ssä

1. AWS-tilin rekisteröinti

Ilmaisen AWS-tilin rekisteröiminen vaatii oikean puhelinnumeron ja voimassa olevan Visa- tai Mastercard-luottokortin. Suosittelen käyttämään ilmaisia ​​virtuaalisia kortteja Yandex tai qiwi lompakko. Kortin voimassaolon tarkistamiseksi rekisteröinnin yhteydessä vähennetään 1 dollari, joka palautetaan myöhemmin.

1.1. AWS-hallintakonsolin avaaminen

Sinun on avattava selain ja siirryttävä osoitteeseen: https://aws.amazon.com/ru/
Napsauta "Rekisteröidy" -painiketta

1.2. Henkilötietojen täyttäminen

Täytä tiedot ja napsauta "Jatka" -painiketta

1.3. Yhteystietojen täyttäminen

Täytä yhteystiedot.

1.4. Maksutietojen määrittäminen.

Kortin numero, viimeinen voimassaolopäivä ja kortinhaltijan nimi.

1.5. Tilin todentaminen

Tässä vaiheessa puhelinnumero vahvistetaan ja 1 dollari veloitetaan suoraan maksukortilta. Tietokoneen näytöllä näkyy 4-numeroinen koodi, ja määritetty puhelin vastaanottaa puhelun Amazonista. Puhelun aikana sinun on valittava näytössä näkyvä koodi.

1.6. Tariffisuunnitelman valinta.

Valitse - peruspaketti (ilmainen)

1.7. Kirjaudu hallintakonsoliin

1.8 Palvelinkeskuksen sijainnin valinta

1.8.1. Nopeustestaus

Ennen kuin valitset palvelinkeskuksen, on suositeltavaa testata se läpi https://speedtest.net pääsyn nopeus lähimpiin datakeskuksiin, minun sijainnissani seuraavat tulokset:

• Singapore
  
• Pariisi
  
• Frankfurt
  
• Tukholma
  
• Lontoo
  

Lontoon palvelinkeskus näyttää parhaat tulokset nopeuden suhteen. Joten valitsin sen lisämuokkausta varten.

2. Luo AWS-esiintymä

2.1 Luo virtuaalikone

2.1.1. Ilmentymän tyypin valitseminen

Oletuksena t2.micro-instanssi on valittu, mitä tarvitsemme, paina vain painiketta Seuraavaksi: Määritä ilmentymän tiedot

2.1.2. Instanssiasetusten asettaminen

Tulevaisuudessa yhdistämme instanssiimme pysyvän julkisen IP-osoitteen, joten tässä vaiheessa poistamme julkisen IP-osoitteen automaattisen määrittämisen käytöstä ja painamme -painiketta Seuraava: Lisää tallennustilaa

2.1.3. Tallennusliitäntä

Määritä "kiintolevyn" koko. Meidän tarkoituksiin 16 gigatavua riittää, ja painamme painiketta Seuraava: Lisää tunnisteita

2.1.4. Tunnisteiden asettaminen

Jos loimme useita esiintymiä, ne voitaisiin ryhmitellä tunnisteiden mukaan hallinnon helpottamiseksi. Tässä tapauksessa tämä toiminto on tarpeeton, paina heti painiketta Seuraavaksi: Määritä suojausryhmä

2.1.5. Porttien avaaminen

Tässä vaiheessa määritämme palomuurin avaamalla tarvittavat portit. Avointen porttien joukkoa kutsutaan suojausryhmäksi. Meidän on luotava uusi suojausryhmä, annettava sille nimi, kuvaus, lisättävä UDP-portti (mukautettu UDP-sääntö), määritettävä Rort Range -kenttään portin numero alueelta dynaamiset portit 49152-65535. Tässä tapauksessa valitsin portin numeron 54321.

Kun olet täyttänyt vaaditut tiedot, napsauta painiketta Tarkastele ja käynnistä

2.1.6. Yleiskatsaus kaikista asetuksista

Tällä sivulla on yleiskatsaus instanssimme kaikista asetuksista, tarkistamme, ovatko kaikki asetukset kunnossa, ja paina -painiketta Käynnistää

2.1.7. Käyttöavaimien luominen

Seuraavaksi tulee valintaikkuna, jossa voit joko luoda tai lisätä olemassa olevan SSH-avaimen, jonka avulla muodostamme myöhemmin etäyhteyden ilmentymäämme. Valitsemme "Luo uusi avainpari" -vaihtoehdon luodaksesi uuden avaimen. Anna sille nimi ja napsauta painiketta Lataa avainpariladataksesi luodut avaimet. Tallenna ne turvalliseen paikkaan paikalliselle tietokoneellesi. Kun olet ladannut, napsauta painiketta. Käynnistä tapaukset

2.1.7.1. Käyttöavaimien tallentaminen

Tässä näkyy vaihe, jossa tallennetaan luodut avaimet edellisestä vaiheesta. Sen jälkeen kun painoimme nappia Lataa avainpari, avain tallennetaan varmennetiedostona *.pem-tunnisteella. Tässä tapauksessa annoin sille nimen wireguard-awskey.pem

2.1.8. Yleiskatsaus ilmentymien luontituloksiin

Seuraavaksi näemme viestin juuri luomamme ilmentymän onnistuneesta käynnistämisestä. Pääsimme esiintymistemme luetteloon napsauttamalla painiketta tarkastella tapauksia

2.2. Ulkoisen IP-osoitteen luominen

2.2.1. Aloitetaan ulkoisen IP:n luominen

Seuraavaksi meidän on luotava pysyvä ulkoinen IP-osoite, jonka kautta muodostamme yhteyden VPN-palvelimeemme. Voit tehdä tämän valitsemalla kohteen näytön vasemmalla puolella olevasta navigointipaneelista Joustavat IP -osoitteet kategoriasta VERKKO JA TURVALLISUUS ja paina painiketta Anna uusi osoite

2.2.2. Ulkoisen IP:n luomisen konfigurointi

Seuraavassa vaiheessa meidän on otettava vaihtoehto käyttöön Amazonin allas (oletusarvoisesti käytössä) ja napsauta painiketta jakaa

2.2.3. Yleiskatsaus ulkoisen IP-osoitteen luomisen tuloksiin

Seuraavassa näytössä näkyy saamamme ulkoinen IP-osoite. On suositeltavaa opetella se ulkoa, ja on parempi jopa kirjoittaa se muistiin. se on hyödyllinen useammin kuin kerran VPN-palvelimen lisäasennuksessa ja käytössä. Tässä oppaassa käytän esimerkkinä IP-osoitetta. 4.3.2.1. Kun olet syöttänyt osoitteen, paina -painiketta lähellä

2.2.4. Luettelo ulkoisista IP-osoitteista

Seuraavaksi meille esitetään luettelo pysyvistä julkisista IP-osoitteistamme (elastics IP).

2.2.5. Ulkoisen IP:n määrittäminen ilmentymälle

Valitsemme tästä luettelosta saamamme IP-osoitteen ja painamme hiiren oikeaa painiketta avataksesi pudotusvalikon. Valitse siinä kohde liitännäisosoitemäärittääksesi sen aiemmin luomalle ilmentymälle.

2.2.6. Ulkoisen IP-osoitteen määritys

Valitse seuraavassa vaiheessa esiintymämme avattavasta luettelosta ja paina -painiketta Työtoveri

2.2.7. Yleiskatsaus ulkoisten IP-osoitteiden tuloksiin

Sen jälkeen voimme nähdä, että ilmentymämme ja sen yksityinen IP-osoite on sidottu pysyvään julkiseen IP-osoitteeseemme.

Nyt voimme muodostaa yhteyden äskettäin luotuun ilmentymään ulkopuolelta, tietokoneeltamme SSH:n kautta.

3. Muodosta yhteys AWS-esiintymään

SSH on suojattu protokolla tietokonelaitteiden kauko-ohjaukseen.

3.1. Yhteyden muodostaminen SSH:n kautta Windows-tietokoneesta

Jotta voit muodostaa yhteyden Windows-tietokoneeseen, sinun on ensin ladattava ja asennettava ohjelma kitti.

3.1.1. Tuo Puttyn yksityinen avain

3.1.1.1. Puttyn asennuksen jälkeen sinun on suoritettava sen mukana tuleva PuTTYgen-apuohjelma tuodaksesi varmenneavaimen PEM-muodossa Puttyssa käytettäväksi sopivassa muodossa. Voit tehdä tämän valitsemalla kohteen ylävalikosta Konversiot-> Tuo avain

3.1.1.2. AWS-avaimen valitseminen PEM-muodossa

Valitse seuraavaksi avain, jonka olemme aiemmin tallentaneet vaiheessa 2.1.7.1, meidän tapauksessamme sen nimi wireguard-awskey.pem

3.1.1.3. Avainten tuontiasetusten asettaminen

Tässä vaiheessa meidän on määritettävä kommentti tälle avaimelle (kuvaus) ja asetettava salasana ja vahvistus turvallisuuden vuoksi. Sitä pyydetään aina, kun muodostat yhteyden. Näin ollen suojaamme avaimen väärinkäytöltä salasanalla. Sinun ei tarvitse asettaa salasanaa, mutta se on vähemmän turvallinen, jos avain joutuu vääriin käsiin. Kun olemme painaneet painiketta Tallenna yksityinen avain

3.1.1.4. Tuodun avaimen tallentaminen

Tallenna tiedosto -valintaikkuna avautuu ja tallennamme yksityisen avaimemme tiedostona, jonka tunniste on .ppksopii käytettäväksi ohjelmassa kitti.
Määritä avaimen nimi (tapauksessamme wireguard-awskey.ppk) ja paina -painiketta Säilyttää.

3.1.2. Yhteyden luominen ja määrittäminen Puttyssa

3.1.2.1. Luo yhteys

Avaa Putty-ohjelma, valitse luokka istunto (se on oletuksena auki) ja kentällä Host Name syötä palvelimemme julkinen IP-osoite, jonka saimme vaiheessa 2.2.3. Kentällä Tallennettu istunto anna mielivaltainen nimi yhteydellemme (minun tapauksessani wireguard-aws-london) ja paina sitten -painiketta Säästä tallentaaksemme tekemämme muutokset.

3.1.2.2. Käyttäjän automaattisen sisäänkirjautumisen asettaminen

Lisää kategoriassa Yhteys, valitse alaluokka Päiväys ja kentällä Automaattinen sisäänkirjautuminen käyttäjätunnus syötä käyttäjätunnus Ubuntu on ilmentymän tavallinen käyttäjä AWS:ssä Ubuntun kanssa.

3.1.2.3. Yksityisen avaimen valitseminen SSH-yhteyden muodostamista varten

Siirry sitten alaluokkaan Yhteys/SSH/Auth ja kentän vieressä Yksityinen avaintiedosto todennusta varten napsauta painiketta Selaa ... valitaksesi tiedoston, jossa on avainvarmenne.

3.1.2.4. Tuodun avaimen avaaminen

Määritä avain, jonka toimme aiemmin vaiheessa 3.1.1.4, meidän tapauksessamme se on tiedosto wireguard-awskey.ppk, ja paina -painiketta avoin.

3.1.2.5. Asetusten tallentaminen ja yhteyden muodostaminen

Palataan luokkasivulle istunto paina painiketta uudelleen Säästä, tallentaaksesi muutokset, jotka teimme aiemmin edellisissä vaiheissa (3.1.2.2 - 3.1.2.4). Ja sitten painamme nappia avoin avataksemme luomamme ja määrittämämme SSH-etäyhteyden.

3.1.2.7. Luottamuksen luominen isäntien välille

Seuraavassa vaiheessa, kun yritämme muodostaa yhteyden ensimmäistä kertaa, meille annetaan varoitus, kahden tietokoneen välille ei ole määritetty luottamusta, ja kysytään, voidaanko luottaa etätietokoneeseen. Painamme nappia Kyllä, mikä lisää sen luotettujen isäntien luetteloon.

3.1.2.8. Salasanan syöttäminen avaimeen pääsemiseksi

Tämän jälkeen avautuu pääteikkuna, jossa sinulta kysytään salasanaa avaimelle, jos olet asettanut sen aiemmin vaiheessa 3.1.1.3. Kun syötät salasanan, näytöllä ei tapahdu mitään. Jos teet virheen, voit käyttää avainta Backspace.

3.1.2.9. Tervetuloviesti onnistuneesta yhteyden muodostamisesta

Kun salasana on syötetty onnistuneesti, päätteessä näytetään tervetuloteksti, joka kertoo, että etäjärjestelmä on valmis suorittamaan komentojamme.

4. Wireguard-palvelimen määrittäminen

Ajantasaisimmat ohjeet Wireguardin asentamiseen ja käyttöön alla kuvattujen skriptien avulla löytyvät arkistosta: https://github.com/isystem-io/wireguard-aws

4.1. WireGuardin asennus

Kirjoita terminaaliin seuraavat komennot (voit kopioida leikepöydälle ja liittää päätteeseen painamalla hiiren oikeaa painiketta):

4.1.1. Arkiston kloonaus

Kloonaa arkisto Wireguard-asennusskripteillä

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Vaihtaminen hakemistoon skripteillä

Siirry hakemistoon, jossa on kloonattu arkisto

cd wireguard_aws

4.1.3 Alustuskomentosarjan suorittaminen

Suorita Wireguard-asennuskomentosarja järjestelmänvalvojana (root-käyttäjänä).

sudo ./initial.sh

Asennusprosessi pyytää tiettyjä Wireguardin määrittämiseen tarvittavia tietoja

4.1.3.1. Liitäntäpisteen tulo

Anna Wireguard-palvelimen ulkoinen IP-osoite ja avaa portti. Saimme palvelimen ulkoisen IP-osoitteen vaiheessa 2.2.3 ja avasimme portin vaiheessa 2.1.5. Merkitsemme ne yhdessä erottamalla ne esimerkiksi kaksoispisteellä 4.3.2.1:54321ja paina sitten -näppäintä enter
Näytetulostus:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Sisäisen IP-osoitteen syöttäminen

Syötä suojatun VPN-aliverkon Wireguard-palvelimen IP-osoite, jos et tiedä mikä se on, paina Enter-näppäintä asettaaksesi oletusarvon (10.50.0.1)
Näytetulostus:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNS-palvelimen määrittäminen

Anna DNS-palvelimen IP-osoite tai aseta oletusarvo painamalla Enter-näppäintä 1.1.1.1 (Cloudflaren julkinen DNS)
Näytetulostus:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WAN-liitännän määrittäminen

Seuraavaksi sinun on syötettävä sen ulkoisen verkkoliitännän nimi, joka kuuntelee VPN:n sisäistä verkkoliitäntää. Paina vain Enter asettaaksesi oletusarvon AWS:lle (eth0)
Näytetulostus:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Asiakkaan nimen määrittäminen

Kirjoita VPN-käyttäjän nimi. Tosiasia on, että Wireguard VPN -palvelin ei voi käynnistyä ennen kuin vähintään yksi asiakas on lisätty. Tässä tapauksessa kirjoitin nimen Alex@mobile
Näytetulostus:

Enter VPN user name: Alex@mobile

Sen jälkeen näytölle pitäisi ilmestyä QR-koodi, jossa on juuri lisätyn asiakkaan asetukset, joka on luettava Wireguard-mobiiliasiakassovelluksella Android- tai iOS-laitteella sen määrittämiseksi. Ja myös QR-koodin alla, konfigurointitiedoston teksti näytetään asiakkaiden manuaalisen konfiguroinnin yhteydessä. Miten tämä tehdään, keskustellaan alla.

4.2. Uuden VPN-käyttäjän lisääminen

Jos haluat lisätä uuden käyttäjän, sinun on suoritettava komentosarja päätteessä add-client.sh

sudo ./add-client.sh

Skripti pyytää käyttäjätunnusta:
Näytetulostus:

Enter VPN user name: 

Myös käyttäjien nimet voidaan välittää komentosarjaparametrina (tässä tapauksessa Alex@mobile):

sudo ./add-client.sh Alex@mobile

Komentosarjan suorittamisen seurauksena hakemistossa asiakkaan nimi polun varrella /etc/wireguard/clients/{ИмяКлиента} asiakkaan asetustiedosto luodaan /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, ja päätenäytössä näkyy QR-koodi mobiiliasiakkaiden määrittämistä varten ja määritystiedoston sisältö.

4.2.1. Käyttäjän asetustiedosto

Voit näyttää .conf-tiedoston sisällön näytöllä asiakkaan manuaalista konfigurointia varten komennolla cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

suorituksen tulos:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Asiakkaan asetustiedoston kuvaus:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR-koodi asiakasmäärityksiä varten

Voit näyttää aiemmin luodun asiakkaan konfigurointi-QR-koodin päätenäytössä komennolla qrencode -t ansiutf8 (tässä esimerkissä käytetään asiakasta nimeltä Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. VPN-asiakkaiden määrittäminen

5.1. Android-mobiiliasiakkaan määrittäminen

Virallinen Wireguard-asiakas Androidille voi olla asentaa virallisesta Google Play Kaupasta

Tämän jälkeen sinun on tuotava konfiguraatio lukemalla QR-koodi asiakaskokoonpanon kanssa (katso kappale 4.2.2) ja annettava sille nimi:

Kun kokoonpano on tuotu onnistuneesti, voit ottaa VPN-tunnelin käyttöön. Onnistunut yhteys ilmaistaan ​​avainsäilöllä Android-järjestelmäpalkissa

5.2. Windows-asiakasasetukset

Ensin sinun on ladattava ja asennettava ohjelma TunSafe Windowsille on Wireguard-asiakas Windowsille.

5.2.1. Luodaan tuontimääritystiedostoa

Napsauta hiiren kakkospainikkeella luodaksesi tekstitiedoston työpöydälle.

5.2.2. Kopioi asetustiedoston sisältö palvelimelta

Sitten palaamme Putty-päätteeseen ja näytämme halutun käyttäjän asetustiedoston sisällön vaiheessa 4.2.1 kuvatulla tavalla.
Napsauta seuraavaksi hiiren oikealla painikkeella asetustekstiä Putty-päätteessä, kun valinta on valmis, se kopioidaan automaattisesti leikepöydälle.

5.2.3. Määritysten kopioiminen paikalliseen asetustiedostoon

Tässä kentässä palaamme työpöydälle aiemmin luomaan tekstitiedostoon ja liitämme siihen asetusteksti leikepöydältä.

5.2.4. Paikallisen asetustiedoston tallentaminen

Tallenna tiedosto tunnisteella .conf (tässä tapauksessa nimeltä london.conf)

5.2.5. Tuodaan paikallista asetustiedostoa

Seuraavaksi sinun on tuotava määritystiedosto TunSafe-ohjelmaan.

5.2.6. VPN-yhteyden määrittäminen

Valitse tämä asetustiedosto ja muodosta yhteys napsauttamalla -painiketta kytkeä.

6. Tarkistaa, onnistuiko yhteys

VPN-tunnelin kautta muodostetun yhteyden onnistumisen tarkistamiseksi sinun on avattava selain ja siirryttävä sivustolle https://2ip.ua/ru/

Näytössä olevan IP-osoitteen on vastattava vaiheessa 2.2.3 saamaamme IP-osoitetta.
Jos näin on, VPN-tunneli toimii onnistuneesti.

Linux-päätteestä voit tarkistaa IP-osoitteesi kirjoittamalla:

curl http://zx2c4.com/ip

Tai voit vain mennä pornhubiin, jos olet Kazakstanissa.

Lähde: will.com