Kun autoritaariset hallitukset lisäävät Internetin sensuuria, yhä useammat hyödylliset Internet-resurssit ja -sivustot estetään. Sisältää tekniset tiedot.
Näin ollen Internetin täysimääräinen käyttö tulee mahdottomaksi ja loukkaa sananvapautta koskevaa perusoikeutta, joka on kirjattu Ihmisoikeuksien yleismaailmallinen julistus.
Article 19
Jokaisella on oikeus mielipiteen- ja sananvapauteen; tämä oikeus sisältää vapauden pitää mielipiteitä häiritsemättä sekä vapauden etsiä, vastaanottaa ja levittää tietoa ja ajatuksia minkä tahansa tiedotusvälineen kautta ja rajoista riippumatta
Tässä oppaassa otamme käyttöön oman ilmaisohjelmistomme* 6 vaiheessa. VPN-palvelu perustuu teknologiaan suojaverkko, pilviinfrastruktuurissa Amazon Web Services (AWS), käyttämällä ilmaista tiliä (12 kuukauden ajan) ilmentymässä (virtuaalisessa koneessa), jota hallinnoi Ubuntu Server 18.04LTS.
Olen yrittänyt tehdä tästä läpikäynnistä mahdollisimman ystävällisen ei-IT-ihmisille. Ainoa asia, jota vaaditaan, on sinnikkyys alla kuvattujen vaiheiden toistamisessa.
Huomata
AWS tarjoaa ilmainen käyttötaso 12 kuukauden ajaksi ja liikennerajoitus 15 gigatavua kuukaudessa.
Ilmaisen AWS-tilin rekisteröiminen vaatii oikean puhelinnumeron ja voimassa olevan Visa- tai Mastercard-luottokortin. Suosittelen käyttämään ilmaisia virtuaalisia kortteja Yandex tai qiwi lompakko. Kortin voimassaolon tarkistamiseksi rekisteröinnin yhteydessä vähennetään 1 dollari, joka palautetaan myöhemmin.
1.1. AWS-hallintakonsolin avaaminen
Sinun on avattava selain ja siirryttävä osoitteeseen: https://aws.amazon.com/ru/
Napsauta "Rekisteröidy" -painiketta
1.2. Henkilötietojen täyttäminen
Täytä tiedot ja napsauta "Jatka" -painiketta
1.3. Yhteystietojen täyttäminen
Täytä yhteystiedot.
1.4. Maksutietojen määrittäminen.
Kortin numero, viimeinen voimassaolopäivä ja kortinhaltijan nimi.
1.5. Tilin todentaminen
Tässä vaiheessa puhelinnumero vahvistetaan ja 1 dollari veloitetaan suoraan maksukortilta. Tietokoneen näytöllä näkyy 4-numeroinen koodi, ja määritetty puhelin vastaanottaa puhelun Amazonista. Puhelun aikana sinun on valittava näytössä näkyvä koodi.
1.6. Tariffisuunnitelman valinta.
Valitse - peruspaketti (ilmainen)
1.7. Kirjaudu hallintakonsoliin
1.8 Palvelinkeskuksen sijainnin valinta
1.8.1. Nopeustestaus
Ennen kuin valitset palvelinkeskuksen, on suositeltavaa testata se läpi https://speedtest.net pääsyn nopeus lähimpiin datakeskuksiin, minun sijainnissani seuraavat tulokset:
Singapore
Pariisi
Frankfurt
Tukholma
Lontoo
Lontoon palvelinkeskus näyttää parhaat tulokset nopeuden suhteen. Joten valitsin sen lisämuokkausta varten.
2. Luo AWS-esiintymä
2.1 Luo virtuaalikone
2.1.1. Ilmentymän tyypin valitseminen
Oletuksena t2.micro-instanssi on valittu, mitä tarvitsemme, paina vain painiketta Seuraavaksi: Määritä ilmentymän tiedot
2.1.2. Instanssiasetusten asettaminen
Tulevaisuudessa yhdistämme instanssiimme pysyvän julkisen IP-osoitteen, joten tässä vaiheessa poistamme julkisen IP-osoitteen automaattisen määrittämisen käytöstä ja painamme -painiketta Seuraava: Lisää tallennustilaa
2.1.3. Tallennusliitäntä
Määritä "kiintolevyn" koko. Meidän tarkoituksiin 16 gigatavua riittää, ja painamme painiketta Seuraava: Lisää tunnisteita
2.1.4. Tunnisteiden asettaminen
Jos loimme useita esiintymiä, ne voitaisiin ryhmitellä tunnisteiden mukaan hallinnon helpottamiseksi. Tässä tapauksessa tämä toiminto on tarpeeton, paina heti painiketta Seuraavaksi: Määritä suojausryhmä
2.1.5. Porttien avaaminen
Tässä vaiheessa määritämme palomuurin avaamalla tarvittavat portit. Avointen porttien joukkoa kutsutaan suojausryhmäksi. Meidän on luotava uusi suojausryhmä, annettava sille nimi, kuvaus, lisättävä UDP-portti (mukautettu UDP-sääntö), määritettävä Rort Range -kenttään portin numero alueelta dynaamiset portit 49152-65535. Tässä tapauksessa valitsin portin numeron 54321.
Kun olet täyttänyt vaaditut tiedot, napsauta painiketta Tarkastele ja käynnistä
2.1.6. Yleiskatsaus kaikista asetuksista
Tällä sivulla on yleiskatsaus instanssimme kaikista asetuksista, tarkistamme, ovatko kaikki asetukset kunnossa, ja paina -painiketta Käynnistää
2.1.7. Käyttöavaimien luominen
Seuraavaksi tulee valintaikkuna, jossa voit joko luoda tai lisätä olemassa olevan SSH-avaimen, jonka avulla muodostamme myöhemmin etäyhteyden ilmentymäämme. Valitsemme "Luo uusi avainpari" -vaihtoehdon luodaksesi uuden avaimen. Anna sille nimi ja napsauta painiketta Lataa avainpariladataksesi luodut avaimet. Tallenna ne turvalliseen paikkaan paikalliselle tietokoneellesi. Kun olet ladannut, napsauta painiketta. Käynnistä tapaukset
2.1.7.1. Käyttöavaimien tallentaminen
Tässä näkyy vaihe, jossa tallennetaan luodut avaimet edellisestä vaiheesta. Sen jälkeen kun painoimme nappia Lataa avainpari, avain tallennetaan varmennetiedostona *.pem-tunnisteella. Tässä tapauksessa annoin sille nimen wireguard-awskey.pem
2.1.8. Yleiskatsaus ilmentymien luontituloksiin
Seuraavaksi näemme viestin juuri luomamme ilmentymän onnistuneesta käynnistämisestä. Pääsimme esiintymistemme luetteloon napsauttamalla painiketta tarkastella tapauksia
2.2. Ulkoisen IP-osoitteen luominen
2.2.1. Aloitetaan ulkoisen IP:n luominen
Seuraavaksi meidän on luotava pysyvä ulkoinen IP-osoite, jonka kautta muodostamme yhteyden VPN-palvelimeemme. Voit tehdä tämän valitsemalla kohteen näytön vasemmalla puolella olevasta navigointipaneelista Joustavat IP -osoitteet kategoriasta VERKKO JA TURVALLISUUS ja paina painiketta Anna uusi osoite
2.2.2. Ulkoisen IP:n luomisen konfigurointi
Seuraavassa vaiheessa meidän on otettava vaihtoehto käyttöön Amazonin allas (oletusarvoisesti käytössä) ja napsauta painiketta jakaa
Seuraavassa näytössä näkyy saamamme ulkoinen IP-osoite. On suositeltavaa opetella se ulkoa, ja on parempi jopa kirjoittaa se muistiin. se on hyödyllinen useammin kuin kerran VPN-palvelimen lisäasennuksessa ja käytössä. Tässä oppaassa käytän esimerkkinä IP-osoitetta. 4.3.2.1. Kun olet syöttänyt osoitteen, paina -painiketta lähellä
2.2.4. Luettelo ulkoisista IP-osoitteista
Seuraavaksi meille esitetään luettelo pysyvistä julkisista IP-osoitteistamme (elastics IP).
2.2.5. Ulkoisen IP:n määrittäminen ilmentymälle
Valitsemme tästä luettelosta saamamme IP-osoitteen ja painamme hiiren oikeaa painiketta avataksesi pudotusvalikon. Valitse siinä kohde liitännäisosoitemäärittääksesi sen aiemmin luomalle ilmentymälle.
2.2.6. Ulkoisen IP-osoitteen määritys
Valitse seuraavassa vaiheessa esiintymämme avattavasta luettelosta ja paina -painiketta Työtoveri
Sen jälkeen voimme nähdä, että ilmentymämme ja sen yksityinen IP-osoite on sidottu pysyvään julkiseen IP-osoitteeseemme.
Nyt voimme muodostaa yhteyden äskettäin luotuun ilmentymään ulkopuolelta, tietokoneeltamme SSH:n kautta.
3. Muodosta yhteys AWS-esiintymään
SSH on suojattu protokolla tietokonelaitteiden kauko-ohjaukseen.
3.1. Yhteyden muodostaminen SSH:n kautta Windows-tietokoneesta
Jotta voit muodostaa yhteyden Windows-tietokoneeseen, sinun on ensin ladattava ja asennettava ohjelma kitti.
3.1.1. Tuo Puttyn yksityinen avain
3.1.1.1. Puttyn asennuksen jälkeen sinun on suoritettava sen mukana tuleva PuTTYgen-apuohjelma tuodaksesi varmenneavaimen PEM-muodossa Puttyssa käytettäväksi sopivassa muodossa. Voit tehdä tämän valitsemalla kohteen ylävalikosta Konversiot-> Tuo avain
3.1.1.2. AWS-avaimen valitseminen PEM-muodossa
Valitse seuraavaksi avain, jonka olemme aiemmin tallentaneet vaiheessa 2.1.7.1, meidän tapauksessamme sen nimi wireguard-awskey.pem
3.1.1.3. Avainten tuontiasetusten asettaminen
Tässä vaiheessa meidän on määritettävä kommentti tälle avaimelle (kuvaus) ja asetettava salasana ja vahvistus turvallisuuden vuoksi. Sitä pyydetään aina, kun muodostat yhteyden. Näin ollen suojaamme avaimen väärinkäytöltä salasanalla. Sinun ei tarvitse asettaa salasanaa, mutta se on vähemmän turvallinen, jos avain joutuu vääriin käsiin. Kun olemme painaneet painiketta Tallenna yksityinen avain
3.1.1.4. Tuodun avaimen tallentaminen
Tallenna tiedosto -valintaikkuna avautuu ja tallennamme yksityisen avaimemme tiedostona, jonka tunniste on .ppksopii käytettäväksi ohjelmassa kitti.
Määritä avaimen nimi (tapauksessamme wireguard-awskey.ppk) ja paina -painiketta Säilyttää.
3.1.2. Yhteyden luominen ja määrittäminen Puttyssa
3.1.2.1. Luo yhteys
Avaa Putty-ohjelma, valitse luokka istunto (se on oletuksena auki) ja kentällä Host Name syötä palvelimemme julkinen IP-osoite, jonka saimme vaiheessa 2.2.3. Kentällä Tallennettu istunto anna mielivaltainen nimi yhteydellemme (minun tapauksessani wireguard-aws-london) ja paina sitten -painiketta Säästä tallentaaksemme tekemämme muutokset.
3.1.2.2. Käyttäjän automaattisen sisäänkirjautumisen asettaminen
Lisää kategoriassa Yhteys, valitse alaluokka Päiväys ja kentällä Automaattinen sisäänkirjautuminen käyttäjätunnus syötä käyttäjätunnus Ubuntu on ilmentymän tavallinen käyttäjä AWS:ssä Ubuntun kanssa.
3.1.2.3. Yksityisen avaimen valitseminen SSH-yhteyden muodostamista varten
Siirry sitten alaluokkaan Yhteys/SSH/Auth ja kentän vieressä Yksityinen avaintiedosto todennusta varten napsauta painiketta Selaa ... valitaksesi tiedoston, jossa on avainvarmenne.
3.1.2.4. Tuodun avaimen avaaminen
Määritä avain, jonka toimme aiemmin vaiheessa 3.1.1.4, meidän tapauksessamme se on tiedosto wireguard-awskey.ppk, ja paina -painiketta avoin.
3.1.2.5. Asetusten tallentaminen ja yhteyden muodostaminen
Palataan luokkasivulle istunto paina painiketta uudelleen Säästä, tallentaaksesi muutokset, jotka teimme aiemmin edellisissä vaiheissa (3.1.2.2 - 3.1.2.4). Ja sitten painamme nappia avoin avataksemme luomamme ja määrittämämme SSH-etäyhteyden.
3.1.2.7. Luottamuksen luominen isäntien välille
Seuraavassa vaiheessa, kun yritämme muodostaa yhteyden ensimmäistä kertaa, meille annetaan varoitus, kahden tietokoneen välille ei ole määritetty luottamusta, ja kysytään, voidaanko luottaa etätietokoneeseen. Painamme nappia Kyllä, mikä lisää sen luotettujen isäntien luetteloon.
Tämän jälkeen avautuu pääteikkuna, jossa sinulta kysytään salasanaa avaimelle, jos olet asettanut sen aiemmin vaiheessa 3.1.1.3. Kun syötät salasanan, näytöllä ei tapahdu mitään. Jos teet virheen, voit käyttää avainta Backspace.
3.1.2.9. Tervetuloviesti onnistuneesta yhteyden muodostamisesta
Kun salasana on syötetty onnistuneesti, päätteessä näytetään tervetuloteksti, joka kertoo, että etäjärjestelmä on valmis suorittamaan komentojamme.
Asennusprosessi pyytää tiettyjä Wireguardin määrittämiseen tarvittavia tietoja
4.1.3.1. Liitäntäpisteen tulo
Anna Wireguard-palvelimen ulkoinen IP-osoite ja avaa portti. Saimme palvelimen ulkoisen IP-osoitteen vaiheessa 2.2.3 ja avasimme portin vaiheessa 2.1.5. Merkitsemme ne yhdessä erottamalla ne esimerkiksi kaksoispisteellä 4.3.2.1:54321ja paina sitten -näppäintä enter Näytetulostus:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Sisäisen IP-osoitteen syöttäminen
Syötä suojatun VPN-aliverkon Wireguard-palvelimen IP-osoite, jos et tiedä mikä se on, paina Enter-näppäintä asettaaksesi oletusarvon (10.50.0.1) Näytetulostus:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. DNS-palvelimen määrittäminen
Anna DNS-palvelimen IP-osoite tai aseta oletusarvo painamalla Enter-näppäintä 1.1.1.1 (Cloudflaren julkinen DNS) Näytetulostus:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. WAN-liitännän määrittäminen
Seuraavaksi sinun on syötettävä sen ulkoisen verkkoliitännän nimi, joka kuuntelee VPN:n sisäistä verkkoliitäntää. Paina vain Enter asettaaksesi oletusarvon AWS:lle (eth0) Näytetulostus:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Asiakkaan nimen määrittäminen
Kirjoita VPN-käyttäjän nimi. Tosiasia on, että Wireguard VPN -palvelin ei voi käynnistyä ennen kuin vähintään yksi asiakas on lisätty. Tässä tapauksessa kirjoitin nimen Alex@mobile Näytetulostus:
Enter VPN user name: Alex@mobile
Sen jälkeen näytölle pitäisi ilmestyä QR-koodi, jossa on juuri lisätyn asiakkaan asetukset, joka on luettava Wireguard-mobiiliasiakassovelluksella Android- tai iOS-laitteella sen määrittämiseksi. Ja myös QR-koodin alla, konfigurointitiedoston teksti näytetään asiakkaiden manuaalisen konfiguroinnin yhteydessä. Miten tämä tehdään, keskustellaan alla.
4.2. Uuden VPN-käyttäjän lisääminen
Jos haluat lisätä uuden käyttäjän, sinun on suoritettava komentosarja päätteessä add-client.sh
sudo ./add-client.sh
Skripti pyytää käyttäjätunnusta: Näytetulostus:
Enter VPN user name:
Myös käyttäjien nimet voidaan välittää komentosarjaparametrina (tässä tapauksessa Alex@mobile):
sudo ./add-client.sh Alex@mobile
Komentosarjan suorittamisen seurauksena hakemistossa asiakkaan nimi polun varrella /etc/wireguard/clients/{ИмяКлиента} asiakkaan asetustiedosto luodaan /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, ja päätenäytössä näkyy QR-koodi mobiiliasiakkaiden määrittämistä varten ja määritystiedoston sisältö.
4.2.1. Käyttäjän asetustiedosto
Voit näyttää .conf-tiedoston sisällön näytöllä asiakkaan manuaalista konfigurointia varten komennolla cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR-koodi asiakasmäärityksiä varten
Voit näyttää aiemmin luodun asiakkaan konfigurointi-QR-koodin päätenäytössä komennolla qrencode -t ansiutf8 (tässä esimerkissä käytetään asiakasta nimeltä Alex@mobile):
5.2.2. Kopioi asetustiedoston sisältö palvelimelta
Sitten palaamme Putty-päätteeseen ja näytämme halutun käyttäjän asetustiedoston sisällön vaiheessa 4.2.1 kuvatulla tavalla.
Napsauta seuraavaksi hiiren oikealla painikkeella asetustekstiä Putty-päätteessä, kun valinta on valmis, se kopioidaan automaattisesti leikepöydälle.