בשביל מה?

עם הגדלת הצנזורה של האינטרנט על ידי משטרים אוטוריטריים, מספר הולך וגדל של משאבי אינטרנט ואתרים שימושיים נחסמים. כולל מידע טכני.
כך, אי אפשר לעשות שימוש מלא באינטרנט ופוגע בזכות היסודית לחופש הביטוי, המעוגנת ב הצהרה האוניברסלית של זכויות האדם.

סעיף 19
לכל אדם יש זכות לחופש הדעה והביטוי; זכות זו כוללת חופש להחזיק בדעות ללא הפרעה ולחפש, לקבל ולמסור מידע ורעיונות בכל אמצעי תקשורת וללא קשר לגבולות

במדריך זה, נפרוס את התוכנה החינמית שלנו* ב-6 שלבים. שירות VPN מבוסס על טכנולוגיה מגן, בתשתית ענן אמזון שירותי אינטרנט (AWS), באמצעות חשבון חינמי (למשך 12 חודשים), במופע (מכונה וירטואלית) המנוהלת על ידי שרת אובונטו 18.04 LTS.
ניסיתי להפוך את ההליכה הזו לידידותית ככל האפשר לאנשים שאינם אנשי IT. הדבר היחיד שנדרש הוא התמדה לחזור על השלבים המתוארים להלן.

שים לב

• AWS מספקת שכבת שימוש בחינם לתקופה של 12 חודשים, עם הגבלה של 15 גיגה-בייט של תעבורה בחודש.
• את הגרסה המעודכנת ביותר של מדריך זה ניתן למצוא בכתובת https://wireguard.isystem.io

שלבים

1. הירשם לחשבון AWS בחינם
2. צור מופע AWS
3. מתחבר למופע AWS
4. תצורת Wireguard
5. הגדרת לקוחות VPN
6. בדיקת תקינות התקנת ה-VPN

קישורים שימושיים

• סקריפטים להתקנה אוטומטית עבור Wireguard ב-AWS

1. רישום חשבון AWS

הרשמה לחשבון AWS בחינם דורשת מספר טלפון אמיתי וכרטיס אשראי תקף של ויזה או מאסטרקארד. אני ממליץ להשתמש בכרטיסים וירטואליים שמסופקים בחינם Yandex.Money או ארנק QIWI. לבדיקת תוקפו של הכרטיס מנכים במהלך ההרשמה $1, המוחזר מאוחר יותר.

1.1. פתיחת מסוף הניהול של AWS

עליך לפתוח דפדפן ולעבור אל: https://aws.amazon.com/ru/
לחץ על כפתור "הרשמה".

1.2. מילוי נתונים אישיים

מלאו את הנתונים ולחצו על כפתור "המשך".

1.3. מילוי פרטי התקשרות

מלא פרטי קשר.

1.4. ציון פרטי תשלום.

מספר כרטיס, תאריך תפוגה ושם בעל הכרטיס.

1.5. אימות חשבון

בשלב זה, מספר הטלפון מאושר ו-$1 מחויב ישירות מכרטיס התשלום. קוד בן 4 ספרות מוצג על מסך המחשב, והטלפון שצוין מקבל שיחה מאמזון. במהלך שיחה, עליך לחייג את הקוד המוצג על המסך.

1.6. בחירת תוכנית תעריפים.

בחר - תוכנית בסיסית (חינם)

1.7. היכנס למסוף הניהול

1.8. בחירת מיקום מרכז הנתונים

1.8.1. בדיקת מהירות

לפני בחירת מרכז נתונים, מומלץ לבדוק דרך https://speedtest.net מהירות הגישה למרכזי הנתונים הקרובים ביותר, במיקום שלי התוצאות הבאות:

• סינגפור
  
• פריז
  
• פרנקפורט
  
• שטוקהולם
  
• לונדון
  

מרכז הנתונים בלונדון מציג את התוצאות הטובות ביותר מבחינת מהירות. אז בחרתי בו להתאמה אישית נוספת.

2. צור מופע AWS

2.1 צור מכונה וירטואלית

2.1.1. בחירת סוג מופע

כברירת מחדל, המופע t2.micro נבחר, וזה מה שאנחנו צריכים, פשוט לחץ על הכפתור הבא: הגדר את פרטי המופע

2.1.2. הגדרת אפשרויות מופע

בעתיד, נחבר IP ציבורי קבוע למופע שלנו, אז בשלב זה אנו מכבים את ההקצאה האוטומטית של IP ציבורי, ולוחצים על הכפתור הבא: הוסף אחסון

2.1.3. חיבור לאחסון

ציין את גודל ה"דיסק הקשיח". לענייננו, 16 גיגה-בייט מספיקים, ואנחנו לוחצים על הכפתור הבא: הוסף תגים

2.1.4. הגדרת תגים

אם יצרנו מספר מופעים, ניתן לקבץ אותם לפי תגים כדי להקל על הניהול. במקרה זה, פונקציונליות זו מיותרת, לחץ מיד על הכפתור הבא: הגדר את קבוצת האבטחה

2.1.5. פתיחת יציאות

בשלב זה, אנו מגדירים את חומת האש על ידי פתיחת היציאות הנדרשות. קבוצת היציאות הפתוחות נקראת קבוצת האבטחה. עלינו ליצור קבוצת אבטחה חדשה, לתת לה שם, תיאור, להוסיף יציאת UDP (Custom UDP Rule), בשדה Ror Range, להקצות מספר יציאה מהטווח יציאות דינמיות 49152-65535. במקרה זה, בחרתי ביציאה מספר 54321.

לאחר מילוי הנתונים הנדרשים, לחץ על הכפתור סקור והפעל

2.1.6. סקירה כללית של כל ההגדרות

בעמוד זה יש סקירה כללית של כל ההגדרות של המופע שלנו, אנחנו בודקים אם כל ההגדרות תקינות, ולוחצים על הכפתור לשגר

2.1.7. יצירת מפתחות גישה

לאחר מכן מגיעה תיבת דו-שיח המציעה ליצור או להוסיף מפתח SSH קיים, איתו נתחבר מאוחר יותר מרחוק למופע שלנו. אנו בוחרים באפשרות "צור זוג מפתחות חדש" כדי ליצור מפתח חדש. תן לזה שם ולחץ על הכפתור הורד זוג מפתחכדי להוריד את המפתחות שנוצרו. שמור אותם במקום בטוח במחשב המקומי שלך. לאחר ההורדה, לחץ על הכפתור. הפעל מופעים

2.1.7.1. שמירת מפתחות גישה

מוצג כאן השלב של שמירת המפתחות שנוצרו מהשלב הקודם. לאחר שלחצנו על הכפתור הורד זוג מפתח, המפתח נשמר כקובץ אישור עם סיומת *.pem. במקרה הזה, נתתי לזה שם wireguard-awsky.pem

2.1.8. סקירה כללית של תוצאות יצירת מופעים

לאחר מכן, אנו רואים הודעה על ההשקה המוצלחת של המופע שיצרנו זה עתה. נוכל לעבור לרשימת המופעים שלנו על ידי לחיצה על הכפתור להציג מקרים

2.2. יצירת כתובת IP חיצונית

2.2.1. התחלת יצירת IP חיצוני

לאחר מכן, עלינו ליצור כתובת IP חיצונית קבועה שדרכה נתחבר לשרת ה-VPN שלנו. לשם כך, בחלונית הניווט בצד שמאל של המסך, בחר את הפריט IP אלסטי מקטגוריה רשת ומערך ולחץ על הכפתור הקצה כתובת חדשה

2.2.2. הגדרת יצירת IP חיצוני

בשלב הבא, עלינו להפעיל את האפשרות בריכת אמזון (מופעל כברירת מחדל), ולחץ על הכפתור להקצות

2.2.3. סקירה כללית של התוצאות של יצירת כתובת IP חיצונית

המסך הבא יציג את כתובת ה-IP החיצונית שקיבלנו. מומלץ לשנן אותו, ועדיף אפילו לרשום אותו. זה יהיה שימושי יותר מפעם אחת בתהליך של הגדרה ושימוש נוסף בשרת ה-VPN. במדריך זה, אני משתמש בכתובת ה-IP כדוגמה. 4.3.2.1. לאחר שהזנת את הכתובת, לחץ על הכפתור סְגוֹר

2.2.4. רשימת כתובות IP חיצוניות

לאחר מכן, מוצגת לנו רשימה של כתובות ה-IP הציבוריות הקבועות שלנו (אלסטיות IP).

2.2.5. הקצאת IP חיצוני למופע

ברשימה זו, אנו בוחרים את כתובת ה-IP שקיבלנו, ולוחצים על לחצן העכבר הימני כדי להעלות תפריט נפתח. בו, בחר את הפריט כתובת שותפהכדי להקצות אותו למופע שיצרנו קודם לכן.

2.2.6. הגדרת הקצאת IP חיצונית

בשלב הבא, בחר את המופע שלנו מהרשימה הנפתחת ולחץ על הכפתור עמית

2.2.7. סקירה כללית של תוצאות הקצאת IP חיצונית

לאחר מכן, אנו יכולים לראות שהמופע שלנו וכתובת ה-IP הפרטית שלו קשורים לכתובת ה-IP הציבורית הקבועה שלנו.

כעת אנו יכולים להתחבר למופע החדש שלנו מבחוץ, מהמחשב שלנו באמצעות SSH.

3. התחבר למופע AWS

SSH הוא פרוטוקול מאובטח לשליטה מרחוק של התקני מחשב.

3.1. חיבור באמצעות SSH ממחשב Windows

כדי להתחבר למחשב Windows, תחילה עליך להוריד ולהתקין את התוכנית מרק.

3.1.1. ייבוא ​​מפתח פרטי עבור Putty

3.1.1.1. לאחר התקנת Putty, עליך להפעיל את כלי השירות PuTTYgen שמגיע איתו כדי לייבא את מפתח האישור בפורמט PEM, בפורמט המתאים לשימוש ב- Putty. לשם כך, בחר את הפריט בתפריט העליון המרות-> מפתח ייבוא

3.1.1.2. בחירת מפתח AWS בפורמט PEM

לאחר מכן, בחר את המפתח ששמרנו בעבר בשלב 2.1.7.1, במקרה שלנו שמו wireguard-awsky.pem

3.1.1.3. הגדרת אפשרויות ייבוא ​​מפתח

בשלב זה, עלינו לציין הערה עבור מפתח זה (תיאור) ולהגדיר סיסמה ואישור לצורך אבטחה. זה יתבקש בכל פעם שתתחבר. לפיכך, אנו מגנים על המפתח באמצעות סיסמה מפני שימוש בלתי הולם. לא צריך להגדיר סיסמה, אבל זה פחות בטוח אם המפתח נופל לידיים הלא נכונות. לאחר שנלחץ על הכפתור שמור מפתח פרטי

3.1.1.4. שמירת מפתח מיובא

נפתחת תיבת דו-שיח של שמירת קובץ ואנו שומרים את המפתח הפרטי שלנו כקובץ עם הסיומת .ppkמתאים לשימוש בתוכנית מרק.
ציין את שם המפתח (במקרה שלנו wireguard-awskey.ppk) ולחץ על הכפתור שומר.

3.1.2. יצירה והגדרת חיבור ב- Putty

3.1.2.1. צור קשר

פתח את תוכנית Putty, בחר קטגוריה מוֹשָׁב (הוא פתוח כברירת מחדל) ובשדה שם מארח הזן את כתובת ה-IP הציבורית של השרת שלנו, שקיבלנו בשלב 2.2.3. בשטח הפעלה נשמרה הזן שם שרירותי לחיבור שלנו (במקרה שלי wireguard-aws-london), ולאחר מכן לחץ על הלחצן שמור כדי לשמור את השינויים שעשינו.

3.1.2.2. הגדרת התחברות אוטומטית למשתמש

עוד בקטגוריה הקשר, בחר קטגוריית משנה נתונים ובשטח שם משתמש לכניסה אוטומטית הכנס שם משתמש אובונטו הוא המשתמש הרגיל של המופע ב-AWS עם אובונטו.

3.1.2.3. בחירת מפתח פרטי לחיבור באמצעות SSH

לאחר מכן עבור אל תת הקטגוריה חיבור/SSH/אישור וליד השדה קובץ מפתח פרטי לאימות לחץ על הכפתור לְדַפדֵף… כדי לבחור קובץ עם תעודת מפתח.

3.1.2.4. פתיחת מפתח מיובא

ציין את המפתח שייבאנו קודם לכן בשלב 3.1.1.4, במקרה שלנו זה קובץ wireguard-awsky.ppk, ולחץ על הכפתור פתוח.

3.1.2.5. שמירת הגדרות והתחלת חיבור

חוזר לדף הקטגוריות מוֹשָׁב לחץ שוב על הכפתור שמור, כדי לשמור את השינויים שביצענו קודם בשלבים הקודמים (3.1.2.2 - 3.1.2.4). ואז אנחנו לוחצים על הכפתור להרחיב כדי לפתוח את חיבור ה-SSH המרוחק שיצרנו והגדרנו.

3.1.2.7. הקמת אמון בין מארחים

בשלב הבא, בפעם הראשונה שאנו מנסים להתחבר, אנו מקבלים אזהרה, אין לנו אמון מוגדר בין שני המחשבים, ושואלים אם לסמוך על המחשב המרוחק. אנחנו נלחץ על הכפתור כן, ובכך להוסיף אותו לרשימת המארחים המהימנים.

3.1.2.8. הזנת סיסמה כדי לגשת למפתח

לאחר מכן, נפתח חלון מסוף, שבו תתבקשו להזין את הסיסמה עבור המפתח, אם הגדרתם אותה מוקדם יותר בשלב 3.1.1.3. בעת הזנת סיסמה, לא מתרחשת פעולה על המסך. אם אתה עושה טעות, אתה יכול להשתמש במפתח Backspace.

3.1.2.9. הודעת ברכה על חיבור מוצלח

לאחר הזנת הסיסמה בהצלחה, מוצג לנו טקסט ברוך הבא בטרמינל, שאומר לנו שהמערכת המרוחקת מוכנה לבצע את הפקודות שלנו.

4. הגדרת שרת ה-Wireguard

ניתן למצוא את ההוראות המעודכנות ביותר להתקנה ושימוש ב-Wireguard באמצעות הסקריפטים המתוארים להלן במאגר: https://github.com/isystem-io/wireguard-aws

4.1. התקנת WireGuard

בטרמינל, הזינו את הפקודות הבאות (ניתן להעתיק ללוח, ולהדביק בטרמינל על ידי לחיצה על לחצן העכבר הימני):

4.1.1. שיבוט מאגר

שכפל את המאגר עם סקריפטים של ההתקנה של Wireguard

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. מעבר לספרייה עם סקריפטים

עבור אל הספרייה עם המאגר המשובט

cd wireguard_aws

4.1.3 הפעלת סקריפט האתחול

הפעל כמנהל מערכת (משתמש שורש) את סקריפט ההתקנה של Wireguard

sudo ./initial.sh

תהליך ההתקנה יבקש נתונים מסוימים הנדרשים להגדרת Wireguard

4.1.3.1. כניסת נקודת חיבור

הזן את כתובת ה-IP החיצונית והיציאה הפתוחה של שרת ה-Wireguard. קיבלנו את כתובת ה-IP החיצונית של השרת בשלב 2.2.3, ופתחנו את היציאה בשלב 2.1.5. אנו מציינים אותם יחד, מפרידים אותם עם נקודתיים, למשל 4.3.2.1:54321ולאחר מכן הקש על המקש זן
פלט לדוגמה:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. הזנת כתובת ה-IP הפנימית

הזן את כתובת ה-IP של שרת Wireguard ברשת המשנה של ה-VPN המאובטחת, אם אינך יודע מהי, פשוט הקש על מקש Enter כדי להגדיר את ערך ברירת המחדל (10.50.0.1)
פלט לדוגמה:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. ציון שרת DNS

הזן את כתובת ה-IP של שרת ה-DNS, או פשוט הקש על מקש Enter כדי להגדיר את ערך ברירת המחדל 1.1.1.1 (DNS ציבורי של Cloudflare)
פלט לדוגמה:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. ציון ממשק ה-WAN

לאחר מכן, עליך להזין את שם ממשק הרשת החיצוני שיאזין בממשק הרשת הפנימי של VPN. פשוט הקש Enter כדי להגדיר את ערך ברירת המחדל עבור AWS (eth0)
פלט לדוגמה:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. ציון שם הלקוח

הזן את שם משתמש ה-VPN. העובדה היא ששרת ה-VPN של Wireguard לא יוכל להפעיל עד שיתווסף לפחות לקוח אחד. במקרה זה, הזנתי את השם Alex@mobile
פלט לדוגמה:

Enter VPN user name: Alex@mobile

לאחר מכן, יש להציג קוד QR עם התצורה של הלקוח החדש שנוסף על המסך, אותו יש לקרוא באמצעות לקוח Wireguard הנייד ב-Android או iOS כדי להגדיר אותו. וגם מתחת לקוד QR, הטקסט של קובץ התצורה יוצג במקרה של תצורה ידנית של לקוחות. כיצד לעשות זאת נדון להלן.

4.2. הוספת משתמש VPN חדש

כדי להוסיף משתמש חדש, עליך להפעיל את הסקריפט בטרמינל add-client.sh

sudo ./add-client.sh

הסקריפט מבקש שם משתמש:
פלט לדוגמה:

Enter VPN user name: 

כמו כן, ניתן להעביר את שם המשתמשים כפרמטר סקריפט (במקרה זה Alex@mobile):

sudo ./add-client.sh Alex@mobile

כתוצאה מביצוע הסקריפט, בספרייה עם שם הלקוח לאורך הנתיב /etc/wireguard/clients/{ИмяКлиента} ייווצר קובץ תצורת הלקוח /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, ומסך הטרמינל יציג קוד QR להגדרת לקוחות ניידים ואת התוכן של קובץ התצורה.

4.2.1. קובץ תצורת המשתמש

ניתן להציג את התוכן של קובץ ה-.conf על המסך, להגדרה ידנית של הלקוח, באמצעות הפקודה cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

תוצאת ביצוע:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

תיאור קובץ תצורת הלקוח:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. קוד QR עבור תצורת הלקוח

אתה יכול להציג קוד QR תצורה עבור לקוח שנוצר בעבר במסך המסוף באמצעות הפקודה qrencode -t ansiutf8 (בדוגמה זו, נעשה שימוש בלקוח בשם Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. הגדרת לקוחות VPN

5.1. הגדרת לקוח אנדרואיד לנייד

לקוח Wireguard הרשמי עבור אנדרואיד יכול להיות התקן מחנות Google Play הרשמית

לאחר מכן, עליך לייבא את התצורה על ידי קריאת קוד ה-QR עם תצורת הלקוח (ראה סעיף 4.2.2) ולתת לו שם:

לאחר ייבוא ​​מוצלח של התצורה, תוכל להפעיל את מנהרת ה-VPN. חיבור מוצלח יצוין על ידי מחסן מפתח במגש המערכת של אנדרואיד

5.2. הגדרת לקוח Windows

ראשית עליך להוריד ולהתקין את התוכנית TunSafe עבור Windows הוא לקוח Wireguard עבור Windows.

5.2.1. יצירת קובץ תצורת ייבוא

לחץ לחיצה ימנית כדי ליצור קובץ טקסט על שולחן העבודה.

5.2.2. העתק את תוכן קובץ התצורה מהשרת

לאחר מכן נחזור למסוף Putty ונציג את תוכן קובץ התצורה של המשתמש הרצוי, כמתואר בשלב 4.2.1.
לאחר מכן, לחץ באמצעות לחצן העכבר הימני על טקסט התצורה במסוף Putty, לאחר השלמת הבחירה, הוא יועתק אוטומטית ללוח.

5.2.3. העתקת התצורה לקובץ תצורה מקומי

בשדה זה נחזור לקובץ הטקסט שיצרנו קודם לכן על שולחן העבודה ומדביקים לתוכו את טקסט התצורה מהלוח.

5.2.4. שמירת קובץ תצורה מקומי

שמור את הקובץ עם סיומת .conf (במקרה זה בשם london.conf)

5.2.5. ייבוא ​​קובץ תצורה מקומי

לאחר מכן, עליך לייבא את קובץ התצורה לתוכנית TunSafe.

5.2.6. הגדרת חיבור VPN

בחר קובץ תצורה זה והתחבר על ידי לחיצה על הכפתור לְחַבֵּר.

6. בודקים אם החיבור הצליח

כדי לבדוק את הצלחת החיבור דרך מנהרת ה-VPN, צריך לפתוח דפדפן ולעבור לאתר https://2ip.ua/ru/

כתובת ה-IP המוצגת חייבת להתאים לזו שקיבלנו בשלב 2.2.3.
אם כן, אז מנהרת ה-VPN פועלת בהצלחה.

ממסוף לינוקס, אתה יכול לבדוק את כתובת ה-IP שלך על ידי הקלדת:

curl http://zx2c4.com/ip

או שאתה יכול פשוט ללכת ל-pornhub אם אתה בקזחסטן.

מקור: www.habr.com