בשביל מה?
עם הגדלת הצנזורה של האינטרנט על ידי משטרים אוטוריטריים, מספר הולך וגדל של משאבי אינטרנט ואתרים שימושיים נחסמים. כולל מידע טכני.
כך, אי אפשר לעשות שימוש מלא באינטרנט ופוגע בזכות היסודית לחופש הביטוי, המעוגנת ב .
סעיף 19
לכל אדם יש זכות לחופש הדעה והביטוי; זכות זו כוללת חופש להחזיק בדעות ללא הפרעה ולחפש, לקבל ולמסור מידע ורעיונות בכל אמצעי תקשורת וללא קשר לגבולות
במדריך זה, נפרוס את התוכנה החינמית שלנו* ב-6 שלבים. מבוסס על טכנולוגיה , בתשתית ענן (AWS), באמצעות חשבון חינמי (למשך 12 חודשים), במופע (מכונה וירטואלית) המנוהלת על ידי .
ניסיתי להפוך את ההליכה הזו לידידותית ככל האפשר לאנשים שאינם אנשי IT. הדבר היחיד שנדרש הוא התמדה לחזור על השלבים המתוארים להלן.
שים לב
- AWS מספקת לתקופה של 12 חודשים, עם הגבלה של 15 גיגה-בייט של תעבורה בחודש.
- את הגרסה המעודכנת ביותר של מדריך זה ניתן למצוא בכתובת
שלבים
- הירשם לחשבון AWS בחינם
- צור מופע AWS
- מתחבר למופע AWS
- תְצוּרָה Wireguard
- הגדרת לקוחות VPN
- בדיקת תקינות התקנת ה-VPN
קישורים שימושיים
1. רישום חשבון AWS
הרשמה לחשבון AWS בחינם דורשת מספר טלפון אמיתי וכרטיס אשראי תקף של ויזה או מאסטרקארד. אני ממליץ להשתמש בכרטיסים וירטואליים שמסופקים בחינם או . לבדיקת תוקפו של הכרטיס מנכים במהלך ההרשמה $1, המוחזר מאוחר יותר.
1.1. פתיחת מסוף הניהול של AWS
עליך לפתוח דפדפן ולעבור אל:
לחץ על כפתור "הרשמה".

1.2. מילוי נתונים אישיים
מלאו את הנתונים ולחצו על כפתור "המשך".

1.3. מילוי פרטי התקשרות
מלא פרטי קשר.

1.4. ציון פרטי תשלום.
מספר כרטיס, תאריך תפוגה ושם בעל הכרטיס.

1.5. אימות חשבון
בשלב זה, מספר הטלפון מאושר ו-$1 מחויב ישירות מכרטיס התשלום. קוד בן 4 ספרות מוצג על מסך המחשב, והטלפון שצוין מקבל שיחה מאמזון. במהלך שיחה, עליך לחייג את הקוד המוצג על המסך.

1.6. בחירת תוכנית תעריפים.
בחר - תוכנית בסיסית (חינם)

1.7. היכנס למסוף הניהול

1.8. בחירת מיקום מרכז הנתונים

1.8.1. בדיקת מהירות
לפני בחירת מרכז נתונים, מומלץ לבדוק דרך מהירות הגישה למרכזי הנתונים הקרובים ביותר, במיקום שלי התוצאות הבאות:
- סינגפור

- פריז

- פרנקפורט

- שטוקהולם

- לונדון

מרכז הנתונים בלונדון מציג את התוצאות הטובות ביותר מבחינת מהירות. אז בחרתי בו להתאמה אישית נוספת.
2. צור מופע AWS
2.1 צור מכונה וירטואלית
2.1.1. בחירת סוג מופע
כברירת מחדל, המופע t2.micro נבחר, וזה מה שאנחנו צריכים, פשוט לחץ על הכפתור הבא: הגדר את פרטי המופע

2.1.2. הגדרת אפשרויות מופע
בעתיד, נחבר IP ציבורי קבוע למופע שלנו, אז בשלב זה אנו מכבים את ההקצאה האוטומטית של IP ציבורי, ולוחצים על הכפתור הבא: הוסף אחסון

2.1.3. חיבור לאחסון
ציין את גודל ה"דיסק הקשיח". לענייננו, 16 גיגה-בייט מספיקים, ואנחנו לוחצים על הכפתור הבא: הוסף תגים

2.1.4. הגדרת תגים
אם יצרנו מספר מופעים, ניתן לקבץ אותם לפי תגים כדי להקל על הניהול. במקרה זה, פונקציונליות זו מיותרת, לחץ מיד על הכפתור הבא: הגדר את קבוצת האבטחה

2.1.5. פתיחת יציאות
בשלב זה, אנו מגדירים את חומת האש על ידי פתיחת היציאות הנדרשות. קבוצת היציאות הפתוחות נקראת קבוצת האבטחה. עלינו ליצור קבוצת אבטחה חדשה, לתת לה שם, תיאור, להוסיף יציאת UDP (Custom UDP Rule), בשדה Ror Range, להקצות מספר יציאה מהטווח 49152-65535. במקרה זה, בחרתי ביציאה מספר 54321.

לאחר מילוי הנתונים הנדרשים, לחץ על הכפתור סקור והפעל
2.1.6. סקירה כללית של כל ההגדרות
בעמוד זה יש סקירה כללית של כל ההגדרות של המופע שלנו, אנחנו בודקים אם כל ההגדרות תקינות, ולוחצים על הכפתור לשגר

2.1.7. יצירת מפתחות גישה
לאחר מכן מגיעה תיבת דו-שיח המציעה ליצור או להוסיף מפתח SSH קיים, איתו נתחבר מאוחר יותר מרחוק למופע שלנו. אנו בוחרים באפשרות "צור זוג מפתחות חדש" כדי ליצור מפתח חדש. תן לזה שם ולחץ על הכפתור הורד זוג מפתחכדי להוריד את המפתחות שנוצרו. שמור אותם במקום בטוח במחשב המקומי שלך. לאחר ההורדה, לחץ על הכפתור. הפעל מופעים

2.1.7.1. שמירת מפתחות גישה
מוצג כאן השלב של שמירת המפתחות שנוצרו מהשלב הקודם. לאחר שלחצנו על הכפתור הורד זוג מפתח, המפתח נשמר כקובץ אישור עם סיומת *.pem. במקרה הזה, נתתי לזה שם wireguard-awskey.pem

2.1.8. סקירה כללית של תוצאות יצירת מופעים
לאחר מכן, אנו רואים הודעה על ההשקה המוצלחת של המופע שיצרנו זה עתה. נוכל לעבור לרשימת המופעים שלנו על ידי לחיצה על הכפתור להציג מקרים

2.2. יצירת כתובת IP חיצונית
2.2.1. התחלת יצירת IP חיצוני
לאחר מכן, עלינו ליצור כתובת IP חיצונית קבועה שדרכה נתחבר לשרת ה-VPN שלנו. לשם כך, בחלונית הניווט בצד שמאל של המסך, בחר את הפריט IP אלסטי מקטגוריה רשת ומערך ולחץ על הכפתור הקצה כתובת חדשה

2.2.2. הגדרת יצירת IP חיצוני
בשלב הבא, עלינו להפעיל את האפשרות בריכת אמזון (מופעל כברירת מחדל), ולחץ על הכפתור להקצות

2.2.3. סקירה כללית של התוצאות של יצירת כתובת IP חיצונית
המסך הבא יציג את כתובת ה-IP החיצונית שקיבלנו. מומלץ לשנן אותו, ועדיף אפילו לרשום אותו. זה יהיה שימושי יותר מפעם אחת בתהליך של הגדרה ושימוש נוסף בשרת ה-VPN. במדריך זה, אני משתמש בכתובת ה-IP כדוגמה. 4.3.2.1. לאחר שהזנת את הכתובת, לחץ על הכפתור סגירה

2.2.4. רשימת כתובות IP חיצוניות
לאחר מכן, מוצגת לנו רשימה של כתובות ה-IP הציבוריות הקבועות שלנו (אלסטיות IP).

2.2.5. הקצאת IP חיצוני למופע
ברשימה זו, אנו בוחרים את כתובת ה-IP שקיבלנו, ולוחצים על לחצן העכבר הימני כדי להעלות תפריט נפתח. בו, בחר את הפריט כתובת שותפהכדי להקצות אותו למופע שיצרנו קודם לכן.

2.2.6. הגדרת הקצאת IP חיצונית
בשלב הבא, בחר את המופע שלנו מהרשימה הנפתחת ולחץ על הכפתור עמית

2.2.7. סקירה כללית של תוצאות הקצאת IP חיצונית
לאחר מכן, אנו יכולים לראות שהמופע שלנו וכתובת ה-IP הפרטית שלו קשורים לכתובת ה-IP הציבורית הקבועה שלנו.

כעת אנו יכולים להתחבר למופע החדש שלנו מבחוץ, מהמחשב שלנו באמצעות SSH.
3. התחבר למופע AWS
הוא פרוטוקול מאובטח לשליטה מרחוק של התקני מחשב.
3.1. התחברות דרך SSH ממחשב אל Windows
כדי להתחבר למחשב עם Windows, ראשית עליך להוריד ולהתקין את התוכנה .
3.1.1. ייבוא מפתח פרטי עבור Putty
3.1.1.1. לאחר התקנת Putty, עליך להפעיל את כלי השירות PuTTYgen שמגיע איתו כדי לייבא את מפתח האישור בפורמט PEM, בפורמט המתאים לשימוש ב- Putty. לשם כך, בחר את הפריט בתפריט העליון המרות-> מפתח ייבוא

3.1.1.2. בחירת מפתח AWS בפורמט PEM
לאחר מכן, בחר את המפתח ששמרנו בעבר בשלב 2.1.7.1, במקרה שלנו שמו wireguard-awskey.pem

3.1.1.3. הגדרת אפשרויות ייבוא מפתח
בשלב זה, עלינו לציין הערה עבור מפתח זה (תיאור) ולהגדיר סיסמה ואישור לצורך אבטחה. זה יתבקש בכל פעם שתתחבר. לפיכך, אנו מגנים על המפתח באמצעות סיסמה מפני שימוש בלתי הולם. לא צריך להגדיר סיסמה, אבל זה פחות בטוח אם המפתח נופל לידיים הלא נכונות. לאחר שנלחץ על הכפתור שמור מפתח פרטי

3.1.1.4. שמירת מפתח מיובא
נפתחת תיבת דו-שיח של שמירת קובץ ואנו שומרים את המפתח הפרטי שלנו כקובץ עם הסיומת .ppkמתאים לשימוש בתוכנית מרק.
ציין את שם המפתח (במקרה שלנו wireguard-awskey.ppk) ולחץ על הכפתור שומר.

3.1.2. יצירה והגדרת חיבור ב- Putty
3.1.2.1. צור קשר
פתח את תוכנית Putty, בחר קטגוריה מוֹשָׁב (הוא פתוח כברירת מחדל) ובשדה שם מארח הזן את כתובת ה-IP הציבורית של השרת שלנו, שקיבלנו בשלב 2.2.3. בשטח הפעלה נשמרה הזן שם שרירותי לחיבור שלנו (במקרה שלי wireguard-aws-לונדון), ולאחר מכן לחץ על הלחצן שמור כדי לשמור את השינויים שעשינו.

3.1.2.2. הגדרת התחברות אוטומטית למשתמש
עוד בקטגוריה הקשר, בחר קטגוריית משנה נתונים ובשטח שם משתמש לכניסה אוטומטית הכנס שם משתמש ubuntu — הוא משתמש סטנדרטי של מופע ב-AWS עם Ubuntu.

3.1.2.3. בחירת מפתח פרטי לחיבור באמצעות SSH
לאחר מכן עבור אל תת הקטגוריה חיבור/SSH/אישור וליד השדה קובץ מפתח פרטי לאימות לחץ על הכפתור לְדַפדֵף… כדי לבחור קובץ עם תעודת מפתח.

3.1.2.4. פתיחת מפתח מיובא
ציין את המפתח שייבאנו קודם לכן בשלב 3.1.1.4, במקרה שלנו זה קובץ wireguard-awskey.ppk, ולחץ על הכפתור פתוח.

3.1.2.5. שמירת הגדרות והתחלת חיבור
חוזר לדף הקטגוריות מוֹשָׁב לחץ שוב על הכפתור שמור, כדי לשמור את השינויים שביצענו קודם בשלבים הקודמים (3.1.2.2 - 3.1.2.4). ואז אנחנו לוחצים על הכפתור להרחיב כדי לפתוח את חיבור ה-SSH המרוחק שיצרנו והגדרנו.

3.1.2.7. הקמת אמון בין מארחים
בשלב הבא, בפעם הראשונה שאנו מנסים להתחבר, אנו מקבלים אזהרה, אין לנו אמון מוגדר בין שני המחשבים, ושואלים אם לסמוך על המחשב המרוחק. אנחנו נלחץ על הכפתור כן, ובכך להוסיף אותו לרשימת המארחים המהימנים.

3.1.2.8. הזנת סיסמה כדי לגשת למפתח
לאחר מכן, נפתח חלון מסוף, שבו תתבקשו להזין את הסיסמה עבור המפתח, אם הגדרתם אותה מוקדם יותר בשלב 3.1.1.3. בעת הזנת סיסמה, לא מתרחשת פעולה על המסך. אם אתה עושה טעות, אתה יכול להשתמש במפתח Backspace.

3.1.2.9. הודעת ברכה על חיבור מוצלח
לאחר הזנת הסיסמה בהצלחה, מוצג לנו טקסט ברוך הבא בטרמינל, שאומר לנו שהמערכת המרוחקת מוכנה לבצע את הפקודות שלנו.

4. הגדרת השרת Wireguard
הוראות ההתקנה והשימוש העדכניות ביותר Wireguard ניתן לצפות במאגר באמצעות הסקריפטים המתוארים להלן:
4.1. התקנה Wireguard
בטרמינל, הזינו את הפקודות הבאות (ניתן להעתיק ללוח, ולהדביק בטרמינל על ידי לחיצה על לחצן העכבר הימני):
4.1.1. שיבוט מאגר
שכפל את המאגר באמצעות סקריפטי התקנה Wireguard
git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws4.1.2. מעבר לספרייה עם סקריפטים
עבור אל הספרייה עם המאגר המשובט
cd wireguard_aws4.1.3 הפעלת סקריפט האתחול
הפעל את סקריפט ההתקנה כמנהל (משתמש root) Wireguard
sudo ./initial.shבמהלך תהליך ההתקנה תתבקשו למסור מידע מסוים הנחוץ לצורך הגדרת התצורה. Wireguard
4.1.3.1. כניסת נקודת חיבור
הזן את כתובת ה-IP החיצונית ופתח את הפורט Wireguard שרת. השגנו את כתובת ה-IP החיצונית של השרת בשלב 2.2.3, ופתחנו את הפורט בשלב 2.1.5. אנו מציינים אותם יחד, מופרדים באמצעות נקודתיים, לדוגמה 4.3.2.1:54321ולאחר מכן הקש על המקש זן
פלט לדוגמה:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:543214.1.3.2. הזנת כתובת ה-IP הפנימית
הזן את כתובת ה-IP של השרת Wireguard בתת-רשת VPN מאובטחת, אם אינך יודע מהי, פשוט לחץ על Enter כדי להגדיר את ערך ברירת המחדל (10.50.0.1)
פלט לדוגמה:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):4.1.3.3. ציון שרת DNS
הזן את כתובת ה-IP של שרת ה-DNS, או פשוט הקש על מקש Enter כדי להגדיר את ערך ברירת המחדל 1.1.1.1 (DNS ציבורי של Cloudflare)
פלט לדוגמה:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):4.1.3.4. ציון ממשק ה-WAN
לאחר מכן, עליך להזין את שם ממשק הרשת החיצוני שיאזין בממשק הרשת הפנימי של VPN. פשוט הקש Enter כדי להגדיר את ערך ברירת המחדל עבור AWS (eth0)
פלט לדוגמה:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):4.1.3.5. ציון שם הלקוח
הזן את שם המשתמש שלך ב-VPN. העניין הוא ששרת ה-VPN Wireguard זה לא יוכל להתחיל עד שיתווסף לפחות לקוח אחד. במקרה הזה, הזנתי את השם Alex@mobile
פלט לדוגמה:
Enter VPN user name: Alex@mobileלאחר מכן, אמור להופיע על המסך קוד QR עם תצורת הלקוח החדש שנוסף, אותו יש לסרוק באמצעות הלקוח הנייד. Wireguard על Android או iOS, כדי להגדיר אותו. טקסט קובץ התצורה יופיע גם מתחת לקוד ה-QR אם תגדירו לקוחות באופן ידני. כיצד לעשות זאת יידונו בהמשך.

4.2. הוספת משתמש VPN חדש
כדי להוסיף משתמש חדש, עליך להפעיל את הסקריפט בטרמינל add-client.sh
sudo ./add-client.shהסקריפט מבקש שם משתמש:
פלט לדוגמה:
Enter VPN user name: כמו כן, ניתן להעביר את שם המשתמשים כפרמטר סקריפט (במקרה זה Alex@mobile):
sudo ./add-client.sh Alex@mobileכתוצאה מביצוע הסקריפט, בספרייה עם שם הלקוח לאורך הנתיב /etc/wireguard/clients/{ИмяКлиента} ייווצר קובץ תצורת הלקוח /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, ומסך הטרמינל יציג קוד QR להגדרת לקוחות ניידים ואת התוכן של קובץ התצורה.
4.2.1. קובץ תצורת המשתמש
ניתן להציג את התוכן של קובץ ה-.conf על המסך, להגדרה ידנית של הלקוח, באמצעות הפקודה cat
sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.confתוצאת ביצוע:
[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1
[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321תיאור קובץ תצורת הלקוח:
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения4.2.2. קוד QR עבור תצורת הלקוח
אתה יכול להציג קוד QR תצורה עבור לקוח שנוצר בעבר במסך המסוף באמצעות הפקודה qrencode -t ansiutf8 (בדוגמה זו, נעשה שימוש בלקוח בשם Alex@mobile):
sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf | qrencode -t ansiutf85. הגדרת לקוחות VPN
5.1. הגדרת לקוח אנדרואיד לנייד
לקוח רשמי Wireguard עבור אנדרואיד זה אפשרי
לאחר מכן, עליך לייבא את התצורה על ידי קריאת קוד ה-QR עם תצורת הלקוח (ראה סעיף 4.2.2) ולתת לו שם:

לאחר ייבוא מוצלח של התצורה, תוכל להפעיל את מנהרת ה-VPN. חיבור מוצלח יצוין על ידי מחסן מפתח במגש המערכת של אנדרואיד

5.2. הגדרת לקוח Windows
ראשית עליך להוריד ולהתקין את התוכנית - זה לקוח Wireguard עבור Windows.
5.2.1. יצירת קובץ תצורת ייבוא
לחץ לחיצה ימנית כדי ליצור קובץ טקסט על שולחן העבודה.

5.2.2. העתק את תוכן קובץ התצורה מהשרת
לאחר מכן נחזור למסוף Putty ונציג את תוכן קובץ התצורה של המשתמש הרצוי, כמתואר בשלב 4.2.1.
לאחר מכן, לחץ באמצעות לחצן העכבר הימני על טקסט התצורה במסוף Putty, לאחר השלמת הבחירה, הוא יועתק אוטומטית ללוח.

5.2.3. העתקת התצורה לקובץ תצורה מקומי
בשדה זה נחזור לקובץ הטקסט שיצרנו קודם לכן על שולחן העבודה ומדביקים לתוכו את טקסט התצורה מהלוח.

5.2.4. שמירת קובץ תצורה מקומי
שמור את הקובץ עם סיומת .conf (במקרה זה בשם london.conf)

5.2.5. ייבוא קובץ תצורה מקומי
לאחר מכן, עליך לייבא את קובץ התצורה לתוכנית TunSafe.

5.2.6. הגדרת חיבור VPN
בחר קובץ תצורה זה והתחבר על ידי לחיצה על הכפתור לְחַבֵּר.

6. בודקים אם החיבור הצליח
כדי לבדוק את הצלחת החיבור דרך מנהרת ה-VPN, צריך לפתוח דפדפן ולעבור לאתר

כתובת ה-IP המוצגת חייבת להתאים לזו שקיבלנו בשלב 2.2.3.
אם כן, אז מנהרת ה-VPN פועלת בהצלחה.
מהטרמינל אל Linux ניתן לבדוק את כתובת ה-IP שלך על ידי הזנת הפקודה:
curl http://zx2c4.com/ipאו שאתה יכול פשוט ללכת ל-pornhub אם אתה בקזחסטן.
מקור: www.habr.com





