何のために？

権威主義政権によるインターネットの検閲が強化されるにつれ、ブロックされる有用なインターネット リソースやサイトの数が増えています。 技術的な情報も含めて。
したがって、インターネットを完全に使用することが不可能になり、インターネットに謳われている言論の自由という基本的権利が侵害されます。 世界人権宣言.

記事19
誰もが意見と表現の自由に対する権利を持っています。 この権利には、干渉を受けることなく意見を保持し、国境に関係なく、あらゆるメディアを通じて情報やアイデアを求め、受け取り、伝える自由が含まれます。

このガイドでは、6 つのステップで独自のフリーウェア* をデプロイします。 VPNサービス テクノロジーに基づいた Wireguard、クラウドインフラストラクチャで Amazon Webサービス (AWS)、無料アカウント (12 か月間) を使用し、によって管理されるインスタンス (仮想マシン) 上で Ubuntu サーバー 18.04 LTS.
このウォークスルーは、IT 以外の人々にもできるだけわかりやすくするように努めました。 必要なのは、以下に説明する手順を繰り返す忍耐力だけです。

注意

• AWS が提供する 無料使用枠 12 か月間、15 か月あたりのトラフィックの制限は XNUMX GB です。
• このマニュアルの最新版は、次の場所にあります。 https://wireguard.isystem.io

ステージ

1. 無料の AWS アカウントにサインアップする
2. AWS インスタンスを作成する
3. AWS インスタンスへの接続
4. 構成 Wireguard
5. VPN クライアントの構成
6. VPN インストールが正しいかどうかを確認する

便利なリンク集

• 自動インストールスクリプト Wireguard AWS上

1. AWSアカウントの登録

無料の AWS アカウントにサインアップするには、実際の電話番号と有効な Visa または Mastercard クレジット カードが必要です。 無料で提供されるバーチャルカードを使用することをお勧めします Yandexの または キウィウォレット。 カードの有効性を確認するため、登録時に 1 ドルが差し引かれますが、後で返金されます。

1.1. AWS マネジメントコンソールを開く

ブラウザを開いて次の場所に移動する必要があります。 https://aws.amazon.com/ru/
「登録」ボタンをクリックします

1.2. 個人データの入力

データを入力して「続行」ボタンをクリックしてください

1.3. 連絡先の詳細を記入する

連絡先情報を入力します。

1.4. 支払い情報の指定。

カード番号、有効期限、カード所有者の名前。

1.5. アカウントの認証

この段階で電話番号が確認され、支払いカードから 1 ドルが直接引き落とされます。 パソコン画面に4桁のコードが表示され、指定した電話にアマゾンから電話がかかります。 通話中は、画面に表示されたコードをダイヤルする必要があります。

1.6. 料金プランの選択。

選択 - ベーシックプラン（無料）

1.7. 管理コンソールにログインする

1.8. データセンターの場所の選択

1.8.1. スピードテスト

データセンターを選択する前に、以下をテストすることをお勧めします。 https://speedtest.net 最寄りのデータセンターへのアクセス速度を比較すると、私の場所では次の結果になります。

• シンガポール
  
• パリ
  
• フランクフルト
  
• ストックホルム
  
• ロンドン
  

ロンドンのデータセンターは速度の点で最高の結果を示しています。 そこで、さらにカスタマイズするためにこれを選択しました。

2. AWS インスタンスを作成する

2.1 仮想マシンの作成

2.1.1. インスタンスタイプの選択

デフォルトでは、t2.micro インスタンスが選択されており、これが必要なものです。ボタンを押すだけです。 次へ: インスタンスの詳細を構成する

2.1.2. インスタンスオプションの設定

将来的には、永続的なパブリック IP をインスタンスに接続するため、この段階ではパブリック IP の自動割り当てをオフにし、ボタンを押します。 次へ: ストレージの追加

2.1.3. ストレージ接続

「ハードディスク」のサイズを指定します。 私たちの目的では、16 GB で十分なので、ボタンを押します。 次へ：タグを追加する

2.1.4. タグの設定

複数のインスタンスを作成した場合は、管理を容易にするためにタグによってグループ化できます。 この場合、この機能は不要です。すぐにボタンを押してください。 次へ: セキュリティグループの構成

2.1.5. ポートを開く

このステップでは、必要なポートを開いてファイアウォールを構成します。 開いているポートのセットはセキュリティ グループと呼ばれます。 新しいセキュリティ グループを作成し、名前と説明を付け、UDP ポート (カスタム UDP ルール) を追加する必要があります。[Rort Range] フィールドで、範囲からポート番号を割り当てる必要があります。 動的ポート 49152-65535。 この場合、ポート番号 54321 を選択しました。

必要事項をご入力の上、ボタンをクリックしてください 確認して起動

2.1.6. すべての設定の概要

このページにはインスタンスのすべての設定の概要があり、すべての設定が適切であるかどうかを確認し、ボタンを押します。 起動する

2.1.7. アクセスキーの作成

次に、既存の SSH キーを作成または追加するためのダイアログ ボックスが表示されます。これを使用して、後でインスタンスにリモート接続します。 「新しいキーペアの作成」オプションを選択して新しいキーを作成します。 名前を付けてボタンをクリックします キーペアをダウンロード生成されたキーをダウンロードします。 これらをローカル コンピュータ上の安全な場所に保存します。 ダウンロードしたら、ボタンをクリックします。 インスタンスを起動

2.1.7.1. アクセスキーの保存

ここでは、前のステップで生成されたキーを保存するステップを示します。 ボタンを押した後 キーペアをダウンロード、キーは *.pem 拡張子が付いた証明書ファイルとして保存されます。 今回は名前を付けてみました wireguard-awskey.pem

2.1.8. インスタンス作成結果の概要

次に、作成したインスタンスの正常な起動に関するメッセージが表示されます。 ボタンをクリックすると、インスタンスのリストに移動できます。 インスタンスを表示する

2.2. 外部IPアドレスの作成

2.2.1. 外部IPの作成を開始する

次に、VPN サーバーに接続するための永続的な外部 IP アドレスを作成する必要があります。 これを行うには、画面左側のナビゲーション パネルで項目を選択します。 エラスティックIP カテゴリから ネットワークとセキュリティ ボタンを押します 新しいアドレスを割り当てる

2.2.2. 外部 IP の作成の構成

次のステップでは、オプションを有効にする必要があります アマゾンプール (デフォルトで有効)、ボタンをクリックします。 割り当てる

2.2.3. 外部 IP アドレスの作成結果の概要

次の画面には、受け取った外部 IP アドレスが表示されます。 暗記することをお勧めしますし、書き留めておくことも推奨します。 これは、VPN サーバーをさらにセットアップして使用する過程で何度も役立ちます。 このガイドでは、例として IP アドレスを使用します。 4.3.2.1。 アドレスを入力したらボタンを押してください 閉じる

2.2.4. 外部IPアドレスのリスト

次に、永続的なパブリック IP アドレス (Elastic IP) のリストが表示されます。

2.2.5. インスタンスへの外部 IP の割り当て

このリストで、受け取った IP アドレスを選択し、マウスの右ボタンを押してドロップダウン メニューを表示します。 その中で項目を選択します アソシエイトアドレス先ほど作成したインスタンスに割り当てます。

2.2.6. 外部IP割り当て設定

次のステップでは、ドロップダウン リストからインスタンスを選択し、ボタンを押します。 Associate

2.2.7. 外部 IP 割り当て結果の概要

その後、インスタンスとそのプライベート IP アドレスが永続的なパブリック IP アドレスにバインドされていることがわかります。

これで、新しく作成したインスタンスに外部のコンピューターから SSH 経由で接続できるようになりました。

3. AWS インスタンスに接続する

SSH は、コンピュータデバイスをリモートコントロールするための安全なプロトコルです。

3.1. コンピュータからSSH経由で接続して Windows

コンピューターに接続するには Windowsまず、プログラムをダウンロードしてインストールする必要があります。 パテ.

3.1.1. Putty の秘密キーをインポートする

3.1.1.1. Putty をインストールした後、付属の PuTTYgen ユーティリティを実行して、PEM 形式の証明書キーを Putty での使用に適した形式にインポートする必要があります。 これを行うには、トップメニューの項目を選択します 変換 -> キーのインポート

3.1.1.2. PEM 形式の AWS キーの選択

次に、手順 2.1.7.1 で保存したキー (この場合はその名前) を選択します。 wireguard-awskey.pem

3.1.1.3. 主要なインポート オプションの設定

このステップでは、このキーのコメント (説明) を指定し、セキュリティのためにパスワードと確認を設定する必要があります。 接続するたびに要求されます。 したがって、キーを不適切な使用からパスワードで保護します。 パスワードを設定する必要はありませんが、キーが悪者の手に渡った場合、安全性が低下します。 ボタンを押した後 秘密鍵を保存

3.1.1.4. インポートしたキーの保存

ファイルの保存ダイアログが開き、秘密キーを拡張子付きのファイルとして保存します。 .ppkプログラムでの使用に適しています パテ.
キーの名前を指定します (この例では wireguard-awskey.ppk）を押してボタンを押します 保持します.

3.1.2. Putty での接続の作成と構成

3.1.2.1. 接続を作成する

Putty プログラムを開き、カテゴリを選択します セッション (デフォルトでは開いています)そしてフィールドで ホスト名 ステップ 2.2.3 で受け取ったサーバーのパブリック IP アドレスを入力します。 フィールド内 保存されたセッション 接続の任意の名前を入力します (私の場合は wireguard-aws-ロンドン）を選択し、 ボタンを押します。 Save 行った変更を保存します。

3.1.2.2. ユーザーの自動ログインの設定

カテゴリの詳細 接続、サブカテゴリを選択します Rescale データ とフィールドで 自動ログイン ユーザー名 ユーザーネームを入力してください ubuntu — AWS のインスタンスの標準ユーザーです Ubuntu.

3.1.2.3. SSH経由で接続するための秘密キーの選択

次にサブカテゴリーに移動します 接続/SSH/認証 そして畑の隣には 認証用の秘密鍵ファイル ボタンを押す ブラウズ… をクリックして、キー証明書を含むファイルを選択します。

3.1.2.4. インポートされたキーを開く

手順 3.1.1.4 でインポートしたキーを指定します。この場合はファイルです。 wireguard-awskey.ppkを選び、 ボタンを押す オープン.

3.1.2.5. 設定を保存して接続を開始する

カテゴリページに戻る セッション もう一度ボタンを押してください Save、前の手順 (3.1.2.2 ～ 3.1.2.4) で行った変更を保存します。 そしてボタンを押します 店は開いています 作成して構成したリモート SSH 接続を開きます。

3.1.2.7. ホスト間の信頼のセットアップ

次のステップでは、初めて接続しようとすると、XNUMX 台のコンピュータ間に信頼が構成されていないという警告が表示され、リモート コンピュータを信頼するかどうかを尋ねられます。 ボタンを押しましょう はい、これにより、信頼できるホストのリストに追加されます。

3.1.2.8. パスワードを入力してキーにアクセスする

その後、ターミナル ウィンドウが開き、ステップ 3.1.1.3 でキーのパスワードを設定した場合は、キーのパスワードの入力を求められます。 パスワードを入力しても、画面上で何も起こりません。 間違ってもキーを使用できます バックスペース.

3.1.2.9. 接続成功時のウェルカムメッセージ

パスワードの入力に成功すると、リモート システムがコマンドを実行する準備ができていることを示すウェルカム テキストがターミナルに表示されます。

4. サーバーの設定 Wireguard

最新のインストールおよび使用手順 Wireguard 以下のスクリプトを使用すると、リポジトリを表示できます。 https://github.com/isystem-io/wireguard-aws

4.1. インストール Wireguard

ターミナルで次のコマンドを入力します (クリップボードにコピーし、マウスの右ボタンを押してターミナルに貼り付けることができます)。

4.1.1. リポジトリのクローン作成

インストールスクリプトを含むリポジトリをクローンする Wireguard

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. スクリプトのあるディレクトリに切り替える

クローンされたリポジトリのあるディレクトリに移動します

cd wireguard_aws

4.1.3 初期化スクリプトの実行

インストールスクリプトを管理者（rootユーザー）として実行してください。 Wireguard

sudo ./initial.sh

インストールプロセス中に、設定に必要な特定の情報の入力を求められます。 Wireguard

4.1.3.1. 接続点入力

外部IPアドレスと開いているポートを入力してください Wireguard サーバー。ステップ2.2.3でサーバーの外部IPアドレスを取得し、ステップ2.1.5でポートを開放しました。これらをコロンで区切ってまとめて指定します。例： 4.3.2.1:54321そして キーを押します Enter
出力例:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. 内部IPアドレスの入力

サーバーのIPアドレスを入力してください Wireguard セキュアな VPN サブネットでは、それが何かわからない場合は、Enter を押してデフォルト値を設定します (10.50.0.1)
出力例:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNSサーバーの指定

DNS サーバーの IP アドレスを入力するか、Enter キーを押してデフォルト値を設定します。 1.1.1.1 (CloudflareパブリックDNS)
出力例:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WANインターフェースの指定

次に、VPN 内部ネットワーク インターフェイスをリッスンする外部ネットワーク インターフェイスの名前を入力する必要があります。 Enter キーを押すだけで、AWS のデフォルト値を設定できます (eth0)
出力例:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. クライアント名の指定

VPNユーザー名を入力してください。ポイントはVPNサーバーが Wireguard 少なくとも1人のクライアントが追加されるまで開始できません。この場合、私は名前を入力しました。 Alex@mobile
出力例:

Enter VPN user name: Alex@mobile

その後、新しく追加されたクライアントの設定情報を含むQRコードが画面に表示されるので、モバイルクライアントを使用してそれをスキャンする必要があります。 Wireguard на Android またはiOSで設定します。クライアントを手動で設定した場合、設定ファイルのテキストはQRコードの下に表示されます。その方法については後述します。

4.2. 新しい VPN ユーザーの追加

新しいユーザーを追加するには、ターミナルでスクリプトを実行する必要があります add-client.sh

sudo ./add-client.sh

スクリプトはユーザー名を要求します。
出力例:

Enter VPN user name: 

また、ユーザーの名前をスクリプト パラメーターとして渡すこともできます (この場合、 Alex@mobile):

sudo ./add-client.sh Alex@mobile

スクリプトの実行の結果、パスに沿ってクライアントの名前が含まれるディレクトリに /etc/wireguard/clients/{ИмяКлиента} クライアント設定ファイルが作成されます /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, 端末画面には、モバイル クライアントをセットアップするための QR コードと構成ファイルの内容が表示されます。

4.2.1. ユーザー設定ファイル

次のコマンドを使用して、クライアントを手動で構成するために、.conf ファイルの内容を画面に表示できます。 cat

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf

実行結果:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

クライアント構成ファイルの説明:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. クライアント設定用の QR コード

コマンドを使用して、以前に作成したクライアントの構成 QR コードを端末画面に表示できます。 qrencode -t ansiutf8 (この例では、Alex@mobile という名前のクライアントが使用されています):

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf | qrencode -t ansiutf8

5. VPN クライアントの構成

5.1. Android モバイル クライアントのセットアップ

公式クライアント Wireguard Androidでは可能です 公式Google Playストアからインストール

その後、クライアント設定の QR コードを読み取って設定をインポートし (4.2.2 項を参照)、名前を付ける必要があります。

構成が正常にインポートされたら、VPN トンネルを有効にすることができます。 接続が成功すると、Android システム トレイのキーの隠し場所によって示されます。

5.2. クライアント設定 Windows

まずプログラムをダウンロードしてインストールする必要があります TunSafe 用 Windows - これはクライアントです Wireguard のために Windows.

5.2.1. インポート構成ファイルの作成

右クリックしてデスクトップにテキスト ファイルを作成します。

5.2.2. 設定ファイルの内容をサーバーからコピーします。

次に、Putty ターミナルに戻り、ステップ 4.2.1 で説明したように、目的のユーザーの構成ファイルの内容を表示します。
次に、Putty ターミナルで構成テキストを右クリックします。選択が完了すると、クリップボードに自動的にコピーされます。

5.2.3. 構成をローカル構成ファイルにコピーする

このフィールドでは、前にデスクトップ上に作成したテキスト ファイルに戻り、構成テキストをクリップボードからそのファイルに貼り付けます。

5.2.4. ローカル設定ファイルの保存

拡張子を付けてファイルを保存します .conf (この場合は london.conf)

5.2.5. ローカル設定ファイルのインポート

次に、構成ファイルを TunSafe プログラムにインポートする必要があります。

5.2.6. VPN接続のセットアップ

この設定ファイルを選択し、ボタンをクリックして接続します つながり、.

6. 接続が成功したかどうかの確認

VPN トンネルを介した接続の成功を確認するには、ブラウザを開いてサイトにアクセスする必要があります https://2ip.ua/ru/

表示される IP アドレスは、ステップ 2.2.3 で受け取ったものと一致する必要があります。
そうであれば、VPN トンネルは正常に機能しています。

ターミナルから Linux 以下のコマンドを入力すると、IPアドレスを確認できます。

curl http://zx2c4.com/ip

または、カザフスタンにいる場合は、pornhub にアクセスすることもできます。

出所： habr.com