Kanggo apa?

Kanthi censorship Internet sing saya tambah dening rezim otoriter, tambah akeh sumber lan situs Internet sing migunani diblokir. Kalebu informasi teknis.
Mangkono, dadi ora bisa nggunakake Internet kanthi lengkap lan nglanggar hak dhasar kanggo kabebasan ngomong, sing ana ing Deklarasi Universal Hak Asasi Manungsa.

Artikel 19
Saben uwong nduweni hak bebas mratelakake panemume lan ekspresi; hak iki kalebu kamardikan kanggo nyekel panemu tanpa campur tangan lan golek, nampa lan menehi informasi lan gagasan liwat media apa wae lan ora preduli saka wates.

Ing pandhuan iki, kita bakal masang freeware dhewe * ing 6 langkah. layanan VPN adhedhasar teknologi penjaga kawat, ing infrastruktur awan Amazon Web Services (AWS), nggunakake akun gratis (kanggo 12 sasi), ing conto (mesin virtual) sing dikelola dening Server Ubuntu 18.04 LTS.
Aku wis nyoba nggawe walkthrough iki minangka loropaken kanggo wong non-IT sabisa. Siji-sijine sing dibutuhake yaiku ketekunan kanggo mbaleni langkah-langkah sing diterangake ing ngisor iki.

komentar

• AWS nyedhiyakake tingkat panggunaan gratis kanggo periode 12 sasi, karo watesan 15 gigabyte lalu lintas saben sasi.
• Versi paling anyar saka manual iki bisa ditemokake ing https://wireguard.isystem.io

Tahap

1. Ndaftar kanggo akun AWS gratis
2. Nggawe conto AWS
3. Nyambung menyang conto AWS
4. Konfigurasi Wireguard
5. Konfigurasi Klien VPN
6. Priksa kebeneran instalasi VPN

link migunani

• Skrip instalasi otomatis kanggo Wireguard ing AWS

1. Ndhaptar akun AWS

Ndhaptar akun AWS gratis mbutuhake nomer telpon nyata lan kertu kredit Visa utawa Mastercard sing sah. Aku nyaranake nggunakake kertu virtual sing kasedhiya gratis Yandex.Money utawa dompet qiwi. Kanggo mriksa validitas kertu, $ 1 dikurangi nalika registrasi, sing banjur dibalekake.

1.1. Mbukak AWS Management Console

Sampeyan kudu mbukak browser lan pindhah menyang: https://aws.amazon.com/ru/
Klik ing tombol "Register".

1.2. Ngisi data pribadi

Isi data lan klik tombol "Terusake".

1.3. Ngisi rincian kontak

Isi informasi kontak.

1.4. Nemtokake informasi pembayaran.

Nomer kertu, tanggal kadaluwarsa lan jeneng pemegang kertu.

1.5. Verifikasi akun

Ing tahap iki, nomer telpon dikonfirmasi lan $ 1 langsung didebit saka kertu pambayaran. Kode 4 digit ditampilake ing layar komputer, lan telpon kasebut nampa telpon saka Amazon. Sajrone nelpon, sampeyan kudu mencet kode sing ditampilake ing layar.

1.6. Pilihan saka rencana tarif.

Pilih - Rencana dhasar (gratis)

1.7. Mlebet menyang konsol manajemen

1.8. Milih lokasi pusat data

1.8.1. Tes kacepetan

Sadurunge milih pusat data, dianjurake kanggo nyoba liwat https://speedtest.net kacepetan akses menyang pusat data sing paling cedhak, ing lokasiku asil ing ngisor iki:

• Сингапур
  
• Paris
  
• Frankfurt
  
• Stockholm
  
• London
  

Pusat data ing London nuduhake asil paling apik babagan kacepetan. Dadi aku milih kanggo kustomisasi luwih.

2. Nggawe conto AWS

2.1 Nggawe mesin virtual

2.1.1. Milih jinis conto

Kanthi gawan, conto t2.micro dipilih, kang kita kudu, mung pencet tombol Sabanjure: Konfigurasi Rincian Kayata

2.1.2. Setelan Kayata Pilihan

Ing mangsa ngarep, kita bakal nyambungake IP umum permanen menyang conto kita, supaya ing tahap iki kita mateni tugas otomatis IP umum, banjur pencet tombol Sabanjure: Tambah Panyimpenan

2.1.3. Sambungan panyimpenan

Nemtokake ukuran "hard disk". Kanggo tujuan kita, 16 gigabyte cukup, lan kita pencet tombol Sabanjure: Tambah Tag

2.1.4. Nyetel tag

Yen kita nggawe sawetara conto, mula bisa dikelompokake kanthi tag kanggo nggampangake administrasi. Ing kasus iki, fungsi iki superfluous, langsung pencet tombol Sabanjure: Konfigurasi Grup Keamanan

2.1.5. Mbukak port

Ing langkah iki, kita ngatur firewall kanthi mbukak port sing dibutuhake. Set port sing mbukak diarani Security Group. Kita kudu nggawe grup keamanan anyar, menehi jeneng, gambaran, nambah port UDP (Aturan UDP Custom), ing lapangan Rort Range, nemtokake nomer port saka sawetara. bandar dinamis 49152-65535. Ing kasus iki, aku milih nomer port 54321.

Sawise ngisi data sing dibutuhake, klik tombol kasebut Review lan Bukak

2.1.6. Ringkesan kabeh setelan

Ing kaca iki ana ringkesan kabeh setelan saka conto kita, kita mriksa apa kabeh setelan ing urutan, banjur pencet tombol Bukak

2.1.7. Nggawe Tombol Akses

Sabanjure ana kothak dialog sing nawakake kanggo nggawe utawa nambah kunci SSH sing wis ana, sing mengko bakal nyambung menyang conto. Kita milih opsi "Gawe pasangan tombol anyar" kanggo nggawe kunci anyar. Menehi jeneng lan klik tombol Ngundhuh Pasangan Kuncikanggo ngundhuh tombol kui. Simpen menyang panggonan sing aman ing komputer lokal. Sawise diundhuh, klik tombol kasebut. Bukak Instances

2.1.7.1. Nyimpen Tombol Akses

Dituduhake ing kene yaiku langkah nyimpen kunci sing digawe saka langkah sadurunge. Sawise kita menet tombol Ngundhuh Pasangan Kunci, tombol kasebut disimpen minangka file sertifikat kanthi ekstensi *.pem. Ing kasus iki, aku menehi jeneng wireguard-awskey.pem

2.1.8. Ringkesan Asil Nggawe Instance

Sabanjure, kita ndeleng pesen babagan peluncuran sukses saka conto sing lagi wae digawe. Kita bisa pindhah menyang dhaptar kedadean kita kanthi ngeklik tombol ndeleng kedadean

2.2. Nggawe alamat IP eksternal

2.2.1. Miwiti nggawe IP eksternal

Sabanjure, kita kudu nggawe alamat IP eksternal permanen sing bakal nyambung menyang server VPN kita. Kanggo nindakake iki, ing panel navigasi ing sisih kiwa layar, pilih item kasebut IP elastis saka kategori JARINGAN & SEKTUR lan pencet tombol Alokasi alamat anyar

2.2.2. Konfigurasi nggawe IP eksternal

Ing langkah sabanjure, kita kudu ngaktifake pilihan kasebut Kolam Amazon (diaktifake kanthi gawan), banjur klik tombol kasebut Alokasi

2.2.3. Ringkesan asil nggawe alamat IP eksternal

Layar sabanjure bakal nampilake alamat IP eksternal sing ditampa. Dianjurake kanggo ngapalake, lan luwih apik kanggo nulis. bakal migunani luwih saka sapisan sajrone proses nyiyapake lan nggunakake server VPN. Ing pandhuan iki, aku nggunakake alamat IP minangka conto. 4.3.2.1. Sawise sampeyan ngetik alamat, pencet tombol kasebut Cedhak

2.2.4. Dhaptar alamat IP eksternal

Sabanjure, kita diwenehi dhaptar alamat IP umum permanen (IP elastis).

2.2.5. Nemtokake IP Eksternal menyang Instance

Ing dhaptar iki, kita milih alamat IP sing ditampa, banjur pencet tombol mouse tengen kanggo mbukak menu gulung mudhun. Ing kono, pilih item kasebut alamat asosiasikanggo nemtokake kanggo Kayata kita digawe sadurungé.

2.2.6. Setelan tugas IP eksternal

Ing langkah sabanjure, pilih conto kita saka dhaptar gulung mudhun, banjur pencet tombol kasebut Associate

2.2.7. Ringkesan Asil Tugas IP Eksternal

Sawisé iku, kita bisa ndeleng manawa conto kita lan alamat IP pribadi wis kaiket ing alamat IP umum permanen kita.

Saiki kita bisa nyambung menyang conto sing mentas digawe saka njaba, saka komputer liwat SSH.

3. Sambungake menyang conto AWS

SSH minangka protokol aman kanggo remot kontrol piranti komputer.

3.1. Nyambung liwat SSH saka komputer Windows

Kanggo nyambung menyang komputer Windows, sampeyan kudu ngundhuh lan nginstal program kasebut Putty.

3.1.1. Impor kunci pribadi kanggo Putty

3.1.1.1. Sawise nginstal Putty, sampeyan kudu mbukak utilitas PuTTYgen sing kasedhiya kanggo ngimpor kunci sertifikat ing format PEM, ing format sing cocog kanggo digunakake ing Putty. Kanggo nindakake iki, pilih item ing menu ndhuwur Konversi-> Kunci Impor

3.1.1.2. Milih Kunci AWS ing Format PEM

Sabanjure, pilih tombol sing sadurunge disimpen ing langkah 2.1.7.1, ing kasus kita jenenge wireguard-awskey.pem

3.1.1.3. Setelan pilihan ngimpor tombol

Ing langkah iki, kita kudu nemtokake komentar kanggo tombol iki (deskripsi) lan nyetel sandhi lan konfirmasi kanggo keamanan. Bakal dijaluk saben sampeyan nyambungake. Mangkono, kita nglindhungi kunci nganggo sandhi saka panggunaan sing ora cocog. Sampeyan ora kudu nyetel sandhi, nanging kurang aman yen tombol kasebut tiba ing tangan sing salah. Sawise kita pencet tombol Simpen kunci pribadi

3.1.1.4. Nyimpen kunci sing diimpor

Dialog nyimpen file mbukak lan kita nyimpen kunci pribadi minangka file kanthi ekstensi .ppkcocok kanggo nggunakake ing program Putty.
Nemtokake jeneng kunci (ing kasus kita wireguard-awskey.ppk) banjur pencet tombol kasebut makaryakke.

3.1.2. Nggawe lan ngatur sambungan ing Putty

3.1.2.1. Nggawe sambungan

Bukak program Putty, pilih kategori Session (iku mbukak kanthi gawan) lan ing lapangan Jeneng Host ketik alamat IP umum server kita, sing ditampa ing langkah 2.2.3. Ing lapangan Sesi sing disimpen ketik jeneng sewenang-wenang kanggo sambungan kita (ing kasusku wireguard-aws-london), banjur pencet tombol kasebut Simpen kanggo nyimpen owah-owahan sing digawe.

3.1.2.2. Nyetel otolog pangguna

Luwih ing kategori sambungan, pilih subkategori Data lan ing lapangan Jeneng pangguna mlebu otomatis ketik jeneng panganggo ubuntu minangka pangguna standar saka conto ing AWS karo Ubuntu.

3.1.2.3. Milih kunci pribadi kanggo nyambungake liwat SSH

Banjur pindhah menyang subkategori Sambungan / SSH / Auth lan jejere lapangan File kunci pribadi kanggo otentikasi pencet tombol Nggoleki ... kanggo milih file kanthi sertifikat kunci.

3.1.2.4. Mbukak kunci sing diimpor

Nemtokake tombol sing diimpor sadurungé ing langkah 3.1.1.4, ing kasus kita iku file wireguard-awskey.ppk, banjur pencet tombol Mbukak.

3.1.2.5. Nyimpen setelan lan miwiti sambungan

Bali menyang kaca kategori Session pencet tombol maneh Simpen, kanggo nyimpen owah-owahan kita digawe sadurungé ing langkah sadurunge (3.1.2.2 - 3.1.2.4). Banjur kita pencet tombol Open kanggo mbukak sambungan SSH remot sing digawe lan dikonfigurasi.

3.1.2.7. Nggawe kapercayan antarane host

Ing langkah sabanjure, pisanan kita nyoba kanggo nyambung, kita diwenehi bebaya, kita ora duwe kapercayan diatur antarane loro komputer, lan takon apa dipercaya komputer remot. Kita bakal mencet tombol Ya, kanthi mangkono nambahake menyang dhaptar host sing dipercaya.

3.1.2.8. Ketik sandhi kanggo ngakses kunci

Sawisé iku, jendhela terminal mbukak, ngendi sampeyan dijaluk kanggo sandhi kanggo tombol, yen sampeyan nyetel sadurungé ing langkah 3.1.1.3. Nalika ngetik sandhi, ora ana tumindak ing layar. Yen sampeyan salah, sampeyan bisa nggunakake tombol Backspace.

3.1.2.9. Pesen sambutan ing sambungan sukses

Sawise kasil ngetik sandhi, kita ditampilake teks sambutan ing terminal, sing ngandhani yen sistem remot wis siyap kanggo nglakokake printah kita.

4. Konfigurasi Server Wireguard

Pandhuan paling anyar kanggo nginstal lan nggunakake Wireguard nggunakake skrip sing diterangake ing ngisor iki bisa ditemokake ing gudang: https://github.com/isystem-io/wireguard-aws

4.1. Nginstal WireGuard

Ing terminal, ketik printah ing ngisor iki (sampeyan bisa nyalin menyang clipboard, lan nempel ing terminal kanthi mencet tombol mouse tengen):

4.1.1. Kloning repositori

Kloning repositori nganggo skrip instalasi Wireguard

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Ngalih menyang direktori nganggo skrip

Pindhah menyang direktori kanthi repositori kloning

cd wireguard_aws

4.1.3 Mbukak script initialization

Jalanake minangka administrator (pangguna root) skrip instalasi Wireguard

sudo ./initial.sh

Proses instalasi bakal njaluk data tartamtu sing dibutuhake kanggo ngatur Wireguard

4.1.3.1. Input titik sambungan

Ketik alamat IP eksternal lan mbukak port server Wireguard. Kita entuk alamat IP eksternal saka server ing langkah 2.2.3, lan mbukak port ing langkah 2.1.5. Kita nuduhake bebarengan, misahake karo titik loro, contone 4.3.2.1:54321banjur pencet tombol Ketik
Output sampel:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Ketik alamat IP internal

Ketik alamat IP server Wireguard ing subnet VPN sing aman, yen sampeyan ora ngerti apa iku, mung pencet tombol Enter kanggo nyetel nilai standar (10.50.0.1)
Output sampel:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. Nemtokake Server DNS

Ketik alamat IP server DNS, utawa mung pencet tombol Ketik kanggo nyetel nilai standar 1.1.1.1 (DNS publik Cloudflare)
Output sampel:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. Nemtokake antarmuka WAN

Sabanjure, sampeyan kudu ngetik jeneng antarmuka jaringan eksternal sing bakal ngrungokake antarmuka jaringan internal VPN. Cukup pencet Enter kanggo nyetel nilai standar kanggo AWS (eth0)
Output sampel:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Nemtokake jeneng klien

Ketik jeneng pangguna VPN. Kasunyatane yaiku server Wireguard VPN ora bakal bisa diwiwiti nganti paling ora siji klien wis ditambahake. Ing kasus iki, aku ngetik jeneng Alex@mobile
Output sampel:

Enter VPN user name: Alex@mobile

Sawise iku, kode QR kanthi konfigurasi klien sing mentas ditambahake kudu ditampilake ing layar, sing kudu diwaca nggunakake klien seluler Wireguard ing Android utawa iOS kanggo ngatur. Lan uga ing ngisor kode QR, teks file konfigurasi bakal ditampilake ing kasus konfigurasi manual klien. Cara nindakake iki bakal dibahas ing ngisor iki.

4.2. Nambahake pangguna VPN anyar

Kanggo nambah pangguna anyar, sampeyan kudu nglakokake skrip ing terminal add-client.sh

sudo ./add-client.sh

Skrip njaluk jeneng panganggo:
Output sampel:

Enter VPN user name: 

Uga, jeneng pangguna bisa dilewati minangka parameter skrip (ing kasus iki Alex@mobile):

sudo ./add-client.sh Alex@mobile

Minangka asil saka eksekusi script, ing direktori karo jeneng klien ing dalan /etc/wireguard/clients/{ИмяКлиента} file konfigurasi klien bakal digawe /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, lan layar terminal bakal nampilake kode QR kanggo nyetel klien seluler lan isi file konfigurasi.

4.2.1. File konfigurasi pangguna

Sampeyan bisa nampilake isi file .conf ing layar, kanggo konfigurasi manual klien, nggunakake printah cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

asil eksekusi:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Katrangan saka file konfigurasi klien:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. Kode QR kanggo konfigurasi klien

Sampeyan bisa nampilake kode QR konfigurasi kanggo klien sing wis digawe sadurunge ing layar terminal nggunakake printah qrencode -t ansiutf8 (ing conto iki, klien sing jenenge Alex@mobile digunakake):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. Konfigurasi Klien VPN

5.1. Nggawe klien seluler Android

Klien Wireguard resmi kanggo Android bisa uga nginstal saka Google Play Store resmi

Sawise iku, sampeyan kudu ngimpor konfigurasi kanthi maca kode QR kanthi konfigurasi klien (pirsani paragraf 4.2.2) lan menehi jeneng:

Sawise kasil ngimpor konfigurasi, sampeyan bisa ngaktifake trowongan VPN. Sambungan sing sukses bakal dituduhake kanthi stash tombol ing tray sistem Android

5.2. Setelan klien Windows

Pisanan sampeyan kudu ngundhuh lan nginstal program kasebut TunSafe kanggo Windows yaiku klien Wireguard kanggo Windows.

5.2.1. Nggawe file konfigurasi impor

Klik-tengen kanggo nggawe file teks ing desktop.

5.2.2. Nyalin isi file konfigurasi saka server

Banjur kita bali menyang terminal Putty lan nampilake isi file konfigurasi pangguna sing dikarepake, kaya sing diterangake ing langkah 4.2.1.
Sabanjure, klik-tengen teks konfigurasi ing terminal Putty, sawise pilihan wis rampung, bakal otomatis disalin menyang clipboard.

5.2.3. Nyalin konfigurasi menyang file konfigurasi lokal

Ing lapangan iki, kita bali menyang file teks sing digawe sadurunge ing desktop, lan nempelake teks konfigurasi saka clipboard.

5.2.4. Nyimpen file konfigurasi lokal

Simpen file kanthi ekstensi .conf (ing kasus iki jenenge london.conf)

5.2.5. Ngimpor file konfigurasi lokal

Sabanjure, sampeyan kudu ngimpor file konfigurasi menyang program TunSafe.

5.2.6. Nggawe sambungan VPN

Pilih file konfigurasi iki lan sambungake kanthi ngeklik tombol Sambungake.

6. Priksa manawa sambungan kasebut sukses

Kanggo mriksa sukses sambungan liwat trowongan VPN, sampeyan kudu mbukak browser lan pindhah menyang situs kasebut https://2ip.ua/ru/

Alamat IP sing ditampilake kudu cocog karo sing ditampa ing langkah 2.2.3.
Yen mangkono, trowongan VPN bisa digunakake kanthi sukses.

Saka terminal Linux, sampeyan bisa mriksa alamat IP kanthi ngetik:

curl http://zx2c4.com/ip

Utawa sampeyan mung bisa pindhah menyang pornhub yen sampeyan ana ing Kazakhstan.

Source: www.habr.com