Эмне үчүн?

Авторитардык режимдердин интернетке болгон цензурасынын күчөшү менен пайдалуу интернет-ресурстардын жана сайттардын саны көбөйүүдө. Анын ичинде техникалык маалымат.
Ошентип, интернетти толук пайдалануу мүмкүн болбой калат жана сөз эркиндигине болгон негизги укукту бузат. Адам укуктарынын жалпы декларациясы.

берене 19
Ар бир адам өз ой-пикирин билдирүү жана билдирүү эркиндигине укуктуу; бул укук эч кандай кийлигишүүсүз көз караштарды кармоо эркиндигин жана ар кандай маалымат каражаттары аркылуу жана чек араларга карабастан маалыматты жана идеяларды издөө, алуу жана берүү эркиндигин камтыйт.

Бул колдонмодо биз өзүбүздүн акысыз программабызды* 6 кадамда орнотобуз. VPN кызматы технологияга негизделген зым коргоочу, булут инфраструктурасында Amazon Web Services (AWS), акысыз эсепти колдонуу менен (12 ай бою), башкарган инстанцияда (виртуалдык машина) Ubuntu Server 18.04LTS.
Мен бул жолду мүмкүн болушунча IT эмес адамдар үчүн ыңгайлуу кылууга аракет кылдым. Төмөндө сүрөттөлгөн кадамдарды кайталоодо туруктуулук талап кылынат.

пикир

• AWS камсыз кылат бекер колдонуу деңгээли айына 12 гигабайт трафиктин чеги менен 15 айлык мөөнөткө.
• Бул колдонмонун эң акыркы версиясын бул жерден тапса болот https://wireguard.isystem.io

этаптары

1. Акысыз AWS каттоо эсебине катталыңыз
2. AWS инстанциясын түзүңүз
3. AWS инстанциясына туташуу
4. Wireguard Configuration
5. VPN кардарларын конфигурациялоо
6. VPN орнотуунун тууралыгын текшерүү

Пайдалуу шилтемелер

• AWSдеги Wireguard үчүн автоматтык орнотуу скрипттери

1. AWS каттоо эсебин каттоо

Акысыз AWS эсебине катталуу үчүн чыныгы телефон номери жана жарактуу Visa же Mastercard кредиттик картасы талап кылынат. Мен бекер берилген виртуалдык карталарды колдонууну сунуштайм Яндекс же qiwi капчык. Картанын жарактуулугун текшерүү үчүн каттоо учурунда $ 1 кармалып, кийинчерээк кайтарылып берилет.

1.1. AWS башкаруу консолун ачуу

Сиз браузерди ачып, төмөнкүгө өтүшүңүз керек: https://aws.amazon.com/ru/
"Каттоо" баскычын басыңыз

1.2. Жеке маалыматтарды толтуруу

Маалыматтарды толтуруп, "Улантуу" баскычын чыкылдатыңыз

1.3. Байланыш маалыматтарын толтуруу

Байланыш маалыматын толтуруңуз.

1.4. Төлөм маалыматын көрсөтүү.

Картанын номери, жарактуулук мөөнөтү жана карта ээсинин аты-жөнү.

1.5. Каттоо эсебин текшерүү

Бул этапта телефон номери ырасталат жана төлөм картасынан 1 доллар түз чыгарылат. Компьютердин экранында 4 орундуу код көрсөтүлүп, көрсөтүлгөн телефонго Amazonдан чалуу келет. Чалуу учурунда экранда көрсөтүлгөн кодду теришиңиз керек.

1.6. Тарифтик планды тандоо.

Тандоо - Негизги план (акысыз)

1.7. Башкаруу консолуна кириңиз

1.8. Маалымат борборунун жайгашкан жерин тандоо

1.8.1. Ылдамдыкты текшерүү

маалымат борборун тандоодон мурун, ал аркылуу сыноо сунушталат https://speedtest.net жакынкы маалымат борборлоруна жетүү ылдамдыгы, менин жайгашкан төмөнкү натыйжалар:

• Сингапур
  
• Париж
  
• Майне
  
• Уппсала
  
• Лондон
  

Лондондогу маалымат борбору ылдамдык жагынан эң жакшы натыйжаларды көрсөтөт. Ошентип, мен аны андан ары ыңгайлаштыруу үчүн тандап алдым.

2. AWS инстанциясын түзүңүз

2.1 Виртуалдык машинаны түзүү

2.1.1. Мисал түрүн тандоо

Демейки боюнча, t2.micro инстанциясы тандалган, бул бизге керек, жөн гана баскычты басыңыз Кийинки: Инстанциянын чоо-жайын конфигурациялоо

2.1.2. Instance Options орнотуу

Келечекте биз туруктуу коомдук IPди инстанциябызга туташтырабыз, ошондуктан бул этапта биз коомдук IPди автоматтык түрдө дайындоону өчүрүп, баскычты басыңыз. Кийинки: Сактагыч кошуу

2.1.3. Сактагыч байланышы

"Катуу дисктин" өлчөмүн көрсөтүңүз. Биздин максаттар үчүн 16 гигабайт жетиштүү, биз кнопканы басабыз Кийинки: Тегдерди кошуу

2.1.4. Тегдерди орнотуу

Эгерде биз бир нече инстанцияларды түзсөк, анда башкарууну жеңилдетүү үчүн аларды тегдер боюнча топтоого болот. Бул учурда, бул функция ашыкча, дароо баскычты басыңыз Кийинки: Коопсуздук тобун конфигурациялоо

2.1.5. Портторду ачуу

Бул кадамда биз керектүү портторду ачуу менен брандмауэрди конфигурациялайбыз. Ачык порттордун жыйындысы Коопсуздук тобу деп аталат. Биз жаңы коопсуздук тобун түзүп, ага атын, сыпаттамасын беришибиз керек, UDP портун (Custom UDP Rule) кошуубуз керек, Rort Range талаасында сиз диапазондон порт номерин ыйгарышыңыз керек. динамикалык порттор 49152-65535. Бул учурда, мен 54321 номерин тандадым.

Керектүү маалыматтарды толтургандан кийин баскычты басыңыз Карап чыгуу жана ишке киргизүү

2.1.6. Бардык орнотууларды карап чыгуу

Бул баракта биздин инстанциябыздын бардык орнотууларына сереп салабыз, биз бардык орнотуулар иреттүү экенин текшерип, баскычты басыңыз учуруу

2.1.7. Кирүү ачкычтарын түзүү

Андан кийин учурдагы SSH ачкычын түзүүнү же кошууну сунуш кылган диалог кутусу келет, анын жардамы менен биз кийинчерээк инстанциябызга алыстан туташабыз. Жаңы ачкыч түзүү үчүн "Жаңы ачкыч жупту түзүү" опциясын тандайбыз. Ага ат берип, баскычты басыңыз Key Pair жүктөп алыңызтүзүлгөн ачкычтарды жүктөп алуу үчүн. Аларды жергиликтүү компьютериңизде коопсуз жерге сактаңыз. Жүктөп алгандан кийин, баскычты басыңыз. Instances ишке киргизүү

2.1.7.1. Кирүү ачкычтары сакталууда

Бул жерде мурунку кадамдан түзүлгөн ачкычтарды сактоо кадамы көрсөтүлгөн. Биз кнопканы баскандан кийин Key Pair жүктөп алыңыз, ачкыч *.pem кеңейтүүсү менен сертификат файлы катары сакталат. Бул учурда мен ага ат койдум wireguard-awskey.pem

2.1.8. Инстанцияларды түзүү натыйжаларына сереп салуу

Андан кийин, биз жаңы эле түзүлгөн инстанцияны ийгиликтүү ишке киргизүү жөнүндө билдирүүнү көрөбүз. Биз баскычты чыкылдатуу менен биздин учурлардын тизмесине бара алабыз учурларды көрүү

2.2. Тышкы IP дарегин түзүү

2.2.1. Тышкы IP түзүүнү баштоо

Андан кийин, биз VPN серверибизге туташа турган туруктуу тышкы IP дарегин түзүшүбүз керек. Бул үчүн, экрандын сол жагындагы навигация панелинен нерсени тандаңыз Эластикалык IP категориядан ТАРМАК ЖАНА КООПСУЗДУК жана баскычты басыңыз Жаңы даректи бөлүштүрүү

2.2.2. Тышкы IP түзүүнү конфигурациялоо

Кийинки кадамда биз параметрди иштетишибиз керек Amazon бассейни (демейки боюнча иштетилген) жана баскычты чыкылдатыңыз Бөлүү

2.2.3. Тышкы IP даректи түзүүнүн натыйжаларына сереп салуу

Кийинки экранда биз алган тышкы IP дареги көрсөтүлөт. Аны жаттап алуу сунушталат, жада калса жазып алуу да жакшы. ал VPN серверин андан ары орнотуу жана колдонуу процессинде бир нече жолу пайдалуу болот. Бул колдонмодо мен мисал катары IP дарегин колдоном. 4.3.2.1. Даректи киргизгенден кийин, баскычты басыңыз жакын

2.2.4. Тышкы IP даректердин тизмеси

Андан кийин, бизге туруктуу коомдук IP даректерибиздин тизмеси берилет (эластикалык IP).

2.2.5. Инстанцияга тышкы IP дайындоо

Бул тизмеден биз алган IP даректи тандап, чычкандын оң баскычын басып, ачылуучу менюну ачыңыз. Анда нерсени тандаңыз өнөктөш дарегианы биз мурда түзгөн инстанцияга дайындоо үчүн.

2.2.6. Тышкы IP дайындоо жөндөөсү

Кийинки кадамда, ачылуучу тизмеден биздин мисалды тандап, баскычты басыңыз шерик аял

2.2.7. Тышкы IP дайындоонун натыйжаларына сереп салуу

Андан кийин биз биздин инстанция жана анын жеке IP дареги биздин туруктуу коомдук IP дарекке байланганын көрө алабыз.

Эми биз жаңы түзүлгөн инстанциябызга сырттан, SSH аркылуу компьютерибизден туташа алабыз.

3. AWS инстанциясына туташыңыз

SSH компьютер түзүлүштөрүн алыстан башкаруу үчүн коопсуз протокол болуп саналат.

3.1. Windows компьютеринен SSH аркылуу туташуу

Windows компьютерине туташуу үчүн, адегенде программаны жүктөп алып, орнотуу керек Putty.

3.1.1. Putty үчүн купуя ачкычты импорттоо

3.1.1.1. Putty орнотулгандан кийин, сиз PEM форматындагы сертификат ачкычын Puttyде колдонууга ылайыктуу форматка импорттоо үчүн аны менен келген PuTTYgen утилитасын иштетишиңиз керек. Бул үчүн, жогорку менюдагы нерсени тандаңыз Conversions->Import Key

3.1.1.2. PEM форматында AWS ачкычын тандоо

Андан кийин, биз мурда 2.1.7.1 кадамында сакталган ачкычты, биздин учурда анын атын тандаңыз wireguard-awskey.pem

3.1.1.3. Негизги импорттоо параметрлерин орнотуу

Бул кадамда, биз бул ачкыч (сүрөттөм) үчүн комментарий көрсөтүү жана коопсуздук үчүн сырсөз жана ырастоо коюу керек. Бул сиз туташкан сайын суралат. Ошентип, биз ачкычты туура эмес колдонуудан сырсөз менен коргойбуз. Сырсөздү коюунун кереги жок, бирок ачкыч туура эмес колго түшүп калса, анын коопсуздугу азыраак болот. Биз баскычты басканда Жеке ачкычты сактаңыз

3.1.1.4. Импорттолгон ачкыч сакталууда

Файлды сактоо диалогу ачылат жана биз купуя ачкычыбызды кеңейтүү менен файл катары сактайбыз .ppkпрограммада колдонуу үчүн ылайыктуу Putty.
Ачкычтын атын көрсөтүңүз (биздин учурда wireguard-awskey.ppk) жана баскычты басыңыз кармоо.

3.1.2. Puttyде байланышты түзүү жана конфигурациялоо

3.1.2.1. Байланыш түзүү

Putty программасын ачып, категорияны тандаңыз жыйналыш (ал демейки боюнча ачык) жана талаада Хосттун аты 2.2.3-кадамда алган серверибиздин коомдук IP дарегин киргизиңиз. Талаада Сакталган сеанс биздин байланыш үчүн ыктыярдуу атын киргизиңиз (менин учурда wireguard-aws-london), анан баскычты басыңыз Сактоо биз киргизген өзгөртүүлөрдү сактоо үчүн.

3.1.2.2. Колдонуучунун автологинди орнотуу

Категорияда көбүрөөк байланыш, субкатегорияны тандаңыз маалыматтар жана талаада Автоматтык кирүү колдонуучу аты колдонуучунун атын киргизиңиз Ubuntu Ubuntu менен AWSдеги инстанциянын стандарттуу колдонуучусу.

3.1.2.3. SSH аркылуу туташуу үчүн купуя ачкычты тандоо

Андан кийин субкатегорияга өтүңүз Connection/SSH/Auth жана талаанын жанында Аутентификация үчүн купуя ачкыч файлы баскычын басыңыз Browse ... ачкыч сертификаты бар файлды тандоо үчүн.

3.1.2.4. Импорттолгон ачкыч ачылууда

3.1.1.4-кадамда мурда импорттолгон ачкычты көрсөтүңүз, биздин учурда бул файл wireguard-awskey.ppk, жана баскычты басыңыз ачык.

3.1.2.5. Жөндөөлөрдү сактоо жана туташууну баштоо

Категория барагына кайтуу жыйналыш баскычын кайра басыңыз Сактоо, Мурунку кадамдарда жасаган өзгөртүүлөрдү сактоо үчүн (3.1.2.2 - 3.1.2.4). Анан биз кнопканы басабыз ачык биз түзгөн жана конфигурациялаган алыскы SSH байланышын ачуу үчүн.

3.1.2.7. Хосттар ортосунда ишенимди орнотуу

Кийинки кадамда, биринчи жолу туташууга аракет кылганыбызда, бизге эскертүү берилет, бизде эки компьютердин ортосунда конфигурацияланган ишеним жок жана алыскы компьютерге ишенүү керекпи деп сурайт. Биз кнопканы басабыз ошол, ошону менен аны ишенимдүү хосттордун тизмесине кошуу.

3.1.2.8. Ачкычка кирүү үчүн сырсөздү киргизүү

Андан кийин, терминалдык терезе ачылат, анда сизден ачкычтын сырсөзүн, эгер сиз аны 3.1.1.3-кадамда мурда орнотсоңуз, сурайт. Сырсөздү киргизүүдө экранда эч кандай аракет болбойт. Эгер ката кетирсеңиз, ачкычты колдонсоңуз болот Backspace.

3.1.2.9. Ийгиликтүү туташуу жөнүндө саламдашуу билдирүүсү

Сырсөздү ийгиликтүү киргизгенден кийин, терминалда бизге саламдашуу тексти көрсөтүлөт, ал бизге алыскы система биздин буйруктарды аткарууга даяр экендигин билдирет.

4. Wireguard серверин конфигурациялоо

Төмөндө сүрөттөлгөн скрипттерди колдонуу менен Wireguard орнотуу жана колдонуу боюнча эң акыркы нускамаларды репозиторийден тапса болот: https://github.com/isystem-io/wireguard-aws

4.1. WireGuard орнотулууда

Терминалда төмөнкү буйруктарды киргизиңиз (сиз алмашуу буферине көчүрүп, чычкандын оң баскычын басуу менен терминалга чаптасаңыз болот):

4.1.1. Репозиторийди клондоо

Репозиторийди Wireguard орнотуу скрипттери менен клондоңуз

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Скрипттери бар каталогго өтүү

Клондолгон репозиторий менен каталогго өтүңүз

cd wireguard_aws

4.1.3 Инициализация сценарийин иштетүү

Wireguard орнотуу скриптин администратор (тамыр колдонуучу) катары иштетиңиз

sudo ./initial.sh

Орнотуу процесси Wireguard конфигурациялоо үчүн зарыл болгон белгилүү маалыматтарды сурайт

4.1.3.1. Туташуу чекити киргизүү

Wireguard серверинин тышкы IP дарегин жана ачык портун киргизиңиз. Биз 2.2.3-кадамда сервердин тышкы IP дарегин алдык жана 2.1.5-кадамда портту ачтык. Биз, мисалы, кош чекит менен бөлүп, аларды чогуу көрсөтөбүз 4.3.2.1:54321анан баскычты басыңыз кирүү
Үлгү чыгаруу:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Ички IP дарегин киргизүү

Коопсуз VPN ички тармагындагы Wireguard серверинин IP дарегин киргизиңиз, эгер анын эмне экенин билбесеңиз, демейки маанини коюу үчүн жөн гана Enter баскычын басыңыз (10.50.0.1)
Үлгү чыгаруу:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNS серверин көрсөтүү

DNS серверинин IP дарегин киргизиңиз же демейки маанини коюу үчүн Enter баскычын басыңыз 1.1.1.1 (Cloudflare коомдук DNS)
Үлгү чыгаруу:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WAN интерфейсин көрсөтүү

Андан кийин, сиз VPN ички тармак интерфейсинде уга турган тышкы тармак интерфейсинин атын киргизишиңиз керек. AWS үчүн демейки маанини коюу үчүн жөн гана Enter баскычын басыңыз (eth0)
Үлгү чыгаруу:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Кардардын аты-жөнүн көрсөтүү

VPN колдонуучунун атын киргизиңиз. Чындыгында Wireguard VPN сервери жок дегенде бир кардар кошулмайынча иштей албайт. Бул учурда мен атын киргиздим Alex@mobile
Үлгү чыгаруу:

Enter VPN user name: Alex@mobile

Андан кийин экранда жаңы кошулган кардардын конфигурациясы менен QR коду көрсөтүлүшү керек, аны конфигурациялоо үчүн Android же iOS'догу Wireguard мобилдик кардары аркылуу окуу керек. Ошондой эле QR кодунун астында конфигурация файлынын тексти кардарларды кол менен конфигурациялоодо көрсөтүлөт. Муну кантип кылуу керек, төмөндө талкууланат.

4.2. Жаңы VPN колдонуучусу кошулууда

Жаңы колдонуучуну кошуу үчүн терминалда скриптти аткарышыңыз керек add-client.sh

sudo ./add-client.sh

Скрипт колдонуучунун атын сурайт:
Үлгү чыгаруу:

Enter VPN user name: 

Ошондой эле, колдонуучулардын аты скрипт параметри катары берилиши мүмкүн (бул учурда Alex@mobile):

sudo ./add-client.sh Alex@mobile

Скрипттин аткарылышынын натыйжасында, кардардын аты менен каталогдо жол боюнда /etc/wireguard/clients/{ИмяКлиента} кардар конфигурация файлы түзүлөт /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, жана терминалдын экраны мобилдик кардарларды орнотуу үчүн QR кодун жана конфигурация файлынын мазмунун көрсөтөт.

4.2.1. Колдонуучу конфигурация файлы

Сиз буйрукту колдонуу менен кардарды кол менен конфигурациялоо үчүн .conf файлынын мазмунун экранда көрсөтө аласыз. cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

аткаруу натыйжасы:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Кардардын конфигурация файлынын сүрөттөлүшү:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. кардар конфигурациясы үчүн QR коду

Сиз буйрукту колдонуу менен терминалдын экранында мурда түзүлгөн кардар үчүн конфигурация QR кодун көрсөтө аласыз qrencode -t ansiutf8 (бул мисалда Alex@mobile аттуу кардар колдонулат):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. VPN кардарларын конфигурациялоо

5.1. Android мобилдик кардарын орнотуу

Android үчүн расмий Wireguard кардары болушу мүмкүн расмий Google Play дүкөнүнөн орнотуу

Андан кийин, сиз конфигурацияны кардар конфигурациясы менен QR кодун окуу менен импорттооңуз керек (4.2.2-пунктту караңыз) жана ага ат берүү керек:

Конфигурацияны ийгиликтүү импорттоодон кийин, сиз VPN туннелин иштете аласыз. Ийгиликтүү туташуу Android тутумунун лотокундагы ачкыч менен көрсөтүлөт

5.2. Windows кардар орнотуу

Биринчиден, сиз программаны жүктөп алып, орнотуу керек Windows үчүн TunSafe Windows үчүн Wireguard кардары болуп саналат.

5.2.1. Импорттоо конфигурация файлын түзүү

Иш тактасында текст файлын түзүү үчүн чычкандын оң баскычын чыкылдатыңыз.

5.2.2. Конфигурация файлынын мазмунун серверден көчүрүңүз

Андан кийин биз Putty терминалына кайтып келип, 4.2.1-кадамда сүрөттөлгөндөй, каалаган колдонуучунун конфигурация файлынын мазмунун көрсөтөбүз.
Андан кийин, Putty терминалындагы конфигурация текстин оң баскыч менен чыкылдатыңыз, тандоо аяктагандан кийин, ал автоматтык түрдө алмашуу буферине көчүрүлөт.

5.2.3. Конфигурацияны жергиликтүү конфигурация файлына көчүрүү

Бул талаада биз иш тактасында мурда түзүлгөн текст файлына кайтып келип, конфигурация текстин алмашуу буферинен ага чаптайбыз.

5.2.4. Жергиликтүү конфигурация файлын сактоо

Файлды кеңейтүү менен сактаңыз .conf (бул учурда аталган london.conf)

5.2.5. Жергиликтүү конфигурация файлын импорттоо

Андан кийин, конфигурация файлын TunSafe программасына импорттооңуз керек.

5.2.6. VPN туташуусун орнотуу

Бул конфигурация файлын тандап, баскычты чыкылдатуу менен туташыңыз байланышуу.

6. Байланыш ийгиликтүү болгонун текшерүү

VPN туннели аркылуу туташуунун ийгиликтүү болгонун текшерүү үчүн сиз браузерди ачып, сайтка өтүшүңүз керек https://2ip.ua/ru/

Көрсөтүлгөн IP дарек 2.2.3-кадамда алынган дарекке дал келиши керек.
Эгер ошондой болсо, анда VPN туннели ийгиликтүү иштеп жатат.

Linux терминалынан сиз IP дарегиңизди терүү менен текшере аласыз:

curl http://zx2c4.com/ip

Же сиз Казакстанда болсоңуз, pornhubга кирсеңиз болот.

Source: www.habr.com