Mat der ëmmer méi Zensur vum Internet duerch autoritäre Regimer, ginn ëmmer méi nëtzlech Internetressourcen a Site blockéiert. Inklusiv technesch Informatiounen.
Sou gëtt et onméiglech den Internet voll ze benotzen a verletzt dat fundamentalt Recht op Meenungsfräiheet, déi an Universal Deklaratioun vun de Mënscherechter.
Artikel 19
Jiddereen huet d'Recht op Meenungs- an Ausdrocksfräiheet; dëst Recht beinhalt d'Fräiheet fir Meenungen ouni Amëschung ze halen an Informatiounen an Iddien duerch all Medien an onofhängeg vu Grenzen ze sichen, ze kréien an ze vermëttelen
An dësem Guide wäerte mir eis eege Freeware* a 6 Schrëtt ofsetzen. VPN Service baséiert op Technologie Drot Gard, an der Cloud Infrastruktur Amazon Web Services (AWS), mat engem gratis Kont (fir 12 Méint), op enger Instanz (virtuell Maschinn) geréiert vum Ubuntu Server 18.04LTS.
Ech hu probéiert dëse Walkthrough sou frëndlech wéi méiglech fir Net-IT Leit ze maachen. Dat eenzegt wat erfuerderlech ass ass Ausdauer bei der Widderhuelung vun de Schrëtt hei ënnendrënner.
Remarque
AWS bitt fräi Benotzung Tier fir eng Period vun 12 Méint, mat enger Limite vu 15 Gigabytes Traffic pro Mount.
Umellen fir e gratis AWS Kont erfuerdert eng richteg Telefonsnummer an eng valabel Visa oder Mastercard Kreditkaart. Ech recommandéieren virtuell Kaarten ze benotzen déi gratis zur Verfügung gestallt ginn Yandex.Money oder qiwi Portemonnaie. Fir d'Gëltegkeet vun der Kaart z'iwwerpréiwen, gëtt 1 $ bei der Aschreiwung ofgezunn, déi spéider zréckginn.
Fëllt d'Donnéeën aus a klickt op de "Continue" Knäppchen
1.3. Ausfëllen Kontakt Detailer
Fëllt d'Kontaktinformatioun aus.
1.4. Bezuelungsinformatioun spezifizéieren.
Kaartnummer, Verfallsdatum an Numm vum Cardholder.
1.5. Kont Verifikatioun
Op dëser Etapp gëtt d'Telefonsnummer bestätegt an $ 1 gëtt direkt vun der Bezuelkaart ofgebucht. E 4-Zifferen Code gëtt um Computerbildschierm ugewisen, an de spezifizéierte Telefon kritt en Uruff vun Amazon. Wärend engem Uruff musst Dir de Code um Écran weisen.
1.6. Wiel vun Tarifplang.
Wielt - Basisplang (gratis)
1.7. Login op d'Verwaltungskonsole
1.8. Wiel vun der Plaz vum Rechenzentrum
1.8.1. Geschwindegkeet Testen
Ier Dir en Datenzenter wielt, ass et recommandéiert duerch ze testen https://speedtest.net Geschwindegkeet vum Zougang zu den nooste Rechenzentren, a mengem Standuert déi folgend Resultater:
Сингапур
Paräis
Frankfurt
Stockholm
London
Den Datenzenter zu London weist déi bescht Resultater a punkto Geschwindegkeet. Also hunn ech et gewielt fir weider Personnalisatioun.
2. Schafen eng AWS Instanz
2.1 Erstellt eng virtuell Maschinn
2.1.1. Auswiel vun enger Instanztyp
Par défaut gëtt d't2.micro Instanz ausgewielt, dat ass wat mir brauchen, dréckt just op de Knäppchen Nächste: Instanz Detailer konfiguréieren
2.1.2. Astellung Instanz Optiounen
An Zukunft wäerte mir eng permanent ëffentlech IP un eis Instanz verbannen, also op dëser Etapp schalten mir d'Auto-Astellung vun enger ëffentlecher IP aus, an dréckt op de Knäppchen Nächste: Späichere addéieren
2.1.3. Stockage Verbindung
Gitt d'Gréisst vun der "Harddisk" un. Fir eis Zwecker ass 16 Gigabyte genuch, a mir drécken de Knäppchen Nächste: Füügt Tags
2.1.4. Tags opsetzen
Wa mir e puer Instanzen erstallt hunn, da kënne se duerch Tags gruppéiert ginn fir d'Verwaltung ze erliichteren. An dësem Fall ass dës Funktionalitéit iwwerflësseg, dréckt direkt op de Knäppchen Nächste: Sécherheetsgrupp konfiguréieren
2.1.5. Ouverture Häfen
An dësem Schrëtt konfiguréiere mir d'Firewall andeems Dir déi erfuerderlech Ports opmaacht. De Set vun oppene Ports gëtt de Sécherheetsgrupp genannt. Mir mussen en neie Sécherheetsgrupp erstellen, et en Numm ginn, Beschreiwung, en UDP Hafen addéieren (Custom UDP Rule), am Ror Range Feld musst Dir eng Portnummer aus der Gamme zouginn dynamesch Häfen 49152-65535. An dësem Fall hunn ech d'Portnummer 54321 gewielt.
Nodeems Dir déi néideg Donnéeën ausfëllt, klickt op de Knäppchen Iwwerpréiwen a starten
2.1.6. Iwwersiicht vun all Astellungen
Op dëser Säit gëtt et en Iwwerbléck iwwer all d'Astellunge vun eiser Instanz, mir kontrolléieren ob all d'Astellungen an der Rei sinn, an dréckt op de Knäppchen lancéiere
2.1.7. Schafen Zougang Schlësselen
Als nächst kënnt eng Dialogbox déi ubitt fir entweder en existente SSH-Schlëssel ze kreéieren oder ze addéieren, mat deem mir spéider mat eiser Instanz verbannen. Mir wielt d'Optioun "Erstellt en neit Schlësselpaar" fir en neie Schlëssel ze kreéieren. Gitt et en Numm a klickt op de Knäppchen Download Schlëssel Pairfir déi generéiert Schlësselen erofzelueden. Späichert se op eng sécher Plaz op Ärem lokalen Computer. Eemol erofgeluede, klickt op de Knäppchen. Lancéiere Instanzen
2.1.7.1. Spueren Zougang Schlësselen
Hei ugewisen ass de Schrëtt fir déi generéiert Schlësselen aus dem virege Schrëtt ze späicheren. Nodeems mir de Knäppchen gedréckt Download Schlëssel Pair, de Schlëssel gëtt als Zertifikatdatei mat *.pem Extensioun gespäichert. An dësem Fall hunn ech et en Numm ginn wireguard-awskey.pem
2.1.8. Iwwersiicht vun Instanz Kreatioun Resultater
Als nächst gesi mir e Message iwwer den erfollegräiche Start vun der Instanz déi mir just erstallt hunn. Mir kënnen op d'Lëscht vun eisen Instanzen goen andeems Dir op de Knäppchen klickt gesinn Instanzen
2.2. Schafen eng extern IP Adress
2.2.1. Start der Schafung vun engem externen IP
Als nächst musse mir eng permanent extern IP Adress erstellen, duerch déi mir mat eisem VPN Server verbannen. Fir dëst ze maachen, wielt den Artikel an der Navigatiounspanel op der lénker Säit vum Écran Elastesch IPs aus Kategorie NETWORK & SECTURITY an dréckt op de Knäppchen Nei Adress zougewisen
2.2.2. Konfiguratioun vun der Schafung vun engem externen IP
Am nächste Schrëtt musse mir d'Optioun aktivéieren Amazon Pool (Standard aktivéiert), a klickt op de Knäppchen Allokéieren
2.2.3. Iwwersiicht iwwer d'Resultater vun der Schafung vun enger externer IP Adress
Den nächsten Écran weist déi extern IP Adress déi mir kritt hunn. Et ass recommandéiert et ze memoriséieren, an et ass besser et souguer ze schreiwen. et wäert méi wéi eemol am Prozess vun der weiderer Ariichten an Benotzung vum VPN Server nëtzlech kommen. An dësem Guide benotzen ech d'IP Adress als Beispill. 4.3.2.1. Wann Dir d'Adress aginn hutt, dréckt op de Knäppchen Zoumaachen
2.2.4. Lëscht vun externen IP Adressen
Als nächst gi mir eng Lëscht vun eise permanenten ëffentleche IP Adressen (elastesche IP) presentéiert.
2.2.5. Eng extern IP un eng Instanz ze ginn
An dëser Lëscht wielt mir d'IP Adress déi mir kruten, an dréckt op de rietse Maustast fir en Dropdown-Menü ze bréngen. An et, wielt den Artikel assoziéiert Adressfir et un d'Instanz ze ginn déi mir virdru erstallt hunn.
2.2.6. Extern IP Aufgab Astellung
Am nächste Schrëtt, wielt eis Instanz aus der Dropdown-Lëscht, an dréckt op de Knäppchen Associé
2.2.7. Iwwersiicht vun externen IP Assignment Resultater
Duerno kënne mir gesinn datt eis Instanz a seng privat IP Adress un eis permanent ëffentlech IP Adress gebonnen sinn.
Elo kënne mir eis nei erstallt Instanz vu baussen verbannen, vun eisem Computer iwwer SSH.
3. Connect op eng AWS Instanz
SSH ass e séchere Protokoll fir d'Fernsteuerung vu Computerapparater.
3.1. Verbindung iwwer SSH vun engem Windows Computer
Fir mat engem Windows Computer ze verbannen, musst Dir als éischt de Programm eroflueden an installéieren Putty.
3.1.1. Import private Schlëssel fir Putty
3.1.1.1. Nodeems Dir Putty installéiert hutt, musst Dir de PuTTYgen Utility lafen, deen domat kënnt fir den Zertifikatschlëssel am PEM Format z'importéieren, an engem Format dat gëeegent ass fir am Putty ze benotzen. Fir dëst ze maachen, wielt den Element am Topmenü Konversiounen-> Import Key
3.1.1.2. Wielt en AWS Schlëssel am PEM Format
Als nächst wielt de Schlëssel dee mir virdru am Schrëtt 2.1.7.1 gespäichert hunn, an eisem Fall säin Numm wireguard-awskey.pem
3.1.1.3. Astellung Schlëssel Import Optiounen
Op dësem Schrëtt musse mir e Kommentar fir dëse Schlëssel (Beschreiwung) spezifizéieren an e Passwuert a Bestätegung fir Sécherheet setzen. Et gëtt all Kéier gefrot wann Dir verbënnt. Sou schütze mir de Schlëssel mat engem Passwuert virun onpassend Notzung. Dir musst kee Passwuert astellen, awer et ass manner sécher wann de Schlëssel an déi falsch Hänn fällt. Nodeems mir de Knäppchen dréckt Retten private Schlëssel
3.1.1.4. Spuert en importéierte Schlëssel
E späicheren Datei Dialog mécht op a mir späicheren eise private Schlëssel als Datei mat der Extensioun .ppkgëeegent fir am Programm ze benotzen Putty.
Gitt den Numm vum Schlëssel un (an eisem Fall wireguard-awskey.ppk) an dréckt op de Knäppchen behalen.
3.1.2. Eng Verbindung am Putty erstellen an konfiguréieren
3.1.2.1. Schafen eng Verbindung
Öffnen de Putty Programm, wielt eng Kategorie Sëtzung (et ass par défaut op) an am Feld Host Numm gitt déi ëffentlech IP Adress vun eisem Server un, déi mir am Schrëtt 2.2.3 kritt hunn. Am Feld Gespäichert Sëtzung gitt en arbiträren Numm fir eis Verbindung (a mengem Fall wireguard-aws-london), an dréckt dann op de Knäppchen spueren fir d'Ännerungen ze späicheren déi mir gemaach hunn.
3.1.2.2. Astellung vum Benotzer Autologin
Méi an der Kategorie Connexioun, wielt eng Ënnerkategorie Daten an am Feld Auto-Login Benotzernumm gitt Benotzernumm Ubuntu ass de Standard Benotzer vun der Instanz op AWS mat Ubuntu.
3.1.2.3. Wielt e private Schlëssel fir iwwer SSH ze verbannen
Da gitt op d'Ënnerkategorie Verbindung / SSH / Auth an nieft dem Terrain Privat Schlëssel Datei fir Authentifikatioun dréckt op de Knäppchen Blieder ... fir e Fichier mat engem Schlësselzertifika ze wielen.
3.1.2.4. Ouverture vun engem importéierte Schlëssel
Gitt de Schlëssel un, dee mir virdru bei Schrëtt 3.1.1.4 importéiert hunn, an eisem Fall ass et eng Datei wireguard-awskey.ppk, an dréckt op de Knäppchen Open.
3.1.2.5. Astellunge späicheren an eng Verbindung starten
Zréck op Kategorie Säit Sëtzung Press de Knäppchen erëm spueren, fir d'Ännerungen ze späicheren, déi mir virdru gemaach hunn an de fréiere Schrëtt (3.1.2.2 - 3.1.2.4). An dann drécke mir op de Knäppchen Open fir d'Remote SSH Verbindung opzemaachen, déi mir erstallt a konfiguréiert hunn.
3.1.2.7. Vertrauen tëscht Hosten opsetzen
Um nächste Schrëtt, déi éischte Kéier datt mir probéieren ze verbannen, gi mir eng Warnung, mir hu kee Vertrauen tëscht deenen zwee Computeren konfiguréiert, a freet ob de Ferncomputer vertrauen. Mir drécken de Knäppchen datt, doduerch et op d'Lëscht vun vertrauenswürdege Hosten bäigefüügt.
3.1.2.8. Gitt e Passwuert fir Zougang zum Schlëssel
Duerno gëtt eng Terminalfenster op, wou Dir gefrot gëtt fir d'Passwuert fir de Schlëssel, wann Dir et virdru um Schrëtt 3.1.1.3 agestallt hutt. Wann Dir e Passwuert agitt, geschitt keng Handlung um Bildschierm. Wann Dir e Feeler maacht, kënnt Dir de Schlëssel benotzen Backspace.
3.1.2.9. Wëllkomm Message op erfollegräich Verbindung
Nodeems Dir d'Passwuert erfollegräich aginn hutt, gi mir e Begréissungstext am Terminal gewisen, deen eis seet datt de Fernsystem prett ass fir eis Kommandoen auszeféieren.
4. Configuring der Wireguard Server
Déi aktuellst Instruktioune fir d'Installatioun an d'Benotzung vu Wireguard mat de Skripte, déi hei ënnen beschriwwe ginn, kënnen am Repository fonnt ginn: https://github.com/isystem-io/wireguard-aws
4.1. Installatioun WireGuard
Am Terminal gitt déi folgend Befehle (Dir kënnt op de Clipboard kopéieren an an den Terminal pechen andeems Dir op der rietser Maus Knäppchen dréckt):
4.1.1. Klonen vun engem Repository
Klon de Repository mat de Wireguard Installatiounsskripter
Run als Administrator (root Benotzer) de Wireguard Installatiounsskript
sudo ./initial.sh
Den Installatiounsprozess freet no bestëmmten Donnéeën erfuerderlech fir Wireguard ze konfiguréieren
4.1.3.1. Verbindung Punkt Input
Gitt déi extern IP Adress an den oppenen Hafen vum Wireguard Server un. Mir hunn déi extern IP Adress vum Server am Schrëtt 2.2.3, an den Hafen am Schrëtt 2.1.5 opgemaach. Mir weisen se zesummen un, trennen se zum Beispill mat engem Colon 4.3.2.1:54321an dann Press de Schlëssel gitt Probe Ausgang:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Déi intern IP Adress aginn
Gitt d'IP Adress vum Wireguard Server am séchere VPN Subnet un, wann Dir net wësst wat et ass, dréckt einfach op Enter fir de Standardwäert ze setzen (10.50.0.1) Probe Ausgang:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. En DNS Server spezifizéieren
Gitt d'IP Adress vum DNS-Server un, oder dréckt einfach den Enter-Schlëssel fir de Standardwäert ze setzen 1.1.1.1 (Cloudflare ëffentlech DNS) Probe Ausgang:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. Spezifizéierung vum WAN Interface
Als nächst musst Dir den Numm vun der externer Netzwierk-Interface aginn, déi op der VPN internen Netzwierk-Interface lauschtert. Press Just Enter fir den Default Wäert fir AWS ze setzen (eth0) Probe Ausgang:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Den Numm vum Client uginn
Gitt den Numm vum VPN Benotzer un. D'Tatsaach ass datt de Wireguard VPN Server net fäeg ass ze starten bis op d'mannst ee Client bäigefüügt ass. An dësem Fall hunn ech den Numm aginn Alex@mobile Probe Ausgang:
Enter VPN user name: Alex@mobile
Duerno soll e QR-Code mat der Konfiguratioun vum nei addéierte Client um Bildschierm ugewise ginn, dee mat dem Wireguard Mobile Client op Android oder iOS gelies muss ginn fir en ze konfiguréieren. An och ënner dem QR Code gëtt den Text vun der Konfiguratiounsdatei am Fall vun enger manueller Konfiguratioun vu Clienten ugewisen. Wéi dëst ze maachen gëtt ënnert diskutéiert ginn.
4.2. Füügt en neie VPN Benotzer
Fir en neie Benotzer ze addéieren, musst Dir de Skript am Terminal ausféieren add-client.sh
sudo ./add-client.sh
De Skript freet no engem Benotzernumm: Probe Ausgang:
Enter VPN user name:
Och den Numm vun de Benotzer kann als Skriptparameter weidergeleet ginn (an dësem Fall Alex@mobile):
sudo ./add-client.sh Alex@mobile
Als Resultat vun der Schrëft Ausféierung, am Verzeechnes mam Numm vum Client laanscht de Wee /etc/wireguard/clients/{ИмяКлиента} Client Konfiguratiounsdatei gëtt erstallt /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, an den Terminalbildschierm weist e QR-Code fir mobil Clienten an den Inhalt vun der Konfiguratiounsdatei opzestellen.
4.2.1. Benotzerkonfiguratiounsdatei
Dir kënnt den Inhalt vun der .conf Datei um Bildschierm weisen, fir manuell Konfiguratioun vum Client, andeems Dir de Kommando benotzt cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR Code fir Client Configuratioun
Dir kënnt e QR-Konfiguratiounscode fir e virdru erstallte Client um Terminalbildschierm mat dem Kommando weisen qrencode -t ansiutf8 (an dësem Beispill gëtt de Client mam Numm Alex@mobile benotzt):
Duerno musst Dir d'Konfiguratioun importéieren andeems Dir den QR Code mat der Clientkonfiguratioun liest (kuckt Paragraph 4.2.2) a gitt et en Numm:
Nodeems Dir d'Konfiguratioun erfollegräich importéiert hutt, kënnt Dir de VPN Tunnel aktivéieren. Eng erfollegräich Verbindung gëtt vun engem Schlësselstash am Android Systemtablett uginn
5.2. Windows Client Setup
Als éischt musst Dir de Programm eroflueden an installéieren TunSafe fir Windows ass de Wireguard Client fir Windows.
5.2.1. Schafen eng Import Configuratiounsdatei
Riets-klickt fir eng Textdatei um Desktop ze kreéieren.
5.2.2. Kopéiert den Inhalt vun der Konfiguratiounsdatei vum Server
Duerno gi mir zréck op de Putty-Terminal a weisen den Inhalt vun der Konfiguratiounsdatei vum gewënschten Benotzer, wéi am Schrëtt 4.2.1 beschriwwen.
Als nächst klickt op de Konfiguratiounstext am Putty-Terminal, nodeems d'Auswiel ofgeschloss ass, gëtt se automatesch op de Clipboard kopéiert.
5.2.3. D'Kopie vun der Konfiguratioun op eng lokal Konfiguratiounsdatei
An dësem Feld gi mir zréck op d'Textdatei, déi mir virdru um Desktop erstallt hunn, a pechen den Konfiguratiounstext an et aus dem Clipboard.
5.2.4. Spuert eng lokal Konfiguratiounsdatei
Späichert d'Datei mat Extensioun .conf (an dësem Fall genannt london.conf)
5.2.5. Import vun enger lokaler Konfiguratiounsdatei
Als nächst musst Dir d'Konfiguratiounsdatei an den TunSafe Programm importéieren.
5.2.6. Eng VPN Verbindung opsetzen
Wielt dës Konfiguratiounsdatei a verbënnt andeems Dir op de Knäppchen klickt Connect.
6. Iwwerpréift ob d'Verbindung erfollegräich war
Fir den Erfolleg vun der Verbindung duerch den VPN-Tunnel ze kontrolléieren, musst Dir e Browser opmaachen an op de Site goen https://2ip.ua/ru/
Déi ugewisen IP Adress muss mat där passen, déi mir am Schrëtt 2.2.3 kruten.
Wann jo, da funktionnéiert de VPN Tunnel erfollegräich.
Vum Linux-Terminal kënnt Dir Är IP Adress kontrolléieren andeems Dir tippt:
curl http://zx2c4.com/ip
Oder Dir kënnt einfach op Pornhub goen wann Dir am Kasachstan sidd.