Už ką?

Autoritariniams režimams didėjant interneto cenzūrai, blokuojama vis daugiau naudingų interneto išteklių ir svetainių. Įskaitant techninę informaciją.
Tokiu būdu tampa nebeįmanoma visapusiškai naudotis internetu ir pažeidžiama pagrindinė teisė į žodžio laisvę, įtvirtinta XNUMX m. Visuotinė žmogaus teisių deklaracija.

Straipsnis 19
Kiekvienas turi teisę į nuomonės ir žodžio laisvę; ši teisė apima laisvę nesikišant turėti savo nuomonę ir ieškoti, gauti ir skleisti informaciją bei idėjas per bet kokią žiniasklaidą ir nepaisant sienų

Šiame vadove mes įdiegsime savo nemokamą programinę įrangą* atlikdami 6 veiksmus. VPN paslauga remiantis technologija Laidininkas, debesų infrastruktūroje "Amazon" žiniatinklio paslaugos (AWS), naudojant nemokamą paskyrą (12 mėnesių), egzemplioriuje (virtualioje mašinoje), kurį valdo Ubuntu serveris 18.04LTS.
Stengiausi, kad šis žingsnis būtų kuo draugiškesnis ne IT žmonėms. Vienintelis dalykas, kurio reikia, yra atkaklumas kartojant toliau aprašytus veiksmus.

Atkreipti dėmesį

• AWS suteikia nemokamo naudojimo pakopa 12 mėnesių laikotarpiui, ribojant 15 gigabaitų srautą per mėnesį.
• Naujausią šio vadovo versiją galite rasti adresu https://wireguard.isystem.io

Etapai

1. Prisiregistruokite gauti nemokamą AWS paskyrą
2. Sukurkite AWS egzempliorių
3. Prisijungimas prie AWS egzemplioriaus
4. Laido apsaugos konfigūracija
5. VPN klientų konfigūravimas
6. Tikrinamas VPN diegimo teisingumas

Naudingos nuorodos

• Automatiniai „Wireguard“ diegimo scenarijai AWS

1. AWS paskyros registravimas

Norint prisiregistruoti gauti nemokamą AWS paskyrą, reikia turėti tikrą telefono numerį ir galiojančią „Visa“ arba „Mastercard“ kredito kortelę. Rekomenduoju naudoti virtualias korteles, kurios teikiamos nemokamai "Yandex" arba qiwi piniginė. Norint patikrinti kortelės galiojimą, registracijos metu nuskaičiuojamas 1 USD, kuris vėliau grąžinamas.

1.1. Atidarykite AWS valdymo pultą

Turite atidaryti naršyklę ir eiti į: https://aws.amazon.com/ru/
Spustelėkite mygtuką „Registruotis“.

1.2. Asmens duomenų pildymas

Užpildykite duomenis ir spustelėkite mygtuką "Tęsti".

1.3. Kontaktinių duomenų užpildymas

Užpildykite kontaktinę informaciją.

1.4. Nurodykite mokėjimo informaciją.

Kortelės numeris, galiojimo laikas ir kortelės turėtojo vardas ir pavardė.

1.5. Paskyros patvirtinimas

Šiame etape patvirtinamas telefono numeris ir 1 USD nurašoma tiesiogiai iš mokėjimo kortelės. Kompiuterio ekrane rodomas 4 skaitmenų kodas ir nurodytas telefonas sulaukia skambučio iš Amazon. Pokalbio metu turite surinkti ekrane rodomą kodą.

1.6. Tarifų plano pasirinkimas.

Pasirinkite – pagrindinis planas (nemokamas)

1.7. Prisijunkite prie valdymo pulto

1.8. Duomenų centro vietos pasirinkimas

1.8.1. Greičio testas

Prieš pasirenkant duomenų centrą, rekomenduojama jį išbandyti https://speedtest.net prieigos prie artimiausių duomenų centrų greitis, mano vietoje rezultatai:

• Singapūras
  
• Paryžius
  
• Frankfurtas
  
• Stokholmas
  
• Londonas
  

Duomenų centras Londone rodo geriausius rezultatus pagal greitį. Taigi pasirinkau jį tolesniam pritaikymui.

2. Sukurkite AWS egzempliorių

2.1 Sukurkite virtualią mašiną

2.1.1. Pavyzdžio tipo pasirinkimas

Pagal numatytuosius nustatymus pasirinktas t2.micro egzempliorius, kurio mums reikia, tiesiog paspauskite mygtuką Kitas: Konfigūruokite išsamią egzemplioriaus informaciją

2.1.2. Egzempliorių parinkčių nustatymas

Ateityje prie egzemplioriaus prijungsime nuolatinį viešąjį IP, todėl šiame etape išjungiame automatinį viešojo IP priskyrimą ir paspauskite mygtuką Kitas: Pridėti saugyklą

2.1.3. Sandėliavimo jungtis

Nurodykite "kietojo disko" dydį. Mūsų tikslams užtenka 16 gigabaitų, ir paspaudžiame mygtuką Kitas: pridėti žymų

2.1.4. Žymų nustatymas

Jei sukurtume kelis atvejus, juos būtų galima sugrupuoti pagal žymas, kad būtų lengviau administruoti. Tokiu atveju ši funkcija nereikalinga, nedelsdami paspauskite mygtuką Kitas: Konfigūruokite saugos grupę

2.1.5. Prievadų atidarymas

Šiame žingsnyje mes sukonfigūruojame ugniasienę atidarydami reikiamus prievadus. Atvirų prievadų rinkinys vadinamas saugos grupe. Turime sukurti naują saugos grupę, suteikti jai pavadinimą, aprašymą, pridėti UDP prievadą (Custom UDP Rule), lauke Rort Range turite priskirti prievado numerį iš diapazono dinaminiai prievadai 49152-65535. Šiuo atveju pasirinkau prievado numerį 54321.

Užpildę reikiamus duomenis, spustelėkite mygtuką Peržiūrėkite ir paleiskite

2.1.6. Visų nustatymų apžvalga

Šiame puslapyje yra visų mūsų egzemplioriaus nustatymų apžvalga, patikriname, ar visi nustatymai tvarkingi, ir paspaudžiame mygtuką Pradėti

2.1.7. Prieigos raktų kūrimas

Tada pasirodo dialogo langas, kuriame siūloma sukurti arba pridėti esamą SSH raktą, su kuriuo vėliau nuotoliniu būdu prisijungsime prie savo egzemplioriaus. Norėdami sukurti naują raktą, pasirenkame parinktį „Sukurti naują raktų porą“. Suteikite jam pavadinimą ir spustelėkite mygtuką Atsisiųskite raktų porąNorėdami atsisiųsti sugeneruotus raktus. Išsaugokite juos saugioje vietinio kompiuterio vietoje. Atsisiuntę spustelėkite mygtuką. Paleiskite egzempliorius

2.1.7.1. Išsaugomi prieigos raktai

Čia parodytas ankstesnio veiksmo sugeneruotų raktų išsaugojimo veiksmas. Po to, kai paspaudėme mygtuką Atsisiųskite raktų porą, raktas išsaugomas kaip sertifikato failas su *.pem plėtiniu. Šiuo atveju aš daviau jam pavadinimą wireguard-awskey.pem

2.1.8. Egzempliorių kūrimo rezultatų apžvalga

Tada matome pranešimą apie sėkmingą ką tik sukurto egzemplioriaus paleidimą. Spustelėję mygtuką galime pereiti į savo egzempliorių sąrašą peržiūrėti atvejus

2.2. Išorinio IP adreso sukūrimas

2.2.1. Išorinio IP kūrimo pradžia

Tada turime sukurti nuolatinį išorinį IP adresą, per kurį prisijungsime prie savo VPN serverio. Norėdami tai padaryti, kairėje ekrano pusėje esančiame naršymo skydelyje pasirinkite elementą Elastingi IP iš kategorijos TINKLAS IR SAUGA ir paspauskite mygtuką Paskirkite naują adresą

2.2.2. Išorinio IP kūrimo konfigūravimas

Kitame veiksme turime įjungti parinktį Amazon baseinas (įjungta pagal numatytuosius nustatymus) ir spustelėkite mygtuką Paskirstykite

2.2.3. Išorinio IP adreso sukūrimo rezultatų apžvalga

Kitame ekrane bus rodomas gautas išorinis IP adresas. Rekomenduojama jį įsiminti, o geriau net užsirašyti. jis pravers dar ne kartą toliau nustatant ir naudojant VPN serverį. Šiame vadove kaip pavyzdį naudoju IP adresą. 4.3.2.1. Įvedę adresą, paspauskite mygtuką arti

2.2.4. Išorinių IP adresų sąrašas

Toliau mums pateikiamas mūsų nuolatinių viešųjų IP adresų (elastics IP) sąrašas.

2.2.5. Išorinio IP priskyrimas egzemplioriui

Šiame sąraše pasirenkame gautą IP adresą ir paspauskite dešinįjį pelės mygtuką, kad būtų parodytas išskleidžiamasis meniu. Jame pasirinkite elementą asocijuotas adresaskad priskirtumėte jį anksčiau sukurtam egzemplioriui.

2.2.6. Išorinio IP priskyrimo nustatymas

Kitame veiksme išskleidžiamajame sąraše pasirinkite mūsų egzempliorių ir paspauskite mygtuką Bendradarbis

2.2.7. Išorinio IP priskyrimo rezultatų apžvalga

Po to matome, kad mūsų egzempliorius ir jo privatus IP adresas yra susieti su mūsų nuolatiniu viešuoju IP adresu.

Dabar galime prisijungti prie mūsų naujai sukurto egzemplioriaus iš išorės, iš savo kompiuterio per SSH.

3. Prisijunkite prie AWS egzemplioriaus

SSH yra saugus kompiuterinių įrenginių nuotolinio valdymo protokolas.

3.1. Prisijungimas per SSH iš „Windows“ kompiuterio

Norėdami prisijungti prie „Windows“ kompiuterio, pirmiausia turite atsisiųsti ir įdiegti programą glaistas.

3.1.1. Importuokite privatųjį Putty raktą

3.1.1.1. Įdiegę „Putty“, turite paleisti su juo pateiktą „PuTTYgen“ programą, kad importuotumėte sertifikato raktą PEM formatu į formatą, tinkamą naudoti „Putty“. Norėdami tai padaryti, pasirinkite elementą viršutiniame meniu Konversijos->Importuoti raktą

3.1.1.2. AWS rakto pasirinkimas PEM formatu

Tada pasirinkite raktą, kurį anksčiau išsaugojome 2.1.7.1 veiksme, mūsų atveju jo pavadinimą wireguard-awskey.pem

3.1.1.3. Raktų importavimo parinkčių nustatymas

Šiame žingsnyje turime nurodyti šio rakto komentarą (aprašą) ir nustatyti slaptažodį bei saugumo patvirtinimą. Jo bus prašoma kiekvieną kartą prisijungus. Taigi mes apsaugome raktą slaptažodžiu nuo netinkamo naudojimo. Jums nereikia nustatyti slaptažodžio, tačiau jis yra mažiau saugus, jei raktas patenka į netinkamas rankas. Po to, kai paspaudžiame mygtuką Išsaugoti privatų raktą

3.1.1.4. Išsaugomas importuotas raktas

Atsidaro failo išsaugojimo dialogo langas ir mes išsaugome savo privatų raktą kaip failą su plėtiniu .ppktinkamas naudoti programoje glaistas.
Nurodykite rakto pavadinimą (mūsų atveju wireguard-awskey.ppk) ir paspauskite mygtuką Išlaikyti.

3.1.2. Ryšio sukūrimas ir konfigūravimas „Putty“.

3.1.2.1. Sukurti ryšį

Atidarykite „Putty“ programą, pasirinkite kategoriją Sesija (jis atidarytas pagal numatytuosius nustatymus) ir lauke Pagrindinio kompiuterio vardas įveskite viešą mūsų serverio IP adresą, kurį gavome atlikdami 2.2.3 veiksmą. Lauke Išsaugota sesija įveskite savavališką mūsų ryšio pavadinimą (mano atveju wireguard-aws-london), tada paspauskite mygtuką Sutaupote kad išsaugotume atliktus pakeitimus.

3.1.2.2. Vartotojo automatinio prisijungimo nustatymas

Daugiau kategorijoje Ryšys, pasirinkite subkategoriją Duomenys ir lauke Automatinio prisijungimo vartotojo vardas įveskite vartotojo vardą ubuntu yra standartinis egzemplioriaus vartotojas AWS su Ubuntu.

3.1.2.3. Privataus rakto pasirinkimas prisijungimui per SSH

Tada eikite į subkategoriją Ryšys/SSH/Auth ir šalia lauko Privataus rakto failas autentifikavimui Paspausk mygtuką Naršyti ... norėdami pasirinkti failą su rakto sertifikatu.

3.1.2.4. Importuoto rakto atidarymas

Nurodykite raktą, kurį anksčiau importavome 3.1.1.4 veiksme, mūsų atveju tai yra failas wireguard-awskey.ppkir paspauskite mygtuką atviras.

3.1.2.5. Išsaugokite nustatymus ir užmegzkite ryšį

Grįžimas į kategorijos puslapį Sesija dar kartą paspauskite mygtuką Sutaupote, norėdami išsaugoti pakeitimus, kuriuos atlikome anksčiau atlikdami ankstesnius veiksmus (3.1.2.2–3.1.2.4). Ir tada paspaudžiame mygtuką Atviras Norėdami atidaryti nuotolinį SSH ryšį, kurį sukūrėme ir sukonfigūravome.

3.1.2.7. Pasitikėjimo tarp šeimininkų nustatymas

Kitame žingsnyje, kai pirmą kartą bandome prisijungti, gauname įspėjimą, tarp dviejų kompiuterių nesukonfigūruotas pasitikėjimas ir klausiama, ar pasitikėti nuotoliniu kompiuteriu. Mes paspaudžiame mygtuką Taip, įtraukdami jį į patikimų prieglobų sąrašą.

3.1.2.8. Slaptažodžio įvedimas norint pasiekti raktą

Po to atsidaro terminalo langas, kuriame jūsų prašoma įvesti rakto slaptažodį, jei jį nustatėte anksčiau 3.1.1.3 veiksme. Įvedus slaptažodį, ekrane nevykdomi jokie veiksmai. Jei suklydote, galite naudoti raktą Backspace.

3.1.2.9. Sveikinimo pranešimas apie sėkmingą prisijungimą

Sėkmingai įvedus slaptažodį, terminale parodomas pasisveikinimo tekstas, nurodantis, kad nuotolinė sistema yra pasirengusi vykdyti mūsų komandas.

4. „Wireguard“ serverio konfigūravimas

Naujausias „Wireguard“ diegimo ir naudojimo instrukcijas naudojant toliau aprašytus scenarijus galite rasti saugykloje: https://github.com/isystem-io/wireguard-aws

4.1. „WireGuard“ diegimas

Terminale įveskite šias komandas (galite nukopijuoti į mainų sritį ir įklijuoti į terminalą paspausdami dešinįjį pelės mygtuką):

4.1.1. Saugyklos klonavimas

Klonuokite saugyklą naudodami „Wireguard“ diegimo scenarijus

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Perjungimas į katalogą su scenarijais

Eikite į katalogą su klonuota saugykla

cd wireguard_aws

4.1.3 Paleisti inicijavimo scenarijų

Paleiskite „Wireguard“ diegimo scenarijų kaip administratorius (root naudotojas).

sudo ./initial.sh

Diegimo procesas paprašys tam tikrų duomenų, reikalingų Wireguard konfigūruoti

4.1.3.1. Ryšio taško įvestis

Įveskite išorinį IP adresą ir atidarykite „Wireguard“ serverio prievadą. 2.2.3 veiksme gavome išorinį serverio IP adresą, o prievadą atidarėme 2.1.5 veiksme. Mes nurodome juos kartu, atskirdami juos, pavyzdžiui, dvitaškiu 4.3.2.1:54321ir tada paspauskite klavišą įeiti
Išvesties pavyzdys:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Vidinio IP adreso įvedimas

Įveskite Wireguard serverio IP adresą saugiame VPN potinklyje, jei nežinote, kas tai yra, tiesiog paspauskite klavišą Enter, kad nustatytumėte numatytąją reikšmę (10.50.0.1)
Išvesties pavyzdys:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. Nurodykite DNS serverį

Įveskite DNS serverio IP adresą arba tiesiog paspauskite klavišą Enter, kad nustatytumėte numatytąją reikšmę 1.1.1.1 („Cloudflare“ viešasis DNS)
Išvesties pavyzdys:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. Nurodykite WAN sąsają

Tada turite įvesti išorinės tinklo sąsajos, kuri klausys VPN vidinės tinklo sąsajos, pavadinimą. Tiesiog paspauskite Enter, kad nustatytumėte numatytąją AWS reikšmę (eth0)
Išvesties pavyzdys:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Nurodyti kliento vardą

Įveskite VPN vartotojo vardą. Faktas yra tas, kad Wireguard VPN serveris negalės paleisti, kol nebus pridėtas bent vienas klientas. Šiuo atveju aš įvedžiau vardą Alex@mobile
Išvesties pavyzdys:

Enter VPN user name: Alex@mobile

Po to ekrane turėtų būti rodomas QR kodas su naujai pridėto kliento konfigūracija, kurį reikia nuskaityti naudojant „Wireguard“ mobilųjį klientą „Android“ arba „iOS“, kad jį sukonfigūruotų. Taip pat po QR kodu bus rodomas konfigūracijos failo tekstas, jei klientai konfigūruojami rankiniu būdu. Kaip tai padaryti, bus aptarta toliau.

4.2. Pridedamas naujas VPN vartotojas

Norėdami pridėti naują vartotoją, turite vykdyti scenarijų terminale add-client.sh

sudo ./add-client.sh

Scenarijus prašo vartotojo vardo:
Išvesties pavyzdys:

Enter VPN user name: 

Be to, vartotojų vardai gali būti perduoti kaip scenarijaus parametras (šiuo atveju Alex@mobile):

sudo ./add-client.sh Alex@mobile

Dėl scenarijaus vykdymo, kataloge su kliento vardu išilgai kelio /etc/wireguard/clients/{ИмяКлиента} bus sukurtas kliento konfigūracijos failas /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, o terminalo ekrane bus rodomas QR kodas, skirtas mobiliesiems klientams nustatyti, ir konfigūracijos failo turinys.

4.2.1. Vartotojo konfigūracijos failas

Ekrane galite rodyti .conf failo turinį rankiniam kliento konfigūravimui, naudodami komandą cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

vykdymo rezultatas:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Kliento konfigūracijos failo aprašymas:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR kodas kliento konfigūravimui

Naudodami komandą galite terminalo ekrane parodyti anksčiau sukurto kliento konfigūracijos QR kodą qrencode -t ansiutf8 (šiame pavyzdyje naudojamas klientas, vardu Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. VPN klientų konfigūravimas

5.1. „Android“ mobiliojo kliento nustatymas

Oficialus „Wireguard“ klientas, skirtas „Android“, gali būti įdiegti iš oficialios „Google Play“ parduotuvės

Po to turite importuoti konfigūraciją, nuskaitydami QR kodą su kliento konfigūracija (žr. 4.2.2 pastraipą) ir suteikite jai pavadinimą:

Sėkmingai importavę konfigūraciją, galite įjungti VPN tunelį. Sėkmingą ryšį parodys rakto atmintinė „Android“ sistemos dėkle

5.2. Windows kliento sąranka

Pirmiausia turite atsisiųsti ir įdiegti programą „TunSafe“, skirta „Windows“. yra „Wireguard“ klientas, skirtas „Windows“.

5.2.1. Importo konfigūracijos failo kūrimas

Dešiniuoju pelės mygtuku spustelėkite, kad sukurtumėte tekstinį failą darbalaukyje.

5.2.2. Nukopijuokite konfigūracijos failo turinį iš serverio

Tada grįžtame į Putty terminalą ir parodome norimo vartotojo konfigūracijos failo turinį, kaip aprašyta 4.2.1 veiksme.
Tada dešiniuoju pelės mygtuku spustelėkite konfigūracijos tekstą Putty terminale, kai pasirinkimas bus baigtas, jis bus automatiškai nukopijuotas į mainų sritį.

5.2.3. Konfigūracijos kopijavimas į vietinį konfigūracijos failą

Šiame lauke grįžtame prie anksčiau darbalaukyje sukurto teksto failo ir įklijuojame į jį konfigūracijos tekstą iš mainų srities.

5.2.4. Išsaugomas vietinis konfigūracijos failas

Išsaugokite failą su plėtiniu .conf (šiuo atveju pavadintas london.conf)

5.2.5. Importuojamas vietinis konfigūracijos failas

Tada turite importuoti konfigūracijos failą į TunSafe programą.

5.2.6. VPN ryšio nustatymas

Pasirinkite šį konfigūracijos failą ir prisijunkite spustelėdami mygtuką prisijungti.

6. Patikrinkite, ar ryšys buvo sėkmingas

Norėdami patikrinti, ar sėkmingas ryšys per VPN tunelį, turite atidaryti naršyklę ir eiti į svetainę https://2ip.ua/ru/

Rodomas IP adresas turi atitikti tą, kurį gavome atlikdami 2.2.3 veiksmą.
Jei taip, vadinasi, VPN tunelis veikia sėkmingai.

„Linux“ terminale galite patikrinti savo IP adresą įvesdami:

curl http://zx2c4.com/ip

Arba galite tiesiog eiti į pornhub, jei esate Kazachstane.

Šaltinis: www.habr.com