Autoritariniams režimams didėjant interneto cenzūrai, blokuojama vis daugiau naudingų interneto išteklių ir svetainių. Įskaitant techninę informaciją.
Tokiu būdu tampa nebeįmanoma visapusiškai naudotis internetu ir pažeidžiama pagrindinė teisė į žodžio laisvę, įtvirtinta XNUMX m. Visuotinė žmogaus teisių deklaracija.
Straipsnis 19
Kiekvienas turi teisę į nuomonės ir žodžio laisvę; ši teisė apima laisvę nesikišant turėti savo nuomonę ir ieškoti, gauti ir skleisti informaciją bei idėjas per bet kokią žiniasklaidą ir nepaisant sienų
Šiame vadove mes įdiegsime savo nemokamą programinę įrangą* atlikdami 6 veiksmus. VPN paslauga remiantis technologija Laidininkas, debesų infrastruktūroje "Amazon" žiniatinklio paslaugos (AWS), naudojant nemokamą paskyrą (12 mėnesių), egzemplioriuje (virtualioje mašinoje), kurį valdo Ubuntu serveris 18.04LTS.
Stengiausi, kad šis žingsnis būtų kuo draugiškesnis ne IT žmonėms. Vienintelis dalykas, kurio reikia, yra atkaklumas kartojant toliau aprašytus veiksmus.
Atkreipti dėmesį
AWS suteikia nemokamo naudojimo pakopa 12 mėnesių laikotarpiui, ribojant 15 gigabaitų srautą per mėnesį.
Norint prisiregistruoti gauti nemokamą AWS paskyrą, reikia turėti tikrą telefono numerį ir galiojančią „Visa“ arba „Mastercard“ kredito kortelę. Rekomenduoju naudoti virtualias korteles, kurios teikiamos nemokamai "Yandex" arba qiwi piniginė. Norint patikrinti kortelės galiojimą, registracijos metu nuskaičiuojamas 1 USD, kuris vėliau grąžinamas.
Užpildykite duomenis ir spustelėkite mygtuką "Tęsti".
1.3. Kontaktinių duomenų užpildymas
Užpildykite kontaktinę informaciją.
1.4. Nurodykite mokėjimo informaciją.
Kortelės numeris, galiojimo laikas ir kortelės turėtojo vardas ir pavardė.
1.5. Paskyros patvirtinimas
Šiame etape patvirtinamas telefono numeris ir 1 USD nurašoma tiesiogiai iš mokėjimo kortelės. Kompiuterio ekrane rodomas 4 skaitmenų kodas ir nurodytas telefonas sulaukia skambučio iš Amazon. Pokalbio metu turite surinkti ekrane rodomą kodą.
1.6. Tarifų plano pasirinkimas.
Pasirinkite – pagrindinis planas (nemokamas)
1.7. Prisijunkite prie valdymo pulto
1.8. Duomenų centro vietos pasirinkimas
1.8.1. Greičio testas
Prieš pasirenkant duomenų centrą, rekomenduojama jį išbandyti https://speedtest.net prieigos prie artimiausių duomenų centrų greitis, mano vietoje rezultatai:
Singapūras
Paryžius
Frankfurtas
Stokholmas
Londonas
Duomenų centras Londone rodo geriausius rezultatus pagal greitį. Taigi pasirinkau jį tolesniam pritaikymui.
2. Sukurkite AWS egzempliorių
2.1 Sukurkite virtualią mašiną
2.1.1. Pavyzdžio tipo pasirinkimas
Pagal numatytuosius nustatymus pasirinktas t2.micro egzempliorius, kurio mums reikia, tiesiog paspauskite mygtuką Kitas: Konfigūruokite išsamią egzemplioriaus informaciją
2.1.2. Egzempliorių parinkčių nustatymas
Ateityje prie egzemplioriaus prijungsime nuolatinį viešąjį IP, todėl šiame etape išjungiame automatinį viešojo IP priskyrimą ir paspauskite mygtuką Kitas: Pridėti saugyklą
2.1.3. Sandėliavimo jungtis
Nurodykite "kietojo disko" dydį. Mūsų tikslams užtenka 16 gigabaitų, ir paspaudžiame mygtuką Kitas: pridėti žymų
2.1.4. Žymų nustatymas
Jei sukurtume kelis atvejus, juos būtų galima sugrupuoti pagal žymas, kad būtų lengviau administruoti. Tokiu atveju ši funkcija nereikalinga, nedelsdami paspauskite mygtuką Kitas: Konfigūruokite saugos grupę
2.1.5. Prievadų atidarymas
Šiame žingsnyje mes sukonfigūruojame ugniasienę atidarydami reikiamus prievadus. Atvirų prievadų rinkinys vadinamas saugos grupe. Turime sukurti naują saugos grupę, suteikti jai pavadinimą, aprašymą, pridėti UDP prievadą (Custom UDP Rule), lauke Rort Range turite priskirti prievado numerį iš diapazono dinaminiai prievadai 49152-65535. Šiuo atveju pasirinkau prievado numerį 54321.
Užpildę reikiamus duomenis, spustelėkite mygtuką Peržiūrėkite ir paleiskite
2.1.6. Visų nustatymų apžvalga
Šiame puslapyje yra visų mūsų egzemplioriaus nustatymų apžvalga, patikriname, ar visi nustatymai tvarkingi, ir paspaudžiame mygtuką Pradėti
2.1.7. Prieigos raktų kūrimas
Tada pasirodo dialogo langas, kuriame siūloma sukurti arba pridėti esamą SSH raktą, su kuriuo vėliau nuotoliniu būdu prisijungsime prie savo egzemplioriaus. Norėdami sukurti naują raktą, pasirenkame parinktį „Sukurti naują raktų porą“. Suteikite jam pavadinimą ir spustelėkite mygtuką Atsisiųskite raktų porąNorėdami atsisiųsti sugeneruotus raktus. Išsaugokite juos saugioje vietinio kompiuterio vietoje. Atsisiuntę spustelėkite mygtuką. Paleiskite egzempliorius
2.1.7.1. Išsaugomi prieigos raktai
Čia parodytas ankstesnio veiksmo sugeneruotų raktų išsaugojimo veiksmas. Po to, kai paspaudėme mygtuką Atsisiųskite raktų porą, raktas išsaugomas kaip sertifikato failas su *.pem plėtiniu. Šiuo atveju aš daviau jam pavadinimą wireguard-awskey.pem
2.1.8. Egzempliorių kūrimo rezultatų apžvalga
Tada matome pranešimą apie sėkmingą ką tik sukurto egzemplioriaus paleidimą. Spustelėję mygtuką galime pereiti į savo egzempliorių sąrašą peržiūrėti atvejus
2.2. Išorinio IP adreso sukūrimas
2.2.1. Išorinio IP kūrimo pradžia
Tada turime sukurti nuolatinį išorinį IP adresą, per kurį prisijungsime prie savo VPN serverio. Norėdami tai padaryti, kairėje ekrano pusėje esančiame naršymo skydelyje pasirinkite elementą Elastingi IP iš kategorijos TINKLAS IR SAUGA ir paspauskite mygtuką Paskirkite naują adresą
2.2.2. Išorinio IP kūrimo konfigūravimas
Kitame veiksme turime įjungti parinktį Amazon baseinas (įjungta pagal numatytuosius nustatymus) ir spustelėkite mygtuką Paskirstykite
2.2.3. Išorinio IP adreso sukūrimo rezultatų apžvalga
Kitame ekrane bus rodomas gautas išorinis IP adresas. Rekomenduojama jį įsiminti, o geriau net užsirašyti. jis pravers dar ne kartą toliau nustatant ir naudojant VPN serverį. Šiame vadove kaip pavyzdį naudoju IP adresą. 4.3.2.1. Įvedę adresą, paspauskite mygtuką arti
2.2.4. Išorinių IP adresų sąrašas
Toliau mums pateikiamas mūsų nuolatinių viešųjų IP adresų (elastics IP) sąrašas.
2.2.5. Išorinio IP priskyrimas egzemplioriui
Šiame sąraše pasirenkame gautą IP adresą ir paspauskite dešinįjį pelės mygtuką, kad būtų parodytas išskleidžiamasis meniu. Jame pasirinkite elementą asocijuotas adresaskad priskirtumėte jį anksčiau sukurtam egzemplioriui.
2.2.6. Išorinio IP priskyrimo nustatymas
Kitame veiksme išskleidžiamajame sąraše pasirinkite mūsų egzempliorių ir paspauskite mygtuką Bendradarbis
2.2.7. Išorinio IP priskyrimo rezultatų apžvalga
Po to matome, kad mūsų egzempliorius ir jo privatus IP adresas yra susieti su mūsų nuolatiniu viešuoju IP adresu.
Dabar galime prisijungti prie mūsų naujai sukurto egzemplioriaus iš išorės, iš savo kompiuterio per SSH.
3. Prisijunkite prie AWS egzemplioriaus
SSH yra saugus kompiuterinių įrenginių nuotolinio valdymo protokolas.
3.1. Prisijungimas per SSH iš „Windows“ kompiuterio
Norėdami prisijungti prie „Windows“ kompiuterio, pirmiausia turite atsisiųsti ir įdiegti programą glaistas.
3.1.1. Importuokite privatųjį Putty raktą
3.1.1.1. Įdiegę „Putty“, turite paleisti su juo pateiktą „PuTTYgen“ programą, kad importuotumėte sertifikato raktą PEM formatu į formatą, tinkamą naudoti „Putty“. Norėdami tai padaryti, pasirinkite elementą viršutiniame meniu Konversijos->Importuoti raktą
3.1.1.2. AWS rakto pasirinkimas PEM formatu
Tada pasirinkite raktą, kurį anksčiau išsaugojome 2.1.7.1 veiksme, mūsų atveju jo pavadinimą wireguard-awskey.pem
3.1.1.3. Raktų importavimo parinkčių nustatymas
Šiame žingsnyje turime nurodyti šio rakto komentarą (aprašą) ir nustatyti slaptažodį bei saugumo patvirtinimą. Jo bus prašoma kiekvieną kartą prisijungus. Taigi mes apsaugome raktą slaptažodžiu nuo netinkamo naudojimo. Jums nereikia nustatyti slaptažodžio, tačiau jis yra mažiau saugus, jei raktas patenka į netinkamas rankas. Po to, kai paspaudžiame mygtuką Išsaugoti privatų raktą
3.1.1.4. Išsaugomas importuotas raktas
Atsidaro failo išsaugojimo dialogo langas ir mes išsaugome savo privatų raktą kaip failą su plėtiniu .ppktinkamas naudoti programoje glaistas.
Nurodykite rakto pavadinimą (mūsų atveju wireguard-awskey.ppk) ir paspauskite mygtuką Išlaikyti.
3.1.2. Ryšio sukūrimas ir konfigūravimas „Putty“.
3.1.2.1. Sukurti ryšį
Atidarykite „Putty“ programą, pasirinkite kategoriją Sesija (jis atidarytas pagal numatytuosius nustatymus) ir lauke Pagrindinio kompiuterio vardas įveskite viešą mūsų serverio IP adresą, kurį gavome atlikdami 2.2.3 veiksmą. Lauke Išsaugota sesija įveskite savavališką mūsų ryšio pavadinimą (mano atveju wireguard-aws-london), tada paspauskite mygtuką Sutaupote kad išsaugotume atliktus pakeitimus.
Daugiau kategorijoje Ryšys, pasirinkite subkategoriją Duomenys ir lauke Automatinio prisijungimo vartotojo vardas įveskite vartotojo vardą ubuntu yra standartinis egzemplioriaus vartotojas AWS su Ubuntu.
3.1.2.3. Privataus rakto pasirinkimas prisijungimui per SSH
Tada eikite į subkategoriją Ryšys/SSH/Auth ir šalia lauko Privataus rakto failas autentifikavimui Paspausk mygtuką Naršyti ... norėdami pasirinkti failą su rakto sertifikatu.
3.1.2.4. Importuoto rakto atidarymas
Nurodykite raktą, kurį anksčiau importavome 3.1.1.4 veiksme, mūsų atveju tai yra failas wireguard-awskey.ppkir paspauskite mygtuką atviras.
3.1.2.5. Išsaugokite nustatymus ir užmegzkite ryšį
Grįžimas į kategorijos puslapį Sesija dar kartą paspauskite mygtuką Sutaupote, norėdami išsaugoti pakeitimus, kuriuos atlikome anksčiau atlikdami ankstesnius veiksmus (3.1.2.2–3.1.2.4). Ir tada paspaudžiame mygtuką Atviras Norėdami atidaryti nuotolinį SSH ryšį, kurį sukūrėme ir sukonfigūravome.
3.1.2.7. Pasitikėjimo tarp šeimininkų nustatymas
Kitame žingsnyje, kai pirmą kartą bandome prisijungti, gauname įspėjimą, tarp dviejų kompiuterių nesukonfigūruotas pasitikėjimas ir klausiama, ar pasitikėti nuotoliniu kompiuteriu. Mes paspaudžiame mygtuką Taip, įtraukdami jį į patikimų prieglobų sąrašą.
3.1.2.8. Slaptažodžio įvedimas norint pasiekti raktą
Po to atsidaro terminalo langas, kuriame jūsų prašoma įvesti rakto slaptažodį, jei jį nustatėte anksčiau 3.1.1.3 veiksme. Įvedus slaptažodį, ekrane nevykdomi jokie veiksmai. Jei suklydote, galite naudoti raktą Backspace.
3.1.2.9. Sveikinimo pranešimas apie sėkmingą prisijungimą
Sėkmingai įvedus slaptažodį, terminale parodomas pasisveikinimo tekstas, nurodantis, kad nuotolinė sistema yra pasirengusi vykdyti mūsų komandas.
Paleiskite „Wireguard“ diegimo scenarijų kaip administratorius (root naudotojas).
sudo ./initial.sh
Diegimo procesas paprašys tam tikrų duomenų, reikalingų Wireguard konfigūruoti
4.1.3.1. Ryšio taško įvestis
Įveskite išorinį IP adresą ir atidarykite „Wireguard“ serverio prievadą. 2.2.3 veiksme gavome išorinį serverio IP adresą, o prievadą atidarėme 2.1.5 veiksme. Mes nurodome juos kartu, atskirdami juos, pavyzdžiui, dvitaškiu 4.3.2.1:54321ir tada paspauskite klavišą įeiti Išvesties pavyzdys:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Vidinio IP adreso įvedimas
Įveskite Wireguard serverio IP adresą saugiame VPN potinklyje, jei nežinote, kas tai yra, tiesiog paspauskite klavišą Enter, kad nustatytumėte numatytąją reikšmę (10.50.0.1) Išvesties pavyzdys:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. Nurodykite DNS serverį
Įveskite DNS serverio IP adresą arba tiesiog paspauskite klavišą Enter, kad nustatytumėte numatytąją reikšmę 1.1.1.1 („Cloudflare“ viešasis DNS) Išvesties pavyzdys:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. Nurodykite WAN sąsają
Tada turite įvesti išorinės tinklo sąsajos, kuri klausys VPN vidinės tinklo sąsajos, pavadinimą. Tiesiog paspauskite Enter, kad nustatytumėte numatytąją AWS reikšmę (eth0) Išvesties pavyzdys:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Nurodyti kliento vardą
Įveskite VPN vartotojo vardą. Faktas yra tas, kad Wireguard VPN serveris negalės paleisti, kol nebus pridėtas bent vienas klientas. Šiuo atveju aš įvedžiau vardą Alex@mobile Išvesties pavyzdys:
Enter VPN user name: Alex@mobile
Po to ekrane turėtų būti rodomas QR kodas su naujai pridėto kliento konfigūracija, kurį reikia nuskaityti naudojant „Wireguard“ mobilųjį klientą „Android“ arba „iOS“, kad jį sukonfigūruotų. Taip pat po QR kodu bus rodomas konfigūracijos failo tekstas, jei klientai konfigūruojami rankiniu būdu. Kaip tai padaryti, bus aptarta toliau.
4.2. Pridedamas naujas VPN vartotojas
Norėdami pridėti naują vartotoją, turite vykdyti scenarijų terminale add-client.sh
Be to, vartotojų vardai gali būti perduoti kaip scenarijaus parametras (šiuo atveju Alex@mobile):
sudo ./add-client.sh Alex@mobile
Dėl scenarijaus vykdymo, kataloge su kliento vardu išilgai kelio /etc/wireguard/clients/{ИмяКлиента} bus sukurtas kliento konfigūracijos failas /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, o terminalo ekrane bus rodomas QR kodas, skirtas mobiliesiems klientams nustatyti, ir konfigūracijos failo turinys.
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR kodas kliento konfigūravimui
Naudodami komandą galite terminalo ekrane parodyti anksčiau sukurto kliento konfigūracijos QR kodą qrencode -t ansiutf8 (šiame pavyzdyje naudojamas klientas, vardu Alex@mobile):
Po to turite importuoti konfigūraciją, nuskaitydami QR kodą su kliento konfigūracija (žr. 4.2.2 pastraipą) ir suteikite jai pavadinimą:
Sėkmingai importavę konfigūraciją, galite įjungti VPN tunelį. Sėkmingą ryšį parodys rakto atmintinė „Android“ sistemos dėkle
5.2. Windows kliento sąranka
Pirmiausia turite atsisiųsti ir įdiegti programą „TunSafe“, skirta „Windows“. yra „Wireguard“ klientas, skirtas „Windows“.
5.2.1. Importo konfigūracijos failo kūrimas
Dešiniuoju pelės mygtuku spustelėkite, kad sukurtumėte tekstinį failą darbalaukyje.
5.2.2. Nukopijuokite konfigūracijos failo turinį iš serverio
Tada grįžtame į Putty terminalą ir parodome norimo vartotojo konfigūracijos failo turinį, kaip aprašyta 4.2.1 veiksme.
Tada dešiniuoju pelės mygtuku spustelėkite konfigūracijos tekstą Putty terminale, kai pasirinkimas bus baigtas, jis bus automatiškai nukopijuotas į mainų sritį.
5.2.3. Konfigūracijos kopijavimas į vietinį konfigūracijos failą
Šiame lauke grįžtame prie anksčiau darbalaukyje sukurto teksto failo ir įklijuojame į jį konfigūracijos tekstą iš mainų srities.
5.2.4. Išsaugomas vietinis konfigūracijos failas
Išsaugokite failą su plėtiniu .conf (šiuo atveju pavadintas london.conf)