Par ko?

Pieaugot autoritāriem režīmiem interneta cenzūrai, tiek bloķēts arvien lielāks skaits noderīgu interneta resursu un vietņu. Ieskaitot tehnisko informāciju.
Tādējādi kļūst neiespējami pilnvērtīgi izmantot internetu un tiek pārkāptas pamattiesības uz vārda brīvību, kas nostiprinātas Vispārējā cilvēktiesību deklarācija.

Pants 19
Ikvienam ir tiesības uz uzskatu un vārda brīvību; šīs tiesības ietver brīvību bez iejaukšanās paust uzskatus un meklēt, saņemt un izplatīt informāciju un idejas, izmantojot jebkādus plašsaziņas līdzekļus un neatkarīgi no robežām.

Šajā rokasgrāmatā mēs izvietosim savu bezmaksas programmatūru*, veicot 6 darbības. VPN pakalpojums pamatojoties uz tehnoloģiju Stiepļu sargs, mākoņu infrastruktūrā Amazon Web pakalpojumi (AWS), izmantojot bezmaksas kontu (12 mēnešus), instancē (virtuālajā mašīnā), kuru pārvalda Ubuntu serveris 18.04 LTS.
Esmu mēģinājis padarīt šo pamācību pēc iespējas draudzīgāku cilvēkiem, kas nav IT speciālisti. Vienīgais, kas nepieciešams, ir neatlaidība, atkārtojot tālāk aprakstītās darbības.

Piezīme

• AWS nodrošina bezmaksas lietošanas līmenis uz 12 mēnešiem ar ierobežojumu 15 gigabaitu trafika mēnesī.
• Visjaunāko šīs rokasgrāmatas versiju var atrast vietnē https://wireguard.isystem.io

Posmi

1. Reģistrējieties bezmaksas AWS kontam
2. Izveidojiet AWS gadījumu
3. Savienojuma izveide ar AWS gadījumu
4. Vadu aizsarga konfigurācija
5. VPN klientu konfigurēšana
6. VPN instalēšanas pareizības pārbaude

Noderīgas saites

• Automātiskie Wireguard instalēšanas skripti uz AWS

1. AWS konta reģistrēšana

Lai reģistrētos bezmaksas AWS kontam, ir nepieciešams reāls tālruņa numurs un derīga Visa vai Mastercard kredītkarte. Iesaku izmantot virtuālās kartes, kas tiek nodrošinātas bez maksas Yandex vai qiwi maku. Lai pārbaudītu kartes derīgumu, reģistrācijas laikā tiek ieturēts USD 1, kas vēlāk tiek atgriezts.

1.1. AWS pārvaldības konsoles atvēršana

Jums ir jāatver pārlūkprogramma un jāiet uz: https://aws.amazon.com/ru/
Noklikšķiniet uz pogas "Reģistrēties".

1.2. Personas datu aizpildīšana

Aizpildiet datus un noklikšķiniet uz pogas "Turpināt".

1.3. Kontaktinformācijas aizpildīšana

Aizpildiet kontaktinformāciju.

1.4. Norādot maksājuma informāciju.

Kartes numurs, derīguma termiņš un kartes turētāja vārds.

1.5. Konta verifikācija

Šajā posmā tālruņa numurs tiek apstiprināts un 1 dolārs tiek tieši norakstīts no maksājumu kartes. Datora ekrānā tiek parādīts 4 ciparu kods, un norādītais tālrunis saņem zvanu no Amazon. Sarunas laikā jums ir jāievada ekrānā redzamais kods.

1.6. Tarifu plāna izvēle.

Izvēlēties — pamata plāns (bezmaksas)

1.7. Piesakieties pārvaldības konsolē

1.8. Datu centra atrašanās vietas izvēle

1.8.1. Ātruma pārbaude

Pirms datu centra izvēles ieteicams to pārbaudīt https://speedtest.net piekļuves ātrums tuvākajiem datu centriem, manā atrašanās vietā šādi rezultāti:

• Singapūra
  
• Parīze
  
• Frankfurte
  
• Stokholma
  
• Londona
  

Ātruma ziņā vislabākos rezultātus uzrāda datu centrs Londonā. Tāpēc es to izvēlējos turpmākai pielāgošanai.

2. Izveidojiet AWS gadījumu

2.1 Izveidojiet virtuālo mašīnu

2.1.1. Gadījuma veida izvēle

Pēc noklusējuma ir atlasīta t2.micro instance, kas mums ir nepieciešama, vienkārši nospiediet pogu Nākamais: Konfigurējiet instances informāciju

2.1.2. Gadījuma opciju iestatīšana

Nākotnē mēs savai instancei pievienosim pastāvīgu publisku IP, tāpēc šajā posmā mēs izslēdzam publiskā IP automātisko piešķiršanu un nospiediet pogu Nākamais: pievienojiet krātuvi

2.1.3. Uzglabāšanas savienojums

Norādiet "cietā diska" izmēru. Mūsu vajadzībām pietiek ar 16 gigabaitiem, un mēs nospiežam pogu Nākamais: pievienojiet tagus

2.1.4. Atzīmju iestatīšana

Ja mēs izveidojām vairākas instances, tad tās varētu grupēt pēc tagiem, lai atvieglotu administrēšanu. Šajā gadījumā šī funkcionalitāte ir lieka, nekavējoties nospiediet pogu Nākamais: Konfigurējiet drošības grupu

2.1.5. Portu atvēršana

Šajā darbībā mēs konfigurējam ugunsmūri, atverot nepieciešamos portus. Atvērto portu kopu sauc par drošības grupu. Jāizveido jauna drošības grupa, jāpiešķir tai nosaukums, apraksts, jāpievieno UDP ports (Custom UDP Rule), laukā Rort Range jāpiešķir porta numurs no diapazona. dinamiskie porti 49152-65535. Šajā gadījumā es izvēlējos porta numuru 54321.

Pēc nepieciešamo datu aizpildīšanas noklikšķiniet uz pogas Pārskatiet un palaidiet

2.1.6. Pārskats par visiem iestatījumiem

Šajā lapā ir pārskats par visiem mūsu instances iestatījumiem, mēs pārbaudām, vai visi iestatījumi ir kārtībā, un nospiediet pogu Sākt

2.1.7. Piekļuves atslēgu izveide

Tālāk tiek parādīts dialoglodziņš, kurā tiek piedāvāts izveidot vai pievienot esošu SSH atslēgu, ar kuru mēs vēlāk attālināti izveidosim savienojumu ar mūsu gadījumu. Mēs izvēlamies opciju "Izveidot jaunu atslēgu pāri", lai izveidotu jaunu atslēgu. Piešķiriet tai nosaukumu un noklikšķiniet uz pogas Lejupielādēt atslēgu pārilai lejupielādētu ģenerētās atslēgas. Saglabājiet tos drošā vietā vietējā datorā. Pēc lejupielādes noklikšķiniet uz pogas. Palaidiet gadījumus

2.1.7.1. Saglabā piekļuves atslēgas

Šeit ir parādīts iepriekšējā solī ģenerēto atslēgu saglabāšanas solis. Pēc tam, kad mēs nospiedām pogu Lejupielādēt atslēgu pāri, atslēga tiek saglabāta kā sertifikāta fails ar *.pem paplašinājumu. Šajā gadījumā es tam devu nosaukumu wireguard-awskey.pem

2.1.8. Pārskats par instances izveides rezultātiem

Tālāk tiek parādīts ziņojums par tikko izveidotās instances veiksmīgu palaišanu. Mēs varam pāriet uz mūsu gadījumu sarakstu, noklikšķinot uz pogas skatīt gadījumus

2.2. Ārējās IP adreses izveide

2.2.1. Ārējā IP izveides sākšana

Tālāk mums ir jāizveido pastāvīga ārējā IP adrese, caur kuru mēs izveidosim savienojumu ar mūsu VPN serveri. Lai to izdarītu, navigācijas panelī ekrāna kreisajā pusē atlasiet vienumu Elastīgi IP no kategorijas TĪKLS UN DROŠĪBA un nospiediet pogu Piešķirt jaunu adresi

2.2.2. Ārējās IP izveides konfigurēšana

Nākamajā darbībā mums ir jāiespējo šī opcija Amazones baseins (iespējots pēc noklusējuma) un noklikšķiniet uz pogas Piešķirt

2.2.3. Pārskats par ārējās IP adreses izveides rezultātiem

Nākamajā ekrānā tiks parādīta saņemtā ārējā IP adrese. Ieteicams to iegaumēt, un labāk pat pierakstīt. tas noderēs vairāk nekā vienu reizi tālākajā VPN servera iestatīšanas un lietošanas procesā. Šajā rokasgrāmatā es izmantoju IP adresi kā piemēru. 4.3.2.1. Kad esat ievadījis adresi, nospiediet pogu Aizvērt

2.2.4. Ārējo IP adrešu saraksts

Tālāk mums tiek parādīts mūsu pastāvīgo publisko IP adrešu saraksts (elastīgās IP).

2.2.5. Ārējā IP piešķiršana instancei

Šajā sarakstā mēs atlasām saņemto IP adresi un nospiediet peles labo pogu, lai atvērtu nolaižamo izvēlni. Tajā atlasiet vienumu asociētā adreselai to piešķirtu iepriekš izveidotajai instancei.

2.2.6. Ārējā IP piešķiršanas iestatījums

Nākamajā darbībā nolaižamajā sarakstā atlasiet mūsu gadījumu un nospiediet pogu Asociēt

2.2.7. Ārējo IP piešķiršanas rezultātu pārskats

Pēc tam mēs varam redzēt, ka mūsu instance un tās privātā IP adrese ir saistīta ar mūsu pastāvīgo publisko IP adresi.

Tagad mēs varam izveidot savienojumu ar mūsu jaunizveidoto gadījumu no ārpuses, no sava datora, izmantojot SSH.

3. Izveidojiet savienojumu ar AWS gadījumu

SSH ir drošs protokols datoru ierīču tālvadībai.

3.1. Savienojuma izveide, izmantojot SSH no Windows datora

Lai izveidotu savienojumu ar Windows datoru, vispirms ir jālejupielādē un jāinstalē programma ķite.

3.1.1. Importējiet Putty privāto atslēgu

3.1.1.1. Pēc Putty instalēšanas jums ir jāpalaiž komplektācijā iekļautā PuTTYgen utilīta, lai importētu sertifikāta atslēgu PEM formātā, kas ir piemērots lietošanai programmā Putty. Lai to izdarītu, augšējā izvēlnē atlasiet vienumu Reklāmguvumi-> Importēt atslēgu

3.1.1.2. AWS atslēgas izvēle PEM formātā

Pēc tam atlasiet atslēgu, kuru iepriekš saglabājām 2.1.7.1. darbībā, mūsu gadījumā tās nosaukumu wireguard-awskey.pem

3.1.1.3. Atslēgu importēšanas opciju iestatīšana

Šajā darbībā mums ir jānorāda komentārs šai atslēgai (aprakstam) un jāiestata parole un drošības apstiprinājums. Tas tiks pieprasīts katru reizi, kad izveidosit savienojumu. Tādējādi mēs aizsargājam atslēgu ar paroli no neatbilstošas ​​lietošanas. Jums nav jāiestata parole, taču tā ir mazāk droša, ja atslēga nonāk nepareizās rokās. Pēc tam, kad mēs nospiežam pogu Saglabāt privāto atslēgu

3.1.1.4. Importētās atslēgas saglabāšana

Tiek atvērts faila saglabāšanas dialoglodziņš, un mēs saglabājam savu privāto atslēgu kā failu ar paplašinājumu .ppkpiemērots lietošanai programmā ķite.
Norādiet atslēgas nosaukumu (mūsu gadījumā wireguard-awskey.ppk) un nospiediet pogu Paturēt.

3.1.2. Savienojuma izveide un konfigurēšana programmā Putty

3.1.2.1. Izveidojiet savienojumu

Atveriet programmu Putty, atlasiet kategoriju sesija (tas ir atvērts pēc noklusējuma) un laukā Uzņēmēja nosaukums ievadiet mūsu servera publisko IP adresi, kuru saņēmām solī 2.2.3. Laukā Saglabātā sesija ievadiet mūsu savienojuma patvaļīgu nosaukumu (manā gadījumā wireguard-aws-london), un pēc tam nospiediet pogu IETAUPI lai saglabātu veiktās izmaiņas.

3.1.2.2. Lietotāja automātiskās pieteikšanās iestatīšana

Vairāk kategorijā saistība, izvēlieties apakškategoriju Datums un laukā Automātiskās pieteikšanās lietotājvārds ievadiet lietotājvārdu Ubuntu ir standarta lietotājs AWS ar Ubuntu.

3.1.2.3. Privātās atslēgas izvēle savienojuma izveidei, izmantojot SSH

Pēc tam dodieties uz apakškategoriju Savienojums/SSH/Auth un blakus laukam Privātās atslēgas fails autentifikācijai nospiediet pogu Pārlūkot ... lai atlasītu failu ar atslēgas sertifikātu.

3.1.2.4. Importētās atslēgas atvēršana

Norādiet atslēgu, kuru importējām iepriekš 3.1.1.4. darbībā, mūsu gadījumā tas ir fails wireguard-awskey.ppk, un nospiediet pogu atvērts.

3.1.2.5. Saglabājiet iestatījumus un izveidojiet savienojumu

Atgriežoties uz kategorijas lapu sesija vēlreiz nospiediet pogu IETAUPI, lai saglabātu izmaiņas, ko veicām iepriekš, veicot iepriekšējās darbības (3.1.2.2.–3.1.2.4.). Un tad mēs nospiežam pogu atvērts lai atvērtu mūsu izveidoto un konfigurēto attālo SSH savienojumu.

3.1.2.7. Uzticēšanās izveidošana starp saimniekiem

Nākamajā darbībā, pirmo reizi mēģinot izveidot savienojumu, tiek parādīts brīdinājums, starp diviem datoriem nav konfigurēta uzticēšanās, un tiek jautāts, vai uzticēties attālajam datoram. Mēs nospiedīsim pogu Jā, tādējādi pievienojot to uzticamo saimniekdatoru sarakstam.

3.1.2.8. Paroles ievadīšana, lai piekļūtu atslēgai

Pēc tam tiek atvērts termināļa logs, kurā tiek prasīta atslēgas parole, ja to iestatījāt agrāk solī 3.1.1.3. Ievadot paroli, ekrānā netiek veiktas nekādas darbības. Ja pieļaujat kļūdu, varat izmantot atslēgu Atpakaļatkāpe.

3.1.2.9. Sveiciena ziņojums par veiksmīgu savienojumu

Pēc veiksmīgas paroles ievadīšanas terminālī tiek parādīts sveiciena teksts, kas norāda, ka attālā sistēma ir gatava izpildīt mūsu komandas.

4. Wireguard servera konfigurēšana

Visjaunākie norādījumi par Wireguard instalēšanu un lietošanu, izmantojot tālāk aprakstītos skriptus, ir atrodami repozitorijā: https://github.com/isystem-io/wireguard-aws

4.1. WireGuard instalēšana

Terminālī ievadiet šādas komandas (varat kopēt starpliktuvē un ielīmēt terminālī, nospiežot peles labo pogu):

4.1.1. Repozitorija klonēšana

Klonējiet repozitoriju, izmantojot Wireguard instalācijas skriptus

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Pārslēgšanās uz direktoriju ar skriptiem

Dodieties uz direktoriju ar klonēto repozitoriju

cd wireguard_aws

4.1.3. Inicializācijas skripta palaišana

Palaidiet kā administrators (saknes lietotājs) Wireguard instalācijas skriptu

sudo ./initial.sh

Instalēšanas procesā tiks prasīti noteikti dati, kas nepieciešami Wireguard konfigurēšanai

4.1.3.1. Savienojuma punkta ievade

Ievadiet Wireguard servera ārējo IP adresi un atveriet portu. Mēs saņēmām servera ārējo IP adresi 2.2.3. darbībā un atverām portu 2.1.5. darbībā. Mēs tos norādām kopā, atdalot, piemēram, ar kolu 4.3.2.1:54321un pēc tam nospiediet taustiņu ienākt
Izvades paraugs:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Iekšējās IP adreses ievadīšana

Ievadiet Wireguard servera IP adresi drošā VPN apakštīklā, ja nezināt, kas tā ir, vienkārši nospiediet taustiņu Enter, lai iestatītu noklusējuma vērtību (10.50.0.1)
Izvades paraugs:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. DNS servera norādīšana

Ievadiet DNS servera IP adresi vai vienkārši nospiediet taustiņu Enter, lai iestatītu noklusējuma vērtību 1.1.1.1 (Cloudflare publiskais DNS)
Izvades paraugs:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. WAN interfeisa norādīšana

Pēc tam jums jāievada ārējā tīkla saskarnes nosaukums, kas klausīsies VPN iekšējā tīkla saskarnē. Vienkārši nospiediet taustiņu Enter, lai iestatītu AWS noklusējuma vērtību (eth0)
Izvades paraugs:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Klienta vārda norādīšana

Ievadiet VPN lietotāja vārdu. Fakts ir tāds, ka Wireguard VPN serveri nevarēs startēt, kamēr nebūs pievienots vismaz viens klients. Šajā gadījumā es ievadīju vārdu Alex@mobile
Izvades paraugs:

Enter VPN user name: Alex@mobile

Pēc tam ekrānā jāparādās QR kodam ar tikko pievienotā klienta konfigurāciju, kas jānolasa, izmantojot Wireguard mobilo klientu operētājsistēmā Android vai iOS, lai to konfigurētu. Un arī zem QR koda tiks parādīts konfigurācijas faila teksts klientu manuālas konfigurācijas gadījumā. Kā to izdarīt, tiks apspriests tālāk.

4.2. Jauna VPN lietotāja pievienošana

Lai pievienotu jaunu lietotāju, terminālī ir jāizpilda skripts add-client.sh

sudo ./add-client.sh

Skripts pieprasa lietotājvārdu:
Izvades paraugs:

Enter VPN user name: 

Arī lietotāju vārdus var nodot kā skripta parametru (šajā gadījumā Alex@mobile):

sudo ./add-client.sh Alex@mobile

Skripta izpildes rezultātā direktorijā ar klienta vārdu pa ceļu /etc/wireguard/clients/{ИмяКлиента} tiks izveidots klienta konfigurācijas fails /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, un termināļa ekrānā tiks parādīts QR kods mobilo klientu iestatīšanai un konfigurācijas faila saturs.

4.2.1. Lietotāja konfigurācijas fails

Varat parādīt .conf faila saturu ekrānā, lai manuāli konfigurētu klientu, izmantojot komandu cat

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf

izpildes rezultāts:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Klienta konfigurācijas faila apraksts:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR kods klienta konfigurācijai

Izmantojot komandu, termināļa ekrānā varat parādīt iepriekš izveidotā klienta konfigurācijas QR kodu qrencode -t ansiutf8 (šajā piemērā tiek izmantots klients ar nosaukumu Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf | qrencode -t ansiutf8

5. VPN klientu konfigurēšana

5.1. Android mobilā klienta iestatīšana

Oficiālais Wireguard klients operētājsistēmai Android var būt instalējiet no oficiālā Google Play veikala

Pēc tam jums ir jāimportē konfigurācija, nolasot QR kodu ar klienta konfigurāciju (skatiet 4.2.2. punktu) un piešķiriet tai nosaukumu:

Pēc veiksmīgas konfigurācijas importēšanas varat iespējot VPN tuneli. Par veiksmīgu savienojumu Android sistēmas teknē norāda atslēgas atlicinātājs

5.2. Windows klienta iestatīšana

Vispirms jums ir jālejupielādē un jāinstalē programma TunSafe operētājsistēmai Windows ir Wireguard klients operētājsistēmai Windows.

5.2.1. Importēšanas konfigurācijas faila izveide

Ar peles labo pogu noklikšķiniet, lai darbvirsmā izveidotu teksta failu.

5.2.2. Kopējiet konfigurācijas faila saturu no servera

Pēc tam mēs atgriežamies Putty terminālī un parādām vajadzīgā lietotāja konfigurācijas faila saturu, kā aprakstīts 4.2.1. darbībā.
Pēc tam ar peles labo pogu noklikšķiniet uz konfigurācijas teksta Putty terminālī, pēc atlases pabeigšanas tas tiks automātiski kopēts starpliktuvē.

5.2.3. Konfigurācijas kopēšana vietējā konfigurācijas failā

Šajā laukā mēs atgriežamies pie teksta faila, ko izveidojām iepriekš darbvirsmā, un ielīmējam tajā konfigurācijas tekstu no starpliktuves.

5.2.4. Vietējā konfigurācijas faila saglabāšana

Saglabājiet failu ar paplašinājumu .conf (šajā gadījumā nosaukts london.conf)

5.2.5. Vietējā konfigurācijas faila importēšana

Pēc tam jums ir jāimportē konfigurācijas fails programmā TunSafe.

5.2.6. VPN savienojuma iestatīšana

Atlasiet šo konfigurācijas failu un izveidojiet savienojumu, noklikšķinot uz pogas Meklēt speciālistu.

6. Pārbaude, vai savienojums ir bijis veiksmīgs

Lai pārbaudītu savienojuma panākumus caur VPN tuneli, jums ir jāatver pārlūkprogramma un jādodas uz vietni https://2ip.ua/ru/

Parādītajai IP adresei ir jāatbilst tai, kuru saņēmām 2.2.3. darbībā.
Ja tā, tad VPN tunelis darbojas veiksmīgi.

Linux terminālī varat pārbaudīt savu IP adresi, ierakstot:

curl http://zx2c4.com/ip

Vai arī varat doties uz pornhub, ja atrodaties Kazahstānā.

Avots: www.habr.com