Со зголемената цензура на Интернет од страна на авторитарни режими, се блокираат сè поголем број корисни интернет ресурси и сајтови. Вклучувајќи технички информации.
Така, станува невозможно целосно користење на интернетот и се нарушува основното право на слобода на говор, утврдено во Универзална декларација за човекови права.
Член 19
Секој има право на слобода на мислење и изразување; ова право вклучува слобода да се има мислење без мешање и да се бараат, примаат и пренесуваат информации и идеи преку какви било медиуми и без оглед на границите
Во ова упатство, ќе распоредиме сопствен бесплатен софтвер* во 6 чекори. VPN услуга базирана на технологија Wireичар, во облак инфраструктура Амазон Веб Услуги (AWS), користејќи бесплатна сметка (за 12 месеци), на пример (виртуелна машина) управувана од Сервер Ubuntu 18.04 LTS.
Се обидов да го направам овој преглед што е можно попријателски за луѓето кои не се ИТ. Единственото нешто што е потребно е упорност во повторувањето на чекорите опишани подолу.
Имајте на ум
AWS обезбедува ниво на бесплатна употреба за период од 12 месеци, со ограничување од 15 гигабајти сообраќај месечно.
Пријавувањето за бесплатна AWS сметка бара вистински телефонски број и валидна кредитна картичка Visa или Mastercard. Препорачувам да користите виртуелни картички кои се обезбедени бесплатно Yandex.Money или киви паричник. За да се провери валидноста на картичката, за време на регистрацијата се одзема 1 долар, кој подоцна се враќа.
1.1. Отворање на конзолата за управување со AWS
Треба да отворите прелистувач и да отидете на: https://aws.amazon.com/ru/
Кликнете на копчето „Регистрирај се“.
1.2. Пополнување на лични податоци
Пополнете ги податоците и кликнете на копчето „Продолжи“.
1.3. Пополнување детали за контакт
Пополнете информации за контакт.
1.4. Наведување информации за плаќање.
Број на картичка, датум на истекување и име на сопственикот на картичката.
1.5. Потврда на сметката
Во оваа фаза, телефонскиот број е потврден и 1 долар директно се дебитира од платежната картичка. На екранот на компјутерот се прикажува 4-цифрен код, а наведениот телефон добива повик од Amazon. За време на повик, мора да го бирате кодот прикажан на екранот.
1.6. Избор на тарифен план.
Изберете - Основен план (бесплатно)
1.7. Најавете се на конзолата за управување
1.8. Избор на локацијата на центарот за податоци
1.8.1. Тестирање на брзина
Пред да изберете центар за податоци, се препорачува да се тестира преку https://speedtest.net брзина на пристап до најблиските центри за податоци, на мојата локација следните резултати:
Сингапур
Париз
Франкфурт
Стокхолм
Лондон
Центарот за податоци во Лондон покажува најдобри резултати во однос на брзината. Затоа го избрав за понатамошно прилагодување.
2. Креирајте примерок AWS
2.1 Креирајте виртуелна машина
2.1.1. Избор на тип на пример
Стандардно, се избира примерот t2.micro, што ни треба, само притиснете го копчето Следно: Конфигурирајте ги деталите за примерот
2.1.2. Поставување на опции за пример
Во иднина, ќе поврземе постојана јавна IP адреса на нашиот пример, така што во оваа фаза го исклучуваме автоматското доделување на јавна IP адреса и го притискаме копчето Следно: Додадете простор
2.1.3. Поврзување за складирање
Наведете ја големината на „хард дискот“. За наши цели доволни се 16 гигабајти и го притискаме копчето Следно: Додадете ознаки
2.1.4. Поставување ознаки
Ако создадовме неколку примероци, тогаш тие би можеле да се групираат по ознаки за да се олесни администрацијата. Во овој случај, оваа функционалност е излишна, веднаш притиснете го копчето Следно: Конфигурирајте ја безбедносната група
2.1.5. Отворање порти
Во овој чекор, го конфигурираме заштитниот ѕид со отворање на потребните порти. Множеството отворени порти се нарекува Безбедносна група. Мора да создадеме нова безбедносна група, да и дадеме име, опис, да додадеме UDP порта (Прилагодено UDP правило), во полето Rort Range, да доделиме број на порта од опсегот динамични порти 49152-65535. Во овој случај, го избрав бројот на порта 54321.
Откако ќе ги пополните потребните податоци, кликнете на копчето Преглед и лансирање
2.1.6. Преглед на сите поставки
На оваа страница има преглед на сите поставки на нашиот пример, проверуваме дали сите поставки се во ред и го притискаме копчето Стартување
2.1.7. Креирање клучеви за пристап
Следно доаѓа дијалог прозорец кој нуди или создавање или додавање постоечки SSH клуч, со кој подоцна од далечина ќе се поврземе со нашиот примерок. Ја избираме опцијата „Креирај нов пар клучеви“ за да создадеме нов клуч. Дајте му име и кликнете на копчето Преземете го парот со клучевиза да ги преземете генерираните клучеви. Зачувајте ги на безбедно место на вашиот локален компјутер. Откако ќе се преземе, кликнете на копчето. Стартувајте примероци
2.1.7.1. Зачувување на копчињата за пристап
Овде е прикажан чекорот на зачувување на генерираните клучеви од претходниот чекор. Откако ќе го притиснеме копчето Преземете го парот со клучеви, клучот е зачуван како датотека со сертификат со екстензија *.pem. Во овој случај, му дадов име wireguard-awskey.pem
2.1.8. Преглед на резултатите од создавањето примероци
Следно, гледаме порака за успешното лансирање на примерот што штотуку го создадовме. Можеме да одиме на списокот со нашите примери со кликнување на копчето преглед на примери
2.2. Креирање на надворешна IP адреса
2.2.1. Започнување на креирање на надворешна IP адреса
Следно, треба да создадеме постојана надворешна IP адреса преку која ќе се поврземе со нашиот VPN сервер. За да го направите ова, во панелот за навигација на левата страна на екранот, изберете ја ставката Еластични IP адреси од категоријата МРЕЖА И БЕЗБЕДНОСТ и притиснете го копчето Доделете нова адреса
2.2.2. Конфигурирање на создавање на надворешна IP адреса
Во следниот чекор, треба да ја овозможиме опцијата Амазонски базен (стандардно овозможено) и кликнете на копчето Распредели
2.2.3. Преглед на резултатите од креирањето на надворешна IP адреса
Следниот екран ќе ја прикаже надворешната IP адреса што ја добивме. Се препорачува да го запаметите, а подобро е дури и да го запишете. ќе ни се најде повеќе од еднаш во процесот на понатамошно поставување и користење на VPN серверот. Во ова упатство ја користам IP адресата како пример. 4.3.2.1. Откако ќе ја внесете адресата, притиснете го копчето Затвори
2.2.4. Список на надворешни IP адреси
Следно, ни е претставен список на нашите постојани јавни IP адреси (еластична IP).
2.2.5. Доделување на надворешна IP адреса на пример
Во оваа листа, ја избираме IP адресата што ја добивме и го притискаме десното копче на глувчето за да се појави паѓачкото мени. Во него, изберете ја ставката соработничка адресада го доделиме на примерот што го создадовме претходно.
2.2.6. Поставка за доделување на надворешна IP адреса
Во следниот чекор, изберете го нашиот примерок од паѓачката листа и притиснете го копчето Соработник
2.2.7. Преглед на резултатите за доделување на надворешна IP адреса
После тоа, можеме да видиме дека нашата инстанца и нејзината приватна IP адреса се врзани за нашата постојана јавна IP адреса.
Сега можеме да се поврземе со нашиот новосоздаден пример од надвор, од нашиот компјутер преку SSH.
3. Поврзете се со примерок AWS
SSH е безбеден протокол за далечинско управување на компјутерски уреди.
3.1. Поврзување преку SSH од компјутер со Windows
За да се поврзете со компјутер со Windows, прво треба да ја преземете и инсталирате програмата кит.
3.1.1. Увезете приватен клуч за Putty
3.1.1.1. По инсталирањето на Putty, треба да ја активирате алатката PuTTYgen што доаѓа со неа за да го увезете клучот за сертификат во формат PEM во формат погоден за употреба во Putty. За да го направите ова, изберете ја ставката во горното мени Конверзии->Клуч за увоз
3.1.1.2. Избор на клуч AWS во формат PEM
Следно, изберете го клучот што претходно го зачувавме во чекор 2.1.7.1, во нашиот случај неговото име wireguard-awskey.pem
3.1.1.3. Поставување опции за увоз на клучеви
На овој чекор, треба да наведеме коментар за овој клуч (опис) и да поставиме лозинка и потврда за безбедност. Ќе се бара секогаш кога ќе се поврзете. Така, го заштитуваме клучот со лозинка од несоодветна употреба. Не мора да поставувате лозинка, но помалку е безбедна ако клучот падне во погрешни раце. Откако ќе го притиснеме копчето Зачувајте приватен клуч
3.1.1.4. Зачувување на увезен клуч
Се отвора дијалог за зачувување на датотеката и го зачувуваме нашиот приватен клуч како датотека со наставката .ppkпогоден за употреба во програмата кит.
Наведете го името на клучот (во нашиот случај wireguard-awskey.ppk) и притиснете го копчето Задржи.
3.1.2. Креирање и конфигурирање на врска во Putty
3.1.2.1. Направете врска
Отворете ја програмата Putty, изберете категорија сесија (стандардно е отворен) и во полето Име на домаќинот внесете ја јавната IP адреса на нашиот сервер, која ја добивме во чекор 2.2.3. На терен Зачувана сесија внесете произволно име за нашата врска (во мојот случај wireguard-aws-london), а потоа притиснете го копчето Зачувај да ги зачуваме промените што ги направивме.
3.1.2.2. Поставување автоматско најавување на корисникот
Повеќе во категоријата врска, изберете поткатегорија податоци и на терен Корисничко име за автоматско најавување внесете корисничко име Ubuntu е стандарден корисник на примерот на AWS со Ubuntu.
3.1.2.3. Избор на приватен клуч за поврзување преку SSH
Потоа одете во подкатегоријата Врска/SSH/Авт и веднаш до теренот Датотека со приватен клуч за автентикација кликнете на копчето Прелистај ... да изберете датотека со клучен сертификат.
3.1.2.4. Отворање увезен клуч
Наведете го клучот што го увезовме порано на чекор 3.1.1.4, во нашиот случај тоа е датотека wireguard-awskey.ppk, и притиснете го копчето отворен.
3.1.2.5. Зачувување на поставките и започнување врска
Враќање на страницата со категорија сесија притиснете го копчето повторно Зачувај, за да ги зачувате промените што ги направивме претходно во претходните чекори (3.1.2.2 - 3.1.2.4). И потоа го притискаме копчето Отворено да ја отвориме далечинската SSH врска што ја создадовме и конфигуриравме.
3.1.2.7. Поставување доверба помеѓу домаќините
Во следниот чекор, првиот пат кога ќе се обидеме да се поврземе, добиваме предупредување, немаме конфигурирана доверба помеѓу двата компјутера и прашува дали да му веруваме на оддалечениот компјутер. Ќе го притиснеме копчето Да, со што се додава на листата на доверливи домаќини.
3.1.2.8. Внесување лозинка за пристап до клучот
После тоа, се отвора терминален прозорец, каде што ќе ви биде побарана лозинката за клучот, доколку сте ја поставиле порано на чекор 3.1.1.3. Кога внесувате лозинка, не се појавува никакво дејство на екранот. Ако направите грешка, можете да го користите клучот Backspace.
3.1.2.9. Порака за добредојде за успешна врска
По успешното внесување на лозинката, ни се прикажува текст за добредојде во терминалот, кој ни кажува дека далечинскиот систем е подготвен да ги изврши нашите команди.
4. Конфигурирање на серверот Wireguard
Најсовремените инструкции за инсталирање и користење на Wireguard со помош на скриптите опишани подолу може да се најдат во складиштето: https://github.com/isystem-io/wireguard-aws
4.1. Инсталирање на WireGuard
Во терминалот, внесете ги следните команди (можете да копирате во таблата со исечоци и да залепите во терминалот со притискање на десното копче на глувчето):
4.1.1. Клонирање на складиште
Клонирајте го складиштето со скриптите за инсталација на Wireguard
Извршете ја како администратор (root корисник) скриптата за инсталација на Wireguard
sudo ./initial.sh
Процесот на инсталација ќе побара одредени податоци потребни за конфигурирање на Wireguard
4.1.3.1. Влез во точката за поврзување
Внесете ја надворешната IP адреса и отворете ја порта на серверот Wireguard. Ја добивме надворешната IP адреса на серверот во чекор 2.2.3 и ја отворивме портата во чекор 2.1.5. Ги означуваме заедно, одвојувајќи ги со дебело црево, на пример 4.3.2.1:54321а потоа притиснете го копчето Внесете Излез на примерок:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Внесување на внатрешната IP адреса
Внесете ја IP адресата на серверот Wireguard на безбедната VPN подмрежа, ако не знаете што е тоа, само притиснете го копчето Enter за да ја поставите стандардната вредност (10.50.0.1) Излез на примерок:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. Одредување на DNS сервер
Внесете ја IP адресата на DNS-серверот или само притиснете го копчето Enter за да ја поставите стандардната вредност 1.1.1.1 (Cloudflare јавен DNS) Излез на примерок:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. Одредување на WAN интерфејсот
Следно, треба да го внесете името на надворешниот мрежен интерфејс што ќе слуша на внатрешниот мрежен интерфејс VPN. Само притиснете Enter за да ја поставите стандардната вредност за AWS (eth0) Излез на примерок:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Наведување на името на клиентот
Внесете го името на корисникот на VPN. Факт е дека серверот Wireguard VPN нема да може да се стартува додека не се додаде барем еден клиент. Во овој случај, го внесов името Alex@mobile Излез на примерок:
Enter VPN user name: Alex@mobile
После тоа, на екранот треба да се прикаже QR-код со конфигурација на новододадениот клиент, кој мора да се прочита со помош на мобилниот клиент Wireguard на Android или iOS за да се конфигурира. И, исто така, под QR-кодот, текстот на конфигурациската датотека ќе се прикаже во случај на рачна конфигурација на клиентите. Како да го направите ова ќе се дискутира подолу.
4.2. Додавање нов корисник на VPN
За да додадете нов корисник, треба да ја извршите скриптата во терминалот add-client.sh
sudo ./add-client.sh
Скриптата бара корисничко име: Излез на примерок:
Enter VPN user name:
Исто така, името на корисниците може да се пренесе како параметар за скрипта (во овој случај Alex@mobile):
sudo ./add-client.sh Alex@mobile
Како резултат на извршувањето на скриптата, во директориумот со името на клиентот долж патеката /etc/wireguard/clients/{ИмяКлиента} ќе се креира датотека за конфигурација на клиентот /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, а на екранот на терминалот ќе се прикаже QR-код за поставување мобилни клиенти и содржината на конфигурациската датотека.
4.2.1. Корисничка конфигурациска датотека
Можете да ја прикажете содржината на датотеката .conf на екранот, за рачна конфигурација на клиентот, користејќи ја командата cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR код за конфигурација на клиентот
Можете да прикажете QR-код за конфигурација за претходно креиран клиент на екранот на терминалот користејќи ја командата qrencode -t ansiutf8 (во овој пример, се користи клиентот по име Alex@mobile):
После тоа, треба да ја увезете конфигурацијата со читање на QR-кодот со конфигурацијата на клиентот (види став 4.2.2) и да му дадете име:
По успешно увезување на конфигурацијата, можете да го овозможите тунелот VPN. Успешното поврзување ќе биде означено со копче во системската фиока на Android
5.2. Поставување клиент за Windows
Прво треба да ја преземете и инсталирате програмата TunSafe за Windows е клиентот Wireguard за Windows.
5.2.1. Креирање на конфигурациска датотека за увоз
Кликнете со десното копче за да креирате текстуална датотека на работната површина.
5.2.2. Копирајте ја содржината на конфигурациската датотека од серверот
Потоа се враќаме во терминалот Putty и ја прикажуваме содржината на конфигурациската датотека на саканиот корисник, како што е опишано во чекор 4.2.1.
Следно, кликнете со десното копче на конфигурацискиот текст во терминалот Putty, откако ќе заврши изборот, тој автоматски ќе се копира во таблата со исечоци.
5.2.3. Копирање на конфигурацијата во локална конфигурациска датотека
Во ова поле, се враќаме на текстуалната датотека што ја создадовме претходно на работната површина и го залепуваме конфигурацискиот текст во неа од таблата со исечоци.
5.2.4. Зачувување локална конфигурациска датотека
Зачувајте ја датотеката со екстензија .конф (во овој случај именуван london.conf)
5.2.5. Увезување локална конфигурациска датотека
Следно, треба да ја увезете конфигурациската датотека во програмата TunSafe.
5.2.6. Поставување VPN конекција
Изберете ја оваа конфигурациска датотека и поврзете се со кликнување на копчето Поврзете се.
6. Проверка дали врската била успешна
За да ја проверите успешноста на врската преку тунелот VPN, треба да отворите прелистувач и да отидете на страницата https://2ip.ua/ru/
Прикажаната IP адреса мора да одговара на онаа што ја добивме во чекор 2.2.3.
Ако е така, тогаш тунелот VPN работи успешно.
Од терминалот Linux, можете да ја проверите вашата IP адреса со внесување:
curl http://zx2c4.com/ip
Или можете само да одите во порнхаб ако сте во Казахстан.