S rastúcou cenzúrou internetu zo strany autoritárskych režimov je blokovaný stále väčší počet užitočných internetových zdrojov a stránok. Vrátane technických informácií.
Stáva sa tak nemožným plne využívať internet a základné právo na slobodu prejavu, ktoré je zakotvené v r Všeobecná deklarácia ľudských práv.
Článok 19
Každý človek má právo na slobodu názoru a prejavu; toto právo zahŕňa slobodu zastávať názory bez zasahovania a slobodu vyhľadávať, prijímať a rozširovať informácie a myšlienky prostredníctvom akýchkoľvek médií a bez ohľadu na hranice
V tejto príručke vás prevedieme 6 krokmi na nasadenie vlastného bezplatného* služba VPN založené na technológii drôt Guardv cloudovej infraštruktúre Amazon Web Services (AWS), pomocou bezplatného účtu (na 12 mesiacov), na spravovanej inštancii (virtuálnom počítači). Server Ubuntu 18.04 LTS.
Snažil som sa, aby bol tento návod čo najpriateľskejší k ľuďom, ktorí nie sú v IT. Jediná potrebná vec je vytrvalosť pri opakovaní krokov popísaných nižšie.
Poznámka
AWS poskytuje voľná úroveň na obdobie 12 mesiacov, s limitom 15 gigabajtov prevádzky mesačne.
Registrácia na bezplatný účet AWS vyžaduje skutočné telefónne číslo a platnú kreditnú kartu Visa alebo Mastercard. Odporúčam používať virtuálne karty, ktoré sú poskytované zadarmo Yandex alebo Qiwi peňaženka. Na kontrolu platnosti karty sa pri registrácii odpočíta 1 dolár, ktorý sa neskôr vráti.
Vyplňte údaje a kliknite na tlačidlo „Pokračovať“.
1.3. Vyplnenie kontaktných údajov
Vyplňte svoje kontaktné údaje.
1.4. Zadanie informácií o platbe.
Číslo karty, dátum vypršania platnosti a meno držiteľa karty.
1.5. Potvrdenie účtu
V tejto fáze sa potvrdí telefónne číslo a z platobnej karty sa priamo odpíše 1 USD. Na obrazovke počítača sa zobrazí 4-miestny kód a na zadané telefónne číslo sa prijme hovor od Amazonu. Počas hovoru musíte vytočiť kód uvedený na obrazovke.
1.6. Výber tarifného plánu.
Vyberte si – základný plán (zadarmo)
1.7. Prihláste sa do riadiacej konzoly
1.8. Výber umiestnenia dátového centra
1.8.1. Testovanie rýchlosti
Pred výberom dátového centra sa odporúča otestovať https://speedtest.net rýchlosť prístupu k najbližším dátovým centrám, v mojej lokalite nasledujúce výsledky:
Singapore
Paríž
Frankfurt
Štokholm
Londýn
Najlepšie výsledky z hľadiska rýchlosti vykazuje dátové centrum v Londýne. Tak som si ho vybral na ďalšie prispôsobenie.
2. Vytvorte inštanciu AWS
2.1 Vytvorenie virtuálneho počítača
2.1.1. Výber typu inštancie
V predvolenom nastavení je vybratá inštancia t2.micro, to je to, čo potrebujeme, stačí kliknúť na tlačidlo Ďalej: Konfigurácia podrobností inštancie
2.1.2. Konfigurácia nastavení inštancie
V budúcnosti k našej inštancii pripojíme trvalú verejnú IP, takže v tejto fáze vypneme automatické prideľovanie verejnej IP a klikneme na tlačidlo Ďalej: Pridať úložisko
2.1.3. Pripojenie úložiska
Zadajte veľkosť „pevného disku“. Pre naše účely stačí 16 gigabajtov a stlačte tlačidlo Ďalej: Pridať značky
2.1.4. Nastavenie značiek
Ak by sme vytvorili niekoľko inštancií, mohli by byť zoskupené podľa značiek na uľahčenie správy. V tomto prípade je táto funkcionalita zbytočná, ihneď stlačíme tlačidlo Ďalej: Konfigurácia Security Gorup
2.1.5. Otváranie portov
V tejto fáze nakonfigurujeme bránu firewall otvorením potrebných portov. Sada otvorených portov sa nazýva skupina zabezpečenia. Musíme vytvoriť novú bezpečnostnú skupinu, dať jej názov, popis, pridať UDP port (Custom UDP Rule), v poli Rort Range musíme priradiť číslo portu z rozsahu dynamické porty 49152—65535. V tomto prípade som zvolil číslo portu 54321.
Po vyplnení požadovaných údajov kliknite na tlačidlo Skontrolovať a spustiť
2.1.6. Prehľad všetkých nastavení
Táto stránka poskytuje prehľad všetkých nastavení našej inštancie, skontrolujte, či sú všetky nastavenia v poriadku, a kliknite na tlačidlo zahájiť
2.1.7. Vytváranie prístupových kľúčov
Ďalej sa zobrazí dialógové okno s výzvou na vytvorenie alebo pridanie existujúceho kľúča SSH, pomocou ktorého sa neskôr budeme môcť vzdialene pripojiť k našej inštancii. Na vytvorenie nového kľúča vyberieme možnosť „Vytvoriť nový pár kľúčov“. Nastavte jej názov a stlačte tlačidlo Stiahnite si pár kľúčovna stiahnutie vytvorených kľúčov. Uložte ich na bezpečné miesto na disku lokálneho počítača. Po stiahnutí kliknite na tlačidlo Spustite inštancie
2.1.7.1. Ukladanie prístupových kľúčov
Zobrazuje fázu ukladania vytvorených kľúčov z predchádzajúceho kroku. Potom, čo sme stlačili tlačidlo Stiahnite si pár kľúčov, kľúč sa uloží ako súbor certifikátu s príponou *.pem. V tomto prípade som mu dal meno wireguard-awskey.pem
2.1.8. Prehľad výsledkov vytvárania inštancií
Ďalej vidíme správu o úspešnom spustení inštancie, ktorú sme práve vytvorili. Kliknutím na tlačidlo môžeme prejsť na zoznam našich inštancií Zobraziť inštancie
2.2. Vytvorenie externej IP adresy
2.2.1. Začnite vytvárať externú IP
Ďalej musíme vytvoriť trvalú externú IP adresu, cez ktorú sa pripojíme k nášmu VPN serveru. Ak to chcete urobiť, vyberte položku na navigačnom paneli na ľavej strane obrazovky Elastické IP z kategórie SIEŤ A ZABEZPEČENIE a stlačte tlačidlo Prideliť novú adresu
2.2.2. Nastavenie vytvorenia externej IP adresy
V ďalšom kroku musíme túto možnosť povoliť Amazonský bazén (predvolene povolené) a kliknite na tlačidlo prideliť
2.2.3. Prehľad výsledkov vytvorenia externej IP adresy
Na ďalšej obrazovke sa zobrazí externá adresa IP, ktorú sme dostali. Odporúča sa to zapamätať, alebo ešte lepšie zapísať. V procese ďalšieho nastavenia a používania servera VPN ho budeme potrebovať viackrát. V tejto príručke používam ako príklad IP adresu. 4.3.2.1. Po zapísaní adresy kliknite na tlačidlo Zavrieť
2.2.4. Zoznam externých IP adries
Ďalej vidíme zoznam našich stálych verejných IP adries (elastické IP).
2.2.5. Priradenie externej IP k inštancii
V tomto zozname vyberieme IP adresu, ktorú sme dostali, a kliknutím pravým tlačidlom myši vyvolajte rozbaľovaciu ponuku. V ňom vyberieme položku Adresa partneraaby sme ho priradili k inštancii, ktorú sme predtým vytvorili.
2.2.6. Konfigurácia externého priradenia IP
V ďalšom kroku vyberte z rozbaľovacieho zoznamu našu inštanciu a stlačte tlačidlo Associate
2.2.7. Prehľad výsledkov externého priradenia IP
Potom môžeme vidieť, že naša inštancia a jej súkromná IP adresa sú spojené s našou trvalou verejnou IP adresou.
Teraz sa môžeme pripojiť k našej novovytvorenej inštancii zvonku, z nášho počítača cez SSH.
3. Pripojte sa k inštancii AWS
SSH je bezpečný protokol na diaľkové ovládanie počítačových zariadení.
3.1. Pripojenie cez SSH z počítača so systémom Windows
Ak sa chcete pripojiť k počítaču so systémom Windows, musíte si najprv stiahnuť a nainštalovať program tmel.
3.1.1. Importovanie súkromného kľúča pre Putty
3.1.1.1. Po nainštalovaní Putty musíte spustiť obslužný program PuTTYgen, ktorý je súčasťou dodávky, na importovanie kľúča certifikátu vo formáte PEM do formátu vhodného na použitie v programe Putty. Ak to chcete urobiť, vyberte položku v hornom menu Konverzie->Kľúč importu
3.1.1.2. Výber kľúča AWS vo formáte PEM
Ďalej vyberte kľúč, ktorý sme predtým uložili v kroku 2.1.7.1, v našom prípade jeho názov wireguard-awskey.pem
3.1.1.3. Nastavenie možností importu kľúčov
V tomto kroku musíme pre tento kľúč uviesť komentár (popis) a pre bezpečnosť nastaviť heslo a jeho potvrdenie. Bude sa vyžadovať pri každom pripojení. Takto chránime kľúč heslom pred nevhodným použitím. Nemusíte zadať heslo, ale je to menej bezpečné, ak sa kľúč dostane do nesprávnych rúk. Potom stlačte tlačidlo Uložiť súkromný kľúč
3.1.1.4. Uloženie importovaného kľúča
Otvorí sa dialógové okno uloženia súboru a uložíme náš súkromný kľúč ako súbor s príponou .ppk, vhodné na použitie v programe tmel.
Zadajte názov kľúča (v našom prípade wireguard-awskey.ppk) a stlačte tlačidlo Udržať.
3.1.2. Vytvorenie a nastavenie pripojenia v Putty
3.1.2.1. Vytváranie spojenia
Otvorte program Putty, vyberte kategóriu zasadnutie (štandardne je otvorený) a v poli Názov hostiteľa zadajte verejnú IP adresu nášho servera, ktorú sme dostali v kroku 2.2.3. V teréne Uložená relácia zadajte ľubovoľný názov pre naše spojenie (v mojom prípade wireguard-aws-london) a potom stlačte tlačidlo ušetríte uložiť zmeny, ktoré sme vykonali.
Ďalší v kategórii Spojenie, vyberte podkategóriu dátum a v teréne Používateľské meno s automatickým prihlásením zadajte používateľské meno ubuntu je štandardným používateľom inštancie AWS so systémom Ubuntu.
3.1.2.3. Výber súkromného kľúča pre pripojenie SSH
Potom prejdite do podkategórie Pripojenie/SSH/Auth a vedľa poľa Súbor súkromného kľúča na autentifikáciu stlačte gombík Prechádzať ... vyberte súbor s kľúčovým certifikátom.
3.1.2.4. Otvorenie importovaného kľúča
Označíme kľúč, ktorý sme predtým importovali vo fáze 3.1.1.4, v našom prípade je to súbor wireguard-awskey.ppka stlačte tlačidlo otvorený.
3.1.2.5. Uloženie nastavení a spustenie pripojenia
Návrat na stránku kategórie zasadnutie znova stlačte tlačidlo ušetríte, aby ste uložili zmeny, ktoré sme vykonali v predchádzajúcich krokoch (3.1.2.2 - 3.1.2.4). A potom stlačte tlačidlo Otvorený na otvorenie vzdialeného pripojenia cez SSH, ktoré sme vytvorili a nakonfigurovali.
3.1.2.7. Nastavenie dôvery medzi hostiteľmi
V ďalšom kroku, keď sa prvýkrát pokúsime pripojiť, dostaneme varovanie, že medzi týmito dvoma počítačmi nemáme nakonfigurovanú dôveru, a spýta sa, či dôverovať vzdialenému počítaču. Stlačíme tlačidlo Да, čím ho pridáte do zoznamu dôveryhodných hostiteľov.
3.1.2.8. Zadanie hesla pre prístup ku kľúču
Potom sa otvorí okno terminálu, kde budete požiadaní o heslo pre kľúč, ak ste ho nastavili skôr v kroku 3.1.1.3. Po zadaní hesla sa na obrazovke nevykoná žiadna akcia. Ak sa pomýlite, môžete použiť kľúč Backspace.
3.1.2.9. Uvítacia správa o úspešnom pripojení
Po úspešnom zadaní hesla sa v termináli zobrazí uvítací text, ktorý nás informuje, že vzdialený systém je pripravený vykonať naše príkazy.
Spustite inštalačný skript Wireguard ako správca (používateľ root)
sudo ./initial.sh
Počas procesu inštalácie budete požiadaní o určité informácie potrebné na konfiguráciu Wireguard
4.1.3.1. Vstup do bodu pripojenia
Zadajte externú IP adresu a otvorte port Wireguard servera. Externú IP adresu servera sme dostali v kroku 2.2.3 a otvorili port v kroku 2.1.5. Označujeme ich spolu, oddelené napríklad dvojbodkou 4.3.2.1:54321a potom stlačte kláves vstúpiť Príklad výstupu:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Zadanie internej IP adresy
Zadajte IP adresu servera Wireguard v zabezpečenej podsieti VPN, ak neviete, čo to je, jednoducho stlačte Enter a nastavte predvolenú hodnotu (10.50.0.1) Príklad výstupu:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. Určenie servera DNS
Zadajte IP adresu DNS servera alebo jednoducho stlačte Enter a nastavte predvolenú hodnotu 1.1.1.1 (Verejné DNS služby Cloudflare) Príklad výstupu:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. Určenie rozhrania WAN
Ďalej musíte zadať názov externého sieťového rozhrania, ktoré bude počúvať interné sieťové rozhranie VPN. Na nastavenie predvoleného nastavenia AWS stačí stlačiť Enter (eth0) Príklad výstupu:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Zadanie mena klienta
Zadajte používateľské meno VPN. Faktom je, že server Wireguard VPN nebude možné spustiť, kým sa nepridá aspoň jeden klient. V tomto prípade som zadal meno Alex@mobile Príklad výstupu:
Enter VPN user name: Alex@mobile
Potom by sa mal na obrazovke zobraziť QR kód s konfiguráciou novo pridaného klienta, ktorý je potrebné na jeho konfiguráciu prečítať pomocou mobilného klienta Wireguard v systéme Android alebo iOS. A tiež pod QR kódom sa zobrazí text konfiguračného súboru v prípade manuálnej konfigurácie klienta. Ako to urobiť, bude diskutované nižšie.
4.2. Pridanie nového používateľa VPN
Ak chcete pridať nového používateľa, musíte spustiť skript v termináli add-client.sh
Názov môže byť tiež odovzdaný používateľom ako parameter skriptu (v tomto prípade Alex@mobile):
sudo ./add-client.sh Alex@mobile
V dôsledku vykonania skriptu v adresári s názvom klienta pozdĺž cesty /etc/wireguard/clients/{ИмяКлиента} vytvorí sa konfiguračný súbor klienta /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.confa na obrazovke terminálu sa zobrazí QR kód na konfiguráciu mobilných klientov a obsah konfiguračného súboru.
4.2.1. Používateľský konfiguračný súbor
Obsah súboru .conf môžete zobraziť na obrazovke pre manuálnu konfiguráciu klienta pomocou príkazu cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. QR kód konfigurácie klienta
Pomocou príkazu môžete na obrazovke terminálu zobraziť konfiguračný kód QR pre predtým vytvoreného klienta qrencode -t ansiutf8 (v tomto príklade je použitý klient s názvom Alex@mobile):
Potom musíte importovať konfiguráciu prečítaním QR kódu s konfiguráciou klienta (pozri odsek 4.2.2) a pomenovať ju:
Po úspešnom importovaní konfigurácie môžete povoliť tunel VPN. Úspešné pripojenie bude indikované skrýšou kľúčov na systémovom paneli Android
5.2. Nastavenie klienta Windows
Najprv musíte stiahnuť a nainštalovať program TunSafe pre Windows je klient Wireguard pre Windows.
5.2.1. Vytvorenie konfiguračného súboru pre import
Kliknutím pravým tlačidlom myši vytvoríte textový súbor na pracovnej ploche.
5.2.2. Kopírovanie obsahu konfiguračného súboru zo servera
Ďalej sa vrátime do terminálu Putty a zobrazíme obsah konfiguračného súboru požadovaného užívateľa, ako je popísané v kroku 4.2.1.
Potom kliknite pravým tlačidlom myši na text konfigurácie v termináli Putty; po dokončení výberu sa automaticky skopíruje do schránky.
5.2.3. Kopírovanie konfigurácie do lokálneho konfiguračného súboru
Potom sa vrátime k textovému súboru, ktorý sme predtým vytvorili na pracovnej ploche, a vložíme doň konfiguračný text zo schránky.
5.2.4. Uloženie lokálneho konfiguračného súboru
Uložte súbor s príponou .konf (v tomto prípade s názvom london.conf)
5.2.5. Import lokálneho konfiguračného súboru
Ďalej je potrebné importovať konfiguračný súbor do programu TunSafe.
5.2.6. Nastavenie pripojenia VPN
Vyberte tento konfiguračný súbor a pripojte sa kliknutím na tlačidlo Pripojiť.
6. Kontrola úspešného pripojenia
Ak chcete skontrolovať úspešnosť pripojenia cez tunel VPN, musíte otvoriť prehliadač a prejsť na webovú stránku https://2ip.ua/ru/
Zobrazená IP adresa sa musí zhodovať s adresou, ktorú sme dostali v kroku 2.2.3.
Ak je to tak, tunel VPN úspešne funguje.
Z terminálu Linux môžete skontrolovať svoju IP adresu zadaním príkazu:
curl http://zx2c4.com/ip
Alebo môžete ísť na pornhub, ak ste v Kazachstane.