Za čo?

S rastúcou cenzúrou internetu zo strany autoritárskych režimov je blokovaný stále väčší počet užitočných internetových zdrojov a stránok. Vrátane technických informácií.
Stáva sa tak nemožným plne využívať internet a základné právo na slobodu prejavu, ktoré je zakotvené v r Všeobecná deklarácia ľudských práv.

Článok 19
Každý človek má právo na slobodu názoru a prejavu; toto právo zahŕňa slobodu zastávať názory bez zasahovania a slobodu vyhľadávať, prijímať a rozširovať informácie a myšlienky prostredníctvom akýchkoľvek médií a bez ohľadu na hranice

V tejto príručke vás prevedieme 6 krokmi na nasadenie vlastného bezplatného* služba VPN založené na technológii drôt Guardv cloudovej infraštruktúre Amazon Web Services (AWS), pomocou bezplatného účtu (na 12 mesiacov), na spravovanej inštancii (virtuálnom počítači). Server Ubuntu 18.04 LTS.
Snažil som sa, aby bol tento návod čo najpriateľskejší k ľuďom, ktorí nie sú v IT. Jediná potrebná vec je vytrvalosť pri opakovaní krokov popísaných nižšie.

Poznámka

• AWS poskytuje voľná úroveň na obdobie 12 mesiacov, s limitom 15 gigabajtov prevádzky mesačne.
• Najaktuálnejšia verzia tohto návodu sa nachádza na https://wireguard.isystem.io

stupňa

1. Zaregistrujte sa a získajte bezplatný účet AWS
2. Vytvorenie inštancie AWS
3. Pripojte sa k inštancii AWS
4. Konfigurácia Wireguard
5. Konfigurácia klientov VPN
6. Overenie, či je sieť VPN správne nainštalovaná

Užitočné odkazy

• Skripty pre automatickú inštaláciu Wireguard na AWS

1. Zaregistrujte si účet AWS

Registrácia na bezplatný účet AWS vyžaduje skutočné telefónne číslo a platnú kreditnú kartu Visa alebo Mastercard. Odporúčam používať virtuálne karty, ktoré sú poskytované zadarmo Yandex alebo Qiwi peňaženka. Na kontrolu platnosti karty sa pri registrácii odpočíta 1 dolár, ktorý sa neskôr vráti.

1.1. Otvorenie riadiacej konzoly AWS

Musíte otvoriť prehliadač a prejsť na: https://aws.amazon.com/ru/
Kliknite na tlačidlo „Registrácia“.

1.2. Vyplnenie osobných údajov

Vyplňte údaje a kliknite na tlačidlo „Pokračovať“.

1.3. Vyplnenie kontaktných údajov

Vyplňte svoje kontaktné údaje.

1.4. Zadanie informácií o platbe.

Číslo karty, dátum vypršania platnosti a meno držiteľa karty.

1.5. Potvrdenie účtu

V tejto fáze sa potvrdí telefónne číslo a z platobnej karty sa priamo odpíše 1 USD. Na obrazovke počítača sa zobrazí 4-miestny kód a na zadané telefónne číslo sa prijme hovor od Amazonu. Počas hovoru musíte vytočiť kód uvedený na obrazovke.

1.6. Výber tarifného plánu.

Vyberte si – základný plán (zadarmo)

1.7. Prihláste sa do riadiacej konzoly

1.8. Výber umiestnenia dátového centra

1.8.1. Testovanie rýchlosti

Pred výberom dátového centra sa odporúča otestovať https://speedtest.net rýchlosť prístupu k najbližším dátovým centrám, v mojej lokalite nasledujúce výsledky:

• Singapore
  
• Paríž
  
• Frankfurt
  
• Štokholm
  
• Londýn
  

Najlepšie výsledky z hľadiska rýchlosti vykazuje dátové centrum v Londýne. Tak som si ho vybral na ďalšie prispôsobenie.

2. Vytvorte inštanciu AWS

2.1 Vytvorenie virtuálneho počítača

2.1.1. Výber typu inštancie

V predvolenom nastavení je vybratá inštancia t2.micro, to je to, čo potrebujeme, stačí kliknúť na tlačidlo Ďalej: Konfigurácia podrobností inštancie

2.1.2. Konfigurácia nastavení inštancie

V budúcnosti k našej inštancii pripojíme trvalú verejnú IP, takže v tejto fáze vypneme automatické prideľovanie verejnej IP a klikneme na tlačidlo Ďalej: Pridať úložisko

2.1.3. Pripojenie úložiska

Zadajte veľkosť „pevného disku“. Pre naše účely stačí 16 gigabajtov a stlačte tlačidlo Ďalej: Pridať značky

2.1.4. Nastavenie značiek

Ak by sme vytvorili niekoľko inštancií, mohli by byť zoskupené podľa značiek na uľahčenie správy. V tomto prípade je táto funkcionalita zbytočná, ihneď stlačíme tlačidlo Ďalej: Konfigurácia Security Gorup

2.1.5. Otváranie portov

V tejto fáze nakonfigurujeme bránu firewall otvorením potrebných portov. Sada otvorených portov sa nazýva skupina zabezpečenia. Musíme vytvoriť novú bezpečnostnú skupinu, dať jej názov, popis, pridať UDP port (Custom UDP Rule), v poli Rort Range musíme priradiť číslo portu z rozsahu dynamické porty 49152—65535. V tomto prípade som zvolil číslo portu 54321.

Po vyplnení požadovaných údajov kliknite na tlačidlo Skontrolovať a spustiť

2.1.6. Prehľad všetkých nastavení

Táto stránka poskytuje prehľad všetkých nastavení našej inštancie, skontrolujte, či sú všetky nastavenia v poriadku, a kliknite na tlačidlo zahájiť

2.1.7. Vytváranie prístupových kľúčov

Ďalej sa zobrazí dialógové okno s výzvou na vytvorenie alebo pridanie existujúceho kľúča SSH, pomocou ktorého sa neskôr budeme môcť vzdialene pripojiť k našej inštancii. Na vytvorenie nového kľúča vyberieme možnosť „Vytvoriť nový pár kľúčov“. Nastavte jej názov a stlačte tlačidlo Stiahnite si pár kľúčovna stiahnutie vytvorených kľúčov. Uložte ich na bezpečné miesto na disku lokálneho počítača. Po stiahnutí kliknite na tlačidlo Spustite inštancie

2.1.7.1. Ukladanie prístupových kľúčov

Zobrazuje fázu ukladania vytvorených kľúčov z predchádzajúceho kroku. Potom, čo sme stlačili tlačidlo Stiahnite si pár kľúčov, kľúč sa uloží ako súbor certifikátu s príponou *.pem. V tomto prípade som mu dal meno wireguard-awskey.pem

2.1.8. Prehľad výsledkov vytvárania inštancií

Ďalej vidíme správu o úspešnom spustení inštancie, ktorú sme práve vytvorili. Kliknutím na tlačidlo môžeme prejsť na zoznam našich inštancií Zobraziť inštancie

2.2. Vytvorenie externej IP adresy

2.2.1. Začnite vytvárať externú IP

Ďalej musíme vytvoriť trvalú externú IP adresu, cez ktorú sa pripojíme k nášmu VPN serveru. Ak to chcete urobiť, vyberte položku na navigačnom paneli na ľavej strane obrazovky Elastické IP z kategórie SIEŤ A ZABEZPEČENIE a stlačte tlačidlo Prideliť novú adresu

2.2.2. Nastavenie vytvorenia externej IP adresy

V ďalšom kroku musíme túto možnosť povoliť Amazonský bazén (predvolene povolené) a kliknite na tlačidlo prideliť

2.2.3. Prehľad výsledkov vytvorenia externej IP adresy

Na ďalšej obrazovke sa zobrazí externá adresa IP, ktorú sme dostali. Odporúča sa to zapamätať, alebo ešte lepšie zapísať. V procese ďalšieho nastavenia a používania servera VPN ho budeme potrebovať viackrát. V tejto príručke používam ako príklad IP adresu. 4.3.2.1. Po zapísaní adresy kliknite na tlačidlo Zavrieť

2.2.4. Zoznam externých IP adries

Ďalej vidíme zoznam našich stálych verejných IP adries (elastické IP).

2.2.5. Priradenie externej IP k inštancii

V tomto zozname vyberieme IP adresu, ktorú sme dostali, a kliknutím pravým tlačidlom myši vyvolajte rozbaľovaciu ponuku. V ňom vyberieme položku Adresa partneraaby sme ho priradili k inštancii, ktorú sme predtým vytvorili.

2.2.6. Konfigurácia externého priradenia IP

V ďalšom kroku vyberte z rozbaľovacieho zoznamu našu inštanciu a stlačte tlačidlo Associate

2.2.7. Prehľad výsledkov externého priradenia IP

Potom môžeme vidieť, že naša inštancia a jej súkromná IP adresa sú spojené s našou trvalou verejnou IP adresou.

Teraz sa môžeme pripojiť k našej novovytvorenej inštancii zvonku, z nášho počítača cez SSH.

3. Pripojte sa k inštancii AWS

SSH je bezpečný protokol na diaľkové ovládanie počítačových zariadení.

3.1. Pripojenie cez SSH z počítača so systémom Windows

Ak sa chcete pripojiť k počítaču so systémom Windows, musíte si najprv stiahnuť a nainštalovať program tmel.

3.1.1. Importovanie súkromného kľúča pre Putty

3.1.1.1. Po nainštalovaní Putty musíte spustiť obslužný program PuTTYgen, ktorý je súčasťou dodávky, na importovanie kľúča certifikátu vo formáte PEM do formátu vhodného na použitie v programe Putty. Ak to chcete urobiť, vyberte položku v hornom menu Konverzie->Kľúč importu

3.1.1.2. Výber kľúča AWS vo formáte PEM

Ďalej vyberte kľúč, ktorý sme predtým uložili v kroku 2.1.7.1, v našom prípade jeho názov wireguard-awskey.pem

3.1.1.3. Nastavenie možností importu kľúčov

V tomto kroku musíme pre tento kľúč uviesť komentár (popis) a pre bezpečnosť nastaviť heslo a jeho potvrdenie. Bude sa vyžadovať pri každom pripojení. Takto chránime kľúč heslom pred nevhodným použitím. Nemusíte zadať heslo, ale je to menej bezpečné, ak sa kľúč dostane do nesprávnych rúk. Potom stlačte tlačidlo Uložiť súkromný kľúč

3.1.1.4. Uloženie importovaného kľúča

Otvorí sa dialógové okno uloženia súboru a uložíme náš súkromný kľúč ako súbor s príponou .ppk, vhodné na použitie v programe tmel.
Zadajte názov kľúča (v našom prípade wireguard-awskey.ppk) a stlačte tlačidlo Udržať.

3.1.2. Vytvorenie a nastavenie pripojenia v Putty

3.1.2.1. Vytváranie spojenia

Otvorte program Putty, vyberte kategóriu zasadnutie (štandardne je otvorený) a v poli Názov hostiteľa zadajte verejnú IP adresu nášho servera, ktorú sme dostali v kroku 2.2.3. V teréne Uložená relácia zadajte ľubovoľný názov pre naše spojenie (v mojom prípade wireguard-aws-london) a potom stlačte tlačidlo ušetríte uložiť zmeny, ktoré sme vykonali.

3.1.2.2. Nastavenie automatického prihlásenia používateľa

Ďalší v kategórii Spojenie, vyberte podkategóriu dátum a v teréne Používateľské meno s automatickým prihlásením zadajte používateľské meno ubuntu je štandardným používateľom inštancie AWS so systémom Ubuntu.

3.1.2.3. Výber súkromného kľúča pre pripojenie SSH

Potom prejdite do podkategórie Pripojenie/SSH/Auth a vedľa poľa Súbor súkromného kľúča na autentifikáciu stlačte gombík Prechádzať ... vyberte súbor s kľúčovým certifikátom.

3.1.2.4. Otvorenie importovaného kľúča

Označíme kľúč, ktorý sme predtým importovali vo fáze 3.1.1.4, v našom prípade je to súbor wireguard-awskey.ppka stlačte tlačidlo otvorený.

3.1.2.5. Uloženie nastavení a spustenie pripojenia

Návrat na stránku kategórie zasadnutie znova stlačte tlačidlo ušetríte, aby ste uložili zmeny, ktoré sme vykonali v predchádzajúcich krokoch (3.1.2.2 - 3.1.2.4). A potom stlačte tlačidlo Otvorený na otvorenie vzdialeného pripojenia cez SSH, ktoré sme vytvorili a nakonfigurovali.

3.1.2.7. Nastavenie dôvery medzi hostiteľmi

V ďalšom kroku, keď sa prvýkrát pokúsime pripojiť, dostaneme varovanie, že medzi týmito dvoma počítačmi nemáme nakonfigurovanú dôveru, a spýta sa, či dôverovať vzdialenému počítaču. Stlačíme tlačidlo Да, čím ho pridáte do zoznamu dôveryhodných hostiteľov.

3.1.2.8. Zadanie hesla pre prístup ku kľúču

Potom sa otvorí okno terminálu, kde budete požiadaní o heslo pre kľúč, ak ste ho nastavili skôr v kroku 3.1.1.3. Po zadaní hesla sa na obrazovke nevykoná žiadna akcia. Ak sa pomýlite, môžete použiť kľúč Backspace.

3.1.2.9. Uvítacia správa o úspešnom pripojení

Po úspešnom zadaní hesla sa v termináli zobrazí uvítací text, ktorý nás informuje, že vzdialený systém je pripravený vykonať naše príkazy.

4. Konfigurácia servera Wireguard

Najaktuálnejšie pokyny na inštaláciu a používanie Wireguard pomocou skriptov popísaných nižšie nájdete v úložisku: https://github.com/isystem-io/wireguard-aws

4.1. Inštalácia Wireguard

V termináli zadajte nasledujúce príkazy (môžete skopírovať do schránky a vložiť do terminálu stlačením pravého tlačidla myši):

4.1.1. Klonovanie úložiska

Naklonujte úložisko pomocou inštalačných skriptov Wireguard

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Prejdite do adresára so skriptami

Prejdite do adresára s klonovaným úložiskom

cd wireguard_aws

4.1.3 Spustenie inicializačného skriptu

Spustite inštalačný skript Wireguard ako správca (používateľ root)

sudo ./initial.sh

Počas procesu inštalácie budete požiadaní o určité informácie potrebné na konfiguráciu Wireguard

4.1.3.1. Vstup do bodu pripojenia

Zadajte externú IP adresu a otvorte port Wireguard servera. Externú IP adresu servera sme dostali v kroku 2.2.3 a otvorili port v kroku 2.1.5. Označujeme ich spolu, oddelené napríklad dvojbodkou 4.3.2.1:54321a potom stlačte kláves vstúpiť
Príklad výstupu:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Zadanie internej IP adresy

Zadajte IP adresu servera Wireguard v zabezpečenej podsieti VPN, ak neviete, čo to je, jednoducho stlačte Enter a nastavte predvolenú hodnotu (10.50.0.1)
Príklad výstupu:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. Určenie servera DNS

Zadajte IP adresu DNS servera alebo jednoducho stlačte Enter a nastavte predvolenú hodnotu 1.1.1.1 (Verejné DNS služby Cloudflare)
Príklad výstupu:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. Určenie rozhrania WAN

Ďalej musíte zadať názov externého sieťového rozhrania, ktoré bude počúvať interné sieťové rozhranie VPN. Na nastavenie predvoleného nastavenia AWS stačí stlačiť Enter (eth0)
Príklad výstupu:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Zadanie mena klienta

Zadajte používateľské meno VPN. Faktom je, že server Wireguard VPN nebude možné spustiť, kým sa nepridá aspoň jeden klient. V tomto prípade som zadal meno Alex@mobile
Príklad výstupu:

Enter VPN user name: Alex@mobile

Potom by sa mal na obrazovke zobraziť QR kód s konfiguráciou novo pridaného klienta, ktorý je potrebné na jeho konfiguráciu prečítať pomocou mobilného klienta Wireguard v systéme Android alebo iOS. A tiež pod QR kódom sa zobrazí text konfiguračného súboru v prípade manuálnej konfigurácie klienta. Ako to urobiť, bude diskutované nižšie.

4.2. Pridanie nového používateľa VPN

Ak chcete pridať nového používateľa, musíte spustiť skript v termináli add-client.sh

sudo ./add-client.sh

Skript požaduje používateľské meno:
Príklad výstupu:

Enter VPN user name: 

Názov môže byť tiež odovzdaný používateľom ako parameter skriptu (v tomto prípade Alex@mobile):

sudo ./add-client.sh Alex@mobile

V dôsledku vykonania skriptu v adresári s názvom klienta pozdĺž cesty /etc/wireguard/clients/{ИмяКлиента} vytvorí sa konfiguračný súbor klienta /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.confa na obrazovke terminálu sa zobrazí QR kód na konfiguráciu mobilných klientov a obsah konfiguračného súboru.

4.2.1. Používateľský konfiguračný súbor

Obsah súboru .conf môžete zobraziť na obrazovke pre manuálnu konfiguráciu klienta pomocou príkazu cat

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf

výsledok vykonania:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Popis konfiguračného súboru klienta:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR kód konfigurácie klienta

Pomocou príkazu môžete na obrazovke terminálu zobraziť konfiguračný kód QR pre predtým vytvoreného klienta qrencode -t ansiutf8 (v tomto príklade je použitý klient s názvom Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/Alex@mobile.conf | qrencode -t ansiutf8

5. Konfigurácia klientov VPN

5.1. Nastavenie mobilného klienta Android

K dispozícii je oficiálny klient Wireguard pre Android nainštalovať z oficiálneho obchodu GooglePlay

Potom musíte importovať konfiguráciu prečítaním QR kódu s konfiguráciou klienta (pozri odsek 4.2.2) a pomenovať ju:

Po úspešnom importovaní konfigurácie môžete povoliť tunel VPN. Úspešné pripojenie bude indikované skrýšou kľúčov na systémovom paneli Android

5.2. Nastavenie klienta Windows

Najprv musíte stiahnuť a nainštalovať program TunSafe pre Windows je klient Wireguard pre Windows.

5.2.1. Vytvorenie konfiguračného súboru pre import

Kliknutím pravým tlačidlom myši vytvoríte textový súbor na pracovnej ploche.

5.2.2. Kopírovanie obsahu konfiguračného súboru zo servera

Ďalej sa vrátime do terminálu Putty a zobrazíme obsah konfiguračného súboru požadovaného užívateľa, ako je popísané v kroku 4.2.1.
Potom kliknite pravým tlačidlom myši na text konfigurácie v termináli Putty; po dokončení výberu sa automaticky skopíruje do schránky.

5.2.3. Kopírovanie konfigurácie do lokálneho konfiguračného súboru

Potom sa vrátime k textovému súboru, ktorý sme predtým vytvorili na pracovnej ploche, a vložíme doň konfiguračný text zo schránky.

5.2.4. Uloženie lokálneho konfiguračného súboru

Uložte súbor s príponou .konf (v tomto prípade s názvom london.conf)

5.2.5. Import lokálneho konfiguračného súboru

Ďalej je potrebné importovať konfiguračný súbor do programu TunSafe.

5.2.6. Nastavenie pripojenia VPN

Vyberte tento konfiguračný súbor a pripojte sa kliknutím na tlačidlo Pripojiť.

6. Kontrola úspešného pripojenia

Ak chcete skontrolovať úspešnosť pripojenia cez tunel VPN, musíte otvoriť prehliadač a prejsť na webovú stránku https://2ip.ua/ru/

Zobrazená IP adresa sa musí zhodovať s adresou, ktorú sme dostali v kroku 2.2.3.
Ak je to tak, tunel VPN úspešne funguje.

Z terminálu Linux môžete skontrolovať svoju IP adresu zadaním príkazu:

curl http://zx2c4.com/ip

Alebo môžete ísť na pornhub, ak ste v Kazachstane.

Zdroj: hab.com