Z vse večjo cenzuro interneta s strani avtoritarnih režimov je vse več uporabnih internetnih virov in spletnih mest blokiranih. Vključno s tehničnimi informacijami.
Tako postane nemogoče polno uporabljati internet in krši temeljno pravico do svobode govora, zapisano v Splošna deklaracija človekovih pravic.
Člen 19
Vsakdo ima pravico do svobode mnenja in izražanja; ta pravica vključuje svobodo zadrževanja mnenj brez vmešavanja ter iskanja, prejemanja in širjenja informacij in idej prek katerega koli medija in ne glede na meje
V tem priročniku bomo uvedli lastno brezplačno programsko opremo* v 6 korakih. storitev VPN ki temelji na tehnologiji Žični ščitnik, v infrastrukturi oblaka Amazon Web Services (AWS), z uporabo brezplačnega računa (za 12 mesecev), na instanci (virtualni stroj), ki ga upravlja Ubuntu Server 18.04LTS.
Poskušal sem narediti ta korak čim bolj prijazen ljudem, ki niso IT. Edina stvar, ki se zahteva, je vztrajnost pri ponavljanju spodaj opisanih korakov.
Obvestilo
AWS zagotavlja raven brezplačne uporabe za obdobje 12 mesecev, z omejitvijo 15 gigabajtov prometa na mesec.
Za prijavo na brezplačen račun AWS potrebujete pravo telefonsko številko in veljavno kreditno kartico Visa ali Mastercard. Priporočam uporabo virtualnih kartic, ki so na voljo brezplačno Yandex ali denarnica qiwi. Za preverjanje veljavnosti kartice se ob registraciji odšteje 1 $, ki se kasneje vrne.
Številka kartice, datum veljavnosti in ime imetnika kartice.
1.5. Podtrditev računa
Na tej stopnji je telefonska številka potrjena in 1 $ je neposredno bremenjen s plačilne kartice. Na zaslonu računalnika se prikaže 4-mestna koda in navedeni telefon prejme klic iz Amazona. Med klicem morate vnesti kodo, prikazano na zaslonu.
1.6. Izbira tarifnega načrta.
Izberite - osnovni paket (brezplačno)
1.7. Prijavite se v upravljalno konzolo
1.8. Izbira lokacije podatkovnega centra
1.8.1. Testiranje hitrosti
Preden izberete podatkovni center, je priporočljivo, da ga preizkusite https://speedtest.net hitrost dostopa do najbližjih podatkovnih centrov, na moji lokaciji naslednje rezultate:
Slovenija
Pariz
Frankfurt
Stockholm
London
Podatkovni center v Londonu kaže najboljše rezultate glede hitrosti. Zato sem ga izbral za nadaljnje prilagajanje.
2. Ustvarite primerek AWS
2.1 Ustvarite virtualni stroj
2.1.1. Izbira vrste primerka
Privzeto je izbrana instanca t2.micro, kar potrebujemo, samo pritisnite gumb Naprej: Konfigurirajte podrobnosti primerka
2.1.2. Nastavitev možnosti primerka
V prihodnje bomo našemu primerku povezali stalni javni IP, zato na tej stopnji izklopimo samodejno dodeljevanje javnega IP-ja in pritisnemo gumb Naprej: Dodaj prostor za shranjevanje
2.1.3. Povezava za shranjevanje
Določite velikost "trdega diska". Za naše namene je dovolj 16 gigabajtov in pritisnemo gumb Naprej: Dodaj oznake
2.1.4. Nastavitev oznak
Če smo ustvarili več primerkov, bi jih lahko združili po oznakah, da bi olajšali upravljanje. V tem primeru je ta funkcija odveč, takoj pritisnite gumb Naprej: Konfigurirajte varnostno skupino
2.1.5. Odpiranje vrat
V tem koraku konfiguriramo požarni zid tako, da odpremo zahtevana vrata. Niz odprtih vrat se imenuje varnostna skupina. Ustvariti moramo novo varnostno skupino, ji dati ime, opis, dodati vrata UDP (Custom UDP Rule), v polju Rort Range morate dodeliti številko vrat iz obsega dinamična vrata 49152-65535. V tem primeru sem izbral številko vrat 54321.
Po izpolnitvi zahtevanih podatkov kliknite na gumb Pregled in zagon
2.1.6. Pregled vseh nastavitev
Na tej strani je pregled vseh nastavitev naše instance, preverimo ali so vse nastavitve v redu in pritisnemo gumb Zagon
2.1.7. Ustvarjanje ključev za dostop
Sledi pogovorno okno, ki ponuja ustvarjanje ali dodajanje obstoječega ključa SSH, s katerim se bomo kasneje na daljavo povezali z našo instanco. Izberemo možnost "Ustvari nov par ključev", da ustvarimo nov ključ. Poimenujte ga in kliknite gumb Prenesite par ključevza prenos ustvarjenih ključev. Shranite jih na varno mesto v lokalnem računalniku. Po prenosu kliknite gumb. Zagon primerkov
2.1.7.1. Shranjevanje ključev za dostop
Tukaj je prikazan korak shranjevanja ustvarjenih ključev iz prejšnjega koraka. Ko smo pritisnili na gumb Prenesite par ključev, se ključ shrani kot datoteka potrdila s pripono *.pem. V tem primeru sem mu dal ime wireguard-awskey.pem
2.1.8. Pregled rezultatov ustvarjanja primerkov
Nato vidimo sporočilo o uspešnem zagonu primerka, ki smo ga pravkar ustvarili. S klikom na gumb gremo na seznam naših instanc ogled primerkov
2.2. Ustvarjanje zunanjega naslova IP
2.2.1. Začetek ustvarjanja zunanjega IP-ja
Nato moramo ustvariti stalni zunanji IP naslov, preko katerega se bomo povezovali na naš VPN strežnik. To storite tako, da v navigacijski plošči na levi strani zaslona izberete element Elastični IP -ji iz kategorije OMREŽJE IN VARNOST in pritisnite gumb Dodelite nov naslov
2.2.2. Konfiguracija ustvarjanja zunanjega IP-ja
V naslednjem koraku moramo možnost omogočiti Amazonski bazen (privzeto omogočeno) in kliknite na gumb Dodelite
2.2.3. Pregled rezultatov ustvarjanja zunanjega naslova IP
Na naslednjem zaslonu bo prikazan zunanji naslov IP, ki smo ga prejeli. Priporočljivo je, da si ga zapomnite, bolje je celo zapisati. pri nadaljnji nastavitvi in uporabi strežnika VPN vam bo še večkrat prišel prav. V tem priročniku kot primer uporabljam naslov IP. 4.3.2.1. Ko vnesete naslov, pritisnite gumb Zapri
2.2.4. Seznam zunanjih naslovov IP
Nato se nam prikaže seznam naših trajnih javnih naslovov IP (elastični IP).
2.2.5. Dodeljevanje zunanjega IP-ja primerku
Na tem seznamu izberemo naslov IP, ki smo ga prejeli, in pritisnemo desni gumb miške, da se prikaže spustni meni. V njem izberite predmet pridruženi naslovda ga dodelimo primerku, ki smo ga ustvarili prej.
2.2.6. Zunanja nastavitev dodelitve IP-ja
V naslednjem koraku iz spustnega seznama izberemo naš primerek in pritisnemo gumb Sodelavec
2.2.7. Pregled zunanjih rezultatov dodelitve IP
Po tem lahko vidimo, da sta naš primerek in njegov zasebni naslov IP povezana z našim stalnim javnim naslovom IP.
Zdaj se lahko povežemo z našo novo ustvarjeno instanco od zunaj, iz našega računalnika prek SSH.
3. Povežite se z instanco AWS
SSH je varen protokol za daljinsko upravljanje računalniških naprav.
3.1. Povezovanje prek SSH iz računalnika z operacijskim sistemom Windows
Za povezavo z računalnikom z operacijskim sistemom Windows morate najprej prenesti in namestiti program Kiti.
3.1.1. Uvozite zasebni ključ za Putty
3.1.1.1. Po namestitvi Puttyja morate zagnati pripomoček PuTTYgen, ki je priložen, da uvozite ključ potrdila v formatu PEM, v formatu, ki je primeren za uporabo v Puttyju. Če želite to narediti, izberite element v zgornjem meniju Pretvorbe->Uvozni ključ
3.1.1.2. Izbira ključa AWS v formatu PEM
Nato izberite ključ, ki smo ga prej shranili v koraku 2.1.7.1, v našem primeru njegovo ime wireguard-awskey.pem
3.1.1.3. Nastavitev ključnih možnosti uvoza
Na tem koraku moramo podati komentar za ta ključ (opis) in nastaviti geslo in potrditev zaradi varnosti. Zahtevan bo vsakič, ko se povežete. Tako ključ z geslom zaščitimo pred neustrezno uporabo. Ni vam treba nastaviti gesla, vendar je manj varno, če ključ pade v napačne roke. Ko pritisnemo gumb Shrani zasebni ključ
3.1.1.4. Shranjevanje uvoženega ključa
Odpre se pogovorno okno za shranjevanje datoteke in shranimo svoj zasebni ključ kot datoteko s pripono .ppkprimeren za uporabo v programu Kiti.
Določite ime ključa (v našem primeru wireguard-awskey.ppk) in pritisnite gumb Ohranijo.
3.1.2. Ustvarjanje in konfiguriranje povezave v Putty
3.1.2.1. Ustvari povezavo
Odprite program Putty, izberite kategorijo Session (privzeto je odprt) in v polju Ime gostitelja vnesemo javni naslov IP našega strežnika, ki smo ga prejeli v koraku 2.2.3. Na terenu Shranjena seja vnesite poljubno ime za našo povezavo (v mojem primeru wireguard-aws-london), in nato pritisnite gumb Shrani da shranite spremembe, ki smo jih naredili.
3.1.2.2. Nastavitev samodejne prijave uporabnika
Več v kategoriji povezava, izberite podkategorijo datum in na terenu Uporabniško ime za samodejno prijavo vnesite uporabniško ime ubuntu je standardni uporabnik instance na AWS z Ubuntujem.
3.1.2.3. Izbira zasebnega ključa za povezavo prek SSH
Nato pojdite na podkategorijo Povezava/SSH/Auth in zraven polja Datoteka z zasebnim ključem za preverjanje pristnosti kliknite na gumb Prebrskaj ... da izberete datoteko s potrdilom ključa.
3.1.2.4. Odpiranje uvoženega ključa
Podajte ključ, ki smo ga prej uvozili v koraku 3.1.1.4, v našem primeru je to datoteka wireguard-awskey.ppk, in pritisnite gumb open.
3.1.2.5. Shranjevanje nastavitev in vzpostavljanje povezave
Vrnitev na stran kategorije Session znova pritisnite gumb Shrani, da shranite spremembe, ki smo jih naredili prej v prejšnjih korakih (3.1.2.2 - 3.1.2.4). In potem pritisnemo gumb Odprto da odprete oddaljeno povezavo SSH, ki smo jo ustvarili in konfigurirali.
3.1.2.7. Vzpostavitev zaupanja med gostitelji
Pri naslednjem koraku, ko se prvič poskušamo povezati, dobimo opozorilo, da nimamo nastavljenega zaupanja med obema računalnikoma, in vpraša, ali naj zaupamo oddaljenemu računalniku. Pritisnili bomo gumb Da, s čimer ga dodate na seznam zaupanja vrednih gostiteljev.
3.1.2.8. Vnos gesla za dostop do ključa
Zatem se odpre terminalsko okno, kjer vas vprašamo za geslo za ključ, če ga nastavite prej v koraku 3.1.1.3. Pri vnosu gesla se na zaslonu ne zgodi nobeno dejanje. Če se zmotite, lahko uporabite ključ Backspace.
3.1.2.9. Pozdravno sporočilo ob uspešni povezavi
Po uspešnem vnosu gesla se nam v terminalu prikaže pozdravno besedilo, ki nam pove, da je oddaljeni sistem pripravljen za izvajanje naših ukazov.
Zaženite namestitveni skript Wireguard kot skrbnik (korenski uporabnik).
sudo ./initial.sh
Postopek namestitve bo zahteval določene podatke, potrebne za konfiguracijo Wireguarda
4.1.3.1. Vnos priključne točke
Vnesite zunanji naslov IP in odprite vrata strežnika Wireguard. Zunanji naslov IP strežnika smo dobili v koraku 2.2.3 in odprli vrata v koraku 2.1.5. Označimo jih skupaj in jih na primer ločimo z dvopičjem 4.3.2.1:54321in nato pritisnite tipko Vnesite Vzorec izhoda:
Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321
4.1.3.2. Vnos notranjega naslova IP
Vnesite naslov IP strežnika Wireguard v varnem podomrežju VPN; če ne veste, kaj je, preprosto pritisnite tipko Enter, da nastavite privzeto vrednost (10.50.0.1) Vzorec izhoda:
Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):
4.1.3.3. Določanje strežnika DNS
Vnesite naslov IP strežnika DNS ali samo pritisnite tipko Enter, da nastavite privzeto vrednost 1.1.1.1 (Cloudflare javni DNS) Vzorec izhoda:
Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):
4.1.3.4. Določanje vmesnika WAN
Nato morate vnesti ime zunanjega omrežnega vmesnika, ki bo poslušal notranji omrežni vmesnik VPN. Samo pritisnite Enter, da nastavite privzeto vrednost za AWS (eth0) Vzorec izhoda:
Enter the name of the WAN network interface ([ENTER] set to default: eth0):
4.1.3.5. Določanje imena stranke
Vnesite ime uporabnika VPN. Dejstvo je, da se strežnik Wireguard VPN ne bo mogel zagnati, dokler ne bo dodan vsaj en odjemalec. V tem primeru sem vpisal ime Alex@mobile Vzorec izhoda:
Enter VPN user name: Alex@mobile
Po tem se mora na zaslonu prikazati koda QR s konfiguracijo novo dodanega odjemalca, ki jo je treba prebrati z mobilnim odjemalcem Wireguard v sistemu Android ali iOS, da ga konfigurirate. Tudi pod kodo QR bo prikazano besedilo konfiguracijske datoteke v primeru ročne konfiguracije odjemalcev. Kako to storiti, bomo obravnavali spodaj.
4.2. Dodajanje novega uporabnika VPN
Če želite dodati novega uporabnika, morate izvesti skript v terminalu add-client.sh
sudo ./add-client.sh
Skript zahteva uporabniško ime: Vzorec izhoda:
Enter VPN user name:
Prav tako se lahko imena uporabnikov posredujejo kot parameter skripta (v tem primeru Alex@mobile):
sudo ./add-client.sh Alex@mobile
Kot rezultat izvajanja skripta v imeniku z imenom odjemalca vzdolž poti /etc/wireguard/clients/{ИмяКлиента} ustvarjena bo konfiguracijska datoteka odjemalca /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, zaslon terminala pa bo prikazal kodo QR za nastavitev mobilnih odjemalcev in vsebino konfiguracijske datoteke.
4.2.1. Uporabniška konfiguracijska datoteka
Vsebino datoteke .conf lahko prikažete na zaslonu za ročno konfiguracijo odjemalca z ukazom cat
[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом
[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все - 0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения
4.2.2. Koda QR za konfiguracijo odjemalca
Z ukazom lahko prikažete konfiguracijsko kodo QR za predhodno ustvarjenega odjemalca na zaslonu terminala qrencode -t ansiutf8 (v tem primeru je uporabljen odjemalec z imenom Alex@mobile):
Z desnim klikom ustvarite besedilno datoteko na namizju.
5.2.2. Kopirajte vsebino konfiguracijske datoteke s strežnika
Nato se vrnemo na terminal Putty in prikažemo vsebino konfiguracijske datoteke želenega uporabnika, kot je opisano v koraku 4.2.1.
Nato z desno miškino tipko kliknite konfiguracijsko besedilo v terminalu Putty, ko bo izbira končana, bo samodejno kopirana v odložišče.
5.2.3. Kopiranje konfiguracije v lokalno konfiguracijsko datoteko
V tem polju se vrnemo v besedilno datoteko, ki smo jo prej ustvarili na namizju, in vanjo prilepimo konfiguracijsko besedilo iz odložišča.
5.2.4. Shranjevanje lokalne konfiguracijske datoteke
Shranite datoteko s pripono .conf (v tem primeru imenovano london.conf)
5.2.5. Uvažanje lokalne konfiguracijske datoteke
Nato morate konfiguracijsko datoteko uvoziti v program TunSafe.
5.2.6. Nastavitev povezave VPN
Izberite to konfiguracijsko datoteko in se povežite s klikom na gumb Connect.
6. Preverjanje, ali je bila povezava uspešna
Če želite preveriti uspešnost povezave prek tunela VPN, morate odpreti brskalnik in obiskati spletno mesto https://2ip.ua/ru/
Prikazani naslov IP se mora ujemati s tistim, ki smo ga prejeli v koraku 2.2.3.
Če je tako, potem tunel VPN uspešno deluje.
V terminalu Linux lahko preverite svoj naslov IP tako, da vnesete:
curl http://zx2c4.com/ip
Lahko pa preprosto obiščete pornhub, če ste v Kazahstanu.