För vad?

Med den ökande censuren av Internet av auktoritära regimer, blockeras ett ökande antal användbara Internetresurser och webbplatser. Inklusive teknisk information.
Därmed blir det omöjligt att fullt ut använda Internet och kränker den grundläggande rätten till yttrandefrihet, som är inskriven i Den allmänna förklaringen om de mänskliga rättigheterna.

Artikel 19
Alla har rätt till åsikts- och yttrandefrihet; denna rätt innefattar frihet att ha åsikter utan inblandning och att söka, ta emot och förmedla information och idéer genom alla medier och oavsett gränser

I den här guiden kommer vi att distribuera vårt eget gratisprogram* i 6 steg. VPN-tjänst baserad på teknik Trådskydd, i molninfrastruktur Amazon Web Services (AWS), med ett gratis konto (i 12 månader), på en instans (virtuell maskin) som hanteras av Ubuntu Server 18.04LTS.
Jag har försökt göra denna genomgång så vänlig för icke-IT-personer som möjligt. Det enda som krävs är uthållighet i att upprepa stegen som beskrivs nedan.

Notera

• AWS tillhandahåller gratis användningsnivå under en period av 12 månader, med en gräns på 15 gigabyte trafik per månad.
• Den senaste versionen av denna manual finns på https://wireguard.isystem.io

stadier

1. Registrera dig för ett gratis AWS-konto
2. Skapa en AWS-instans
3. Ansluter till en AWS-instans
4. Wireguard-konfiguration
5. Konfigurera VPN-klienter
6. Kontrollerar korrektheten av VPN-installationen

Användbara länkar

• Automatiska installationsskript för Wireguard på AWS

1. Registrera ett AWS-konto

Att registrera sig för ett gratis AWS-konto kräver ett riktigt telefonnummer och ett giltigt kreditkort från Visa eller Mastercard. Jag rekommenderar att du använder virtuella kort som tillhandahålls gratis Yandex eller qiwi plånbok. För att kontrollera kortets giltighet dras 1 $ vid registreringen, som senare returneras.

1.1. Öppna AWS Management Console

Du måste öppna en webbläsare och gå till: https://aws.amazon.com/ru/
Klicka på knappen "Registrera".

1.2. Fylla i personuppgifter

Fyll i uppgifterna och klicka på knappen "Fortsätt".

1.3. Fyller i kontaktuppgifter

Fyll i kontaktuppgifter.

1.4. Ange betalningsinformation.

Kortnummer, utgångsdatum och namn på kortinnehavaren.

1.5. Konto verifikation

I detta skede bekräftas telefonnumret och 1 $ debiteras direkt från betalkortet. En 4-siffrig kod visas på datorskärmen och den angivna telefonen tar emot ett samtal från Amazon. Under ett samtal måste du slå koden som visas på skärmen.

1.6. Val av taxeplan.

Välj - Grundplan (gratis)

1.7. Logga in på hanteringskonsolen

1.8. Välja platsen för datacentret

1.8.1. Hastighetstestning

Innan du väljer ett datacenter rekommenderas att testa igenom https://speedtest.net hastighet för åtkomst till närmaste datacenter, på min plats följande resultat:

• Singapore
  
• Paris
  
• Frankfurt
  
• Stockholm
  
• London
  

Datacentret i London visar bäst resultat sett till hastighet. Så jag valde det för ytterligare anpassning.

2. Skapa en AWS-instans

2.1 Skapa en virtuell maskin

2.1.1. Välja en instanstyp

Som standard är t2.micro-instansen vald, vilket är vad vi behöver, tryck bara på knappen Nästa: Konfigurera instansdetaljer

2.1.2. Ställa in instansalternativ

I framtiden kommer vi att ansluta en permanent publik IP till vår instans, så i detta skede stänger vi av automatisk tilldelning av en offentlig IP och trycker på knappen Nästa: Lägg till lagring

2.1.3. Lagringsanslutning

Ange storleken på "hårddisken". För våra ändamål räcker det med 16 gigabyte, och vi trycker på knappen Nästa: Lägg till taggar

2.1.4. Sätta upp taggar

Om vi ​​skapade flera instanser skulle de kunna grupperas efter taggar för att underlätta administrationen. I det här fallet är denna funktionalitet överflödig, tryck omedelbart på knappen Nästa: Konfigurera säkerhetsgrupp

2.1.5. Öppna portar

I det här steget konfigurerar vi brandväggen genom att öppna de nödvändiga portarna. Uppsättningen av öppna portar kallas säkerhetsgruppen. Vi måste skapa en ny säkerhetsgrupp, ge den ett namn, beskrivning, lägga till en UDP-port (Custom UDP Rule), i fältet Rort Range måste du tilldela ett portnummer från intervallet dynamiska portar 49152-65535. I det här fallet valde jag portnummer 54321.

Efter att ha fyllt i nödvändiga uppgifter, klicka på knappen Granska och starta

2.1.6. Översikt över alla inställningar

På den här sidan finns en översikt över alla inställningar i vår instans, vi kontrollerar om alla inställningar är i ordning och trycker på knappen Starta

2.1.7. Skapa åtkomstnycklar

Därefter kommer en dialogruta som erbjuder att antingen skapa eller lägga till en befintlig SSH-nyckel, med vilken vi senare kommer att fjärransluta till vår instans. Vi väljer alternativet "Skapa ett nytt nyckelpar" för att skapa en ny nyckel. Ge den ett namn och klicka på knappen Ladda ner nyckelparför att ladda ner de genererade nycklarna. Spara dem på en säker plats på din lokala dator. När du har laddat ner klickar du på knappen. Starta instanser

2.1.7.1. Sparar åtkomstnycklar

Här visas steget att spara de genererade nycklarna från föregående steg. Efter att vi tryckt på knappen Ladda ner nyckelpar, sparas nyckeln som en certifikatfil med tillägget *.pem. I det här fallet gav jag den ett namn wireguard-awskey.pem

2.1.8. Översikt över instansskapande resultat

Därefter ser vi ett meddelande om den framgångsrika lanseringen av instansen vi just skapade. Vi kan gå till listan över våra instanser genom att klicka på knappen visa instanser

2.2. Skapa en extern IP-adress

2.2.1. Startar skapandet av en extern IP

Därefter måste vi skapa en permanent extern IP-adress genom vilken vi kommer att ansluta till vår VPN-server. För att göra detta, välj objektet i navigeringspanelen till vänster på skärmen Elastiska IP: er från kategori NÄTVERK & SÄKERHET och tryck på knappen Tilldela ny adress

2.2.2. Konfigurera skapandet av en extern IP

I nästa steg måste vi aktivera alternativet Amazonas pool (aktiverat som standard) och klicka på knappen Fördela

2.2.3. Översikt över resultatet av att skapa en extern IP-adress

Nästa skärm kommer att visa den externa IP-adressen vi fick. Det rekommenderas att memorera det, och det är bättre att till och med skriva ner det. det kommer att vara användbart mer än en gång i processen för att ytterligare konfigurera och använda VPN-servern. I den här guiden använder jag IP-adressen som exempel. 4.3.2.1. När du har angett adressen trycker du på knappen Stänga

2.2.4. Lista över externa IP-adresser

Därefter presenteras vi med en lista över våra permanenta offentliga IP-adresser (elastisk IP).

2.2.5. Tilldela en extern IP till en instans

I den här listan väljer vi IP-adressen vi fick och trycker på höger musknapp för att få fram en rullgardinsmeny. I den väljer du objektet associerad adressför att tilldela den till instansen vi skapade tidigare.

2.2.6. Extern IP-tilldelningsinställning

I nästa steg väljer du vår instans från rullgardinsmenyn och trycker på knappen Associate

2.2.7. Översikt över resultat för extern IP-tilldelning

Efter det kan vi se att vår instans och dess privata IP-adress är bundna till vår permanenta offentliga IP-adress.

Nu kan vi ansluta till vår nyskapade instans utifrån, från vår dator via SSH.

3. Anslut till en AWS-instans

SSH är ett säkert protokoll för fjärrkontroll av datorenheter.

3.1. Ansluter via SSH från en Windows-dator

För att ansluta till en Windows-dator måste du först ladda ner och installera programmet kitt.

3.1.1. Importera privat nyckel för Putty

3.1.1.1. Efter installationen av Putty måste du köra PuTTYgen-verktyget som medföljer för att importera certifikatnyckeln i PEM-format, i ett format som är lämpligt för användning i Putty. För att göra detta, välj objektet i toppmenyn Konverteringar->Importera nyckel

3.1.1.2. Välja en AWS-nyckel i PEM-format

Välj sedan nyckeln som vi tidigare sparade i steg 2.1.7.1, i vårt fall dess namn wireguard-awskey.pem

3.1.1.3. Ställa in alternativ för nyckelimport

I det här steget måste vi ange en kommentar för denna nyckel (beskrivning) och ange ett lösenord och bekräftelse för säkerheten. Det kommer att begäras varje gång du ansluter. Därför skyddar vi nyckeln med ett lösenord från olämplig användning. Du behöver inte ange något lösenord, men det är mindre säkert om nyckeln hamnar i fel händer. Efter att vi tryckt på knappen Spara privat nyckel

3.1.1.4. Sparar en importerad nyckel

En dialogruta för att spara fil öppnas och vi sparar vår privata nyckel som en fil med filtillägget .ppklämplig för användning i programmet kitt.
Ange namnet på nyckeln (i vårt fall wireguard-awskey.ppk) och tryck på knappen Behåll.

3.1.2. Skapa och konfigurera en anslutning i Putty

3.1.2.1. Skapa en anslutning

Öppna Putty-programmet, välj en kategori Session Test (den är öppen som standard) och i fältet värdnamn ange den offentliga IP-adressen för vår server, som vi fick i steg 2.2.3. I fält Sparad session ange ett godtyckligt namn för vår anslutning (i mitt fall wireguard-aws-london), och tryck sedan på knappen Save för att spara ändringarna vi gjorde.

3.1.2.2. Ställa in användarens autoinloggning

Mer i kategorin förbindelse, välj en underkategori Data och i fält Användarnamn för automatisk inloggning Skriv in ditt användarnamn ubuntu är standardanvändaren av instansen på AWS med Ubuntu.

3.1.2.3. Välja en privat nyckel för anslutning via SSH

Gå sedan till underkategorin Anslutning/SSH/Aut och bredvid fältet Privat nyckelfil för autentisering tryck på knappen Bläddra ... för att välja en fil med ett nyckelcertifikat.

3.1.2.4. Öppna en importerad nyckel

Ange nyckeln som vi importerade tidigare i steg 3.1.1.4, i vårt fall är det en fil wireguard-awskey.ppk, och tryck på knappen öppen.

3.1.2.5. Spara inställningar och starta en anslutning

Återgår till kategorisidan Session Test tryck på knappen igen Save, för att spara ändringarna vi gjorde tidigare i de föregående stegen (3.1.2.2 - 3.1.2.4). Och så trycker vi på knappen Öppen för att öppna den fjärranslutna SSH-anslutningen som vi skapade och konfigurerade.

3.1.2.7. Skapa förtroende mellan värdar

I nästa steg, första gången vi försöker ansluta, får vi en varning, vi har inte konfigurerat förtroende mellan de två datorerna och frågar om vi ska lita på fjärrdatorn. Vi trycker på knappen Ja, och lägger därmed till den i listan över betrodda värdar.

3.1.2.8. Ange ett lösenord för att komma åt nyckeln

Därefter öppnas ett terminalfönster, där du ombeds ange lösenordet för nyckeln, om du ställt in det tidigare i steg 3.1.1.3. När du anger ett lösenord sker ingen åtgärd på skärmen. Om du gör ett misstag kan du använda nyckeln Backsteg.

3.1.2.9. Välkomstmeddelande om lyckad anslutning

Efter att ha angett lösenordet visas en välkomsttext i terminalen som talar om för oss att fjärrsystemet är redo att utföra våra kommandon.

4. Konfigurera Wireguard Server

De mest uppdaterade instruktionerna för att installera och använda Wireguard med de skript som beskrivs nedan finns i förvaret: https://github.com/isystem-io/wireguard-aws

4.1. Installerar WireGuard

I terminalen anger du följande kommandon (du kan kopiera till urklipp och klistra in i terminalen genom att trycka på höger musknapp):

4.1.1. Kloning av ett arkiv

Klona förvaret med Wireguard-installationsskripten

git clone https://github.com/pprometey/wireguard_aws.git wireguard_aws

4.1.2. Byter till katalogen med skript

Gå till katalogen med det klonade förvaret

cd wireguard_aws

4.1.3 Köra initialiseringsskriptet

Kör som administratör (rotanvändare) installationsskriptet för Wireguard

sudo ./initial.sh

Installationsprocessen kommer att fråga efter vissa data som krävs för att konfigurera Wireguard

4.1.3.1. Anslutningspunkt ingång

Ange den externa IP-adressen och öppna porten på Wireguard-servern. Vi fick serverns externa IP-adress i steg 2.2.3 och öppnade porten i steg 2.1.5. Vi indikerar dem tillsammans, separerar dem till exempel med ett kolon 4.3.2.1:54321och tryck sedan på knappen ange
Exempel på utdata:

Enter the endpoint (external ip and port) in format [ipv4:port] (e.g. 4.3.2.1:54321): 4.3.2.1:54321

4.1.3.2. Ange den interna IP-adressen

Ange IP-adressen för Wireguard-servern på det säkra VPN-undernätet, om du inte vet vad det är trycker du bara på Enter för att ställa in standardvärdet (10.50.0.1)
Exempel på utdata:

Enter the server address in the VPN subnet (CIDR format) ([ENTER] set to default: 10.50.0.1):

4.1.3.3. Ange en DNS-server

Ange IP-adressen för DNS-servern eller tryck bara på Enter för att ställa in standardvärdet 1.1.1.1 (Offentlig DNS för Cloudflare)
Exempel på utdata:

Enter the ip address of the server DNS (CIDR format) ([ENTER] set to default: 1.1.1.1):

4.1.3.4. Specificerar WAN-gränssnittet

Därefter måste du ange namnet på det externa nätverksgränssnittet som ska lyssna på VPN:s interna nätverksgränssnitt. Tryck bara på Enter för att ställa in standardvärdet för AWS (eth0)
Exempel på utdata:

Enter the name of the WAN network interface ([ENTER] set to default: eth0):

4.1.3.5. Ange klientens namn

Ange namnet på VPN-användaren. Faktum är att Wireguard VPN-servern inte kommer att kunna starta förrän minst en klient har lagts till. I det här fallet skrev jag in namnet Alex@mobile
Exempel på utdata:

Enter VPN user name: Alex@mobile

Därefter ska en QR-kod med konfigurationen av den nyligen tillagda klienten visas på skärmen, som måste läsas med Wireguards mobilklient på Android eller iOS för att konfigurera den. Och även under QR-koden kommer texten i konfigurationsfilen att visas i händelse av manuell konfiguration av klienter. Hur man gör detta kommer att diskuteras nedan.

4.2. Lägger till en ny VPN-användare

För att lägga till en ny användare måste du köra skriptet i terminalen add-client.sh

sudo ./add-client.sh

Skriptet frågar efter ett användarnamn:
Exempel på utdata:

Enter VPN user name: 

Användarnas namn kan också skickas som en skriptparameter (i det här fallet Alex@mobile):

sudo ./add-client.sh Alex@mobile

Som ett resultat av skriptkörningen, i katalogen med klientens namn längs sökvägen /etc/wireguard/clients/{ИмяКлиента} klientkonfigurationsfilen kommer att skapas /etc/wireguard/clients/{ИмяКлиента}/{ИмяКлиента}.conf, och terminalskärmen visar en QR-kod för att ställa in mobila klienter och innehållet i konfigurationsfilen.

4.2.1. Användarkonfigurationsfil

Du kan visa innehållet i .conf-filen på skärmen, för manuell konfiguration av klienten, med kommandot cat

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected]

exekveringsresultat:

[Interface]
PrivateKey = oDMWr0toPVCvgKt5oncLLRfHRit+jbzT5cshNUi8zlM=
Address = 10.50.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = mLnd+mul15U0EP6jCH5MRhIAjsfKYuIU/j5ml8Z2SEk=
PresharedKey = wjXdcf8CG29Scmnl5D97N46PhVn1jecioaXjdvrEkAc=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 4.3.2.1:54321

Beskrivning av klientens konfigurationsfil:

[Interface]
PrivateKey = Приватный ключ клиента
Address = IP адрес клиента
DNS = ДНС используемый клиентом

[Peer]
PublicKey = Публичный ключ сервера
PresharedKey = Общи ключ сервера и клиента
AllowedIPs = Разрешенные адреса для подключения (все -  0.0.0.0/0, ::/0)
Endpoint = IP адрес и порт для подключения

4.2.2. QR-kod för klientkonfiguration

Du kan visa en QR-konfigurationskod för en tidigare skapad klient på terminalskärmen med kommandot qrencode -t ansiutf8 (i det här exemplet används en klient som heter Alex@mobile):

sudo cat /etc/wireguard/clients/Alex@mobile/[email protected] | qrencode -t ansiutf8

5. Konfigurera VPN-klienter

5.1. Konfigurera Android-mobilklienten

Den officiella Wireguard-klienten för Android kan vara installera från den officiella Google Play Butik

Därefter måste du importera konfigurationen genom att läsa QR-koden med klientkonfigurationen (se avsnitt 4.2.2) och ge den ett namn:

Efter att ha lyckats importera konfigurationen kan du aktivera VPN-tunneln. En lyckad anslutning indikeras av en nyckelförråd i systemfältet för Android

5.2. Windows-klientinstallation

Först måste du ladda ner och installera programmet TunSafe för Windows är Wireguard-klienten för Windows.

5.2.1. Skapar en importkonfigurationsfil

Högerklicka för att skapa en textfil på skrivbordet.

5.2.2. Kopiera innehållet i konfigurationsfilen från servern

Sedan återgår vi till Putty-terminalen och visar innehållet i konfigurationsfilen för den önskade användaren, som beskrivs i steg 4.2.1.
Högerklicka sedan på konfigurationstexten i Putty-terminalen, efter att valet är klart kommer den automatiskt att kopieras till urklippet.

5.2.3. Kopiera konfigurationen till en lokal konfigurationsfil

I det här fältet återgår vi till textfilen vi skapade tidigare på skrivbordet och klistrar in konfigurationstexten i den från urklipp.

5.2.4. Sparar en lokal konfigurationsfil

Spara filen med filändelsen .conf (i detta fall namngiven london.conf)

5.2.5. Importera en lokal konfigurationsfil

Därefter måste du importera konfigurationsfilen till TunSafe-programmet.

5.2.6. Konfigurera en VPN-anslutning

Välj den här konfigurationsfilen och anslut genom att klicka på knappen Kontakta.

6. Kontrollera om anslutningen lyckades

För att kontrollera framgången för anslutningen genom VPN-tunneln måste du öppna en webbläsare och gå till webbplatsen https://2ip.ua/ru/

Den visade IP-adressen måste matcha den vi fick i steg 2.2.3.
Om så är fallet, fungerar VPN-tunneln framgångsrikt.

Från Linux-terminalen kan du kontrollera din IP-adress genom att skriva:

curl http://zx2c4.com/ip

Eller så kan du bara gå till pornhub om du är i Kazakstan.

Källa: will.com