Як зробити свій власний безкоштовний VPN за допомогою веб-служб Amazon

Користувачі Інтернету розбещені на вибір, коли мова йде про послуги VPN, але вони або потребують щомісячної підписки, не захищені, або просто повільні. На щастя, альтернативи існують. Вони вимагають трохи більше технічного ноу-хау, але якщо ви хочете, щоб щось було зроблено правильно, ви повинні зробити це самостійно.

Щоб дізнатися, як зробити власну VPN, ви можете подивитися відео чи прочитати статтю. Зауважте, що стаття містить корисні команди та текст конфігурації, які ви можете скопіювати та вставити для зручності. Оновлення: у відео використовується стара версія easy-rsa, яка більше недоступна. Коли ви дістанетесь до 8-хвилинної позначки, зверніться до цієї статті для зручного налаштування rsa 3.

Починаємо

Веб-сервіси Amazon пропонують один рік безкоштовного віртуального серверного простору, якщо ви використовуєте менше заздалегідь заданої кількості пропускної здатності, часу та місця. Навіть якщо ви перейдете це обмеження, вартість запуску зображення сервера в Amala’s Elastic Compute Cloud, ймовірно, менша, ніж ви платите за підписку на VPN.

Тут ми пояснимо два різні способи використання сервісу Elastic Cloud від Amazon, який також називається EC2, для переадресації вашого зв’язку через вибране вами приватне місце розташування: тунелювання SSH та OpenVPN. У кожного є свої переваги та недоліки, тому використовуйте той, який ви вважаєте більш підходящим для ваших потреб. Незалежно від того, який ви вибрали, вам знадобиться наступне:

  • Обліковий запис веб-служб Amazon. Для цього потрібна кредитна картка, але з вас буде стягнуто плату лише за те, що ви використовуєте, що, ймовірно, буде нічого, якщо ви будете розсудливі у тому, що ви робите.
  • PuTTy, якщо у вас є Windows. OpenSSH через Cygwin – це ще один варіант, але я вважав, що це біль. На комп’ютерах Linux та Mac вже є вбудовані підказки SSH у свої коробки та термінали. Вам також знадобиться програма генерації сестринських ключів PuTTy, PuttyGen.
  • WinSCP або еквівалентний FTP-клієнт для переміщення файлів між локальним комп’ютером та інстанцією EC2.
  • Основні знання робочих команд Unix та те, як сервери працюють з клієнтами, будуть дуже корисними для усунення несправностей, якщо щось не піде так, як планувалося.
  • OpenVPN GUI, встановлений у стандартному розташуванні та з налаштуваннями за замовчуванням на вашому ПК

Налаштування AWS

Після того, як ви зареєструвалися в обліковому записі веб-служб Amazon, ось як запустити сервер, який ми будемо використовувати для своєї VPN ::

  1. Увійдіть до свого облікового запису веб-служби Amazon та перейдіть до інформаційної панелі EC2.
    aws vpn update 1
  2. У верхньому правому куті ви можете вибрати місце, де ми будемо налаштовувати вашу VPN. Клацніть Запустити екземпляр.ec2 vpn 1
  3. Виберіть те, що в Linux AMI вказано як “вільний рівень”. На момент написання цієї статті, це AMI Amazon Linux. Перейдіть до наступного кроку.ec2 vpn 2
  4. Тут виберіть екземпляр t2.micro, який також є вільним рівнем. Натисніть “Переглянути та запустити”.ec2 vpn 3
  5. На наступній сторінці натисніть кнопку Редагування груп безпеки.
  6. Вам потрібно буде відредагувати групу безпеки, щоб лише дозволити трафіку з вашого комп’ютера доступ до VPN або проксі. Ви повинні мати одне правило для підключення до свого сервера через SSH, яке ми використовуватимемо згодом. Нам потрібно додати ще одне, щоб дозволити підключення OpenVPN, які використовують порт 1194 за замовчуванням. Для простоти, під Вхідний натисніть на Додати правило кнопка. Встановіть Тип до Спеціальний UDP, то Дальність порту до 1194 рік, і Джерело до Куди завгодно.Кнопка правила додання групи безпеки2
  7. Удар Зберегти.Група безпеки EC2 в будь-якому місці до порту 1194
  8. Клацніть «Переглянути та запустити», а потім «Запустити» на наступній сторінці.
  9. Тепер вам потрібно створити пару ключів, яка працює на зразок пароля, який ви використовуєте для підключення до створеного віртуального сервера. Виберіть “Створити нову пару клавіш” зі спадного меню та назвіть її все, що завгодно. Натисніть кнопку, щоб завантажити пару ключів. Зберігайте його десь у безпеці.ec2 vpn 5
  10. Наступна сторінка повинна попереджати вас про те, що запускається екземпляр. Прокрутіть донизу та натисніть «Переглянути екземпляри». Тут ви побачите список усіх запущених екземплярів, які, якщо це ваш перший раз використання EC2, будуть просто одним.

Підключіться до сервера за допомогою PuTTy

Ми можемо підключитися до нашого екземпляра EC2 за допомогою PuTTy, але для початку нам знадобиться належний файл ключа. Коли ви встановили PuTTy, ви також повинні були встановити PuTTygen. Вперед і запустіть його зараз. І PuTTy, і PuTTygen запускаються прямо з вікна у вигляді .exe-файлів без необхідності встановлювати.ec2 vpn 7

  1. Відкрийте PuTTygen, натисніть Завантажити.
  2. Перейдіть до файлу пари ключів .pem, який ви завантажили раніше, і завантажте його в Puttygen. Вам доведеться вибрати опцію, щоб показати всі типи файлів, щоб відобразити клавішу .pem. Натисніть «Зберегти приватний ключ». Ім’я файлу має бути ідентичним ключу .pem. Ви можете створити парольну фразу для приватного ключа, якщо хочете.ec2 vpn 6
  3. Тепер закрийте PuTTygen і відкрийте PuTTy. Скопіюйте відкритий IP свого примірника з консолі EC2 в PuTTy. Введіть назву сеансу та натисніть зберегти.ec2 vpn 8
  4. На лівій панелі перейдіть до “Auth” під SSH. Натисніть кнопку перегляду внизу та перейдіть до приватного ключа, який ви щойно створили.
  5. Поверніться на головну сторінку сесії, назвіть і збережіть свій профіль сеансу, щоб ви могли швидко підключитися під час наступного використання PuTTy. Потім натисніть кнопку Відкрити.
  6. З’явиться підказка із запитом на ім’я користувача. Це залежить від типу сервера, який ви встановили на початку. Для Amazon Linux AMI це “ec2-користувач”.

SSH тунелювання (необов’язково)

Для початку ми просто збираємося перенаправляти веб-трафік через створений нами екземпляр за допомогою тунелювання SSH та проксі. Це швидкий і брудний спосіб обійти брандмауер або географічне блокування. Це не зовсім VPN – він найкращий для легкого веб-трафіку і не буде працювати з усім – але налаштувати його набагато простіше. Однак, налаштування тунелювання SSH абсолютно необов’язкове, тому сміливо переходьте до наступного розділу.

ec2 vpn 9

Відкрийте PuTTy та перейдіть до тунелів, боліючи ліворуч. Додайте порт 8080, вибравши Авто та Динамічний. Поверніться на сторінку сесії та натисніть кнопку Зберегти знову, щоб не потрібно було робити все це заново. Потім натисніть кнопку Відкрити.

ec2 vpn 10

Тепер ви підключені до свого сервера, але вам все одно потрібно прокладати трафік веб-браузера через нього. Якщо ви використовуєте Firefox, це можна зробити в налаштуваннях вашого браузера. Якщо ви користуєтеся Chrome, завантажте розширення Proxy Switchy. Якщо ви вважаєте за краще створити повністю функціонуючу VPN, а не просто проксі для свого браузера, перейдіть до наступного розділу зараз.

У Firefox:

  • Перейдіть до Інструменти > Параметри > Розширений > Мережа > З’єднання > Налаштування > Налаштування проксі-сервера вручну
  • Встановіть SOCKS Host як 127.0.0.1, а порт – 8080 (або будь-який інший параметр тунельного порту на PuTTy).
  • Клацніть OK, щоб зберегти

У Chrome Proxy Switchy

  • Сторінка налаштування повинна з’явитися, як тільки ви встановите розширення, або натисніть значок у верхньому правому куті Chrome і натисніть Опції.
  • Назвіть профіль, що вам подобається. У розділі “Ручна конфігурація” встановіть хост SOCKS на 127.0.0.1, а порт – на 8080 (або все, що ви встановите для тунельного порту в PuTTy. Залиште все інше порожнім.
  • Натисніть кнопку Зберегти, а потім знову натисніть на піктограму, щоб вибрати свій профіль проксі.

ec2 vpn 11

Вуаля! Зараз ваш трафік браузера здійснюється через екземпляр EC2. Це буде добре для основного перегляду, але деякі веб-сайти можуть зіткнутися з проблемами, а додатки, окрім вашого веб-браузера, все ще використовуватимуть пряме з’єднання. Щоб створити повну VPN, яка перенаправляє весь ваш інтернет-трафік, читайте далі.

Налаштуйте OpenVPN на сервері та клієнті

OpenVPN – це безкоштовний інструмент з відкритим кодом, який дозволить вам запускати повний VPN через ваш екземпляр Amazon EC2. Це означає, що весь ваш інтернет-трафік проходить через нього, а не лише ваш веб-браузер, як проксі вище. Настільні програми, такі як Steam або Spotify, краще працюють при такому підході.

ec2 vpn 12

Підключіться до свого екземпляра EC2 за допомогою PuTTy відповідно до наведених вище інструкцій. Перед вами повинен бути командний рядок, який говорить, що Amazon Linux AMI. Виконайте такі команди (введіть або скопіюйте / вставте їх та натисніть клавішу Enter):

sudo yum install -y openvpn
sudo modprobe iptable_nat
відлуння 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A РОЗМІСТАННЯ -s 10.4.0.1/2 -o eth0 -j МАСКВЕРДА
sudo iptables -t nat -A РОЗМІСТАННЯ -s 10.8.0.0/24 -o eth0 -j МАСКВЕРДА

Тут просто коротка примітка. Можливо, ви помітили на скріншоті, що я неправильно намагався завантажити та встановити OpenVPN, використовуючи команду “apt-get” замість “yum”. Деякі інші версії Linux все ще використовують apt-get, тому якщо yum не працює для вас, спробуйте скористатися цією командою:

sudo apt-get install -y openvpn

Під час встановлення OpenVPN в командному рядку спалахне купа тексту. Інші три команди встановлюють переадресацію IP, яка необхідна для роботи VPN.

Спосіб №1: Налаштування автентифікації PKI за допомогою easy-rsa (рекомендується)

У початковій версії цього підручника ми встановили OpenVPN зі статичним шифруванням та файлом .ovpn. Хоча це працює, він дозволяє підключати лише один пристрій одночасно, і той факт, що ви коли-небудь використовуєте одну клавішу, означає, що це менш безпечно. Тепер ми рекомендуємо читачам використовувати easy-rsa для налаштування автентифікації, яка є більш захищеною та дозволяє одночасно підключати будь-яку кількість пристроїв. Однак якщо ви хочете стару версію зі статичним шифруванням, перейдіть до неї, натиснувши тут.

Оновлення травня 2018 року: цю статтю оновлено для використання з easy-rsa 3.

Налаштування сервера OpenVPN та easyrsa

В ідеалі, ви б створили всі необхідні ключі та сертифікати на окремому пристрої від сервера VPN для максимальної безпеки. Однак це може бути дуже нудно, тому ми просто збираємося на сервері і клієнтські, і серверні дані, а потім переміщуємо файли туди, куди нам вони потрібні..

  1. Easy-rsa недоступний у списку пакетів yum за замовчуванням, тому нам потрібно буде включити EPEL repo, щоб встановити його. Введіть наступне в термінал PuTTy і натисніть Enter:
    • sudo yum встановити easy-rsa -y –enablerepo = epel
  2. Створіть простий каталог rsa у своєму каталозі встановлення OpenVPN. Скопіюйте файли з простої установки rsa (остання версія 3.0.3 на час написання) у новий каталог:
    • sudo mkdir / etc / openvpn / easy-rsa
      cd / etc / openvpn / easy-rsa
      sudo cp -Rv /usr/share/easy-rsa/3.0.3/*
  3. Тепер ми готові створити нашу службу сертифікації. Почніть з ініціалізації нового каталогу PKI (інфраструктури відкритого ключа), а потім побудуйте ключ авторизації сертифікатів.
    • судо ./easyrsa init-pki
      судо ./easyrsa build-ca
  4. Введіть парольну фразу PEM. Це не потрібно, але рекомендується. Якщо хтось якось захопить ваш CA, він не зможе створити ключі або підписати сертифікати без пароля.
  5. Вам буде запропоновано ввести загальне ім’я. Назвіть це все, що завгодно, або просто натисніть Введіть щоб залишити його як значення за замовчуванням.
  6. Далі ми створимо ключ Diffie-Hellman, який забезпечує ідеальну таємницю вперед:
    • судо ./easyrsa gen-dh
  7. Ця команда може зайняти деякий час. Він створить файл під назвою dh.pem. Після закінчення переходимо до облікових даних сервера. Для зручності ми не захистимо їх паролем, але ви, безумовно, можете це зробити, якщо ви хочете ще більш жорстку безпеку.
    • sudo ./easyrsa gen-req nopass сервера
  8. Удар Введіть залишити загальну назву як сервер. Після створення пари ключів підпишіть сертифікат:
    • sudo ./easyrsa sign-req сервер сервера
  9. Тип так щоб підтвердити і ввести свій пароль CA, якщо ви встановили його раніше.
  10. Тепер ми налаштуємо клієнта. Знову ж таки, ми не будемо встановлювати пароль, але вас запрошують. Зауважте, що якщо ви хочете налаштувати автоматичний запуск VPN, краще не встановлювати пароль.
    • ./ easyrsa gen-req client nopass
  11. Удар Введіть залишити загальну назву як клієнт. Тепер підпишіть його:
    • sudo ./easyrsa sign-req клієнт-клієнт
  12. Тип так щоб підтвердити і ввести свій пароль CA, якщо ви його встановили.
  13. Далі ми створимо ключ TLS для ідеальної таємниці вперед у OpenVPN, що гарантує, що дані минулого сеансу не можуть бути розшифровані, навіть якщо зловмисник отримає наш приватний ключ.
    • cd / etc / openvpn
      openvpn –genkey –secret pfs.key
  14. Зараз ми створили всі необхідні файли облікових даних. Далі ми створимо файл конфігурації сервера OpenVPN. Нижче ми вже написали для вас один текст, тому все, що вам потрібно зробити, – скопіювати та вставити, якщо ви дотримуєтесь їх з самого початку. Почніть з навігації до каталогу OpenVPN та створення нового файлу:
    • cd / etc / openvpn
      sudo nano server.conf
  15. Тепер ви перебуваєте в текстовому редакторі нано. Скопіюйте та вставте наступний конфігурацію та натисніть CTRL + O зберегти, Введіть для підтвердження та CTRL + X для виходу. (Підказка: ви можете вставити текст із буфера обміну в PuTTy, клацнувши правою кнопкою миші)
    • порт 1194
      proto udp
      dev tun
      ca /etc/openvpn/easy-rsa/pki/ca.crt
      cert /etc/openvpn/easy-rsa/pki/issued/server.crt
      key /etc/openvpn/easy-rsa/pki/private/server.key
      dh /etc/openvpn/easy-rsa/pki/dh.pem
      шифр AES-256-CBC
      auth SHA512
      сервер 10.8.0.0 255.255.255.0
      поштовх "перенаправлення-шлюз def1 bypass-dhcp"
      поштовх "dhcp-варіант DNS 8.8.8.8"
      поштовх "dhcp-варіант DNS 8.8.4.4"
      ifconfig-pool-зберігається ipp.txt
      keepalive 10 120
      comp-lzo
      персистент-ключ
      персист
      статус openvpn-status.log
      log-append openvpn.log
      дієслово 3
      tls-сервер
      tls-auth /etc/openvpn/pfs.key
  16. Тепер сервер налаштований. Нам просто потрібно запустити OpenVPN. Ми почнемо його як сервіс, так що навіть після закриття PuTTy він продовжуватиме працювати до тих пір, поки сервер не вимкнеться або ви вручну не закінчите службу.
    • послуга sudo openvpn start

Редагувати: Деякі читачі відзначають, що їх VPN-сервери перестають працювати після перезавантаження або обслуговування сервера. Це трапляється періодично із випадками мікрорівень EC2. Щоб цього не допустити, у розділі коментарів ми будемо використовувати команду та грамотний скрипт люб’язно Метта Дойла. Почніть з цієї команди:

sudo chkconfig openvpn на

Поки ви все ще в etc / openvpn, використовуйте nano server.sh щоб створити новий текстовий файл і вставити в нього таке:

#! / бін / ш
відлуння 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A РОЗМІСТАННЯ -s 10.4.0.1/2 -o eth0 -j МАСКВЕРДА
sudo iptables -t nat -A РОЗМІСТАННЯ -s 10.8.0.0/24 -o eth0 -j МАСКВЕРДА

Використовуйте CTRL + O врятувати і CTRL + X для виходу.

Команда забезпечить запуск OpenVPN, коли сервер завантажується, а сценарій забезпечить встановлення необхідних маршрутів у iptables, щоб дозволити трафік OpenVPN.

Налаштування клієнта OpenVPN та easyrsa

Тепер, коли сервер налаштований, нам потрібно налаштувати клієнта. Для цього нам доведеться перемістити необхідні сертифікати та файли ключів з нашого сервера на наш клієнтський пристрій. Оскільки PuTTy все ще відкривається і працює як root, нам спочатку потрібно змінити дозволи на ці файли, щоб ми могли отримати до них доступ. Ми також поставимо їх на одне місце, щоб полегшити все.

  1. Щоб отримати доступ до деяких із цих файлів, ми повинні бути користувачем root. Для цього введіть:
    • судо су
  2. Це зробить вас користувачем root і надасть адміністративні привілеї. Тепер введіть наступні команди. Остання команда знижує необхідні дозволи для доступу до цих файлів. Зауважте, що важливо змінити їх назад, коли закінчите.
    • cd / etc / openvpn
      ключі mkdir
      cp клавіші pfs.key
      cp /etc/openvpn/easy-rsa/pki/dh.pem
      cp /etc/openvpn/easy-rsa/pki/ca.crt
      cp /etc/openvpn/easy-rsa/pki/private/ca.key
      cp /etc/openvpn/easy-rsa/pki/private/client.key
      cp /etc/openvpn/easy-rsa/pki/issued/client.crt ключі
      chmod 777 *
  3. Щоб вилучити файли з нашого сервера та на наш ПК, ми будемо використовувати безкоштовну програму під назвою WinSCP. Просто використовуйте параметри встановлення за замовчуванням. Після цього з’явиться вікно, яке запропонує вам імпортувати дані про аутентифікацію вашого сервера з PuTTy. Виберіть той, який ми зробили вище, і продовжуйте.ec2 vpn 14
  4. Виберіть myvpn (або те, що ви назвали своїм) і натисніть кнопку Правка. Введіть користувач ec2 під ім’ям користувача. Клацніть на Вхід.
  5. Якщо ви не вперше використовуєте WinSCP, ви можете встановити файл .ppk, який ви використовували в PuTTy, натиснувши кнопку Редагувати і Розширений. Йти до SSH > Аутентифікація > Файл приватного ключа і перейдіть до свого файлу PPK.
  6. У полі імені хоста на головній сторінці ви можете ввести IP-адресу або домен вашого екземпляра EC2. Не забудьте зберегти свої налаштування, а потім натисніть Вхід.easyrsa 6
  7. У правій області перейдіть до каталогу, що містить ваші ключові файли, в цьому випадку / etc / openvpn / keyseasyrsa 7
  8. Виділіть шість потрібних файлів: client.crt, client.key, ca.crt, dh.pempfs.key, і ca.key (не відображається через оновлення статті). Попав зелений Завантажити кнопка. Насправді не важливо, куди вони йдуть на лівій панелі, поки вам не потрібні права адміністратора, щоб отримати доступ до неї. Для простоти ми розміщуємо файли на нашому робочому столі. Однак ви захочете зберігати файл ca.key десь у безпечному місці, наприклад, USB-накопичувачі.
  9. Останній вільний кінець, який нам потрібно зробити, – це останній видалення файлу ca.key з сервера. CA або сертифікаційний орган використовується для підписання клієнтських сертифікатів, і якщо це коли-небудь порушено, ви більше ніколи не можете довіряти сертифікатам, виданим цим CA. Хоча це не потрібно, щоб VPN працював, ми настійно рекомендуємо це робити, особливо якщо ви не встановили пароль для КА. Перш ніж видалити файл, переконайтеся, що ви маєте всі ключі та сертифікати для кожного пристрою, до якого потрібно підключитися. Якщо ви хочете додати більше пізніше, вам доведеться перемістити файл ca.key назад на сервер.
  10. Коли у вас надійно зберігається ключ CA, десь крім сервера, перейдіть у PuTTy і видаліть як оригінальний файл ca.key, так і копію, яку ми зробили з сервера:
    • sudo rm /etc/openvpn/easy-rsa/pki/private/ca.key
      sudo rm /etc/openvpn/keys/ca.key
  11. Після завантаження файлів нам потрібно відновити суворіші дозволи на сервері, щоб не кожен мав доступ до них. Ще в PuTTy:
    • cd / etc / openvpn / keys
      sudo chmod 600 *
  12. На своєму ПК виріжте та вставте ці п’ять файлів звідки б ви не завантажили їх у папку конфігурації OpenVPN. У цьому випадку це C: // Файли програм // OpenVPN // config.
  13. Нарешті, нам потрібно створити файл конфігурації клієнта. Відкрийте улюблений редактор простого тексту (Блокнот працює чудово), клацнувши правою кнопкою миші та вибравши правою кнопкою миші Запустити від імені адміністратора і вставте таку конфігурацію, замінюючи YOUR.EC2.INSTANCE.IP на IP-адресу вашого екземпляра EC2:
    • клієнт
      dev tun
      proto udp
      віддалений ВАШ.EC2.INSTANCE.IP 1194
      ca ca.crt
      cert client.crt
      ключовий client.key
      tls-версія-хв 1.2
      tls-шифр TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256: TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256: TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 : TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
      шифр AES-256-CBC
      auth SHA512
      резоль-повтор нескінченний
      auth-retry жоден
      неприв’язаний
      персистент-ключ
      персист
      сервер типу ns-cert
      comp-lzo
      дієслово 3
      tls-клієнт
      tls-auth pfs.key
  14. Це конфігураційний файл Windows для GUI OpenVPN, тому ми збережемо його як client.ovpn. Інші клієнти OpenVPN можуть замість цього використовувати розширення .conf. Незалежно від цього, переконайтеся, що ваш текстовий редактор не додає розширення .txt після збереження. Збережіть його в тому самому місці, що і ваш ключ та файли сертифікації: C: \\ Файли програм \\ OpenVPN \\ configeasyrsa 8
  15. Тепер запустіть OpenVPN GUI в режимі адміністратора, клацнувши його правою кнопкою миші та вибравши Запустити від імені адміністратора. Клацніть правою кнопкою миші на значку в системному треї та підключіться до клієнт конфігурацію, яку ми тільки що створили. Екран стану із завантаженням тексту буде блимати по екрану, а потім значок стане зеленим.

Вітаємо! Зараз ви підключені до домашнього VPN.

Спосіб №2: Статичне шифрування (простіше, але не рекомендується)

У цьому методі ми створимо загальний ключ для аутентифікації. Це схоже на файл, який діє як пароль. Простіше налаштувати, але лише дозволяє один пристрій підключити до VPN в будь-який час і є менш захищеним, ніж метод easy-rsa, описаний вище.

  1. У полі PuTTy введіть наступні команди та натисніть клавішу Enter:
    • cd / etc / openvpn
      sudo openvpn –genkey –secret ovpn.key
  2. Тепер ми створимо файл конфігурації сервера для нашої VPN. Введіть таку команду, щоб створити порожній текстовий файл у самому базовому текстовому редакторі всередині терміналу:
    • sudo nano openvpn.conf
  3. Введіть таку конфігурацію. Ви можете знайти більше варіантів на веб-сайті OpenVPN, якщо хочете пограти з цим пізніше, але переконайтеся, що знаєте, що ви робите спочатку.ec2 vpn 13
    • порт 1194
      proto tcp-сервер dev tun1
      ifconfig 10.4.0.1 10.4.0.2
      сервер статусу-tcp.log
      дієслово 3
      секретний ovpn.key
  4. Тепер натисніть CTRL + O (це буква “O” не нуль) і натисніть клавішу Enter, щоб зберегти файл. Потім натисніть CTRL + X, щоб вийти з текстового редактора. Повернувшись до командного рядка, пора запустити OpenVPN:
    • послуга sudo openvpn start
  5. Далі нам потрібно передати загальний ключ від сервера до локального комп’ютера. Спочатку нам потрібно змінити дозволи на цей файл, щоб ми могли отримати доступ до нього за допомогою наступної команди:
    • sudo chmod 777 ovpn.key
  6. Якщо в будь-який момент ви випадково закриєте PuTTy або він просто вискочить, ви можете повернутися до відкритого каталогу установки VPN після повторного підключення за допомогою цієї команди:
    • cd / etc / openvpn
  7. Щоб зробити це максимально простим, завантажте та встановіть це безкоштовне додаток WinSCP (Користувачам Mac доведеться знайти іншого FTP-клієнта. Не хвилюйтесь, їх багато). Просто використовуйте параметри встановлення за замовчуванням. Після цього з’явиться вікно, яке запропонує вам імпортувати дані про аутентифікацію вашого сервера з PuTTy. Виберіть той, який ми зробили вище, і продовжуйте.ec2 vpn 14
  8. Виберіть myvpn (або те, що ви назвали своїм) і натисніть кнопку Правка. Введіть “ec2-user” під іменем користувача. Клацніть на Вхід.ec2 vpn 15
  9. Тепер ви можете переміщувати файли між сервером екземпляра EC2 та локальним комп’ютером. На панелі праворуч перейдіть вгору, наскільки ви можете, а потім перейдіть до etc / openvpn. Тут ви знайдете потрібний нам файл ovpn.key. Клацніть та перетягніть його у вибрану папку, але пам’ятайте, куди ви її помістили, оскільки ми захочемо її перемістити пізніше.ec2 vpn 16
  10. Тепер, коли у вас є ключ, нам потрібно повторно застосувати старі дозволи, щоб не хто-небудь міг його захопити. Назад у своєму терміналі PuTTy введіть:
    • sudo chmod 600 ovpn.key
  11. Настав час завантажити клієнт OpenVPN та GUI на свій локальний комп’ютер. Перейдіть на сторінку завантажень OpenVPN і виберіть відповідну версію для вашої операційної системи. Встановіть його за допомогою стандартних налаштувань.
  12. Запустіть OpenVPN, і він повинен відображатися як значок у системному треї. Відкрийте провідник файлів і перейдіть до місця встановлення OpenVPN, ймовірно, у папці Program Files. Перемістіть файл opvn.key, який ми завантажили з сервера, у знайдену тут папку config (C: / Program Files / OpenVPN / config… якщо ви використовували каталог встановлення за замовчуванням у Windows).
  13. Далі нам потрібно створити конфігураційний файл для локальної машини, щоб він відповідав тому, який ми створили на нашому сервері. Відкрийте Блокнот і вставте наступне, замінивши IP-адресу після “віддаленого” на IP вашого екземпляра EC2 (якщо ви його забули, знайдіть його на консолі AWS у розділі Екземпляри EC2). Також двічі перевірте, чи правильний повний шлях до файлу, який вказує на ваш ключ.
    • proto tcp-клієнт
      віддалений
      порт 1194
      dev tun
      секрет "C: \\ Файли програм \\ OpenVPN \\ config \\ ovpn.key"
      перенаправлення-шлюз def1
      ifconfig 10.4.0.2 10.4.0.1
  14. Збережіть його як myconfig.ovpn (переконайтеся, що ваш текстовий редактор помилково не додає його як myconfig.ovpn.txt) у конфігураційну папку вашої установки OpenVPN, те саме, що і у файлі opvn.key.ec2 vpn 17
  15. Клацніть правою кнопкою миші на піктограму OpenVPN у системному треї та натисніть Вийти, щоб вийти. Тепер запустіть його знову – із ярлика робочого столу або з папки Файли програм – але цього разу скористайтеся правою кнопкою миші та натисніть «Запустити як адміністратор». Якщо ви не запустите OpenVPN в якості адміністратора в Windows, він, ймовірно, не спрацює.ec2 vpn 18
  16. Клацніть правою кнопкою миші піктограму системного трея та натисніть «Підключити». Графічний інтерфейс OpenVPN повинен з’явитися, показуючи вам стан з’єднання. Припускаючи, що він працював, значок системного лотка стане зеленим. Перейдіть до Google і введіть “Що таке мій IP?”, І він повинен повернути IP-адресу вашого інстанції Amazon EC2.ec2 vpn 19

Вітаємо, щойно ви створили власну VPN!

Додаткові нотатки

Якщо ви хочете захистити свій VPN від глибокої перевірки пакетів, методики, що застосовується режимами цензури в таких місцях, як Китай та Сирія для блокування з’єднань OpenVPN, ознайомтеся з нашим підручником із налаштування Obfsproxy. Зверніть увагу, що цей підручник був написаний як своєрідне продовження старого методу №2 у цій статті, тож якщо ви використовували easy-rsa, він потребує додаткової конфігурації.

Не забудьте дотримуватися пропускну здатність в межах вільного рівня Amazon. Найпростіший спосіб зробити це – клацнути правою кнопкою миші на своєму примірнику в консолі AWS і натиснути посилання «Додати / редагувати сигнали». Ви можете встановити ваш сервер зупиняти або навіть припиняти роботу через кілька годин бездіяльності. Безкоштовний рівень забезпечує 750 годин на місяць (що охоплює весь місяць), тому вам не потрібно цього робити. Ті користувачі, які минули свій початковий безкоштовний рік обслуговування або робили більше свого сервера, однак можуть запобігти зайві витрати за невикористаний час сервера.

Десь у цьому підручнику щось, ймовірно, піде не так для вас. Якщо ви дійсно хочете VPN, але не бажаєте займатися справою щодо усунення несправностей, можливо, найкраще вибрати платну VPN-послугу. Вони також дозволяють каналізувати інтернет-трафік через декілька географічних місць, тоді як екземпляр EC2 обмежений лише одним. Ознайомтеся з нашими відгуками VPN тут!

Жорстке кодування DNS-серверів у вашу VPN

Якщо вам потрібно встановити конкретні DNS-сервери для використання з VPN, є кілька варіантів.

Щоб “натиснути” DNS-сервер на клієнта, додайте цей рядок до конфігурації сервера. Це вплине на всі пристрої, які підключаються до вашої VPN (котирування включені):

поштовх "dhcp-варіант DNS 45.56.117.118"

Крім того, ви можете встановити DNS в індивідуальному конфігурації клієнта, використовуючи:

dhcp-варіант DNS 45.56.117.118

У цих прикладах я використовував відкритий DNS-сервер OpenNIC з анонімним веденням журналу, розташованим у США. Ви можете знайти сервер OpenNIC у вибраній країні та відфільтрувати такі функції, як анонімний журнал та DNSCrypt тут.

Особлива подяка блогу Dctr Watson, до якого я спирався як ресурс під час написання цієї статті.

Джон Уотсон (жодне відношення, я думаю) сприяв цій статті.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me