VPN в каждый дом или как приручить Дракона
Ниже я расскажу о том, как заменить ваш VPN провайдер собственным сервером, развернутым на DigitalOcean с использованием WireGuard.
Вы не знаете что они делают с вашими данными.
Очень мало VPN провайдеров прошли сторонний аудит и почти никто их них не открывает свой код.
Даже в случае открытого кода и пройденного аудита, для параноиков вопрос про то, что же происходит на стороне провайдера — остается открытым. В чем главная проблема VPN провайдеров?
Решение достаточно простое — развернуть свою VPN ноду.
Я хочу сделать это просто
В сети существует достаточно много статей о том, как настроить WireGuard, вот некоторые из них:
Но что, если я просто хочу установить WireGuard, без глубокого изучения документации?
Я просто хочу наиболее простым и быстрым способом развернуть VPN сервер и начать использовать его.
Все что мне нужно от инфраструктуры:
- 1 сервер
- 5–10 клиентов для меня и моих близких
Ниже — инструкция, как сделать это быстро и просто.
Создайте дроплет
Сначала вам нужно создать новый дроплет на DigitalOcean: https://www.digitalocean.com/docs/droplets/how-to/create/
04, который стоит 5$ в месяц. Мне подходит самый простой c Ubuntu 18.
Не забудьте добавить свой SSH ключ, чтобы иметь доступ к дроплету: https://www.digitalocean.com/docs/droplets/how-to/add-ssh-keys/
Вы можете выбрать любой облачный сервис на ваш вкус. Замечание. DigitalOcean — не единственно возможный вариант.
Установите сервер WireGuard и создайте все необходимые конфигурации
Чтобы создать все необходимые конфигурации автоматически, вы можете использовать скрипт: wg-ububtu-server-up.sh, который:
- установит весь необходимый софт
- настроит правила iptables и включит IPv4 forwarding
- создаст серверную конфигурацию и необходимое количество клиентских конфигураций
- запустит WireGuard
Установите соединение с дроплетом через SSH и выполните следующие команды, чтобы скачать и запустить скрипт (используйте IP адрес вашего дроплета, вместо xxx.xxx.x.xx):
ssh root@xxx.xxx.x.xx wget https://raw.githubusercontent.com/drew2a/wireguard/master/wg-ububtu-server-up.sh
chmod +x ./wg-ububtu-server-up.sh ./wg-ububtu-server-up.sh 10 # цифра 10 означает "создай 10 клиенских конфигураций"
После выполнения скрипта, сервер WireGuard будет установлен, запущен и готов к работе с клиентами.
Признак корректного запуска WireGuard — после отработки скрипта, вы должны увидеть в консоли что-то похожее на:
interface: wg0
public key: +xxxEjj1qmxxxotq4OxxxfHPaxxxtre5xxxxOfxxw=
private key: (hidden)
listening port: 51820 peer: d1exxxLdCZcYxxxIQ0xxxxK/Wpx8G1N8xxvnUrxxxx=
allowed ips: 10.0.0.2/32 peer: fWExxxazRxxxUOxxxx4JKgUTxxo9LaxxxxOGWtxxK0w=
allowed ips: 10.0.0.3/32 ... peer: RbmxxxDxOoXMxxxcyate6xxxinIClxxDgRDxxxx0j0=
allowed ips: 10.0.0.10/32
Скрипт так же создаст 10 клиентских конфигураций [client1.conf…client10.conf], которые вы можете использовать по одной конфигурации для одного устройства (в один момент времени).
Конфигурации лежат в дроплете, в папке: $HOME/wireguard/
В следующей статье, если к этому будет интерес, я расскажу о происходящей внутри скриптов магии. Замечание. Вы можете сконфигурировать WireGuard вручную, без использования скрипта, но тогда это не подходит под определение "быстро" и "без глубокого изучения документации".
Соглашусь, но обращу ваше внимание на то, что в предложенных скриптах всего 100 строк кода и легко проверить, что никакого криминала в них нет. Замечание2. Вы сможете резонно заметить, что еще проще — использовать уже готовый образ в том же самом DO и не запускать никакие скрипты. В готовом образе это сделать сложнее.
Если у вас Windows, используйте winscp, PuTTY или другое подобное приложение. Замечание3. Команда для установки соединения с дроплетом (ssh) работает в *nix подобных операционных системах.
Устанавливаем десктопный клиент
Скачайте десктопное приложение WireGuard с сайта https://www.wireguard.com/install/ и установите его.
Скачайте клиентский конфиг (допустим, вы хотите использовать конфиг client1.conf) с вашего дроплета (используйте IP адрес вашего дроплета, вместо xxx.xxx.x.xx):
scp root@xxx.xxx.x.xx:"~/wireguard/client1.conf" ~/Desktop/
Запустите десктопную версию WireGuard и импортируйте туннель из скаченной клиентской конфигурации (client1.conf).
Если у вас Windows, используйте winscp или другое подобное приложение. Замечание. Команда для скачивания (scp) работает в *nix подобных операционных системах.
Замечание2. Вы можете использовать также версию WireGuard без GUI и использовать те же самые клиентские конфигурации.
Установите клиент для мобильного телефона
Установите приложение WireGuard через AppStore или PlayMarket.
Запустите его и импортируйте VPN туннель через QR код.
Как получить QR код
Вы можете сгенерировать QR код, подключившись к дроплету (используйте IP адрес вашего дроплета, вместо xxx.xxx.x.xx) и выполнив команду (в случае, если вы будете использовать клиентский конфиг client2.conf):
ssh root@xxx.xxx.x.xx qrencode -t ansiutf8 < ~/wireguard/client2.conf
Спасибо.