Comments 135
Причем имеете не только право, но и возможность его высказать совершенно безопасно, несмотря на то, что чекистскую хунту обвиняют в покушении на свободу слова не первый десяток лет.
Удивительная непоследовательность чекистской хунты и удивительная нетребовательность к обоснованиям у вас.
Свобода заканчивается там, где начинается насилие над другими людьми. Укажите пожалуйста, в каком месте статьи автор насилует кого-либо?
Самые большие злодеяния в истории человечества, были совершенно законны.
Я понимаю что декларация прав человека это как бы не закон, но всё одно зря.
Что-бы человечество не написало в законах, реальный мир, от этого не изменится.
добавлю насчёт амазона, что назначение elastic ip здесь несколько излишне – амазон будет брать за него деньги если машинку остановить, не освободив адрес. автоназначенные IP ничем не хуже, только амазон сразу заберёт его обратно если машинку остановить (ребут не считается остановкой) – и не будет брать денег… так что мой совет на 2.1.2 оставить настройки по умолчанию и полностью пропустить 2.2…
второй совет – полученный айпишник сразу проверить на телеграмовском боте @rknblockbot – хоть подсети амазона и разблокировали, отдельных айпишников в блоке осталось огромное множество, и время от времени они пользователям выпадают. если айпишник был автоназначен – достаточно остановить и снова запустить машинку. если используется elastic ip – его надо release-нуть и выделить заново…
третий совет – история показывает, что амазон могут заблокировать целиком или частично в любой момент, и особенно подвержены блокировкам как раз регионы, которые удобны для размещения VPN пользователей из России – Лондон и Франкфурт. кроме того часто влетают в блок адреса из стандартного региона – Северной Вирджинии и почему-то Огайо. я бы вообще не пользовался для VPN амазоном – для него подойдёт любой самый дешёвый KVM. можно подобрать на lowendbox.com любой в Европе с достаточно большим лимитом на трафик – и настроить его точно таким же образом…
Учту ваши замечания в следующей версии скрипта и документации. Или ссылку дам на этот комментарий.
Деньги за EIP берутся только в случае если он не прикреплен к инстансу
Wireguard позволяет клиентам общаться друг с другом, т.е. можно построить защищённую виртуальную сеть и иметь удалённый доступ одновременно ко всем своим хостам, можно разграничить её (например, чтобы ноутбук мог ходить на рабочий компьютер и домашний сервер, а рабочий компьютер домашний сервер не видел).
На своем сервере пришлось создать два интерфейса: один для домашнего роутера, чтобы ospf работал, другой — для телефонов/ноутбуков.
У wireguard'а есть одна проблема: если указать на сервере пиру в AllowedIps 0.0.0.0/0, то будет ходить мультикаст
мультикаст?
в амазоне?
вы шутите?
Будем надеяться, что нам не отключат оплату картами. Это будет один из самых действенных методов по части борьбы с VPN имхо.
Опять же, то, что при регистрации говорится, что аккаунт бесплатный — это не значит, что бесплатно будет все. Об этом тоже стоит сказать. Я в свое время забыл отключить два белых IP-адреса, на которых тестил работу. За ночь, пока они висели, пришлось заплатить пару долларов.
По поводу подтверждения аккаунта добавлю немного от себя. Год назад регил также бесплатный аккаунт для учебы. Спустя пару минут его заблокировали и попросили прислать в качестве подтверждения адреса фото какого-нибудь документа, где видно мое имя и мой почтовый адрес. Я отправил им фото квитанции за коммунальные услуги) После этого аккаунт разблокировали. Спрашивал потом у ребят в группе, у всех было примерно то же самое.
Если вы пишете статью, ориентированную на людей «далеких от ИТ», то было бы здорово добавить информацию о том…Мне кажется, это совсем отдельная тема и лучше найти мануал конкретно по ней, чем превращать эту статью в глобальный справочник по AWS.
Иначе есть риск в один прекрасный день обнаружить на своем аккаунте кучу машин и получить за это немаленький счет, как это было в статье
Вопрос безопасности осветить нужно обязательно, 12к$ не шутки.
Не понял, зачем надо было клонировать git? На сайте проекта есть репозиторий, его можно подключить и устанавливать обычным способом, через apt-get.
Рекомендую все до 4 пункта — убрать под спойлер, ибо там все совсем для домохозяек. Ясное дело, это тоже полезно, но на этом ресурсе, скорее не обязательно. Если кто даст ссылку на статью далекому от всего этого человеку — то подробный мануал он найдет под спойлером, а если человек в теме, он не будет скроллить простыню скринов.
Ну или сделайте оглавление и расставьте якоря по статье.
То есть при переходе с LTE на WiFi и обратно телефон просто продолжает работать.
В случае с OpenVPN получается соединение секунд на 15.
Да, еще значительно меньшая нагрузка на проц. После подключения wireguard телефон стал разряжаться на 10% в день больше. OpenVPN отжирал 30-40%
Только что проверил на смарте. К DO, в данный момент, коннектится секунды 4 и это долго по моему, к ITLDC меньше секунды и это нормально.
Плюс скорость все же чуток повыше, чем через ovpn (хоть и не в разы)
Вопщем, выбор странный и мне, как не специалисту — непонятен. Клиент для ОпенВПН откуда угодно можно скачать, все привычно и стандартно.
dev tap
tls-client
client
resolv-retry infinite
redirect-gateway def1
nobind
ca ca.crt
cert cert.crt
key cert.key
tls-auth ta.key 1
comp-lzo
ns-cert-type server
verb 3
cipher AES-128-CBC
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 195.***.***.*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=ChangeMe
Validity
Not Before: Apr 20 10:02:29 2018 GMT
Not After : Apr 17 10:02:29 2028 GMT
Subject: CN=itlds-01
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Subject Key Identifier:
X509v3 Authority Key Identifier:
DirName:/CN=ChangeMe
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage:
Digital Signature
Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN
Static key V1-----
</tls-auth>
Ключи и сертификаты поскипал, айпишник тоже.
Почему именно Wireguard? Чем он лучше обычного и привычного OpenVPN?
Тут есть ответы: https://habr.com/en/post/432686/
Я бы предложил, для людей далеких от ИТ, использовать protonVPN.
Бесплатный, рекламы нет, в плане проблем с безопасностью пока не засветился, ну и для работы надо просто поставить приложение и нажать кнопку Connect.
это действительно юзерфрендли.
Как уже выше писали, заблокируют амазон и опять это вас не спасет от блокировок. Так что решение сомнительное. К тому же вы палите все свои персональные данные амазону. Где гарантия, что амазон не предоставит их по запросу правоохранительных органов РФ?
Скорость даже до 20Мбит не дотягивает… смешно! Ну а чего вы хотели за бесплатно?
Не те цели вы себе поставили. Хотите бороться с блокировками? — вступайте в Пиратскую Партию России (вход бесплатный), участвуйте в митингах, да хоть в спорт-лото пишите… хоть как-то проявляйте свою гражданскую позицию!
На счет способов обхода блокировок РКН: сам по себе обход блокировки уже является противозаконным действием и за это могут привлечь (статью ищите сами, если не найдете, ожидайте что привлекут за создание и распространение вредоносного ПО, как это уже было с разработчиком хака для 1С). Так что если уж нарушать, так нарушать — качай [удалено], ломай забугорные роутеры, включай VPN на них — скорость, анонимность, бесплатно, не попадает в массовые блокировки, проще чем поднять AWS. Кстати обойтись можно и без хак-утилит, уже все взломано на 3wifi и Shodan.
К тому же вы палите все свои персональные данные амазону.
ув. кул-хацкер уверен, или просто так: абы набросить?
А так же советую почитать agreement по ссылке из чекбокса, который всегда надо отмечать не читая.
За обращение «ув.» я так и быть переведу для вас первые два подпункта гугл-переводчиком:
1.1 Основное. Вы можете получить доступ и использовать услуги в соответствии с настоящим Соглашением. Соглашения об уровне обслуживания и условия обслуживания применяются к определенным предложениям услуг. Вы обязуетесь соблюдать условия данного соглашения и все законы, правила и положения, применимые к использованию предлагаемых услуг.
1.2 Ваш аккаунт. Для доступа к сервисам необходимо иметь учетную запись AWS, связанную с действительным адресом электронной почты и действительной платежной формой. Если это явно не разрешено условиями обслуживания, вы создадите только одну учетную запись на адрес электронной почты.
Под законами может пониматься в том числе местное законодательство (обрати внимание на п.4.2). Под платежной формой понимается счет в банке, по которому вас смогут идентифицировать.
Еще советую обратить внимание на п.7.2b(ii)C, исходя из которого можно сделать вывод, что с правительствами они сотрудничают, в отличае от Telegram.
После прочтения задайте себе пару вопросов:
1. Может ли AWS получить доступ к ключам шифрования и вскрыть весь траффик?
2. Может ли AWS передать полученные данные по запросу правоохранительных органов?
И каким образом можно попасть на килобакс при работе в бесплатных лимитах ФриТир?Вы карту привязали при регистрации? Чекбокс на agreement поставили?
Вариант 1, на карте есть килобакс: Списание производится не сразу, а например раз в сутки. За сутки набежало траффика/нагрузки на килобакс, списали. Виртуалок на одном аккаунте может быть много.
Вариант 2, на карте нет килобакса, но он есть на соседнем счету: Подадут в суд Люксембурга, выиграют дело, претензию передадут ваш банк, банк спишет в их пользу.
Как уже сказали выше, зарезервировал Elastic IP для второго инстанса, а машину остановил. И за простой Elastic IP пришлось заплатить несколько центов. Плюс иногда забывал отключать на телевизионной приставке соединение (в Казахстане частенько Youtube и Facebook по вечерам блочат) и в итоге превышал к концу месяца лимит в 15 Gb, и пару центов тоже счета выставляли.
Чтобы не заботиться о лимитах, можно арендовать какой-нибудь VPS недорогой с безлимитным трафиком — установить этим же скриптом, и забыть об ограничениях.
Тут такой подход — включил — попользовался и отключилПробовал так делать, но постоянно куда-то лазить и дергать инстанс туда-сюда — настолько быстро надоедает, что проще оставить постоянно включенным и пользоваться им разумно, выключая клиент, а не сервер.
2. Через год финт с бесплатным vpn можно повторить. Для этого:
— я перевыпустил виртуальную карту, чтобы номер изменился (в яндекс-деньгах это бесплатно, но аккаунт должен быть идентифицированный)
— зарегистрировал новый аккаунт в amazon (c новой симки + новый e-mail, но не факт что новая симка необходима)
3. Чтобы меньше зависеть от elastic-ip адреса, который меняется как минимум раз в год, можно зарегать бесплатный домен в tk-зоне (dot.tk) и раздавать друзьям\родственникам vpn\proxy по доменному имени, а не ip-адресу. Эти tk-домены бесплатны 1 год, но за 2 недели до окончания срока, можно заходить в личный кабинет и продливать еще на год бесплатно.
Можно сказать даже что OpenVPN — это устаревшая технология. Но если и использовать, то уж лучше тогда не образ, я поднимал так же автоматически с помощью скрипта github.com/redgeoff/openvpn-server-vagrant
В Вашем случае, т.к. скорость до VPN-сервера сама по себе не велика, это может быть незаметно, но если условия позволяют рассчитывать хотя бы на 50-100 Мбит/с — то тут каждые 10 мс пинга очень сильно меняют картинку. Хотя Wireguard в этом случае заметно лучше OpenVPN справляется, да.
Лучше все реализовывать через Ansible, как это сделали в Streisand.
Про ElasticIP уже написали, но не упомянули про хороший сервис AWS Instance Scheduler позволяющий настроить запуск и остановку инстанса. При этом Вы можете держать до 3 инстансов в бесплатной версии AWS, запуская их с соблюдением условия общего времени работы 750 час. в месяц. Ну и еще один плюс при выключении и включении IP адрес AWS инстанса меняется, но доменное имя остается.
ГУёвая настройка (виндовая утилитка)…
Ставится на любой утюг легко и просто…
Хотя, пройдёт ли он через нат на стороне сервера — не знаю — скорее всего нет.
А… ну да. без софтового клиента «родной» протокол по 443 порту не прокатит.
Но всёравно 2 варианта — либо openvpn, либо l2tp/ipsec
Но вообще после openvpn, softether мне показался куда проще и приятнее и в установке, и в настройке.
Вообще на распберри чуть ли ни первой модели, на 4г флешки крутится дома. А тут — целая бубунта и 30 г диска.
А клиент на Андроиде обычный — ОпенВПН у обоих сервисов.
в итоге и то и то держу, ибо роутер не умеет ничего вроме OpenVPN(
настройка ipv6 на aws возможна, но кнопки «вкл» для этого нет :)
во-первых, ipv6 надо добавить в виртуальную сеть (vpc), в которой размещена машинка.
а) открываем отдельную консоль VPC (сверху services -> network and management -> vpc), потом б) идём в Your VPCs, выбираем свою сеть и нажимаем Actions -> Edit CIDRs. скорее всего там будет ipv4-сеть и для ipv6 будет 1 remaining рядом с кнопкой Add. в) жмём Add и получаем сеть /56
в этом месте думаем о том что ipv6-адреса у машинок всегда фиксированные и всегда публичные – то есть если на машинке есть что-то чувствительное и нет фаервола – через ipv6 туда смогут ходить все желающие…
после того как сетка выделена на сеть, её нужно раскидать на подсетки по AZ, идём в Subnets – тут можно «обработать» все subnets или только те, в которых запущены машинки (если лень :) ). так что г) выбираем subnet и жмём actions -> edit ipv6 cidrs. скорее всего там тоже будет 1 remaining. нажимаем Add – указываем числовой префикс (например 00) и получаем /64 на конкретный subnet. д) опять выбираем этот subnet и жмём actions -> modify auto-assign ip settings. там ставим галку чтобы автоматом назначать ipv6 всем новым машинкам, этот пункт опционален. теперь надо поставить ipv6 на маршрутизацию в интернет – е) выбираем слева route tables, выбираем табличку для своей vps и жмём actions -> edit routes, там жмём add route и указываем ::/0 в destination и в target копируем igw тот же что для ipv4-маршрута.
на этом настройка vpc закончилась, но уже запущенная машинка стоит без ipv6-адреса. ж) возвращаемся в ec2-консоль, выбираем машинку и жмём actions -> networking -> manage ip addresses. там в блоке ipv6 addresses нажимаем assign new ip и в поле оставляем auto-assign. нажимаем yes, update, закрываем диалог и – квест завершён! всем спасибо за внимание :)
ip -6 neigh add proxy client:ip:v:6 dev to_the_world
Ну а при пропадании туннеля нужно соответственно этот адрес удалить. Либо настроить ndppd на сервере.
Можно запускать хоть 10 виртуалок бесплатного уровня в разных датацентрах, но главное чтобы их совокупное время работы не превышало 750 часов.
Выше говорили о планировщике AWS, можно его настроить чтобы автоматом инстансы включались и отключались, и чтобы их общее время работы не превысило 750 часов.
Тоесть можно это просто добавить в скрипт и не заставлять пользователя разбираться.
Вот тут описано как
stackoverflow.com/questions/38679346/get-public-ip-address-on-current-ec2-instance
С помощью перечисленных здесь сетевых утилит и инструментов локализовать проблему, чтобы понять где затор.
У Wireguard вижу 3 недостатка, о которых скромно умалчивают все авторы мануалов:
1. Декстоп-клиент для Windows требует админских прав для установки соединения(!). Нет, на роутер установить нелья, пользователь работает на ноуте с разных мест.
2. В конфигурации можно указать адреса подсетей, куда нужно ходить "мимо туннеля", но нельзя указать "ходи через туннель только для вот этих адресов/доменов". Про опции PreUp, PostUp, PreDown, PostDown знаю, но ... см. п. 1
3. Если что-то случилось с сервером (пропал инет-канал до него, сам сервер остановлен или некорректно настроен) - клиент бодро подключается, не сообщая об ошибке (!), "заворачивая маршрутизацию на себя", и ... клиентское место остаётся без связи с внешним миром...
Бесплатный VPN сервис Wireguard на AWS