センセーショナルな法律149-FZの発効に関連して、多くのHabrachiansには疑問があります:次に何が起こるのでしょうか? すべてをブロックするロシアのグレートチャイニーズファイアウォールの類似物は本当に存在するのでしょうか? このチュートリアルでは、情報の自由を確保するための最も効果的で安全な方法の1つ、つまり、海外にある独自のVPSサーバーを暗号化されたVPNトンネルを使用して接続することを検討します。 torやi2pとは異なり、送信される情報の機密性は保証されています。誰かがあなたのデータを解読したり、外国のサーバーを襲撃したりすることはまずありません(もちろんあなたがグローバルハッカーでない限り)。
どのVPSを選択しますか?
無料:)奇妙なことに、たとえば、私が使用している無料のVPSホスティングのリストがあります。 基本的に、これらはすべて1か月間の試用オプションですが、1か月以内に別の試用サービスを選択することを妨げるものは何もありません。リストはすばらしいです。 しかし、誰も何も保証しません。プライバシーを保証する必要がある場合は、オランダ、チェコ共和国、エジプト、その他の安全な州の有料サーバーを選択してください。 しかし、私はアメリカのサーバーを選択しました。最初は無料のサーバーの中で最も便利でした。次に、これはセキュリティだけでなく、Playストア(別の便利なアプリケーション)でNexus 7を購入するためにも計画されました。
また、「白い」IPアドレスの存在とサーバーを仮想化する方法を調べる必要があります。 後者は、私が選択した方法ではそれほど重要ではありませんが、分離されたカーネル(KVMなど)を備えたサーバーでモジュールが見つからない問題が通常ない場合、カーネルが一般的で変更不可能な場合(OpenVZなど)、テクニカルサポートに連絡する必要があります(以下を参照)。 また、登録するときは、debianのようなシステムを選択する方が適切です。より簡単で、以下の手順がそのために書かれています。 残りはあなたの好みのためです。
インストールと構成
最初の2つの段落を読み、VPSを検索して登録するのに約15分かかりましたが、同じ数字が残っていました。 vpsサーバーの受け取り/支払いが完了したら、それを使って何かをする必要があります。つまり、VPNを上げる必要があります。 このために、OpenVPNを使用しました-無料で、安全で、構成が簡単です。 人気のあるOpenVZに基づいてVPSを選択した場合は、TPに書き込み、iptables、NAT、およびtunサポートのモジュールを含める必要があります。最初の2つはすでに存在している可能性が高いですが、tunはほとんどありません。 テクニカルサポートが機能している間(私はそれがそれほど速くなく、重要な瞬間にVPSを再起動しないことを願っています、私は個人的に幸運です)、OpenVPNに接続し、インストールして構成します:
apt-get install openvpn
次に、2つの方法があります。高速で信頼性の高い方法です。
速い方法
この方法では静的なキーパスワードを使用しますが、安全ではありません。 キーを生成します。
cd /etc/openvpn
openvpn --genkey --secret static.key
それをコンピューターに保存し(cat + Ctrl-V)、/ etc / openvpn / tun0.conf構成を作成します。
/etc/openvpn/tun0.conf: dev tun0 ifconfig 192.168.1.1 192.168.1.2 secret /etc/openvpn/static.key
信頼できる方法
この方法では、サーバーでTLS / SSL暗号化が有効になりますが、構成に時間がかかります。 キッチンをコピーして、キーと証明書をopenvpnを使用してフォルダーに作成します。
cd /etc/openvpn
mkdir easy-rsa
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/
chmod -R +x easy-rsa/
スクリプトを初期化します。
cd easy-rsa/
source ./vars
./clean-all
CA証明書とキーを作成します。証明書情報を入力し、架空のものを入力するよう求められます。
./build-ca
サーバーの証明書/キーを作成します
./build-key-server server
SSL / TSL接続の暗号化用のキーを生成します
./build-dh
そして、自分用のキーを作成します。
./build-key myname
フォルダ/ etc / openvpn / easy-rsa / keysに必要なすべてのキーが含まれるようになりました。承認にはmyname.crt、myname.key(キー付きの証明書)、ca.crt(CA証明書)のみが必要です。
お気に入りのテキストエディター設定/etc/openvpn/tun.confを作成および編集します。
port 1194 proto udp # , proto tcp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt # cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 192.168.1.0 255.255.255.0 # , ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo # , persist-key persist-tun status /var/log/openvpn-status.log # log /var/log/openvpn.log verb 3 # push "dhcp-option DNS 8.8.8.8" # DNS
確認する
これで、OpenVPNサーバーを起動できます。
service openvpn start
すべてが成功したら、上記でダウンロードした証明書とキーを使用してサーバーに接続できます(サーバーで有効になっている場合は、クライアントでLZO圧縮を忘れないでください!)。 そうでない場合、ログは次のようになります
注:TUN / TAP dev / dev / net / tunを開くことができません:そのようなファイルまたはディレクトリはありません
これは、テクニカルサポートがうまく機能せず、tunモジュールを有効にしなかったことを意味します。 そして、すべてが順調であれば、VPSにpingを実行できますが、まだインターネットは存在しません。これにはNATが必要です。
echo 1 > /proc/sys/net/ipv4/ip_forward
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o venet0 -j SNAT --to-source SERVER_IP
別のサブネットを選択した場合は、192.168.1.0 / 24の代わりにサブネットを指定します。 venet0の代わりに、インターネットを参照するインターフェイス(hello ifconfig)を指定し、SERVER_IPの代わりに、VPSの外部IPアドレスを指定します。 これで、iptables設定を保存できます。
iptables-save > /etc/iptables.rules
/etc/rc.local内:
iptables-restore < /etc/iptables.rules
openvpnを起動して、openvpnサーバーを再起動します。
update-rc.d openvpn defaults
service openvpn restart
それだけです! 30分で管理できると言いましたか?