Мастерская

Как попасть в Америку. Создаём VPN-сервер в Amazon EC2

⇣ Содержание

#Настройка ddclient

Если вы никогда не имели дело с Linux-консолью, то лучше строго следовать нижеследующим инструкциям. Шаг влево, шаг вправо — расстрел (можете погубить ваш удаленный Linux). Чтобы не набирать вручную команды, можно просто копировать их отсюда — в PuTTY по нажатию правой клавиши в консоли автоматически вставляется последний скопированный текст. Для начала получим root-права. Вводим

sudo -s

и нажимаем Enter. Устанавливаем ddclient командой

apt-get install ddclient

Появится мастер конфигурирования ddclient. Выбираем www.dyndns.com.

Затем вводим логин и пароль от DynDNS.com.

Нажимаем Yes, а затем From list. Выбираем пробелом наше доменное имя (в нашем примере amazec2.dyndns-ip.com) и жмём Enter.

В принципе, уже сейчас можно пускать весь трафик через наш сервер. Для этого достаточно создать в текстовом редакторе BAT-файл следующего содержания:

c:\путь\до\putty.exe -l ubuntu -D 9999 amazec2.dyndns-ip.com -i c:\путь\до\файла.ppk

Вместо amazec2.dyndns-ip.com надо подставить свой домен DynDNS. После запуска BAT-файла в системе появится SOCKS-сервер. В настройках IE или браузера надо будет указать адрес прокси-сервера 127.0.0.1 и порт 9999. Однако такой способ не совсем удобен.

#Настройка pptpd

Устанавливаем VPN-сервер командой

apt-get install pptpd

Теперь его надо настроить. Отредактируем файл /etc/pptpd.conf командой

nano /etc/pptpd.conf

В конце есть строчки localip (адрес сервера) и remoteip (адреса клиентов), которые нужно привести примерно к такому виду:

Использовать именно подсеть 192.168.244.0 необязательно. Желательно, чтобы адресация вашей локальной сети не совпадала с адресацией, которую мы указали выше. Сохранить изменённый файл можно, нажав F2, затем Y и Enter. Также надо будет отредактировать файл /etc/ppp/pptpd-options командой

nano /etc/ppp/pptpd-options

Здесь надо будет прописать адреса DNS-серверов. Можно воспользоваться DNS вашего провайдера или использовать какой-нибудь общедоступный сервер. Находим строки с ms-dns и правим их. Например, вот так:

Для доступа к VPN-серверу надо задать логин и пароль.

echo "username pptpd password *" >> /etc/ppp/chap-secrets

Вместо username и password укажите соответственно выбранные вами логин и пароль. Можно дать доступ к VPN и другим пользователям. Для этого потребуется отредактировать файл /etc/ppp/chap-secrets, добавив в него аналогичные строки.

Перезапускаем pptpd командой

/etc/init.d/pptpd restart

и переходим к редактированию файла /etc/sysctl.conf:

nano /etc/sysctl.conf

В нём нужно будет «раскомментировать» (убрать символ # в начале строки) пункт net.ipv4.ip_forward=1.

Затем вводим ещё пару команд:

sysctl -p

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Наконец, осталось отредактировать файл /etc/rc.local, добавив в него перед строкой exit 0 последнюю команду.

nano /etc/rc.local

На этом настройка сервера закончена. Отключаемся от консоли:

exit

exit

#Настройка VPN-подключения в Windows 7

Заходим в «Панель управления» и выбираем «Центр управления сетями и общим доступом». Щёлкаем по пункту «Настройка нового подключения или сети». Выбираем «Подключение к рабочему месту» и нажимаем «Далее».

Жмём «Использовать мое подключение к Интернету».

В поле «Интернет-адрес» вводим наш домен в DynDNS (опять же, в нашем примере это amazec2.dyndns-ip.com) и как-нибудь называем наше VPN-соединение. Не забудьте поставить галочку напротив строки «Не подключаться сейчас, только выполнить установку для подключения в будущем».

Вводим наши логин и пароль для подключения к VPN-серверу (те самые, что были в команде echo "username pptpd password *" >> /etc/ppp/chap-secrets). Ставим галочку напротив пункта «Запомнить пароль». Нажимаем «Создать», а потом «Закрыть».

Теперь выбираем «Изменение параметров адаптера». Кликаем правой кнопкой по только что созданному соединению и выбираем пункт «Свойства».

В появившемся окне расставляем галочки так, как показано на скриншотах ниже, и жмём ОК.

 

Необходимо не забыть сменить шифрование на "тип шифрования: необязательно"

Всё, подключение готово. Дважды кликаем по нему и нажимаем «Подключение». После установки соединения ОС предложит выбрать размещение сети. Выберите «Общественная сеть» или «Сеть предприятия». Теперь с точки зрения внешнего мира мы находимся на территории США.

Дорогая, у меня для тебя сюрприз

#Заключение

В конце хотелось бы осветить несколько важных моментов. Учтите, что после установки VPN-соединения весь трафик будет проходить через него. Во избежание лишних трат рекомендуется отключить торрент-клиент и прочие программы, которые в фоновом режиме передают много информации. ПО, которое работает с Сетью, лучше запускать уже после включения VPN. К сожалению, по тем или иным причинам не все веб-сервисы могут корректно работать в таком режиме. Периодически наблюдаются проблемы с плеером Adobe Flash. Но в целом всё работает нормально.

Следить за объёмом потреблённого трафика можно в своём профиле. Для этого надо зайти на главную страницу AWS и в меню Account выбрать пункт Account Activity. В отчёте будет подробно расписано, сколько вы потребили из всех предоставляемых услуг на текущий момент. Счёт за услуги будет выставляться первого числа каждого месяца. Также следует отметить, что региональный трафик между дата-центрами Amazon оплачивается отдельно. Если вы превысите месячный лимит бесплатного трафика, то весь последующий объём передаваемой информации придётся оплачивать согласно стандартному прейскуранту (сейчас это 10 центов за гигабайт).

Что делать по прошествии года, когда закончится период бесплатного использования Amazon EC2? Ну, «обойти» это просто. Никто не мешает создать ещё один почтовый адрес, снова зарегистрироваться на Amazon и как «новому» клиенту воспользоваться условиями акции. (Если, конечно, к тому моменту всю эту лавочку не прикроют). С номером телефона тоже не должно возникнуть проблем. С банковской картой тоже всё просто. Можно, например, завести виртуальную карту или приобрести Visa Gift Card. Кстати, если вы переживаете, что Amazon вдруг начнёт бесконтрольно снимать деньги с вашего счёта, то можно сразу же воспользоваться предложенными методами. Тогда уж точно не будет лишних или непредвиденных затрат.

Если, несмотря на наши предостережения, вы все же решились провернуть эту операцию — поздравляем, теперь вы можете хотя бы в Интернете почувствовать себя жителем страны с дешевым бензином и высокими зарплатами, а также пользоваться всеми сетевыми благами, доступ к которым за пределами этой страны, скажем так, затруднен.

Важная информация для тех, кто использует AMI за номером ami-c2a255ab

Сегодня Amazon прислал письмо следующего содержания:

Hello,

It has recently come to our attention that a public AMI in the US-East region is being distributed with an included SSH public key that will allow the publisher to log in as root. Our records indicate that you have, or have had, instances launched from this AMI.

Compromised AMI: ami-c2a255ab

Your AWS Account ID: 915416862125

Your Instance ID(s): i-bxxxxxx

It is our recommendation that you consider instances based on this AMI compromised and immediately migrate your services to a new instance based on a different AMI. We are in the process of disabling the compromised AMI but it is possible that it will still be available by the time you receive this. You should not launch new instances from this AMI.

While you are migrating your services to a new instance we also recommend that you disable the offending SSH key. To do so, remove the following text from the '/root/.ssh/authorized_keys' file on each running instance:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCU8QRvONa/Rv4mXSDMVFX7EnIiJd2nuQ0mUHPTGNUCq0PjyNemjXTLztxfbA9q8+
S9T7q/
1UJG3dp49EzE1Gq8KAQm6vmSn80pPrm3hTHAmiBboIZzoqv6PSedkUvZyqqBn1NK0VZxGH7JvsagW95R2AfTd
EwdXRjorxtPzi/
MpYdoOzM41yzysyjmIZYdeOcZLliLfv9B31lTaFY2RfxpJ4TWlKh1Fo4Iy
Uyd3uyih17ucbKiSdJ2G5iYS01wL18o9Ett8cyjtrYXDewEsGtrL0taQMuPpiD66+HE37k4GWwNho6vsMSO1qbeTY431EQSaIrr/
SKn8ToqnnLBy6On guru

We're sorry for any inconvenience this may have caused.

Best regards,

The Amazon EC2 Security Team

This message was produced and distributed by Amazon Web Services LLC, 410 Terry Avenue North, Seattle, Washington 98109-5210

Вкратце суть письма заключается в том, что в образе AMI под номером ami-c2a255ab обнаружена критическая уязвимость. Именно этот образ использовался нами изначально в статье “Как попасть в Америку. Создаём VPN-сервер в Amazon EC2”. В настоящее время в тексте статьи указан другой образ. Если же вы уже успели воспользовался советами из статьи и установили ami-c2a255ab рекомендуется немедленно сделать следующие действия.

Подключитесь с помощью PuTTY к консоли удалённого сервера и введите команду

sudo nano /root/.ssh/authorized_keys

В открывшемся файле удалите строку, которая указана в письме – ssh-rsa AAAAB3N […]y6On guru. Это должна быть первая строка в файле, но на всякий случай убедитесь в этом. Если вы не создавали дополнительных ключей для авторизации, то в файле должна остаться только одна строка с ключом, который нам выдал Amazon при создании сервера. Сохраните файл (F2, Enter) и выходите (Ctrl+X). Аналогичным образом необходимо отредактировать ещё один файл:

sudo nano /home/ubuntu/.ssh/authorized_keys

Суть уязвимости в том, что автор образа случайно или преднамеренно оставил возможность получить доступ к любой системе на базе этого AMI с помощью собственного ключа. Скорее всего это просто оплошность, но тем не менее неплохо было бы посмотреть логи авторизации на сервере командами:

grep Accepted /var/log/auth.log*

zcat /var/log/auth.log.?.gz | grep Accepted

Посмотрите, нет ли в выводе каждой команды авторизации с подозрительного IP-адреса (например, не принадлежащего вашему провайдеру) или под другим именем пользователя. На строчку, начинающуюся с Nov 1 03:21:52 обращать внимания не стоит.

 
← Предыдущая страница
⇣ Содержание
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
⇣ Комментарии
window-new
Soft
Hard
Тренды 🔥