私有云如何搭建-在私有云虚拟主机上部署Wireguard VPN的详细指南
在本文中,我将详细的描述如何使用美国亚马逊公司的私有云服务,创建一个私有云虚拟主机,然后在该主机上安装目前最新,性能是目前所有VPN技术中最好的-Wireguard。
为什么你要使用私有云主机来构建自己的(VPN)
如果你身在中国,希望能持续地自由访问互联网,一定需要Plan B。因为,趋势显示,长城防火墙对VPN的封锁强度越来越大,即使你使用技术实力最强、最著名的VPN服务(如ExpressVPN和NordVPN),在一波接一波持续不断地封锁中,你使用的VPN服务也可能被墙。
在你的VPN服务商昼夜不停的工作,找到对付长城防火墙新一轮封锁的解决方案、让你能重新通过VPN实现互联网自由访问之前,Plan B能让你自由访问信息的能力不会中断。
我平时使用ExpressVPN和Surfshark,使用VPN.ac作为备份。同时,我还安装了免费的蓝灯(Lantern),并在美国亚马逊的Lightsail上安装了一台自己的Wireguard VPN服务器,作为自己的Plan B。
如果你跟我一样,除了使用高质量的VPN之外,还想部署自己的B计划。那么,你一定会对如何在美国亚马逊的私有云服务-Lightsail上安装Wireguard服务器的详细指南感兴趣。
什么是Wireguard
如果你关心翻墙技术和vnp(VPN),那么你一定听说过Wireguard。Wireguard是最近才出来的全新vnp(VPN)技术,其所有代码都是重新写的,所以非常精简,从而可以为你提供很快的VPN速度。
在Wireguard的概念里,没有服务器和客户端,通讯的双方都是对等,使用定义的网络通讯端口进行通讯。和传统的VPN技术相比较,如IPSec和OpenVPN,Wireguard要敏捷得多。因为Wireguard通讯双方的连接建立之后,你不需要再次重新连接。你可以到其官网去了解详细的信息:https://www.wireguard.com。
下面,我将详细的描述如何在美国亚马逊的私有云服务平台-Lightsail上,创建自己的私有云主机(服务器),做一些基本的设置之后,然后安装Wireguard,并安装和配置一台安卓手机。因为安卓手机和我搭建的私有云主机(服务器)之间的通讯是加密的,长城防火墙无法得知通信的内容,无法做出阻断通讯的决定,从而使我们得以成功翻墙,自由地访问互联网。不过,Wireguard也可以运行在Windows、Linux、FreeBSD、OpenBSD、macOS、iOS上。
第一个你必须保持警惕和避免的事情
在这里我想提醒你的是,在你构建的私有云主机(服务器)上安装Wireguard的时候,使用我这里提供的命令,我这里提供的命令都是Linux系统本身的命令,而不是使用命令去执行一个手稿代码文件(特别是中文社区中提供的这些安装代码)。因为会有很高的风险,在那些你并不知道的手稿代码中,会自动在你的服务器上安装未经你同意的部件和服务,或代码,然后使用你支付的数据带宽(3.5美元的数据限制为1TB/月)做有利于他方的事情。
更为严重的是,也许代码会收集你通过此私有云主机(服务器)进行上网活动,如你访问的网站,网站的页面,停留的时间,访问的时间,使用的设备,等等。如果你搜索一下,你就会发现在中文社区里,这样的事情发生过很多。甚至危害个人的安全。
自己安装VPN的优点和缺点
我使用Wireguard已经半年了,有一台手机在使用。因为是一个人专用,速度飞快,而且没有连接的问题,我总是将Wireguard连接的开关保持打开的状态,然后再也不去管它,无论手机重启还是关机,当你访问互联网时,它总是能为你提供VPN连接,非常的省心。
不过,因为你使用的云服务商提供的VPS,它们的IP地址一般都被流媒体服务商封锁,所以,一些流媒体服务你不能使用,比如Netflix,Disneyplus,Paramountplus……等等。不过因为你选择的云服务商的不同而状况有所不同,你需要自己去试。
好消息是,访问Youtube和Gemini,ChatGPT是没有问题的。
在你阅读Wireguard安装指南之前,让我们先了解一下美国亚马逊的私有云服务-Lightsail:
私有云服务-Lightsail
Lightsail是美国亚马逊提供的私有云主机服务(VPS),其私有云服务器运行在美国亚马逊的EC2上。你不需要去了解EC2。使用一种基于网页的交互界面,你就可以轻松地创建好一台私有云服务器(VPS)。
虚拟服务器的价格也很便宜,非Windows的平台,根据使用的CPU、内存、固态硬盘容量大小、流量的不同,价格从3.50美元/月到160美元/月不等。你可以去https://aws.amazon.com/lightsail/pricing/了解详情。
Lightsail支持Linux和Windows平台的虚拟服务器,因为需要向微软支付软件的费用,所以Windows平台的虚拟服务器要稍稍贵一些。
在本安装Wireguard的指南中,我使用的是最便宜的那种,基于Linux的虚拟服务器,3.50美元/月。而且,第一个月是免费的,当你安装和测试自己的VPN服务器时,这是一种最适合的方式。
在开始之前,你需要一个美国亚马逊的账户。如果你还没有,去https://aws.amazon.com注册一个。
私有云服务器创建
到这里https://lightsail.aws.amazon.com,使用你的美国亚马逊账户登录。然后点选Creat instance(创建实例)。
首先,你需要选择希望私有云服务器所在的地区:
下一步选择操作系统。我们不需要任何预装的应用程序,只需要一个操作系统。在本指南中,我选择使用Debian 9.5,这是Wireguard支持的操作系统之一。
之后,我们需要为SSH连接创建一个公用/私有钥匙(加密和解密数据需要的)。这是为了在你的计算机和私有云主机(服务器)之间建立起加密通讯,而钥匙对是用于加密和解密的。在你的个人计算机上,在命令行中输入如下的命令:
ssh-keygen -N "mysupersecretpassphrase" -t rsa -b 4096 -C "mydesktopcomputer" -f lightsail
口令(passphrase,在命令参数-N之后定义的)用于为你的私有钥匙提供保护。你使用任何你希望使用的字符代替它!此命令在当前目录中创建2个文件,一个是公用钥匙(lighsail.pub),一个是私有钥匙(lightsail)
如果你使用的是Windows,你可以使用PuTTY来完成为你生成公用/私有钥匙对的任务,请阅读《了解和使用SSH安全鑰匙》去了解具体怎么做。
这时,你在私有云主机(服务器)的创建页面上,点击“Change SSH key pair-修改SSH钥匙对”
然后点选”Upload New”
然后选择你在上面创建的公用钥匙文件,然后上载它
最后,选择私有云主机(服务器)的实例包,对于安装Wireguard来说,3.5美元/月的服务包已经足够了。
点击“Create-创建”按纽,稍稍等待一会,亚马逊会将私有云主机(服务器)准备好并启动它。默认情况下,每次你重启私有云主机(服务器),它都会得到一个新分配的IP地址。这是你不想要的状况,因为你不想在每次重启了私有云主机之后,都要更改IP地址去连接它。而在你去私有云管理平台你的账户出查看之前,你是不知道新分配的IP地址是什么的。
所以,我们要确保私有云主机(服务器)的IP地址是固定的。
为私有云主机(服务器)设定固定的IP地址
现在,我们就去为私有云主机(服务器)指定一个静态的固定IP地址。费用中已包含一个静态固定IP的费用。
在你的私有云主机(服务器)启动,运行之后,点击“Networking-网络”去创建一个静态的固定IP地址。
要将你私有云主机(服务器)和固定的IP地址绑在一起,点选“Create-创建”
现在你应该看到私有云主机(服务器)要使用的静态固定IP地址
现在,点击你的私有云主机(服务器)的名字。在我写此文安装的时候,使用的名字是“Debian-512MB-Virgina-1”。打开虚拟服务器的配置页面。
设置私有云主机(服务器)的防火墙过滤规则
接下来,我们要为新建的私有云主机(服务器)创建防火墙过滤规则,以允许Wireguard使用的通讯通过防火墙。对于Wireguard的通讯,你可以使用UDP和TCP的端口类型。一般来说,都使用UDP端口,因为UDP的通讯不需要验证,所以处理效率更高,速度更快。
至于选择使用那个端口,你可以在0-65335中随意选择一个,比如54321。
因此,在这一步,你要在你的vps上创建一条防火墙规则,允许Wireguard的通讯。那就是udp 54321。
点击“Networking-网络”,然后是“Edit rules-编辑规则”。如下图:
删除HTTP TCP 80规则,因为我们并不需要在上面建设网站。再添加一条新的UDP规则,选择任何你喜欢的可用端口。通过情况下,你可以选择32768-65535之间的端口。在本指南中,我选择的是端口54321。
你需要保留或创建一天允许TCP 22端口的规则,因为那是你远程连接到vps所需要使用,即使用SSH加密协议,和TCP 22端口。
好了,对新建的虚拟服务器的配置工作就完成了。下面,我们将主要使用命令行来完成安装和配置Wireguard的工作。