¿Cómo instalar Wireguard en un VPS para Netflix?

El objetivo de esta guía es documentar los pasos para configurar WireGuard y Unbound en un VPS para Netflix para desbloquear títulos de Netflix disponibles en ciertas ubicaciones; por ejemplo, vivo en Estados Unidos pero quería ver estos títulos de Netflix interesantes disponibles solo en el Reino Unido. También puedes seguir este tutorial si quieres ver Netflix desde cualquiera de nuestras ubicaciones disponibles.

Al completar este tutorial, habrás:

• Una VPN que proporciona una conexión cifrada mediante WireGuard. Funciona con casi todos los ISPs del mundo y puede sortear el GFW y el Filternet de Irán sin problemas. Además, también evita los bloqueos de VoIP en los Emiratos Árabes Unidos, por lo que puedes usarla para desbloquear llamadas de voz o vídeo de WhatsApp en Dubái, ya que WireGuard cifra también las conexiones UDP.
• No filtrará tu DNS como ocurre con la mayoría de configuraciones de VPN, por lo que podrás acceder a Netflix, Hulu y otros servicios y sitios web con restricciones geográficas.

Para una guía detallada paso a paso sobre cómo configurar una WireGuard VPN en un servidor Ubuntu, puedes consultar este artículo.

¿Qué es WireGuard?

WireGuard^® es una VPN extremadamente sencilla, rápida y moderna que utiliza criptografía de última generación. Su objetivo es ser más rápida, simple, ligera y útil que IPsec, sin la complejidad que este conlleva. Está diseñada para ofrecer un rendimiento significativamente superior al de OpenVPN.

Leer también: Mejor VPS para alojar una VPN

¿Qué es Unbound (servidor DNS)?

Unbound es un resolver de DNS con validación, recursión y caché, desarrollado por NLnet Labs. Se distribuye de forma gratuita como software de código abierto bajo la licencia BSD.

Pasos previos a la instalación de la VPN Wireguard

Para seguir este tutorial, necesitarás tener un Netflix VPS con al menos 1 GB de memoria, aunque personalmente recomiendo al menos 2 GB si planeas tener un número elevado de clientes. Esta guía asume que estás usando Ubuntu 18.04.

Otras distribuciones probablemente también funcionen, pero los pasos de este tutorial solo han sido probados en Ubuntu 18.04.
Además, te recomiendo pedirlo desde nuestra página de VPS ubuntu ya que Netflix bloquea por IP a las principales empresas del sector, como DigitalOcean y Vultr. Nos complace anunciar que todas nuestras IPs funcionan con Netflix a día de hoy (julio de 2019). También tenemos una guía sobre cómo contratar un VPS.

¿Cómo instalar una VPN en un VPS para Netflix?

Siguiendo los pasos a continuación podrás configurar una Wireguard VPN en tu VPS de Netflix. Después podrás disfrutar de todos los programas de Netflix que solo están disponibles en determinadas regiones, como el Reino Unido.

Leer también: Streaming VPS

Configuración inicial del servidor

Voy a usar 

ssh

para iniciar sesión de forma remota en el Netflix VPS y configurarlo. Si usas un sistema operativo basado en Unix, ya debería estar instalado. Si usas Windows 10, la mejor opción es instalando el subsistema Windows para Linux (WSL) que es muy fácil de instalar y nativa. Es posible que necesites instalar PuTTY en versiones anteriores de Windows.
Además, asumo que estás usando un nombre de host válido para tu Netflix VPS.

Configuración básica de seguridad en Linux

Asegúrate de tener la dirección IP de tu servidor y las credenciales de acceso. Si contrataste con nosotros, encontrarás esta información en el correo de bienvenida.

Generar par de claves RSA

Abre una terminal (o símbolo del sistema) y ejecuta:

ssh-keygen

escribe un nombre como wireguard y pulsa Enter. A continuación te pedirá una frase de contraseña; puedes dejarla en blanco pulsando Enter dos veces.

"Introduce el archivo en el que guardar la clave (C:Userskevin/.ssh/id_rsa): wireguard"
Introduce la contraseña (deja en blanco si no quieres usar ninguna):
Vuelve a introducir la contraseña: Tu identificación se ha guardado en wireguard.
Tu clave pública se ha guardado en wireguard.pub.
La huella digital de la clave es: SHA256:PM9TZc0TMO9Iqqq7NC0E+qn32vZp6WELRrFmAc9sw5Y

Leer también: ¿Cómo instalar PPTP VPN en CentOS 8?

Copiar la clave pública

cat C:Usersamirwireguard.pub | ssh [email protected] "mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys

Or

ssh-copy-id [email protected]

Verás algo similar a esto:

No se puede verificar la autenticidad del host 'netflix.routerhosting.com'. La huella digital RSA de la clave es SHA256:CKp1RW2qe1YEFtz6HOZz3lJnMxYsJm03cH6uGKDnyC8. ¿Seguro que deseas continuar con la conexión? (yes/no)

Escribe yes para aceptar la huella del certificado RSA e introduce la contraseña de root. Ahora intenta conectarte por SSH con tu clave:

ssh -i wireguard [email protected]

Entonces verás esto:

C:\Usuarios\amir>ssh -i wireguard [email protected]
Bienvenido a Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64)

  * Documentación: https://help.ubuntu.com
  * Gestión: https://landscape.canonical.com
  * Soporte: https://ubuntu.com/advantage

Último acceso: Wed May 30 03:03:29 2018
root@netflix:~#

Desactivar la autenticación por contraseña

Como las contraseñas están a punto de quedarse obsoletas, debemos desactivar este mecanismo antiguo:

sed -ie 's/#?PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

sed -ie 's/#?PermitEmptyPasswords yes/PermitEmptyPasswords no/' /etc/ssh/sshd_config

Si la seguridad es una prioridad alta, puedes desactivar el usuario root y crear un usuario sudo, pero eso queda fuera de este tutorial.

Instalar actualizaciones

apt update && apt upgrade -y && reboot

El proceso tardará unos minutos en actualizar y luego reiniciará. Elige «Yes» cuando pregunte «restart service when the package upgrades without asking». Actualiza GRUB (instala la versión del mantenedor del paquete) y selecciona ambos dispositivos con la barra espaciadora y pulsa Enter. Conserva la versión local de /etc/sshd_config y, tras todo esto, espera unos segundos al reinicio y vuelve a conectarte a tu servidor por SSH.

Actualizaciones desatendidas

Este paso es opcional y puedes omitirlo, pero puedes activar y configurar las actualizaciones de seguridad automáticas sin supervisión. Aquí tienes la guía del sitio oficial..

Instalar Unbound

apt install -y software-properties-common curl unbound unbound-host

curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache

Configurar el servidor DNS

Esta sección está tomada de esta guía. Ejecuta:

nano /etc/unbound/unbound.conf

Para abrir el archivo de configuración de unbound. Usa Ctrl+K para borrar todo el contenido y pega lo siguiente. Pulsa Ctrl+X y escribe «y» para guardar los cambios.

server:

  num-threads: 4

  #Enable logs
  verbosity: 1

  #list of Root DNS Server
  root-hints: "/var/lib/unbound/root.hints"

  #Use the root servers key for DNSSEC
  auto-trust-anchor-file: "/var/lib/unbound/root.key"

  #Respond to DNS requests on all interfaces
  interface: 0.0.0.0
  max-udp-size: 3072

  #Authorized IPs to access the DNS Server
  access-control: 0.0.0.0/0                 refuse
  access-control: 127.0.0.1                 allow
  access-control: 10.99.97.0/24         allow

  #not allowed to be returned for public internet  names
  private-address: 10.99.97.0/24

  # Hide DNS Server info
  hide-identity: yes
  hide-version: yes

  #Limit DNS Fraud and use DNSSEC
  harden-glue: yes
  harden-dnssec-stripped: yes
  harden-referral-path: yes

  #Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
  unwanted-reply-threshold: 10000000

  #Have the validator print validation failures to the log.
  val-log-level: 1

  #Minimum lifetime of cache entries in seconds
  cache-min-ttl: 1800 

  #Maximum lifetime of cached entries
  cache-max-ttl: 14400
  prefetch: yes
  prefetch-key: yes

Ahora ejecuta:

chown -R unbound:unbound /var/lib/unbound

systemctl enable unbound

Instalar Wireguard

add-apt-repository -y ppa:wireguard/wireguard

apt-get update 

apt-get install -y wireguard && reboot

Instalar Docker CE

Esta sección cubre instalar Docker CE usando el repositorio:

# Instalar Docker CE

apt-get install

apt-transport-https

ca-certificates

curl

gnupg-agent

software-properties-common

# Añadir la clave GPG oficial de Docker

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"

apt-get update

apt-get install docker-ce docker-ce-cli containerd.io -y

# Probar la instalación de Docker

docker run hello-world

Leer también: Cómo instalar Docker en VPS (guía paso a paso)

Instalar Subspace

Esta sección cubre cómo instalar Subspace dentro de un contenedor Docker. Asegúrate de cambiar –env SUBSPACE_HTTP_HOST por el nombre de dominio accesible públicamente.

# Cargar módulos

modprobe wireguard

modprobe iptable_nat

modprobe ip6table_nat

# Activar el reenvío IP

sysctl -w net.ipv4.ip_forward=1

sysctl -w net.ipv6.conf.all.forwarding=1

Asegúrate de cambiar –env SUBSPACE_HTTP_HOST por el nombre de dominio accesible públicamente. El directorio de datos debe montarse en `/data` dentro del contenedor usando el flag `–volume`. 

mkdir /data

docker create --name subspace --restart always --network host --cap-add NET_ADMIN --volume /usr/bin/wg:/usr/bin/wg --volume /data:/data --env SUBSPACE_HTTP_HOST=netflix.routerhosting.com subspacecloud/subspace:latest

docker start subspace

Configurar los módulos del kernel para que se carguen al inicio

Para que los cambios sobrevivan a un reinicio, necesitamos cargar los módulos del kernel al arranque.

nano /etc/modules-load.d/subspace.conf

Pega lo siguiente y guarda el archivo:

wireguard
iptable_nat
ip6table_nat

Conclusión

Si sigues todos los pasos de este artículo, podrás ver series, documentales, películas y todo el contenido que Netflix ofrece en otras regiones pero que no está disponible en la tuya. Cloudzy ofrece varios planes a un precio muy asequible en más de 12 ubicaciones en todo el mundo para Netflix y otros servidores multimedia como Plex . Así que, para acceder a todo el contenido que quieras, considera echarle un vistazo a nuestro planes Linux VPS.