Как установить Wireguard на Netflix VPS?

Цель этого руководства — описать шаги по настройке Wireguard и Unbound на VPS для Netflix чтобы разблокировать контент Netflix, доступный только в определённых регионах — например, я живу в США, но хотел посмотреть вот это хорошие фильмы и сериалы Netflix, доступные только в Великобритании. Этот туториал также подойдёт, если вы хотите смотреть Netflix из любого из наших доступных регионов.

После выполнения этого руководства у вас будет:

• VPN-сервер с зашифрованным соединением на базе WireGuard. Он работает у большинства провайдеров по всему миру, обходит GFW и иранский Filternet. Также он обходит блокировку VoIP в ОАЭ, поэтому вы сможете использовать голосовые и видеозвонки WhatsApp в Дубае — WireGuard шифрует UDP-соединения.
• В отличие от большинства VPN-решений, этот сервер не раскрывает ваш DNS, поэтому вы сможете получить доступ к Netflix, Hulu и другим геоограниченным сервисам.

Подробное пошаговое руководство по настройке WireGuard VPN на сервере Ubuntu можно найти в этой статье.

Что такое Wireguard?

WireGuard^® — это простой, быстрый и современный VPN-протокол, использующий современную криптографию. Он быстрее, проще и легче IPsec без лишних сложностей. По производительности он заметно превосходит OpenVPN.

Читайте также: Лучший VPS для размещения VPN

Что такое Unbound (DNS Server)?

Unbound — это проверяющий, рекурсивный и кэширующий DNS-резолвер от NLnet Labs. Распространяется бесплатно в виде открытого исходного кода под лицензией BSD.

Шаги, которые необходимо выполнить перед установкой Wiregurad VPN

Для работы с этим руководством вам потребуется Netflix VPS с объёмом памяти не менее 1 ГБ, хотя для большого числа клиентов я рекомендую не менее 2 ГБ. В руководстве предполагается использование Ubuntu 18.04.

Другие дистрибутивы, скорее всего, тоже подойдут, но все шаги проверены только на Ubuntu 18.04.
Также рекомендую заказать сервер на нашей странице Ubuntu ВПС , так как Netflix блокирует крупных провайдеров — DigitalOcean, Vultr и других — по IP-адресам. Мы рады сообщить, что все наши IP-адреса работают с Netflix по состоянию на сегодняшний день (июль 2019 года). Также у нас есть руководство по теме: как заказать VPS.

Как установить VPN на Netflix VPS?

Выполнив следующие шаги, вы сможете настроить Wireguard VPN на своём Netflix VPS и получить доступ к контенту Netflix, доступному только в определённых регионах — например, в Великобритании.

Читайте также: Стриминг VPS

Начальная настройка сервера

Я буду использовать 

ssh

для удалённого входа на Netflix VPS и его настройки. Если вы работаете на Unix-подобной операционной системе, он уже должен быть установлен. Если у вас Windows 10, лучший вариант — установка Windows Subsystem for Linux (WSL) он очень прост в установке и является встроенным инструментом. В более старых версиях Windows может потребоваться установить PuTTY в старых версиях Windows.
Также предполагается, что вы используете корректное имя хоста для вашего Netflix VPS.

Базовая настройка безопасности SSH

Убедитесь, что знаете IP-адрес своего сервера и данные для входа. Если вы заказывали у нас, эту информацию можно найти в приветственном письме.

Создать пару RSA-ключей

Откройте терминал (или командную строку) и выполните:

ssh-keygen

введите имя, например wireguard, и нажмите Enter. Затем система запросит кодовую фразу — её можно оставить пустой, дважды нажав Enter.

"Enter file in which to save the key (C:Userskevin/.ssh/id_rsa): wireguard
Введите парольную фразу (оставьте пустым, если не нужна):
Введите парольную фразу ещё раз: Ваш закрытый ключ сохранён в файле wireguard.
Ваш открытый ключ сохранён в файле wireguard.pub.
The key fingerprint is: SHA256:PM9TZc0TMO9Iqqq7NC0E+qn32vZp6WELRrFmAc9sw5Y"

Читайте также: Как установить PPTP VPN на CentOS 8?

Скопируйте публичный ключ

cat C:Usersamirwireguard.pub | ssh [email protected] "mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys

Or

ssh-copy-id [email protected]

После этого вы увидите примерно следующее:

The authenticity of host 'netflix.routerhosting.com' can't be established. RSA key fingerprint is SHA256:CKp1RW2qe1YEFtz6HOZz3lJnMxYsJm03cH6uGKDnyC8. Are you sure you want to continue connecting (yes/no)?

Введите yes, чтобы принять RSA-отпечаток ключа, затем укажите пароль root. Теперь попробуйте подключиться по SSH с помощью ключа:

ssh -i wireguard [email protected]

После этого вы увидите следующее:

К:\Пользователи\амир>ssh -i wireguard [email protected]
Добро пожаловать в Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64)

  * Документация: https://help.ubuntu.com
  * Управление: https://landscape.canonical.com
  * Поддержка: https://ubuntu.com/advantage

Последний вход: Ср май 30 03:03:29 2018
root@netflix:~#

Отключить аутентификацию по парольной фразе

Так как пароли устаревают, нужно отключить этот механизм:

sed -ie 's/#?PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

sed -ie 's/#?PermitEmptyPasswords yes/PermitEmptyPasswords no/' /etc/ssh/sshd_config

Если безопасность для вас в приоритете, можно отключить root и создать sudo-пользователя, но это выходит за рамки данного руководства.

Установка обновлений

apt update && apt upgrade -y && reboot

Обновление займёт несколько минут, после чего сервер перезагрузится. Выберите «Yes», когда система спросит «restart service when the package upgrades without asking». Обновите GRUB (установите версию мейнтейнера пакета), выберите оба устройства пробелом и нажмите Enter. Оставьте локальную версию /etc/sshd_config. После всего этого подождите несколько секунд до перезагрузки, затем снова подключитесь к серверу по SSH.

Автоматические обновления

Этот шаг необязателен, его можно пропустить. При желании можно включить и настроить автоматическую установку обновлений безопасности. Инструкция на официальном сайте.

Установка Unbound

apt install -y software-properties-common curl unbound unbound-host

curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache

Настройка сервера DNS

Этот раздел взят из это руководство. Выполните:

nano /etc/unbound/unbound.conf

Чтобы открыть файл конфигурации unbound. Нажмите Ctrl+K, чтобы удалить всё содержимое, и вставьте следующее. Нажмите Ctrl+X и введите «y», чтобы сохранить изменения.

server:

  num-threads: 4

  #Enable logs
  verbosity: 1

  #list of Root DNS Server
  root-hints: "/var/lib/unbound/root.hints"

  #Use the root servers key for DNSSEC
  auto-trust-anchor-file: "/var/lib/unbound/root.key"

  #Respond to DNS requests on all interfaces
  interface: 0.0.0.0
  max-udp-size: 3072

  #Authorized IPs to access the DNS Server
  access-control: 0.0.0.0/0                 refuse
  access-control: 127.0.0.1                 allow
  access-control: 10.99.97.0/24         allow

  #not allowed to be returned for public internet  names
  private-address: 10.99.97.0/24

  # Hide DNS Server info
  hide-identity: yes
  hide-version: yes

  #Limit DNS Fraud and use DNSSEC
  harden-glue: yes
  harden-dnssec-stripped: yes
  harden-referral-path: yes

  #Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
  unwanted-reply-threshold: 10000000

  #Have the validator print validation failures to the log.
  val-log-level: 1

  #Minimum lifetime of cache entries in seconds
  cache-min-ttl: 1800 

  #Maximum lifetime of cached entries
  cache-max-ttl: 14400
  prefetch: yes
  prefetch-key: yes

Теперь выполните:

chown -R unbound:unbound /var/lib/unbound

systemctl enable unbound

Установка Wireguard

add-apt-repository -y ppa:wireguard/wireguard

apt-get update 

apt-get install -y wireguard && reboot

Установка Docker CE

Этот раздел посвящён установке Docker CE через репозиторий:

# Установка Docker CE

apt-get install

apt-transport-https

ca-certificates

curl

gnupg-agent

software-properties-common

# Добавление официального GPG-ключа Docker

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"

apt-get update

apt-get install docker-ce docker-ce-cli containerd.io -y

# Проверка установки Docker

docker run hello-world

Читайте также: Как установить Docker на VPS (пошаговое руководство)

Установка Subspace

Этот раздел посвящён как установить Subspace внутри контейнера Docker. Не забудьте изменить –env SUBSPACE_HTTP_HOST на ваше публично доступное доменное имя.

# Загрузка модулей

modprobe wireguard

modprobe iptable_nat

modprobe ip6table_nat

# Включение IP-форвардинга

sysctl -w net.ipv4.ip_forward=1

sysctl -w net.ipv6.conf.all.forwarding=1

Не забудьте изменить –env SUBSPACE_HTTP_HOST на ваше публично доступное доменное имя. Директория с данными должна быть примонтирована как `/data` внутри контейнера с помощью флага `–volume`. 

mkdir /data

docker create --name subspace --restart always --network host --cap-add NET_ADMIN --volume /usr/bin/wg:/usr/bin/wg --volume /data:/data --env SUBSPACE_HTTP_HOST=netflix.routerhosting.com subspacecloud/subspace:latest

docker start subspace

Настройка модулей ядра для загрузки при старте системы

Чтобы сохранить настройки после перезагрузки, нужно загружать модули ядра при старте системы.

nano /etc/modules-load.d/subspace.conf

Вставьте следующее и сохраните файл:

wireguard
iptable_nat
ip6table_nat

Заключение

Если вы выполните все шаги из этой статьи, то сможете смотреть сериалы, документальные фильмы, кино и другой контент Netflix, недоступный в вашем регионе. Cloudzy предлагает различные тарифы по доступным ценам в более чем 12 локациях по всему миру - для Netflix и других медиасерверов, например Plex . Чтобы получить доступ ко всему нужному контенту, ознакомьтесь с нашим планами Linux VPS.