DigitalOcean'dan kendi VPN'nizi kurma

[GERGE]

Not: VPN'yi kurmak cok kolay. Asil uzun olan kisim guvenligi saglamak. Onlar da kolay ama. Biraz daha fazla vakit alir sadece. Atlamayin yine de. Ayrica en son test etmek icin yeni bir DigitalOcean VPS ile sadece c/p yapip gerekli IP adreslerini degistirerek uyguladim rehberi, calisti guzelce.
Not: Benim macOS'da kullandigim ShadowsocksX-NG client'i blacklist, whitelist filan yapabiliyor AdBlock syntax'i ile. Oyle seyler de var yani. Ama cok client oldugundan girmiyorum. Baglantiyi kurduktan sonra kurcalarsiniz onlari kendiniz. Burada sorarsiniz filan, bilen anlatir.

Ayda $5 bunun ucreti, kullanabileceginiz diger VPN'lerden cok da farkli degil. Devlet sansurunu gecersiniz, izlemeyi de gecersiniz, en azindan sadece bizim devletin eliyle yapilani. IP adresi dokumu icin sunucunun oldugu yere basvurmalari lazim yasal yollarla. Rastgele biri icin ugrasmazlar.

Islem cok kolay, ama once SSH'ye baglanmayi ogrenmeniz gerek. Putty diye bir program yapiyor Windows'da, macOS ve Linux ile nasil yapacaginizi ben anlatacagim. Burada Putty basitce anlatiliyor: https://www.linode.com/docs/networking/ssh/using-putty Tek yapmaniz gereken alttaki ekranda DigitalOcean'dan size gelecek olan IP adresini IP adresi kutusuna girip open demeniz. Sonra yine DigitalOcean'in ayni postasindaki kullanici adi ve sifresiyle gireceksiniz iste.

http://i.hizliresim.com/LZGX1z.gif

DigitalOcean'a girince sifrenizi degistirmenizi isteyecek, yapin bunu. Oyle kolay bir sifre girmeyin, botlar filan girebilir yoksa.

Ilk once sunucuyu nasil alacaginizi anlatayim. DigitalOcean sitesine girip duz uye olabilirsiniz. Bir ay ucretsiz kullanim verir. Benim altta verecegim linki kullanip uye de olabilirsiniz, o zaman iki ay ucretsiz aliyorsunuz, $25'lik odeme yaptiginizda da bana da $25 veriyorlar:

https://m.do.co/c/7053aa3f0e19

Simdi, uye oldunuz, kontrol paneline girdiniz varsayiyorum. Buralari anlatmaya gerek yok zaten hic. Ekranda "Create Droplet" diye bir tus goreceksiniz, sunucu onunla yaratiliyor. Cok az sey yapilacak. Choose a size bolumunde $5'lik paketi secin, onun altinda bolgeler var. Ben Frankfurt uzerinden kullaniyorum, ama nereyi isterseniz secin iste, sectiginiz yerden baglanacaksiniz. New York secerseniz EU'dan daha yavas olur ama Amerika'ya ozel yayinlari filan da ilersiniz. Ubuntu 16.04 x64 icin anlatiyorum bu arada ben, ilerde yeni Ubuntu surumleri ciktiginda yine benim kullandigimi secersiniz.

Simdi en alttan Create diyin. Bu kadar. 1 dakika icinde size IP adresi ve kullanici bilgilerini iceren bir posta gelecek.

SSH ile baglanalim simdi. Windows kullaniyorsaniz Putty'yi acip postadaki IP adresini girip baglan diyin iste. Sonra kullanici adi ve sifre kismi gelecek. Soracak zaten. Bu kisimlari pek anlatmaya gerek gormuyorum ama beceremezsiniz sorun tabii. macOS'da ve Linux'da Terminal'i acin ve su komutu girin

ssh [email protected]

1.1.1.1 degil tabii, bunu kendi sunucunuzun IP adresi ile degistireceksiniz. Sonra yine kullanici adi ve sifre.

Simdi VPN'yi kurmaya baslayalim. Shadowsocks kullanacagiz. Sitesi burada: https://shadowsocks.org/en/index.html Bu favori VPN programim. Kurmasi en kolay olanlardan ayrica. SSH uzerinden calisiyor ama bildigimiz OpenVPN tarzi programlar kadar guvenli. Ustune cok daha az kaynak harciyor. Android uzerinde kullaninca mesela pil omrune neredeyse hic etkisi yok. Bilgisayarinizdan ya da mobilden baglanmak icin bir suru farkli program var, o nedenle hepsini anlatmayacagim. Temel noktalari ayni, onlari anlatacagim ben de en son.

Listeledigim komutlari sirasiyla girin simdi bunu kurmak icin:

apt update

	apt upgrade

	apt install shadowsocks

Simdi VPN'nin ayarlarini yapacagiz. Nano denen programi kullanacagiz bunun icin. Tum islemin en zor noktasi bu programi kullanmayi ogrenmek ama aslinda cok da kolay yani kendisi. Nano klavyeden yonetilen bir metin editoru. Su komutu yazarak ayar dosyasini acin:

nano /etc/shadowsocks/config.json

Simdi gerekli degisiklikleri yapin. Dosyanin son hali soyle durmali:

{

	    "server":"1.1.1.1",

	    "server_port":443,

	    "local_address": "127.0.0.1",

	    "local_port":1080,

	    "password":"sifre_iste",

	    "timeout":300,

	    "method":"aes-256-cfb",

	    "fast_open": false,

	    "workers": 1

	}

1.1.1.1 yerine yine tabii kendi sunucunuzun IP adresini gireceksiniz. Sifreyi de istediginiz gibi degistirin, sifre satiri var iste orada. Simdi CTRL+X ile kaydet ve cik diyin. Soracak kaydedeyim mi diye, orada Y'ye basmayi unutmayin.

Port 443 uzerinden baglaniyoruz. Bu https portu oldugundan engellenmesi pek mumkun degil. Uzerinden sifreli veri gecmesi de normal hali oldugu icin ilgi cekmez. Her yerde calisir.

Simdi sunucu acildiginda otomatik acilmasi icin gereken ayari yapacagiz. Bir dosya yaratip bir kac komut girecegiz. Nano sadece kullanilacak sey, nasil oldugunu biliyorsunuz zaten artik. Su komutla gerekli dosyayi Nano ile yaratip acin:

nano /etc/systemd/system/shadowsocks-server.service

Dosyanin icine alttakini oldugu gibi kopyalayin ve kaydedip cikin:

[Unit]

	Description=Shadowsocks Server Service

	After=network.target

	

	[Service]

	Type=simple

	User=root

	ExecStart=/usr/bin/ssserver -c /etc/shadowsocks/config.json

	

	[Install]

	WantedBy=multi-user.target

	

Simdi de su iki komutu girip aktive edin:

service shadowsocks stop

	systemctl disable shadowsocks.service

	service shadowsocks-server start

	systemctl enable shadowsocks-server.service

Bu kadar. Artik VPN calisiyor. Baglanmayi anlatmadan once ama biraz da guvenlik. Bu noktasi sunucuyu kapatip kullanmaya baslayabilirsiniz ama hic tavsiye etmem, guvenligi saglamaniz iyi olur.

Bir firewall kuralim. Sirasiyla su komutlari girin:

ufw allow 22

	ufw allow 443

	ufw enable

Kuruldu.

Guvenlik icin ek olarak sunu da yapabilirsiniz, burada anlatmiyorum. Tavsiye ederim ama, epey ise yarar: https://www.digitalocean.com/community/tutorials/how-to-use-ssh-keys-with-putty-on-digitalocean-droplets-windows-users Sunucuya dogrudan yapilacak saldirilari onler bu.

Son olarak VPN sunucusuna dogrudan yapilacak olan saldirilari onlemek icin gerekli guvenlik ayarini da kuralim. Bunlar onemli, kimse sunucuma saldirmaz demeyin, Cin'de filan botlar otomatik olarak tum bulduklari sunuculara saldiriyorlar, DigitalOcean da populer oldugu icin tum IP'lerine otomatik saldirirlar. Diger VPS'ler de ayni. Bunu sizin sunucuya girip onu kullanarak baska sunuculara DDOS yapmak, ya da bitcoin filan aramak icin yapiyorlar.

Bu son guvenlik islemi icin fail2ban kullanacagiz. Bu VPN'nize surekli girmeye calisip giremeyen IP'leri bir sure banlayacak. Brute force sifre deneyenleri filan iste. Saldirilarin neredeyse hepsini kesecektir. Sizin icin hepsini bile diyebiliriz rahatlikla. Su komutu girip gerekli programi yukleyin:

apt install fail2ban

Simdi su dosyayi yaratacagiz:

nano /etc/fail2ban/filter.d/shadowsocks.conf

Icerigi de bu:

[INCLUDES]

	before = common.conf

	

	[Definition]

	_daemon = shadowsocks-server

	failregex = ^s+ERRORs+can not parse header when handling connection from <HOST>:d+$

	ignoreregex =

Simdi de su dosyayi yaratacagiz:

nano /etc/fail2ban/jail.local

Icerigi de bu:

[shadowsocks]

	enabled = true

	filter = shadowsocks

	port = 443

	logpath = /var/log/shadowsocks-fail2ban.log

	maxretry = 5

	bantime = 43200

En son da bu komutu girin:

touch /var/log/shadowsocks-fail2ban.log

Bu kadar. Sunucuda tum isiniz bitti. En son su komutu girip sunucuyu yeniden baslayin ve SSH programinizi kapatin:

reboot

Yeniden baslatma gerekli.

Bilgisayardan nasil baglanacaginiz simdi. Suradan sisteminiz icin uygun client versiyonunu indirin: https://shadowsocks.org/en/download/clients.html Sunucunuza baglanmak tek gerek su ucu: Sunucunun IP adresi, sifreleme yontemi ve baglanacaginiz port.

IP adresini zaten biliyorsunuz, ayar dosyasina yazmistik, SSH'ye de onunla baglanmistik. Port da 443. Sifreleme yontemi de aes-256-cfb. Soyle bir ekran goreceksiniz iste, uygun oldugu sekilde doldurun:

http://i.hizliresim.com/bk9XXY.png

Bu kadar. Shadowsocks programindan yuklediginiz baglantiyi actiginizda VPN acik. Suradan da test edebilirsiniz: http://whatismyipaddress.com

Mobilden baglanmak icin bilgisayardaki programdan Show QR Code diye bir sey bulursaniz, mobil app'a dogrudan o QR kodunu gostererek sunucuyu eklemesini saglayabilirsiniz.

Kolay gelsin.

PS. Uc saat surdu yazmak, rep isterim =)

[ShadowFax]

saol gerge. Güzel bi döküman olmuş.

Sorularım:

1- olay tamamen şu di mi? DO'dan aldığımız bir vps var, içi boş. İçine biz vpn server kurup, internete oradan çıkıyoruz. Bu mudur?
2- Bu tunnelbear kadar güvenli mi?
3- Tunnelbear kullanırken şu aralar bağlan dediğimde 2-3 dk sürüyor. Devlet engelliyor diye sanırım. Bu stabil mi?
4- bağlantıda kayıp ne kadar?
5- DO'da vps'in konumunu değiştirebilir miyiz? EU'dan US'e geçmek için vs?

[nileppezdel]

Nano'ya kadar iyiydi de sonrasına yetemedim. Şimdilik daha standart vpn'lerle idare edeyim ama büyük emek vermişsin GERGE, bol bol rep

[Todesengel]

Tuto için rep. Ben bu işlerden hiç anlamadığım için bir siteden sadece 4 tane kod ile VPN kurdum ama kullanıcı adı şifre bile belirleyemedim. Kendi otomatik oluşturduğunu kullanıyorum. Büyük ihtimal yakında sıçar :D

[arcane]

(tu)

ama ayda 5 dolardan epey daha ucuza x tane farkli yerde sunucusu olan vpn alabiliyorsun. bu daha guvenilir olsa da pahali bir opsiyon.

[GERGE]

Alirsin tabii. Ama LowEndBox'lar farkli farkli erisim yollariyla, portlarla, ivir-zivirla geliyor. Once bunu ogrensin bilmeyen, kendine guvenince onlardan birine gecer. Buyuk oranda ayni olur kurulum onlarda da zaten. Suradan bakin: http://lowendspirit.com

443'u kullanamazsiniz bir de onlarda. 11000-11020 arasi portlar size acik filan der. O da hemen dikkat ceker tabii firewallcular tarafindan.

[GERGE]

ShadowFax said:

saol gerge. Güzel bi döküman olmuş.

Sorularım:

1- olay tamamen şu di mi? DO'dan aldığımız bir vps var, içi boş. İçine biz vpn server kurup, internete oradan çıkıyoruz. Bu mudur?
2- Bu tunnelbear kadar güvenli mi?
3- Tunnelbear kullanırken şu aralar bağlan dediğimde 2-3 dk sürüyor. Devlet engelliyor diye sanırım. Bu stabil mi?
4- bağlantıda kayıp ne kadar?
5- DO'da vps'in konumunu değiştirebilir miyiz? EU'dan US'e geçmek için vs?

1- Evet, sadece bu.

2- Bir acidan daha guvenli, sadece sana ait. Bir acidan da degil. IP adresin static oldugu icin seninle IP arasinda baglanti kurabilirler. Ama yasal olarak bunu kullanmalari icin (bir hukukcu olarak soyluyorum) Amerika'dan IP bilgilarini istemeleri lazim, onlar da DigitalOcean'dan istemeli, DigitalOcean Amerika hukumetine vermeli, onlar da bizim mahkemeye vermeli. Yani yolu var, ama random adam icin ugrasilmaz. Ama CHP milletvekiliyim gibi yuksek profilli bir adamsaniz ugrasirlar. Cryptostorm gibi bir servisi kullanin o zaman zaten.

3- Stabil eger tum guvenlik ayarlarini yaparsaniz. Yoksa bot saldiriyla cokebilir. Baglanti da 1 saniye ya surer, ya surmez.

4- Frankfurt'dayim ben. Acik olmadan Ankara'ya speedtest su anda 72ms-2,46mbps veriyor. Acikken 90ms-2,45mbps veriyor. Kotaya takilmisiz =( Ama iyi yani.

5- Evet. Snapshot alma ozelligi var. Sunucuyu oldugu gibi kopyaliyor. Ama ayar dosyalarindan IP adresleri filan da degismeli.

[GERGE]

nileppezdel said:

Nano'ya kadar iyiydi de sonrasına yetemedim. Şimdilik daha standart vpn'lerle idare edeyim ama büyük emek vermişsin GERGE, bol bol rep

Cok kolay ya o da. Normal Notepad gibi kullaniyorsun. Kopyala-yapistir da yapiyor. Sonra CTRL-X diyip kaydetip cikiyorsun iste.

[GERGE]

Todesengel said:

Tuto için rep. Ben bu işlerden hiç anlamadığım için bir siteden sadece 4 tane kod ile VPN kurdum ama kullanıcı adı şifre bile belirleyemedim. Kendi otomatik oluşturduğunu kullanıyorum. Büyük ihtimal yakında sıçar :D

Script'in ne olduguna bagli. Guvenlik ayarlarini da yapiyorsa sorun olmaz.

Shadowsocks'un ana faydasi ama mobilde inanilmaz iyi performans vermesi digerlerine kiyasla. Pil omru yonunden filan iste.

[nileppezdel]

GERGE said:

nileppezdel said:

Nano'ya kadar iyiydi de sonrasına yetemedim. Şimdilik daha standart vpn'lerle idare edeyim ama büyük emek vermişsin GERGE, bol bol rep

Cok kolay ya o da. Normal Notepad gibi kullaniyorsun. Kopyala-yapistir da yapiyor. Sonra CTRL-X diyip kaydetip cikiyorsun iste.

yok sanki o programa kod girerek başka program falan install ettin o kısımları anlamadım. Hani dosya modify etme tamam, yeni server için dosya kurma o da tamam ama bir de ban'lı man'lı ddos koruması programını onunla yükleyince beynim aktı :D

[GERGE]

Yok abi. Neredeyse hepsi c/p.

Nano'ya koyulan neredeyse her sey c/p. Tun guvenlik kismi tamamen c/p zaten. Sadece VPN'yi kurarken Nano ile IP adresi, port, sifre olan 3 satiri degistiriyorsun, onun disinda o da c/p.

Nano disinda yapilan her sey c/p zaten.

[reb0rn]

Github Student Pack 'i kullanmayanınız varsa kullanın mutlaka , 50 dolar veriyordu en son, 10 ay bedava idare edin

[Valthon]

Sticky pls

Eline sağlık. VPNim ölürse buna geçerim artık :<

[Todesengel]

wget https://git.io/vpnsetup -O vpnsetup.sh && sudo
VPN_IPSEC_PSK='love1234'
VPN_USER='tony'
VPN_PASSWORD='love1234' sh vpnsetup.sh


Dediğim gibi olaydan anlamıyorum direkt aynısını yazdım. Kullanıcı adı, password ve preshare key kısımlarını değiştirdim ama değişmedi. Otomatik bir şeyler oluşturdu. Onları kullanıyorum.

[monoscope]

herşey güzel kurdum shadowsocks on gözüküyor ama hala ip tr olarak gözüküyor

[GERGE]

Ayarlardan global yap. Client ayarlarindan.

[monoscope]

Aynen abi çok sağol. Proxy ayarları auto mode by PAC da kalmış globale çekince direk çalıştı. Emeğine sağlık, işlemler kolay çok güzel anlatmışsın.

Bu arada dropletleri on/off yapabiliyorsunuz pc açıp kapatır gibi, gene billing para yazmaya devam ediyor ama ben mesela vpn'i genelde çok kullanmadığım için kullanmadığım sürelerde serverın açık kalması taraftarı değilim kimse bağlanmayı denemesin diye sdfsdf. Şu yapılan işlemlere bir zararı var mı bir fikrim yok.

[Fili]

Emeğine sağlık, güzel tuto olmuş.

[tiLi]

beklenen tuto geldi eline sağlık

[ShadowFax]

tunnelbearim olmasa hemen yapardım. Şimdi hem TB, hem bu içim acır

[Solozzo]

GERGE said:

Ayarlardan global yap. Client ayarlarindan.

Yukarıdaki gibi yaptım ama halen TR IP alıyor, adım adım uyguladım tüm işlemleri hiç sorun çıkmadı, emeğinize sağlık, sağolun.

[GERGE]

Bu arada macOS tum proxyler icin whitelist ile geliyor:

http://i.hizliresim.com/pX2Q4L.png

Windows'da nasil yaparsiniz tam bilmiyorum ama. Programinin kendisi destekliyordur belki Shadowsocks'un.

[GERGE]

Solozzo said:

GERGE said:

Ayarlardan global yap. Client ayarlarindan.

Yukarıdaki gibi yaptım ama halen TR IP alıyor, adım adım uyguladım tüm işlemleri hiç sorun çıkmadı, emeğinize sağlık, sağolun.

Windows'u cok bilmiyorum ama Firefox mesela kendi proxy ayarlarini kullaniyor. Edge ya da Internet Explorer iste hangisi varsa onu acip proxy sayfasini kontrol et. Orada Shadowsock'un proxy ayarlari dogru mu kontrol et. Shadowsocks programinin bir yerinde yazar, ben de boyle mesela:

http://i.hizliresim.com/qjyX35.png

Sonra kullandigin tarayicinin da proxy ayarlarinda bunu kullandigina emin ol. Ya da Windows'da calistiran var ustte, ona sor ne yapmis.

[miyaw33]

edit:hallettim.tesekkurler

[Remus]

Bu programı engelleme şanşı var mı AKP'nin?