• Сгенерировать конфиг для WARP — консольной утилитой или онлайн-генератором на её базе. Ещё есть неофициальный CLI, мне он не пригодился.

• Полученный конфиг можно сунуть в /etc/wireguard/ и попробовать поднять через systemctl start wg-quick@название-конфига.conf. Но вряд ли это заработает, конфиг придется править.

Конфиг WireGuard для WARP

А чтобы не править его, передергивая интерфейс вручную из консоли, — проще сразу добавить в Network Manager. Подобрать рабочие настройки там, затем — перенести в конфиг. И получить основной (через графический интерфейс) и резервный (из консоли) способы работы с WARP. Чем и займёмся.

Настройка Network Manager

Тут всё тоже несложно: ПКМ на аплете менеджера — Соединения VPN — Настроить VPN — WireGuard — ‘+’ (добавить новое соединение).

Дальше настроить по картинке (скопировать значения из файла конфига):

Но вот адрес для Endpoint придется поподбирать — на разных провайдерах работают разные IP. Я прошелся по адресам с 162.159.193.0 по 162.159.193.10, пока не нашел работающий.

В целом — соединение уже должно работать (надо только Address в Параметры IPv4 вписать, как ниже показано), проверить можно через 2ip.ru. Вот такая картина у меня:

Подключается не всегда с первого раза, бывает, нужно несколько раз вкл/выкл VPN.

Google DNS и Wire Guard WARP

Но радость была бы не полной, если бы не ещё одна чудесная возможность WireGuard — он позволяет для соединения легко поменять адрес DNS сервера. Это не защитит от утечки DNS на сто процентов, но позволяет обойти блок, выставляемый на некоторых ресурсах на основе географической принадлежности DNS сервера (а клаудфлэровский — в Москве).

В настройки IPv4 надо вписать гугловый DNS, в настройки IPv6 — можно по аналогии (IPv6-адрес DNS ищется в гугле же), а можно и обойтись только IPv4.

WireGuard Google public DNS

Итого

Вот теперь «разблокировка» должна работать нормально.

Из плюсов — VPN включается сразу на уровне системы, приложения ходят через него. Не надо, как в случае с ssh-туннелем, заворачивать приложения для работы с через туннель.

Второй плюс — ровно тем же способом можно включить WARP на Android. Клиент WireGuard под Android есть (ставил из F-Droid), надо только поправить сгенерированный конфиг по аналогии (как в заметке), затем — импортировать его в клиенте на телефоне. Всё!

Следующим шагом — можно настроить подключение WARP на роутере, чтобы всю внутреннюю сеть пускать в интернет через VPN. Я на своём Keenetic планирую так и сделать, но это «уже совсем другая история».

Итак, начну с того, что обещанная раздача бесплатных сертификатов на ГосУслугах оказалась доступна только компаниям. Мне как физику получить его не удалось. Возможно, что в будущем эта услуга будет доступна и рядовым слугам Бога-Императора.

На данный момент (17.05.2022) гарантированно можно выпустить сертификат с помощью Let's Encrypt. Однако, по имеющейся у меня информации, компания выпускает сертификат на 90 дней и может его отозвать.

Мой проект подходит к завершению, и для проверки авторизации, системы лицензирования и рассылки писем с регистрационной информацией мне потребовалось залить сайт на публичный хостинг.

Домены я регистрирую на reg.ru. У них есть услуга "выпуск бесплатного сертификата", реализуемая через GlobalSign. На сайте reg.ru честно написано, что выпуск сертификата может занять несколько рабочих дней.

Устав ждать более 5 дней я решил заняться проблемой самостоятельно. На сайте самого GlobalSign указано, что для российских и белорусских доменов время выпуска увеличено.

Ручная модерация?

Без сертификата заниматься тестированием сайта очень грустно, поэтому начал искать пути решения...

В результате поисков я открыл для себя CloudFlare.

По бесплатному тарифу, они также выпускают сертификат на 90 дней. Однако, они заявили, что не намерены разрывать сотрудничество с организациями, которые прямо не попадают под санкции США, а также считают, что России требуется больше интернета, а не меньше.

Топаем на сайт CloudFlare. Регистрируемся...

Скриншоты добавлять не буду, ибо все весьма банально. Поэтому лучше опишу функционал, чтобы Вы могли принять решение о том, подходит ли Вам данный вариант или нет.

CloudFlare не выдаёт Вам сертификат на руки для последующей установки на сервер. Вместо этого Вам предлагается изменить ссылки на DNS-серверы CloudFlare.

Спустя некоторое время (обещают 24 часа, но у меня вышло часа 3) на почту придёт уведомление о том, что сертификат выпущен. Устанавливать его никуда не надо. Запрос от клиента идёт на DNS-сервер CloudFlare, а между ними устанавливается защищенное соединение. Сам же запрос ретранслируется на Ваш сайт уже без шифрования. Для кого-то это может стать причиной прекратить чтение статьи, а для кого-то нет. Лично я не вижу в этом дыры в безопасности.

В личном кабинете следует добавить нужные Вам DNS-записи и включить принудительное использование HTTPS. Открыть настройку можно по пути %YourSite% -> SSL/TLS -> Edge Certificates -> Always Use HTTPS.

Резюме.

При таком раскладе, вам из коробки будет доступна защита от DDoS-атак, кэширование контента для ускорения доступа, защита почтовых ящиков на домене Вашего сайта, аналитика входящего трафика и куча всего, что я ещё пока не изучил. :)

Обычно, я не рекомендую то, чем не пользовался значительное время, но как говорится, "не до жиру, быть бы живу".

Надеюсь, что статья будет Вам полезна.

Всем хорошего дня!

P.S. Комментарий от @gskm18. Рекомендую ознакомиться.