VPN zdarma od CloudFlare: WARP MASQUE a WireGuard. Návod na inštaláciu na linuxe

V článku vás zoznámim s najviac pokročilými šifrovacími VPN protokolmi ako sú MASQUE a WireGuard najmä v spojitosti s CloudFlare. 

VPN má význam nielen v typických diktátorských režimoch kde je cenzúra internetu ale aj v iných krajinách ako niektoré štáty USA a Veľká Británia kde si ľudia chránia súkromie z dôvodu kontroverzných zákonov overovania veku pod zámienkou „ochrany detí“.

WireGuard

Je najviac pokročilý VPN protokol, open source. V tomto článku budem ale hovoriť o jeho využití s CloudFlare.

MASQUE

Tento protokol má prakticky úplné prepojenie s CloudFlare. Najsilnejšie kladivo na cenzúru. Nie je to VPN v pravom slova zmysle. Na rozdiel od VPN je MASQUE veľmi ťažké blokovať pretože sa ľahko skryje je bežnú HTTPS prevádzku. Optimalizované na nekvalitný internet s občasnými výpadkami. 
Predvolený protokol pre CF WARP 
https://1.1.1.1/

CloudFlare WARP

https://pkg.cloudflareclient.com/ 
Zaujímavé, že na mojom Kubuntu 25.10 to nefungovalo vôbec, ale na Kubuntu 25.10 Live Flash Drive s neaktuálnymi programami to fungovalo správne. Pravdepodobne aktualizácie niektorých Linux závislosti rozbili správne fungovanie tejto aplikácie. Počas toho ak bol CloudFlare WARP pripojený, tak mi PC úplne odpojilo od internet spojenia a žiadnu stránku nenačítalo. 
S komplikáciami s inštaláciou vám môžu pomôcť Google AI Studio, Gemini Flash 3, čo je na rozdiel od gemini.google.com zdarma a vo vyššej kvalite. 
Cez Google účet sa môžete tiež prihlásiť do CloudFlare účtu a môžete využívať aj CF AI rady s inštaláciou. Ideálne niekedy kombinácia oboch ak sa niečo skomplikuje.

Inštalácia CloudFlare WARP pre Ubuntu, Kubuntu verzie 24 a 25

Pridaj repozitár manuálne s menom "noble" 

Pridanie kľúča 
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

Pridanie repozitára smerujúceho na verziu Noble 
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ noble main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list

sudo apt update
sudo apt install cloudflare-warp

Pridanie anonymného „účtu“ resp. API kľúča 
warp-cli registration new

Pripojenie do šifrovaného tunela 
warp-cli connect

Kontrola či je pripojenie OK 
warp-cli status

Odpojenie a 
warp-cli disconnect
******************

Návod na odinštalovanie CloudFlare WARP

Vymazanie registrácie 
warp-cli registration delete

sudo apt purge cloudflare-warp -y
sudo apt autoremove -y

Odstránenie súboru so zoznamom repozitárov
sudo rm /etc/apt/sources.list.d/cloudflare-client.list

Odstránenie bezpečnostného GPG kľúča
sudo rm /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

Odstránenie zvyškových dát (lokálne nastavenia)
sudo rm -rf /var/lib/cloudflare-warp

Inštalácia WireGuard s CloudFlare

sudo apt update
sudo apt install wireguard-tools
sudo apt install wireguard

Overenie verzie
wg --version

Získanie WARP konfigurácie (nástroj wgcf)
https://github.com/ViRb3/wgcf/releases/

Stiahnutie binárky wgcf z GitHubu 
curl -fsSL https://github.com/ViRb3/wgcf/releases/download/v2.2.30/wgcf_2.2.30_linux_amd64 -o wgcf
chmod +x wgcf

Registrácia v sieti Cloudflare (vytvorí súbor wgcf-account.toml)
./wgcf register

Vygenerovanie WireGuard profilu (vytvorí súbor wgcf-profile.conf) 
./wgcf generate

Import do grafického nastavenia Kubuntu, bežný nástroj nastavenia siete (Network Manager) 
nmcli connection import type wireguard file wgcf-profile.conf

Oprava nastavení v grafickom rozhraní 
Choď na kartu IPv6: 
V karte IPv6 nastavte Ignore (toto často spôsobuje pády v Live režime, ak Cloudflare blbne s IPv6). 
V grafickom rozhraní nastavení siete je možné flexibilne aktivovať a deaktivovať WireGuard s CloudFlare. 
**** 
Ak máte nastavené DoH pre celý linux (to nie je predvolené nastavenie), je potrebné nastaviť osobitné porty aby nedošlo ku konfliktom zacykleniu Routing loop. V koreňovom home priečinku upravte súbor wgcf-profile.conf podľa tohto vzoru, samozrejme PrivateKey a PublicKey ponechajte svoje 

[Interface]
PrivateKey = SMXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXM=
DNS = 1.1.1.1:853, 1.0.0.1:853
MTU = 1280
[Peer]
PublicKey = bXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXo=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = engage.cloudflareclient.com:2408

Správne nastavenia v konfiguračnom súbore resolved.conf aby fungovalo CloudFlare WARP

Po dlhých a rozsiahlych experimentoch som prišiel na to, že CloudFlare WARP nefunguje ak máte aktivované jednu z týchto možností alebo oboje: DNSOverTLS a DNSSEC
Existujú dve riešenia. Buď bude na začiatku mriežka, ktorý deaktivuje danú funkciu alebo vyplníte na miesto „yes“ „no“
#DNSOverTLS=yes
#DNSSEC=yes
Alebo
DNSOverTLS=no
DNSSEC=no

Riešenie môjho individuálneho problému na Kubuntu s CloudFlare WARP. Oprava nastavení

Až po dlhom trápení sa AI podarilo zistiť kde je problém.
Po príkaze
resolvectl status
sa vo výstupe v termináli zobrazilo
resolv.conf mode: foreign

Systémový súbor resolved.conf z nejakej neznámej príčiny prestal byť symlink. Preto sa zmeny nastavenia tohto súboru prejavili v systéme nespoľahlivo, nie všetky zmeny sa prejavili.

Oprava vyzerala nasledovne:

Odstránenie ochrany súboru
sudo chattr -i /etc/resolv.conf

Vytvorenie symbolického odkazu symlink

Zmazanie súboru
sudo rm /etc/resolv.conf

Vytvorenie odkazu
sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Reštart
sudo systemctl restart systemd-resolved
sudo systemctl restart NetworkManager

Nevýhoda WARP

Dodatočne sa mi podarilo zistiť, že WARP ani WGCF nepodporujú geolokalizáciu servera ako je to možné pri bežne VPN. Nemôžete si nastaviť krajinu vašej zobrazovanej IP pre servery/webstránky ktoré navštevujete. To je samozrejme nevýhoda.
Cieľom WARP nie je len bezpečnosť a anonymita ale rovnako alebo ešte viac optimalizácia internetového prenosu dát, aby internet išiel s menšou odozvou a rýchlejšie

Prílohy

Warp-_2x.png (45.2 kB)