Якщо ви створили невелику технічну установку вдома з NAS, сервер Linux або перероблений комп'ютер, повний сервісівЯ впевнений, що ви стикалися з тією ж проблемою: все працює ідеально, коли ви підключені до Wi-Fi, але щойно ви виходите з дому, забуваєте про це. Ви не можете отримати доступ до своїх програм, файлів чи IP-камер, не загрузнувши в проблемах із конфігурацією портів, проблемах DDNS та ризиках безпеки, або не вдаючись до... Рекомендовані VPN для Android.
Найпростіший і найбезпечніший спосіб вирішити це – створити VPN з WireGuard та підключення з Android (і з будь-якого іншого пристрою). Таким чином, ви можете користуватися своєю домашньою мережею так, ніби ви фізично там перебуваєте, навіть якщо ваш інтернет-провайдер використовує CGNAT або у вас дещо складна топологія мережі. Давайте розглянемо це крок за кроком: що таке WireGuard, як його налаштувати в Linux (або за допомогою Docker та панелей, таких як EasyPanel/WireGuard Easy) та як точно налаштувати його для доступу до вашої локальної мережі. Активуйте VPN на Android та безпечно переглядайте веб-сторінки зі свого мобільного пристрою.
Що таке WireGuard і чому він ідеально підходить для домашнього VPN?
WireGuard — це сучасний, мінімалістичний та дуже швидкий VPN-протокол. що повністю змінило спосіб налаштування віртуальних приватних мереж. На відміну від динозаврів, таких як OpenVPN або IPsec, його було розроблено з нуля, щоб він був простим у налаштуванні, легким в аудиті та надзвичайно ефективним.
Його кодова база дуже мала (порядку кілька тисяч рядківЦе спрощує пошук вразливостей та оновлення. Для шифрування використовуються лише сучасні та перевірені алгоритми, такі як Curve25519, ChaCha20, Poly1305, BLAKE2s і компанія. Жодних нескінченних списків застарілих шифрів, які ніхто більше не повинен використовувати.
Крім того, він працює виключно на UDP та може бути інтегрований у ядро LinuxОтже, затримка низька, продуктивність дуже хороша, а використання процесора незначне. Це особливо помітно під час підключення з Android через 4G/5G або звичайний Wi-Fi: перепідключення швидкі, а тунель досить добре обробляє зміни мережі.
Налаштування також набагато зручніше для користувача: кожен пристрій має пара відкритих/приватних ключівЙому призначається внутрішня IP-адреса VPN, а трафік, що надсилається через тунель, визначається політикою. Дозволені IP-адресиЗ цим, портом UDP та чотирма іншими налаштуваннями, ви можете запустити його та працювати без десятків загадкових параметрів чи нескінченної кількості файлів.
Ще однією великою перевагою є те, що WireGuard є кросплатформним: існує Офіційні клієнти для AndroidВін сумісний з iOS, Windows, macOS та Linux, а також може працювати на маршрутизаторах, контейнерах Docker або вбудованих пристроях. На мобільному пристрої ви можете імпортувати файл .conf або просто просканувати QR-код, згенерований на сервері і готовий.
Основні вимоги перед налаштуванням сервера WireGuard
Перш ніж вставляти команди на кшталт «завтра не буде», варто перевірити, чи відповідаєте ви певним вимогам. Мінімальні вимоги для сервера WireGuard, доступного з AndroidЦе позбавить вас багатьох головних болів.
Найпоширенішим є використання сервер linuxЦе може бути хмарний VPS (Ubuntu 22.04 — дуже зручний варіант) або домашній комп’ютер (Raspberry Pi, miniPC, NAS з підтримкою тощо). Будь-який сучасний дистрибутив з підтримкою WireGuard працюватиме, але Ubuntu/Debian пропонують більше документації та прикладів.
Вам потрібен користувач із дозволи адміністрації (root або користувач із правами sudo), оскільки ви будете встановлювати пакети, налаштовувати мережеві параметри, вмикати переадресацію IP-адрес та, можливо, змінювати правила брандмауера. Також важливо мати SSH-доступ до сервера та знати, як мінімум, як підключитися зі свого комп’ютера.
На стороні клієнта ви в основному використовуватимете свій Смартфон Android з офіційним додатком WireGuardХоча та сама схема конфігурації працює для Windows, macOS, Linux або iOS. Файл конфігурації мало відрізняється між платформами, тому те, що ви тут дізнаєтеся, буде корисним для всіх них.
Головний ворог: CGNAT та як він впливає на ваш домашній VPN
Один з найважливіших моментів, особливо якщо сервер знаходиться вдома, це знати, чи ваш провайдер розміщує вас за мережею. CGNAT (NAT операторського рівня)За допомогою CGNAT ви надаєте спільний доступ до публічної IP-адреси іншим клієнтам та Ви не можете відкрити порти для домашньої мережіщо надзвичайно ускладнює доступ до VPN-сервера на вашому домашньому з’єднанні.
Виявити це просто: спочатку запишіть свої Публічний IP З веб-сайту, такого як «whatismyip», у вашому браузері. Потім відкрийте панель керування маршрутизатором (зазвичай за адресою 192.168.1.1 або 192.168.0.1) і знайдіть у розділі WAN або Інтернет IP-адресу, яку, на думку маршрутизатора, він має. Якщо ця IP-адреса починається з 10.xxx або знаходиться в діапазоні 100.64.0.0 – 100.127.255.255 А якщо це не відповідає інформації на вебсайтах, ви перебуваєте під CGNAT. Інший прямий варіант – зателефонувати оператору та запитати.
З CGNAT ваш маршрутизатор не отримує прямої публічної IP-адреси, тому Ви не можете виконати класичну переадресацію портівДеякі компанії дозволяють вам відмовитися від CGNAT, сплативши додаткову плату або активувавши опцію, інші вимагають змінити свій план, і іноді ціна стрімко зростає. Якщо ви не хочете проходити через усе це, розумним рішенням буде перейти на... VPS як містВаш домашній сервер створює тунель WireGuard до VPS, і ви підключаєтеся до VPS з Android, щоб дістатися до домашньої локальної мережі.
Підготовка сервера Linux: оновлення та встановлення WireGuard
На сервері з Ubuntu 22.04 (або подібною) перше, що потрібно зробити, це оновити пакети щоб уникнути перенесення вразливостей або старих версій:
apt update && apt upgrade -y
Потім встановіть WireGuard з офіційних репозиторіїв за допомогою:
apt install -y wireguard
Цей пакет включає інструменти wg та wg-швидко і завантажує необхідний модуль ядра. Якщо ви хочете примусово виконати завантаження вручну в дещо незвичному середовищі, ви можете використовувати:
modprobe wireguard
Генерація ключів та структура конфігурації сервера
Основою WireGuard є система відкриті та закриті ключіЗазвичай робота виконується у стандартному каталозі. /etc/wireguard/де ви будете зберігати ключі та файли конфігурації.
Перейдіть до цього каталогу та закріпіть дозволи за замовчуванням, перш ніж створювати щось:
cd /etc/wireguard/
umask 077
Це гарантує, що нові файли можуть бути нечитабельними для інших користувачівЦе критично важливо під час генерації закритих ключів. Згенеруйте пару ключів сервера, наприклад:
wg genkey > privatekey
wg pubkey < privatekey > publickey
La закритий ключ Він завжди повинен залишатися на сервері та ніколи його не залишати; відкритий ключ Так, ви можете поділитися цим з клієнтами. Також уникайте сторонніх програм, які можуть розкрити секретні дані; перегляньте статті на тему [відсутня тема]. незахищені VPN-додатки Якщо у вас є якісь сумніви щодо клієнтів.
chmod 600 privatekey
Якщо ви хочете побачити ключі на екрані, щоб скопіювати їх пізніше, ви можете скористатися:
tail privatekey publickey
Створіть та відредагуйте файл wg0.conf сервера
WireGuard організовує свої тунелі в віртуальні інтерфейси Виклики за домовленістю wg0, wg1 тощо. Кожен інтерфейс має свій власний файл конфігурації в /etc/wireguard/Ми збираємося створити wg0.conf як основний інтерфейс.
Якщо вам подобається Nano, але він у вас ще не встановлений, ви можете додати його за допомогою:
apt install -y nano
Відкрийте файл конфігурації:
nano /etc/wireguard/wg0.conf
Перш ніж щось писати, визначте назву мережевого інтерфейсу, який підключається до Інтернету (той, що має публічну IP-адресу, або IP-адресу, яку ви використовуєте для підключення через SSH). Ви можете знайти її за допомогою:
ip a
У багатьох VPS це називається eth0, ens3, enp0s3 або щось подібне. Вам це знадобиться для правил NAT. Прикладом повного блокування може бути:
Address = 10.30.0.1/24
PrivateKey = <clave_privada_servidor>
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Тут ви надаєте серверу IP-адресу 10.30.0.1 у мережі VPN, ви вказуєте йому прослуховувати UDP-порт 51820 та визначаєте правила iptables, які застосовуються, коли виникає інтерфейс wg0 (PostUp) і видаляються, коли ви спускаєтесь (PostDownБудьте обережні під час заміни eth0 за фактичною назвою вашого вихідного інтерфейсу.
У Nano ви економите за допомогою Ctrl + O і ви закриваєтеся тим, Ctrl + XЦей wg0.conf буде ядром, на якому ви додасте різних клієнтів (пірерів).
Увімкніть переадресацію IP-адрес та запустіть службу WireGuard
Щоб ваші клієнти мали доступ до Інтернету або локальної мережі за VPN-сервером, система повинна дозволити Переадресація пакетів IPv4 та IPv6Це контролюється за допомогою sysctl.
Швидкий спосіб — додати відповідні рядки до /etc/sysctl.conf або до файлу в /etc/sysctl.d/ та поповнення рахунку:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p
Якщо ці рядки вже існували, але були закоментовані (зі знаком #), достатньо видалити #зберегти та перезапустити sysctl -pБез цього кроку тунель буде запущено, але клієнти втратитимуть доступ до локальної мережі або Інтернету.
Тепер ви можете підняти WireGuard за допомогою wg-швидкий та системний код:
systemctl start wg-quick@wg0
Щоб він запускався автоматично разом із системою:
systemctl enable wg-quick@wg0
Перевірте, чи все зелене, за допомогою:
systemctl status wg-quick@wg0
А щоб побачити деталі інтерфейсу, ключів, вузлів та трафіку в режимі реального часу, використовуйте:
wg
Додати клієнтів: ПК, мобільні пристрої Android та інші пристрої
Кожен пристрій, який підключається до вашої VPN, визначається як пір з власним ключем та тунельною IP-адресоюВи можете генерувати ключі на самому сервері (зручніше) або на кожному клієнті (безпечніше, оскільки закритий ключ ніколи його не залишає).
Для настільного комп'ютера ви можете зробити, наприклад, у /etc/wireguard/:
wg genkey > mypc_privatekey
wg pubkey < mypc_privatekey > mypc_publickey
А для вашого мобільного пристрою Android:
wg genkey > myphone_privatekey
wg pubkey < myphone_privatekey > myphone_publickey
Перевірте файли за допомогою:
ls
І він показує відкриті ключі:
tail mypc_publickey myphone_publickey
Ці відкриті ключі - це ті, які ви введете wg0.conf всередині блоків Знову відкрийте файл сервера:
nano /etc/wireguard/wg0.conf
І додає, наприклад,:
PublicKey = <clave_publica_mypc>
AllowedIPs = 10.30.0.2/32
ВідкритийКлюч =
Дозволені IP-адреси = 10.30.0.3/32
Роблячи це, ви резервуєте IP-адресу 10.30.0.2 для ПК і 10.30.0.3 для мобільних пристроїв Android/32 вказує на те, що це окрема IP-адреса. Кожен вузол використовує свою власну унікальну IP-адресу в підмережі VPN.
Збережіть та перезавантажте сервіс, щоб застосувати зміни:
systemctl restart wg-quick@wg0
Створення файлів конфігурації клієнта
Тепер час підготувати Файли .conf, які використовуватимуть клієнтиВони включають ваш закритий ключ, внутрішню IP-адресу, DNS та дані сервера (відкритий ключ, IP-адресу/домен і порт).
Для ПК ви можете створити mypc.conf у /etc/wireguard/ (або де завгодно):
nano mypc.conf
Тип контенту:
PrivateKey = <clave_privada_mypc>
Address = 10.30.0.2/24
DNS = 1.1.1.1
ВідкритийКлюч =
Кінцева точка = :51820
Дозволені IP-адреси = 0.0.0.0/0
PersistentKeepalive = 20
У першому блоці ви визначаєте локальне «обличчя» клієнта: його закритий ключ, IP-адресу VPN та DNS, який він використовуватиме. У другому блоці ви описуєте сервер: його відкритий ключ, адресу та порт. Рядок Дозволені IP-адреси = 0.0.0.0/0 робить Весь трафік клієнтів проходить через VPN (повний тунель). Якщо вам потрібен доступ лише до віддаленої локальної мережі, ви можете обмежити його адресами 10.30.0.0/24 та/або 192.168.x.0/24, залежно від вашої мережі.
Постійний Keepalive Для клієнтів за NAT або мобільними мережами настійно рекомендується використовувати кожні 20-25 секунд, оскільки це запобігає неактивному вигляду тунелю та закриттю сеансу брандмауером.
Конфігурація, специфічна для клієнта Android
На Android процес такий самий. Телефону потрібен його закритий ключ, ваша IP-адреса тунелю і дані сервера. Ви можете повторно використовувати ключі, згенеровані на сервері, або згенерувати їх безпосередньо в додатку.
Наслідуючи приклад, ви створили myphone_privatekey та myphone_publickeyУ вас відсутній файл myphone.conf для вашого телефону:
nano myphone.conf
Щось на кшталт цього:
PrivateKey = <clave_privada_myphone>
Address = 10.30.0.3/24
DNS = 1.1.1.1
ВідкритийКлюч =
Кінцева точка = :51820
Дозволені IP-адреси = 0.0.0.0/0
PersistentKeepalive = 20
Найскладніше тут Як безпечно надіслати цей файл на мобільний телефонУ лабораторному середовищі ви можете завантажити його на веб-сервер, але у виробництві краще уникати надсилання електронною поштою або зберігання в незашифрованих сервісах.
Найчистіший спосіб зазвичай полягає у використанні qrencode щоб згенерувати QR-код, який може сканувати додаток WireGuard на Android:
apt install -y qrencode
qrencode -t ansiutf8 -r myphone.conf
На терміналі ви побачите QR-код із символів ASCII. На мобільному пристрої відкрийте застосунок WireGuard, виберіть «Сканування з QR-коду«(Відскануйте QR-код) і вкажіть на екран. Таким чином, вам не доведеться поширювати файл .conf через сумнівні канали».
Доступ до домашньої локальної мережі, DNS та локальних імен
Окрім будівництва тунелю, що цікавого в VPN з WireGuard на Android для безпечного домашнього з’єднання Йдеться про можливість доступу до всіх ваших домашніх пристроїв, ніби ви там знаходитесь: NAS, IP-камер, маршрутизаторів, медіасерверів тощо, в ідеалі за допомогою локальні доменні імена замість IP-адрес.
Багато маршрутизаторів, які інтегрують сервер WireGuard або внутрішній DNS, мають такий розділ, як МЕРЕЖА → DNS → Редагувати хости де ви можете створювати записи, такі як 192.168.1.50 nas-casa.localЯкщо ви вкажете DNS ваших VPN-клієнтів на маршрутизатор або сервер, який розпізнає ці імена, ви зможете отримати доступ до своїх пристроїв за іменем хоста.
Деякі прошивки маршрутизаторів з WireGuard містять такі прапорці, як «Дозволити віддалений доступ до локальної мережі»«Підмережа віддаленого доступу до локальної мережі» або подібне. Ви повинні ввімкнути їх, щоб віддалені клієнти могли зв’язатися з локальна підмережа (192.168.xx) поза межами самого маршрутизатора.
У сценаріях, коли сервер WireGuard працює вбудованим у маршрутизатор, він часто дозволяє експорт попередньо підготовлених профілів .conf для мобільних пристроїв або інших клієнтських маршрутизаторів. Ці профілі зазвичай містять IP-адресу тунелю, правильну DNS-адресу (зазвичай власну IP-адресу маршрутизатора в мережі VPN) та правильно налаштовані AllowedIPs.
Перевірка, усунення несправностей та безпека
Після імпорту конфігурації в Android та активації тунелю, перше, що потрібно зробити, це перевірити, що Рукостискання відбувається правильно.Сам додаток WireGuard відображає стан, кількість надісланих/отриманих байтів та позначку часу останнього рукостискання.
На сервері виконайте:
wg
Там ви побачите для кожного вузла його відкритий ключ, віддалену IP-адресу, з якої він підключається, останнє рукостискання та обмінний трафік. Якщо поле «Останнє рукостискання» порожнє або дуже старе, клієнт не підключається або щось блокує його.
Якщо немає з'єднання, перевірте, чи Порт UDP (51820 або будь-який інший, який ви використовуєте) відкритий на брандмауері сервера (UFW, iptables, nftables) та на будь-яких проміжних маршрутизаторах. Якщо сервер знаходиться за домашнім маршрутизатором, налаштуйте Переадресація UDP-порту з цього порту на внутрішню IP-адресу сервераПроблема може стосуватися певних програм; див. наш посібник з Що робити, якщо програми не працюють із ввімкненим VPN.
Якщо тунель відкривається, але у вас немає мобільного інтернету, перевірте, чи пересилання пакетів (net.ipv4.ip_forward і за бажанням net.ipv6.conf.all.forwarding) активний, і що правила NAT вказують на правильний вихідний інтерфейс (eth0, ens3 тощо).
Проблеми з DNS зазвичай виявляються, коли ви можете виконати команду ping для певної IP-адреси (наприклад, 1.1.1.1), але не можете визначити домени. У такому випадку перевірте рядок ДНС = У файлі .conf клієнта: ви можете використовувати публічний DNS (8.8.8.8, 1.1.1.1) або IP-адресу тунелю сервера, якщо він діє як внутрішній резолвер.
Що стосується безпеки, окрім криптографії WireGuard, існує ряд... основні належні практики:
- Захистіть свої закриті ключіНе копіюйте їх на небезпечні сайти та не діліться ними з кимось.
- Обмежує дозволені IP-адреси на вузол: надає кожному клієнту доступ лише до потрібних йому мереж, без жодної повної свободи дій.
- Використання нетривіальних UDP-портівЗаміна 51820 на вище значення зменшує шум від автоматичного сканування.
- Підтримуйте свою систему та WireGuard в актуальному стані: пластирі щодня.
- Фільтрує доступ до порту WireGuard у брандмауері, щоб обмежити тих, хто може спробувати підключитися (за вихідною IP-адресою, коли це має сенс).
Якщо у вас є CGNAT або ви хочете чогось більш просунутого: тунель через VPS
Якщо ваш оператор підключив вас до CGNAT або ви просто хочете відокремити рівень загального доступу вашого дому, ви можете налаштувати дещо складніше, але дуже потужне рішення: Використовуйте VPS як центральну точку, а ваш домашній сервер як клієнт.Потім ви підключаєтеся до VPS з Android і через нього отримуєте доступ до своєї локальної мережі.
Основна схема така: у хмарі ви налаштовуєте «Сервер» WireGuard (наприклад, з Docker та стеком, таким як linuxserver/wireguard, або попередньо створеним репозиторієм), ви вмикаєте переадресацію та NAT, і вдома у вас є Raspberry Pi або ПК завжди увімкнені який підключається до цього VPS як пір. VPS має публічну IP-адресу та не залежить від CGNAT, тому ви можете відкривати там порти без жодних проблем.
Типовий робочий процес з Docker може бути таким:
- На VPS ви встановлюєте Docker та Docker Compose, клонуєте репозиторій конфігурації WireGuard та Ви піднімете контейнер за допомогою `docker-compose up -d`.
- Контейнер автоматично генерує ключі сервера та ключі кількох вузлів (peer1, peer2…), зберігаючи їхні файли .conf у папці config.
- Ви налаштовуєте файл сервера, щоб включити ваш домашня підмережа (наприклад, 192.168.1.0/24) у списку Дозволені IP-адреси вузла, який використовуватиме ваш Raspberry, та налаштуйте iptables або еквівалентні правила на хості для маршрутизації трафіку між VPN та вашою домашньою мережею.
- На Raspberry Pi клонуйте той самий репозиторій (або підготовлений), створіть файл wg0.conf з даними, згенерованими для peer1, увімкніть локальний NAT (щоб мати можливість надсилати трафік назад до локальної мережі) та запустіть клієнт WireGuard в Docker або нативно.
Звідти будь-який інший пристрій (включно з вашим) Android із застосунком WireGuardВи можете використовувати один з додаткових вузлів VPS (peer2, peer3…) для підключення. На практиці ви завжди підключаєтеся до IP-адреси VPS, але зрештою отримуєте доступ до послуг домашньої мережі, навіть через CGNAT.
WireGuard з веб-панелями: WireGuard Easy, EasyPanel та компанія
Якщо все це здається вам занадто складним у консолі, існують дуже зручні рішення, які налаштовують Веб-панель для керування WireGuard в 1 клікНаприклад, на сервері з EasyPanel ви можете розгорнути такий застосунок, як WireGuard Easy за допомогою шаблону та забудьте про написання файлів вручну.
Робочий процес з цими панелями зазвичай такий:
- Ви отримуєте доступ до панелі (EasyPanel або іншої) за допомогою свого користувача.
- Ви встановлюєте шаблон WireGuard Easy, що визначає такі параметри, як домен/публічна IP-адреса (WG_HOST), UDP-порт, підмережа VPN та DNS.
- Система запускає контейнер, який надає доступ до захищеного паролем веб-інтерфейсу, де ви бачите список вузлів, статистика та параметри конфігурації.
- Щоб додати клієнта, просто заповніть форму з його іменем; панель згенерує ключі, призначить їм IP-адресу та відображає QR-код готовий до сканування за допомогою Android, окрім можливості завантажити файл .conf.
Це надзвичайно зручно в середовищах, де VPN використовує більше людей (сім'я, робочий колектив тощо), оскільки ви можете Активуйте або скасуйте доступ за лічені секунди без необхідності пояснювати будь-які технічні аспекти. Крім того, якщо ви розгортаєте WireGuard Easy на VPS, ви централізуєте весь віддалений доступ до вашої домашньої мережі та інших локацій.
WireGuard на інших системах: Windows, macOS, Linux, iOS
Хоча ми тут зосереджуємося на Android, WireGuard працює так само добре з настільні комп'ютери та інші мобільні пристроїНаприклад, у Windows ви завантажуєте офіційний клієнт, встановлюєте його та натискаєте «Додати тунель«, ви обираєте «Додати порожній тунель» або «Імпортувати з файлу», і програма сама може згенерувати для вас пару ключів.
Формат конфігурації той самий: блок з вашим Приватний ключ, адреса та DNSі блокуйте за допомогою Відкритий ключ сервера, кінцева точка та дозволені IP-адресиПісля збереження просто натисніть «Активувати», щоб запустити інтерфейс і розпочати потік трафіку.
На iOS процес дуже схожий на Android: ви встановлюєте додаток WireGuard з App Store, створюєте новий тунель і можете Імпортуйте файл .conf або відскануйте QR-код який ви згенерували за допомогою qrencode або з панелі, як-от WireGuard Easy. Потім ви активуєте тунель за допомогою комутатора, і ви вже всередині вашої домашньої мережі.
На робочому столі Linux ви можете використовувати сам інструмент командного рядка (wg-швидкий запуск wg0або інтегруйте його з NetworkManager, імпортувавши файл .conf з графічного інтерфейсу. Також існує офіційний клієнт для macOS з інтерфейсом, дуже схожим на версію для Windows.
Зрештою, мати однаковий протокол та схема конфігурації на всіх платформах Це значно спрощує життя: ви копіюєте логіку від одного клієнта до іншого, змінюючи лише ключі та IP-адресу тунелю.
Завдяки такій комбінації — добре налаштованого сервера Linux або Docker, можливої підтримки VPS, якщо у вас є CGNAT, веб-панелей для спрощення управління та застосунку WireGuard на Android — ви можете налаштувати Надійний, швидкий та безпечний домашній VPN що дозволяє вам отримувати доступ до домашньої мережі, файлів і служб, а також безпечно переглядати веб-сторінки через загальнодоступний Wi-Fi, не покладаючись на сторонні ресурси чи непрозорі комерційні рішення. Поділіться цією інформацією, щоб інші дізналися про нову функцію.