Apsaugokite visą „Wi -Fi“naudodami VPN - prieigos tašką!: 5 veiksmai

2024 Autorius: John Day | [email protected]. Paskutinį kartą keistas: 2024-01-30 10:47

Kadangi vis daugiau mūsų gyvenimo siunčiama į didįjį dangaus debesį, tai yra internetą, vis sunkiau išlikti saugiems ir privatiems jūsų nuotykių internete metu. Nesvarbu, ar pasiekiate neskelbtiną informaciją, kurią norite laikyti privačia, ar bandote apeiti apribojimus, nustatytus kur ir ką galite naršyti savo tinkle, ar norite tik saugesnės naršymo patirties, dažniausiai girdžiu patarimus, kaip saugotis internete yra naudoti virtualų privatų tinklą (arba trumpai VPN).

VPT siūlo dvi puikias paslaugas viename pakete, nes jie užšifruoja visus per juos siunčiamus informacijos paketus ir teikia nuotolines paslaugas, esančias tame pačiame tinkle kaip ir VPN, vietinį mašinai, kurią naudojate prisijungti. Jei mano VPN serveris yra Vokietijoje ir aš prisijungsiu prie savo VPN iš nešiojamojo kompiuterio Australijoje, mano nešiojamasis kompiuteris dabar turės Vokietijos IP adresą!

Tačiau pagrindinis kliūtis, susijusi su populiaresnėmis VPN paslaugomis, yra ta, kad daugelio tipų įrenginiai yra tokioje situacijoje, kai jų negalima sukonfigūruoti naudoti VPN kliento arba jie neturi prieinamo VPN kliento. Taigi norime, kad mūsų įrenginiai būtų prijungti prie mūsų VPN, tačiau šioms kitoms mašinoms, kurios negali prisijungti prie paprasto VPN kliento, norime, kad jos būtų prijungtos prie mūsų VPN, net nežinant, kad jos yra prijungtos! Įveskite VPN prieigos tašką!

1 žingsnis: medžiagos

Šiam projektui reikalingos medžiagos yra mažai, tačiau reikalingi visi elementai.

Išskyrus jūsų namų maršrutizatorių (kurį, manau, turėtumėte), jums reikės

- 1 „Raspberry Pi“(pageidautina „Raspberry Pi 3“arba geresnė versija, tačiau tol, kol ji palaiko „Ethernet“ryšį, ji turėtų būti gerai!)

- 1 Ethernet laidas

- 1 „wifi“raktas (nebent naudojate „Raspberry Pi 3“, tokiu atveju galite naudoti įmontuotą „Wi -Fi“

- 1 5V 2amp maitinimo šaltinis Raspberry Pi

2 veiksmas: „Wi -Fi“prieigos taško sąranka - 1 dalis - „Wifi“statinis IP adresas

Prieš nustatydami „Raspberry Pi“prieigos taško VPN ryšį, turime nustatyti „Pi“kaip prieigos tašką. Norėdami tai padaryti, „Raspberry Pi“naudosime „hostapd“ir „dnsmasq“paketus. „Hostapd“yra vartotojo erdvės demonas belaidžiams prieigos taškams ir autentifikavimo serveriams nustatyti, o „dnsmasq“teikia tinklo infrastruktūrą (DNS, DHCP, tinklo įkrova ir kt.) Mažiems tinklams ir mažiems tinklo maršrutizatoriams.

Taigi prieš pradėdami įsitikinkite, kad turite švarų „Raspbian“OS, veikiančios „Pi“, vaizdą ir pritaikytus naujausius atnaujinimus. Taip pat norite įsitikinti, kad jūsų „Raspberry Pi“yra prijungtas prie maršrutizatoriaus per kietosios linijos eterneto ryšį, o ne „Wifi“! Galų gale mes priimsime prisijungimo užklausas iš kitų įrenginių per mūsų „Wi -Fi“modulį, todėl nenorite būti prijungtas prie maršrutizatoriaus per tą patį modulį. Jei naudojate „Raspberry Pi Zero“ar senesnį priedą (kuriame nėra įmontuoto „Wi -Fi“), vis tiek galite naudoti tą „Raspberry Pi“, jums tiesiog reikia USB „wifi“rakto.

Prisijungę prie „Raspberry Pi“(per SSH arba įjungę monitorių) patikrinkite, ar jis atnaujintas

sudo apt-get atnaujinimas

sudo apt-get atnaujinimas

Tada norėsite atsisiųsti ir įdiegti „hostapd“ir „dnsmasq“

sudo apt-get install hostapd dnsmasq

Įdiegus paketus, abi programos bus paleistos automatiškai, tačiau prieš paleidžiant norime pakeisti jų konfigūraciją. Taigi mes sieksime sistemos valdymo, kad sustabdytume su šiomis programomis susietas paslaugas

sudo systemctl sustabdyti hostapd

sudo systemctl sustabdyti dnsmasq

Paslaugoms sustojus, norėsime priskirti sau statinį IP adresą, naudodami dhcpcd konfigūracijos failą, esantį adresu /etc/dhcpcd.conf

Prieš tai darydami, norime įsitikinti, kad priskirdami statinį IP adresą nurodome teisingą sąsają. Jei naudojate Raspberry Pi 3b arba Raspberry Pi Zero W, jis turėtų būti nurodytas kaip wlan0. Jei naudojate „wifi“raktą, paprastai manau, kad šiek tiek lengviau prijungti „wifi“raktą prie maršrutizatoriaus, paimti naują IP adresą ir tada patikrinti ryšį, kad surastumėte sąsają. Savo sąsają galite patikrinti vykdydami šią komandą

ifconfig

Jei patikrinsite prie šio veiksmo pridėtą viršutinį vaizdą, galėsite pamatyti (atėmus redaguotus IP adresus) sąsajas, priskirtas mano Raspberry Pi. Mano atveju aš naudoju wlan0, bet tai priklauso nuo jūsų sąrankos. Kaip minėjau anksčiau, jei naudojate „wifi“raktą, prisijunkite prie savo tinklo, paleiskite komandą „ifconfig“ir bet kokia sąsaja, kuri turi galiojantį IP adresą ir nėra „eth0“ar „lo“, bus jūsų norima sąsaja naudoti.

Dabar, kai žinau, kuri sąsaja skirta mano „wifi“adapteriui, galiu jai priskirti statinį IP adresą dhcpcd konfigūracijos faile! Atidarykite konfigūraciją mėgstamiausiame redaktoriuje (aš naudoju nano).

sudo nano /etc/dhcpcd.conf

Konfigūracijos apačioje norime pridėti šias eilutes, tačiau pakeiskite „wlan0“bet kokia jūsų sąsaja:

sąsaja wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Ši komanda daro statinį 192.168.220.1 IP ir nurodo „wlan0“sąsajai nesusieti su „wpa_supplicant“tvarkykle, kuri paprastai naudojama šiai sąsajai prisijungti prie kitų tinklų. Mes tai darome, kad (galiausiai) galėtume transliuoti savo signalą per „wlan0“sąsają, o ne prisijungti prie tinklo per šią sąsają.

Jei šiems pakeitimams atlikti naudojate „nano“, išsaugokite pakeitimus paspausdami „Ctrl“+x, tada „Y“, tada įveskite, kad išsaugotumėte failą ir išeitumėte iš „nano“. (atminkite, kad šioje pamokoje mes šiek tiek įeisime ir išeisime iš nano).

Galiausiai, kad šie pakeitimai įsigaliotų, turėsite iš naujo paleisti „Pi“arba tiesiog iš naujo paleisti „dhcpcd“paslaugą, kad iš naujo įkeltumėte konfigūraciją ir pritaikytumėte šiuos pakeitimus

sudo systemctl iš naujo paleiskite dhcpcd

Palaukite šiek tiek, tada vėl paleiskite komandą ifconfig, kad patikrintumėte, ar pakeitimai įsigaliojo. Prisipažinsiu, kartais tai išbandžiau ir mano maršrutizatorius vis dar turi galiojančią nuomos sutartį dėl mano naudojamo IP adreso, todėl jis išsaugos seną adresą. Tokiu atveju dar kartą patikrinkite viską savo konfigūracijoje ir iš naujo paleiskite „dhcpcd“paslaugą.

Mūsų „Wi -Fi“adapteris (turėtų) dabar turi statinį IP adresą!

Toliau hostapd ir dnsmasq konfigūracija!

3 veiksmas: „Wi -Fi“prieigos taško sąranka - 2 dalis - „Hostapd“konfigūracija

Pasikeitus dhcpcd.conf, laikas pradėti naudotis hostapd! Pradėkite sukurdami naują failą hostapd.conf savo mėgstamiausiame teksto redaktoriuje (dar kartą man nano!)

sudo nano /etc/hostapd/hostapd.conf

Kai atidarysite konfigūracijos failą, nukopijuokite šį tekstą ir įklijuokite jį į konfigūraciją.

sąsaja = wlan0driver = nl80211

hw_mode = g channel = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# „Wifi“tinklo pavadinimas ir slaptažodis JUMS TURĖTŲ PAKEISTI ssid = Pi-WifiFoLife # Tinklo slaptafrazė wpa_passphrase = Y0uSh0uldCh@ng3M3

Kai įklijuosite, apačioje raskite paskutinę skiltį, kurioje yra „ssid =“ir „wpa_passphrase =“. Taip bus vadinamas mūsų kuriamas „Wi -Fi“tinklas ir koks slaptažodis yra prisijungti prie mūsų nustatomo „Wi -Fi“tinklo. Taigi būtinai pakeiskite tai kitam! Tu buvai ispetaS.

Be to, jei naudojate „wifi“raktą, o ne įmontuotą „wifi“, konfigūracijos viršuje turėsite pakeisti sąsajos skyrių, kad jis atitiktų jūsų „wifi“rakto sąsają. Taip pat gali tekti pakeisti tvarkyklę, atsižvelgiant į naudojamo „wifi“rakto modelį. Norėdami rasti (dažniausiai išsamų) suderinamų „Wi -Fi“raktų sąrašą, atitinkamas tvarkykles ir palaikymo puslapius, šis puslapis man pasirodė labai naudingas! Taip pat patikrinkite naudojamo produkto palaikymo puslapį, jei įstrigote. Atminkite, kad jei anksčiau pamokoje pavyko prisijungti prie tinklo naudojant „wifi“raktą, tai reiškia, kad jūsų „pi“kažkur turėtų būti veikianti raktelio tvarkyklė !!!

Dabar, kai turime naują konfigūracijos failą, turime įsitikinti, kad nurodome „hostapd“procesams nurodyti naują konfigūracijos failą! pradėkite nuo šių:

sudo nano/etc/default/hostapd

Raskite ką tik atidaryto failo eilutę, kurioje parašyta # DAEMON_CONF = "", ir pakeiskite ją į DAEMON_CONF = "/etc/hostapd/hostapd.conf" (įsitikinkite, kad išjungėte # ženklą pradžioje, kad panaikintumėte komentarą laukas!)

Yra dar vienas „hostapd“konfigūracijos failas, kurį turime atnaujinti. Vykdykite šią komandą:

sudo nano /etc/init.d/hostapd

Šis pakeitimas yra beveik identiškas ankstesniam. Raskite skyrių DAEMON_CONF = ir pakeiskite jį DAEMON_CONF =/etc/hostapd/hostapd.conf

Tada išsaugokite ir išeikite iš to failo!

„Hostapd“dabar sukonfigūruotas!

4 veiksmas: DNSMasq konfigūracija ir IP persiuntimas

Kai hostapd dabar sukonfigūruotas (nors dar neveikia), dabar galime pereiti prie dnsmasq!

Prieš pradėdami redaguoti konfigūracijos failus, galime pereiti į vieną iš originalių konfigūracijos failų, nes mes nenaudosime nieko, kas yra šiame konkrečiame konfigūracijos faile.

Atlikdami greitą mv komandą su nauju failo pavadinimu, turėtumėte tai padaryti

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Tada sukurkite naują konfigūracijos failą!

sudo nano /etc/dnsmasq.conf

Per daug nesigilindamas į šį, aš tiesiog nukopijuosiu tai ir įklijuosiu į naują failą

interface = wlan0 # Naudokite sąsają wlan0 (arba bet kokia sąsaja, kuri yra jūsų belaidis) serveris = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP diapazonas ir nuomos laikas

Viršutinė šios konfigūracijos eilutė skirta sąsajai, kurią naudojame signalui transliuoti, vidurinė eilutė skirta mūsų „Doman Name“paslaugų teikėjui, o apatinė eilutė yra IP adresų, kuriuos „Pi“priskirs vartotojams, prisijungusiems, diapazonas „Pi Wifi“. Eikite į priekį ir išsaugokite šį failą, tada išeikite iš „nano“(arba „vim“ar bet kokio kito failo pakeitimo).

Toliau turime nustatyti konfigūracijos failą systctl.conf, kad jis perduotų visą srautą, kuris patenka į belaidę sąsają, kad būtų nukreiptas per eterneto ryšį

sudo nano /etc/sysctl.conf

Šiame konfigūracijos faile jums tereikia atšaukti eilutę #net.ipv4.ip_forward = 1 ir išsaugoti/išeiti iš šio konfigūracijos failo.

Dabar, kai jau nustatėme peradresavimą, norime nustatyti NAT (tinklo adresų vertimą) tarp belaidės sąsajos (wlan0) ir eterneto sąsajos (eth0). Tai padeda nukreipti visą srautą iš „Wi -Fi“į eterneto (ir galiausiai VPN!) Ryšį.

Įtraukite naują taisyklę į „iptable“, skirtą NAT persiuntimui

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Taisyklė dabar sukurta, tačiau „iptable“praplaunama kiekvieną kartą, kai „Raspberry Pi“paleidžiamas iš naujo, todėl turime išsaugoti šią taisyklę, kad ją būtų galima (iš naujo) įkelti kiekvieną kartą, kai „Pi“paleidžiamas iš naujo.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Taisyklė dabar išsaugota, tačiau turime atnaujinti Pi vietinį rc.local konfigūracijos failą, kad įsitikintume, jog jis įkeliamas kiekvieną kartą!

Atidarykite rc.local failą savo mėgstamiausiame redaktoriuje

sudo nano /etc/rc.local

ir raskite skyrių, kuriame sakoma išeiti 0

Tiesiai virš tos eilutės (neištrinkite!) Pridėkite šią komandą, kuri iš naujo įkelia mūsų sukurtą NAT taisyklę. Dabar tai turėtų atrodyti taip

iptables-restore </etc/iptables.ipv4.nat exit0

Išsaugokite ir išeikite iš šio failo, o dabar visos mūsų konfigūracijos turėtų būti padarytos prieigos taškui!

Viskas, ką mums reikia padaryti, tai paleisti „hostapd“ir „dnsmasq“paslaugas ir iš naujo paleisti „Raspberry Pi“!

sudo paslauga hostapd start

paleiskite „sudo“paslaugą „dnsmasq“

Patikrinkite, ar matote savo naują AP. Jei viskas teisingai nustatyta, dabar turėtumėte turėti „Wi -Fi“prieigos tašką „Raspberry Pi“! Dabar iš naujo paleiskite pi

sudo perkraukite

Toliau nustatykite „OpenVPN“ryšį!

5 veiksmas: „OpenVPN“sąranka ir VPN paslaugų teikėjo konfigūracija

Dabar, kai mūsų „Pi“transliuoja „wifi“, laikas susikurti „openvpn“! Pradėsime diegdami „openvpn“naudodami „apt-get install“

sudo apt -get install openvpn -y

Baigę diegti „openvpn“, turime pereiti prie to, kur saugosime autentifikavimo duomenis ir „openvpn“konfigūracijos failą.

cd /etc /openvpn

Pirmas dalykas, kurį mes čia padarysime (/etc /openvpn), yra teksto failo, kuriame išsaugosime naudojamo VPN paslaugos vartotojo vardą ir slaptažodį, išsaugojimas.

sudo nano auth.txt

Viskas, ko mums reikia, yra išsaugoti vartotojo vardą ir slaptažodį šiame faile, nieko kito.

Vartotojo vardas

Slaptažodis

Turėčiau pridurti, kad šiuo metu turėtumėte įsivaizduoti, ką norite naudoti kaip VPN paslaugą savo ryšiams. Yra daug diskusijų apie tai, kokia paslauga yra geriausia ar saugiausia, todėl apsipirkite ir peržiūrėkite atsiliepimus apie juos! Šios pamokos tikslais naudoju privačią interneto prieigą (VIP). Jie yra gana pigūs ir žinomi kaip labai patikimi! Taip pat galite nustatyti savo VPN beveik bet kuriame pagrindiniame pasaulio regione! Kanada? Rusija? Japonija? Ne bėda!

Jei naudojate privačią interneto prieigą, jie taip pat turi patogią savo svetainės dalį, kurioje galite sudaryti „openvpn“konfigūracijos failo tipą, kurį galite naudoti šioje sąrankoje! Yra ir kitų tipų „openvpn“konfigūracijų, kurias galite naudoti su kitais teikėjais, tačiau nusprendžiau pasirinkti šį.

Nepriklausomai nuo to, kurį paslaugų teikėją pasirinksite, norint prisijungti, jums reikia minėto paslaugų teikėjo „openvpn“ryšio failo (failo tipui turėtų baigtis.ovpn). Kad būtų paprasčiau, prieš perkeldamas savo „Raspberry Pi“, aš pervadinau savo „connectionprofile.ovpn“. Atsisiuntę.ovpn failą į Pi arba perkeldami jį į Pi, įsitikinkite, kad failas yra /etc /openvpn jūsų Pi.

Perkėlę atvirą vpn failą į tinkamą aplanką, turime pakeisti failo tipą, nes „openvpn“tikisi konfigūracijos failo, kuris baigiasi.conf, o ne.ovpn. Kai tai padariau, aš vis tiek norėjau, kad originalus failas būtų nepažeistas, tik tuo atveju, jei nutiktų kas nors keisto, todėl aš tiesiog naudoju komandą cp (kadangi esate /etc /openvpn, norėdami paleisti turėsite naudoti sudo leidimus ši komanda)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Sukūrę „openvpn“profilio konfigūraciją, turime greitai pakeisti savo kredencialus, taigi laikas vėl išeiti iš nano!

sudo nano /etc/openvpn/connectionprofile.conf

Norėsite rasti eilutę auth-user-pass ir pakeisti ją auth-user-pass auth.txt

Tai nurodo „openvpn“patraukti kredencialų failą, kurį anksčiau naudojome autentifikuodami mūsų pateiktą profilį.

Išsaugokite ir išeikite iš profilio konfigūracijos failo!

Tai turėtų būti viskas VPN sąrankai, tačiau norime patikrinti, ar visa mūsų konfigūracija buvo teisingai nustatyta prieš nustatant VPN paslaugą, kad ji būtų paleista automatiškai. Norėdami išbandyti VPN ryšį, paleiskite šią komandą

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Turėtumėte matyti daugybę teksto slinkties, kai „Pi“bando prisijungti prie VPN paslaugų teikėjo (tikiuosi, jokių klaidų pranešimų!), Bet norite jį palikti, kol lange pamatysite „Inicializacijos seka baigta“. Jei tai pamatysite, tai reiškia, kad jūsų „Pi“yra prijungtas prie jūsų VPN paslaugų teikėjo! Galite tęsti ir nužudyti procesą, paspausdami „Ctrl“+ c terminalo lange.

Dabar, kai VPN veikia, turime išvalyti dabartines „iptables“. Mes galime tai padaryti atlikdami šias tris komandas

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Kadangi išvalėme „iptables“, turime iš naujo nustatyti nat taisyklę, kurią sukūrėme anksčiau šioje pamokoje, vykdydami šią komandą (ši komanda turėtų atrodyti pažįstama!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Dabar galime išsaugoti šią konfigūraciją, palyginti su ankstesne konfigūracija, kurią sudėjome dar ankstesniame žingsnyje. (ši komanda taip pat turėtų atrodyti pažįstama!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Dabar, kai jau nustatytos NAT taisyklės, turime pakeisti numatytąją „openvpn“konfigūraciją, kad galėtume naudoti mūsų nustatytą profilį. Tai darome redaguodami konfigūracijos failą/etc/default/openvpn

sudo nano/etc/default/openvpn

Raskite eilutę, kurioje sakoma #autostart = "all", panaikinkite šios eilutės komentarą ir pakeiskite ją į savo openvpn konfigūracijos failo pavadinimą (žinoma, atėmus.conf!) Taigi mano atveju aš pakeičiu eilutę į autostart = " ryšio profilis"

tada išsaugokite ir išeikite iš šio konfigūracijos failo!

Tai turėtų būti viskas VPN rinkiniui! Tiesiog iš naujo paleiskite „Pi“ir patikrinkite, ar viskas veikia, prisijunkite prie viešosios interneto prieigos taško ir patikrinkite savo „IPaddress“per tokią svetainę kaip whatismyip.com.

Naudojant šią konfigūraciją, yra tikimybė, kad maršrutizatoriaus IP adresas gali nutekėti dėl DNS nutekėjimo. Tai galime išspręsti pakeisdami dhcpcd.conf faile nurodytą DNS į išorinę DNS paslaugą, pvz., „Cloudflare“!

Atidarykite failą dhcpcd.conf mėgstamiausiame redaktoriuje:

sudo nano /etc/dhcpcd.conf

Raskite eilutę konfigūracijoje #static domain_name_servers = 192.168.0.1, panaikinkite eilutės komentarą ir pakeiskite ją taip: static domain_name_servers = 1.1.1.1 ir išsaugokite/išeikite iš konfigūracijos failo. Dar kartą paleiskite „Pi“ir dabar galite dar kartą patikrinti, ar maršrutizatoriaus IP adresas nėra nutekinamas per „ipleak.net“.

Kitas dalykas, kurį reikia žinoti, yra jūsų maršrutizatoriaus IP adresas, kuris galbūt nutekėjo per „WebRTC“. „WebRTC“yra platforma, kurią naudoja visos šiuolaikinės naršyklės, norėdamos geriau standartizuoti ryšius, įskaitant momentinius pranešimus, vaizdo konferencijas ir garso bei vaizdo transliacijas. Šalutinis šios platformos produktas yra tas, kad jei jis nebus pažymėtas, jis gali nutekėti jūsų maršrutizatoriaus IP adresą, jei esate prisijungę prie VPN. Lengviausias būdas to išvengti yra naudojant naršyklės plėtinius ar papildinius, pvz., „Webrtc-leak-prevent“.

Dabar, kai viskas yra nustatyta jūsų „pi“, jei norite užtikrinti, kad visas jūsų interneto srautas būtų užšifruotas, galite prisijungti prie šio viešosios interneto prieigos taško ir visas jūsų srautas bus užšifruotas naudojant VPN!

Tikiuosi, kad jums patiko mano „Instructable“, dabar saugiai naudokitės visais „wifi“!!