Turvaline kogu WiFi VPN -iga - juurdepääsupunkt!: 5 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:48

Kuna üha enam meie eludest saadetakse taeva suurele pilvele, mis on internet, on oma isiklikel Interneti -seiklustel turvalisemaks ja privaatsemaks jäämine üha raskem. Ükskõik, kas pääsete juurde tundlikule teabele, mida soovite privaatsena hoida, üritate mööda minna piirangutest, mis on seatud selle kohta, kus või mida saate oma võrgus sirvida, või soovite lihtsalt turvalisemat sirvimiskogemust, kõige tavalisem nõuanne, mida ma kuulen turvalisuse tagamiseks Internetis on kasutada virtuaalset privaatvõrku (või lühidalt VPN -i).

VPN -id pakuvad ühes pakendis kahte suurepärast teenust, kuna need krüpteerivad kõik nende kaudu saadetavad teabepaketid ja teevad kaugteenuseid, mis asuvad VPN -iga samas võrgus, selle seadme jaoks, mida kasutate ühendamiseks. Kui minu VPN -server asub Saksamaal ja ma loon oma VPN -iga ühenduse Austraalia sülearvutist, saab minu sülearvuti nüüd Saksamaalt pärit IP -aadressi!

Populaarsemate VPN -teenuste peamine takistus on aga see, et mitut tüüpi seadmed on olukordades, kus neid ei saa VPN -kliendi kasutamiseks konfigureerida või kui neil pole VPN -kliente kasutamiseks saadaval. Seega tahame, et meie seadmed oleksid ühendatud meie VPN -iga, kuid nende muude masinate puhul, mis ei saa lihtsa VPN -kliendiga ühendust luua, soovime, et need oleksid meie VPN -iga ühendatud, isegi teadmata, et need on ühendatud! Sisestage VPN -i pääsupunkt!

Samm: materjalid

Selle projekti materjale on vähe, kuid kõik esemed on vajalikud.

Muud kui teie kodune ruuter (mida ma eeldan, et teil peaks olema), vajate

- 1 Raspberry Pi (eelistatavalt Raspberry Pi 3 või parem, kuid seni, kuni see toetab Etherneti ühendust, peaks see olema korras!)

- 1 Etherneti juhe

- 1 wifi -dongle (kui te ei kasuta Raspberry Pi 3, sel juhul saate kasutada sisseehitatud WiFi -ühendust

- 1 5V 2amp toiteallikas Raspberry Pi jaoks

2. samm: Wifi pöörduspunkti seadistamine - 1. osa - Wifi staatiline IP -aadress

Enne VPN -ühenduse seadistamist meie Raspberry Pi pääsupunktile peame Pi seadistama pääsupunktiks. Selleks kasutame Raspberry Pi jaoks hostapd ja dnsmasq pakette. Hostapd on kasutajaruumi deemon traadita pääsupunktide ja autentimisserverite seadistamiseks, samas kui dnsmasq pakub võrgutaristut (DNS, DHCP, võrgu alglaadimine jne) väikeste võrkude ja väikeste võrguruuterite jaoks.

Nii et enne alustamist veenduge, et teil oleks puhas pilt Raspbian OS -ist, mis töötab Pi -s, ja uusimad värskendused on rakendatud. Samuti soovite veenduda, et teie Raspberry Pi on teie ruuteriga ühendatud kõvaketta Etherneti ühenduse kaudu, MITTE wifi kaudu! Lõpuks võtame meie WiFi -mooduli kaudu ühendust teiste seadmete taotlustega, nii et te ei soovi, et teid ühendataks ruuteriga sama mooduli kaudu. Kui kasutate Raspberry Pi Zero või mõnda vanemat lisandit (millel pole sisseehitatud WiFi -ühendust), saate seda Raspberry Pi siiski kasutada, vajate lihtsalt USB -WiFi -donglit.

Pärast Raspberry Pi -ga ühenduse loomist (SSH kaudu või kuvariga üleval) kontrollige, kas see on ajakohane

sudo apt-get update

sudo apt-get upgrade

Järgmisena soovite alla laadida ja installida hostapd ja dnsmasq

sudo apt-get install hostapd dnsmasq

Kui paketid on installitud, käivituvad mõlemad programmid automaatselt, kuid me tahame enne nende käivitamist nende konfiguratsioone muuta. Seega jõuame süsteemi juhtimiseni, et peatada nende programmidega seotud teenused

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Kuna teenused on nüüd peatatud, tahame endale määrata staatilise IP -aadressi, kasutades aadressil /etc/dhcpcd.conf leiduvat konfiguratsioonifaili dhcpcd

Enne seda aga tahame veenduda, et viitame staatilise IP -aadressi määramisel õigele liidesele. Kui kasutate Raspberry Pi 3b või Raspberry Pi Zero W, tuleks see loetleda kui wlan0. Kui kasutate wifi -donglit, leian, et tavaliselt on natuke lihtsam ühendada wifi -dongle ruuteriga, haarata uus IP -aadress ja seejärel kontrollida liidese leidmiseks ühendust. Saate oma liidest kontrollida, käivitades järgmise käsu

ifconfig

Kui kontrollite sellele sammule lisatud ülemist pilti, näete (miinus redigeeritud IP -aadressid) minu Raspberry Pi -le määratud liidesed. Minu puhul kasutan wlan0, kuid see sõltub teie seadistusest. Nagu ma varem mainisin, kui kasutate wifi -donglit, looge ühendus oma võrguga, käivitage ifconfig käsk ja mis tahes liides, millel on kehtiv IP -aadress ja mis pole "eth0" või "lo", on soovitud liides kasutada.

Nüüd, kui ma tean, milline liides on minu wifi -adapteri jaoks, saan sellele määrata dhcpcd konfiguratsioonifailis staatilise IP -aadressi! Avage konfiguratsioon oma lemmikredaktoris (ma kasutan nano).

sudo nano /etc/dhcpcd.conf

Konfiguratsiooni lõppu tahame lisada järgmised read, kuid asendada "wlan0" mis tahes liidesega:

liides wlan0 staatiline ip_address = 192.168.220.nohook wpa_supplicant

Selle käsuga luuakse staatiline ip 192.168.220.1 ja seejärel öeldakse wlan0 liidesele, et see ei ühenduks wpa_supplicant draiveriga, mida tavaliselt kasutatakse selle liidese jaoks teiste võrkudega ühenduse loomiseks. Me teeme seda selleks, et (lõpuks) saaksime edastada oma signaali läbi liidese wlan0, mitte ühendada selle liidese kaudu võrku.

Kui kasutate nende muudatuste tegemiseks nano, salvestage muudatused, vajutades klahvikombinatsiooni Ctrl+x ja seejärel Y ning seejärel sisestamiseks faili salvestamiseks ja nanost väljumiseks. (pidage meeles, et selles õpetuses siseneme ja väljume nanost üsna vähe).

Lõpuks, et need muudatused jõustuksid, peate konfiguratsiooni uuesti laadimiseks ja nende muudatuste rakendamiseks kas taaskäivitama Pi või taaskäivitama teenuse dhcpcd

sudo systemctl taaskäivitage dhcpcd

Oodake hetk ja käivitage uuesti ifconfig käsk, et kontrollida, kas teie muudatused jõustusid. Tunnistan, et mõnikord olen seda proovinud ja minu ruuteril on endiselt kehtiv rendileping minu kasutataval IP -aadressil, nii et see säilitab vana aadressi. Sel juhul kontrollige oma konfiguratsioonis kõike ja taaskäivitage teenus dhcpcd uuesti.

Meie wifi -adapteril (peaks) olema nüüd staatiline IP -aadress!

Järgmisena hostapd ja dnsmasq konfiguratsioon!

3. samm: Wifi pääsupunkti seadistamine - 2. osa - Hostapd -seadistamine

Kuna dhcpcd.conf muutub, on aeg alustada hostapd -iga! Alustuseks looge oma lemmiktekstiredaktoris uus fail hostapd.conf (minu jaoks taas nano!)

sudo nano /etc/hostapd/hostapd.conf

Konfiguratsioonifaili avamisel kopeerige järgmine tekst ja kleepige see konfiguratsiooni.

liides = wlan0driver = nl80211

hw_mode = g channel = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Wifi võrgu nimi ja parool, mida peaksite seda muutma ssid = Pi-WifiFoLife # Võrgu parool wpa_passphrase = Y0uSh0uldCh@ng3M3

Kui olete selle kleepinud, leidke allservast viimane jaotis, milles on „ssid =” ja „wpa_passphrase =”. Seda nimetatakse meie seadistatavas wifi -võrgus ja milline parool on meie seadistatud wifi -võrguga ühenduse loomiseks. Nii et KINDLASTI MUUDA MUUD MUUD MUUD! Sind on hoiatatud.

Samuti, kui kasutate sisseehitatud wifi asemel wifi-donglit, peate muutma konfiguratsiooni ülaosas olevat liidese jaotist, et see vastaks teie wifi-dongli liidesele. Sõltuvalt kasutatava wifi -dongli mudelist peate võib -olla ka draiverit vahetama. Ühilduvate wifi -donglite, neile vastavate draiverite ja tugilehtede (enamasti põhjaliku) loendi jaoks leidsin selle lehe väga kasulikuks! Kontrollige ka kasutatava toote tugilehte, kui jänni jääte. Pidage meeles, et kui teil oli võimalik oma wifi -dongliga õpetuses varem oma võrguga ühendust luua, tähendab see, et teie pi -l peaks kuskil olema töötav dongli draiver !!!

Nüüd, kui meil on uus konfiguratsioonifail, peame veenduma, et ütleme hostapd protsessidele, et nad viitaksid uuele konfiguratsioonifailile! alustage järgmisest:

sudo nano/etc/default/hostapd

Leidke äsja avatud failist rida # DAEMON_CONF = "" ja muutke see järgmiselt: DAEMON_CONF = "/etc/hostapd/hostapd.conf" (veenduge, et võtate kommentaari tühistamiseks alguses märgi # maha väli!)

Hostapd jaoks on veel üks konfiguratsioonifail, mida peame värskendama. Käivitage järgmine käsk:

sudo nano /etc/init.d/hostapd

See muudatus on peaaegu identne eelmisega. Leidke jaotis DAEMON_CONF = ja asendage see DAEMON_CONF =/etc/hostapd/hostapd.conf

Seejärel salvestage ja väljuge sellest failist!

Hostapd on nüüd konfigureeritud!

Samm 4: DNSMasqi konfigureerimine ja IP -suunamine

Kui hostapd on nüüd konfigureeritud (kuigi see veel ei tööta), saame nüüd minna dnsmasqi!

Enne konfiguratsioonifailide redigeerimisega alustamist võime ühe algse konfiguratsioonifaili ümber nimetada, kuna me ei kasuta midagi selles konkreetses konfiguratsioonifailis.

Kiire mv -käsu tegemine uue failinimega peaks selle triki ära tegema

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Seejärel looge uus konfiguratsioonifail!

sudo nano /etc/dnsmasq.conf

Ilma sellesse süvenemata kopeeriksin järgmise ja kleepisin selle uude faili

interface = wlan0 # Kasuta liidest wlan0 (või mis iganes liides on sinu traadita) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP vahemik ja rendiaeg

Selle konfiguratsiooni ülemine rida on liidese jaoks, mida kasutame oma signaali edastamiseks, keskmine rida on meie Doman Name Service'i pakkuja jaoks ja siis alumine rida on IP -aadresside vahemik, mille Pi määrab kasutajatele, kes loovad ühenduse Pi Wifi. Jätkake ja salvestage see fail ning väljuge seejärel nano -st (või vimist või muust, mida failide muutmiseks kasutate).

Järgmisena peame seadistama konfiguratsioonifaili systctl.conf nii, et see edastab kogu traadita liidesele saabuva liikluse Etherneti ühenduse kaudu.

sudo nano /etc/sysctl.conf

Selle konfiguratsioonifaili sees peate vaid tühistama rea, mis on #net.ipv4.ip_forward = 1, ja salvestage/väljuge sellest konfiguratsioonifailist.

Nüüd, kui oleme edastamise seadistanud, tahame seadistada traadita liidese (wlan0) ja Etherneti liidese (eth0) vahele NAT (võrguaadresside tõlge). See aitab edastada kogu WiFi -liikluse Etherneti (ja lõpuks VPN!) Ühendusele.

Lisage iptable'ile uus reegel NAT -i edastamiseks

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Reegel on nüüd seadistatud, kuid iptable'i loputatakse iga kord, kui Raspberry Pi taaskäivitatakse, seega peame selle reegli salvestama, et seda saaks (uuesti) laadida iga kord, kui meie Pi taaskäivitatakse.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Reegel on nüüd salvestatud, kuid peame värskendama Pi kohalikku rc.local konfiguratsioonifaili, et veenduda selle laadimises iga kord!

Avage rc.local fail oma lemmikredaktoris

sudo nano /etc/rc.local

ja leidke jaotis, kus öeldakse väljumine 0

Selle rea kohal (ärge seda kustutage!) Lisage järgmine käsk, mis laadib meie loodud NAT -reegli uuesti. See peaks nüüd välja nägema selline

iptables-restore </etc/iptables.ipv4.nat exit0

Salvestage ja väljuge sellest failist ning nüüd peaks kõik meie konfiguratsioonid olema tehtud juurdepääsupunkti jaoks!

Peame vaid käivitama hostapd ja dnsmasq teenused ning taaskäivitama meie Raspberry Pi!

sudo teenuse hostapd käivitamine

käivitage sudo teenus dnsmasq

Testige, kas näete oma uut AP -d. Kui kõik on õigesti seadistatud, peaks teil nüüd Raspberry Pi -l olema WiFi -pöörduspunkt! Nüüd taaskäivitage pi

sudo taaskäivitamine

Järgmisena OpenVPN -ühenduse seadistamine!

Samm: OpenVPN -i seadistamine ja VPN -teenuse pakkuja seadistamine

Nüüd, kui meie Pi edastab wifi -d, on aeg OpenVPN -i seadistada! Alustuseks installime openvpn läbi apt-get install

sudo apt -get install openvpn -y

Pärast openvpn installimise lõpetamist peame navigeerima sinna, kuhu salvestame oma autentimisandmed ja openvpn konfiguratsioonifaili.

cd /etc /openvpn

Esimene asi, mida me siin (kataloogis /etc /openvpn) teeme, on tekstifaili seadistamine, kuhu salvestame kasutatava VPN -teenuse kasutajanime ja parooli.

sudo nano auth.txt

Kõik, mida vajame, on sellesse faili salvestada kasutajanimi ja parool, mitte midagi muud.

kasutajanimi

parool

Peaksin lisama, et siinkohal peaks teil olema ettekujutus sellest, keda soovite oma ühenduste jaoks VPN -teenusena kasutada. On palju vaidlusi selle üle, milline teenus on parim või ohutum, seega ostke ringi ja vaadake ka nende kohta arvustusi! Selle õpetuse jaoks kasutan privaatset Interneti -ühendust (PIA). Need on üsna odavad ja neid peetakse väga usaldusväärseteks! Samuti saate oma VPN -i seadistada nii, et see lõpeks peaaegu kõigi maailma suuremate piirkondadega! Kanada? Venemaa? Jaapan? Pole probleemi!

Kui kasutate privaatset Interneti -ühendust, on nende saidil ka käepärane osa, kus saate kokku panna seda tüüpi openvpn konfiguratsioonifaili, mida saate selles seadistuses kasutada! Teiste pakkujatega saate kasutada ka muud tüüpi openvpn konfiguratsioone, kuid otsustasin selle valida.

Ükskõik, millist teenusepakkujat te lõpuks valite, vajate ühenduse loomiseks nimetatud teenusepakkujalt avatud VPN -ühenduse faili (peaks failitüübi jaoks lõppema.ovpn -ga). Lihtsuse huvides panin ma oma Raspberry Pi -le laadimise ümber oma nime "connectionprofile.ovpn". Kui olete alla laadinud.ovpn -faili Pi -le või teisaldanud selle Pi -le, veenduge, et fail oleks teie Pi -s failis /etc /openvpn.

Pärast avatud vpn -faili teisaldamist õigesse kausta peame failitüüpi muutma, kuna openvpn ootab konfiguratsioonifaili, mis lõpeb.ovf asemel.conf. Kui ma seda tegin, tahtsin ikkagi originaalfaili puutumatuna hoida, juhuks, kui midagi imelikku juhtus, nii et kasutasin lihtsalt käsku cp (kuna olete failis /etc /openvpn, peate käitamiseks kasutama sudo õigusi see käsk)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Kui oleme loonud openvpn profiili konfiguratsiooni, peame oma mandaadi edastamiseks kiiresti muudatusi tegema, seega on aeg nano uuesti välja murda!

sudo nano /etc/openvpn/connectionprofile.conf

Soovite leida rea auth-user-pass ja asendada see auth-user-pass auth.txt-ga

See käsib openvpnil haarata mandaadifaili, mida kasutasime varem, et kasutada meie esitatud profiili autentimist.

Salvestage ja väljuge profiili konfiguratsioonifailist!

See peaks olema VPN -i seadistamisel kõik, kuid enne VPN -teenuse automaatse käivitamise seadistamist tahame kontrollida, kas kogu meie konfiguratsioon oli õigesti seadistatud. VPN -ühenduse testimiseks käivitage järgmine käsk

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Te peaksite nägema hulga teksti kerimist, kui Pi teeb VPN -teenuse pakkujaga ühenduse loomise katseid (loodetavasti veateateid pole!), Kuid soovite selle jätta, kuni näete aknas Initialization Sequence Completed. Kui näete seda lõpuks, tähendab see, et teie Pi on ühendatud teie VPN -teenuse pakkujaga! Saate protsessi edasi tappa, vajutades terminaliaknas klahve ctrl + c.

Nüüd, kui VPN töötab, peame praegused iptablid kustutama. Saame selle täita kolme järgmise käsuga

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Kuna kustutasime iptables siiski välja, peame selles juhendis varem loodud nat -reegli lähtestama, käivitades järgmise käsu (see käsk peaks tunduma tuttav!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Nüüd saame selle konfiguratsiooni salvestada eelmise konfiguratsiooni asemel, mille eelmises etapis kokku panime. (see käsk peaks ka tuttav välja nägema!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Nüüd, kui oleme NAT -reeglid varundatud, peame seadistatud profiili kasutamiseks muutma openvpn vaikeseadistust. Me teeme seda, muutes konfiguratsioonifaili kataloogis/etc/default/openvpn

sudo nano/etc/default/openvpn

Leidke rida, mis ütleb #autostart = "kõik", tühistage see rida ja muutke see oma openvpn konfiguratsioonifaili nimeks (miinus muidugi.conf!) Nii et minu puhul muudan rea reaks autostart = " ühendusprofiil"

ja seejärel salvestage ja väljuge sellest konfiguratsioonifailist!

See peaks olema VPN -i jaoks kõik! Lihtsalt taaskäivitage Pi ja kontrollige, kas kõik töötab, ühendades leviala ja kontrollides oma IP -aadressi sellise saidi kaudu nagu whatismyip.com.

Selle konfiguratsiooni korral on võimalik, et teie ruuteri IP -aadress võib lekkida DNS -i lekke kaudu. Selle saame parandada, muutes failis dhcpcd.conf viidatud DNS -i nii, et see osutaks välisele DNS -teenusele, näiteks Cloudflare!

Avage dhcpcd.conf fail oma lemmikredaktoris:

sudo nano /etc/dhcpcd.conf

Leidke rida konfiguratsioonist #static domain_name_servers = 192.168.0.1, tühistage rida ja muutke see järgmiseks: staatiline domain_name_servers = 1.1.1.1 ja salvestage/väljuge konfiguratsioonifailist. Taaskäivitage Pi uuesti ja nüüd saate uuesti kontrollida, kas ruuteri IP -aadress ei leki ipleak.net kaudu.

Teine asi, mida peaksite teadma, on teie ruuteri IP -aadress, mis võib WebRTC kaudu lekkida. WebRTC on platvorm, mida kasutavad kõik kaasaegsed brauserid kommunikatsiooni, sealhulgas kiirsõnumite, videokonverentsi ning heli ja video voogesituse paremaks standardimiseks. Selle platvormi kõrvalsaadus on see, et kui seda ei kontrollita, võib see VPN-iga ühendatud ruuteri IP-aadressi lekkida. Lihtsaim viis selle vältimiseks on kasutada brauseri laiendusi või pistikprogramme, näiteks webrtc-leak-prevent.

Kui olete nüüd kõik oma pi seadistanud, kui soovite tagada kogu oma Interneti -liikluse krüptimise, saate selle levialaga ühenduse luua ja kogu teie liiklus krüptitakse VPN -i kaudu!

Loodan, et teile meeldis minu juhendatav, nüüd turvake kogu wifi !!