Raspberry Pi VPN -lüüs: 6 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:50

Värskendus 2018-01-07:

• Värskendatud puuduvad asjad ja Raspiani praeguse versiooni jaoks vajalikud muudatused.
• Samuti lõi NordVPN jaoks spetsiaalse juhendi.

VPN -il on mõned erinevad kasutusviisid. Kas soovite kaitsta oma privaatsust ja privaatseid andmeid uudishimulike pilkude eest või peate hankima teabe teisest riigist. Teisest riigist hankimine võib olla väga kasulik, et pääseda juurde teenustele, mida teie riigis ei pakuta. Tänapäeval on saadaval palju VPN -teenuseid ja enamik neist pakub teie arvuti jaoks hõlpsasti kasutatavat tarkvara ning tahvelarvuti või telefoni rakendusi. Aga kui teil on muid seadmeid, mida tarkvara ei toeta, soovite VPN -i üle minna? Seejärel ehitage lüüs, mis annab teile Interneti -ühenduse VPN -i kaudu.

Kui vaatate oma võrgu põhiseadistust, on teil "vaikelüüs", mida kasutatakse iga IP-aadressi jaoks, mis ei asu teie praeguses alamvõrgus (väga lihtsustatud). Seega, kui seadistate lüüsi, mis suudab Interneti -liiklust suunata loodud VPN -ühenduse kaudu, saab iga võrgutoega seade VPN -tunneli eeliseid kasutada.

Minu peamine kasutusjuht minu San Francisco korteris on VPN -tunnel minu kodumaale Rootsi, et saaksin voogesitada Rootsi mängukanaleid oma meediumipleierites ja nutiteleris. See on üsna tavaline kasutusviis enamiku inimeste jaoks, kes vajavad VPN -tunnelit. Kuna VPN -tarkvara ei toeta minu meediumipleiereid ja nutitelereid, ehitasin selle Raspberry Pi -st.

Amazonist saate selle alla 40 dollari eest kätte. Soovitan siiski osta ka ümbris ja korralik toiteadapter. Selle juhendamise jaoks vajate:

• Vaarika Pi 2 või 3
• Teie meelepärane juhtum
• Korralik toiteadapter
• Võrgukaabel

Samm: VPN -teenuse valimine

VPN -teenuse valimisel on oluline, et see vastaks teie nõuetele. Selle kasutamise puhul vajasin Rootsi väljumispunktiga VPN -teenust, see on kõige tähtsam, kuna mul on vaja Rootsi teenuseid veendumaks, et olen Rootsis. Aastate jooksul olen kasutanud mitut erinevat pakkujat ja allpool on asjad, mida võtan arvesse konkreetse kasutuse puhul VPN -i tarnija valimisel:

Tasuta test

Soovin tasuta testimisperioodi või väikest kogust testandmeid, et tarkvara või rakendust tunda. Samuti tahan enne selle eest tasumist testida jõudlust ja üldist kogemust. Samuti on tore enne maksmist kontrollida, kas mu idee töötab.

Privaatsus

Kui rakendamine on seotud eraelu puutumatusega, on privaatsuspoliitikas tõesti oluline. Samuti on oluline, millisest riigist ettevõte tegutseb ja millised seadused teie privaatsust kaitsevad. Tõeliselt privaatsusega seotud kasutajad peaksid vaatama teenust, mis teatab, et liikluslogisid ei salvestata, ja lubavad näiteks Bitcoini kaudu anonüümseid makseid.

Lubatud liiklus

Võimalik, et liikluse liik, mida teil lubatakse käitada, võivad olla piiratud. Tõsisemad pakkujad blokeerivad tavaliselt võrdõiguslikku liiklust. Seda mitte ainult juriidiliste probleemide vältimiseks, vaid ka kõigi kasutajate jõudluse säilitamiseks. Seal on nii palju häid tarnijaid, kes võimaldavad võrdõiguslikkust ja pakuvad endiselt kvaliteetset teenust. Aga kui see pole teie peamine taastumine, soovitan valida teenus, mis ei võimalda võrdõiguslikkust.

Andmete ülempiir

Ärge kunagi kasutage teenust, millel on tasuliste kasutajate ees andmepiirang. See saab lihtsalt halvimal võimalikul ajal otsa täpselt nagu teie telefoni andmed vahetult enne videoklipi naljakat osa!

Väljuge riikidest

Sõltuvalt kasutusviisist on sellel erinev tähtsus. Kasutusjuhtumi puhul nagu minu oma, kus ma pean sattuma konkreetsesse riiki, muidugi peab see olema nimekirjas. Samuti pean lubama valida, millisesse riiki ma väljun. On teenuseid, kus te ei saa väljumisriiki valida, hoidke neist eemal. Võite sattuda riiki, kus on halvad tulemused või privaatsusseadused. Isegi kui te ei vaja konkreetset riiki, peaksite siiski valima mõne erineva riigiga teenuse, kust näidata, et leida hea toimivusega riik.

Tarkvara tüüp ja tugi

See on üks peamisi põhjuseid, miks ma eelistan tasuta testiga teenuseid. Halva tarkvaraga pakkujaid on nii palju, mis on lollakad, ebakindlad või lihtsalt ei tööta. Raspberry Pi juurutamiseks vajan pakkujat, kes toetab OpenVPN -i.

Minu valik

Selle ehituse jaoks läksin Tunnel Beariga. Pakutakse tasuta kuni 500 GB testimist, et saaksin enne midagi maksmist testida, et saaksin tegelikult voogesitada. Nad asuvad Kanadas, kus Rootsi kõrval on ühed tugevamad privaatsusseadused maailmas. Tasulisel teenusel pole andmepiirangut ja mul on lubatud ka mitu seadet korraga ühendada. Seega on kaitstud ka minu telefoni, tahvelarvuti ja arvuti kaitse ebaturvalise WiFi -ga reisides. Rootsis väljumissõlme toetatakse, seda pakutakse tegelikult Bahnhofi kaudu, mis on tuntud Rootsis tugeva privaatsuse poolest. Tasuliste plaanide jaoks pakuvad nad OpenVPN -i tuge. Tasuta testi jaoks nad seda ei tee, kuid sellest piisas, kui käivitasin selle oma sülearvutist, et veenduda voogesitusteenuste toimimises.

Samm: installige Raspberry Pi

Selliste rakenduste jaoks kasutan operatsioonisüsteemi Raspbian Lite. Kuna mul pole GUI -d üldse vaja. Viimase väljaande saate siit.

Kasutan Win32DiskImagerit.img-faili laadimiseks Raspberry Pi SD-kaardile.

Kui Raspberry Pi on käivitunud, otsin oma ruuterite DHCP loendist IP-aadressi ja seejärel ühendan SSH-ga Putty abil. Tavaline kasutajanimi ja parool on pi/vaarikas

Pärast ühendamist käivitan põhiseadete muutmiseks raspi-config tööriista.

sudo raspi-config

Selle konfiguratsiooni kõige olulisemad asjad on järgmised:

• Laiendage failisüsteemi
• Muuda salasõna

Soovi korral saate muuta ka oma Raspberry Pi hostinime. Minu DHCP -l on väga pikad rendilepingud ja ma võin ka kindla aadressi reserveerida. Kui teil seda võimalust pole, peate seadistama Raspberry Pi staatilise IP-aadressi kasutamiseks. Kuna teised seadmed kasutavad seda vaikelüüsina, on oluline, et see kasutaks sama IP-aadressi. Siin on postitus, mille kirjutasin staatilise IP seadistamise kohta Raspbian Jessies.

Siis peame uuendama kõik uusimale versioonile:

sudo apt-get updates sud apt-get upgrade sudo apt-get dist-upgrade

Samm: installige OpenVPN

Nüüd peame installima OpenVPN Raspberry Pi -sse.

sudo apt-get install openvpn

Siis peame veenduma, et teenus käivitub korralikult.

sudo systemctl lubab openvpn

Kui installimine on lõppenud, peame kopeerima lahtrisse OpenVPN konfiguratsioonifailid ja sertifikaadid. Selle annab teile teie VPN -i pakkuja. Minu puhul leidsin TunnelBeari kasutades sealt blogipostituse Linuxi toe kohta. Sellel lehel on link ZIP -failile, mis sisaldab kõike, mida vajame.

Fail sisaldab sertifikaadi faile ja.opvn konfiguratsioonifaili iga riigi kohta, kuhu saate tunneliga sõita. Teil on vaja kõiki sertifikaadi faile ja.opvn konfiguratsioonifaili teie valitud riigi jaoks, minu puhul Rootsi. Pakkige vajalikud failid lahti ja kasutage failide Raspberry Pi -sse üleslaadimiseks Wincp -d. Sama kasutajanimi/parool, mida kasutati SSH -s, viib teid kausta/home/pi, lihtsalt visake failid sinna.

Seejärel läheme tagasi SSH -terminali ja teisaldame failid kausta OpenVPN. Esimene käsk on lihtsalt veenduda, et oleme kaustas /home /pi.

cd /kodu /pi

sudo mv */etc/openvpn/

Nüüd peame failides mõningaid muudatusi tegema. Kõigepealt peame konfiguratsioonifaili ümber nimetama.ovpn -st.conf -ks. Kõik failid, mis lõpevad.conf kaustas /etc /openvpn, käivituvad automaatselt OpenVPN -deemoni käivitamisel. Kõigepealt peame sisenema sellesse kataloogi.

cd /etc /openvpn

Seejärel muudame konfiguratsioonifaili nime. Saate sellele nime panna ükskõik mida, kui see lõpeb.conf. Ma eelistan kasutada tühjade tühikuteta failinimesid, sel juhul lähen Swe.conf -iga.

sudo mv *.ovpn swe.conf

Siis vajame autentimisfaili, mis sisaldab VPN -tunneli jaoks kasutatud kasutajanime ja parooli. Avage tekstiredaktor ja kirjutage kasutajanimi ja parool eraldi ridadele. Nimetame seda faili auth.txt.

sudo nano auth.txt

Sisu peaks olema selline nagu see näide:

kasutajanimi

parool

Seejärel kasutage faili kirjutamiseks klahve CTRL + O ja nano -tekstiredaktorist väljumiseks CTRL + X. Samuti peame kaitsma meie mandaati sisaldavat faili auth.txt.

sudo chmod 600 /etc/openvpn/auth.txt

Seejärel peame konfiguratsioonifaili muutma, veendumaks, et kõik teed on õiged, ja lisama viite äsja loodud auth.txt -failile.

sudo nano swe.conf

Ridad, mida tuleb muuta, viitavad teistele failidele, need peavad olema absoluutsed teed. Selles näites otsime seda:

ca CACertificate.crt

sert UserCertificate.crt võti PrivateKey.key

Muudame need absoluutseteks radadeks järgmiselt:

ca /etc/openvpn/CACertificate.crt

cert /etc/openvpn/UserCertificate.crt võti /etc/openvpn/PrivateKey.key

Seejärel lisame faili lõppu viite auth.txt -failile järgmiselt:

auth-user-pass /etc/openvpn/auth.txt

Taas kasutame faili salvestamiseks CTRL + O ja seejärel nano väljumiseks CTRL + X. Nüüd saame OpenVPN -deemoni taaskäivitada ja näha, et tunnel töötab.

sudo teenus openvpn taaskäivitage

Kui käivitate käsu ifconfig, peaksite lisaks eth0 -le nägema ka adapterit tun0 ja lo -adaptereid, kui tunnel on üleval. Avaliku IP -aadressi kontrollimiseks võite käivitada ka selle käsu:

wget https://ipinfo.io/ip -qO -

Kui teil on tunneli püstitamisel probleeme, proovige oma Raspberry Pi taaskäivitada ja seejärel kontrollige vigade konfiguratsiooni.

Samm: seadistage marsruutimine

Nüüd peame lubama IP -suunamise. See võimaldab võrguliiklusel ühest võrguliidesest sisse voolata ja teisest välja. Sisuliselt ruuteri loomine.

sudo /bin /su -c "echo -e '\ n#Luba IP -marsruutimine / nnet.ipv4.ip_forward = 1'> /etc/sysctl.conf"

Kui käivitate sudo sysctl -p, peaksite seda ekraanile printima:

net.ipv4.ip_forward = 1

Nüüd on marsruutimine lubatud ja liiklus võib minna läbi Raspberry Pi, üle tunneli ja Internetis.

Samm: seadistage tulemüür ja NAT

Kuna meil on sees mitu klienti, kes pääsevad Internetti juurde ühe avaliku IP -aadressi kaudu, peame kasutama NAT -i. See tähistab võrguaadresside tõlkimist ja jälgib, milline klient küsis liiklust, kui teave üle tunneli naaseb. Samuti peame seadistama teatud turvalisuse Raspberry Pi ise ja tunneli ümber.

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

NAT -i lubamine.

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Lubades liiklusel eth0 (sisemine) liikuda üle tun0 (tunnel).

sudo iptables -A FORWARD -i tun0 -o eth0 -m olek -riik SEOTUD, ASUTATUD -j ACCEPT

Liikluse lubamine tun0 (tunnel) kaudu üle eth0 (sisemine). Kuna määrame oleku RELATED, ESTABLISHED, piirdub see sisevõrgust algatatud ühendusega. Välise liikluse blokeerimine, püüdes luua uut ühendust.

sudo iptables -A INPUT -i lo -j ACCEPT

Raspberry Pi enda tagasisõidu liikluse lubamine.

sudo iptables -A INPUT -i eth0 -p icmp -j ACCEPT

Lubades kohaliku võrgu arvutitel pingutada Raspberry Pi -d.

sudo iptables -A INPUT -i eth0 -p tcp --port 22 -j ACCEPT

SSH lubamine sisevõrgust.

sudo iptables -A INPUT -m olek -riik on loodud, seotud -j ACCEPT

Lubades kogu Raspberry Pi algatatud liikluse tagasi pöörduda. See on sama osariigi printsipaal nagu varem.

sudo iptables -P FORWARD DROP

sudo iptables -P INPUT DROP sudo iptables -L

Kui liiklus ei vasta ühelegi eeskirjale, siis see tühistatakse.

sudo apt-get install iptables-persistent

sudo systemctl lubab püsiva netfilter

Esimene rida installib rahu koodi, mis muudab äsja loodud iptable reeglid taaskäivituste vahel püsivaks. Teine salvestab reeglid pärast nende muutmist. Seekord piisab esimese jooksmisest. Kui muudate reegleid, käivitage salvestamiseks teine. Iptable reeglid jõustuvad kohe pärast nende lisamist, kui lähete segi ja kaotate juurdepääsu, taaskäivitage ja need, mida pole veel salvestatud, taastatakse.

6. samm: järeldus

Nüüd saate seda tunnelit kasutada mis tahes seadmest või arvutist samas võrgus. Muutke lihtsalt vaikevärav mis tahes IP-aadressiks, mis teie Raspberry Pi-l on. Minu puhul kasutavad mõlemad minu Kodi meediakeskused (üks magamistuba ja üks elutuba) seda ühendust, et saaksin oma Rootsi mängukanaleid voogesitada. Muidugi on ka muid asju, mille jaoks seda kasutada.

Pidage ainult meeles, et sõltuvalt valitud VPN -i pakkujast ja Interneti -ühenduse kiirusest võib jõudlus olla aeglane.

Kui teil on küsimusi või soovite, et ma midagi selgitaksin, andke mulle kommentaarides teada! Rohkemate tehniliste postituste saamiseks külastage minu ajaveebi Hackviking!