Zaštitite sav Wi -Fi putem VPN -a - pristupna točka!: 5 koraka

2024 Autor: John Day | [email protected]. Zadnja izmjena: 2024-01-30 08:07

Kako je sve više naših života poslano velikom oblaku na nebu koji je internet, postaje sve teže ostati siguran i privatan u svojim ličnim avanturama na internetu. Bez obzira pristupate li osjetljivim podacima koje želite zadržati privatnima, pokušavajući zaobići ograničenja na mjestima na kojima možete pregledavati ili na čemu možete pretraživati na svojoj mreži, ili samo želite sigurnije iskustvo pregledavanja, najčešći savjet koji čujem za očuvanje sigurnosti na internetu je korištenje virtualne privatne mreže (ili skraćeno VPN -a).

VPN nudi dvije odlične usluge u jednom paketu, jer šifriraju sve pakete informacija koje se šalju putem njih, te stvaraju udaljene usluge koje su na istoj mreži kao i VPN lokalne za stroj koji koristite za povezivanje. Ako se moj VPN poslužitelj nalazi u Njemačkoj, a na VPN se povežem s prijenosnog računara u Australiji, moj laptop će sada imati IP adresu iz Njemačke!

Ipak, glavna tačka sporenja s popularnijim VPN uslugama je to što se mnoge vrste uređaja nalaze u situacijama u kojima se ili ne mogu konfigurirati za korištenje VPN klijenta ili nemaju VPN klijenta na raspolaganju za upotrebu. Stoga želimo da naši uređaji budu povezani s našim VPN -om, ali za ove druge strojeve koji se ne mogu povezati s jednostavnim VPN klijentom, želimo da budu povezani s našim VPN -om čak i ne znajući da su povezani! Unesite VPN pristupnu tačku!

Korak 1: Materijali

Materijali za ovaj projekt su niski, ali sve stavke su potrebne.

Osim kućnog usmjerivača (pretpostavljam da biste trebali imati), trebat će vam

- 1 Raspberry Pi (po mogućnosti Raspberry Pi 3 ili bolji, ali sve dok može podržati Ethernet vezu trebao bi biti u redu!)

- 1 Ethernet kabel

- 1 wifi ključ (osim ako ne koristite Raspberry Pi 3, u tom slučaju možete koristiti ugrađeni wifi

- 1 5V 2amp napajanje za Raspberry Pi

Korak 2: Podešavanje Wifi pristupne tačke - 1. dio - Statička IP adresa za Wifi

Prije postavljanja VPN veze za našu Raspberry Pi pristupnu točku, moramo postaviti Pi kao pristupnu točku. Da bismo to učinili, koristit ćemo pakete hostapd i dnsmasq za Raspberry Pi. Hostapd je demon korisničkog prostora za postavljanje bežičnih pristupnih tačaka i servera za provjeru autentičnosti, dok dnsmasq pruža mrežnu infrastrukturu (DNS, DHCP, pokretanje mreže itd.) Za male mreže i male mrežne usmjerivače.

Zato prije nego počnete, provjerite imate li čistu sliku Raspbian OS -a koji radi na Pi -u, s primijenjenim najnovijim ažuriranjima. Također želite biti sigurni da je vaš Raspberry Pi povezan s vašim usmjerivačem putem hardline Ethernet veze, NE putem WiFi -a! Na kraju ćemo prihvaćati zahtjeve za povezivanje s drugih uređaja putem našeg WiFi modula, tako da ne želite biti povezani s usmjerivačem putem istog modula. Ako koristite Raspberry Pi Zero ili stariji dodatak (koji nema ugrađeni WiFi), i dalje možete koristiti taj Raspberry Pi, samo vam je potreban USB wifi ključ.

Nakon povezivanja na Raspberry Pi (putem SSH -a ili s podignutim monitorom) provjerite je li ažuriran

sudo apt-get update

sudo apt-get nadogradnja

Zatim ćete htjeti preuzeti i instalirati hostapd i dnsmasq

sudo apt-get install hostapd dnsmasq

Nakon što se paketi instaliraju, oba programa će se automatski pokrenuti, ali želimo promijeniti njihove konfiguracije prije pokretanja. Stoga ćemo se obratiti sistemskoj kontroli kako bismo zaustavili usluge vezane za ove programe

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Kad su usluge sada zaustavljene, htjet ćemo sebi dodijeliti statičku IP adresu, koristeći konfiguracijsku datoteku dhcpcd koja se nalazi na /etc/dhcpcd.conf

Prije nego što to učinimo, želimo se uvjeriti da referenciramo ispravno sučelje prilikom dodjeljivanja statičke IP adrese. Ako koristite Raspberry Pi 3b ili Raspberry Pi Zero W, to bi trebalo biti navedeno kao wlan0. Ako koristite wifi dongle, obično smatram da je malo lakše povezati wifi dongle s usmjerivačem, uzeti novu IP adresu, a zatim provjeriti svoju vezu kako biste pronašli sučelje. Interfejs možete provjeriti pokretanjem sljedeće naredbe

ifconfig

Ako provjerite gornju sliku priloženu ovom koraku, možete vidjeti (minus redigovane IP adrese) sučelja dodijeljena mojem Raspberry Pi. U mom slučaju koristim wlan0, ali to ovisi o vašim postavkama. Kao što sam ranije spomenuo, ako koristite wifi dongle, povežite se na svoju mrežu, pokrenite naredbu ifconfig, i bilo koje sučelje koje se pojavi ima ispravnu IP adresu, a nije "eth0" ili "lo" bit će sučelje koje želite koristiti.

Sada kada znam koje je sučelje za moj WiFi adapter, mogu mu dodijeliti statičku IP adresu u konfiguracijskoj datoteci dhcpcd! Pokrenite konfiguraciju u svom omiljenom uređivaču (koristim nano).

sudo nano /etc/dhcpcd.conf

Na dnu konfiguracije želimo dodati sljedeće redove, ali zamijeniti "wlan0" s bilo kojim vašim sučeljem:

sučelje wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Ono što ova naredba radi je uspostavljanje statičkog ip -a od 192.168.220.1, a zatim govori sučelju wlan0 da se ne povezuje s upravljačkim programom wpa_supplicant koji se obično koristi za ovo sučelje za povezivanje s drugim mrežama. To činimo da bismo (eventualno) mogli emitirati vlastiti signal putem wlan0 sučelja, umjesto da se povežemo na mrežu putem ovog sučelja.

Ako koristite nano za ove promjene, spremite promjene pritiskom na ctrl+x, a zatim Y, a zatim unesite kako biste spremili datoteku i izašli iz nano. (imajte na umu da ćemo u ovom vodiču prilično malo ulaziti i izlaziti iz nano).

Konačno, da bi ove promjene stupile na snagu, morat ćete ili ponovo pokrenuti Pi ili jednostavno ponovo pokrenuti uslugu dhcpcd da biste ponovo učitali konfiguraciju i primijenili ove promjene

sudo systemctl ponovo pokrenite dhcpcd

Pričekajte trenutak, a zatim ponovo pokrenite naredbu ifconfig da provjerite jesu li vaše promjene stupile na snagu. Priznajem, ponekad sam ovo pokušao, a moj usmjerivač još uvijek ima važeću zakupljenu IP adresu koju sam koristio, tako da će zadržati staru adresu. U tom slučaju, provjerite sve u vašoj konfiguraciji i ponovo pokrenite dhcpcd uslugu.

Naš WiFi adapter (trebao bi) sada ima statičku IP adresu!

Slijedi konfiguracija hostapd i dnsmasq!

Korak 3: Postavljanje Wi -Fi pristupne tačke - 2. dio - Hostapd konfiguracija

S promjenom dhcpcd.conf -a, vrijeme je za početak rada s hostapd -om! Počnite stvaranjem nove datoteke hostapd.conf u vašem omiljenom uređivaču teksta (za mene još jednom u nano!)

sudo nano /etc/hostapd/hostapd.conf

Kada otvorite datoteku za konfiguraciju, kopirajte sljedeći tekst i zalijepite ga u konfiguraciju.

interfejs = wlan0driver = nl80211

hw_mode = g channel = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Naziv i lozinka WiFi mreže MORATE OVO PROMJENITI ssid = Pi-WifiFoLife # Mrežni pristupni izraz wpa_passphrase = Y0uSh0uldCh@ng3M3

Nakon što ste to zalijepili, pronađite posljednji odjeljak na dnu koji ima "ssid =" i "wpa_passphrase =". Tako će se zvati WiFi mreža koju postavljamo i koja je lozinka za povezivanje s WiFi mrežom koju postavljamo. PA OBAVEZNO OVO PROMJENITE NA NEŠTO DRUGO! Upozoreni ste.

Također, ako koristite Wi-Fi ključ umjesto ugrađenog WiFi-ja, morat ćete promijeniti odjeljak sučelja na vrhu konfiguracije kako bi odgovarao sučelju za vaš WiFi ključ. Možda ćete također morati promijeniti upravljački program, ovisno o modelu WiFi ključa koji koristite. Za (uglavnom sveobuhvatan) popis kompatibilnih wifi ključeva, odgovarajućih upravljačkih programa i stranica za podršku, smatrala sam da je ova stranica vrlo korisna! Ako zaglavite, provjerite i stranicu za podršku proizvoda koji koristite. Upamtite, ako ste se mogli povezati na svoju mrežu ranije u vodiču sa svojim WiFi ključem, to znači da bi negdje na vašem pi trebao postojati radni upravljački program za dongle !!!

Sada kada imamo novu konfiguracijsku datoteku, moramo se pobrinuti da govorimo hostapd procesima da se pozivaju na novu konfiguracijsku datoteku! počnite sa sljedećim:

sudo nano/etc/default/hostapd

Pronađite red u datoteci koju smo upravo otvorili i koja glasi # DAEMON_CONF = "" i promijenite je u DAEMON_CONF = "/etc/hostapd/hostapd.conf" (pazite da skinete znak # na početku da biste uklonili komentar polje!)

Postoji još jedna konfiguracijska datoteka za hostapd koju moramo ažurirati. Pokrenite sljedeću naredbu:

sudo nano /etc/init.d/hostapd

Ova promjena je gotovo identična prethodnoj. Pronađite odjeljak DAEMON_CONF = i zamijenite ga DAEMON_CONF =/etc/hostapd/hostapd.conf

Zatim spremite i izađite iz te datoteke!

Hostapd je sada konfiguriran!

Korak 4: DNSMasq konfiguracija i prosljeđivanje IP adrese

Sada kada je hostapd konfiguriran (iako još nije pokrenut), sada možemo prijeći na dnsmasq!

Prije nego što pređemo na uređivanje konfiguracijskih datoteka, možemo prijeći na preimenovanje jedne od izvornih konfiguracijskih datoteka, jer nećemo koristiti ništa što se nalazi u ovoj određenoj konfiguracijskoj datoteci.

Izvođenje brze mv naredbe s novim imenom datoteke trebalo bi učiniti trik

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Zatim kreirajte novu konfiguracijsku datoteku!

sudo nano /etc/dnsmasq.conf

Ne ulazeći previše u ovo, samo bih kopirao sljedeće i zalijepio ga u novu datoteku

interface = wlan0 # Koristite sučelje wlan0 (ili bilo koje sučelje koje je vaše bežično) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP raspon i vrijeme zakupa

Gornja linija ove konfiguracije je za sučelje koje koristimo za emitiranje našeg signala, srednja linija je za našeg dobavljača usluga Doman Name, a zatim je krajnji raspon IP adresa koje će Pi dodijeliti korisnicima koji se povežu na Pi Wi -Fi. Samo naprijed i spremite ovu datoteku, a zatim izađite iz nano (ili vim -a, ili bilo čega što koristite za promjene datoteka).

Zatim moramo postaviti konfiguracijsku datoteku systctl.conf da prosljeđuje sav promet koji dolazi na bežično sučelje za usmjeravanje kroz ethernet vezu

sudo nano /etc/sysctl.conf

Unutar ove konfiguracione datoteke sve što trebate učiniti je dekomentirati red koji je #net.ipv4.ip_forward = 1 i spremiti/izaći iz ove konfiguracijske datoteke.

Sada kada smo postavili prosljeđivanje, želimo postaviti NAT (Prevođenje mrežne adrese) između bežičnog sučelja (wlan0) i Ethernet sučelja (eth0). To pomaže u preusmjeravanju cjelokupnog prometa s wifija na ethernet (i na kraju VPN!) Vezu.

Dodajte novo pravilo u iptable za prosljeđivanje NAT -a

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Pravilo je sada postavljeno, ali iptable se briše svaki put kada se Raspberry Pi ponovno pokrene, pa moramo ovo pravilo spremiti kako bi se moglo (ponovno) učitavati svaki put kada se Pi ponovo pokrene.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Pravilo je sada spremljeno, ali moramo ažurirati Pi -jevu lokalnu konfiguracijsku datoteku rc.local kako bismo bili sigurni da se učitava svaki put!

Otvorite datoteku rc.local u svom omiljenom uređivaču

sudo nano /etc/rc.local

i pronađite odjeljak koji kaže izlaz 0

Odmah iznad te linije (nemojte je brisati!) Dodajte sljedeću naredbu koja će ponovo učitati NAT pravilo koje smo postavili. Sada bi trebalo izgledati ovako

iptables-restore </etc/iptables.ipv4.nat exit0

Spremite i izađite iz ove datoteke, a sada bi sve naše konfiguracije trebale biti učinjene za pristupnu točku!

Sve što trebamo učiniti je pokrenuti hostapd i dnsmasq usluge i ponovo pokrenuti naš Raspberry Pi!

sudo servis hostapd start

sudo servis dnsmasq start

Testirajte kako biste bili sigurni da možete vidjeti svoj novi AP. Ako je sve ispravno postavljeno, sada biste trebali imati WiFi pristupnu točku na svom Raspberry Pi! Sada ponovo pokrenite pi

sudo reboot

Slijedi postavljanje OpenVPN veze!

Korak 5: Postavljanje OpenVPN -a i konfiguracija davatelja VPN usluga

Sada kada naš Pi emitira WiFi, vrijeme je za postavljanje openvpn -a! Započet ćemo instaliranjem openvpn putem apt-get install

sudo apt -get install openvpn -y

Nakon što openvpn završi instalaciju, moramo se kretati do mjesta na kojem ćemo pohraniti vjerodajnice za provjeru autentičnosti i konfiguracijsku datoteku openvpn.

cd /etc /openvpn

Prvo što ćemo učiniti ovdje (unutar /etc /openvpn) je postavljanje tekstualne datoteke u koju ćemo pohraniti svoje korisničko ime i lozinku za VPN uslugu koju koristimo.

sudo nano auth.txt

Sve što trebamo je pohraniti korisničko ime i lozinku u ovu datoteku, ništa drugo.

korisničko ime

lozinka

Trebao bih dodati da biste u ovom trenutku trebali imati ideju o tome koga želite koristiti kao VPN uslugu za svoje veze. Široka je rasprava o tome koja je usluga najbolja ili najsigurnija, pa kupujte i provjerite recenzije o njima! Za potrebe ovog vodiča koristim privatni pristup internetu (PIA). Prilično su jeftini i priznati su po tome što su vrlo pouzdani! Također možete postaviti svoj VPN da završi u gotovo svim većim regijama svijeta! Kanada? Rusija? Japan? Nije problem!

Ako koristite privatni pristup internetu, oni također imaju zgodan dio svoje web stranice na kojem možete sastaviti vrstu konfiguracijske datoteke openvpn koju možete koristiti u ovom postavljanju! Postoje i druge vrste openvpn konfiguracija koje možete koristiti s drugim pružateljima usluga, ali odlučio sam odabrati ovu.

Kojeg davatelja usluga ne izaberete, potrebna vam je datoteka za povezivanje openvpn (trebala bi završiti s.ovpn za tip datoteke) od davatelja usluga da biste se povezali. Radi jednostavnosti, preimenovao sam svoj "connectionprofile.ovpn" prije nego što sam ga učitao na svoj Raspberry Pi. Nakon što preuzmete.ovpn datoteku na Pi ili je prenesete na Pi, provjerite je li datoteka u /etc /openvpn na vašem Pi.

Nakon premještanja otvorene vpn datoteke u ispravnu mapu, tada moramo promijeniti vrstu datoteke jer openvpn očekuje konfiguracijsku datoteku koja završava na.conf umjesto na.ovpn. Kad sam to učinio, i dalje sam želio sačuvati izvornu datoteku netaknutom, u slučaju da se nešto dogodi, pa sam samo upotrijebio naredbu cp (budući da ste u /etc /openvpn, morat ćete koristiti sudo dozvole za pokretanje ova naredba)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

S kreiranjem konfiguracije profila openvpn, moramo napraviti brzu promjenu kako bismo dostavili svoje vjerodajnice, tako da je vrijeme za ponovno izbijanje nano!

sudo nano /etc/openvpn/connectionprofile.conf

Morat ćete pronaći liniju auth-user-pass i zamijeniti je auth-user-pass auth.txt

Ovo govori openvpn -u da preuzme datoteku vjerodajnica koju smo ranije koristili za provjeru autentičnosti profila koji smo dali.

Spremite i izađite iz konfiguracijske datoteke profila!

To bi trebalo biti sve za postavljanje VPN -a, ali htjet ćemo provjeriti je li sva naša konfiguracija ispravno postavljena prije postavljanja VPN usluge za automatsko pokretanje. Pokrenite sljedeću naredbu da biste testirali VPN vezu

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Trebali biste vidjeti hrpu teksta kako se pomera dok Pi pokušava da se poveže sa dobavljačem VPN usluga (nadamo se da nema poruka o grešci!), Ali želite da ga ostavite sve dok u prozoru ne vidite Završen niz inicijalizacije. Ako to vidite, to znači da je vaš Pi povezan s vašim davateljem VPN usluga! Možete nastaviti i ubiti proces pritiskom na ctrl + c u prozoru terminala.

Sada kada VPN radi, moramo očistiti trenutne iptables. To možemo dovršiti sa sljedeće tri naredbe

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Budući da smo ipak isprali iptables, moramo resetirati nat pravilo koje smo stvorili ranije u ovom vodiču pokretanjem sljedeće naredbe (ova bi naredba trebala izgledati poznato!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Sada možemo spremiti ovu konfiguraciju u prethodnu konfiguraciju koju smo sastavili u prethodnom koraku. (ova naredba bi takođe trebala izgledati poznato!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Sada kada imamo postavljena NAT pravila, moramo promijeniti zadanu konfiguraciju za openvpn da koristi profil koji smo postavili. To radimo uređivanjem konfiguracione datoteke u/etc/default/openvpn

sudo nano/etc/default/openvpn

Pronađite redak koji kaže #autostart = "all", uklonite komentar iz ovog retka i promijenite ga u naziv svoje konfiguracijske datoteke openvpn (minus.conf naravno!) Pa u mom slučaju mijenjam liniju u autostart = " profil veze"

a zatim spremite i izađite iz ove konfiguracijske datoteke!

To bi trebalo biti sve za VPN postavku! Samo ponovo pokrenite Pi i provjerite radi li sve tako što ćete se povezati s hotspotom i provjeriti svoju IP adresu putem web lokacije poput whatismyip.com.

S ovom konfiguracijom postoji mogućnost da IP adresa vašeg usmjerivača procuri kroz propuštanje DNS -a. To možemo riješiti promjenom DNS -a na koji se pozivamo u datoteci dhcpcd.conf tako da pokazuje na vanjski DNS servis, kao što je Cloudflare!

Otvorite datoteku dhcpcd.conf u svom omiljenom uređivaču:

sudo nano /etc/dhcpcd.conf

Pronađite liniju u konfiguraciji #static domain_name_servers = 192.168.0.1, dekomentirajte liniju i promijenite je na sljedeće: static domain_name_servers = 1.1.1.1 i spremite/izađite iz konfiguracijske datoteke. Ponovo pokrenite Pi još jednom i sada možete dvaput provjeriti da IP adresa vašeg usmjerivača ne propušta putem ipleak.net.

Još jedna stvar koju treba biti svjestan je to da IP adresa vašeg usmjerivača možda propušta putem WebRTC -a. WebRTC je platforma koju koriste svi moderni preglednici za bolju standardizaciju komunikacije, uključujući razmjenu trenutnih poruka, video konferencije i streaming audio i video zapisa. Nusproizvod ove platforme je taj što, ako nije označeno, može propustiti IP adresu vašeg usmjerivača ako ste povezani na VPN. Najlakši način da to spriječite upotrebom ekstenzija ili dodataka za preglednike, kao što je webrtc-leak-spriječavanje.

Sa svim postavkama na vašem pi -u, ako želite osigurati da je sav vaš internetski promet šifriran, možete se povezati s ovom hotspotom, a sav vaš promet bit će šifriran putem VPN -a!

Nadam se da vam se svidio moj Instructable, a sada osigurajte sav wifi !!