Защитете целия Wi -Fi с VPN - точка за достъп !: 5 стъпки

2024 Автор: John Day | [email protected]. Последно модифициран: 2024-01-30 07:52

Тъй като все повече и повече от живота ни се изпращат към големия облак в небето, който е интернет, става все по -трудно да останете сигурни и лични в личните си приключения в интернет. Независимо дали имате достъп до поверителна информация, която искате да запазите поверителна, опитвайки се да заобиколите ограниченията за това къде или какво можете да сърфирате в мрежата си, или просто искате по -сигурно сърфиране, най -често срещаният съвет, който чувам, за да останете сигурни в интернет е да се използва виртуална частна мрежа (или VPN за краткост).

VPN предлагат две страхотни услуги в един пакет, като криптират всички пакети информация, които се изпращат чрез тях, и правят отдалечени услуги, които са в същата мрежа като локалната VPN за машината, която използвате за свързване. Ако моят VPN сървър е в Германия и се свържа с VPN от лаптоп в Австралия, лаптопът ми вече ще има IP адрес от Германия!

Основна пречка при по -популярните VPN услуги обаче е, че много видове устройства са в ситуации, в които или не могат да бъдат конфигурирани да използват VPN клиент, или нямат VPN клиент на разположение за използване. Така че искаме нашите устройства да бъдат свързани с нашата VPN, но за тези други машини, които не могат да се свържат с прост VPN клиент, искаме те да бъдат свързани с нашата VPN, без дори да знаят, че са свързани! Въведете VPN точка за достъп!

Стъпка 1: Материали

Материалите за този проект са малко, но всички елементи са необходими.

Освен вашия домашен рутер (който предполагам, че трябва да имате), ще ви трябва

- 1 Raspberry Pi (за предпочитане Raspberry Pi 3 или по -добър, но докато може да поддържа Ethernet връзка, трябва да е добре!)

- 1 Ethernet кабел

- 1 wifi ключ (освен ако не използвате Raspberry Pi 3, в този случай можете да използвате вградения wifi

- 1 5V 2amp захранване за Raspberry Pi

Стъпка 2: Настройка на Wifi точка за достъп - Част 1 - Статичен IP адрес за Wifi

Преди да настроим VPN връзката за нашата точка за достъп на Raspberry Pi, трябва да настроим Pi като точка за достъп. За да направим това, ще използваме пакетите hostapd и dnsmasq за Raspberry Pi. Hostapd е демон за потребителско пространство за настройка на безжични точки за достъп и сървъри за удостоверяване, докато dnsmasq предоставя мрежова инфраструктура (DNS, DHCP, мрежово зареждане и т.н.) за малки мрежи и малки мрежови рутери.

Така че, преди да започнете, уверете се, че имате чисто изображение на Raspbian OS, работещо на Pi, с приложени най -новите актуализации. Също така искате да се уверите, че вашият Raspberry Pi е свързан към вашия рутер чрез хардлайн Ethernet връзка, НЕ wifi! В крайна сметка ще приемаме заявки за връзка от други устройства чрез нашия wifi модул, така че не искате да бъдете свързани с вашия рутер през същия модул. Ако използвате Raspberry Pi Zero или по -старо допълнение (което няма вграден wifi), все още можете да използвате този Raspberry Pi, просто ви трябва USB wifi ключ.

След като се свържете с вашия Raspberry Pi (чрез SSH или с включен монитор) проверете дали е актуален

sudo apt-get update

sudo apt-get надстройка

След това ще искате да изтеглите и инсталирате hostapd и dnsmasq

sudo apt-get install hostapd dnsmasq

След като пакетите са инсталирани, и двете програми ще се стартират автоматично, но ние искаме да направим промени в техните конфигурации, преди да ги стартираме. Затова ще се обърнем към системния контрол, за да спрем услугите, свързани с тези програми

sudo systemctl спре hostapd

sudo systemctl stop dnsmasq

Когато услугите вече са спрени, ще искаме да си присвоим статичен IP адрес, като използваме конфигурационния файл dhcpcd, намерен на /etc/dhcpcd.conf

Преди да направим това обаче, искаме да се уверим, че се позоваваме на правилния интерфейс, когато присвояваме статичния IP адрес. Ако използвате Raspberry Pi 3b или Raspberry Pi Zero W, той трябва да бъде посочен като wlan0. Ако използвате wifi dongle, обикновено намирам, че е малко по -лесно да свържете wifi dongle към рутера, да вземете нов IP адрес и след това да проверите връзката си, за да намерите вашия интерфейс. Можете да проверите интерфейса си, като изпълните следната команда

ifconfig

Ако проверите горното изображение, приложено към тази стъпка, можете да видите (минус редактираните IP адреси) интерфейсите, присвоени на моя Raspberry Pi. В моя случай използвам wlan0, но зависи от вашата настройка. Както споменах по -рано, ако използвате wifi dongle, свържете се към вашата мрежа, изпълнете командата ifconfig и какъвто и интерфейс да се появи, който има валиден IP адрес и не е „eth0“или „lo“, ще бъде интерфейсът, който искате да използвам.

Сега, когато знам кой интерфейс е за моя wifi адаптер, мога да му присвоя статичен IP адрес в конфигурационния файл dhcpcd! Изведете конфигурацията в любимия си редактор (използвам nano).

sudo nano /etc/dhcpcd.conf

В долната част на конфигурацията искаме да добавим следните редове, но да заменим „wlan0“с какъвто и да е вашият интерфейс:

интерфейс wlan0 статичен ip_address = 192.168.220.nohook wpa_supplicant

Това, което прави тази команда, е да установи статичен ip на 192.168.220.1 и след това да каже на интерфейса wlan0 да не се свързва с драйвера wpa_supplicant, който обикновено се използва за този интерфейс за свързване към други мрежи. Правим това, за да можем (в крайна сметка) да излъчваме собствен сигнал през интерфейса wlan0, вместо да се свързваме с мрежа чрез този интерфейс.

Ако използвате nano, за да направите тези промени, запишете промените, като натиснете ctrl+x и след това Y и след това влезте, за да запазите файла и да излезете от nano. (имайте предвид, че ще влизаме и излизаме от nano много в този урок).

И накрая, за да влязат в сила тези промени, ще трябва или да рестартирате своя Pi, или просто да рестартирате услугата dhcpcd, за да презаредите конфигурацията и да приложите тези промени

sudo systemctl рестартирайте dhcpcd

Изчакайте малко и след това изпълнете отново командата ifconfig, за да проверите и да видите дали промените ви са влезли в сила. Признавам, понякога съм опитвал това и моят рутер все още има валиден лизинг на IP адреса, който използвах, така че той ще запази стария адрес. Ако случаят е такъв, проверете отново всичко във вашата конфигурация и рестартирайте отново услугата dhcpcd.

Нашият wifi адаптер (трябва) вече има статичен IP адрес!

След това конфигурацията hostapd и dnsmasq!

Стъпка 3: Настройка на Wifi точка за достъп - Част 2 - Конфигурация на Hostapd

С промяната на dhcpcd.conf, време е да започнете с hostapd! Започнете, като създадете нов файл hostapd.conf в любимия си текстов редактор (за пореден път в nano за мен!)

sudo nano /etc/hostapd/hostapd.conf

Когато изведете конфигурационния файл, копирайте следния текст и го поставете в конфигурацията.

интерфейс = wlan0driver = nl80211

hw_mode = g канал = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Име и парола за Wifi мрежа, ТРЯБВА ДА ПРОМЕНИТЕ ТОВА ssid = Pi-WifiFoLife # Мрежовата парола wpa_passphrase = Y0uSh0uldCh@ng3M3

След като го поставите, намерете последния раздел в долната част, който има "ssid =" и "wpa_passphrase =". Така ще се нарича wifi мрежата, която настройваме, и каква е паролата за свързване с wifi мрежата, която настройваме. ТАКА БЕЗОПАСНО ПРОМЕНЕТЕ ТОВА ЗА НЕЩО ДРУГО! Предупреден си.

Също така, ако използвате wifi dongle вместо вграден wifi, ще трябва да промените раздела за интерфейс в горната част на конфигурацията, за да съответства на интерфейса за вашия wifi dongle. Може също да се наложи да смените драйвера, в зависимост от модела на wifi ключа, който използвате. За (предимно изчерпателен) списък със съвместими wifi dongles, съответните им драйвери и страници за поддръжка, намерих тази страница за много полезна! Също така проверете страницата за поддръжка за продукта, който използвате, ако се забиете. Не забравяйте, че ако сте успели да се свържете с вашата мрежа по -рано в урока с вашия wifi ключ, това означава, че трябва да има работещ драйвер за ключа на вашия pi някъде !!!

Сега, когато имаме нашия нов конфигурационен файл, трябва да сме сигурни, че казваме на процесите на hostapd да се позовават на новия конфигурационен файл! започнете със следното:

sudo nano/etc/default/hostapd

Намерете реда във файла, който току -що отворихме, който гласи # DAEMON_CONF = "" и го променете на DAEMON_CONF = "/etc/hostapd/hostapd.conf" (уверете се, че в началото премахвате знака #, за да декомментирате поле!)

Има още един конфигурационен файл за hostapd, който трябва да актуализираме. Изпълнете следната команда:

sudo nano /etc/init.d/hostapd

Тази промяна е почти идентична с предишната. Намерете раздела DAEMON_CONF = и го заменете с DAEMON_CONF =/etc/hostapd/hostapd.conf

След това запишете и излезте от този файл!

Hostapd вече е конфигуриран!

Стъпка 4: Конфигуриране на DNSMasq и препращане на IP

С hostapd вече конфигуриран (макар че все още не работи), сега можем да преминем към dnsmasq!

Преди да преминем с редактиране на конфигурационни файлове, можем да продължим и да преименуваме един от оригиналните конфигурационни файлове, тъй като няма да използваме нищо, което е в този конкретен конфигурационен файл.

Изпълнението на бърза команда mv с ново име на файл трябва да свърши работа

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

След това създайте нов конфигурационен файл!

sudo nano /etc/dnsmasq.conf

Без да навлизам в това, просто бих копирал следното и го поставих в новия файл

interface = wlan0 # Използвайте интерфейса wlan0 (или какъвто и да е интерфейс на вашата безжична връзка) сървър = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP обхват и време за отдаване под наем

Горният ред на тази конфигурация е за интерфейса, който използваме за излъчване на нашия сигнал, средната линия е за нашия доставчик на услуги Doman Name, а след това долният ред е диапазонът от IP адреси, които Pi ще присвои на потребителите, които се свързват с Pi Wifi. Продължете и запазете този файл и след това излезте от nano (или vim, или каквото и да използвате за промени на файлове).

След това трябва да настроим конфигурационния файл systctl.conf, за да препраща целия трафик, идващ към безжичния интерфейс, за маршрутизиране през Ethernet връзката

sudo nano /etc/sysctl.conf

Вътре в този конфигурационен файл всичко, което трябва да направите, е да разкомментирате реда, който е #net.ipv4.ip_forward = 1, и да запазите/излезете от този конфигурационен файл.

Сега, когато сме настроили пренасочването, искаме да настроим NAT (Превод на мрежов адрес) между безжичния интерфейс (wlan0) и Ethernet интерфейса (eth0). Това помага да се пренасочи целият трафик от wifi към Ethernet (и евентуално VPN!) Връзка.

Добавете ново правило към iptable за препращане на NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Правилото вече е настроено, но iptable се изчиства всеки път, когато Raspberry Pi се рестартира, така че трябва да запишем това правило, така че да може да бъде (пре) зареждано всеки път, когато Pi се рестартира.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Правилото вече е запазено, но трябва да актуализираме локалния конфигурационен файл на Pi rc.local, за да сме сигурни, че се зарежда всеки път!

Отворете файла rc.local в любимия си редактор

sudo nano /etc/rc.local

и намерете секцията, която казва изход 0

Точно над този ред (не го изтривайте!) Добавете следната команда, която ще презареди създаденото от нас правило NAT. Сега трябва да изглежда така

iptables-restore </etc/iptables.ipv4.nat exit0

Запазете и излезте от този файл и сега всичките ни конфигурации трябва да бъдат направени за точката за достъп!

Всичко, което трябва да направим, е да стартираме услугите hostapd и dnsmasq и да рестартираме Raspberry Pi!

sudo услуга hostapd старт

sudo услуга dnsmasq старт

Тествайте, за да се уверите, че можете да видите новата си точка за достъп. Ако всичко е настроено правилно, сега трябва да имате точка за достъп до wifi на вашия Raspberry Pi! Сега рестартирайте pi

sudo рестартиране

След това настройте OpenVPN връзка!

Стъпка 5: Настройка на OpenVPN и конфигурация на доставчика на VPN услуги

Сега, когато нашият Pi излъчва wifi, време е да настроите openvpn! Ще започнем с инсталирането на openvpn чрез apt-get install

sudo apt -get install openvpn -y

След като openvpn завърши инсталирането, ние трябва да отидем до мястото, където ще съхраняваме нашите идентификационни данни за удостоверяване и конфигурационен файл на openvpn.

cd /etc /openvpn

Първото нещо, което ще направим тук (в рамките на /etc /openvpn), е да настроим текстов файл, който да съхранява нашето потребителско име и парола за VPN услугата, която използваме.

sudo nano auth.txt

Всичко, от което се нуждаем, е да съхраним потребителското име и паролата в този файл, нищо друго.

потребителско име

парола

Трябва да добавя, че на този етап трябва да имате представа кой искате да използвате като VPN услуга за вашите връзки. Има широк дебат за това коя услуга е най -добрата или най -безопасната, така че пазарувайте и проверете отзивите за тях! За целите на този урок използвам частен достъп до интернет (PIA). Те са сравнително евтини и се признават за много надеждни! Можете също така да настроите своя VPN да завърши в почти всеки голям регион на света! Канада? Русия? Япония? Не е проблем!

Ако използвате частен достъп до интернет, те също имат удобна част от сайта си, където можете да съберете типа конфигурационен файл на openvpn, който можете да използвате в тази настройка! Има и други видове конфигурации на openvpn, които можете да използвате с други доставчици, но реших да избера този.

Който и доставчик на услуги да изберете, имате нужда от файл за връзка openvpn (трябва да завършва на.ovpn за типа на файла) от споменатия доставчик на услуги, за да се свържете. За простота, преименувах моя „connectionprofile.ovpn“, преди да го заредя на моя Raspberry Pi. След като изтеглите.ovpn файла на Pi или го прехвърлите на Pi, уверете се, че файлът е в /etc /openvpn на вашия Pi.

След преместването на отворения vpn файл в правилната папка, ние трябва да променим типа на файла, тъй като openvpn очаква конфигурационен файл, който завършва на.conf вместо на.ovpn. Когато направих това, все още исках да запазя оригиналния файл непокътнат, в случай че се случи нещо фънки, затова просто използвах команда cp (тъй като сте в /etc /openvpn, ще трябва да използвате разрешенията за sudo, за да стартирате тази команда)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Със създадената конфигурация на профила на openvpn трябва да направим бърза промяна, за да предоставим нашите идентификационни данни, така че е време отново да избухнем nano!

sudo nano /etc/openvpn/connectionprofile.conf

Ще искате да намерите реда auth-user-pass и да го замените с auth-user-pass auth.txt

Това казва на openvpn да вземе файла за идентификационни данни, който използвахме по -рано, за да използваме при удостоверяване на предоставения от нас профил.

Запазете и излезте от конфигурационния файл на профила!

Това трябва да е всичко за настройката на VPN, но ще искаме да тестваме дали цялата ни конфигурация е била настроена правилно, преди да настроим VPN услугата да се стартира автоматично. Изпълнете следната команда, за да тествате VPN връзката

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Трябва да видите куп текст, който се превърта, докато Pi прави опити за връзка с доставчика на VPN услуги (надяваме се, че няма съобщения за грешка!), Но искате да го оставите, докато в прозореца видите Последователност на инициализация завършена. Ако в крайна сметка видите това, това означава, че вашият Pi е свързан с вашия доставчик на VPN услуги! Можете да продължите и да убиете процеса, като натиснете ctrl + c в прозореца на терминала.

Сега, когато VPN работи, трябва да изчистим текущите iptables. Можем да завършим това със следните три команди

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Тъй като изтрихме iptables, трябва да нулираме правилото nat, което бяхме създали по -рано в този урок, като изпълним следната команда (тази команда трябва да изглежда позната!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Сега можем да запишем тази конфигурация върху предишната конфигурация, която сме събрали в предишната стъпка. (тази команда също трябва да изглежда позната!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Сега, когато имаме създадени правила за NAT, трябва да променим конфигурацията по подразбиране за openvpn, за да използваме профила, който сме настроили. Правим това, като редактираме конфигурационния файл в/etc/default/openvpn

sudo nano/etc/default/openvpn

Намерете реда, който казва #autostart = "all", декомментирайте този ред и го променете на името на вашия конфигурационен файл openvpn (минус.conf разбира се!) Така че в моя случай променям реда на autostart = " профил на връзката"

и след това запишете и излезте от този конфигурационен файл!

Това трябва да е всичко за настройката на VPN! Просто рестартирайте Pi и проверете дали всичко работи, като се свържете с горещата точка и проверите вашия IP адрес чрез сайт като whatismyip.com.

При тази конфигурация съществува възможност IP адресът на вашия рутер да изтече чрез изтичане на DNS. Можем да поправим това, като променим DNS, който споменаваме във файла dhcpcd.conf, за да сочи към външна DNS услуга, като Cloudflare!

Отворете файла dhcpcd.conf в любимия си редактор:

sudo nano /etc/dhcpcd.conf

Намерете реда в конфигурацията #static domain_name_servers = 192.168.0.1, декомментирайте реда и го променете на следното: static domain_name_servers = 1.1.1.1 и запишете/излезте от конфигурационния файл. Рестартирайте Pi още веднъж и сега можете да проверите отново дали IP адресът на вашия рутер не е изтекъл през ipleak.net.

Друго нещо, което трябва да знаете, е, че IP адресът на вашия рутер евентуално е изтекъл през WebRTC. WebRTC е платформа, която се използва от всички съвременни браузъри за по -добра стандартизация на комуникациите, включително незабавни съобщения, видеоконференции и стрийминг на аудио и видео. Страничен продукт на тази платформа е, че ако не бъде проверена, тя може да изтече IP адреса на вашия рутер, ако сте свързани с VPN. Най-лесният начин да предотвратите това, като използвате разширения или приставки на браузъра, като например webrtc-leak-предотвратяване.

С всичко, което е настроено на вашето pi сега, ако искате да се уверите, че целият ви интернет трафик е криптиран, можете да се свържете с тази гореща точка и целият ви трафик ще бъде шифрован чрез VPN!

Надявам се, че сте харесали моя Instructable, сега осигурете целия wifi !!