Zabezpečte všetky siete WiFi pomocou prístupového bodu VPN: 5 krokov

2024 Autor: John Day | [email protected]. Naposledy zmenené: 2024-01-30 11:59

Keďže stále viac našich životov je odosielaných do veľkého oblaku na oblohe, akým je internet, je stále ťažšie zostať v bezpečí a súkromí vo svojich osobných internetových dobrodružstvách. Či už pristupujete k citlivým informáciám, ktoré chcete zachovať v súkromí, pokúšate sa obísť obmedzenia týkajúce sa toho, kde alebo čo môžete vo svojej sieti prehliadať, alebo chcete iba bezpečnejšie prehliadanie, najčastejšie rady, ktoré počúvam, aby ste zostali v bezpečí na internete je používať virtuálnu súkromnú sieť (alebo skrátene VPN).

VPN ponúkajú dve skvelé služby v jednom balíku, a to v tom, že šifrujú všetky pakety informácií, ktoré sú cez ne odoslané, a pre zariadenie, ktoré používate na pripojenie, robia vzdialené služby, ktoré sú v rovnakej sieti ako lokálna sieť VPN. Ak je môj server VPN v Nemecku a ja sa k nemu pripájam z prenosného počítača v Austrálii, môj prenosný počítač bude mať teraz IP adresu z Nemecka!

Hlavným bodom obľúbenejších služieb VPN však je, že mnoho typov zariadení je v situáciách, v ktorých ich nemožno nakonfigurovať na používanie klienta VPN alebo ak nie je k dispozícii klient VPN. Chceme teda, aby boli naše zariadenia pripojené k našej sieti VPN, ale pre tieto ostatné počítače, ktoré sa nemôžu pripojiť k jednoduchému klientovi VPN, chceme, aby boli pripojené k našej sieti VPN bez toho, aby vedeli, že sú pripojené! Zadajte prístupový bod VPN!

Krok 1: Materiály

Materiálov pre tento projekt je málo, ale sú požadované všetky položky.

Okrem domáceho smerovača (ktorý predpokladám by ste mali mať) budete potrebovať

- 1 Raspberry Pi (najlepšie Raspberry Pi 3 alebo lepší, ale pokiaľ môže podporovať ethernetové pripojenie, malo by to byť v poriadku!)

- 1 ethernetový kábel

- 1 wifi dongle (pokiaľ nepoužívate Raspberry Pi 3, v takom prípade môžete použiť vstavaný wifi

- 1 5V 2amp napájací zdroj pre Raspberry Pi

Krok 2: Nastavenie prístupového bodu Wifi - časť 1 - Statická adresa IP pre Wifi

Pred nastavením pripojenia VPN k nášmu prístupovému bodu Raspberry Pi musíme Pi nastaviť ako prístupový bod. Na tento účel použijeme pre Raspberry Pi balíčky hostapd a dnsmasq. Hostapd je démon používateľského priestoru na nastavenie bezdrôtových prístupových bodov a autentifikačných serverov, zatiaľ čo dnsmasq poskytuje sieťovú infraštruktúru (DNS, DHCP, zavádzanie siete atď.) Pre malé siete a malé sieťové smerovače.

Než teda začnete, uistite sa, že máte čistý obraz operačného systému Raspbian OS bežiaceho na počítači Pi s nainštalovanými najnovšími aktualizáciami. Tiež sa chcete uistiť, že je váš Raspberry Pi pripojený k vášmu routeru prostredníctvom pevného ethernetového pripojenia, NIE wifi! Nakoniec budeme prostredníctvom nášho modulu wifi prijímať žiadosti o pripojenie z iných zariadení, aby ste nechceli byť pripojení k svojmu smerovaču prostredníctvom rovnakého modulu. Ak používate Raspberry Pi Zero alebo starší doplnok (ktorý nemá vstavanú wifi), môžete tento Raspberry Pi stále používať, stačí vám USB wifi dongle.

Po pripojení k vášmu Raspberry Pi (cez SSH alebo s monitorom hore) skontrolujte, či je aktuálny

sudo apt-get aktualizácia

sudo apt-get upgrade

Ďalej budete chcieť stiahnuť a nainštalovať hostapd a dnsmasq

sudo apt-get install hostapd dnsmasq

Po inštalácii balíkov sa oba programy automaticky spustia, ale pred ich spustením chceme vykonať zmeny v ich konfiguráciách. Siahneme teda po riadení systému, aby sme zastavili služby súvisiace s týmito programami

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Keď sú služby teraz zastavené, budeme si chcieť priradiť statickú IP adresu pomocou konfiguračného súboru dhcpcd, ktorý nájdete na /etc/dhcpcd.conf

Predtým než to však urobíme, chceme sa uistiť, že pri prideľovaní statickej adresy IP odkazujeme na správne rozhranie. Ak používate Raspberry Pi 3b alebo Raspberry Pi Zero W, mal by byť uvedený ako wlan0. Ak používate wifi dongle, zvyčajne mi príde trochu jednoduchšie pripojiť wifi dongle k routeru, získať novú IP adresu a potom skontrolovať pripojenie a nájsť svoje rozhranie. Rozhranie môžete skontrolovať spustením nasledujúceho príkazu

ifconfig

Ak skontrolujete horný obrázok pripojený k tomuto kroku, uvidíte (mínus upravené adresy IP) rozhrania priradené môjmu Raspberry Pi. V mojom prípade používam wlan0, ale závisí to od vášho nastavenia. Ako som už spomenul, ak používate wifi dongle, pripojte sa k svojej sieti, spustite príkaz ifconfig a akékoľvek rozhranie, ktoré má platnú adresu IP a nie je „eth0“alebo „lo“, bude požadovaným rozhraním. použit.

Teraz, keď viem, ktoré rozhranie je pre môj wifi adaptér, môžem mu v konfiguračnom súbore dhcpcd priradiť statickú IP adresu! Vyvolajte konfiguráciu vo svojom obľúbenom editore (používam nano).

sudo nano /etc/dhcpcd.conf

V spodnej časti konfigurácie chceme pridať nasledujúce riadky, ale nahradiť „wlan0“akýmkoľvek vašim rozhraním:

rozhranie wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Tento príkaz robí, že vytvorí statickú IP adresu 192.168.220.1 a potom oznámi rozhraniu wlan0, aby sa nepripojilo k ovládaču wpa_supplicant, ktorý sa zvyčajne používa pre toto rozhranie na pripojenie k iným sieťam. Robíme to preto, aby sme (nakoniec) mohli vysielať vlastný signál prostredníctvom rozhrania wlan0, a nie sa potom pripájať k sieti prostredníctvom tohto rozhrania.

Ak na vykonanie týchto zmien používate nano, uložte zmeny stlačením klávesov ctrl+x a potom na Y a potom klávesom Enter uložte súbor a ukončite prácu s nano. (majte na pamäti, že v tomto návode budeme trochu vstupovať a vystupovať z nano).

Nakoniec, aby sa tieto zmeny prejavili, budete musieť buď reštartovať Pi, alebo len reštartovať službu dhcpcd, aby ste znova načítali konfiguráciu a použili tieto zmeny

sudo systemctl reštartujte dhcpcd

Chvíľu počkajte a potom znova spustite príkaz ifconfig, aby ste zistili, či sa vaše zmeny prejavili. Priznávam, niekedy som to vyskúšal a môj router má stále platnú nájomnú zmluvu na IP adresu, ktorú som používal, takže ponechá starú adresu. Ak je to tak, dvakrát skontrolujte všetko v konfigurácii a reštartujte službu dhcpcd znova.

Náš wifi adaptér (mal by) mať teraz statickú IP adresu!

Ďalej konfigurácia hostapd a dnsmasq!

Krok 3: Nastavenie prístupového bodu Wifi - časť 2 - Konfigurácia Hostapd

Keď sa dhcpcd.conf zmení z cesty, je čas začať s hostapd! Začnite vytvorením nového súboru hostapd.conf vo svojom obľúbenom textovom editore (pre mňa opäť v nano!)

sudo nano /etc/hostapd/hostapd.conf

Keď vyvoláte konfiguračný súbor, skopírujte nasledujúci text a prilepte ho do konfigurácie.

rozhranie = wlan0driver = nl80211

hw_mode = g kanál = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Názov a heslo siete WIFI TREBA ZMENIŤ ssid = Pi-WifiFoLife # Heslo siete wpa_passphrase = Y0uSh0uldCh@ng3M3

Keď to vložíte, nájdite v spodnej časti poslednú sekciu s „ssid =“a „wpa_passphrase =“. Tak sa bude volať sieť wifi, ktorú nastavujeme, a aké je heslo pre pripojenie k sieti wifi, ktorú nastavujeme. TAK SI TO URČITE ZMEŇTE ZA NIEČO INÉ! Bol si varovaný.

Tiež, ak namiesto zabudovaného wifi používate wifi dongle, budete musieť zmeniť sekciu rozhrania v hornej časti konfigurácie tak, aby zodpovedala rozhraniu pre váš wifi dongle. Možno budete musieť zmeniť aj ovládač, v závislosti od modelu Wi -Fi donglu, ktorý používate. Pokiaľ ide o (väčšinou komplexný) zoznam kompatibilných wifi kľúčov, ich zodpovedajúce ovládače a stránky podpory, považoval som túto stránku za veľmi užitočnú! Ak sa zaseknete, skontrolujte aj stránku podpory pre produkt, ktorý používate. Pamätajte si, že ak ste sa v tutoriále dokázali predtým pripojiť k vašej sieti pomocou vášho wifi kľúča, znamená to, že niekde by mal existovať funkčný ovládač pre dongle na vašom pi !!!

Teraz, keď máme nový konfiguračný súbor, musíme sa uistiť, že povieme procesom hostapd, aby odkazovali na nový konfiguračný súbor! začnite s nasledujúcim:

sudo nano/etc/default/hostapd

Nájdite v súbore, ktorý sme práve otvorili, riadok # DAEMON_CONF = "" a zmeňte ho na DAEMON_CONF = "/etc/hostapd/hostapd.conf" (uistite sa, že na začiatku odznačíte znak # lúka!)

Existuje ešte jeden konfiguračný súbor pre hostapd, ktorý musíme aktualizovať. Spustite nasledujúci príkaz:

sudo nano /etc/init.d/hostapd

Táto zmena je takmer identická s predchádzajúcou. Nájdite sekciu DAEMON_CONF = a nahraďte ju DAEMON_CONF =/etc/hostapd/hostapd.conf

Potom súbor uložte a opustite ho!

Hostapd je teraz nakonfigurovaný!

Krok 4: Konfigurácia DNSMasq a presmerovanie IP

Keď je hostapd teraz nakonfigurovaný (aj keď ešte nie je spustený), môžeme teraz prejsť na dnsmasq!

Predtým, ako sa pustíme do úpravy konfiguračných súborov, môžeme pokračovať v premenovaní jedného z pôvodných konfiguračných súborov, pretože nebudeme používať nič, čo je v tomto konkrétnom konfiguračnom súbore.

Vykonať rýchly príkaz mv s novým názvom súboru by malo stačiť

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Potom vytvorte nový konfiguračný súbor!

sudo nano /etc/dnsmasq.conf

Bez toho, aby ste sa do toho dostali, skopírujem nasledujúce a prilepím ho do nového súboru

interface = wlan0 # Použite rozhranie wlan0 (alebo akékoľvek iné rozhranie je vaše bezdrôtové) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # rozsah IP a doba prenájmu

Horný riadok tejto konfigurácie je pre rozhranie, ktoré používame na vysielanie nášho signálu, stredný riadok je pre nášho poskytovateľa služby Doman Name Service a potom dolný riadok je rozsah adries IP, ktoré Pi bude prideľovať používateľom, ktorí sa pripájajú k Pi Wifi. Pokračujte, uložte tento súbor a potom ukončite program nano (alebo vim alebo čokoľvek, čo používate na zmeny súborov).

Ďalej musíme nastaviť konfiguračný súbor systctl.conf tak, aby presmeroval všetku komunikáciu prichádzajúcu do bezdrôtového rozhrania na smerovanie cez ethernetové pripojenie.

sudo nano /etc/sysctl.conf

V tomto konfiguračnom súbore stačí odkomentovať riadok #net.ipv4.ip_forward = 1 a uložiť/opustiť tento konfiguračný súbor.

Teraz, keď máme nastavené presmerovanie, chceme nastaviť NAT (Network Address Translation) medzi bezdrôtovým rozhraním (wlan0) a rozhraním ethernet (eth0). Pomáha to presmerovať všetok prenos z wifi na pripojenie k ethernetu (a prípadne VPN!).

Pridajte na iptable nové pravidlo preposielanie NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Pravidlo je teraz nastavené, ale iptable sa vyprázdni pri každom reštarte Raspberry Pi, takže toto pravidlo musíme uložiť, aby sa dalo (znova) načítať pri každom reštarte nášho Pi.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Pravidlo je teraz uložené, ale musíme aktualizovať lokálny konfiguračný súbor rc.local Pi, aby sme sa presvedčili, že je načítaný vždy!

Otvorte súbor rc.local vo svojom obľúbenom editore

sudo nano /etc/rc.local

a nájdite časť, ktorá hovorí, že exit 0

Hneď nad tento riadok (neodstraňujte ho!) Pridajte nasledujúci príkaz, ktorý znova načíta pravidlo NAT, ktoré sme nastavili. Teraz by to malo vyzerať takto

iptables-restore </etc/iptables.ipv4.nat exit0

Uložte a opustite tento súbor a teraz by mali byť pre prístupový bod vykonané všetky naše konfigurácie!

Všetko, čo musíme urobiť, je spustiť služby hostapd a dnsmasq a reštartovať náš Raspberry Pi!

služba sudo hostapd štart

sudo service dnsmasq start

Otestujte sa, aby ste videli svoj nový AP. Ak je všetko nastavené správne, na Raspberry Pi by ste teraz mali mať prístupový bod wifi! Teraz reštartujte pí

sudo reštart

Ďalej pokračujte nastavením pripojenia OpenVPN!

Krok 5: Nastavenie OpenVPN a konfigurácia poskytovateľa služieb VPN

Teraz, keď naše Pi vysiela wifi, je čas na nastavenie openvpn! Začneme inštaláciou openvpn prostredníctvom apt-get install

sudo apt -get install openvpn -y

Keď openvpn dokončí inštaláciu, musíme prejsť na miesto, kde budeme ukladať naše overovacie poverenia a konfiguračný súbor openvpn.

cd /etc /openvpn

Prvá vec, ktorú tu urobíme (v rámci /etc /openvpn), je nastavenie textového súboru, do ktorého budeme ukladať naše používateľské meno a heslo pre službu VPN, ktorú používame.

sudo nano auth.txt

Všetko, čo potrebujeme, je uložiť používateľské meno a heslo do tohto súboru, nič iné.

používateľské meno

heslo

Chcel by som dodať, že v tomto mieste by ste mali mať predstavu o tom, koho chcete používať ako službu VPN pre svoje pripojenia. Existuje široká diskusia o tom, ktorá služba je najlepšia alebo najbezpečnejšia, takže sa poobzerajte a pozrite sa na ich recenzie! Na účely tohto tutoriálu používam súkromný prístup na internet (PIA). Sú dosť lacné a uznávajú sa ako veľmi spoľahlivé! Môžete tiež nastaviť svoju sieť VPN tak, aby sa končila takmer v akejkoľvek väčšej oblasti sveta! Kanada? Rusko? Japonsko? Žiadny problém!

Ak používate súkromný prístup na internet, majú tiež praktickú časť svojich stránok, kde môžete zostaviť typ konfiguračného súboru openvpn, ktorý môžete použiť v tomto nastavení! Existujú aj iné typy konfigurácií openvpn, ktoré môžete použiť s inými poskytovateľmi, ale rozhodol som sa vybrať túto.

Bez ohľadu na to, ktorého poskytovateľa služieb si vyberiete, na pripojenie sa budete potrebovať súbor pripojenia openvpn (pre typ súboru by mal končiť príponou.ovpn). Pre jednoduchosť som pred načítaním na svoj Raspberry Pi premenoval svoj „connectionprofile.ovpn“. Akonáhle si stiahnete súbor.ovpn na Pi alebo ho prenesiete na Pi, uistite sa, že je súbor v /etc /openvpn na vašom Pi.

Po presunutí otvoreného súboru vpn do správneho priečinka potom musíme zmeniť typ súboru, pretože openvpn očakáva konfiguračný súbor, ktorý končí na.conf namiesto.ovpn. Keď som to urobil, stále som chcel zachovať pôvodný súbor neporušený, pre prípad, že by sa stalo niečo funky, tak som použil príkaz cp (keďže ste v /etc /openvpn, na spustenie budete potrebovať povolenia sudo tento príkaz)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Keď je vytvorená konfigurácia profilu openvpn, musíme vykonať rýchlu zmenu, aby sme poskytli svoje poverenia, takže je čas znova sa nano objaviť!

sudo nano /etc/openvpn/connectionprofile.conf

Budete chcieť nájsť riadok auth-user-pass a nahradiť ho súborom auth-user-pass auth.txt

To hovorí, že openvpn má chytiť súbor poverení, ktorý sme predtým používali na autentifikáciu nami dodaného profilu.

Uložte a opustite konfiguračný súbor profilu!

To by malo byť všetko pre nastavenie VPN, ale pred automatickým spustením služby VPN budeme chcieť otestovať, či bola všetka naša konfigurácia nastavená správne. Na otestovanie pripojenia VPN spustite nasledujúci príkaz

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Mali by ste vidieť veľa posúvania textu, pretože Pi sa pokúša pripojiť k poskytovateľovi služieb VPN (dúfajme, že žiadne chybové správy!), Ale chcete to nechať, kým sa v okne nezobrazí Inicializačná sekvencia dokončená. Ak to nakoniec uvidíte, znamená to, že vaše Pi je pripojené k vášmu poskytovateľovi služieb VPN! Môžete pokračovať a zabiť tento proces stlačením ctrl + c v okne terminálu.

Teraz, keď sieť VPN funguje, musíme vymazať aktuálne iptables. Môžeme to dokončiť pomocou nasledujúcich troch príkazov

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Keďže sme však vyprázdnili iptables, musíme resetovať pravidlo nat, ktoré sme vytvorili predtým v tomto návode, spustením nasledujúceho príkazu (tento príkaz by mal vyzerať povedome!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Teraz môžeme túto konfiguráciu uložiť ako predchádzajúcu konfiguráciu, ktorú sme zostavili späť v predchádzajúcom kroku. (tento príkaz by mal tiež vyzerať povedome!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Teraz, keď máme nastavené pravidlá NAT, musíme zmeniť predvolenú konfiguráciu pre openvpn, aby používala profil, ktorý sme nastavili. Vykonáme to úpravou konfiguračného súboru v/etc/default/openvpn

sudo nano/etc/default/openvpn

Nájdite riadok, ktorý hovorí #autostart = "all", odkomentujte tento riadok a zmeňte ho na názov konfiguračného súboru openvpn (samozrejme mínus.conf!) V mojom prípade teda riadok zmením na autostart = " profil pripojenia"

a potom uložte a opustite tento konfiguračný súbor!

To by malo byť pre nastavenie VPN všetko! Reštartujte počítač Pi a overte si, že všetko funguje, pripojením sa k hotspotu a skontrolovaním adresy IP prostredníctvom stránok, ako je whatismyip.com.

Pri tejto konfigurácii existuje možnosť, že by mohla byť adresa IP vášho smerovača uniknutá únikom DNS. Opraviť to môžeme zmenou servera DNS, na ktorý odkazujeme v súbore dhcpcd.conf, tak, aby smeroval na externú službu DNS, napríklad Cloudflare!

Otvorte súbor dhcpcd.conf vo svojom obľúbenom editore:

sudo nano /etc/dhcpcd.conf

Nájdite riadok v súbore config #static_domain_name_servers = 192.168.0.1, zrušte označenie riadka a zmeňte ho na nasledujúci kód: static_domain_name_servers = 1.1.1.1 a uložte/opustite konfiguračný súbor. Reštartujte Pi ešte raz a teraz môžete dvakrát skontrolovať, či adresa IP vášho smerovača neuniká cez ipleak.net.

Ďalšia vec, ktorú si treba uvedomiť, je adresa IP vášho smerovača, ktorá môže byť uniknutá prostredníctvom WebRTC. WebRTC je platforma, ktorú používajú všetky moderné prehliadače na lepšiu štandardizáciu komunikácie vrátane rýchlych správ, videokonferencií a streamovania zvuku a videa. Vedľajším produktom tejto platformy je, že ak nie je začiarknuté, môže unikať adresa IP vášho smerovača, ak ste pripojení k sieti VPN. Najľahšie tomu môžete zabrániť použitím rozšírení alebo doplnkov prehliadača, ako je napríklad webrtc-leak-prevent.

Keď máte teraz všetko pripravené na pi, ak sa chcete uistiť, že všetok váš internetový prenos je šifrovaný, môžete sa pripojiť k tomuto hotspotu a všetok váš prenos bude šifrovaný prostredníctvom siete VPN!

Dúfam, že sa vám páčil môj návod, teraz choďte zabezpečiť všetky wifi !!