Securizați toate conexiunile Wifi cu un VPN - Punct de acces !: 5 pași

2024 Autor: John Day | [email protected]. Modificat ultima dată: 2024-01-30 11:44

Pe măsură ce din ce în ce mai multe din viețile noastre sunt trimise către marele nor din cer, care este internetul, devine din ce în ce mai greu să rămâi în siguranță și privat în aventurile tale personale pe internet. Indiferent dacă accesați informații sensibile pe care doriți să le păstrați private, să încercați să ocoliți limitele plasate pe unde sau ce puteți naviga în rețeaua dvs. sau dacă doriți doar o experiență de navigare mai sigură, cel mai comun sfat pe care îl aud pentru a rămâne în siguranță pe internet este de a utiliza o rețea privată virtuală (sau VPN pe scurt).

VPN-urile oferă două servicii excelente într-un singur pachet, prin faptul că criptează toate pachetele de informații care sunt trimise prin intermediul lor și realizează servicii de la distanță care se află în aceeași rețea ca VPN local pentru mașina pe care o utilizați pentru a vă conecta. Dacă serverul VPN este în Germania și mă conectez la VPN de la un laptop din Australia, laptopul meu va avea acum o adresă IP din Germania!

Un punct major de blocare cu serviciile VPN mai populare este că multe tipuri de dispozitive se află în situații în care fie nu pot fi configurate pentru a utiliza un client VPN, fie nu au un client VPN disponibil pentru utilizare. Așadar, dorim ca dispozitivele noastre să fie conectate la VPN-ul nostru, dar pentru aceste alte mașini care nu se pot conecta cu un simplu client VPN, dorim ca acestea să fie conectate la VPN-ul nostru fără să știe chiar că sunt conectate! Introduceți un punct de acces VPN!

Pasul 1: Materiale

Materialele pentru acest proiect sunt reduse, dar sunt necesare toate articolele.

În afară de routerul dvs. de acasă (pe care presupun că ar trebui să îl aveți), veți avea nevoie

- 1 Raspberry Pi (de preferință Raspberry Pi 3 sau mai bun, dar atâta timp cât poate suporta o conexiune Ethernet ar trebui să fie bine!)

- 1 cablu Ethernet

- 1 dongle wifi (cu excepția cazului în care utilizați un Raspberry Pi 3, caz în care puteți utiliza wifi-ul încorporat

- 1 sursă de alimentare 5V 2amp pentru Raspberry Pi

Pasul 2: Configurarea punctului de acces Wifi - Partea 1 - Adresă IP statică pentru Wifi

Înainte de a configura conexiunea VPN pentru punctul nostru de acces Raspberry Pi, trebuie să configurăm Pi ca punct de acces. Pentru a face acest lucru, vom folosi pachetele hostapd și dnsmasq pentru Raspberry Pi. Hostapd este un demon de spațiu utilizator pentru setarea punctelor de acces fără fir și a serverelor de autentificare, în timp ce dnsmasq oferă infrastructură de rețea (DNS, DHCP, boot de rețea etc.) pentru rețele mici și routere de rețea mici.

Deci, înainte de a începe, asigurați-vă că aveți o imagine curată a sistemului de operare Raspbian care rulează pe Pi, cu cele mai recente actualizări aplicate. De asemenea, doriți să vă asigurați că Raspberry Pi este conectat la router prin conexiune Ethernet hardline, NU wifi! În cele din urmă, vom accepta solicitări de conectare de la alte dispozitive prin modulul nostru wifi, deci nu doriți să fiți conectat la routerul dvs. prin același modul. Dacă utilizați un Raspberry Pi Zero sau un supliment mai vechi (care nu are WiFi încorporat), puteți utiliza în continuare acel Raspberry Pi, aveți nevoie doar de un dongle USB wifi.

După conectarea la Raspberry Pi (prin SSH sau cu un monitor activat) verificați dacă este actualizat

sudo apt-get update

sudo apt-get upgrade

Apoi, veți dori să descărcați și să instalați hostapd și dnsmasq

sudo apt-get install hostapd dnsmasq

După instalarea pachetelor, ambele programe vor porni automat, dar dorim să facem modificări la configurațiile lor înainte de a le rula. Deci, vom ajunge la controlul sistemului pentru a opri serviciile legate de aceste programe

sudo systemctl opri hostapd

sudo systemctl stop dnsmasq

Cu serviciile oprite acum, vom dori să ne atribuim o adresă IP statică, folosind fișierul de configurare dhcpcd găsit la /etc/dhcpcd.conf

Înainte de a face asta, totuși, vrem să ne asigurăm că facem referire la interfața corectă atunci când atribuim adresa IP statică. Dacă utilizați un Raspberry Pi 3b sau Raspberry Pi Zero W, acesta ar trebui să fie listat ca wlan0. Dacă utilizați un dongle wifi, în mod normal, consider că este puțin mai ușor să conectați dongle-ul wifi la router, să luați o nouă adresă IP și apoi să vă verificați conexiunea pentru a găsi interfața. Vă puteți verifica interfața executând următoarea comandă

ifconfig

Dacă verificați imaginea de sus atașată acestui pas, puteți vedea (minus adresele IP redactate) interfețele atribuite Raspberry Pi. În cazul meu, folosesc wlan0, dar depinde de configurarea dvs. După cum am menționat mai devreme, dacă utilizați un dongle wifi, conectați-vă la rețeaua dvs., rulați comanda ifconfig și orice interfață care apare cu o adresă IP validă și care nu este „eth0” sau „lo” va fi interfața dorită a folosi.

Acum, că știu ce interfață este pentru adaptorul meu wifi, îi pot atribui o adresă IP statică în fișierul de configurare dhcpcd! Aduceți configurarea în editorul dvs. preferat (folosesc nano).

sudo nano /etc/dhcpcd.conf

În partea de jos a configurației, dorim să adăugăm următoarele rânduri, dar înlocuim „wlan0” cu oricare ar fi interfața dvs.:

interfață wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Ce face această comandă este să stabilească un IP static de 192.168.220.1 și apoi să spună interfeței wlan0 să nu se conecteze la driverul wpa_supplicant care este de obicei utilizat pentru această interfață pentru a se conecta la alte rețele. Facem acest lucru astfel încât (în cele din urmă) să putem transmite propriul nostru semnal prin interfața wlan0, mai degrabă decât să ne conectăm la o rețea prin această interfață.

Dacă utilizați nano pentru a face aceste modificări, salvați modificările apăsând pe ctrl + x și apoi pe Y și apoi introduceți pentru a salva fișierul și ieșiți din nano. (rețineți că vom intra și ieșim din nano destul de mult în acest tutorial).

În cele din urmă, pentru ca aceste modificări să aibă efect, va trebui fie să reporniți Pi, fie să reporniți serviciul dhcpcd pentru a reîncărca configurația și a aplica aceste modificări

sudo systemctl reporniți dhcpcd

Așteptați un moment, apoi rulați din nou comanda ifconfig pentru a verifica și a vedea dacă modificările dvs. au intrat în vigoare. Recunosc, uneori am încercat acest lucru și routerul meu are încă un contract de închiriere valabil pe adresa IP pe care o foloseam, așa că va păstra vechea adresă. Dacă acesta este cazul, verificați din nou totul din config și reporniți din nou serviciul dhcpcd.

Adaptorul nostru wifi (ar trebui) să aibă acum o adresă IP statică!

Apoi, configurația hostapd și dnsmasq!

Pasul 3: Configurarea punctului de acces Wifi - Partea 2 - Configurare Hostapd

Odată cu modificările dhcpcd.conf din drum, este timpul să începeți cu hostapd! Începeți prin crearea unui nou fișier hostapd.conf în editorul dvs. de text preferat (încă o dată în nano pentru mine!)

sudo nano /etc/hostapd/hostapd.conf

Când afișați fișierul de configurare, copiați următorul text și lipiți-l în config.

interfață = wlan0driver = nl80211

hw_mode = g channel = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Numele și parola rețelei Wifi TREBUIE SĂ SCHIMBAȚI ACESTA ssid = Pi-WifiFoLife # Expresia de acces la rețea wpa_passphrase = Y0uSh0uldCh @ ng3M3

Odată ce ați lipit-o, găsiți secțiunea finală din partea de jos care are „ssid =” și „wpa_passphrase =”. Așa se va numi rețeaua wifi pe care o configurăm și care este parola pentru conectarea la rețeaua wifi pe care o configurăm. Așadar, asigurați-vă că schimbați acest lucru cu altceva! Ai fost avertizat.

De asemenea, dacă utilizați un dongle wifi în loc de WiFi încorporat, va trebui să schimbați secțiunea interfeței din partea de sus a configurației pentru a se potrivi cu interfața dongle-ului dvs. wifi. Este posibil să fie necesar să schimbați driverul, în funcție de modelul dongle-ului wifi pe care îl utilizați. Pentru o listă (în mare parte cuprinzătoare) de dongle wifi compatibile, driverele corespunzătoare și paginile de asistență, am găsit această pagină foarte utilă! De asemenea, verificați pagina de asistență pentru produsul pe care îl utilizați dacă vă blocați. Amintiți-vă, dacă ați putut să vă conectați la rețeaua dvs. mai devreme în tutorial cu dongle-ul dvs. wifi, înseamnă că ar trebui să existe un driver funcțional pentru dongle-ul de pe pi undeva !!!

Acum că avem noul nostru fișier de configurare, trebuie să ne asigurăm că spunem proceselor hostapd să facă referire la noul fișier de configurare! începeți cu următoarele:

sudo nano / etc / default / hostapd

Găsiți linia din fișierul pe care tocmai l-am deschis care citește # DAEMON_CONF = "" și schimbați acest lucru pentru a citi DAEMON_CONF = "/ etc / hostapd / hostapd.conf" (asigurați-vă că luați # semnul de la început pentru a descomenta camp!)

Există încă un fișier de configurare pentru hostapd pe care trebuie să îl actualizăm. Rulați următoarea comandă:

sudo nano /etc/init.d/hostapd

Această modificare este aproape identică cu cea precedentă. Găsiți secțiunea DAEMON_CONF = și înlocuiți-o cu DAEMON_CONF = / etc / hostapd / hostapd.conf

Apoi salvați și ieșiți din acel fișier!

Hostapd este acum configurat!

Pasul 4: Configurare DNSMasq și redirecționare IP

Cu hostapd acum configurat (deși nu rulează încă), putem trece acum la dnsmasq!

Înainte de a trece la editarea fișierelor de configurare, putem continua și redenumi unul dintre fișierele de configurare originale, deoarece nu vom folosi nimic din acest fișier de configurare.

Efectuarea unei comenzi rapide mv cu un nou nume de fișier ar trebui să facă truc

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Apoi creați un nou fișier de configurare!

sudo nano /etc/dnsmasq.conf

Fără a intra prea mult în acesta, aș copia doar următorul și l-aș lipi în noul fișier

interface = wlan0 # Utilizați interfața wlan0 (sau orice altă interfață este wireless) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP range and lease time

Linia de sus a acestei configurații este pentru interfața pe care o folosim pentru a transmite semnalul nostru, linia de mijloc este pentru furnizorul nostru de servicii de nume Doman și apoi linia de jos este gama de adrese IP pe care Pi le va atribui utilizatorilor care se conectează la Pi Wifi. Mergeți mai departe și salvați acest fișier și apoi ieșiți din nano (sau vim, sau orice altceva pe care îl utilizați pentru modificarea fișierului).

În continuare, trebuie să setăm fișierul de configurare systctl.conf pentru a redirecționa tot traficul care vine pe interfața wireless pentru a ruta prin conexiunea ethernet

sudo nano /etc/sysctl.conf

În interiorul acestui fișier de configurare, tot ce trebuie să faceți este să decomentați linia care este # net.ipv4.ip_forward = 1 și să salvați / ieșiți din acest fișier de configurare.

Acum că am configurat redirecționarea, vrem să configurăm un NAT (Network Address Translation) între interfața wireless (wlan0) și interfața Ethernet (eth0). Acest lucru ajută la redirecționarea întregului trafic de la Wi-Fi la conexiunea Ethernet (și, eventual, VPN!).

Adăugați o nouă regulă la iptable pentru redirecționarea NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Regula este acum configurată, dar iptable este spălat de fiecare dată când Raspberry Pi este repornit, așa că trebuie să salvăm această regulă, astfel încât să poată fi (re) încărcată de fiecare dată când Pi-ul nostru este repornit.

sudo sh -c "iptables-save> /etc/iptables.ipv4.nat"

Regula este acum salvată, dar trebuie să actualizăm fișierul de configurare local rc.local al Pi pentru a ne asigura că este încărcat de fiecare dată!

Deschideți fișierul rc.local în editorul dvs. preferat

sudo nano /etc/rc.local

și găsiți secțiunea care spune ieșirea 0

Chiar deasupra acelei linii (nu o ștergeți!) Adăugați următoarea comandă care va reîncărca regula NAT pe care am configurat-o. Acum ar trebui să arate așa

iptables-restore </etc/iptables.ipv4.nat exit0

Salvați și ieșiți din acest fișier, iar acum toate configurațiile noastre ar trebui făcute pentru punctul de acces!

Tot ce trebuie să facem este să pornim serviciile hostapd și dnsmasq și să repornim Raspberry Pi!

sudo service hostapd start

sudo service dnsmasq start

Testați pentru a vă asigura că puteți vedea noul dvs. AP. Dacă totul este configurat corect, ar trebui să aveți acum un punct de acces wifi pe Raspberry Pi! Acum reporniți pi

reporniți sudo

În continuare, configurați o conexiune OpenVPN!

Pasul 5: Configurare OpenVPN și configurația furnizorului de servicii VPN

Acum că Pi-ul nostru difuzează conexiunea wifi, este timpul să configurați openvpn! Vom începe prin instalarea openvpn prin apt-get install

sudo apt-get install openvpn -y

După ce openvpn termină instalarea, trebuie să navigăm până unde vom stoca acreditările noastre de autentificare și fișierul de configurare openvpn.

cd / etc / openvpn

Primul lucru pe care îl vom face aici (în cadrul / etc / openvpn) este configurarea unui fișier text pe care îl vom stoca numele de utilizator și parola pentru serviciul VPN pe care îl folosim.

sudo nano auth.txt

Tot ce ne trebuie este să stocăm numele de utilizator și parola în acest fișier, nimic altceva.

nume de utilizator

parola

Ar trebui să adaug că, în acest moment, ar trebui să aveți o idee despre cine doriți să utilizați ca serviciu VPN pentru conexiunile dvs. Există dezbateri largi în ceea ce privește ce serviciu este cel mai bun sau cel mai sigur, așa că vizitați și verificați și recenziile lor! În scopul acestui tutorial, folosesc accesul la internet privat (PIA). Sunt destul de ieftine și sunt recunoscuți pentru că sunt foarte fiabili! De asemenea, puteți configura VPN-ul dvs. pentru a se termina în aproape orice regiune importantă a lumii! Canada? Rusia? Japonia? Nici o problema!

Dacă utilizați accesul la internet privat, acestea au, de asemenea, o parte la îndemână a site-ului lor, unde puteți pune împreună tipul de fișier de configurare openvpn pe care îl puteți utiliza în această configurare! Există și alte tipuri de configurații openvpn pe care le puteți folosi cu alți furnizori, dar am decis să aleg acest lucru.

Indiferent de furnizorul de servicii pe care îl alegeți, aveți nevoie de un fișier de conexiune openvpn (ar trebui să se termine cu.ovpn pentru tipul de fișier) de la furnizorul de servicii menționat pentru a vă conecta. Pentru simplitate, mi-am redenumit „connectionprofile.ovpn” înainte de a-l încărca pe Raspberry Pi. După ce fie descărcați fișierul.ovpn pe Pi, fie îl transferați pe Pi, asigurați-vă că fișierul este în / etc / openvpn pe Pi.

După mutarea fișierului vpn deschis în folderul corect, trebuie să schimbăm tipul de fișier, deoarece openvpn așteaptă un fișier de configurare care se termină în.conf în loc de.ovpn. Când am făcut acest lucru, am vrut totuși să păstrez intact fișierul original, doar în cazul în care s-a întâmplat ceva funky, așa că am folosit doar o comandă cp (deoarece sunteți în / etc / openvpn, va trebui să utilizați permisiunile sudo pentru a rula această comandă)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Odată cu configurarea profilului openvpn creată, trebuie să facem o schimbare rapidă pentru a furniza acreditările noastre, deci este timpul să ieșim din nou la nano!

sudo nano /etc/openvpn/connectionprofile.conf

Veți dori să găsiți linia auth-user-pass și să o înlocuiți cu auth-user-pass auth.txt

Acest lucru spune openvpn să preia fișierul de acreditări pe care l-am folosit anterior pentru a autentifica profilul pe care l-am furnizat.

Salvați și ieșiți din fișierul de configurare a profilului!

Ar trebui să fie totul pentru configurarea VPN, dar vom dori să testăm că toată configurația noastră a fost configurată corect înainte de a seta serviciul VPN pentru a porni automat. Rulați următoarea comandă pentru a testa conexiunea VPN

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Ar trebui să vedeți o mulțime de derulare a textului, deoarece Pi face încercări de conectare la furnizorul de servicii VPN (sperăm că nu există mesaje de eroare!), Dar doriți să îl lăsați până când vedeți secvența de inițializare finalizată în fereastră. Dacă ajungeți să vedeți asta, înseamnă că Pi-ul dvs. este conectat la furnizorul dvs. de servicii VPN! Puteți continua și ucide procesul apăsând ctrl + c în fereastra terminalului.

Acum că VPN funcționează, trebuie să ștergem iptables-urile actuale. Putem completa acest lucru cu următoarele trei comenzi

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Deoarece am eliminat iptables, totuși, trebuie să resetăm regula nat pe care am creat-o mai devreme în acest tutorial executând următoarea comandă (această comandă ar trebui să pară familiară!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Acum putem salva această configurație peste configurația anterioară pe care am reunit-o la pasul anterior. (și această comandă ar trebui să pară familiară!)

sudo sh -c "iptables-save> /etc/iptables.ipv4.nat"

Acum că avem regulile NAT setate înapoi, trebuie să schimbăm configurarea implicită pentru openvpn pentru a utiliza profilul pe care l-am configurat. Facem acest lucru editând fișierul de configurare în / etc / default / openvpn

sudo nano / etc / default / openvpn

Găsiți linia care spune # autostart = "all", decomentați această linie și schimbați-o cu numele fișierului dvs. de configurare openvpn (minus.conf, desigur!) Deci, în cazul meu, schimb linia în autostart = " conexiuneprofil"

și apoi salvați și ieșiți din acest fișier de configurare!

Ar trebui să fie totul pentru setul VPN! Reporniți Pi și verificați dacă totul funcționează conectându-vă la hotspot și verificând adresa IP printr-un site precum whatismyip.com.

Cu această configurație, există posibilitatea ca adresa IP a routerului dvs. să poată fi scursă printr-o scurgere DNS. Putem remedia acest lucru schimbând DNS-ul pe care îl referim în fișierul dhcpcd.conf pentru a indica un serviciu DNS extern, cum ar fi Cloudflare!

Deschideți fișierul dhcpcd.conf în editorul dvs. preferat:

sudo nano /etc/dhcpcd.conf

Găsiți linia în config #static domain_name_servers = 192.168.0.1, decomentați linia și schimbați-o cu următorul: static domain_name_servers = 1.1.1.1 și salvați / ieșiți din fișierul de configurare. Reporniți din nou Pi-ul și acum puteți verifica de două ori dacă adresa IP a routerului dvs. nu este scursă prin ipleak.net.

Un alt lucru de care trebuie să fii conștient este că adresa IP a routerului tău poate fi scursă prin WebRTC. WebRTC este o platformă care este utilizată de toate browserele moderne pentru a standardiza mai bine comunicațiile, inclusiv mesageria instantanee, videoconferința și streamingul audio și video. Un produs secundar al acestei platforme este că, dacă nu este bifat, poate scurge adresa IP a routerului dvs. dacă sunteți conectat la un VPN. Cel mai simplu mod în care puteți preveni acest lucru utilizând extensii sau pluginuri de browser, cum ar fi webrtc-leak-prevent.

Cu totul configurat pe pi acum, dacă doriți să vă asigurați că tot traficul dvs. pe internet este criptat, vă puteți conecta la acest hotspot și tot traficul dvs. va fi criptat prin VPN!

Sper că ți-a plăcut Instructable-ul meu, acum mergi în siguranță la toate wifi-urile !!