Sikre al wifi med et VPN - adgangspunkt !: 5 trin

2024 Forfatter: John Day | [email protected]. Sidst ændret: 2024-01-30 08:28

Efterhånden som flere og flere af vores liv sendes til den store sky på himlen, der er internettet, bliver det sværere at forblive sikker og privat i dine personlige interneteventyr. Uanset om du får adgang til følsomme oplysninger, du ønsker at holde privat, forsøger at omgå grænser for, hvor eller hvad du kan søge efter på dit netværk, eller om du bare vil have en mere sikker browseroplevelse, er det mest almindelige råd, jeg hører for at være sikker på internettet er at bruge et virtuelt privat netværk (eller VPN for kort).

VPN'er tilbyder to gode tjenester i en pakke, idet de krypterer alle de pakker med oplysninger, der sendes gennem dem, og de laver fjerntjenester, der er på det samme netværk som VPN'en, lokalt for den maskine, du bruger til at oprette forbindelse. Hvis min VPN -server er i Tyskland, og jeg opretter forbindelse til min VPN fra en bærbar computer i Australien, har min bærbare computer nu en IP -adresse fra Tyskland!

Et vigtigt stikpunkt med de mere populære VPN -tjenester er dog, at mange typer enheder er i situationer, hvor de enten ikke kan konfigureres til at bruge en VPN -klient, eller ikke har en VPN -klient tilgængelig til brug. Så vi vil have, at vores enheder er forbundet til vores VPN, men for disse andre maskiner, der ikke kan oprette forbindelse til en simpel VPN -klient, vil vi have, at de er forbundet til vores VPN uden at vide, at de er forbundet! Indtast et VPN -adgangspunkt!

Trin 1: Materialer

Materialer til dette projekt er lave, men alle varer kræves.

Bortset fra din hjemmrouter (som jeg går ud fra, at du burde have), skal du bruge

- 1 Raspberry Pi (helst Raspberry Pi 3 eller bedre, men så længe det kan understøtte en ethernetforbindelse, burde det være fint!)

- 1 Ethernet -kabel

- 1 wifi -dongle (medmindre du bruger en Raspberry Pi 3, i så fald kan du bruge den indbyggede wifi

- 1 5V 2amp strømforsyning til Raspberry Pi

Trin 2: Opsætning af Wifi Access Point - Del 1 - Statisk IP -adresse til Wifi

Inden vi opretter VPN -forbindelsen til vores Raspberry Pi Access Point, skal vi konfigurere Pi'en som et adgangspunkt. For at gøre dette bruger vi hostapd og dnsmasq pakker til Raspberry Pi. Hostapd er en brugerplads -dæmon til indstilling af trådløse adgangspunkter og godkendelsesservere, mens dnsmasq leverer netværksinfrastruktur (DNS, DHCP, netværksstart osv.) Til små netværk og små netværksroutere.

Så før du går i gang, skal du sørge for at have et rent billede af Raspbian OS, der kører på Pi, med de seneste opdateringer anvendt. Du vil også sikre dig, at din Raspberry Pi er forbundet til din router via en fast Ethernet -forbindelse, IKKE wifi! Til sidst accepterer vi forbindelsesanmodninger fra andre enheder via vores wifi -modul, så du ikke vil have forbindelse til din router via det samme modul. Hvis du bruger en Raspberry Pi Zero eller en ældre tilføjelse (der ikke har indbygget wifi), kan du stadig bruge den Raspberry Pi, du skal bare bruge en USB wifi -dongle.

Efter tilslutning til din Raspberry Pi (via SSH eller med en skærm oppe) skal du kontrollere, at den er opdateret

sudo apt-get opdatering

sudo apt-get opgradering

Dernæst vil du downloade og installere hostapd og dnsmasq

sudo apt-get install hostapd dnsmasq

Når pakkerne er installeret, starter begge programmer automatisk, men vi vil foretage ændringer i deres konfigurationer, før vi kører dem. Så vi kontakter systemkontrol for at stoppe de tjenester, der er knyttet til disse programmer

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Når tjenesterne nu er stoppet, vil vi tildele os selv en statisk IP -adresse ved hjælp af dhcpcd -konfigurationsfilen, der findes på /etc/dhcpcd.conf

Inden vi gør det, vil vi dog sikre os, at vi refererer til den korrekte grænseflade, når vi tildeler den statiske IP -adresse. Hvis du bruger en Raspberry Pi 3b eller Raspberry Pi Zero W, skal den angives som wlan0. Hvis du bruger en wifi -dongle, synes jeg normalt, at det er lidt lettere at slutte wifi -donglen til routeren, få en ny IP -adresse og derefter kontrollere din forbindelse for at finde din grænseflade. Du kan kontrollere din grænseflade ved at køre følgende kommando

ifconfig

Hvis du tjekker det øverste billede, der er knyttet til dette trin, kan du se (minus de redigerede IP -adresser) grænsefladerne, der er tildelt min Raspberry Pi. I mit tilfælde bruger jeg wlan0, men det afhænger af din opsætning. Som jeg nævnte tidligere, hvis du bruger en wifi -dongle, skal du oprette forbindelse til dit netværk, køre ifconfig -kommandoen, og uanset hvilken grænseflade der kommer op, der har en gyldig IP -adresse og ikke er "eth0" eller "lo", vil det være den grænseflade, du ønsker at bruge.

Nu hvor jeg ved, hvilken grænseflade der er til min wifi -adapter, kan jeg tildele den en statisk IP -adresse i dhcpcd -konfigurationsfilen! Hent konfigurationen i din foretrukne editor (jeg bruger nano).

sudo nano /etc/dhcpcd.conf

I bunden af konfigurationen vil vi tilføje følgende linjer, men erstatte "wlan0" med uanset din grænseflade:

interface wlan0 statisk ip_address = 192.168.220.nohook wpa_supplicant

Hvad denne kommando gør, er at etablere en statisk ip på 192.168.220.1 og derefter fortælle wlan0 -grænsefladen ikke at oprette forbindelse til wpa_supplicant -driveren, der typisk bruges til denne grænseflade til at oprette forbindelse til andre netværk. Vi gør dette, så vi (til sidst) kan udsende vores eget signal via wlan0 -grænsefladen, snarere end at oprette forbindelse til et netværk via denne grænseflade.

Hvis du bruger nano til at foretage disse ændringer, skal du gemme ændringerne ved at trykke på ctrl+x og derefter Y og derefter indtaste for at gemme filen og forlade nano. (husk på, at vi kommer en smule ind og ud af nano i denne vejledning).

Endelig, for at disse ændringer skal træde i kraft, skal du enten genstarte din Pi eller bare genstarte dhcpcd -tjenesten for at genindlæse konfigurationen og anvende disse ændringer

sudo systemctl genstart dhcpcd

Vent et øjeblik, og kør derefter ifconfig -kommandoen igen for at kontrollere, om dine ændringer trådte i kraft. Jeg indrømmer, nogle gange har jeg prøvet dette, og min router har stadig en gyldig lejekontrakt på den IP -adresse, jeg brugte, så den bevarer den gamle adresse. Hvis dette er tilfældet, skal du kontrollere alt i din konfiguration og genstarte dhcpcd -tjenesten igen.

Vores wifi -adapter (skal) nu have en statisk IP -adresse!

Dernæst hostapd og dnsmasq konfiguration!

Trin 3: Opsætning af Wifi Access Point - Del 2 - Hostapd -konfiguration

Med ændringer af dhcpcd.conf ude af vejen, er det tid til at komme i gang med hostapd! Start med at oprette en ny hostapd.conf -fil i din foretrukne teksteditor (igen i nano for mig!)

sudo nano /etc/hostapd/hostapd.conf

Når du henter konfigurationsfilen, skal du kopiere følgende tekst og indsætte den i konfigurationen.

interface = wlan0driver = nl80211

hw_mode = g kanal = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Wifi-netværksnavn og adgangskode DU SKAL ÆNDRE DETTE ssid = Pi-WifiFoLife # Netværksadgangssætning wpa_passphrase = Y0uSh0uldCh@ng3M3

Når du har indsat det, finder du det sidste afsnit i bunden, der har "ssid =" og "wpa_passphrase =". Dette er det wifi -netværk, vi opretter, vil blive kaldt, og hvad adgangskoden er for at oprette forbindelse til det wifi -netværk, vi opretter. Så vær sikker på at ændre dette til noget andet! Du er blevet advaret.

Hvis du også bruger en wifi-dongle i stedet for indbygget wifi, skal du ændre grænsefladesektionen øverst i konfigurationen for at matche grænsefladen til din wifi-dongle. Du skal muligvis også ændre driveren, afhængigt af modellen af wifi -donglen, du bruger. For en (for det meste omfattende) liste over kompatible wifi -dongler, deres tilsvarende drivere og supportsider, fandt jeg denne side meget nyttig! Tjek også supportsiden for det produkt, du bruger, hvis du sidder fast. Husk, hvis du kunne oprette forbindelse til dit netværk tidligere i selvstudiet med din wifi -dongle, betyder det, at der burde være en fungerende driver til donglen på din pi et sted !!!

Nu hvor vi har vores nye konfigurationsfil, skal vi sørge for at fortælle hostapd -processerne at henvise til den nye konfigurationsfil! start med følgende:

sudo nano/etc/default/hostapd

Find linjen i den fil, vi lige har åbnet, der læser # DAEMON_CONF = "", og ændr denne til at læse DAEMON_CONF = "/etc/hostapd/hostapd.conf" (sørg for at du fjerner # -tegnet i begyndelsen for at fjerne en kommentar fra Mark!)

Der er endnu en konfigurationsfil til hostapd, som vi skal opdatere. Kør følgende kommando:

sudo nano /etc/init.d/hostapd

Denne ændring er næsten identisk med den forrige. Find afsnittet DAEMON_CONF = og erstat det med DAEMON_CONF =/etc/hostapd/hostapd.conf

Gem derefter og afslut den fil!

Hostapd er nu konfigureret!

Trin 4: DNSMasq -konfiguration og IP -videresendelse

Med hostapd nu konfigureret (dog ikke kørende endnu), kan vi nu gå videre til dnsmasq!

Inden vi hopper ind med redigering af konfigurationsfiler, kan vi gå videre og omdøbe en af de originale konfigurationsfiler, da vi ikke kommer til at bruge noget, der er i denne særlige konfigurationsfil.

At lave en hurtig mv -kommando med et nyt filnavn burde gøre tricket

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Opret derefter en ny konfigurationsfil!

sudo nano /etc/dnsmasq.conf

Uden at komme for meget ind i denne, ville jeg bare kopiere følgende og indsætte den i den nye fil

interface = wlan0 # Brug interface wlan0 (eller hvilken grænseflade der er din trådløse) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP-område og leasingtid

Den øverste linje i denne konfiguration er til den grænseflade, vi bruger til at udsende vores signal, midterlinjen er til vores Doman Name Service Provider, og derefter er bundlinjen det område af IP -adresser, Pi vil tildele brugere, der opretter forbindelse til Pi Wifi. Fortsæt og gem denne fil, og afslut derefter nano (eller vim, eller hvad du end bruger til filændringer).

Dernæst skal vi indstille systctl.conf config -filen til at videresende al trafik, der kommer til det trådløse interface, til at dirigere gennem ethernetforbindelsen

sudo nano /etc/sysctl.conf

Inde i denne konfigurationsfil er det eneste du skal gøre at kommentere linjen #net.ipv4.ip_forward = 1 og gemme/afslutte fra denne konfigurationsfil.

Nu hvor vi har konfigureret videresendelse, ønsker vi at oprette en NAT (Network Address Translation) mellem det trådløse interface (wlan0) og ethernet -interface (eth0). Dette hjælper med at videresende al trafik fra wifi over til ethernet (og til sidst VPN!) Forbindelse.

Tilføj en ny regel til iptable til NAT -videresendelse

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Reglen er nu konfigureret, men iptable skylles hver gang Raspberry Pi genstartes, så vi skal gemme denne regel, så den kan (gen) indlæses hver gang vores Pi genstartes.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Reglen er nu gemt, men vi skal opdatere Pi's lokale rc.local config -fil for at sikre, at den er indlæst hver gang!

Åbn rc.local -filen i din foretrukne editor

sudo nano /etc/rc.local

og find den sektion, der siger exit 0

Lige over den linje (slet ikke!) Tilføj følgende kommando, der genindlæser den NAT -regel, vi har konfigureret. Det skal nu se sådan ud

iptables-restore </etc/iptables.ipv4.nat exit0

Gem og afslut denne fil, og nu skal alle vores konfigurationer udføres for adgangspunktet!

Alt vi skal gøre er at starte hostapd og dnsmasq tjenesterne og genstarte vores Raspberry Pi!

sudo service hostapd start

sudo service dnsmasq start

Test for at sikre, at du kan se din nye AP. Hvis alt er konfigureret rigtigt, skal du nu have et wifi -adgangspunkt på din Raspberry Pi! Genstart nu pi'et

sudo genstart

Dernæst opretter du en OpenVPN -forbindelse!

Trin 5: OpenVPN -opsætning og VPN -tjenesteudbyderkonfiguration

Nu hvor vores Pi sender wifi ud, er det tid til at få konfigureret openvpn! Vi starter med at installere openvpn gennem apt-get install

sudo apt -get install openvpn -y

Når installationen af openvpn er færdig, skal vi navigere til, hvor vi vil gemme vores godkendelsesoplysninger og openvpn -konfigurationsfil.

cd /etc /openvpn

Det første, vi vil gøre her (inden for /etc /openvpn), er at oprette en tekstfil, som vi gemmer vores brugernavn og adgangskode til den VPN -tjeneste, vi bruger.

sudo nano auth.txt

Alt vi behøver er at gemme brugernavn og adgangskode i denne fil, ikke andet.

brugernavn

adgangskode

Jeg skal tilføje, at du på dette tidspunkt skulle have en idé om, hvem du vil bruge som en VPN -service til dine forbindelser. Der er bred debat om, hvilken service der er den bedste eller sikreste, så shoppe rundt og tjek anmeldelser på dem også! I forbindelse med denne vejledning bruger jeg privat internetadgang (PIA). De er rimelig billige og anerkendes som værende meget pålidelige! Du kan også konfigurere din VPN til at ende i stort set alle større regioner i verden! Canada? Rusland? Japan? Ikke et problem!

Hvis du bruger privat internetadgang, har de også en praktisk del af deres websted, hvor du kan sammensætte den type openvpn -konfigurationsfil, som du kan bruge i denne opsætning! Der er andre typer openvpn -konfigurationer, du kan bruge med andre udbydere, men jeg besluttede at vælge denne.

Uanset hvilken tjenesteudbyder du ender med at vælge, skal du bruge en openvpn -forbindelsesfil (skal ende i.ovpn for filtypen) fra denne tjenesteudbyder for at oprette forbindelse. For nemheds skyld omdøbte jeg min til "connectionprofile.ovpn", før jeg indlæste den på min Raspberry Pi. Når du enten downloader.ovpn -filen på Pi eller overfører den til Pi, skal du sørge for, at filen er i /etc /openvpn på din Pi.

Efter at have flyttet den åbne vpn -fil til den korrekte mappe, skal vi derefter ændre filtypen, da openvpn forventer en konfigurationsfil, der ender på.conf i stedet for.ovpn. Da jeg gjorde dette, ville jeg stadig beholde den originale fil intakt, bare hvis der skete noget funky, så jeg brugte bare en cp -kommando (da du er i /etc /openvpn, skal du bruge sudo -tilladelser til at køre denne kommando)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Med konfigurationen af openvpn -profilen oprettet, skal vi foretage en hurtig ændring for at levere vores legitimationsoplysninger, så tid til at bryde nano ud igen!

sudo nano /etc/openvpn/connectionprofile.conf

Du vil finde linjen auth-user-pass og erstatte den med auth-user-pass auth.txt

Dette fortæller openvpn at få fat i legitimationsfilen, som vi tidligere brugte til at bruge, når vi godkendte den profil, vi leverede.

Gem og afslut profilkonfilen!

Det burde være alt for VPN -opsætningen, men vi vil teste, at hele vores konfiguration blev konfigureret korrekt, før VPN -tjenesten blev sat i gang til at starte automatisk. Kør følgende kommando for at teste VPN -forbindelsen

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Du skulle se en masse tekst rulle, da Pi foretager forbindelsesforsøg til VPN -tjenesteudbyderen (forhåbentlig ingen fejlmeddelelser!), Men du vil forlade den, indtil du ser initialiseringssekvensen gennemført i vinduet. Hvis du ender med at se det, betyder det, at din Pi er forbundet til din VPN -tjenesteudbyder! Du kan fortsætte og dræbe processen ved at trykke på ctrl + c i terminalvinduet.

Nu hvor VPN’en fungerer, skal vi rydde de nuværende iptables ud. Vi kan fuldføre det med følgende tre kommandoer

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Da vi dog skyllede iptables ud, er vi nødt til at nulstille nat -reglen, vi havde oprettet tidligere i denne vejledning ved at køre følgende kommando (denne kommando skulle se bekendt ud!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Nu kan vi gemme denne konfiguration i forhold til den tidligere konfiguration, som vi satte sammen tilbage i det foregående trin. (denne kommando skal også se bekendt ud!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Nu hvor vi har sat NAT -reglerne op igen, skal vi ændre standardkonfigurationen for openvpn for at bruge den profil, vi opsætter. Vi gør dette ved at redigere konfigurationsfilen i/etc/default/openvpn

sudo nano/etc/default/openvpn

Find linjen, der siger #autostart = "alle", fjern kommentaren fra denne linje, og skift den til navnet på din openvpn -konfigurationsfil (minus.conf selvfølgelig!) Så i mit tilfælde ændrer jeg linjen til autostart = " forbindelsesprofil"

og gem derefter og afslut denne konfigurationsfil!

Det burde være alt for VPN -opsætningen! Genstart bare Pi, og kontroller, at alt fungerer ved at oprette forbindelse til hotspot og kontrollere din IP -adresse via et websted som whatismyip.com.

Med denne konfiguration er der en mulighed for, at din routers IP -adresse kan blive lækket gennem en DNS -lækage. Vi kan løse dette ved at ændre den DNS, vi refererer til i dhcpcd.conf -filen, så den peger på en ekstern DNS -tjeneste, f.eks. Cloudflare!

Åbn dhcpcd.conf -filen i din foretrukne editor:

sudo nano /etc/dhcpcd.conf

Find linjen i config #static domain_name_servers = 192.168.0.1, fjern kommentaren på linjen, og skift den til følgende: static domain_name_servers = 1.1.1.1, og gem/afslut konfigurationsfilen. Genstart Pi igen, og nu kan du dobbelttjekke, at din routers IP -adresse ikke lækker gennem ipleak.net.

En anden ting at være opmærksom på er din routers IP -adresse muligvis lækket gennem WebRTC. WebRTC er en platform, der bruges af alle moderne browsere til bedre at standardisere kommunikation, herunder instant messaging, videokonference og streaming af lyd og video. Et biprodukt af denne platform er, at hvis det ikke er markeret, kan det lække din routers IP-adresse, hvis du er forbundet til en VPN. Den nemmeste måde, du kan forhindre dette ved at bruge browserudvidelser eller plugins, såsom webrtc-leak-prevent.

Med alt opsat på din pi nu, hvis du vil sikre, at al din internettrafik er krypteret, kan du oprette forbindelse til dette hotspot, og al din trafik krypteres via VPN!

Håber du nød min Instructable, nu skal du sikre dig alle wifi !!