Beveilig al die wifi met 'n VPN - toegangspunt!: 5 stappe

2024 Outeur: John Day | [email protected]. Laas verander: 2024-01-30 07:26

Namate meer en meer van ons lewens na die groot wolk in die lug, die internet, gestuur word, word dit moeiliker om veilig en privaat te bly tydens u persoonlike internetavonture. Of u nou toegang tot sensitiewe inligting wil hê, wat u privaat wil hou, probeer om die beperkings op die plek waarheen u kan kyk of waarna u op u netwerk kan blaai, te vermy, en of u net 'n veiliger blaai -ervaring wil hê, die algemeenste advies wat ek hoor om veilig te bly op die internet is om 'n virtuele privaat netwerk (of kortliks VPN) te gebruik.

Skynprivaatnetwerk bied twee uitstekende dienste in een pakket aan, deurdat hulle al die pakkies inligting wat deur hulle gestuur word, versleutelt, en dat hulle eksterne dienste op dieselfde netwerk as die VPN lokaal maak vir die masjien wat u gebruik om aan te sluit. As my VPN -bediener in Duitsland is en ek vanaf 'n skootrekenaar in Australië aan my VPN koppel, sal my skootrekenaar nou 'n IP -adres van Duitsland hê!

'N Belangrike punt by die meer gewilde VPN -dienste is egter dat baie soorte toestelle in situasies is waarin hulle nie gekonfigureer kan word om 'n VPN -kliënt te gebruik nie, of dat daar nie 'n VPN -kliënt beskikbaar is nie. Ons wil dus hê dat ons toestelle aan ons VPN gekoppel moet wees, maar vir hierdie ander masjiene wat nie met 'n eenvoudige VPN -kliënt kan skakel nie, wil ons hê dat hulle aan ons VPN gekoppel moet wees sonder om eers te weet dat hulle verbind is! Voer 'n VPN -toegangspunt in!

Stap 1: materiaal

Die materiaal vir hierdie projek is laag, maar alle items word benodig.

Benewens u tuisrouter (wat ek aanvaar dat u moet hê), benodig u

- 1 Raspberry Pi (verkieslik die Raspberry Pi 3 of beter, maar solank dit 'n ethernetverbinding kan ondersteun, behoort dit goed te wees!)

- 1 ethernetkabel

- 1 wifi -dongle (tensy u 'n Raspberry Pi 3 gebruik, in welke geval u die ingeboude wifi kan gebruik

- 1 5V 2amp kragbron vir die Raspberry Pi

Stap 2: Wifi -toegangspuntopstelling - Deel 1 - Statiese IP -adres vir Wifi

Voordat ons die VPN -verbinding vir ons Raspberry Pi -toegangspunt instel, moet ons die Pi as toegangspunt instel. Om dit te doen, gebruik ons die hostapd en dnsmasq pakkette vir die Raspberry Pi. Hostapd is 'n daemon vir gebruikersruimtes vir die opstel van draadlose toegangspunte en verifikasiebedieners, terwyl dnsmasq netwerkinfrastruktuur (DNS, DHCP, netwerkstart, ens.) Vir klein netwerke en klein netwerkroeters bied.

Dus, voordat u begin, moet u seker maak dat u 'n skoon beeld van die Raspbian -bedryfstelsel op die Pi het, met die nuutste opdaterings toegepas. U wil ook seker maak dat u Raspberry Pi via 'n harde Ethernet -verbinding met u router gekoppel is, NIE wifi nie! Uiteindelik aanvaar ons verbindingsversoeke van ander toestelle via ons wifi -module, sodat u nie deur dieselfde module aan u router gekoppel wil wees nie. As u 'n Raspberry Pi Zero of 'n ouer toevoeging (wat nie ingeboude wifi het nie) gebruik, kan u die Raspberry Pi steeds gebruik; u benodig net 'n USB wifi -dongle.

Nadat u met u Raspberry Pi (via SSH of met 'n monitor) gekoppel het, moet u seker maak dat dit op datum is

sudo apt-get update

sudo apt-get upgrade

Vervolgens wil u hostapd en dnsmasq aflaai en installeer

sudo apt-get install hostapd dnsmasq

Sodra die pakkette geïnstalleer is, begin albei programme outomaties, maar ons wil hul konfigurasies verander voordat ons dit uitvoer. Ons sal dus kontak maak met stelselbeheer om die dienste wat aan hierdie programme gekoppel is, te stop

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Terwyl die dienste nou gestop is, wil ons vir ons 'n statiese IP -adres toewys met behulp van die dhcpcd -konfigurasielêer op /etc/dhcpcd.conf

Voordat ons dit doen, wil ons egter seker maak dat ons na die korrekte koppelvlak verwys wanneer ons die statiese IP -adres toeken. As u 'n Raspberry Pi 3b of Raspberry Pi Zero W gebruik, moet dit as wlan0 gelys word. As u 'n wifi -dongle gebruik, vind ek dit gewoonlik 'n bietjie makliker om die wifi -dongle aan die router te koppel, 'n nuwe IP -adres te kry en dan u verbinding na te gaan om u koppelvlak te vind. U kan u koppelvlak kontroleer deur die volgende opdrag uit te voer

ifconfig

As u die boonste prent by hierdie stap nagaan, sien u (minus die geredigeerde IP -adresse) die koppelvlakke wat aan my Raspberry Pi toegewys is. In my geval gebruik ek wlan0, maar dit hang af van u opstelling. Soos ek vroeër genoem het, maak 'n verbinding met u netwerk as u 'n wifi -dongle gebruik, voer die ifconfig -opdrag uit, en die koppelvlak wat 'n geldige IP -adres het en nie 'eth0' of 'lo' is nie, is die koppelvlak wat u wil hê te gebruik.

Noudat ek weet watter koppelvlak vir my wifi -adapter is, kan ek daaraan 'n statiese IP -adres toewys in die dhcpcd config -lêer! Haal die konfigurasie in u gunsteling redakteur (ek gebruik nano).

sudo nano /etc/dhcpcd.conf

Onderaan die config wil ons die volgende reëls byvoeg, maar "wlan0" vervang met wat ook al u koppelvlak is:

koppelvlak wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Wat hierdie opdrag doen, is om 'n statiese IP van 192.168.220.1 op te stel en dan vir die wlan0 -koppelvlak te sê om nie aan te sluit by die wpa_supplicant -bestuurder wat gewoonlik vir hierdie koppelvlak gebruik word om met ander netwerke te verbind nie. Ons doen dit sodat ons (uiteindelik) ons eie sein deur die wlan0 -koppelvlak kan uitsaai, eerder as om via hierdie koppelvlak aan 'n netwerk te koppel.

As u nano gebruik om hierdie veranderinge aan te bring, stoor u die veranderinge deur op ctrl+x en dan Y te druk en dan in te voer om die lêer te stoor en uit nano te gaan. (hou in gedagte dat ons in hierdie tutoriaal nogal 'n bietjie uit nano sal kom en uitstap).

Ten slotte, om hierdie veranderinge in werking te tree, moet u óf u Pi herlaai, óf net die dhcpcd -diens herlaai om die konfigurasie te herlaai en hierdie veranderinge toe te pas

sudo systemctl herbegin dhcpcd

Wag 'n rukkie en voer dan weer die ifconfig -opdrag uit om te kyk of u veranderinge van krag geword het. Ek erken, ek het dit soms probeer en my router het nog steeds 'n geldige huurkontrak op die IP -adres wat ek gebruik het, sodat dit die ou adres behou. As dit die geval is, kontroleer alles in u konfigurasie en herbegin die dhcpcd -diens weer.

Ons wifi -adapter (moet) nou 'n statiese IP -adres hê!

Vervolgens die hostapd en dnsmasq opset!

Stap 3: Wifi -toegangspuntopstelling - Deel 2 - Hostapd -opset

Met die veranderinge van dhcpcd.conf, is dit tyd om met hostapd te begin! Begin deur 'n nuwe hostapd.conf -lêer in u gunsteling teksredakteur te skep (weer eens in nano vir my!)

sudo nano /etc/hostapd/hostapd.conf

As u die config -lêer oplaai, kopieer die volgende teks en plak dit in die config.

koppelvlak = wlan0driver = nl80211

hw_mode = g kanaal = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Wifi-netwerknaam en wagwoord U MOET HIERDIE VERANDER ssid = Pi-WifiFoLife # Die netwerkwagfrase wpa_passphrase = Y0uSh0uldCh@ng3M3

Sodra u dit ingeplak het, vind u die laaste gedeelte onderaan met "ssid =" en "wpa_passphrase =". Dit is wat die wifi -netwerk wat ons oprig, genoem sal word en wat die wagwoord is om aan te sluit op die wifi -netwerk wat ons opstel. WEES DIT VERSEKER OM DIT TE VERANDER NA IETS ANDERS! Jy is gewaarsku.

As u ook 'n wifi-dongle in plaas van ingeboude wifi gebruik, moet u die koppelvlakgedeelte bo-aan die konfigurasie verander om by die koppelvlak van u wifi-dongle te pas. Miskien moet u ook die bestuurder verander, afhangende van die model van die wifi -dongle wat u gebruik. Vir 'n (meestal uitgebreide) lys van versoenbare wifi -dongles, die ooreenstemmende bestuurders en ondersteuningsbladsye, het ek hierdie bladsy baie nuttig gevind! Kyk ook na die ondersteuningsbladsy vir die produk wat u gebruik as u vasval. Onthou, as u vroeër in die tutoriaal met u wifi -dongle kon skakel met u netwerk, beteken dit dat daar iewers 'n werkende bestuurder vir die dongle op u pi moet wees !!!

Noudat ons ons nuwe config -lêer het, moet ons seker maak dat ons die hostapd -prosesse aanwys om na die nuwe config -lêer te verwys! begin met die volgende:

sudo nano/etc/default/hostapd

Soek die reël in die lêer wat ons so pas oopgemaak het met # DAEMON_CONF = "" en verander dit na DAEMON_CONF = "/etc/hostapd/hostapd.conf" (maak seker dat u die # teken aan die begin afneem om die veld!)

Daar is nog 'n konfigurasie lêer vir hostapd wat ons moet opdateer. Voer die volgende opdrag uit:

sudo nano /etc/init.d/hostapd

Hierdie verandering is byna identies aan die vorige. Soek die gedeelte DAEMON_CONF = en vervang dit met DAEMON_CONF =/etc/hostapd/hostapd.conf

Stoor dan die lêer en verlaat dit!

Hostapd is nou opgestel!

Stap 4: DNSMasq -konfigurasie en IP -deurstuur

Met hostapd nou gekonfigureer (hoewel dit nog nie loop nie), kan ons nou na dnsmasq gaan!

Voordat ons begin met die redigering van config -lêers, kan ons voortgaan met die hernoeming van een van die oorspronklike config -lêers, aangesien ons niks in hierdie spesifieke config -lêer gaan gebruik nie.

Om 'n vinnige mv -opdrag met 'n nuwe lêernaam te doen, behoort die ding te doen

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Skep dan 'n nuwe config -lêer!

sudo nano /etc/dnsmasq.conf

Sonder om dit te raak, sou ek net die volgende kopieer en in die nuwe lêer plak

koppelvlak = wlan0 # Gebruik koppelvlak wlan0 (of watter koppelvlak ook al u draadlose) bediener = 1.1.1.1 # Cloudfare dhcp-reeks = 192.168.220.50, 192.168.220.150, 12 uur # IP-reeks en huurtyd

Die boonste reël van hierdie konfigurasie is vir die koppelvlak wat ons gebruik om ons sein uit te saai, die middelste lyn is vir ons Doman Name Service Provider, en dan is die bottom line die reeks IP -adresse wat die Pi aan gebruikers sal toewys die Pi Wifi. Stoor hierdie lêer en verlaat dan nano (of vim, of wat u ook al gebruik vir lêerveranderings).

Vervolgens moet ons die konfigurasielêer systctl.conf instel om al die verkeer wat op die draadlose koppelvlak kom, deur te stuur deur die ethernet -verbinding

sudo nano /etc/sysctl.conf

Al wat u binne hierdie konfigurasielêer hoef te doen, is om die reël wat #net.ipv4.ip_forward = 1 is, uit te comment en uit hierdie konfigurasielêer te stoor/te verlaat.

Noudat ons die aanstuur opgestel het, wil ons 'n NAT (Network Address Translation) opstel tussen die draadlose koppelvlak (wlan0) en die ethernet -koppelvlak (eth0). Dit help om alle verkeer van die wifi na die ethernet (en uiteindelik VPN!) Verbinding.

Voeg 'n nuwe reël by die iptable vir die NAT -deurstuur

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Die reël is nou ingestel, maar die iptable word gespoel elke keer as die Raspberry Pi herlaai word, dus moet ons hierdie reël stoor sodat dit herlaai kan word elke keer as ons Pi herbegin word.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Die reël is nou gestoor, maar ons moet die plaaslike rc.local config -lêer van die Pi opdateer om seker te maak dat dit elke keer gelaai word!

Maak die rc.local -lêer oop in u gunsteling redakteur

sudo nano /etc/rc.local

en vind die gedeelte wat sê uitgang 0

Reg bo die reël (moenie dit uitvee nie!) Voeg die volgende opdrag by wat die NAT -reël wat ons opgestel het, herlaai. Dit moet nou so lyk

iptables-herstel </etc/iptables.ipv4.nat exit0

Stoor en verlaat hierdie lêer, en nou moet al ons konfigurasies vir die toegangspunt gedoen word!

Al wat ons hoef te doen is om die hostapd- en dnsmasq -dienste te begin en ons Raspberry Pi te herlaai!

sudo diens hostapd begin

sudo diens dnsmasq begin

Toets om seker te maak dat u u nuwe AP kan sien. As alles reg ingestel is, moet u nou 'n wifi -toegangspunt op u Raspberry Pi hê! Herbegin nou die pi

sudo herlaai

Stel dan 'n OpenVPN -verbinding op!

Stap 5: OpenVPN -opstelling en konfigurasie van VPN -diensverskaffer

Noudat ons Pi wifi uitstuur, is dit tyd om openvpn op te stel! Ons begin deur openvpn te installeer deur apt-get install

sudo apt -get installeer openvpn -y

Nadat die installering van openvpn voltooi is, moet ons navigeer na waar ons ons verifikasiebewyse en openvpn -konfigurasielêer sal stoor.

cd /etc /openvpn

Die eerste ding wat ons hier sal doen (binne /etc /openvpn) is om 'n tekslêer op te stel wat ons gebruikersnaam en wagwoord sal stoor vir die VPN -diens wat ons gebruik.

sudo nano auth.txt

Al wat ons nodig het, is om die gebruikersnaam en wagwoord in hierdie lêer te stoor, niks anders nie.

gebruikersnaam

wagwoord

Ek moet byvoeg dat u op hierdie stadium 'n idee moet hê van wie u as VPN -diens vir u verbindings wil gebruik. Daar is 'n wye debat oor watter diens die beste of veiligste is, so gaan kyk gerus en kyk ook na die resensies daarvan! Vir die doeleindes van hierdie tutoriaal gebruik ek Private Internet Access (PIA). Hulle is redelik goedkoop en word erken dat hulle baie betroubaar is! U kan u VPN ook instel om in feitlik enige groot deel van die wêreld te eindig! Kanada? Rusland? Japan? Geen probleem!

As u privaat internettoegang gebruik, het hulle ook 'n handige deel van hul webwerf, waar u die tipe openvpn config -lêer kan saamstel wat u in hierdie opstelling kan gebruik! Daar is ander soorte openvpn -konfigs wat u met ander verskaffers kan gebruik, maar ek het besluit om hierdie een te kies.

Watter diensverskaffer u ook al kies, u benodig 'n openvpn -verbindingslêer (moet eindig in.ovpn vir die lêertipe) van die genoemde diensverskaffer om aan te sluit. Vir die eenvoud het ek die naam van my 'connectionprofile.ovpn' verander voordat ek dit op my Raspberry Pi gelaai het. Sodra u die.ovpn -lêer op die Pi afgelaai het of na die Pi oorgedra het, moet u seker maak dat die lêer in /etc /openvpn op u Pi is.

Na die verskuiwing van die oop vpn -lêer na die regte gids, moet ons die lêertipe verander, aangesien openvpn 'n config -lêer verwag wat eindig op.conf in plaas van.ovpn. Toe ek dit doen, wou ek nog steeds die oorspronklike lêer behou, net as iets snaaks gebeur, so ek het net 'n cp -opdrag gebruik (aangesien u in /etc /openvpn is, moet u sudo -toestemmings gebruik om uit te voer hierdie opdrag)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Met die konfigurasie van die openvpn -profiel geskep, moet ons vinnig verander om ons geloofsbriewe te verskaf, dus tyd om weer nano uit te breek!

sudo nano /etc/openvpn/connectionprofile.conf

U wil die lyn auth-user-pass vind en dit vervang met auth-user-pass auth.txt

Dit vertel openvpn om die geloofsbrieflêer wat ons vroeër gebruik het, te gryp by die verifikasie van die profiel wat ons verskaf het.

Stoor en verlaat die profielkonfigurasie -lêer!

Dit behoort alles te wees vir die VPN -opstelling, maar ons wil toets dat al ons konfigurasies korrek ingestel is voordat die VPN -diens outomaties begin. Voer die volgende opdrag uit om die VPN -verbinding te toets

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

U sal 'n klomp teks sien rondrol terwyl die Pi verbindingspogings aan die VPN -diensverskaffer onderneem (hopelik geen foutboodskappe nie!), Maar u wil dit verlaat totdat u die inisiëringsvolgorde in die venster voltooi het. As u dit uiteindelik sien, beteken dit dat u Pi gekoppel is aan u VPN -diensverskaffer! U kan die proses doodmaak deur op ctrl + c in die eindvenster te druk.

Noudat die VPN werk, moet ons die huidige iptables uitvee. Ons kan dit voltooi met die volgende drie opdragte

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Aangesien ons egter die iptables uitgespoel het, moet ons die nat -reël wat ons vroeër in hierdie tutoriaal geskep het, herstel deur die volgende opdrag uit te voer (hierdie opdrag behoort bekend te lyk!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Nou kan ons hierdie konfigurasie stoor in vergelyking met die vorige konfigurasie wat ons in die vorige stap saamgestel het. (hierdie opdrag behoort ook bekend te lyk!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Noudat ons die NAT -reëls opgestel het, moet ons die standaard config vir openvpn verander om die profiel wat ons opgestel het, te gebruik. Ons doen dit deur die config -lêer in/etc/default/openvpn te wysig

sudo nano/etc/default/openvpn

Soek die reël wat sê #autostart = "all", los hierdie reël op en verander dit na die naam van u openvpn -konfigurasielêer (minus die.conf natuurlik!) In my geval verander ek die reël na autostart = " verbindingsprofiel"

en stoor en verlaat dan hierdie konfigurasielêer!

Dit behoort alles te wees vir die VPN -opset! Herlaai net die Pi en verifieer dat alles werk deur aan te sluit op die hotspot en u IP -adres na te gaan via 'n webwerf soos whatismyip.com.

Met hierdie konfigurasie is daar 'n moontlikheid dat die IP -adres van u router deur 'n DNS -lek kan lek. Ons kan dit regstel deur die DNS waarna ons verwys in die dhcpcd.conf -lêer te verander om na 'n eksterne DNS -diens, soos Cloudflare, te verwys!

Maak die lêer dhcpcd.conf oop in u gunsteling redakteur:

sudo nano /etc/dhcpcd.conf

Soek die reël in die config #static domain_name_servers = 192.168.0.1, los die reël op en verander dit na die volgende: static domain_name_servers = 1.1.1.1 en stoor/verlaat die config -lêer. Herlaai die Pi weer, en nou kan u weer kyk of die IP -adres van u router nie deur ipleak.net uitgelek word nie.

U moet ook bewus wees van die IP -adres van u router wat moontlik deur WebRTC uitgelek word. WebRTC is 'n platform wat deur alle moderne blaaiers gebruik word om kommunikasie beter te standaardiseer, insluitend kitsboodskappe, videokonferensies en streaming klank en video. 'N Byproduk van hierdie platform is dat dit die router se IP-adres kan lek as u aan 'n VPN gekoppel is as dit nie gemerk word nie. Die maklikste manier om dit te voorkom deur blaaieruitbreidings of inproppe te gebruik, soos webrtc-lek-voorkom.

Met alles wat nou op u pi ingestel is, as u wil verseker dat al u internetverkeer geïnkripteer is, kan u aan hierdie hotspot koppel, en al u verkeer word deur die VPN geïnkripteer!

Hoop jy het my Instructable geniet, beveilig nou al die wifi !!