Sikre all Wi -Fi med et VPN - tilgangspunkt !: 5 trinn

2024 Forfatter: John Day | [email protected]. Sist endret: 2024-01-30 11:23

Etter hvert som flere og flere av våre liv blir sendt til den store skyen på himmelen som er internett, blir det vanskeligere å være sikker og privat i dine personlige internettopplevelser. Enten du får tilgang til sensitiv informasjon du vil beholde privat, prøver å omgå grenser for hvor eller hva du kan bla til i nettverket ditt, eller om du bare vil ha en mer sikker nettopplevelse, er det vanligste rådet jeg hører om å være trygg på internett er å bruke et virtuelt privat nettverk (eller VPN for kort).

VPN tilbyr to flotte tjenester i en pakke, ved at de krypterer alle pakkene med informasjon som sendes gjennom dem, og de lager eksterne tjenester som er på samme nettverk som VPN -en for maskinen du bruker til å koble til. Hvis VPN -serveren min er i Tyskland og jeg kobler til VPN -en min fra en bærbar datamaskin i Australia, vil min bærbare nå ha en IP -adresse fra Tyskland!

Et viktig stikkpunkt med de mer populære VPN -tjenestene er imidlertid at mange typer enheter er i situasjoner der de enten ikke kan konfigureres til å bruke en VPN -klient, eller ikke har en VPN -klient tilgjengelig for bruk. Så vi vil at enhetene våre skal være koblet til VPN -en vår, men for disse andre maskinene som ikke kan koble til en enkel VPN -klient, vil vi at de skal være koblet til VPN -en vår uten å vite at de er tilkoblet! Skriv inn et VPN -tilgangspunkt!

Trinn 1: Materialer

Materialer for dette prosjektet er lave, men alle elementene er nødvendige.

Annet enn hjemmeruteren (som jeg antar at du burde ha), trenger du

- 1 Raspberry Pi (helst Raspberry Pi 3 eller bedre, men så lenge den kan støtte en ethernet -tilkobling, burde det være greit!)

- 1 Ethernet -kabel

- 1 wifi -dongle (med mindre du bruker en Raspberry Pi 3, i så fall kan du bruke den innebygde wifi

- 1 5V 2amp strømforsyning for Raspberry Pi

Trinn 2: Oppsett av Wifi Access Point - Del 1 - Statisk IP -adresse for Wifi

Før vi konfigurerer VPN -tilkoblingen for vårt Raspberry Pi Access Point, må vi sette opp Pi som et tilgangspunkt. For å gjøre dette bruker vi hostapd- og dnsmasq -pakkene for Raspberry Pi. Hostapd er en brukerplass -demon for å sette trådløse tilgangspunkter og autentiseringsservere, mens dnsmasq gir nettverksinfrastruktur (DNS, DHCP, nettverksstart, etc.) for små nettverk og små nettverksrutere.

Så før du begynner, må du sørge for at du har et rent bilde av Raspbian OS som kjører på Pi, med de siste oppdateringene brukt. Du vil også sørge for at Raspberry Pi er koblet til ruteren din via en fast Ethernet -tilkobling, IKKE wifi! Til slutt godtar vi tilkoblingsforespørsler fra andre enheter via wifi -modulen vår, slik at du ikke vil være koblet til ruteren din via den samme modulen. Hvis du bruker en Raspberry Pi Zero eller et eldre tillegg (som ikke har innebygd wifi), kan du fortsatt bruke den Raspberry Pi, du trenger bare en USB wifi -dongle.

Etter at du har koblet til Raspberry Pi (via SSH eller med en skjerm oppe), må du kontrollere at den er oppdatert

sudo apt-get oppdatering

sudo apt-get oppgradering

Deretter vil du laste ned og installere hostapd og dnsmasq

sudo apt-get install hostapd dnsmasq

Når pakkene er installert, starter begge programmene automatisk, men vi vil gjøre endringer i konfigurasjonene før vi kjører dem. Så vi tar kontakt med systemkontroll for å stoppe tjenestene knyttet til disse programmene

sudo systemctl stopp hostapd

sudo systemctl stopp dnsmasq

Når tjenestene nå er stoppet, vil vi tildele oss en statisk IP -adresse ved å bruke dhcpcd -konfigurasjonsfilen som finnes på /etc/dhcpcd.conf

Før vi gjør det, vil vi imidlertid sørge for at vi refererer til det riktige grensesnittet når vi tildeler den statiske IP -adressen. Hvis du bruker en Raspberry Pi 3b eller Raspberry Pi Zero W, bør den være oppført som wlan0. Hvis du bruker en wifi -dongle, synes jeg det vanligvis er litt lettere å koble wifi -dongelen til ruteren, ta en ny IP -adresse og sjekk deretter tilkoblingen for å finne grensesnittet. Du kan sjekke grensesnittet ved å kjøre følgende kommando

ifconfig

Hvis du sjekker det øverste bildet som er vedlagt dette trinnet, kan du se (minus de redigerte IP -adressene) grensesnittene som er tildelt Raspberry Pi. I mitt tilfelle bruker jeg wlan0, men det avhenger av oppsettet ditt. Som jeg nevnte tidligere, hvis du bruker en wifi -dongle, kobler du til nettverket ditt, kjører ifconfig -kommandoen, og hvilket grensesnitt som kommer opp som har en gyldig IP -adresse og ikke er "eth0" eller "lo" vil være grensesnittet du vil ha å bruke.

Nå som jeg vet hvilket grensesnitt som er for wifi -adapteren min, kan jeg tilordne en statisk IP -adresse til den i dhcpcd -konfigurasjonsfilen! Få opp konfigurasjonen i favorittredigereren din (jeg bruker nano).

sudo nano /etc/dhcpcd.conf

Nederst i konfigurasjonen vil vi legge til følgende linjer, men erstatte "wlan0" med uansett grensesnitt:

grensesnitt wlan0 statisk ip_address = 192.168.220.nohook wpa_supplicant

Hva denne kommandoen gjør er å etablere en statisk ip på 192.168.220.1 og deretter fortelle wlan0 -grensesnittet om ikke å koble seg til wpa_supplicant -driveren som vanligvis brukes for dette grensesnittet for å koble til andre nettverk. Vi gjør dette slik at vi (til slutt) kan kringkaste vårt eget signal gjennom wlan0 -grensesnittet, i stedet for å koble til et nettverk gjennom dette grensesnittet.

Hvis du bruker nano til å gjøre disse endringene, lagrer du endringene ved å trykke ctrl+x og deretter Y og deretter gå inn for å lagre filen og gå ut av nano. (husk at vi kommer inn og ut av nano ganske mye i denne opplæringen).

Til slutt, for at disse endringene skal tre i kraft, må du enten starte Pi på nytt, eller bare starte dhcpcd -tjenesten på nytt for å laste inn konfigurasjonen på nytt og bruke disse endringene

sudo systemctl start dhcpcd på nytt

Vent et øyeblikk, og kjør ifconfig -kommandoen igjen for å sjekke om endringene trer i kraft. Jeg innrømmer, noen ganger har jeg prøvd dette, og ruteren min har fortsatt en gyldig leieavtale på IP -adressen jeg brukte, så den beholder den gamle adressen. Hvis dette er tilfelle, dobbeltsjekk alt i konfigurasjonen din, og start dhcpcd -tjenesten på nytt.

WiFi -adapteren vår (skal) nå ha en statisk IP -adresse!

Neste opp, hostapd og dnsmasq konfigurasjon!

Trinn 3: Oppsett av Wifi Access Point - Del 2 - Hostapd -konfigurasjon

Med dhcpcd.conf endringer ut av veien, er det på tide å komme i gang med hostapd! Start med å opprette en ny hostapd.conf -fil i ditt favoritt tekstredigeringsprogram (nok en gang i nano for meg!)

sudo nano /etc/hostapd/hostapd.conf

Når du henter konfigurasjonsfilen, kopierer du følgende tekst og limer den inn i konfigurasjonen.

grensesnitt = wlan0driver = nl80211

hw_mode = g kanal = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Wifi-nettverksnavn og passord DU SKAL ENDRE DETTE ssid = Pi-WifiFoLife # Nettverkets passfrase wpa_passphrase = Y0uSh0uldCh@ng3M3

Når du har limt det inn, finner du den siste delen nederst som har "ssid =" og "wpa_passphrase =". Dette er hva wifi -nettverket vi setter opp vil bli kalt og hva passordet er for å koble til wifi -nettverket vi setter opp. Så vær sikker på å endre dette til noe annet! Du har blitt advart.

Hvis du bruker en wifi-dongle i stedet for innebygd wifi, må du også endre grensesnittdelen øverst i konfigurasjonen for å matche grensesnittet for wifi-dongelen. Du må kanskje også bytte driver, avhengig av modellen til wifi -dongelen du bruker. For en (stort sett omfattende) liste over kompatible wifi -dongler, tilhørende drivere og støttesider, fant jeg denne siden veldig nyttig! Sjekk også støttesiden for produktet du bruker hvis du sitter fast. Husk at hvis du var i stand til å koble til nettverket ditt tidligere i opplæringen med wifi -donglen din, betyr det at det burde være en fungerende driver for dongelen på pi et sted !!!

Nå som vi har vår nye konfigurasjonsfil, må vi sørge for at vi ber hostapd -prosessene om å referere til den nye konfigurasjonsfilen! start med følgende:

sudo nano/etc/default/hostapd

Finn linjen i filen vi nettopp åpnet som leser # DAEMON_CONF = "" og endre denne til å lese DAEMON_CONF = "/etc/hostapd/hostapd.conf" (pass på at du tar av # -tegnet i begynnelsen for å kommentere felt!)

Det er en konfigurasjonsfil til for hostapd som vi må oppdatere. Kjør følgende kommando:

sudo nano /etc/init.d/hostapd

Denne endringen er nesten identisk med den forrige. Finn delen DAEMON_CONF = og erstatt den med DAEMON_CONF =/etc/hostapd/hostapd.conf

Lagre og avslutt filen!

Hostapd er nå konfigurert!

Trinn 4: DNSMasq -konfigurasjon og IP -videresending

Med hostapd nå konfigurert (men kjører ikke ennå), kan vi nå gå videre til dnsmasq!

Før vi hopper inn med redigering av konfigurasjonsfiler, kan vi gå videre og gi nytt navn til en av de originale konfigurasjonsfilene, siden vi ikke kommer til å bruke noe som er i denne spesielle konfigurasjonsfilen.

Å gjøre en rask mv -kommando med et nytt filnavn burde gjøre susen

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Lag deretter en ny konfigurasjonsfil!

sudo nano /etc/dnsmasq.conf

Uten å gå for mye inn i denne, ville jeg bare kopiere følgende og lime den inn i den nye filen

grensesnitt = wlan0 # Bruk grensesnitt wlan0 (eller hvilket som helst grensesnitt er din trådløse) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # IP-rekkevidde og leietid

Topplinjen i denne konfigurasjonen er for grensesnittet vi bruker for å kringkaste signalet vårt, midtlinjen er for vår Doman Name Service Provider, og deretter er bunnlinjen intervallet IP -adresser Pi vil tildele brukere som kobler seg til Pi Wifi. Lagre denne filen og gå ut av nano (eller vim, eller hva du bruker til filendringer).

Deretter må vi sette konfigurasjonsfilen systctl.conf til å videresende all trafikk som kommer til det trådløse grensesnittet for å dirigere gjennom ethernet -tilkoblingen

sudo nano /etc/sysctl.conf

I denne konfigurasjonsfilen trenger du bare å kommentere linjen som er #net.ipv4.ip_forward = 1 og lagre/gå ut av denne konfigurasjonsfilen.

Nå som vi har konfigurert videresending, ønsker vi å sette opp en NAT (Network Address Translation) mellom det trådløse grensesnittet (wlan0) og ethernet -grensesnittet (eth0). Dette hjelper til med å videresende all trafikk fra wifi over til ethernet (og til slutt VPN!) Tilkobling.

Legg til en ny regel i iptable for NAT -videresending

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Regelen er nå satt opp, men iptable skylles hver gang Raspberry Pi startes på nytt, så vi må lagre denne regelen slik at den kan (re) lastes inn hver gang Pi blir startet på nytt.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Regelen er nå lagret, men vi må oppdatere Pi's lokale rc.local config -fil for å sikre at den er lastet hver gang!

Åpne rc.local -filen i favorittredigereren din

sudo nano /etc/rc.local

og finn delen som sier exit 0

Rett over den linjen (ikke slett den!) Legg til følgende kommando som vil laste inn NAT -regelen vi satte opp. Det skal nå se slik ut

iptables-restore </etc/iptables.ipv4.nat exit0

Lagre og gå ut av denne filen, og nå bør alle våre konfigurasjoner gjøres for tilgangspunktet!

Alt vi trenger å gjøre er å starte hostapd og dnsmasq tjenester, og starte Raspberry Pi på nytt!

sudo service hostapd start

sudo service dnsmasq start

Test for å sikre at du kan se din nye AP. Hvis alt er satt opp riktig, bør du nå ha et wifi -tilgangspunkt på din Raspberry Pi! Start pi -en på nytt

sudo omstart

Deretter konfigurerer du en OpenVPN -tilkobling!

Trinn 5: OpenVPN -oppsett og VPN -tjenesteleverandørkonfigurasjon

Nå som Pi vår sender ut wifi, er det på tide å sette opp openvpn! Vi starter med å installere openvpn gjennom apt-get install

sudo apt -get install openvpn -y

Etter at openvpn er ferdig med installasjonen, må vi navigere til hvor vi vil lagre godkjenningsinformasjonen og openvpn -konfigurasjonsfilen.

cd /etc /openvpn

Det første vi skal gjøre her (innenfor /etc /openvpn) er å sette opp en tekstfil som vi lagrer brukernavnet og passordet vårt for VPN -tjenesten vi bruker.

sudo nano auth.txt

Alt vi trenger er å lagre brukernavn og passord i denne filen, ingenting annet.

brukernavn

passord

Jeg bør legge til at på dette tidspunktet bør du ha en ide om hvem du vil bruke som en VPN -tjeneste for forbindelsene dine. Det er stor debatt om hvilken tjeneste som er den beste eller sikreste, så shopp rundt og sjekk anmeldelser på dem også! I forbindelse med denne opplæringen bruker jeg Private Internet Access (PIA). De er ganske billige, og er kjent for å være veldig pålitelige! Du kan også konfigurere VPN -en din til å ende i stort sett alle større regioner i verden! Canada? Russland? Japan? Ikke et problem!

Hvis du bruker privat internettilgang, har de også en praktisk del av nettstedet deres, hvor du kan sette sammen typen openvpn config -fil som du kan bruke i dette oppsettet! Det finnes andre typer openvpn -konfigurasjoner du kan bruke med andre leverandører, men jeg bestemte meg for å velge denne.

Uansett hvilken tjenesteleverandør du velger, trenger du en openvpn -tilkoblingsfil (skal ende på.ovpn for filtypen) fra tjenesteleverandøren for å koble til. For enkelhets skyld omdøpte jeg min til "connectionprofile.ovpn" før jeg lastet den inn på Raspberry Pi. Når du enten har lastet ned.ovpn -filen på Pi, eller overført den til Pi, må du kontrollere at filen er i /etc /openvpn på Pi -en.

Etter å ha flyttet den åpne vpn -filen til riktig mappe, må vi deretter endre filtypen siden openvpn forventer en konfigurasjonsfil som ender på.conf i stedet for.ovpn. Da jeg gjorde dette, ville jeg fortsatt beholde den originale filen intakt, bare hvis noe funky skjedde, så jeg brukte bare en cp -kommando (siden du er i /etc /openvpn, må du bruke sudo -tillatelser for å kjøre denne kommandoen)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Med konfigurasjonen av openvpn -profilen opprettet, må vi gjøre en rask endring for å levere legitimasjonen vår, så det er på tide å bryte ut nano igjen!

sudo nano /etc/openvpn/connectionprofile.conf

Du vil finne linjen auth-user-pass og erstatte den med auth-user-pass auth.txt

Dette forteller openvpn å ta tak i legitimasjonsfilen vi brukte tidligere for å bruke når vi autentiserte profilen vi leverte.

Lagre og gå ut av profilkonfigurasjonsfilen!

Det burde være alt for VPN -oppsettet, men vi vil teste at all konfigurasjonen vår var riktig konfigurert før vi satte opp VPN -tjenesten til å starte automatisk. Kjør følgende kommando for å teste VPN -tilkoblingen

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Du bør se en haug med tekst som ruller mens Pi gjør tilkoblingsforsøk til VPN -tjenesteleverandøren (forhåpentligvis ingen feilmeldinger!), Men du vil la den stå til du ser initialiseringssekvensen fullført i vinduet. Hvis du ender med å se det, betyr det at Pi er koblet til VPN -tjenesteleverandøren din! Du kan fortsette og drepe prosessen ved å trykke ctrl + c i terminalvinduet.

Nå som VPN fungerer, må vi fjerne de nåværende iptables. Vi kan fullføre det med følgende tre kommandoer

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Siden vi skylte ut iptables, må vi imidlertid tilbakestille nat -regelen vi hadde opprettet tidligere i denne opplæringen ved å kjøre følgende kommando (denne kommandoen skal se kjent ut!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Nå kan vi lagre denne konfigurasjonen i forhold til den forrige konfigurasjonen som vi satte sammen tilbake i forrige trinn. (denne kommandoen skal også se kjent ut!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Nå som vi har satt opp NAT -reglene, må vi endre standardkonfigurasjonen for openvpn for å bruke profilen vi konfigurerer. Vi gjør dette ved å redigere konfigurasjonsfilen i/etc/default/openvpn

sudo nano/etc/default/openvpn

Finn linjen som sier #autostart = "all", kommenter denne linjen, og endre den til navnet på openvpn -konfigurasjonsfilen din (minus.conf selvfølgelig!) Så i mitt tilfelle endrer jeg linjen til autostart = " tilkoblingsprofil"

og deretter lagre og avslutte denne konfigurasjonsfilen!

Det burde være alt for VPN -oppsettet! Bare start Pi på nytt, og bekreft at alt fungerer ved å koble til hotspot og sjekke IP -adressen din via et nettsted som whatismyip.com.

Med denne konfigurasjonen er det en mulighet for at ruterens IP -adresse kan lekker gjennom en DNS -lekkasje. Vi kan fikse dette ved å endre DNS -en vi refererer til i dhcpcd.conf -filen for å peke på en ekstern DNS -tjeneste, for eksempel Cloudflare!

Åpne dhcpcd.conf -filen i favorittredigereren din:

sudo nano /etc/dhcpcd.conf

Finn linjen i config #static domain_name_servers = 192.168.0.1, kommenter linjen, og endre den til følgende: static domain_name_servers = 1.1.1.1 og lagre/gå ut av konfigurasjonsfilen. Start Pi på nytt, og nå kan du dobbeltsjekke at ruterens IP -adresse ikke lekker gjennom ipleak.net.

En annen ting å være oppmerksom på er at ruterens IP -adresse lekker ut gjennom WebRTC. WebRTC er en plattform som brukes av alle moderne nettlesere for å bedre standardisere kommunikasjon, inkludert direktemeldinger, videokonferanser og streaming av lyd og video. Et biprodukt av denne plattformen er at hvis den ikke er merket, kan den lekke ruterens IP-adresse hvis du er koblet til et VPN. Den enkleste måten du kan forhindre dette ved å bruke nettleserutvidelser eller plugins, for eksempel webrtc-leak-prevent.

Med alt oppsett på pi nå, hvis du vil sikre at all internettrafikken din er kryptert, kan du koble deg til dette hotspotet, og all trafikken din blir kryptert gjennom VPN!

Håper du likte instruksjonsprogrammet mitt, og vær sikker på all wifi!