Ασφαλίστε όλο το Wifi με VPN - Σημείο πρόσβασης!: 5 βήματα

2024 Συγγραφέας: John Day | [email protected]. Τελευταία τροποποίηση: 2024-01-30 08:36

Καθώς όλο και περισσότερο από τη ζωή μας αποστέλλεται στο μεγάλο σύννεφο στον ουρανό που είναι το Διαδίκτυο, γίνεται όλο και πιο δύσκολο να παραμείνετε ασφαλείς και ιδιωτικοί στις προσωπικές σας περιπέτειες στο Διαδίκτυο. Είτε αποκτάτε πρόσβαση σε ευαίσθητες πληροφορίες που θέλετε να διατηρήσετε ιδιωτικές, είτε προσπαθείτε να παρακάμψετε τα όρια που έχουν τεθεί στο σημείο ή σε τι μπορείτε να περιηγηθείτε στο δίκτυό σας, είτε θέλετε απλώς μια πιο ασφαλή εμπειρία περιήγησης, τις πιο συνηθισμένες συμβουλές που ακούω για να παραμείνετε ασφαλείς στο Διαδίκτυο είναι να χρησιμοποιήσετε ένα Εικονικό Ιδιωτικό Δίκτυο (ή VPN για συντομία).

Το VPN προσφέρει δύο υπέροχες υπηρεσίες σε ένα πακέτο, καθώς κρυπτογραφεί όλα τα πακέτα πληροφοριών που αποστέλλονται μέσω αυτών και δημιουργεί απομακρυσμένες υπηρεσίες που βρίσκονται στο ίδιο δίκτυο με το VPN τοπικό για το μηχάνημα που χρησιμοποιείτε για σύνδεση. Εάν ο διακομιστής VPN μου είναι στη Γερμανία και συνδεθώ στο VPN μου από φορητό υπολογιστή στην Αυστραλία, ο φορητός υπολογιστής μου θα έχει τώρα διεύθυνση IP από τη Γερμανία!

Ωστόσο, ένα σημαντικό εμπόδιο με τις πιο δημοφιλείς υπηρεσίες VPN είναι ότι πολλοί τύποι συσκευών βρίσκονται σε καταστάσεις όπου είτε δεν μπορούν να διαμορφωθούν για να χρησιμοποιούν έναν υπολογιστή -πελάτη VPN είτε δεν διαθέτουν έναν πελάτη VPN διαθέσιμο για χρήση. Έτσι θέλουμε οι συσκευές μας να είναι συνδεδεμένες στο VPN μας, αλλά για αυτά τα άλλα μηχανήματα που δεν μπορούν να συνδεθούν με ένα απλό πρόγραμμα -πελάτη VPN, θέλουμε να είναι συνδεδεμένα στο VPN μας χωρίς καν να γνωρίζουμε ότι είναι συνδεδεμένα! Εισαγάγετε ένα VPN Access Point!

Βήμα 1: Υλικά

Τα υλικά για αυτό το έργο είναι χαμηλά, αλλά απαιτούνται όλα τα στοιχεία.

Εκτός από το δρομολογητή του σπιτιού σας (που υποθέτω ότι πρέπει να έχετε), θα χρειαστείτε

- 1 Raspberry Pi (κατά προτίμηση το Raspberry Pi 3 ή καλύτερο, αλλά εφόσον μπορεί να υποστηρίξει σύνδεση ethernet θα πρέπει να είναι εντάξει!)

- 1 καλώδιο Ethernet

- 1 wongi dongle (εκτός εάν χρησιμοποιείτε Raspberry Pi 3, οπότε μπορείτε να χρησιμοποιήσετε το ενσωματωμένο wifi

- 1 τροφοδοτικό 5V 2amp για το Raspberry Pi

Βήμα 2: Ρύθμιση σημείου πρόσβασης Wifi - Μέρος 1 - Στατική διεύθυνση IP για Wifi

Πριν από τη ρύθμιση της σύνδεσης VPN για το σημείο πρόσβασης Raspberry Pi, πρέπει να ορίσουμε το Pi ως σημείο πρόσβασης. Για να γίνει αυτό, θα χρησιμοποιήσουμε τα πακέτα hostapd και dnsmasq για το Raspberry Pi. Το Hostapd είναι ένας δαίμονας χώρου χρήστη για τη ρύθμιση σημείων ασύρματης πρόσβασης και διακομιστών ελέγχου ταυτότητας, ενώ το dnsmasq παρέχει υποδομή δικτύου (DNS, DHCP, εκκίνηση δικτύου κ.λπ.) για μικρά δίκτυα και μικρούς δρομολογητές δικτύου.

Έτσι, πριν ξεκινήσετε, βεβαιωθείτε ότι έχετε μια καθαρή εικόνα του Raspbian OS που εκτελείται στο Pi, με τις πιο πρόσφατες ενημερώσεις να έχουν εφαρμοστεί. Θέλετε επίσης να βεβαιωθείτε ότι το Raspberry Pi είναι συνδεδεμένο στο δρομολογητή σας μέσω σκληρής σύνδεσης Ethernet, ΟΧΙ wifi! Τελικά θα δεχόμαστε αιτήματα σύνδεσης από άλλες συσκευές μέσω της μονάδας wifi, οπότε δεν θέλετε να είστε συνδεδεμένοι στο δρομολογητή σας μέσω της ίδιας μονάδας. Εάν χρησιμοποιείτε Raspberry Pi Zero ή παλαιότερη προσθήκη (που δεν έχει ενσωματωμένο wifi), μπορείτε ακόμα να χρησιμοποιήσετε αυτό το Raspberry Pi, χρειάζεστε απλώς ένα dongle USB wifi.

Αφού συνδεθείτε στο Raspberry Pi (μέσω SSH ή με ενημερωμένη οθόνη), ελέγξτε ότι είναι ενημερωμένο

sudo apt-get ενημέρωση

sudo apt-get αναβάθμιση

Στη συνέχεια, θα θέλετε να κάνετε λήψη και εγκατάσταση hostapd και dnsmasq

sudo apt-get install hostapd dnsmasq

Μόλις εγκατασταθούν τα πακέτα, και τα δύο προγράμματα θα ξεκινήσουν αυτόματα, αλλά θέλουμε να κάνουμε αλλαγές στις ρυθμίσεις τους πριν τα εκτελέσουμε. Θα προσεγγίσουμε λοιπόν τον έλεγχο του συστήματος για να σταματήσουμε τις υπηρεσίες που συνδέονται με αυτά τα προγράμματα

sudo systemctl διακοπή hostapd

sudo systemctl stop dnsmasq

Με τις υπηρεσίες που έχουν σταματήσει τώρα, θα θέλουμε να εκχωρήσουμε μια στατική διεύθυνση IP, χρησιμοποιώντας το αρχείο διαμόρφωσης dhcpcd που βρίσκεται στη διεύθυνση /etc/dhcpcd.conf

Πριν το κάνουμε αυτό, θέλουμε να βεβαιωθούμε ότι αναφέρουμε τη σωστή διεπαφή κατά την εκχώρηση της στατικής διεύθυνσης IP. Εάν χρησιμοποιείτε Raspberry Pi 3b ή Raspberry Pi Zero W, θα πρέπει να αναφέρεται ως wlan0. Αν χρησιμοποιείτε wong wong, συνήθως θεωρώ ότι είναι λίγο πιο εύκολο να συνδέσετε το wong wong στο δρομολογητή, να πάρετε μια νέα διεύθυνση IP και στη συνέχεια να ελέγξετε τη σύνδεσή σας για να βρείτε τη διεπαφή σας. Μπορείτε να ελέγξετε τη διεπαφή σας εκτελώντας την ακόλουθη εντολή

ifconfig

Εάν ελέγξετε την επάνω εικόνα που επισυνάπτεται σε αυτό το βήμα, μπορείτε να δείτε (εκτός από τις διευθύνσεις IP που έχουν αναδιατυπωθεί) τις διεπαφές που έχουν εκχωρηθεί στο Raspberry Pi μου. Στην περίπτωσή μου, χρησιμοποιώ το wlan0, αλλά εξαρτάται από τη ρύθμισή σας. Όπως ανέφερα νωρίτερα, εάν χρησιμοποιείτε wong -wong, συνδεθείτε στο δίκτυό σας, εκτελέστε την εντολή ifconfig και όποια διεπαφή εμφανιστεί και έχει έγκυρη διεύθυνση IP και δεν είναι "eth0" ή "lo" θα είναι η διεπαφή που θέλετε χρησιμοποιώ.

Τώρα που ξέρω ποια διεπαφή είναι για τον προσαρμογέα wifi μου, μπορώ να του εκχωρήσω μια στατική διεύθυνση IP στο αρχείο διαμόρφωσης dhcpcd! Αναδείξτε τη διαμόρφωση στον αγαπημένο σας επεξεργαστή (χρησιμοποιώ το nano).

sudo nano /etc/dhcpcd.conf

Στο κάτω μέρος της διαμόρφωσης, θέλουμε να προσθέσουμε τις ακόλουθες γραμμές, αλλά αντικαταστήστε το "wlan0" με όποια και αν είναι η διεπαφή σας:

διεπαφή wlan0 στατική ip_address = 192.168.220.nohook wpa_supplicant

Αυτό που κάνει αυτή η εντολή είναι να δημιουργήσει ένα στατικό ip 192.168.220.1 και στη συνέχεια να πει στη διεπαφή wlan0 να μην συνδεθεί με το πρόγραμμα οδήγησης wpa_supplicant που συνήθως χρησιμοποιείται για τη διασύνδεση αυτή σε άλλα δίκτυα. Το κάνουμε έτσι ώστε (τελικά) να μπορούμε να μεταδώσουμε το δικό μας σήμα μέσω της διεπαφής wlan0, αντί να συνδεθούμε σε ένα δίκτυο μέσω αυτής της διεπαφής.

Εάν χρησιμοποιείτε το nano για να κάνετε αυτές τις αλλαγές, αποθηκεύστε τις αλλαγές πατώντας ctrl+x και στη συνέχεια Y και, στη συνέχεια, εισαγάγετε για να αποθηκεύσετε το αρχείο και να βγείτε από το nano. (λάβετε υπόψη ότι θα εισέλθουμε και θα εξέλθουμε από το nano αρκετά σε αυτό το σεμινάριο).

Τέλος, για να ισχύσουν αυτές οι αλλαγές, θα πρέπει είτε να επανεκκινήσετε το Pi σας είτε απλά να επανεκκινήσετε την υπηρεσία dhcpcd για να φορτώσετε ξανά τη διαμόρφωση και να εφαρμόσετε αυτές τις αλλαγές

sudo systemctl επανεκκίνηση dhcpcd

Περιμένετε για λίγο και, στη συνέχεια, εκτελέστε ξανά την εντολή ifconfig για να ελέγξετε και να δείτε αν οι αλλαγές σας τέθηκαν σε ισχύ. Ομολογώ, μερικές φορές το έχω δοκιμάσει και ο δρομολογητής μου εξακολουθεί να έχει έγκυρη μίσθωση στη διεύθυνση IP που χρησιμοποιούσα, οπότε θα διατηρήσει την παλιά διεύθυνση. Εάν συμβαίνει αυτό, ελέγξτε ξανά τα πάντα στη διαμόρφωσή σας και επανεκκινήστε ξανά την υπηρεσία dhcpcd.

Ο προσαρμογέας wifi (πρέπει) να έχει τώρα μια στατική διεύθυνση IP!

Στη συνέχεια, η διαμόρφωση hostapd και dnsmasq!

Βήμα 3: Ρύθμιση σημείου πρόσβασης Wifi - Μέρος 2 - Διαμόρφωση Hostapd

Με το dhcpcd.conf αλλάζει εντελώς, ήρθε η ώρα να ξεκινήσετε με το hostapd! Ξεκινήστε δημιουργώντας ένα νέο αρχείο hostapd.conf στον αγαπημένο σας επεξεργαστή κειμένου (για άλλη μια φορά σε nano για μένα!)

sudo nano /etc/hostapd/hostapd.conf

Όταν εμφανίζετε το αρχείο διαμόρφωσης, αντιγράψτε το ακόλουθο κείμενο και επικολλήστε το στη διαμόρφωση.

διεπαφή = wlan0driver = nl80211

hw_mode = g κανάλι = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Όνομα και κωδικός δικτύου Wifi ΠΡΕΠΕΙ ΝΑ ΑΛΛΑΞΕΤΕ ΑΥΤΟ ssid = Pi-WifiFoLife # Η φράση πρόσβασης δικτύου wpa_passphrase = Y0uSh0uldCh@ng3M3

Μόλις το επικολλήσετε, βρείτε το τελευταίο τμήμα στο κάτω μέρος που έχει "ssid =" και "wpa_passphrase =". Έτσι θα ονομάζεται το δίκτυο wifi που δημιουργούμε και ποιος είναι ο κωδικός πρόσβασης για τη σύνδεση στο δίκτυο wifi που δημιουργούμε. ΛΟΙΠΟΝ ΝΑ ΑΛΛΑΞΕΤΕ ΑΥΤΟ ΣΕ ΚΑΤΙ ΑΛΛΟ! Σε έχω προειδοποιήσει.

Επίσης, εάν χρησιμοποιείτε wong wifi αντί για ενσωματωμένο wifi, θα πρέπει να αλλάξετε την ενότητα διεπαφής στο επάνω μέρος της διαμόρφωσης για να ταιριάζει με τη διεπαφή για το wong wong. Μπορεί επίσης να χρειαστεί να αλλάξετε το πρόγραμμα οδήγησης, ανάλογα με το μοντέλο του wong wong που χρησιμοποιείτε. Για μια (κυρίως περιεκτική) λίστα συμβατών wong wifi, τα αντίστοιχα προγράμματα οδήγησης και σελίδες υποστήριξης, βρήκα αυτή τη σελίδα πολύ χρήσιμη! Ελέγξτε επίσης τη σελίδα υποστήριξης για το προϊόν που χρησιμοποιείτε εάν κολλήσετε. Θυμηθείτε, εάν καταφέρατε να συνδεθείτε στο δίκτυό σας νωρίτερα στο σεμινάριο με το wifi dongle σας, σημαίνει ότι θα πρέπει να υπάρχει κάπου ένα λειτουργικό πρόγραμμα οδήγησης για το dongle στο pi σας !!!

Τώρα που έχουμε το νέο μας αρχείο ρυθμίσεων, πρέπει να βεβαιωθούμε ότι λέμε στις διαδικασίες hostapd να αναφέρουν το νέο αρχείο ρυθμίσεων! ξεκινήστε με το εξής:

sudo nano/etc/default/hostapd

Βρείτε τη γραμμή στο αρχείο που μόλις ανοίξαμε και γράφει # DAEMON_CONF = "" και αλλάξτε αυτήν για να διαβάσετε DAEMON_CONF = "/etc/hostapd/hostapd.conf" (βεβαιωθείτε ότι αφαιρείτε την ένδειξη # στην αρχή για να σχολιάσετε πεδίο!)

Υπάρχει ένα ακόμη αρχείο διαμόρφωσης για το hostapd που πρέπει να ενημερώσουμε. Εκτελέστε την ακόλουθη εντολή:

sudo nano /etc/init.d/hostapd

Αυτή η αλλαγή είναι σχεδόν πανομοιότυπη με την προηγούμενη. Βρείτε την ενότητα DAEMON_CONF = και αντικαταστήστε την με DAEMON_CONF =/etc/hostapd/hostapd.conf

Στη συνέχεια, αποθηκεύστε και βγείτε από αυτό το αρχείο!

Το Hostapd έχει πλέον ρυθμιστεί!

Βήμα 4: Διαμόρφωση DNSMasq και προώθηση IP

Με το hostapd τώρα διαμορφωμένο (αν και δεν εκτελείται ακόμα), μπορούμε τώρα να προχωρήσουμε στο dnsmasq!

Πριν ξεκινήσουμε με την επεξεργασία αρχείων διαμόρφωσης, μπορούμε να προχωρήσουμε και να μετονομάσουμε ένα από τα αρχικά αρχεία διαμόρφωσης, καθώς δεν πρόκειται να χρησιμοποιήσουμε οτιδήποτε υπάρχει στο συγκεκριμένο αρχείο διαμόρφωσης.

Κάνοντας μια γρήγορη εντολή mv με ένα νέο όνομα αρχείου πρέπει να κάνετε το κόλπο

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Στη συνέχεια, δημιουργήστε ένα νέο αρχείο διαμόρφωσης!

sudo nano /etc/dnsmasq.conf

Χωρίς να μπω πολύ σε αυτό, απλώς θα αντιγράψω το παρακάτω και θα το επικολλήσω στο νέο αρχείο

interface = wlan0 # Χρήση διεπαφής wlan0 (ή όποια διασύνδεση είναι η ασύρματη) διακομιστής = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # Εύρος IP και χρόνος μίσθωσης

Η κορυφαία γραμμή αυτής της ρύθμισης είναι για τη διεπαφή που χρησιμοποιούμε για τη μετάδοση του σήματός μας, η μεσαία γραμμή για τον πάροχο υπηρεσιών Doman Name και στη συνέχεια η κατώτατη γραμμή είναι το εύρος των διευθύνσεων IP που το Pi θα εκχωρήσει σε χρήστες που συνδέονται με το Pi Wifi. Προχωρήστε και αποθηκεύστε αυτό το αρχείο και, στη συνέχεια, βγείτε από το nano (ή το vim ή οτιδήποτε χρησιμοποιείτε για αλλαγές αρχείων).

Στη συνέχεια, πρέπει να ορίσουμε το αρχείο ρυθμίσεων systctl.conf για να προωθήσει όλη την κίνηση που έρχεται στην ασύρματη διασύνδεση για τη διαδρομή μέσω της σύνδεσης ethernet

sudo nano /etc/sysctl.conf

Μέσα σε αυτό το αρχείο διαμόρφωσης, το μόνο που έχετε να κάνετε είναι να σχολιάσετε τη γραμμή που είναι #net.ipv4.ip_forward = 1 και να αποθηκεύσετε/βγείτε από αυτό το αρχείο διαμόρφωσης.

Τώρα που έχουμε ρυθμίσει την προώθηση, θέλουμε να δημιουργήσουμε ένα NAT (Μετάφραση Διεύθυνσης Δικτύου) μεταξύ της ασύρματης διεπαφής (wlan0) και της διεπαφής ethernet (eth0). Αυτό βοηθά στην προώθηση όλης της επισκεψιμότητας από το wifi στη σύνδεση ethernet (και τελικά VPN!).

Προσθέστε έναν νέο κανόνα στο iptable για την προώθηση NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Ο κανόνας έχει πλέον ρυθμιστεί, αλλά το iptable ξεπλένεται κάθε φορά που γίνεται επανεκκίνηση του Raspberry Pi, οπότε πρέπει να αποθηκεύσουμε αυτόν τον κανόνα έτσι ώστε να μπορεί να (ξαναφορτώνεται) κάθε φορά που γίνεται επανεκκίνηση του Pi μας.

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Ο κανόνας έχει πλέον αποθηκευτεί, αλλά πρέπει να ενημερώσουμε το τοπικό αρχείο παραμέτρων rc.local του Pi για να βεβαιωθούμε ότι φορτώνεται κάθε φορά!

Ανοίξτε το αρχείο rc.local στον αγαπημένο σας επεξεργαστή

sudo nano /etc/rc.local

και βρείτε την ενότητα που λέει έξοδος 0

Ακριβώς πάνω από αυτήν τη γραμμή (μην τη διαγράψετε!) Προσθέστε την ακόλουθη εντολή που θα φορτώσει ξανά τον κανόνα NAT που έχουμε δημιουργήσει. Θα πρέπει τώρα να μοιάζει με αυτό

iptables-restore </etc/iptables.ipv4.nat exit0

Αποθηκεύστε και εξέλθετε από αυτό το αρχείο και τώρα όλες οι διαμορφώσεις μας πρέπει να γίνουν για το σημείο πρόσβασης!

Το μόνο που έχουμε να κάνουμε είναι να ξεκινήσουμε τις υπηρεσίες hostapd και dnsmasq και να κάνουμε επανεκκίνηση του Raspberry Pi!

υπηρεσία sudo hostapd έναρξη

εκκίνηση της υπηρεσίας sudo dnsmasq

Δοκιμάστε για να βεβαιωθείτε ότι μπορείτε να δείτε το νέο σας AP. Εάν όλα έχουν ρυθμιστεί σωστά, θα πρέπει τώρα να έχετε ένα σημείο πρόσβασης wifi στο Raspberry Pi σας! Τώρα επανεκκινήστε το pi

sudo επανεκκίνηση

Στη συνέχεια, ρύθμιση σύνδεσης OpenVPN!

Βήμα 5: Ρύθμιση OpenVPN και Διαμόρφωση παρόχου υπηρεσιών VPN

Τώρα που το Pi μας εκπέμπει wifi, ήρθε η ώρα να εγκαταστήσουμε το openvpn! Θα ξεκινήσουμε εγκαθιστώντας το openvpn μέσω του apt-get install

sudo apt -get install openvpn -y

Αφού ολοκληρωθεί η εγκατάσταση του openvpn, πρέπει να μεταβούμε στο σημείο όπου θα αποθηκεύσουμε τα διαπιστευτήρια ελέγχου ταυτότητας και το αρχείο διαμόρφωσης openvpn.

cd /etc /openvpn

Το πρώτο πράγμα που θα κάνουμε εδώ (εντός /etc /openvpn) είναι η δημιουργία ενός αρχείου κειμένου που θα αποθηκεύσει το όνομα χρήστη και τον κωδικό πρόσβασής μας για την υπηρεσία VPN που χρησιμοποιούμε.

sudo nano auth.txt

Το μόνο που χρειαζόμαστε είναι να αποθηκεύσουμε το όνομα χρήστη και τον κωδικό πρόσβασης σε αυτό το αρχείο, τίποτα άλλο.

όνομα χρήστη

Κωδικός πρόσβασης

Πρέπει να προσθέσω ότι σε αυτό το σημείο, θα πρέπει να έχετε μια ιδέα για το ποιον θέλετε να χρησιμοποιήσετε ως υπηρεσία VPN για τις συνδέσεις σας. Υπάρχει μεγάλη συζήτηση σχετικά με το ποια υπηρεσία είναι η καλύτερη ή ασφαλέστερη, οπότε ψωνίστε και ελέγξτε τις κριτικές και σε αυτές! Για τους σκοπούς αυτού του σεμιναρίου, χρησιμοποιώ ιδιωτική πρόσβαση στο Διαδίκτυο (PIA). Είναι αρκετά φθηνά και αναγνωρίζονται ως πολύ αξιόπιστα! Μπορείτε επίσης να ρυθμίσετε το VPN σας για να καταλήξει σχεδόν σε οποιαδήποτε σημαντική περιοχή του κόσμου! Καναδάς? Ρωσία? Ιαπωνία? Δεν είναι πρόβλημα!

Εάν χρησιμοποιείτε ιδιωτική πρόσβαση στο Διαδίκτυο, έχουν επίσης ένα εύχρηστο μέρος του ιστότοπού τους, όπου μπορείτε να συνδυάσετε τον τύπο του αρχείου διαμόρφωσης openvpn που μπορείτε να χρησιμοποιήσετε σε αυτήν τη ρύθμιση! Υπάρχουν άλλοι τύποι ρυθμίσεων openvpn που μπορείτε να χρησιμοποιήσετε με άλλους παρόχους, αλλά αποφάσισα να επιλέξω αυτό.

Όποιον πάροχο υπηρεσιών καταλήξετε να επιλέξετε, χρειάζεστε ένα αρχείο σύνδεσης openvpn (θα πρέπει να καταλήγει σε.ovpn για τον τύπο αρχείου) από τον εν λόγω πάροχο υπηρεσιών για να συνδεθείτε. Για απλότητα, μετονόμασα το δικό μου "connectionprofile.ovpn" πριν το φορτώσω στο Raspberry Pi μου. Μόλις κατεβάσετε το αρχείο.ovpn στο Pi ή το μεταφέρετε στο Pi, βεβαιωθείτε ότι το αρχείο βρίσκεται στο /etc /openvpn στο Pi σας.

Αφού μετακινήσουμε το ανοιχτό αρχείο vpn στο σωστό φάκελο, πρέπει στη συνέχεια να αλλάξουμε τον τύπο αρχείου αφού το openvpn αναμένει ένα αρχείο ρυθμίσεων που τελειώνει σε.conf αντί για.ovpn. Όταν το έκανα αυτό, ήθελα ακόμα να διατηρήσω το αρχικό αρχείο άθικτο, σε περίπτωση που συμβεί κάτι funky, οπότε χρησιμοποίησα μια εντολή cp (αφού βρίσκεστε στο /etc /openvpn, θα χρειαστεί να χρησιμοποιήσετε sudo δικαιώματα για εκτέλεση αυτή η εντολή)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Με τη διαμόρφωση του προφίλ openvpn που δημιουργήθηκε, πρέπει να κάνουμε μια γρήγορη αλλαγή για να δώσουμε τα διαπιστευτήριά μας, οπότε καιρός να ξεσπάσουμε ξανά νανο!

sudo nano /etc/openvpn/connectionprofile.conf

Θα θελήσετε να βρείτε τη γραμμή auth-user-pass και να την αντικαταστήσετε με auth-user-pass auth.txt

Αυτό λέει στο openvpn να αρπάξει το αρχείο διαπιστευτηρίων που χρησιμοποιήσαμε νωρίτερα για τον έλεγχο ταυτότητας του προφίλ που προσφέραμε.

Αποθήκευση και έξοδος από το αρχείο ρυθμίσεων προφίλ!

Αυτό θα πρέπει να είναι το παν για τη ρύθμιση VPN, αλλά θα θέλουμε να ελέγξουμε ότι όλη η διαμόρφωσή μας έχει ρυθμιστεί σωστά πριν ρυθμίσουμε την υπηρεσία VPN να ξεκινά αυτόματα. Εκτελέστε την ακόλουθη εντολή για να δοκιμάσετε τη σύνδεση VPN

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Θα πρέπει να δείτε ένα σωρό κύλιση κειμένου καθώς το Pi κάνει προσπάθειες σύνδεσης με τον Πάροχο Υπηρεσιών VPN (ελπίζουμε να μην υπάρχουν μηνύματα σφάλματος!), Αλλά θέλετε να το αφήσετε μέχρι να δείτε την ακολουθία αρχικοποίησης που ολοκληρώθηκε στο παράθυρο. Αν καταλήξετε να το δείτε αυτό, σημαίνει ότι το Pi σας είναι συνδεδεμένο με τον Πάροχο Υπηρεσιών VPN σας! Μπορείτε να προχωρήσετε και να σκοτώσετε τη διαδικασία πατώντας ctrl + c στο παράθυρο τερματικού.

Τώρα που λειτουργεί το VPN, πρέπει να διαγράψουμε τους τρέχοντες iptables. Μπορούμε να το ολοκληρώσουμε με τις ακόλουθες τρεις εντολές

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Δεδομένου ότι ξεπεράσαμε τα iptables, πρέπει να επαναφέρουμε τον κανόνα nat που είχαμε δημιουργήσει νωρίτερα σε αυτό το σεμινάριο εκτελώντας την ακόλουθη εντολή (αυτή η εντολή πρέπει να φαίνεται οικεία!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Τώρα μπορούμε να αποθηκεύσουμε αυτήν τη διαμόρφωση σε σχέση με την προηγούμενη διαμόρφωση που είχαμε ξαναβάλει στο προηγούμενο βήμα. (αυτή η εντολή πρέπει επίσης να φαίνεται οικεία!)

sudo sh -c "iptables -save> /etc/iptables.ipv4.nat"

Τώρα που έχουμε ρυθμίσει τους κανόνες NAT, πρέπει να αλλάξουμε την προεπιλεγμένη ρύθμιση παραμέτρων για το openvpn για να χρησιμοποιήσουμε το προφίλ που έχουμε ρυθμίσει. Το κάνουμε αυτό επεξεργάζοντας το αρχείο ρυθμίσεων στο/etc/default/openvpn

sudo nano/etc/default/openvpn

Βρείτε τη γραμμή που λέει #autostart = "all", αποσυνδέστε αυτήν τη γραμμή και αλλάξτε την στο όνομα του αρχείου διαμόρφωσης openvpn σας (πλην του.conf φυσικά!) Έτσι, στην περίπτωσή μου, αλλάζω τη γραμμή σε autostart = " προφίλ σύνδεσης"

και στη συνέχεια αποθηκεύστε και βγείτε από αυτό το αρχείο διαμόρφωσης!

Αυτό θα πρέπει να είναι το παν για τη ρύθμιση VPN! Απλώς επανεκκινήστε το Pi και επαληθεύστε ότι όλα λειτουργούν συνδέοντας το hotspot και ελέγχοντας τη διεύθυνση IP μέσω μιας τοποθεσίας όπως το whatismyip.com.

Με αυτήν τη διαμόρφωση, υπάρχει πιθανότητα η διεύθυνση IP του δρομολογητή σας να διαρρεύσει μέσω διαρροής DNS. Μπορούμε να το διορθώσουμε αλλάζοντας το DNS στο οποίο αναφερόμαστε στο αρχείο dhcpcd.conf για να κατευθύνουμε μια εξωτερική υπηρεσία DNS, όπως το Cloudflare!

Ανοίξτε το αρχείο dhcpcd.conf στον αγαπημένο σας επεξεργαστή:

sudo nano /etc/dhcpcd.conf

Βρείτε τη γραμμή στη διαμόρφωση #static domain_name_servers = 192.168.0.1, αποσυνδέστε τη γραμμή και αλλάξτε την ως εξής: static domain_name_servers = 1.1.1.1 και αποθηκεύστε/βγείτε από το αρχείο ρυθμίσεων. Επανεκκινήστε το Pi για άλλη μια φορά και τώρα μπορείτε να ελέγξετε ξανά ότι η διεύθυνση IP του δρομολογητή σας δεν έχει διαρρεύσει μέσω του ipleak.net.

Ένα άλλο πράγμα που πρέπει να γνωρίζετε είναι ότι η διεύθυνση IP του δρομολογητή σας μπορεί να διαρρεύσει μέσω του WebRTC. Το WebRTC είναι μια πλατφόρμα που χρησιμοποιείται από όλα τα σύγχρονα προγράμματα περιήγησης για την καλύτερη τυποποίηση των επικοινωνιών, συμπεριλαμβανομένων των άμεσων μηνυμάτων, της βιντεοδιάσκεψης και της ροής ήχου και βίντεο. Ένα υποπροϊόν αυτής της πλατφόρμας είναι ότι αν δεν ελεγχθεί, μπορεί να διαρρεύσει η διεύθυνση IP του δρομολογητή σας εάν είστε συνδεδεμένοι σε ένα VPN. Ο ευκολότερος τρόπος για να το αποτρέψετε αυτό, χρησιμοποιώντας επεκτάσεις προγράμματος περιήγησης ή πρόσθετα, όπως webrtc-leak-prevent.

Με όλες τις ρυθμίσεις στο pi σας τώρα, εάν θέλετε να διασφαλίσετε ότι όλη η κίνηση στο Διαδίκτυο είναι κρυπτογραφημένη, μπορείτε να συνδεθείτε σε αυτό το hotspot και όλη η επισκεψιμότητά σας θα κρυπτογραφηθεί μέσω του VPN!

Ελπίζω να απολαύσατε το Instructable μου, τώρα ασφαλίστε όλο το wifi !!