Proteggi tutto il Wifi con una VPN - Access Point!: 5 passaggi

2024 Autore: John Day | [email protected]. Ultima modifica: 2024-01-30 10:03

Poiché sempre più delle nostre vite vengono inviate alla grande nuvola nel cielo che è Internet, diventa sempre più difficile rimanere al sicuro e privati nelle tue avventure personali su Internet. Sia che tu stia accedendo a informazioni sensibili che desideri mantenere private, cercando di aggirare i limiti posti su dove o cosa puoi navigare sulla tua rete, o se desideri semplicemente un'esperienza di navigazione più sicura, il consiglio più comune che sento per rimanere al sicuro su Internet è utilizzare una rete privata virtuale (o VPN in breve).

Le VPN offrono due ottimi servizi in un unico pacchetto, in quanto crittografano tutti i pacchetti di informazioni che vengono inviati attraverso di loro e rendono servizi remoti che si trovano sulla stessa rete della VPN locale per la macchina che usi per connetterti. Se il mio server VPN è in Germania e mi collego alla mia VPN da un laptop in Australia, il mio laptop avrà ora un indirizzo IP dalla Germania!

Un importante punto critico con i servizi VPN più popolari, tuttavia, è che molti tipi di dispositivi si trovano in situazioni in cui non possono essere configurati per utilizzare un client VPN o non hanno un client VPN disponibile per l'uso. Quindi vogliamo che i nostri dispositivi siano connessi alla nostra VPN, ma per queste altre macchine che non possono connettersi con un semplice client VPN, vogliamo che siano connesse alla nostra VPN senza nemmeno sapere che sono connesse! Inserisci un punto di accesso VPN!

Passaggio 1: materiali

I materiali per questo progetto sono scarsi, ma tutti gli elementi sono necessari.

Oltre al router di casa (che presumo dovresti avere), ti servirà

- 1 Raspberry Pi (preferibilmente il Raspberry Pi 3 o superiore, ma finché può supportare una connessione ethernet dovrebbe andare bene!)

- 1 cavo Ethernet

- 1 dongle wifi (a meno che tu non stia usando un Raspberry Pi 3, nel qual caso puoi usare il wifi integrato)

- 1 alimentatore 5V 2amp per il Raspberry Pi

Passaggio 2: configurazione del punto di accesso Wi-Fi - Parte 1 - Indirizzo IP statico per Wi-Fi

Prima di configurare la connessione VPN per il nostro punto di accesso Raspberry Pi, dobbiamo impostare il Pi come punto di accesso. Per fare ciò, utilizzeremo i pacchetti hostapd e dnsmasq per Raspberry Pi. Hostapd è un demone dello spazio utente per l'impostazione di punti di accesso wireless e server di autenticazione, mentre dnsmasq fornisce l'infrastruttura di rete (DNS, DHCP, avvio di rete, ecc.) per piccole reti e piccoli router di rete.

Quindi, prima di iniziare, assicurati di avere un'immagine pulita del sistema operativo Raspbian in esecuzione sul Pi, con gli ultimi aggiornamenti applicati. Vuoi anche assicurarti che il tuo Raspberry Pi sia connesso al tuo router tramite una connessione Ethernet hardline, NON wifi! Alla fine accetteremo richieste di connessione da altri dispositivi tramite il nostro modulo wifi, quindi non vorrai essere connesso al tuo router tramite lo stesso modulo. Se stai utilizzando un Raspberry Pi Zero o un'aggiunta precedente (che non ha il Wi-Fi integrato), puoi comunque utilizzare quel Raspberry Pi, hai solo bisogno di un dongle Wi-Fi USB.

Dopo esserti connesso al tuo Raspberry Pi (tramite SSH o con un monitor attivo) controlla che sia aggiornato

sudo apt-get update

sudo apt-get upgrade

Successivamente, ti consigliamo di scaricare e installare hostapd e dnsmasq

sudo apt-get install hostapd dnsmasq

Una volta installati i pacchetti, entrambi i programmi si avvieranno automaticamente, ma vogliamo apportare modifiche alle loro configurazioni prima di eseguirli. Quindi contatteremo il controllo del sistema per interrompere i servizi legati a questi programmi

sudo systemctl stop hostapd

sudo systemctl stop dnsmasq

Con i servizi ora interrotti, vorremo assegnarci un indirizzo IP statico, utilizzando il file di configurazione dhcpcd che si trova in /etc/dhcpcd.conf

Prima di farlo, tuttavia, vogliamo assicurarci di fare riferimento all'interfaccia corretta quando assegniamo l'indirizzo IP statico. Se si utilizza un Raspberry Pi 3b o un Raspberry Pi Zero W, dovrebbe essere elencato come wlan0. Se stai usando un dongle wifi, normalmente trovo che sia un po' più facile connettere il dongle wifi al router, prendere un nuovo indirizzo IP e poi controllare la tua connessione per trovare la tua interfaccia. Puoi controllare la tua interfaccia eseguendo il seguente comando

ifconfig

Se controlli l'immagine in alto allegata a questo passaggio, puoi vedere (meno gli indirizzi IP redatti) le interfacce assegnate al mio Raspberry Pi. Nel mio caso, sto usando wlan0, ma dipende dalla tua configurazione. Come accennato in precedenza, se usi un dongle wifi, connettiti alla tua rete, esegui il comando ifconfig e qualsiasi interfaccia venga visualizzata con un indirizzo IP valido e non sia "eth0" o "lo" sarà l'interfaccia che desideri usare.

Ora che so quale interfaccia è per il mio adattatore wifi, posso assegnargli un indirizzo IP statico nel file di configurazione dhcpcd! Apri la configurazione nel tuo editor preferito (sto usando nano).

sudo nano /etc/dhcpcd.conf

Nella parte inferiore della configurazione, vogliamo aggiungere le seguenti righe, ma sostituire "wlan0" con qualunque sia la tua interfaccia:

interfaccia wlan0 statico ip_address=192.168.220.nohook wpa_supplicant

Ciò che sta facendo questo comando è stabilire un IP statico di 192.168.220.1 e quindi dire all'interfaccia wlan0 di non collegarsi al driver wpa_supplicant che in genere viene utilizzato per questa interfaccia per connettersi ad altre reti. Lo facciamo in modo che (alla fine) possiamo trasmettere il nostro segnale attraverso l'interfaccia wlan0, piuttosto che connetterci a una rete attraverso questa interfaccia.

Se stai usando nano per apportare queste modifiche, salva le modifiche premendo ctrl+x e poi Y e poi invio per salvare il file ed uscire da nano. (tieni presente che entreremo e usciremo da nano un bel po' in questo tutorial).

Infine, affinché queste modifiche abbiano effetto, dovrai riavviare il tuo Pi o semplicemente riavviare il servizio dhcpcd per ricaricare la configurazione e applicare queste modifiche

sudo systemctl riavvia dhcpcd

Attendi un momento, quindi esegui nuovamente il comando ifconfig per verificare e vedere se le modifiche hanno avuto effetto. Lo ammetto, a volte ho provato questo e il mio router ha ancora un contratto di locazione valido sull'indirizzo IP che stavo usando, quindi manterrà il vecchio indirizzo. In tal caso, ricontrolla tutto nella configurazione e riavvia nuovamente il servizio dhcpcd.

Il nostro adattatore wifi (dovrebbe) ora avere un indirizzo IP statico!

Successivamente, la configurazione hostapd e dnsmasq!

Passaggio 3: configurazione del punto di accesso Wi-Fi - Parte 2 - Configurazione Hostapd

Con le modifiche dhcpcd.conf fuori mano, è ora di iniziare con hostapd! Inizia creando un nuovo file hostapd.conf nel tuo editor di testo preferito (ancora una volta in nano per me!)

sudo nano /etc/hostapd/hostapd.conf

Quando apri il file di configurazione, copia il testo seguente e incollalo nel file config.

interfaccia=wlan0driver=nl80211

hw_mode=g canale=6 ieee80211n=1 wmm_enabled=0 macaddr_acl=0 ignore_broadcast_ssid=0

auth_algs=1 wpa=2 wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP rsn_pairwise=CCMP

# Nome e password della rete Wi-Fi DEVI CAMBIARE QUESTO ssid=Pi-WifiFoLife # La passphrase di rete wpa_passphrase=Y0uSh0uldCh@ng3M3

Una volta che hai incollato, trova la sezione finale in basso che ha "ssid=" e "wpa_passphrase=". Ecco come verrà chiamata la rete wifi che stiamo configurando e qual è la password per connetterci alla rete wifi che stiamo configurando. QUINDI ASSICURARSI DI CAMBIARE QUESTO CON QUALCOS'ALTRO! Sei stato avvertito.

Inoltre, se stai utilizzando un dongle Wi-Fi invece del Wi-Fi integrato, dovrai modificare la sezione dell'interfaccia nella parte superiore della configurazione in modo che corrisponda all'interfaccia per il tuo dongle Wi-Fi. Potrebbe anche essere necessario cambiare il driver, a seconda del modello del dongle wifi che stai utilizzando. Per un elenco (per lo più completo) di dongle wifi compatibili, i driver corrispondenti e le pagine di supporto, ho trovato questa pagina molto utile! Controlla anche la pagina di supporto per il prodotto che stai utilizzando se rimani bloccato. Ricorda, se sei riuscito a connetterti alla tua rete in precedenza nel tutorial con il tuo dongle wifi, significa che dovrebbe esserci un driver funzionante per il dongle sul tuo pi da qualche parte !!!

Ora che abbiamo il nostro nuovo file di configurazione, dobbiamo assicurarci di dire ai processi hostapd di fare riferimento al nuovo file di configurazione! iniziare con quanto segue:

sudo nano /etc/default/hostapd

Trova la riga nel file che abbiamo appena aperto che recita e cambiala in DAEMON_CONF="/etc/hostapd/hostapd.conf" (assicurati di togliere il segno # all'inizio per decommentare il campo!)

C'è un altro file di configurazione per hostapd che dobbiamo aggiornare. Esegui il seguente comando:

sudo nano /etc/init.d/hostapd

Questa modifica è quasi identica alla precedente. Trova la sezione DAEMON_CONF= e sostituiscila con DAEMON_CONF=/etc/hostapd/hostapd.conf

Quindi salva ed esci da quel file!

Hostapd è ora configurato!

Passaggio 4: configurazione DNSMasq e inoltro IP

Con hostapd ora configurato (anche se non ancora in esecuzione), possiamo ora passare a dnsmasq!

Prima di iniziare a modificare i file di configurazione, possiamo andare avanti e rinominare uno dei file di configurazione originali, poiché non utilizzeremo nulla di questo particolare file di configurazione.

Eseguire un comando mv rapido con un nuovo nome file dovrebbe fare il trucco

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

Quindi crea un nuovo file di configurazione!

sudo nano /etc/dnsmasq.conf

Senza entrare troppo in questo, mi limiterei a copiare quanto segue e incollarlo nel nuovo file

interface=wlan0 # Usa l'interfaccia wlan0 (o qualunque interfaccia sia il tuo wireless) server=1.1.1.1 # Cloudfare dhcp-range=192.168.220.50, 192.168.220.150, 12h # Intervallo IP e tempo di locazione

La riga superiore di questa configurazione è per l'interfaccia che stiamo utilizzando per trasmettere il nostro segnale, la riga centrale è per il nostro provider di servizi di nomi di dominio e quindi la riga inferiore è l'intervallo di indirizzi IP che il Pi assegnerà agli utenti che si connettono a il Pi Wifi. Vai avanti e salva questo file e poi esci da nano (o vim, o qualunque cosa tu stia usando per le modifiche ai file).

Successivamente, dobbiamo impostare il file di configurazione systctl.conf per inoltrare tutto il traffico che arriva sull'interfaccia wireless per instradare attraverso la connessione ethernet

sudo nano /etc/sysctl.conf

All'interno di questo file di configurazione, tutto ciò che devi fare è rimuovere il commento dalla riga #net.ipv4.ip_forward=1 e salvare/uscire da questo file di configurazione.

Ora che abbiamo impostato l'inoltro, vogliamo impostare un NAT (Network Address Translation) tra l'interfaccia wireless (wlan0) e l'interfaccia ethernet (eth0). Questo aiuta a inoltrare tutto il traffico dal wifi alla connessione ethernet (ed eventualmente VPN!).

Aggiungi una nuova regola a iptable per l'inoltro NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

La regola è ora impostata, ma iptable viene scaricato ogni volta che il Raspberry Pi viene riavviato, quindi dobbiamo salvare questa regola in modo che possa essere (ri)caricata ogni volta che il nostro Pi viene riavviato.

sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"

La regola è ora salvata, ma dobbiamo aggiornare il file di configurazione locale rc.local di Pi per assicurarci che venga caricato ogni volta!

Apri il file rc.local nel tuo editor preferito

sudo nano /etc/rc.local

e trova la sezione che dice exit 0

Proprio sopra quella riga (non eliminarla!) Aggiungi il seguente comando che ricaricherà la regola NAT che abbiamo impostato. Ora dovrebbe assomigliare a questo

iptables-restore < /etc/iptables.ipv4.nat exit0

Salva ed esci da questo file, e ora tutte le nostre configurazioni dovrebbero essere fatte per il punto di accesso!

Tutto quello che dobbiamo fare è avviare i servizi hostapd e dnsmasq e riavviare il nostro Raspberry Pi!

sudo service hostapd start

sudo service dnsmasq start

Fai un test per assicurarti di poter vedere il tuo nuovo AP. Se tutto è impostato correttamente, ora dovresti avere un punto di accesso Wi-Fi sul tuo Raspberry Pi! Ora riavvia il pi

sudo reboot

Avanti, configura una connessione OpenVPN!

Passaggio 5: configurazione di OpenVPN e configurazione del provider di servizi VPN

Ora che il nostro Pi sta trasmettendo il wifi, è tempo di configurare openvpn! Inizieremo installando openvpn tramite apt-get install

sudo apt-get install openvpn -y

Dopo che openvpn ha terminato l'installazione, dobbiamo navigare nel punto in cui memorizzeremo le nostre credenziali di autenticazione e il file di configurazione di openvpn.

cd /etc/openvpn

La prima cosa che faremo qui (all'interno di /etc/openvpn) è impostare un file di testo in cui memorizzeremo il nostro nome utente e password per il servizio VPN che stiamo utilizzando.

sudo nano auth.txt

Tutto ciò di cui abbiamo bisogno è memorizzare il nome utente e la password in questo file, nient'altro.

nome utente

parola d'ordine

Dovrei aggiungere che a questo punto dovresti avere un'idea di chi vuoi usare come servizio VPN per le tue connessioni. C'è un ampio dibattito su quale sia il servizio migliore o più sicuro, quindi guardati intorno e controlla anche le recensioni su di loro! Ai fini di questo tutorial, sto utilizzando Private Internet Access (PIA). Sono abbastanza economici e sono riconosciuti in giro per essere molto affidabili! Puoi anche configurare la tua VPN in modo che finisca in quasi tutte le principali regioni del mondo! Canada? Russia? Giappone? Non è un problema!

Se usi Private Internet Access, hanno anche una comoda parte del loro sito, dove puoi mettere insieme il tipo di file di configurazione di openvpn che puoi usare in questa configurazione! Esistono altri tipi di configurazioni openvpn che puoi utilizzare con altri provider, ma ho deciso di scegliere questo.

Qualunque sia il fornitore di servizi che scegli, hai bisogno di un file di connessione openvpn (dovrebbe terminare in.ovpn per il tipo di file) da detto fornitore di servizi per connetterti. Per semplicità, ho rinominato il mio "connectionprofile.ovpn" prima di caricarlo sul mio Raspberry Pi. Una volta scaricato il file.ovpn sul Pi o trasferito sul Pi, assicurati che il file sia in /etc/openvpn sul tuo Pi.

Dopo aver spostato il file vpn aperto nella cartella corretta, dobbiamo quindi modificare il tipo di file poiché openvpn prevede un file di configurazione che termina con.conf anziché.ovpn. Quando l'ho fatto, volevo ancora mantenere intatto il file originale, nel caso fosse successo qualcosa di strano, quindi ho appena usato un comando cp (dato che sei in /etc/openvpn, dovrai usare i permessi sudo per eseguire questo comando)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Con la configurazione del profilo openvpn creata, dobbiamo apportare una rapida modifica per fornire le nostre credenziali, quindi è ora di rompere di nuovo nano!

sudo nano /etc/openvpn/connectionprofile.conf

Dovrai trovare la riga auth-user-pass e sostituirla con auth-user-pass auth.txt

Questo dice a openvpn di prendere il file delle credenziali che abbiamo usato in precedenza per l'autenticazione del profilo che abbiamo fornito.

Salva ed esci dal file di configurazione del profilo!

Dovrebbe essere tutto per la configurazione della VPN, ma vorremmo verificare che tutta la nostra configurazione sia stata configurata correttamente prima di impostare il servizio VPN per l'avvio automatico. Esegui il seguente comando per testare la connessione VPN

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Dovresti vedere un mucchio di testo scorrere mentre il Pi effettua tentativi di connessione al provider di servizi VPN (si spera che non ci siano messaggi di errore!) Ma vuoi lasciarlo finché non vedi Sequenza di inizializzazione completata nella finestra. Se finisci per vederlo, significa che il tuo Pi è connesso al tuo provider di servizi VPN! Puoi andare avanti e terminare il processo premendo ctrl + c nella finestra del terminale.

Ora che la VPN funziona, dobbiamo cancellare gli iptables correnti. Possiamo completarlo con i seguenti tre comandi

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Poiché abbiamo eliminato iptables, dobbiamo ripristinare la regola nat che avevamo creato in precedenza in questo tutorial eseguendo il comando seguente (questo comando dovrebbe sembrare familiare!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Ora possiamo salvare questa configurazione sulla configurazione precedente che abbiamo riassemblato nel passaggio precedente. (questo comando dovrebbe anche sembrare familiare!)

sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"

Ora che abbiamo ripristinato le regole NAT, dobbiamo modificare la configurazione predefinita per openvpn per utilizzare il profilo che abbiamo impostato. Lo facciamo modificando il file di configurazione in /etc/default/openvpn

sudo nano /etc/default/openvpn

Trova la riga che dice #autostart="all", decommenta questa riga e cambiala con il nome del tuo file di configurazione openvpn (meno il.conf ovviamente!) Quindi, nel mio caso, cambio la riga in autostart=" profilo di connessione"

e poi salva ed esci da questo file di configurazione!

Dovrebbe essere tutto per la configurazione VPN! Riavvia semplicemente il Pi e verifica che tutto funzioni collegandoti all'hotspot e controllando il tuo indirizzo IP tramite un sito come whatismyip.com.

Con questa configurazione, c'è la possibilità che l'indirizzo IP del tuo router possa essere trapelato attraverso una perdita DNS. Possiamo risolvere questo problema modificando il DNS a cui facciamo riferimento nel file dhcpcd.conf in modo che punti a un servizio DNS esterno, come Cloudflare!

Apri il file dhcpcd.conf nel tuo editor preferito:

sudo nano /etc/dhcpcd.conf

Trova la riga in config #static domain_name_servers=192.168.0.1, decommenta la riga e modificala come segue: static domain_name_servers=1.1.1.1 e salva/esci dal file di configurazione. Riavvia il Pi ancora una volta e ora puoi ricontrollare che l'indirizzo IP del tuo router non sia trapelato attraverso ipleak.net.

Un'altra cosa da tenere presente è che l'indirizzo IP del router potrebbe essere trapelato tramite WebRTC. WebRTC è una piattaforma utilizzata da tutti i browser moderni per standardizzare meglio le comunicazioni, inclusi messaggistica istantanea, videoconferenza e streaming audio e video. Un sottoprodotto di questa piattaforma è che se lasciato deselezionato, può perdere l'indirizzo IP del tuo router se sei connesso a una VPN. Il modo più semplice per impedirlo è utilizzare estensioni del browser o plug-in, come webrtc-leak-prevent.

Con tutto ciò che è configurato sul tuo pi ora, se vuoi assicurarti che tutto il tuo traffico Internet sia crittografato, puoi connetterti a questo hotspot e tutto il tuo traffico verrà crittografato tramite la VPN!

Spero ti sia piaciuto il mio Instructable, ora vai al sicuro tutto il wifi!!