Brána VPN Raspberry Pi: 6 kroků

2024 Autor: John Day | [email protected]. Naposledy změněno: 2024-01-30 08:23

Aktualizace 2018-01-07:

• Aktualizované věci chybí a provedené změny potřebné pro aktuální verzi Raspian.
• Také byl vytvořen konkrétní průvodce pro NordVPN.

Pro VPN existuje několik různých použití. Buď chcete chránit své soukromí a soukromá data před zvědavýma očima, nebo potřebujete zdroj z jiné země. Získávání zdrojů z jiné země může být velmi užitečné pro získání přístupu ke službám, které ve vaší zemi nejsou k dispozici. V současné době existuje řada služeb VPN a většina z nich nabízí snadno použitelný software pro váš počítač a aplikace pro váš tablet nebo telefon. Ale pokud máte další zařízení, která nejsou podporována softwarem, který chcete přes VPN? Poté vytvořte bránu, která vám umožní přístup k internetu přes VPN.

Když se podíváte na své základní nastavení sítě, máte „výchozí bránu“, která se používá pro jakoukoli adresu IP, která se nenachází ve vaší aktuální podsíti (velmi zjednodušeno). Pokud tedy nastavíte bránu, která dokáže směrovat internetový provoz přes zavedené připojení VPN, může tunel VPN využívat jakékoli zařízení podporující síť.

Můj hlavní případ použití v mém bytě v San Francisku je tunel VPN do mého rodného Švédska, abych mohl streamovat švédské kanály pro přehrávání na svých přehrávačích médií a chytré televizi. Toto je docela běžný případ použití pro většinu lidí, kteří potřebují tunel VPN. Protože moje přehrávače médií a chytré televize nejsou podporovány softwarem VPN, postavil jsem jeden z Raspberry Pi.

Jeden si můžete vyzvednout za méně než 40 $ na Amazonu. Doporučuji však zakoupit také pouzdro a slušný napájecí adaptér. K tomuto pokynu potřebujete:

• Raspberry Pi 2 nebo 3
• Případ podle vašich představ
• Slušný napájecí adaptér
• Síťový kabel

Krok 1: Výběr služby VPN

Při výběru služby VPN je důležité, aby splňovala vaše požadavky. Pro tento případ použití jsem potřeboval službu VPN se švédským výstupním bodem, to je nejdůležitější, protože potřebuji, aby byly švédské služby přesvědčeny, že jsem ve Švédsku. Za ta léta jsem použil několik různých doplňků a níže jsou věci, které beru v úvahu při výběru dodavatele VPN pro konkrétní případ použití:

Test zdarma

Chci bezplatné zkušební období nebo malé množství testovacích dat, abych získal pocit ze softwaru nebo aplikace. Také chci vyzkoušet výkon a celkovou zkušenost, než za to zaplatím. Je také příjemné zkontrolovat, zda můj nápad bude fungovat, než začnu platit.

Soukromí

Pokud se implementace týká ochrany osobních údajů, pak je opravdu důležité, co zásady ochrany osobních údajů uvádějí. Je také důležité, ze které země společnost působí a jaké zákony chrání vaše soukromí. Skutečně soukromí uživatelé by se měli podívat na službu, která uvádí, že nejsou uloženy žádné protokoly provozu a umožňují například anonymní platby prostřednictvím bitcoinů.

Povolený provoz

Může existovat omezení, jaký typ provozu vám bude povoleno spouštět. Vážnější dodavatelé obvykle blokují provoz typu peer-to-peer. To má nejen zabránit právním problémům, ale také zajistit výkon pro všechny uživatele. Existuje mnoho dobrých dodavatelů, kteří umožňují peer-to-peer a přesto poskytují vysoce kvalitní služby. Pokud to ale není vaše hlavní obnova, doporučuji vybrat službu, která neumožňuje peer-to-peer.

Datový limit

Nikdy nepoužívejte službu, která si uchovává datový limit nad svými platícími uživateli. To se právě vybije v nejhorší možnou dobu přesně jako data ve vašem telefonu těsně před zábavnou částí ve videoklipu!

Odejít ze zemí

V závislosti na případu použití to má různou důležitost. Pro případ použití, jako je ten můj, kde potřebuji skončit v konkrétní zemi, to samozřejmě musí být na seznamu. Také mi musí být umožněno vybrat, ze které země opouštím. Existují služby, ve kterých nemůžete vybrat zemi výstupu, držte se od nich dál. Můžete skončit v zemi se špatným výkonem nebo zákony o ochraně osobních údajů. I když nepotřebujete konkrétní zemi, měli byste si vybrat službu s několika různými zeměmi, ze kterých se budete moci ukázat, abyste mohli najít službu s dobrým výkonem.

Typ softwaru a podpory

To je jeden z hlavních důvodů, proč dávám přednost službám s bezplatným testem. Existuje tolik poskytovatelů se špatným softwarem, kteří jsou buggy, nejistí nebo prostě nefungují. Pro implementaci Raspberry Pi potřebuji poskytovatele, který podporuje OpenVPN.

Můj výběr

Pro tuto stavbu jsem šel s Tunnel Bear. Nabízí se bezplatný test až do velikosti 500 GB, abych mohl otestovat, zda mohu skutečně streamovat, než něco zaplatím. Sídlí v Kanadě, která má vedle Švédska jedny z nejpřísnějších zákonů o ochraně osobních údajů na světě. Žádný datový limit u placených služeb a také mám povoleno mít připojeno několik zařízení najednou. Takže ochrana mého telefonu, tabletu a počítače při cestování na nezabezpečeném wifi je také tříděna. Výstupní uzel ve Švédsku je podporován, ve skutečnosti je poskytován prostřednictvím Bahnhof, který je ve Švédsku známý silným soukromím. U placených plánů nabízejí podporu OpenVPN. Nedělají bezplatný test, ale stačilo to spustit z mého notebooku, aby se ujistil, že streamovací služby fungují.

Krok 2: Nainstalujte si Raspberry Pi

Pro takovéto implementace používám operační systém Raspbian Lite. Protože GUI vůbec nepotřebuji. Nejnovější verzi můžete získat zde.

K načtení souboru.img na kartu SD pro Raspberry Pi používám Win32DiskImager.

Jakmile se Raspberry Pi spustí, podívám se do seznamu DHCP směrovačů, abych získal IP adresu a poté se připojil přes SSH pomocí Putty. Standardní uživatelské jméno a heslo jsou pi/malina

Po připojení spustím nástroj raspi-config, abych změnil základní nastavení.

sudo raspi-config

Nejvýznamnější věci, o které se v této konfiguraci musíte starat, jsou:

• Rozbalte systém souborů
• Změnit heslo

Pokud chcete, můžete také změnit název hostitele vašeho Raspberry Pi. Můj DHCP má velmi dlouhé pronájmy a mohu si také rezervovat konkrétní adresu. Pokud tuto schopnost nemáte, musíte nakonfigurovat Raspberry Pi tak, aby používalo statickou IP adresu. Vzhledem k tomu, že ostatní zařízení to budou používat jako výchozí bránu, je důležité, aby stále používala stejnou IP adresu. Zde je příspěvek, který jsem napsal o nastavení statické IP adresy v Raspbian Jessie.

Poté musíme vše upgradovat na nejnovější verzi:

sudo apt-get updatesudo apt-get upgrade sudo apt-get dist-upgrade

Krok 3: Nainstalujte OpenVPN

Nyní musíme nainstalovat OpenVPN na Raspberry Pi.

sudo apt-get install openvpn

Poté se musíme ujistit, že služba začíná správně.

sudo systemctl povolit openvpn

Po dokončení instalace musíme zkopírovat konfigurační soubory a certifikáty OpenVPN do pole. To vám poskytne váš poskytovatel VPN. V mém případě jsem pomocí TunnelBear našel blogový příspěvek o podpoře Linuxu. Na této stránce je odkaz na soubor zip obsahující vše, co potřebujeme.

Soubor obsahuje soubory certifikátů a konfigurační soubor.opvn pro každou zemi, do které můžete tunelovat. Potřebujete všechny soubory certifikátů a konfigurační soubor.opvn pro vámi zvolenou zemi, v mém případě Švédsko. Rozbalte potřebné soubory a použijte winscp k nahrání souborů na váš Raspberry Pi. Stejné uživatelské jméno/heslo, jaké bylo použito pro SSH, vás přivede na/home/pi, stačí tam přetáhnout soubory.

Poté se vrátíme na terminál SSH a přesuneme soubory do složky OpenVPN. První příkaz je jen ujistit se, že jsme ve složce /home /pi.

cd /home /pi

sudo mv */etc/openvpn/

Nyní musíme provést nějaké úpravy souborů. Nejprve musíme přejmenovat konfigurační soubor z.ovpn na.conf. Jakýkoli soubor končící na.conf ve složce /etc /openvpn se automaticky spustí při spuštění démona OpenVPN. Nejprve se musíme dostat do tohoto adresáře.

cd /etc /openvpn

Poté změníme název konfiguračního souboru. Můžete jej pojmenovat libovolně, pokud končí v.conf. Raději používám názvy souborů bez mezer, v tomto případě jdu s swe.conf.

sudo mv *.ovpn swe.conf

Poté potřebujeme ověřovací soubor obsahující uživatelské jméno a heslo použité pro tunel VPN. Otevřete textový editor a napište uživatelské jméno a heslo na samostatné řádky. Tento soubor nazveme auth.txt.

sudo nano auth.txt

Obsah by měl být podobný tomuto příkladu:

uživatelské jméno

Heslo

Poté pomocí CTRL + O zapište do souboru a CTRL + X ukončete nano textový editor. Musíme také chránit soubor auth.txt obsahující naše přihlašovací údaje.

sudo chmod 600 /etc/openvpn/auth.txt

Poté musíme upravit konfigurační soubor, abychom se ujistili, že jsou všechny cesty správné, a přidat odkaz na nově vytvořený soubor auth.txt.

sudo nano swe.conf

Řádky, které je třeba změnit, odkazují na jiné soubory, musí to být absolutní cesty. V tomto příkladu hledáme toto:

ca CACertificate.crt

cert Klíč UserCertificate.crt PrivateKey.key

Měníme je na absolutní cesty takto:

ca /etc/openvpn/CACertificate.crt

klíč cert /etc/openvpn/UserCertificate.crt /etc/openvpn/PrivateKey.key

Poté na konec souboru přidáme odkaz na soubor auth.txt, například takto:

auth-user-pass /etc/openvpn/auth.txt

Opět použijeme CTRL + O k uložení souboru a poté CTRL + X k ukončení nano. Nyní můžeme restartovat démona OpenVPN a zjistit, že tunel funguje.

restartování služby sudo openvpn

Pokud spustíte příkaz ifconfig, měli byste vidět adaptér tun0 kromě vašich adaptérů eth0 a lo, pokud je tunel nahoře. Můžete také spustit příkaz this command a zkontrolovat svou veřejnou IP adresu:

wget https://ipinfo.io/ip -qO -

Pokud máte problémy se zprovozněním tunelu, zkuste nejprve restartovat Raspberry Pi a poté znovu zkontrolujte chyby v konfiguraci.

Krok 4: Nastavení směrování

Nyní musíme povolit přesměrování IP. Umožňuje síťovému provozu proudit z jednoho ze síťových rozhraní a ven z druhého. V podstatě vytvoření routeru.

sudo /bin /su -c "echo -e '\ n#Povolit směrování IP / nnet.ipv4.ip_forward = 1'> /etc/sysctl.conf"

Pokud spustíte sudo sysctl -p, měli byste to vidět vytištěné na obrazovce:

net.ipv4.ip_forward = 1

Nyní je směrování povoleno a provoz může procházet přes Raspberry Pi, přes tunel a ven na internet.

Krok 5: Nastavení brány firewall a NAT

Protože budeme mít uvnitř několik klientů přístup k internetu přes jednu veřejnou IP adresu, musíme použít NAT. Znamená překlad síťových adres a bude sledovat, který klient požadoval jaký provoz, když se informace vrátí přes tunel. Také musíme nastavit nějaké zabezpečení kolem Raspberry Pi, samotného tunelu.

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Povolení NAT.

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Umožnění veškerému provozu z eth0 (interního) přes tun0 (tunel).

sudo iptables -A VPŘED -i tun0 -o eth0 -m stav -stav SOUVISEJÍCÍ, ZŘÍZENÝ -j PŘIJMOUT

Umožnění provozu z tun0 (tunel) vrátit se zpět přes eth0 (interní). Protože zadáváme stav SOUVISEJÍCÍ, ZAVEDEN, bude omezen na připojení iniciované z interní sítě. Blokování externího provozu při pokusu o navázání nového připojení.

sudo iptables -A VSTUP -i lo -j PŘIJMOUT

Povolení vlastního provozu zpětné smyčky Raspberry Pi.

sudo iptables -A VSTUP -i eth0 -p icmp -j PŘIJMOUT

Umožnění počítačům v místní síti pingovat na Raspberry Pi.

sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

Povolení SSH z interní sítě.

sudo iptables -A INPUT -m state --stát ZAVEDENO, SOUVISEJÍCÍ -j PŘIJMOUT

Umožnění návratu veškerého provozu iniciovaného Raspberry Pi. Jedná se o stejný princip státu jako dříve.

sudo iptables -P PŘEDPADNÝ SKLÁDÁNÍ

sudo iptables -P VSTUP DROP sudo iptables -L

Pokud provoz neodpovídá žádnému z uvedených pravidel, bude zrušen.

sudo apt-get install iptables-persistent

sudo systemctl povolit netfilter-persistent

První řádek instaluje míru kódu, díky které jsou iptable pravidla, která jsme právě vytvořili, mezi restarty trvalá. Druhý uloží pravidla poté, co je změníte. Tentokrát stačí spustit první. Pokud změníte pravidla, spusťte druhé a uložte je. Iptable pravidla jsou účinná, jakmile je přidáte, pokud zpackáte a ztratíte přístup, stačí restartovat a ta, která ještě nejsou uložena, se vrátí.

Krok 6: Závěr

Nyní můžete tento tunel použít z jakéhokoli zařízení nebo počítače ve stejné síti. Stačí změnit výchozí bránu na jakoukoli IP adresu, kterou má váš Raspberry Pi. V mém případě obě moje mediální centra Kodi (jedna ložnice a jeden obývací pokoj) používají toto připojení, takže mohu streamovat své švédské herní kanály. Samozřejmě existují i další věci, pro které to můžete také použít.

Mějte na paměti, že v závislosti na zvoleném dodavateli VPN a rychlosti vašeho internetového připojení může dojít k pomalému výkonu.

Pokud máte nějaké dotazy nebo chcete, abych něco objasnil, dejte mi vědět v komentářích! Další technické příspěvky najdete na mém blogu Hackviking!