نکات و ترفندها – هلموت کارگر

در این مجموعه مقاله ، ما یک شبکه خصوصی مجازی (VPN) ساخته ایم که به تلفن های هوشمند اجازه می دهد تا با شبکه خانگی . این امر باعث افزایش محافظت در برابر رمزگذاری در WLAN های خارجی و خارجی می شود. به این نرم افزار اضافه شده است Pi-Hole در سرور VPN که به طور موقت سرویس های ردیابی را مسدود می کند . موضوع کاملاً پیچیده است زیرا چندین مؤلفه درگیر هستند و مشکلاتی که ممکن است بوجود بیاید بیشمار است به همین دلیل می خواهم در این مقاله حداقل راه حل مشکلات را ارائه دهم ، که در تحقیق و تست های VPN برای این سری از راه یافتم.

درگاه های جایگزین ، اگر 1194 در WLAN مسدود شده باشد [19659006] بیایید مختصراً به مکان ارائه دهنده WLAN WLAN که می خواهد عمومی را تنظیم کند کانون WiFi – برای مثال ، برای رستوران خود اختصاص دهید. ما می توانیم این کار را به عنوان امنیت انجام دهیم ، مانند Wi-Fi در خانه شما: از طریق اینترنت هیچ کس در WLAN مجاز نیست ، بلکه از طریق Wi-Fi همه و همه چیز در اینترنت است. یا در عوض ، ما یک مسیر محدودکننده را انتخاب می کنیم ، و همه چیز را ابتدا محکم می کنیم و فقط صریحاً چند سرویس (به شکل پورت های IP) را که برای گشت و گذار در اینترنت لازم است ، رها می کنیم. بنابراین می توانیم سعی کنیم از به اشتراک گذاری پرونده یا سایر خدمات ناخواسته جلوگیری کنیم.

اکنون ما خودمان هستیم که می خواهیم یک تونل VPN VPN را از یک WLAN خارجی وارد شبکه خانگی خود کنیم. سناریوی مقدماتی فقط باید در خدمت این باشد که روشن شود که [Port453OpenVPN1194 ما در واقع در هیچ وای فای رایگان منتشر نشده است . اگر اپراتور رویکرد محدود کننده ای را انتخاب کرده باشد ، ما می توانیم به راحتی در اینترنت WLAN (پورت های TCP 80 و 443) خود را گشت و گذار کنیم ، اما یک تونل VPN از طریق بندر 1194 هنوز هم ناکام خواهد بود.

1194 شماره درگاه ثبت شده برای خدمات OpenVPN ، که به معنی نیست ، که در واقع ما نیاز به استفاده از 1194 داریم. هنگام نصب PiVPN ، می توانیم یک پورت متفاوت را مشخص کنیم و همچنین می توانیم شماره پورت را بعد از آن در پرونده های پیکربندی تغییر دهیم.

اما از کدام پورت باید بجای 1194 استفاده کنیم. ؟ البته ، آن چیزی که نیز در WLAN مربوط منتشر می شود – احمقانه است که ما پیکربندی شبکه های خارجی را نمی دانیم و باید کمی تلاش کنیم. شاید به فکر استفاده از پورت 80 یا 443 باشید. این ممکن است کار کند ، اما نه لزوما. زیرا پورتهای 80 (http) و 443 (https) برای TCP تنظیم شده اند ، اما تونل ما بیش از UDP کار می کند. بنابراین ممکن است منجر به این شود که ببینیم کدام بندرهای مشهور می توانند برای UDP به [اینترنت] باز شوند . در اینجا چند پیشنهاد وجود دارد:

• 53 DNS (قطعنامه نام)؛ با این وجود ، اگر Pi-Hole را روی سرور VPN نصب کرده باشیم ، کار نمی کند ، زیرا Pi-Pole برای خودش ادعا می کند که پورت 53 را در اختیار دارد.
• 123 NTP (پروتکل زمان شبکه). این شایسته است که امتحان کنید.
• 194 IRC (log chat)
• 220 IMAP (با نام مستعار نامه)
• 853 DNS over TLS
• 995 Pop3S (نامه رمزگذاری شده)

آنچه در واقع کار می کند باید واقعاً محاکمه شود – و البته شما فقط در صورتی می خواهید که مکرراً از یک شبکه ویژه استفاده کنید و تلاش آن ارزش دارد. من آزمایش با درگاه های 123 یا 220 را شروع می کنم – بدون ضمانت موفقیت. در اینجا دستوراتی برای تغییر بعدی سرور و پیکربندی مشتری ارائه شده است:

سرور: sudo nano /etc/openvpn/server.confociation1965901888Client: nano ovpns / MyName.ovpn ، که در آن MyName قطعاً جایگزین می شود.

در هر دو پرونده شماره پورت 1194 را به سادگی با مقدار دلخواه جایگزین می کنیم. پرونده مشتری پس از آن باید دوباره وارد شود در تلفن هوشمند در برنامه VPN و Raspberry Pi دوباره راه اندازی مجدد .

آیا من IPv4 یا IPv6 یا هر دو دارم؟

من قبلاً مقاله جداگانه ای را به این سؤال کلی اختصاص داده ام. من چه دارم؟ IPv4 ، IPv6 یا هر دو؟ چگونه بطور دقیق یاد بگیریم؟

تحت ویندوز

تحت ویندوز یک جعبه DOS دریافت می کنیم (دستور فرمان) با اجرا - cmd و وارد می شویم و وارد می شویم دستور زیر را وارد می کنیم:

 ipconfig

ویندوز پیکربندی IP

اتصال LAN آداپتور اترنت:

   پسوند DNS خاص اتصال: fritz.box
   آدرس IPv6. ، ، ، ، ، ، ، ، ، ، : 2001: a61: 359d: 5e01: 759b: 36fa: 1d2f: 6e3
   آدرس IPv6. ، ، ، ، ، ، ، ، ، ، : fd00 :: 759b: 36fa: 1d2f: 6e3
   آدرس IPv6 موقتی. ، ، ، ، ، : 2001: a61: 359d: 5e01: d5e8: f0bd: 47ef: edae
   آدرس IPv6 موقتی. ، ، ، ، ، : fd00 :: d5e8: f0bd: 47ef: edae
   آدرس IPv6 محلی-پیوندی. : fe80 :: 759b: 36fa: 1d2f: 6e3٪ 10
   آدرس IPv4 ، ، ، ، ، ، ، ، ، : 192.168.0.202
   ماسک زیر شبکه ، ، ، ، ، ، ، ، ، : 255.255.255.0
   دروازه استاندارد. ، ، ، ، ، ، ، ، : fe80 :: 2665: 11ff: fea5: 45f6٪ 10
                                       192.168.0.1 

همانطور که مشاهده می شود ، این دستگاه ویندوز دارای IPv4 و IPv6 است.

تحت لینوکس

در Linux مشابه است ، به جز اینکه این فرمان ipconfig نیست. ] ، اما ifconfig :

 ifconfig
wlan0: flags = 4163  mtu 1500
        inet 192.168.0.167 netmask 255.255.255.0 پخش 192.168.0.255
        inet6 fe80 :: ba27: ebff: feaa: f771 پیشوند 64 دامنه 0x20 
        inet6 2001: a61: 35f4: d701: ba27: ebff: feaa: f771 prefixlen 64 rangeid 0x0 
        inet6 fd00 :: ba27: ebff: feaa: f771 prefixlen 64 rangeid 0x0 
        اتر b8: 27: eb: aa: f7: 71 txqueuelen 1000 (اترنت)
        بسته RX 588928 بایت 387092545 (369.1 MiB)
        خطاهای RX 0 از 2 فریم 0 فریم 0 افت کرد
        بسته های TX 503870 بایت 385487260 (367.6 MiB)
        خطاهای TX 0 بر 0 غلبه کرد 0 حامل 0 برخورد 0 

خروجی به رابط wlan0 مربوطه کوتاه شد. این Raspberry Pi همچنین دارای IPv4 و IPv6 است.

در این مورد و مورد قبلی ، مشخص است که شبکه خانگی داخلی همچنین دارای IPv6 است. در مرحله بعد به قسمت بیرونی روتر نگاه می کنیم.

در روتر

این تصویر صفحه نمایش Fritz! Box است ، با سایر روترها یا جعبه های کابل مشابه است. در مثال ، یک اتصال پشته دوگانه با آدرس IPv4 و IPv6 اختصاص داده شده توسط ارائه دهنده.

در تلفن هوشمند

همچنین در راه ، می توانیم مشخص کنیم که آدرس های IP در تلفن هوشمند قرار دارند. بدین ترتیب در اینجا مانند رایانه های شخصی مشابه است. دستگاههای مدرن می توانند همیشه IPv4 و IPv6 . با استفاده از تلفن هوشمند جالب است ، چه از طریق شبکه دسترسی ، از این رو WLAN یا داده های تلفن همراه ، IPv6 نیز ارائه می شود. در مثال این مورد است - یک آدرس IPv4 و سه آدرس IPv6 وجود دارد. برای Android (v8) ، این اطلاعات را می توانید در تنظیمات - اطلاعات تلفن - وضعیت و سپس در آدرس IP پیدا کنید.

درباره وب

همچنین گزینه استفاده از مرورگر برای کسب اطلاعات در مورد آدرس های IP شما. به عنوان مثال از طریق http://www.wieistmeineip.de/ipv6-test. لطفا توجه داشته باشید که آدرس IPv4 مربوط به روتر اینترنت بالادست است و آدرس IPv6 متعلق به دستگاه انتهایی است.

بدون IPv4 روی روتر - حالا چه می کنید؟

مشتری ها ارائه دهنده اینترنت ارائه دهنده اینترنت فقط با DS-Lite قابل تهیه است ، در حقیقت با یک VPN در شبکه خانگی مشکل دارید. DS-Lite به این معنی است که روتر اینترنت فقط با ارائه دهنده IPv6 تأمین می شود و آدرس IPv4 عمومی را دریافت نمی کند .

در این حالت ، راه اندازی تونل تنها در صورتی امکان پذیر است که تلفن هوشمند نیز تمام شود. IPv6 دارد. این مورد در تابستان سال 2019 فقط در شبکه موبایل Telekom (D1) رخ داده است. Vodafone (D2) و Telefonica (o2 / e-plus) هنوز IPv6 را ارائه نمی دهند. نقاط دسترسی Wi-Fi کاملاً در دسترس عموما فقط IPv4 و بسیار نادر IPv6 را ارائه می دهند.

اینترنت به عنوان یک راه حل ، اینترنت اغلب استفاده از یک درگاه نقشه را از IPv4 تا IPv6 پیشنهاد می کند. این برای افرادی که یک سرور root (مجازی) در اینترنت کار می کنند جالب است و می توانند در آنجا نرم افزار مناسبی بازی کنند. در غیر این صورت ، از آنجا که این درگاه ساز باید در اینترنت باشد ، تنها گزینه استفاده از یک سرویس تجاری است. این هزینه ها بین هزینه های کمی و فاصله زیادی دارند و اغلب خدمات آنها را فقط برای TCP و نه برای UDP ارائه می دهند. سرور OpenVPN و مشتری باید به TCP (توسط من تست نشده) تبدیل شوند.

یک فرصت دوم این است که راه اندازی [ارائهدهندهاینترنت اینترنت خود را داشته باشید ، علاوه بر IPv6 نیز یک آدرس IPv4 موجود باشد. ارائه ، بسیار کامل پشته دوگانه . این در گذشته غالباً هنگام مذاکره خوب با ارائه دهنده رایگان بوده است ، اما امروزه فروشندگان به طور فزاینده گزینه IPv4 را به عنوان اضافی برای چندین یورو در ماه اضافی می فروشند. برای کسانی که به تونل VPN نه تنها به دلایل امنیتی احتیاج دارند ، بلکه ممکن است نیاز به دسترسی به شبکه خانگی خود را در حال حرکت داشته باشند ، این می تواند یک سرمایه گذاری ارزشمند باشد.

IPv6 WLAN برای امتحان کردن یک تونل پشته دوگانه

از لحاظ فنی علاقمند هستید و دوست دارم یک تونل پشته دوگانه (IPv4 و IPv6) را امتحان کنید ، اما مشتری تلفن همراه ارتباطی نیست ، توصیه می کنم به دنبال دسترسی Freifunk WLAN برای تلفن هوشمند خود باشید. Freifunk München مطمئناً Dual Stack IP را در نقاط مهم WLAN و سایر گروه های رادیویی رایگان ارائه می دهد. دسترسی ها - همانطور که از نام آن پیداست - رایگان و بدون رمزگذاری است.

نام دامنه داخلی (در یک جعبه Fritz!)

در داخل شبکه خانگی شما ، ما با یک دستگاه دیگر با نام عادت کرده ایم. برای اینکه بتوانند خطاب کنند به عنوان مثال ، یک تمشک Pi با نام استاندارد raspberrypi . این همچنین می تواند به خوبی از طریق تونل VPN کار کند - به خصوص اگر یک پیکربندی درست Pi-Hole را که روی سرور VPN نصب شده است ، داشته باشیم. همچنین اگر مشتری ، تلفن هوشمند قادر به تشخیص نام دامنه شبکه خانگی نباشد ، می تواند ناخوشایند باشد.

بعضی ها می گویند - چگونه شبکه خانگی من نام دامنه خاص خود را دارد ؟ من هرگز یکی را بخشیده یا پیکربندی نکرده ام؟ بیایید تلاشی را انجام دهیم که در آن ما یک قطعنامه نام معکوس را بر روی رایانه ای در شبکه خانگی (لینوکس ، همچنین Raspberry Pi یا ویندوز) شروع کنیم:

 nslookup 192.168.0.166
سرور: 127.0.0.1
آدرس: 127.0.0.1 # 53

166.0.168.192.in-addr.arpa name = raspberrypi.fritz.box. 

بنابراین ما به nslookup یک آدرس IP معتبر ، موجود به عنوان یک پارامتر می دهیم ، به این امید که نام دستگاه همراه را دریافت کنید . و در واقع ، در مثال آن را raspberrypi.fritz.box می خواند. جایی که fritz.box نام دامنه است ، که همچنین نشانه ای از منشاء آن است. Fritz! Box این نام دامنه را اختصاص می دهد و سایر روترهای اینترنتی نیز همین کار را انجام می دهند.

بنابراین اگر اکنون وضوح اسمی از طریق تلفن هوشمند از طریق تونل VPN به شبکه خانگی با نام رایانه raspberrypi خراب شود ، پس از آن نوک من ، فقط آن را با raspberrypi.fritz.box امتحان کنید. یا با نام دامنه مناسب ، روی یک روتر دیگر.

تونل IPv6 در شبکه Wi-Fi خود کار نمی کند

ما با موفقیت تونل VPN را بر اساس IPv6 پیکربندی کردیم و در شبکه های خارجی خوب کار می کند ، به عنوان مثال ، اگر تلفن هوشمند در یک WLAN بی سیم است یا از طریق ارائه دهنده خدمات تلفن همراه IPv6 را دریافت می کند. فقط اگر مشتری VPN در شبکه خانگی خود باشد ، یعنی در همان شبکه ای که سرور VPN در آن قرار دارد ، نمی توان تونل را تاسیس کرد . ما می توانیم با جستجوی نام دامنه عمومی روی رایانه لینوکس در شبکه خانگی (اما نه در سرور VPN) این پرونده خطا را با جزئیات بیشتری بررسی کنیم. به عنوان مثال ، این jsonp.dedyn.io است.

 میزبان jsonp.dedyn.io
؛؛ اتصال به پایان رسید به هیچ سرور نمی توان رسید 

به نظر می رسد در واقع اشتباهی رخ داده است ، زیرا نام برطرف نشده است . بیایید موارد زیر را امتحان کنیم:

 dedyn.io میزبان
dedyn.io آدرس 88.99.64.5 را دارد
dedyn.io دارای آدرس IPv6 2a01: 4f8: 10a: 1044: deec: 642: ac10: 80

این کار عجیب است ، گرچه من فقط دامنه اصلی ارائه دهنده DDNS را جستجو کرده ام و نه زیر دامنه شخصی برای VPN من. سرور.

برای حل پازل ، علت این رفتار DNS Rebind Protection نامیده می شود. برای جلوگیری از حملات برگشتی DNS ، یعنی به دلایل امنیتی ، [Fritz]! Box همه قطعنامه های نام را مسدود می کند که اهدافشان در شبکه داخلی است . و این دقیقاً در مورد آدرس پویا IPv6 سرور VPN است. (اما نه با IPv4 - در آنجا ورودی DDNS به Fritz! Box اشاره می کند.)
این رفتار Fritz! Box را می توان با تنظیم یک استثناء برای محافظت از DNS در آنجا ، تحت آن قرار داد. شبکه خانگی - شبکه - تنظیمات شبکه و سپس وارد دامنه (در اینجا jsonp.dedyn.io) در انتهای استثناء نام دامنه شوید.

سپس ببینید وضوح نام به شرح زیر است:

 میزبان jsonp.dedyn.io
jsonp.dedyn.io آدرس IPv6 دارد 2001: a61: 35e9: 5701: ba27: ebff: feaa: f771 

و اکنون مشتری VPN در شبکه خانگی شما کار می کند.

خطای نصب پی و سوراخ

خطای زیر ممکن است در نصب Pi-Hole رخ دهد - حداقل این اتفاق برای من افتاده است:

 [✗] وضوح DNS در حال حاضر غیرقابل دسترسی است 

] پس از آن ، هیچ وضوح نامی در Raspberry Pi وجود ندارد. نصب Pi-Hole در این حالت حتی از طریق اینترنت نیز بسیار آزار دهنده است. من می توانم دو راه حل ممکن را ارائه دهم:

1. ترتیب نصب را تغییر دهید ، بنابراین ابتدا Pi-Hole را روی Raspberry Pi نصب کنید و فقط PiVPN را نصب کنید. سپس به صورت دستی رابط tun0 را اضافه کنید.
2. هنگام نصب Pi-Hole ، اطمینان حاصل کنید که رابط انتخاب نشده است ، اما رابط RasPi به آن وصل شده است ، یعنی eth0 یا wlan0. رابط tun0 فقط پس از نصب Pi-Hole به صورت دستی اضافه می کند. این [ رویکرد پیشنهادی من است و بنابراین نصب را نیز در مقاله پی هول توضیح داده ام ، تا حتی این خطا رخ ندهد.

سایر محصولات این دسته: