Raspberry Pi VPN – قسمت 11: نمودارهای شبکه – هلموت کارگر
با توجه به 10 مقاله قبلی ، موضوع شبکه خصوصی مجازی (VPN) برای تلفن های هوشمند به اندازه کافی روشن و در واقع تکمیل شده است. اما همه مشغول فناوری شبکه نیستند ، بنابراین شاید نتواند صدمه ای به افزودن بیانیه بدهد. در اینجا هیچ چیز اساساً جدیدی نیست ، من فقط دوباره به برخی از موضوعات شبکه از مقالات قبلی می پردازم و با برخی از نمودارهای شبکه عمیق تر می شوم. اینها چند اصل اساسی است ، مانند Dynamic DNS ، انتشار در روتر ، و بهره برداری از یک تونل VPN و Pi-Hole . ممکن است یکی یا دیگری کاملاً مطمئن نباشد که دقیقاً چگونه تلفن هوشمند از طریق VPN به اینترنت وصل می شود. بنابراین ، در اینجا برخی از فناوری شبکه در متن و تصویر وجود دارد.
بررسی اجمالی شبکه ها و دستگاه ها
اجازه دهید ابتدا یک [ یک مرور کلی را بدست آوریم. به رنگ مشکی شبکه های هستند که از این تعداد دو عکس وجود دارد ، یک بار اینترنت وسط چپ و خانه خصوصی LAN / WAN . من اینترنت را به شبکه های دسترسی یعنی شبکه های ارائه دهندگان تقسیم کرده ام که به ما امکان دسترسی به اینترنت را می دهند. این در سمت راست شبکه خانگی است که اکثراً ارائه دهنده DSL یا ارائه دهنده شبکه کابل است که اغلب روتر را نیز ارائه می دهد. (حداقل) دو مورد در طرف گوشی های هوشمند وجود دارد: ما می توانیم از طریق شبکه تلفن همراه به اینترنت دسترسی داشته باشیم (اغلب براساس سهمیه ماهانه پرداخت شده) ، یا از طریق کانون WLAN (اغلب رایگان و
Blue دستگاه های هستند که من اینجا فقط به عنوان یک قاب ترسیم کرده ام تا بتواند نرم افزار را در آن قرار دهد. اینها از چپ به راست ، تلفن Smartphone ، روتر اینترنت است که شبکه خانگی داخلی را به ارائه دهنده اینترنت متصل می کند ، و Raspberry Pi ، که یکی شد سرور VPN باید گسترش یابد. علاوه بر این ، مطمئناً دستگاه های سیمی یا بی سیم دیگری نیز در این شبکه خانگی وجود دارد. حداقل یک [PC PC برای کنترل Raspberry Pi از طریق SSH مورد نیاز است.
Dynamic DNS
هدف از یک شبکه خصوصی مجازی استخراج از تلفن هوشمند ساخت یک تونل رمزگذاری شده از طریق اینترنت به شبکه خانگی . از آنجا می توانیم در اینترنت گشت و گذار کنیم و از Pi-Hole برای مقابله مؤثر با ردیابی استفاده کنیم. اما چگونه را چگونه از تلفن هوشمند به شبکه خانگی دریافت می کنیم؟ ما به آدرس IP عمومی از [سرور VPN] [V19] [در1945616] (در IPv6) نیاز داریم. آدرس IP عمومی [روتراینترنت ما (برای IPv4). هر دو با شیک کوچک که این آدرس ها (معمولاً) هر روز تغییر می کنند. آدرس عمومی به این معنی است که یک آدرس IP که در اینترنت هدایت می شود ، در سطح جهان بی نظیر است و از هر نقطه اینترنت قابل دسترسی است. (بر خلاف یک آدرس IP خصوصی ، که فقط در یک شبکه بسته معتبر است و می تواند در شبکه های دیگر نیز یافت شود.)
راه حل مشکل تغییر آدرس های IP Dynamic DNS (نام دامنه سیستم) و مانند این عمل می کند:
در IPv4 ، خروجی به اینترنت ، همیشه فقط آدرس IP روتر اینترنت وجود دارد. آدرس دستگاه های شبکه داخلی به این آدرس ترجمه می شود (آدرس آدرس شبکه NAT). به طور طبیعی ، روتر ابتدا آدرس عمومی خود را می شناسد ، به محض اینکه آدرس جدیدی را از ارائه دهنده دریافت می کند و می تواند این اطلاعات را منتقل کند. برای این کار ما نیاز به شغلی در اینترنت داریم که آدرس آن بصورت دوره ای قابل ارائه باشد. این یک سرور DDNS است و انواع ارائه دهنده خدمات (اغلب به صورت رایگان) را ارائه می دهد. شما باید در آنجا یک حساب کاربری باز کنید و یک نام دامنه ایجاد کنید. مشتری DDNS در روتر اینترنت آدرس IP – به محض تغییر ، را به سرور DDNS تحویل می دهد. این پیکان مگنتا است.
VPN Client – این یک برنامه در تلفن هوشمند است – سپس می تواند تحت نام دامنه سپس در هر زمان ، ] آدرس IP فعلی را از سرور DDNS (پیکان نارنجی) دریافت کنید.
در IPv6 NAT وجود ندارد – همه دستگاه ها نیز دارای جهانی هستند. آدرس اینترنتی معتبر ، که در آن به طور دوره ای فقط پیشوند تغییر می کند ، این نیمه اول آدرس است. در صورت حاکم شدن پیام به سرور DDNS ممکن است مانند IPv4 از طریق روتر اینترنت اتفاق بیفتد. یک جعبه Fritz! می تواند این کار را انجام دهد ، برای مثال ، از طریق MyFRITZ !. با این حال ، روش رایج تر این است که دستگاه ، در این حالت ، Raspberry Pi ، آدرس IP خود خود را به سرور DDNS گزارش می دهد.
ابتکار همیشه از مشتری VPN است ، یعنی تلفن هوشمند از . در مرحله قبل ، مشتری آدرس IP (های) سرور VPN را تعیین کرده و در صورت لزوم ، تصمیم گرفته است که IP پشته را برای استفاده قرار دهد. مشتری VPN اکنون درخواست اتصال را به آدرس IP تعیین شده (پیکان سرگردانی) ارسال می کند. و او هرگز پاسخی نخواهد گرفت . چرا؟ زیرا همه روترهای اینترنتی به عنوان فایروال از شبکه داخلی در برابر نفوذ اینترنت محافظت می کنند. تا زمانی که ما به طور صریح روتر اینترنت را به او واگذار نکنیم که شخصی را از خارج به شبکه خانگی اجازه دهد ، او نیز چنین کاری نخواهد کرد. كلمه كليدي انتشار يا همچنين انتشار پورت است ، زيرا تنها يك درگاه ويژه (1194 با VPN) بطور كامل باز است.
مكانيسم انتشار بين دو پشته پروتكل IP تفاوت دارد. در IPv6 ، ما به سادگی به روتر دستور می دهیم درخواست های مربوط به آدرس جهانی سرور VPN VPN را برای پورت 1194 ارائه دهد. در IPv4 تمام آدرسهای داخلی خصوصی هستند ، در اینجا درخواست به آدرس روتر خود آمده است و اگر این مربوط به پورت مذکور 1194 باشد ، روتر باید ترجمه آدرس (NAT) را روی آن داشته باشد. آدرس IP داخلی سرور VPN . برای Dual Stack ، منطقی است که هر دو را هر دو سهم را به صورت موازی تنظیم کنید.
اگر یک سهم مربوطه در روتر اینترنت پیکربندی شده باشد ، سپس روتر درخواست را مسدود نکنید ، اما را به سرور VPN (فلش نارنجی) منتقل کنید.
آنچه در زیر می آید تبادل گسترده داده ها بین بین سرور VPN و مشتری است. مشتری خود را به سرور احراز هویت ، سرور چک اگر مشتری را می شناسد و هر دو اتصال تونل رمزگذاری شده را چک می کند. مشتری آدرس IP تونل خود را از سرور دریافت می کند (همیشه IPv4: 10.8.0.2 یا یک آدرس زیر ، به موجب آن خود سرور همیشه از آدرس 10.8.0.1 در تونل استفاده می کند). سرانجام ، سرور می تواند برخی از پارامترهای پیکربندی مانند آدرس سرور DNS را برای استفاده از مشتری ارسال کند. بنابراین ، اتصال تونل (در نمودار سبز) و مشتری VPN در هرگونه ترافیک شبکه در تونل را هدایت می کند و دیگر به طور مستقیم به اینترنت نمی رسد.
جاده طولانی به اینترنت
که البته که هرگونه ترافیک از تلفن هوشمند به اینترنت مسیری کاملاً دست و پا گیر را طی می کند تا به شبکه داخلی برگردد و دو بار از روتر اینترنت و اتصال DSL عبور کند. بیایید نگاه دقیق تری داشته باشیم:
پیش از گشت و گذار واقعی در اینترنت ، قطعنامه نام مخفف است. مشتری VPN آدرس IP سرور مسئول DNS را هنگام تنظیم تونل از سرور دریافت کرد. این – تا زمانی که ما هنوز از Pi-Hole استفاده نمی کنیم – روتر اینترنت خودمان است که از طریق تونل به آن پرداخته می شود و به نوبه خود با اطلاعاتی در مورد سرورهای DNS در اینترنت (خط مژگان) تهیه می شود.
سپس ، هنگامی که آدرس پیشنهاد وب مورد نظر مشخص شد ، اتصال از مرورگر تلفن هوشمند از طریق مرورگر VPN ، از طریق VPN تونل تا سرور VPN و برای اولین بار را به اینترنت به سرور وب مورد نظر تغییر مسیر داد. و برعکس ، صفحه وب به مرورگر باز می گردد.
برای وضوح ، یک کلمه کوتاه در مورد معنی این تلاش. برای اولین بار به نظر می رسد بسیار پیچیده و بدون ارزش افزوده قابل مشاهده است . ارزش افزوده در حال حاضر محدود است که در واقع فقط این امکان وجود دارد که ترافیک اینترنت تلفن هوشمند در WLAN محافظت نشده خارجی رمزگذاری شده و به این ترتیب شیر ضد آب اجرا شود و هیچ شخص ثالثی در این ارتباط قادر به چرخش نیست – حتی اپراتور این نقاط مهم WLAN نیز نیست. و در اینترنت تلفن همراه ، این مشابه است. راه از شبکه داخلی به اینترنت به همان اندازه آسیب پذیر است ، گویی که ما از تلفن هوشمند در خانه Wi-Fi خود استفاده می کردیم.
همچنین یک زوکرل کوچک نیز وجود دارد: این تلفن هوشمند نیز در راه توسط تونل همیشه شرکت کنندگان در شبکه خانگی . بنابراین ، اگر سرور فایل یا Raspberry Pi دیگری وجود داشته باشد ، می توانیم از راه دور به آن وسیله دسترسی پیدا کنیم که گویی در خانه بودیم.
تونل VPN در ترکیب با Pi-Hole
بزرگ به علاوه اما امنیت فقط با استفاده بیشتر از از Pi-Hole روی سرور VPN صورت می گیرد. زیرا Pi-Hole قادر است خدمات ردیابی (و همچنین تبلیغات) را به مسدود کند. و این هم در هنگام گشت و گذار در اینترنت و هم از نظر ارتباط (پنهانی) برنامه های تلفن های هوشمند در خارج.
به عنوان مثال ، برنامه App 1 می خواهد با تلفن هوشمند با اینترنت ارتباط برقرار کند. ، تمام ارتباطات از طریق تونل عبور می کند – همانطور که قبلاً دیدیم – روی سرور VPN (پیکان سرگردانی) فرود می آید. نرم افزار Pi-Hole اکنون بر روی نصب شده است و OpenVPN پیکربندی شده است به گونه ای که درخواست DNS دیگر توسط مشتری سرویس دهنده به روتر اینترنت منتقل نمی شود ، اما در عوض به Pi -چاله (فلش های نارنجی). بنابراین ، Pi-Hole می تواند هرگونه درخواست برای حل نام را تشخیص دهد و تصمیم بگیرد که آیا به روتر اینترنت فرستاده شود یا سرکوب . با داشتن لیست سیاه ، Pi-Hole ابزاری قدرتمند برای مسدود کردن ردیابی و تبلیغات است. ترافیک اینترنت خود – بدون DNS – از پشت Pi-Hole بدون تغییر (پیکان سبز تیره) عبور می کند. اما با سرورهای ردیابی نمی توان تماس گرفت زیرا آدرس اینترنتی آنها برطرف نشده است. Pi-Hole خود توسط یک رابط وب کنترل می شود ، که به عنوان مثال می توان از طریق یک مرورگر به رایانه شخصی در LAN دسترسی داشت. این به شما امکان می دهد لیست سیاه و لیست سفید خود را حفظ کنید.
Wireshark
نمودار نهایی اکنون نشان می دهد که چگونه می توانیم از Wireshark برای ثبت ترافیک عبور از تونل استفاده کنیم.
نرم افزار Wireshark بر روی رایانه معمولی نصب شده است و از یک برنامه پروب از راه دور tcpdump برای ورود به سیستم در Raspberry Pi استفاده می کند. ، رابط monitort رابط tun0 ، بنابراین رابط تونل در سرور VPN است. Wireshark و tcpdump از طریق SSH (پیکان زرد) ارتباط برقرار می کنند. همانطور که مشاهده می کنید ، هر دو خط سبز تیره و نارنجی مجبور به فرار از tcpdump هستند ، به این معنی که آنها می توانند همه چیز را که درون شبکه یا پی سوراخ می رود ضبط کنند ، یا از آنجا برمی گردند.
سایر محصولات این گروه:
