Asegure todo el Wifi con una VPN - ¡Punto de acceso !: 5 pasos

2024 Autor: John Day | [email protected]. Última modificación: 2024-01-30 08:43

A medida que más y más vidas se envían a la gran nube en el cielo que es Internet, cada vez es más difícil mantenerse seguro y privado en sus aventuras personales en Internet. Ya sea que esté accediendo a información confidencial que desea mantener en privado, tratando de eludir los límites establecidos sobre dónde o qué puede navegar en su red, o si solo desea una experiencia de navegación más segura, el consejo más común que escucho para mantenerse seguro en Internet es usar una Red Privada Virtual (o VPN para abreviar).

Las VPN ofrecen dos excelentes servicios en un solo paquete, ya que cifran todos los paquetes de información que se envían a través de ellas y crean servicios remotos que están en la misma red que la VPN local para la máquina que usa para conectarse. Si mi servidor VPN está en Alemania y me conecto a mi VPN desde una computadora portátil en Australia, ¡mi computadora portátil ahora tendrá una dirección IP de Alemania!

Sin embargo, un problema importante con los servicios VPN más populares es que muchos tipos de dispositivos se encuentran en situaciones en las que no pueden configurarse para usar un cliente VPN o no tienen un cliente VPN disponible para su uso. Así que queremos que nuestros dispositivos estén conectados a nuestra VPN, pero para estas otras máquinas que no pueden conectarse con un simple cliente VPN, queremos que estén conectadas a nuestra VPN sin ni siquiera saber que están conectadas. ¡Ingrese un punto de acceso VPN!

Paso 1: Materiales

Los materiales para este proyecto son bajos, pero todos los elementos son obligatorios.

Aparte del enrutador de su hogar (que supongo que debería tener), necesitará

- 1 Raspberry Pi (preferiblemente Raspberry Pi 3 o mejor, pero siempre que admita una conexión Ethernet, ¡debería estar bien!)

- 1 cable Ethernet

- 1 dongle wifi (a menos que esté usando una Raspberry Pi 3, en cuyo caso puede usar el wifi incorporado

- 1 fuente de alimentación de 5 V y 2 amperios para Raspberry Pi

Paso 2: Configuración del punto de acceso Wifi - Parte 1 - Dirección IP estática para Wifi

Antes de configurar la conexión VPN para nuestro punto de acceso Raspberry Pi, tenemos que configurar el Pi como un punto de acceso. Para hacer esto, usaremos los paquetes hostapd y dnsmasq para Raspberry Pi. Hostapd es un demonio de espacio de usuario para configurar puntos de acceso inalámbricos y servidores de autenticación, mientras que dnsmasq proporciona infraestructura de red (DNS, DHCP, arranque de red, etc.) para redes pequeñas y enrutadores de red pequeños.

Entonces, antes de comenzar, asegúrese de tener una imagen limpia del sistema operativo Raspbian ejecutándose en la Pi, con las últimas actualizaciones aplicadas. ¡También desea asegurarse de que su Raspberry Pi esté conectada a su enrutador a través de una conexión Ethernet de línea dura, NO wifi! Eventualmente aceptaremos solicitudes de conexión de otros dispositivos a través de nuestro módulo wifi, por lo que no querrás estar conectado a tu enrutador a través del mismo módulo. Si está usando una Raspberry Pi Zero o una adición anterior (que no tiene wifi incorporado), aún puede usar esa Raspberry Pi, solo necesita un dongle wifi USB.

Después de conectarse a su Raspberry Pi (a través de SSH o con un monitor encendido), verifique que esté actualizado

sudo apt-get update

sudo apt-get upgrade

A continuación, querrá descargar e instalar hostapd y dnsmasq

sudo apt-get install hostapd dnsmasq

Una vez instalados los paquetes, ambos programas se iniciarán automáticamente, pero queremos hacer cambios en sus configuraciones antes de ejecutarlos. Por lo tanto, nos comunicaremos con el control del sistema para detener los servicios vinculados a estos programas.

sudo systemctl detener hostapd

sudo systemctl detener dnsmasq

Con los servicios ahora detenidos, querremos asignarnos una dirección IP estática, usando el archivo de configuración dhcpcd que se encuentra en /etc/dhcpcd.conf

Sin embargo, antes de hacer eso, queremos asegurarnos de que estamos haciendo referencia a la interfaz correcta al asignar la dirección IP estática. Si usa una Raspberry Pi 3b o una Raspberry Pi Zero W, debería aparecer como wlan0. Si está utilizando un dongle wifi, normalmente encuentro que es un poco más fácil conectar el dongle wifi al enrutador, tomar una nueva dirección IP y luego verificar su conexión para encontrar su interfaz. Puede verificar su interfaz ejecutando el siguiente comando

ifconfig

Si comprueba la imagen superior adjunta a este paso, puede ver (menos las direcciones IP redactadas) las interfaces asignadas a mi Raspberry Pi. En mi caso, estoy usando wlan0, pero depende de su configuración. Como mencioné anteriormente, si usa un dongle wifi, conéctese a su red, ejecute el comando ifconfig y cualquier interfaz que aparezca que tenga una dirección IP válida y no sea "eth0" o "lo" será la interfaz que desea usar.

Ahora que sé qué interfaz es para mi adaptador wifi, puedo asignarle una dirección IP estática en el archivo de configuración dhcpcd. Abre la configuración en tu editor favorito (estoy usando nano).

sudo nano /etc/dhcpcd.conf

En la parte inferior de la configuración, queremos agregar las siguientes líneas, pero reemplace "wlan0" con la interfaz que sea:

interfaz wlan0 static ip_address = 192.168.220.nohook wpa_supplicant

Lo que hace este comando es establecer una ip estática de 192.168.220.1 y luego decirle a la interfaz wlan0 que no se vincule al controlador wpa_supplicant que generalmente se usa para que esta interfaz se conecte a otras redes. Hacemos esto para que (eventualmente) podamos transmitir nuestra propia señal a través de la interfaz wlan0, en lugar de conectarnos a una red a través de esta interfaz.

Si está utilizando nano para realizar estos cambios, guarde los cambios presionando ctrl + xy luego Y y luego ingrese para guardar el archivo y salir de nano. (tenga en cuenta que estaremos entrando y saliendo de nano bastante en este tutorial).

Finalmente, para que estos cambios surtan efecto, deberá reiniciar su Pi o simplemente reiniciar el servicio dhcpcd para volver a cargar la configuración y aplicar estos cambios.

sudo systemctl reiniciar dhcpcd

Espere un momento y luego ejecute el comando ifconfig nuevamente para verificar y ver si los cambios surtieron efecto. Lo admito, a veces he intentado esto y mi enrutador todavía tiene una concesión válida en la dirección IP que estaba usando, por lo que mantendrá la dirección anterior. Si este es el caso, vuelva a verificar todo en su configuración y reinicie el servicio dhcpcd nuevamente.

¡Nuestro adaptador wifi (debería) ahora tener una dirección IP estática!

A continuación, ¡la configuración de hostapd y dnsmasq!

Paso 3: Configuración del punto de acceso Wifi - Parte 2 - Configuración de Hostapd

Con los cambios dhcpcd.conf fuera del camino, ¡es hora de comenzar con hostapd! Comience creando un nuevo archivo hostapd.conf en su editor de texto favorito (¡una vez más en nano para mí!)

sudo nano /etc/hostapd/hostapd.conf

Cuando aparezca el archivo de configuración, copie el siguiente texto y péguelo en el archivo config.

interfaz = wlan0driver = nl80211

hw_mode = g canal = 6 ieee80211n = 1 wmm_enabled = 0 macaddr_acl = 0 ignore_broadcast_ssid = 0

auth_algs = 1 wpa = 2 wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP rsn_pairwise = CCMP

# Nombre y contraseña de la red Wifi DEBE CAMBIAR ESTO ssid = Pi-WifiFoLife # La contraseña de la red wpa_passphrase = Y0uSh0uldCh @ ng3M3

Una vez que haya pegado eso, busque la sección final en la parte inferior que tiene "ssid =" y "wpa_passphrase =". Así se llamará la red wifi que estamos configurando y cuál es la contraseña para conectarnos a la red wifi que estamos configurando. ¡ASEGÚRESE DE CAMBIAR ESTO POR ALGO MÁS! Usted ha sido advertido.

Además, si está utilizando un dongle wifi en lugar de wifi integrado, tendrá que cambiar la sección de interfaz en la parte superior de la configuración para que coincida con la interfaz de su dongle wifi. También es posible que deba cambiar el controlador, según el modelo de dongle wifi que esté utilizando. Para obtener una lista (en su mayoría completa) de dongles wifi compatibles, sus controladores correspondientes y páginas de soporte, ¡encontré esta página muy útil! También consulte la página de soporte del producto que está utilizando si se queda atascado. Recuerde, si pudo conectarse a su red anteriormente en el tutorial con su dongle wifi, significa que debería haber un controlador que funcione para el dongle en su pi en alguna parte.

Ahora que tenemos nuestro nuevo archivo de configuración, ¡debemos asegurarnos de decirle a los procesos hostapd que hagan referencia al nuevo archivo de configuración! comience con lo siguiente:

sudo nano / etc / default / hostapd

Busque la línea en el archivo que acabamos de abrir que dice # DAEMON_CONF = "" y cámbiela para que lea DAEMON_CONF = "/ etc / hostapd / hostapd.conf" (asegúrese de quitar el signo # al principio para descomentar el ¡campo!)

Hay un archivo de configuración más para hostapd que necesitamos actualizar. Ejecute el siguiente comando:

sudo nano /etc/init.d/hostapd

Este cambio es casi idéntico al anterior. Busque la sección DAEMON_CONF = y reemplácela con DAEMON_CONF = / etc / hostapd / hostapd.conf

¡Luego guarde y salga de ese archivo!

¡Hostapd ya está configurado!

Paso 4: Configuración de DNSMasq y reenvío de IP

Con hostapd ahora configurado (aunque aún no se está ejecutando), ¡ahora podemos pasar a dnsmasq!

Antes de comenzar a editar los archivos de configuración, podemos continuar y cambiar el nombre de uno de los archivos de configuración originales, ya que no vamos a utilizar nada que esté en este archivo de configuración en particular.

Hacer un comando mv rápido con un nuevo nombre de archivo debería funcionar

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.old

¡Luego crea un nuevo archivo de configuración!

sudo nano /etc/dnsmasq.conf

Sin entrar demasiado en este, simplemente copiaría lo siguiente y lo pegaría en el nuevo archivo

interface = wlan0 # Use la interfaz wlan0 (o cualquier interfaz que sea su inalámbrica) server = 1.1.1.1 # Cloudfare dhcp-range = 192.168.220.50, 192.168.220.150, 12h # Rango de IP y tiempo de arrendamiento

La línea superior de esta configuración es para la interfaz que estamos usando para transmitir nuestra señal, la línea media es para nuestro proveedor de servicios de nombres Doman, y luego la línea inferior es el rango de direcciones IP que Pi asignará a los usuarios que se conecten el Pi Wifi. Continúe y guarde este archivo y luego salga de nano (o vim, o lo que esté usando para los cambios de archivo).

A continuación, tenemos que configurar el archivo de configuración systctl.conf para reenviar todo el tráfico que llega a la interfaz inalámbrica para enrutarlo a través de la conexión Ethernet.

sudo nano /etc/sysctl.conf

Dentro de este archivo de configuración, todo lo que tiene que hacer es descomentar la línea que es # net.ipv4.ip_forward = 1 y guardar / salir de este archivo de configuración.

Ahora que hemos configurado el reenvío, queremos configurar una NAT (traducción de direcciones de red) entre la interfaz inalámbrica (wlan0) y la interfaz ethernet (eth0). Esto ayuda a reenviar todo el tráfico de la wifi a la conexión Ethernet (¡y eventualmente a la VPN!).

Agregue una nueva regla a iptable para el reenvío NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

La regla ahora está configurada, pero la iptable se vacía cada vez que se reinicia la Raspberry Pi, por lo que tenemos que guardar esta regla para que pueda (re) cargarse cada vez que se reinicia nuestra Pi.

sudo sh -c "iptables-save> /etc/iptables.ipv4.nat"

La regla ahora está guardada, pero tenemos que actualizar el archivo de configuración local rc.local de Pi para asegurarnos de que se cargue siempre.

Abra el archivo rc.local en su editor favorito

sudo nano /etc/rc.local

y busque la sección que dice salida 0

Justo encima de esa línea (¡no la elimine!), Agregue el siguiente comando que recargará la regla NAT que configuramos. Ahora debería verse así

iptables-restore </etc/iptables.ipv4.nat exit0

Guarde y salga de este archivo, ¡y ahora todas nuestras configuraciones deberían estar hechas para el punto de acceso!

¡Todo lo que tenemos que hacer es iniciar los servicios hostapd y dnsmasq, y reiniciar nuestra Raspberry Pi!

sudo service hostapd start

sudo service dnsmasq start

Prueba para asegurarte de que puedes ver tu nuevo AP. Si todo está configurado correctamente, ¡ahora debería tener un punto de acceso wifi en su Raspberry Pi! Ahora reinicia el pi

sudo reiniciar

A continuación, ¡configure una conexión OpenVPN!

Paso 5: Configuración de OpenVPN y configuración del proveedor de servicios VPN

Ahora que nuestro Pi está transmitiendo wifi, ¡es hora de configurar openvpn! Comenzaremos instalando openvpn a través de apt-get install

sudo apt-get install openvpn -y

Después de que openvpn termine de instalarse, tenemos que navegar hasta donde almacenaremos nuestras credenciales de autenticación y el archivo de configuración de openvpn.

cd / etc / openvpn

Lo primero que haremos aquí (dentro de / etc / openvpn) es configurar un archivo de texto en el que almacenaremos nuestro nombre de usuario y contraseña para el servicio VPN que estamos usando.

sudo nano auth.txt

Todo lo que necesitamos es almacenar el nombre de usuario y la contraseña en este archivo, nada más.

nombre de usuario

contraseña

Debo agregar que en este punto, debe tener una idea de quién desea usar como servicio VPN para sus conexiones. Existe un amplio debate en cuanto a qué servicio es el mejor o el más seguro, ¡así que compare precios y revise las reseñas sobre ellos también! Para los propósitos de este tutorial, estoy usando el acceso privado a Internet (PIA). ¡Son bastante baratos y son reconocidos por ser muy confiables! ¡También puede configurar su VPN para que termine en prácticamente cualquier región importante del mundo! ¿Canadá? ¿Rusia? ¿Japón? ¡No es un problema!

Si usa el acceso privado a Internet, ellos también tienen una parte útil de su sitio, donde puede armar el tipo de archivo de configuración openvpn que puede usar en esta configuración. Hay otros tipos de configuraciones de openvpn que puede usar con otros proveedores, pero decidí elegir esta.

Independientemente del proveedor de servicios que elija, necesita un archivo de conexión openvpn (debe terminar en.ovpn para el tipo de archivo) de dicho proveedor de servicios para poder conectarse. Para simplificar, cambié el nombre del mío a "connectionprofile.ovpn" antes de cargarlo en mi Raspberry Pi. Una vez que descargue el archivo.ovpn en la Pi o lo transfiera a la Pi, asegúrese de que el archivo esté en / etc / openvpn en su Pi.

Después de mover el archivo vpn abierto a la carpeta correcta, tenemos que cambiar el tipo de archivo ya que openvpn espera un archivo de configuración que termine en.conf en lugar de.ovpn. Cuando hice esto, todavía quería mantener el archivo original intacto, en caso de que sucediera algo extraño, así que solo usé un comando cp (ya que estás en / etc / openvpn, necesitarás usar permisos sudo para ejecutar este comando)

sudo cp /etc/openvpn/connectionprofile.ovpn /etc/openvpn/connectionprofile.conf

Con la configuración de perfil de openvpn creada, necesitamos hacer un cambio rápido para proporcionar nuestras credenciales, ¡así que es hora de romper nano nuevamente!

sudo nano /etc/openvpn/connectionprofile.conf

Querrá encontrar la línea auth-user-pass y reemplazarla con auth-user-pass auth.txt

Esto le dice a openvpn que tome el archivo de credenciales que usamos anteriormente para usar al autenticar el perfil que proporcionamos.

¡Guarde y salga del archivo de configuración del perfil!

Eso debería ser todo para la configuración de VPN, pero querremos probar que toda nuestra configuración se configuró correctamente antes de configurar el servicio VPN para que se inicie automáticamente. Ejecute el siguiente comando para probar la conexión VPN

sudo openvpn --config "/etc/openvpn/connectionprofile.conf"

Debería ver un montón de texto desplazándose mientras el Pi realiza intentos de conexión con el proveedor de servicios VPN (¡con suerte no hay mensajes de error!) Pero desea dejarlo hasta que vea Secuencia de inicialización completada en la ventana. Si termina viendo eso, ¡significa que su Pi está conectado a su proveedor de servicios VPN! Puede continuar y terminar el proceso presionando ctrl + c en la ventana de terminal.

Ahora que la VPN funciona, tenemos que borrar las iptables actuales. Podemos completar eso con los siguientes tres comandos

sudo iptables -Fsudo iptables -t nat -F sudo iptables -X

Sin embargo, dado que eliminamos las iptables, tenemos que restablecer la regla nat que habíamos creado anteriormente en este tutorial ejecutando el siguiente comando (¡este comando debería resultar familiar!)

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Ahora podemos guardar esta configuración sobre la configuración anterior que reunimos en el paso anterior. (¡este comando también debería resultar familiar!)

sudo sh -c "iptables-save> /etc/iptables.ipv4.nat"

Ahora que tenemos las reglas de NAT configuradas de nuevo, tenemos que cambiar la configuración predeterminada de openvpn para usar el perfil que configuramos. Hacemos esto editando el archivo de configuración en / etc / default / openvpn

sudo nano / etc / default / openvpn

Busque la línea que dice # autostart = "all", elimine el comentario de esta línea y cámbiela por el nombre de su archivo de configuración openvpn (¡menos el.conf, por supuesto!). Entonces, en mi caso, cambio la línea a autostart = " perfil de conexión"

y luego guarde y salga de este archivo de configuración.

¡Eso debería ser todo para la configuración de VPN! Simplemente reinicie el Pi y verifique que todo esté funcionando conectándose al punto de acceso y verificando su dirección IP a través de un sitio como whatismyip.com.

Con esta configuración, existe la posibilidad de que la dirección IP de su enrutador se filtre a través de una fuga de DNS. Podemos solucionar esto cambiando el DNS al que hacemos referencia en el archivo dhcpcd.conf para que apunte a un servicio DNS externo, como Cloudflare.

Abra el archivo dhcpcd.conf en su editor favorito:

sudo nano /etc/dhcpcd.conf

Busque la línea en la configuración #static domain_name_servers = 192.168.0.1, descomente la línea y cámbiela a lo siguiente: static domain_name_servers = 1.1.1.1 y guarde / salga del archivo de configuración. Reinicie el Pi una vez más, y ahora puede verificar que la dirección IP de su enrutador no se esté filtrando a través de ipleak.net.

Otra cosa a tener en cuenta es la posible filtración de la dirección IP de su enrutador a través de WebRTC. WebRTC es una plataforma que utilizan todos los navegadores modernos para estandarizar mejor las comunicaciones, incluida la mensajería instantánea, las videoconferencias y la transmisión de audio y video. Un subproducto de esta plataforma es que, si no se marca, puede filtrar la dirección IP de su enrutador si está conectado a una VPN. La forma más sencilla de evitar esto es mediante el uso de extensiones o complementos del navegador, como webrtc-fuga-prevent.

Con todo configurado en su pi ahora, si desea asegurarse de que todo su tráfico de Internet esté encriptado, puede conectarse a este punto de acceso, ¡y todo su tráfico será encriptado a través de la VPN!

Espero que hayas disfrutado de mi Instructable, ¡ahora ve seguro todo el wifi!