نکات و نکات – هلموت کارگر

در این مجموعه از مقالات ما شبکه خصوصی مجازی (VPN) را ساخته ایم که به تلفن های هوشمند اجازه می دهد تا به شبکه خانگی وصل شوند. این امر باعث افزایش حفاظت از طریق رمزگذاری در WLAN های خارجی و باز می شود. به این نرم افزار Pi-Hole در سرور VPN اضافه شده است که به طور موقت خدمات ردیابی را مسدود می کند . موضوع کاملاً پیچیده است زیرا عناصر متعددی درگیر هستند و مشکلاتی که ممکن است بوجود بیاید بسیار است. به همین دلیل ، من می خواهم در این مقاله حداقل راه حل هایی برای مشکلات که در تحقیق و آزمایش های VPN برای این سری از این راه پیدا کردم ، ارائه دهم.

اگر در سال 1194 در WLAN مسدود شده است ، پورت های دیگر [19659006] بیایید نگاهی به مکان ارائه دهنده WLAN که می خواهد یک کانون WiFi عمومی تنظیم کند ، – برای مثال برای رستوران خودش. ما می توانیم این کار را به عنوان امنیت انجام دهیم ، دقیقاً مانند Wi-Fi در خانه شما: از طریق اینترنت هیچ کس در WLAN مجاز نیست ، بلکه از طریق شبکه Wi-Fi همه و همه چیز در اینترنت است. یا در عوض ، مسیر محدودکننده را انتخاب می کنیم ، ابتدا همه چیز را محکم می کنیم و فقط چند سرویس (به شکل پورت های IP) که برای گشت و گذار در اینترنت مورد نیاز هستند را آزاد می کنیم. بنابراین می توانیم سعی کنیم از به اشتراک گذاری پرونده یا سایر خدمات ناخواسته جلوگیری کنیم.

اکنون ما خودمان هستیم که می خواهیم یک تونل VPN از یک WLAN خارجی به شبکه خانگی خود بسازیم. سناریوی مقدماتی فقط باید توضیح دهد كه بندر OpenVPN 1194 ما در واقع در هیچ وای فای رایگان منتشر نمی شود. اگر اپراتور رویکرد محدودکننده ای را انتخاب کرده است ، می توانیم به راحتی در اینترنت خود در WLAN (پورت های TCP 80 و 443) گشت و گذار کنیم ، اما تونل VPN از طریق پورت 1194 هنوز هم شکست خواهد خورد.

1194 شماره پورت را برای خدمات ثبت نام کرد OpenVPN که به معنای نیست که ما در واقع نیاز به استفاده از 1194 داریم. در هنگام نصب PiVPN می توانیم پورت دیگری را نیز مشخص کنیم و سپس می توانیم تغییر دهیم. شماره پورت در پرونده های پیکربندی.

اما از کدام بندر به جای 1194 باید استفاده شود؟ البته ، یکی که در WLAN نیز منتشر می شود – ما احمقانه نمی دانیم از پیکربندی شبکه های خارجی استفاده کنیم و باید کمی تلاش کنیم. ممکن است در مورد استفاده از درگاه 80 یا 443 فکر کنید. این ممکن است کار نکند. زیرا پورت های 80 (http) و 443 (https) برای TCP تنظیم شده اند اما تونل ما روی UDP کار می کند. بنابراین می تواند به این نتیجه برسد که معمولاً [پورتهایشناختهشده را می توانید برای UDP در اینترنت باز کنید . در اینجا چند پیشنهاد وجود دارد:

• 53 DNS (قطعنامه نام)؛ با این وجود ، اگر Pi-Hole را روی سرور VPN نصب کنیم ، کار نمی کند ، زیرا Pi-Pole تنها بندر 53 را ادعا می کند.
• 123 NTP (پروتکل زمان شبکه). ارزش دارد امتحان کنید
• 194 IRC (دفتر خاطرات گپ)
• 220 IMAP (alias Mail)
• 853 DNS از طریق TLS
• 995 Pop3S (نامه رمزگذاری شده) تا 1965 آنچه واقعاً مؤثر است واقعاً باید محاکمه شود – و البته شما فقط در صورتی می خواهید که بیشتر از یک شبک special ویژه استفاده کنید و تلاش برای آن ارزش دارد. آزمایش را از درگاه های 123 یا 220 شروع خواهم کرد – بدون ضمانت موفقیت. در اینجا دستورات تغییر سرور و پیکربندی مشتری بعدا آورده شده است:

  سرور: sudo nano /etc/openvpn/server.confociation19659025rouletteClient: nano ovpns / MyName.ovpn MyName البته باید ذکر شود.

  در هر دو پرونده شماره پورت 1194 را با مقدار دلخواه جایگزین می کنیم. البته پرونده مشتری باید در برنامه VPN و Raspberry Pi دوباره وارد شود .

  آیا IPv4 یا IPv6 دارم یا هر دو؟

  من در حال حاضر یک مقاله جداگانه به این سوال کلی اختصاص داده ام. IPv4 ، IPv6 یا هر دو چیست؟ چگونه به طور خاص یاد بگیریم؟

  تحت ویندوز

  تحت ویندوز یک پنجره DOS (خط فرمان) از دریافت می کنیم] Run - cmd و Enter را وارد کنید و دستور زیر را وارد کنید:

    ipconfig
  
  پیکربندی IP Windows
  
  اتصال LAN آداپتور اترنت:
  
  پسوند DNS خاص اتصال: fritz.box
  آدرس IPv6. ،،،،،،،،،،،،،، 2001: a61: 359d: 5e01: 759b: 36fa: 1d2f: 6e3
  آدرس IPv6. ،،،،،،،،،،،،، fd00 :: 759b: 36fa: 1d2f: 6e3
  آدرس IPv6 موقتی. ،،،،،،: 2001: a61: 359d: 5e01: d5e8: f0bd: 47ef: edae
  آدرس IPv6 موقتی. ،،،،،،: fd00 :: d5e8: f0bd: 47ef: edae
  آدرس IPv6 محلی-پیوندی. : fe80 :: 759b: 36fa: 1d2f: 6e3٪ 10
  آدرس IPv4 ،،،،،،،،،،،: 192.168.0.202
  ماسک زیر شبکه ،،،،،،،،،،،: 255.255.255.0
  دروازه استاندارد ،،،،،،،،،،: fe80 :: 2665: 11ff: fea5: 45f6٪ 10
  192.168.0.1 

  همانطور که می بینید ، این رایانه ویندوز دارای IPv4 و IPv6 است.

  تحت لینوکس

  در لینوکس مشابه است ، با این تفاوت که این فرمان ipconfig نیست بلکه ifconfig :

    ifconfig
  wlan0: flags = 4163  mtu 1500
  ماسک شبکه inet 192.168.0.167 انتقال 255.255.255.0 انتقال 192.168.0.255
  inet6 fe80 :: ba27: ebff: feaa: f771 پیشوندهای 64 دامنه 0x20 
  inet6 2001: a61: 35f4: d701: ba27: ebff: feaa: f771 prefixlen 64 rangeid 0x0 
  inet6 fd00 :: ba27: ebff: feaa: f771 prefixlen 64 rangeid 0x0 
  اتر b8: 27: eb: aa: f7: 71 txqueuelen 1000 (اترنت)
  بسته RX 588928 بایت 387092545 (369.1 MiB)
  خطاهای RX 0 از 0 فریم 0 فراتر رفت
  بسته های TX 503 870 بایت 385487260 (367.6 MiB)
  خطاهای TX 0 پاک شد 0 از 0 حامل 0 برخورد 0 

  داده خروجی به رابط مناسب wlan0 کوتاه شده است. این Raspberry Pi همچنین دارای IPv4 و IPv6 است.

  در این مورد و مورد قبلی مشخص است که شبکه داخلی همچنین قادر به پشتیبانی از IPv6 است. سپس به قسمت بیرونی روتر نگاه می کنیم.

  روی روتر

  

  این یک تصویر است فریتز! جعبه با روترهای دیگر یا رمزگشای کابل شبیه به نظر می رسد. در این مثال ، یک ارتباط دو مرحله ای با یک آدرس IPv4 و IPv6 که توسط ارائه دهنده اختصاص داده شده است.

  

  در تلفن هوشمند

  همچنین در راه ما می توانیم مشخص کنیم که آدرس های IP در یک تلفن هوشمند . در اینجا شبیه به رایانه های شخصی است. دستگاههای مدرن می توانند همیشه IPv4 و IPv6 . با داشتن تلفن هوشمند ، جالب است ، چه از طریق شبکه دسترسی ، یعنی WLAN یا داده های تلفن همراه ، IPv6 نیز ارائه می شود. در این حالت - یک آدرس IPv4 و سه آدرس IPv6 وجود دارد. برای Android (v8) ، این اطلاعات را می توان در تنظیمات - درباره تلفن - وضعیت و سپس در آدرس IP یافت.

  اطلاعات در مورد اینترنت

  همچنین گزینه ای برای استفاده از Browser برای دریافت اطلاعات در مورد آدرس های IP خود وجود دارد. به عنوان مثال ، توسط http://www.wieistmeineip.de/ipv6-test. با این حال ، توجه داشته باشید که آدرس IPv4 آدرس روتر اینترنت والدین است و آدرس IPv6 متعلق به دستگاه انتهایی است.

  

  آدرس IPv4 روی روتر وجود ندارد - حالا چه؟

  مشتریان با استفاده از ارائه دهنده اینترنت فقط از تحویل داده می شوند] DS-Lite در واقع مشکلی با VPN در شبکه خانگی دارد. DS-Lite به این معنی است که روتر اینترنت فقط از طریق ارائه دهنده از IPv6 تهیه می شود و آدرس IPv4 عمومی را دریافت نمی کند .

  در این حالت ، تنظیمات تونل تنها در صورتی امکان پذیر است که تلفن هوشمند نیز بیش از IPv6 باشد . این اتفاق در تابستان سال 2019 رخ می دهد. فقط در شبکه موبایل Telekom (D1). Vodafone (D2) و Telefonica (o2 / e-plus) هنوز IPv6 را ارائه نمی دهند. نقاط مهم Wi-Fi معمولاً فقط IPv4 ، و بندرت IPv6 را ارائه می دهند.

  برای تعمیر ، اینترنت اغلب پیشنهاد می دهد از Portmapper از IPv4 تا IPv6 استفاده کنید. این برای افرادی که یک سرور root (مجازی) از طریق اینترنت کار می کنند جالب است و می توانند آن را با نرم افزار مناسب بازی کنند. در غیر این صورت ، زیرا این درگاه ساز باید در اینترنت باشد ، تنها گزینه استفاده از یک سرویس تجاری است. تعداد آنها كم است ، اما هزينه دارند و خدمات خود را فقط براي TCP و نه براي UDP ارائه مي دهند. سرور OpenVPN و مشتری باید علاوه بر این به TCP (که توسط من تست نشده است) تبدیل شوند.

  گزینه دوم سفارش خود را به ارائه دهنده اینترنت سفارش دهید تا علاوه بر IPv6 آدرس IPv4 را نیز در اختیار داشته باشید تا چنین پشته ای کامل را تهیه کنید. در گذشته ، این اغلب با مذاکرات خوب با تهیه کننده رایگان بود ، اما امروزه فروشندگان بطور فزاینده گزینه IPv4 را به عنوان هزینه اضافی برای چند یورو در ماه اضافی می فروشند. برای کسانی که به دلایل امنیتی به تونل VPN احتیاج ندارند ، بلکه ممکن است نیاز به دسترسی به شبکه خانگی را در دسترس داشته باشند ، می تواند یک سرمایه گذاری سودآور باشد.

  IPv6 WLAN سعی کنید تونل دو مرحله ای

  را که از لحاظ فنی علاقه مند است و دوست دارد تونل دو پله (IPv4 و IPv6) را امتحان کند ، اما مشتری تلفن همراه نیست ، توصیه می کنم به دنبال دسترسی Freifunk WLAN برای تلفن هوشمند خود Freifunk München مطمئناً Dual Stack IP را در نقاط مهم WLAN و سایر گروه های رادیویی ارائه می دهد. دسترسی - همانطور که از نام آن پیداست - رایگان و بدون رمزگذاری است.

  نام دامنه داخلی (روی Fritz! Box)

  در شبکه خانگی شما به یک دستگاه دیگر به نام عادت کرده ایم تا بتوانیم از آن مراقبت کنیم. به عنوان مثال ، نام استاندارد Raspberry Pi raspberrypi . همچنین می تواند به خوبی از طریق تونل VPN کار کند - به خصوص اگر درست پیکربندی کنیم Pi-Hole که روی سرور VPN نصب شده است. همچنین ممکن است اگر مشتری ، تلفن هوشمند نتواند نام دامنه شبکه خانگی را تشخیص دهد ، شکست بخورد.

  چگونه برخی می گویند ، شبکه خانگی من نام دامنه خاص خود را دارد ؟ هرگز آن را بخشیده یا پیکربندی نکرده اید؟ بیایید سعی کنیم وضوح معکوس نام را در رایانه در یک شبکه خانگی شروع کنیم (لینوکس ، همچنین Raspberry Pi یا Windows):

    nslookup 192.168.0.166
  سرور: 127.0.0.1
  آدرس: 127.0.0.1 # 53
  
  166.0.168.192.in-addr.arpa name = raspberrypi.fritz.box. 

  ما به nslookup یک آدرس IP معتبر موجود را به عنوان یک پارامتر می دهیم به این امید که نام دستگاه همراه را بدست آورید. و در واقع در مثال raspberrypi.fritz.box را می خواند. جایی که fritz.box نام دامنه است که نشان دهنده منشاء آن نیز است. FRITZ! Box این نام دامنه را اختصاص می دهد و سایر روترهای اینترنتی نیز همین کار را انجام می دهند.

  بنابراین اگر اکنون تشخیص نام از تلفن های هوشمند از طریق تونل VPN به شبکه خانگی با نام رایانه raspberrypi خراب شود ، پس از آن نوک من ، فقط با raspberrypi.fritz.box را امتحان کنید. یا با نام دامنه مناسب در روتر دیگری.

  تونل IPv6 در شبکه Wi-Fi شما کار نمی کند

  ما با موفقیت تونل VPN را بر اساس IPv6 راه اندازی کرده ایم و در شبکه های خارجی نیز خوب کار می کند ، به عنوان مثال ، اگر تلفن هوشمند شما در یک WLAN بی سیم است یا به دست می آید. IPv6 از طریق یک اپراتور تلفن همراه. فقط در صورتی که مشتری VPN در شبکه خانگی خود باشد یعنی. در همان شبکه ای که سرور VPN در آن قرار دارد ، پس تونل قابل نصب نیست. ما می توانیم با بررسی نام دامنه عمومی از سرور VPN در رایانه لینوکس در شبکه خانگی (اما نه روی سرور VPN) این پرونده خطا را با جزئیات بیشتری بررسی کنیم. در این مثال ، jsonp.dedyn.io است.

    میزبان jsonp.dedyn.io
  ؛؛ اتصال به پایان رسید نتوانست به سرورها برسد 

  به نظر می رسد چیزی اشتباه است زیرا نام برطرف نشده است . بیایید موارد زیر را امتحان کنیم:

    میزبان dedyn.io
  dedyn.io آدرس 88.99.64.5 را دارد
  dedyn.io دارای آدرس IPv6 2a01: 4f8: 10a: 1044: deec: 642: ac10: 80
  نامه dedyn.io توسط 10 mail.a4a.de اداره می شود. 

  این به طرز عجیبی کار می کند ، اگرچه من فقط درباره حوزه اصلی ارائه دهنده DDNS سؤال کردم ، نه زیر دامنه شخصی برای سرور VPN من.

  برای حل پازل ، دلیل این رفتار محافظت در برابر DNS reindustrial است. برای جلوگیری از [حملات به بازپس گیری DNS یعنی به دلایل امنیتی ، [Fritz]! جعبه تمام قطعنامه های نام را که اهداف آنها در شبکه داخلی است مسدود می کند. این مورد با آدرس IPv6 پویا سرور VPN است. (اما نه در مورد IPv4 - در آنجا ورودی های DDNS به Fritz! Box اشاره می کند.)
  این Fritz است! جعبه را می توان با ایجاد یک استثناء برای محافظت در برابر برگشت مجدد DNS تحت شبکه خانگی - شبکه - تنظیمات شبکه و سپس وارد دامنه (اینجا jsonp.dedyn.io) در پایین استثنائات برای نام دامنه ].

  

  سپس نگاه کنید به وضوح نام به شرح زیر است:

    میزبان jsonp.dedyn.io
  jsonp.dedyn.io دارای آدرس IPv6 2001: a61: 35e9: 5701: ba27: ebff: feaa: f771 

  و اکنون مشتری VPN در شبکه خانگی شما کار می کند.

  خطای نصب Pi-Hole

  ممکن است خطای زیر در نصب Pi-Hole رخ دهد - حداقل برای من اتفاق افتاده است:

    [✗] وضوح DNS در حال حاضر موجود نیست 

  در حال حاضر هیچ رزولوشن نامی در Raspberry Pi موجود نیست. نصب Pi-Hole در این حالت حتی از طریق اینترنت نیز بسیار آزار دهنده است. من می توانم دو راه حل ممکن را ارائه دهم:

  1. تغییر سفارش بنابراین ابتدا Pi-Hole را روی Raspberry Pi نصب کنید ، و سپس PiVPN را نصب کنید. سپس به صورت دستی رابط tun0 را اضافه کنید.
  2. هنگام نصب Pi-Hole ، اطمینان حاصل کنید که رابط انتخاب نشده است بلکه رابط کاربری RasPi ، یعنی Eth0 یا wlan0 است. رابط tun0 فقط پس از نصب Pi-Hole به صورت دستی اضافه می شود. این رویکرد پیشنهادی من است بنابراین نصب را در مقاله ای درباره Pi-Hole توضیح دادم تا حتی خطایی روی ندهد.

  سایر محصولات در این گروه: