طبق 10 مقاله قبلی ، موضوع شبکه خصوصی مجازی (VPN) برای تلفن های هوشمند به اندازه کافی روشن و در واقع تکمیل شده است. اما همه مشغول فناوری شبکه نیستند ، بنابراین اضافه کردن بیانیه ممکن است ضرری نداشته باشد. اساساً هیچ چیز جدیدی وجود ندارد ، من فقط با برخی از مباحث شبکه از مقالات قبلی دوباره سر و کار خواهم داشت و آنها را با برخی از نمودارهای شبکه عمیق تر می کنم. در اینجا چند قانون اساسی وجود دارد ، مانند Dynamic DNS انتشار روی روتر و عملکرد تونل VPN و Pi-Hole . ممکن است یکی یا دیگری کاملاً مطمئن نباشد که دقیقاً چگونه تلفن هوشمند از طریق VPN به اینترنت وصل می شود. در اینجا چند فناوری شبکه در متن و تصویر وجود دارد.
بررسی اجمالی شبکه ها و دستگاه ها
اول ، اجازه دهید یک مرور کلی بدست آوریم . شبکه ها به رنگ سیاه کشیده شده اند که دو تصویر در آن وجود دارد ، یک بار اینترنت چپ چپ و یک خانه خصوصی LAN / WAN . اینترنت را به شبکه های دسترسی مناسب تقسیم کردم یعنی. شبکه های تأمین کننده امکان دسترسی به اینترنت را برای ما فراهم می کند. این در سمت راست شبکه خانگی است ، به طور عمده ارائه دهنده DSL یا ارائه دهنده کابل که اغلب همچنین روتر را ارائه می دهد. (حداقل) دو گزینه در طرف گوشی های هوشمند وجود دارد: ما می توانیم از طریق شبکه تلفن همراه (که اغلب بر اساس حد مجاز ماهانه پرداخت می شود) یا از طریق کانون WLAN (اغلب رایگان و غالباً رمز نشده) به اینترنت دسترسی پیدا کنیم.
Blue سپس دستگاه است که من اینجا را فقط به عنوان یک قاب ترسیم کرده ام تا بتوانید نرم افزاری را در آن قرار دهید. اینها از چپ به راست است ، یک تلفن هوشمند یک روتر اینترنت که یک شبکه خانگی داخلی را به یک ارائه دهنده اینترنت متصل می کند ، و Raspberry Pi که به یک سرور VPN تبدیل شده اند باید تمدید شود. علاوه بر این ، مطمئناً دستگاه های سیمی یا بی سیم دیگری نیز در این شبکه خانگی وجود دارد. حداقل یک کامپیوتر برای کنترل تمشک پی از طریق SSH مورد نیاز است.
Dynamic DNS
هدف از شبکه خصوصی مجازی استخراج از تلفن هوشمند ساخت یک تونل رمزگذاری شده از طریق اینترنت به شبکه خانگی . از آنجا ، ما می توانیم در اینترنت گشت و گذار کنیم و از Pi-Hole برای مقابله مؤثر با ردیابی استفاده کنیم. اما چگونه را از تلفن هوشمند به شبکه خانگی می رسانیم؟ ما به [آدرس رسمی IP] عمومی از سرور VPN [1945616] (به IPv6) به آدرس IP عمومی روتر اینترنت (برای IPv4) نیاز داریم. با هر دو مشکل کوچک که این آدرس ها (معمولاً) هر روز تغییر می کنند. آدرس عمومی در اینجا به معنای آدرس IP است که از طریق اینترنت مسیریابی می شود ، در سطح جهان بی نظیر است و از هر نقطه اینترنت قابل دسترسی است. (بر خلاف یک آدرس IP خصوصی ، که فقط در یک شبکه بسته معتبر است و می تواند در شبکه های دیگر نیز پیدا شود.)
راه حل مشکل تغییر آدرس های IP Dynamic DNS (نام دامنه سیستم) است و در آن کار می کند به این ترتیب:
در IPv4 خروجی به اینترنت همیشه فقط آدرس IP روتر اینترنت وجود دارد. آدرس دستگاه های موجود در شبکه داخلی به این آدرس ترجمه شده است (NAT NAT). البته روتر ابتدا به محض دریافت جدیدی از ارائه دهنده ، آدرس عمومی خود را می داند و می تواند این اطلاعات را منتقل کند. برای این کار ما نیاز به کار در اینترنت داریم که در آن آدرس به صورت دوره ای ارسال شود. این سرور DDNS است و ارائه دهندگان خدمات مختلف (اغلب به صورت رایگان) ارائه می دهد. شما باید در آنجا یک حساب کاربری باز کنید و یک نام دامنه ایجاد کنید. مشتری DDNS روی روتر اینترنت آدرس IP – به محض تغییر ، را به سرور DDNS ارائه می دهد. این یک فلش ارغوانی است.
مشتری VPN – این یک برنامه کاربردی تلفن هوشمند است – سپس می تواند تحت نام دامنه و سپس در هر زمان آدرس IP فعلی را از سرور DDNS (پیکان نارنجی) دریافت کنید.
در IPv6 NAT وجود ندارد – همه دستگاه ها دارای یک آدرس اینترنتی معتبر جهانی هستند که در آن فقط پیشوند به صورت دوره ای تغییر می کند این نیمه اول آدرس است. پیام به سرور DDNS اگر غالب باشد ، می تواند مانند IPv4 از طریق روتر اینترنت اتفاق بیفتد. FRITZ! باکس می تواند این کار را به عنوان مثال از طریق MyFRITZ انجام دهد! با این حال ، روش متداول تر این است که دستگاه ، در این مورد Raspberry Pi آدرس IP خود را به تنهایی به سرور DDNS گزارش می دهد.
پیکربندی تونل VPN
مشتری VPN در تلفن هوشمند اکنون آدرس IP یک روتر اینترنت یا سرور VPN را در شبکه خانگی یا هر دو می شناسد. اما از چه IP برای اتصال استفاده می کند – IPv4 یا IPv6؟ موارد متعددی وجود دارد:
- Case 1) روتر اینترنت فقط می تواند IPv6 را پشتیبانی کند : در این حالت ، مشتری VPN باید از IPv6 نیز استفاده کند. اگر شبکه دسترسی که تلفن هوشمند در آن قرار دارد (یعنی WLAN یا اینترنت موبایل) آدرس IPv6 را ارائه ندهد ، پیکربندی تونل امکان پذیر نیست . این مورد حتی در تابستان سال 2019 بعید نیست.
- Case 2) روتر اینترنت فقط می تواند از IPv4 استفاده کند: سپس مشتری VPN باید از IPv4 نیز استفاده کند. اما این مورد در عمل اتفاق نمی افتد.
- مورد 3) روتر اینترنت می تواند دو برابر کند ، بنابراین IPv4 و IPv6 : اکنون بستگی به مشتری یا اینکه چه پستی از آدرس IP ارائه شده توسط ارائه دهنده دسترسی فعلی خود دارد:
- Case 3a) تلفن هوشمند فقط IPv6 موجود است : سپس تونل مجبور خواهد شد تا از IPv6 عبور کند. این پرونده نیز بعید است.
- مورد 3b) تلفن هوشمند تنها IPv4 موجود است : سپس مشتری VPN نیز از طریق IPv4 متصل می شود.
- Case 3c) تلفن هوشمند دارای IPv4 و IPv6 موجود است : این به ما می دهد یک پشته دو طرفه و تنها در این حالت مشتری گزینه IPv4 یا IPv6 را دارد. اشغال می کند . تجربه نشان می دهد که از همان پروتکل IP که قبلاً استفاده شده بود برای یک استراحت کوتاه استفاده می شود. اما پس از جدایی کامل ، مشتری دوست دارد پروتکل را تغییر دهد. با این حال ، رفتار همیشه به برنامه مشتری مناسب بستگی دارد.
اما تونل VPN چگونه کار می کند؟
ابتکار همیشه از مشتری VPN گرفته می شود. تلفن هوشمند از . در مرحله قبل ، مشتری آدرس های IP سرور VPN را تعیین کرد و در صورت لزوم ، تصمیم گرفت که IP پشته را استفاده کند. مشتری VPN اکنون یک درخواست اتصال را به آدرس IP مشخص شده (پیکان سرگردانی) ارسال می کند. و هرگز پاسخی دریافت نمی کند . چرا این امر به این دلیل است که تمام روترهای اینترنتی به عنوان فایروال از شبکه داخلی در برابر هک شدن از اینترنت محافظت می کنند. تا زمانی که ما به طور صریح روتر اینترنت را مجاز نگذاریم کسی را به داخل شبکه خانگی اجازه دهد ، چنین نخواهد کرد. كلمه كليدي edition يا همچنين نسخه بندر است ، زيرا تنها يك درگاه ويژه (1194 با VPN) به طور مفيد از حالت قفل خارج مي شود.
مکانیسم رهاسازی کمی بین دو پشته پروتکل IP متفاوت است. در IPv6 ما به سادگی دستور می دهیم روتر اجازه دهد درخواست های آدرس جهانی جهانی سرور VPN را در بندر 1194 مجاز کند. در IPv4 کلیه آدرسهای داخلی خصوصی است ، درخواست به آدرس روتر خود می رسد و اگر به پورت مذکور 1194 اشاره شود ، آنگاه روتر باید ترجمه آدرس (NAT) تا را به آدرس داخلی برساند. IP سرور VPN . در مورد Double stack توجیه است که ترتیب هر دو سهم را به صورت موازی ترتیب دهید.
اگر سهم مناسب در روتر اینترنت پیکربندی شده باشد ، روتر درخواست را مسدود نمی کند ، بلکه را به سرور VPN (پیکان نارنجی) منتقل می کند.
در زیر تبادل داده گسترده بین سرور VPN و مشتری است. مشتری به سرور احراز هویت می کند ، سرور را بررسی می کند تا مشتری را بشناسد و هر دو یک اتصال تونل رمزگذاری شده ایجاد کنند . مشتری آدرس IP خود تونل را از سرور دریافت می کند (همیشه IPv4: 10.8.0.2 یا آدرس زیر ، جایی که خود سرور همیشه از آدرس 10.8.0.1 در تونل استفاده می کند). سرانجام ، سرور ممکن است پارامترهای پیکربندی را به مشتری ارسال کند ، مانند آدرس سرور DNS استفاده شده. بنابراین اتصال تونل (در نمودار سبز) و مشتری VPN تمام ترافیک شبکه موجود در تونل را هدایت می کند و نه مستقیماً به به اینترنت.
راه طولانی به اینترنت
این بدیهی است بدان معنی است که هرگونه ترافیک از تلفن های هوشمند به اینترنت مسیری کمی مشکل آور را طی می کند تا از طریق شبکه خانگی عبور کند و دوبار از طریق روتر اینترنت و اتصال DSL عبور کند . بیایید نگاه دقیق تری داشته باشیم:
قبل از گشت و گذار واقعی در اینترنت ، نام این قطعنامه است. مشتری VPN آدرس IP سرور مسئول DNS را در طول پیکربندی تونل از سرور دریافت کرد. این – اگر هنوز از Pi-Hole استفاده نمی کنیم – روتر اینترنت خودمان است که توسط تونل مورد خطاب قرار می گیرد و به نوبه خود با اطلاعات مربوط به سرورهای DNS در اینترنت (خط مژگان) تهیه می شود.
سپس ، هنگامی که آدرس پیشنهاد اینترنتی درخواستی شناخته می شود ، اتصال از مرورگر تلفن هوشمند از طریق سرویس دهنده VPN از طریق تونل VPN به سرور VPN و اولین تغییر مسیرها به اینترنت در سرور WWW مورد نظر . در مقابل ، صفحه به مرورگر باز می گردد.
برای وضوح ، یک کلمه کوتاه در مورد اهمیت این سرمایه گذاری. برای اولین بار به نظر می رسد بسیار پیچیده و بدون ارزش افزوده قابل مشاهده است . ارزش افزوده در حال حاضر محدود است که ترافیک اینترنت تلفن های هوشمند در WLAN محافظت نشده خارجی رمزگذاری شده و به همین دلیل مقاوم در برابر لمس کار می کند و هیچ شخص ثالثی در این ارتباط نمی تواند چرخش یابد – حتی اپراتور این نقاط مهم WLAN نیست. . در مورد اینترنت موبایل این مشابه است. مسیر شبکه خانگی به اینترنت به همان اندازه حساس است که گویی در خانه Wi-Fi خودشان از تلفن هوشمند استفاده می کردیم.
همچنین یک زوکرل کوچک نیز وجود دارد: این تلفن هوشمند نیز در راه در راه از طریق تونل همیشه شرکت کننده در شبکه خانگی است. بنابراین اگر یک سرور پرونده یا Raspberry Pi دیگری وجود دارد ، می توانیم از راه دور به این دستگاه ها دسترسی پیدا کنیم ، گویی در خانه هستیم.
تونل VPN در ترکیب با Pi-Hole
بزرگ به علاوه اما امنیت فقط با استفاده اضافی Pi-Hole روی سرور VPN حاصل می شود. زیرا Pi-Hole قادر است خدمات ردیابی (و همچنین تبلیغات) را تا سال مسدود کند. و هم در هنگام گشت و گذار در اینترنت و هم از نظر ارتباطی (مخفی) برنامه های تلفن های هوشمند در خارج.
در این مثال ، برنامه 1 می خواهد با یک تلفن هوشمند با اینترنت ارتباط برقرار کند ، تمام ارتباطات از طریق تونل – همانطور که دیده ایم – بر روی یک سرور VPN (پیکان سرگردانی) قرار می گیرد. . نرم افزار Pi-Hole اکنون روی نصب شده است و OpenVPN پیکربندی شده است به گونه ای که درخواست DNS دیگر توسط مشتری سرویس دهنده به روتر اینترنت ارسال نمی شود ، اما به جای به Pi -Hole ] (فلش های نارنجی). از این طریق ، Pi-Hole می تواند هر درخواست وضوح نام را تشخیص دهد و تصمیم بگیرد که آیا به روتر اینترنت ارسال می شود یا رد می شود . Pi-Hole ، لیست سیاه یک ابزار قدرتمند برای مسدود کردن ردیابی و تبلیغات است. ترافیک اینترنت به تنهایی – بدون DNS – از طریق Pi-Hole (پیکان سبز تیره) بدون تغییر می گذرد. با این حال ، شما نمی توانید با سرورهای ردیابی تماس بگیرید زیرا آدرس وب آنها برطرف نمی شود. Pi-Hole خود توسط یک رابط شبکه کنترل می شود که به عنوان مثال می توانید از طریق یک مرورگر به یک رایانه در یک LAN دسترسی داشته باشید. این به شما امکان می دهد لیست سیاه و لیست سفید خود را حفظ کنید.
Wireshark
جدول نهایی اکنون نشان می دهد که چگونه می توانیم از Wireshark برای ثبت ترافیک عبور از تونل استفاده کنیم.
نرم افزار Wireshark روی رایانه عادی نصب شده است و از برنامه پروب از راه دور tcpdump [194590177] برای ثبت اطلاعات در Raspberry Pi ، ] مانیتور رابط tun0 بنابراین یک رابط تونل بر روی سرور VPN. Wireshark و tcpdump از طریق SSH (پیکان زرد) ارتباط برقرار می کنند. همانطور که مشاهده می کنید ، هر دو خط سبز تیره و نارنجی مجبور شده اند از طریق tcpdump حرکت کنند ، بنابراین می توانید هر آنچه را که به شبکه می رود ، سوراخ کنید یا از آنجا برگردید ، ضبط کنید.
سایر محصولات در این گروه:
