ISP によるデータの閲覧を防ぎ、ASIC を隔離し、許可なくビットコインをマイニングできるホーム ネットワークを構築する方法。
pfSense ファイアウォールを使用して安全なホーム ネットワークを構築するためのプライバシーに重点を置いたガイド。家族の WiFi Web ブラウジングをビットコイン マイニング トラフィックから分離するための専用ホーム ネットワークを設定する方法を説明します。 WireGuard を使用して VPN を設定する方法。 そして、待ち時間が長いときにトンネル間を切り替える自動負荷分散機能を備えた Mullvad VPN トンネル経由ですべてのインターネット トラフィックを送信する方法。 ファイアウォール レベルで広告ブロッカーを設定する方法も説明します。
すべてのビットコインのホームマイナーはホームネットワークを必要とします。 マイニングのための安全なプライベート ネットワークを構築することは、許可のない操作を維持するために不可欠な部分です。 このガイドに従うことで、次の利点などを備えた堅牢でカスタマイズ可能なホーム マイニング ネットワークを構築する方法がわかります。
- インターネット トラフィックを保護および暗号化する仮想プライベート ネットワーク (VPN) トンネリング
- インターネット サービス プロバイダー (ISP) の覗き見からプライバシーを強化
- マイニングプールからの IP アドレスログの潜在的なリスクの軽減
- pfSense ファイアウォールの構成
- ASIC をゲスト WiFi ネットワークなどから分離するための隔離されたホーム ネットワークの作成。
- メッシュ WiFi ネットワーク アクセス ポイントのセットアップ
- ファイアウォール レベルでの広告ブロッカーの構成。
このガイドでは、次のような無料のオープンソース ソフトウェアがいくつか紹介されています。 pfSense & ワイヤガード、および次のような有料のオープンソース ソフトウェアも含まれます。 Mullvad VPN.
この仕事に取り組むことは、妻と私が都会の家を売って田舎に移住することを決めたときに始まりました。 新しいマイニング インフラストラクチャをゼロからセットアップするというビジョンがあり、この機会を利用して、ずっと望んでいた究極のホーム ネットワークを構築したいと考えていました。ISP が私のデータとその送信先を閲覧できないようにするホーム ネットワークです。私の ASIC は、他のネットワークに接続されたデバイス、つまり私を常に追跡して広告主に閲覧情報を販売していなかったホーム ネットワークから隔離されていました。
このときから、あるものを詳しく観察し始めました。 ブログ投稿 からの主題について k3たん。 k3tan は、pfSense の記事の中で、私が自分で構築したいホーム ネットワークの属性の多くを説明し、本気でやれば自分でもできると思わせるいくつかの追加リソースを示しました。
これに取り組むまではネットワーキングの経験がありませんでした。手順はたくさんありますが、無料のオープンソース ツールを使用するのは非常に簡単で、プライバシーの保護において飛躍的な進歩を遂げることができます。
k3tan に連絡を取ったところ、彼らは私の努力をサポートし、私が遭遇したいくつかの障害を乗り越えるのを手伝ってくれました。これには本当に感謝しており、k3tan に感謝の意を表したいと思います。
このガイドのために私はホーム ネットワークの構築に 360 ドルを費やしました。 ネットワーク カードが 160 ドル、メッシュ Wi-Fi キットが 200 ドルです (正直、これは 40 ドルのルーターでもできたかもしれませんが、YOLO!)。
注意すべきいくつかの制限事項: 私はこのガイドを読むまで、文字通りネットワーキングの経験がまったくありませんでした。 予期せぬ間違いを犯した可能性が非常に高いです。 これをガイドとして使用するだけでなく、独自の調査とデューデリジェンスを独自のホーム ネットワーク設定に組み込むことを強くお勧めします。 VPN はプライバシーを保護する優れたツールですが、特効薬ではありません。 データを漏洩してプライバシーを損なう可能性のある方法は他にもいくつかあります。 幸いなことに、プライバシーを重視した優れたベスト プラクティスを開発するための措置を簡単に開始できるということです。
読むことをお勧めします この ムルバッドからのガイドを聞きながら この からのポッドキャスト プライバシーのためのセス、およびから追加のリソースをチェックアウトします。 テクロレ.
早速、家族を満足させ、ASIC を安全かつプライベートに保つ方法でホーム マイニング ネットワークをセットアップしましょう。
古いデスクトップ コンピューターからの pfSense ファイアウォールの構築
以下の 10 のステップでは、古いデスクトップ コンピューターを使用して pfSense ファイアウォールを構築する方法と、ホーム ネットワークを構成する方法を示します。
独自のオプションを構築する代わりにそのオプションを選択した場合は、次の手順に進んでください。 以下のステップ XNUMX。
ステップ XNUMX: 新しいネットワーク カードを取り付ける方法
まず、古いデスクトップ コンピューターが必要になります。 Dell Optiplex 9020 Small Form Factor (SFF) を使用しました。 これはファイアウォールにとって強力なハードウェアです。 Intel i7-4790 3.6GHz CPU、16 GB RAM、250 GB ハードドライブを搭載しています。
デフォルトでは、このコンピュータには RJ45 イーサネット ポートが 350 つだけあります。 ただし、これをファイアウォールとして機能させる場合は、少なくとも 350 つのイーサネット ポートが必要になります。 これを実現するために、XNUMX つのイーサネット ポートを備えた Intel iXNUMX ネットワーク カードを購入しました。 iXNUMX ネットワーク カードは、デスクトップのマザーボード上の XNUMX レーン PCIe スロットで使用するように設計されています。
この SFF シャーシでは、フルフレーム サイズの金属ブラケットを、ネットワーク カードに付属の小さなブラケットと交換する必要がありました。 次に、シャーシを開いて、空の PCI スロットをカバーしている外部クランプを開きます。 ドライバーを使用して、XNUMX レーン PCI スロットの前にあるブランクの金属ブラケット インサートを取り外し、ネットワーク カードを挿入できます。 次に、クランプを閉じて、シャーシのサイド カバーを元に戻します。
インストールしたら、どのイーサネット ポートがワイド エリア ネットワーク (WAN) 用で、どのポートがローカル エリア ネットワーク (LAN) 用であるかを記録することが重要です。 WAN は広く開かれたパブリック インターネットに面するものであり、LAN はローカル ホーム ネットワークに面するものです。
インストールしたら、当面はデスクトップ コンピューターを脇に置いておくことができます。 ネットワークに接続されたコンピュータを使用して、pfSense イメージをダウンロードして検証し、USB ドライブにフラッシュします。
ステップ XNUMX: pfSense イメージ ファイルをダウンロードして確認し、USB ドライブにフラッシュする方法
まず、これに移動します pfSenseのダウンロードページ そしてそこに着いたら:
- 「AMD64」アーキテクチャを選択します
- 次に「USB Memstick インストーラー」
- 次に「VGA」コンソール
- 次に、以下のスクリーンショットに示すように、地理的位置に最も近いミラーを選択し、「ダウンロード」をクリックします。
次に、ダウンロードした圧縮ファイルの SHA-256 チェックサムを計算し、pfSense ダウンロード ページに表示されるチェックサムと比較して検証できます。
私はフリーウェアの XNUMX 進エディターを使用するのが好きです。 HXD チェックサムを計算するため。 興味のあるファイルを開き、「ツール」、「チェックサム」の順に移動し、メニューから「SHA256」を選択するだけです。 ハッシュ値が一致しない場合は、実行可能ファイルを実行しないでください。
画像ファイルを USB ドライブにフラッシュする最も簡単な方法は、と呼ばれるプログラムを使用することです。 バレナエッチング.
インストールしたら、アプリケーションを起動し、「ファイルからフラッシュ」をクリックして、圧縮された pfSense イメージ ファイルがあるフォルダーに移動します。
次に、空の USB ドライブを選択し、「フラッシュ」をクリックします。 BalenaEtcher はフラッシュ プロセスを開始し、pfSense イメージ ファイルを自動的に解凍します。 このプロセスには数分かかります。
点滅が完了すると、すべてがチェックアウトされたことを示す緑色のチェック マークが表示されます。 balenaEtcher からエラーが発生した場合は、別の USB ドライブにフラッシュする必要がある場合があります。
これで、フラッシュされた USB ドライブをコンピュータから安全に取り出すことができ、他のデスクトップ コンピュータにフラッシュする準備が整いました。
ステップ XNUMX: デスクトップをフラッシュして pfSense をインストールする方法
キーボード、モニター、電源ケーブル、およびフラッシュされた USB ドライブを、ネットワーク カードを取り付けたデスクトップ コンピューターに接続します。モニターは VGA 接続経由で接続する必要があります。私の経験では、DisplayPort 接続は機能しません。 イーサネット ケーブルはまだ接続しないでください。
すべてが接続されたら、デスクトップの電源を入れます。 一部のコンピュータでは、起動可能な USB ドライブが挿入されていることが自動的に検出され、どのドライブから起動するかを尋ねられます。 私の場合、コンピューターはデフォルトで「C:」ドライブから起動するように設定されており、Windows が自動的に起動しました。 この問題が発生した場合は、コンピュータをシャットダウンし、キーボードの「F12」を押したまま電源を入れ直します。 これにより BIOS が起動し、どのドライブから起動するかをコンピュータに指示できます。
たとえば、これは、pfSense イメージをフラッシュした SanDisk USB ドライブを選択できた私の BIOS 環境です。 このオプションを選択すると、スクリプトが短時間実行され、その後 pfSense インストーラーが起動します。
まず、利用規約に同意します。 次に、「Install pfSense」を選択し、適切なキーマップを選択します。 英語を話し、米国に住んでいる場合は、おそらくデフォルトを使用したいと思うでしょう。
次に、自宅のファイアウォールとしてはスペックをはるかに超えるハードウェア プラットフォームを使用しているため、「Auto ZettaByte File System」(ZFS)オプションを選択しました。 ZFS オプションには Unix ファイル システム (UFS) オプションよりも多くの機能があり、信頼性も高くなりますが、ZFS はより多くのメモリを消費する可能性があります。このデスクトップには 16 GB の RAM があるため、これはあまり気にしていません。
次に、パーティション化と冗長性のオプションがいくつか表示されます。これは、冗長性なしとデフォルトの構成オプションなど、できるだけシンプルにしました。 次に、「インストール」を選択します。
次に、pfSense のインストールが成功したことを示す確認がいくつか表示されます。 最終的な変更を手動で行うかどうかを尋ねるプロンプトが表示されますが、私は行いませんでした。 次に、再起動するかどうかを尋ねられるので、「はい」を選択します。 再起動が始まる前に、この時点ですぐに USB ドライブを取り外してください。そうしないと、インストール ウィザードが再び開始されます。 再起動が完了すると、メインのターミナル メニューが表示されます。
これで、新しいファイアウォールをホーム ネットワークに接続する準備が整いました。
ステップ XNUMX: ホーム ネットワークで pfSense を接続する方法
次の手順はすべて、新しいファイアウォールに接続されたキーボードとモニター上で完了します。
- まず、ISP 提供のルーターの電源を切り、モデムの電源を切り、モデムとルーターからイーサネット ケーブルを外します。
- 次に、新しいファイアウォールの電源をオンにして、pfSense をロードします。 次に、モデムの電源をオンにして、インターネットにリンクするまで待ちます。
- pfSense メニューで、オプション XNUMX の「インターフェイスの割り当て」を選択します。 今すぐ VLAN を設定するかどうかを尋ねられます。いいえの場合は「n」を入力します。 次に、WAN インターフェイス名の入力を求められます。自動検出の場合は「a」を入力します。
- イーサネット ケーブルをモデム出力から新しいファイアウォール ネットワーク カード インターフェイスに接続します。 RJ45 リリース タブが上を向いている場合は右端のポートが WAN ポートであり、RJ45 リリース タブが下を向いている場合は左端にあるポートであることに注意してください。
- 接続したら「Enter」を押します。 インターフェイス ポート igb0 でのリンクアップを検出する必要があります。 igb3 の場合は、イーサネット ケーブルを反対側に切り替えて再試行してください。
- 次に、LAN インターフェース名の入力を求められます。自動検出の場合は「a」を入力します。 新しいファイアウォール ネットワーク カードの次に利用可能なポートからイーサネット ケーブルをイーサネット スイッチまたは他のアクセス ポイントに接続します。 仮想ローカル エリア ネットワーク (VLAN) を実行する場合は、マネージド スイッチを使用する必要があることに注意してください。
- 接続したら、Enter キーを押します。 インターフェイス ポート igb1 でリンクアップが検出されるはずです。
- この時点では他のネットワーク接続が構成されていないため、もう一度 Enter キーを押して「何もしない」を選択します。
- 次に、インターフェイスが WAN = igb0 および LAN = igb1 のように割り当てられることが通知されます。
- はいの場合は「y」を入力すると、pfSense が設定を書き込み、メイン メニューに戻り、WAN IP v4 および IP v6 アドレスが上部に表示されます。
信号パス構成の例を示すために、次のようなセットアップを行うことができます。
この時点で、通常のデスクトップの Web ブラウザに「192.168.1.1」と入力し、pfSense Web インターフェイスを起動できるはずです。 これは自己署名証明書であるため、プロンプトが表示されたらリスクを受け入れて続行します。 ログイン資格情報は admin/pfsense です。
これで、キーボードとモニターを新しいファイアウォールから切断できるようになりました。 残りの手順は、通常のデスクトップの Web インターフェイスを通じて完了します。
ステップ XNUMX: pfSense 基本設定を構成する方法
このステップでは、セットアップ ウィザードなどの基本設定の構成方法、TCP ポートの変更方法、Secure Shell SSH の有効化方法、およびデフォルトでのヘアピニングのセットアップ方法を説明します。 ここと以下のステップ XNUMX で示されている情報の大部分は、これを見て得られたものです。 pfSense に関するトム ローレンスのビデオ — このビデオを視聴することを強くお勧めします。長いですが、貴重な情報が満載で、このガイドで説明するよりもはるかに詳細な情報が含まれています。
まず、ページの上部にある赤い警告ダイアログをクリックして、新しいファイアウォールへのログインに使用するパスワードを変更します。 個人的には、パスワード マネージャーを付属した高エントロピーの使い捨てパスワードをお勧めします。 次に、ログアウトして再度ログインし、変更をテストします。
再度ログインしたら、「システム」タブから「セットアップ ウィザード」を開きます。
次に、ウィザードは、新しい pfSense ファイアウォールを構成するための XNUMX つの基本的な手順を案内します。
最初のステップで「次へ」をクリックします。
次に、100.64.0.3 番目のステップで、ホスト名、ドメイン、プライマリ/セカンダリ DNS サーバーを構成できます。 「ホスト名」と「ドメイン」はデフォルトのままにすることも、任意に設定することもできます。 インターネットに接続するためのプライマリ DNS サーバーとして「100.64.0.3」を選択し、DHCP による DNS サーバーのオーバーライドを避けるために「DNS をオーバーライド」ボックスのチェックを外しました。 このガイドのステップ 10 で「XNUMX」を使用した理由について説明します。
次に、ステップ XNUMX でタイムゾーンを設定できます。
1918 番目のステップでは、WAN インターフェイスに「DHCP」を選択し、他のフィールドはすべてデフォルトのままにすることができます。 MAC アドレスを偽装したい場合は、この手順で行うことができます。 最後の XNUMX つのフィールドでは、[RFCXNUMX プライベート ネットワークをブロックする] ボックスと [bogon ネットワークをブロックする] ボックスがオンになっていることを確認します。これにより、ファイアウォールに適切なルールが自動的に追加されます。
ステップ 192.168.0.1 では、ファイアウォールの IP アドレスを変更できます。 ほとんどのホーム ローカル ネットワークは、ルーターまたはファイアウォールにアクセスするために 192.168.1.1 または 192.168.69.1 を使用します。 これをデフォルト以外のローカル IP アドレスに変更する理由は、他の人のネットワーク上にいて、VPN を使ってホーム ネットワークに戻ろうとしている場合に、同じアドレスを持つという問題が発生する可能性があるためです。両端に接続すると、システムはローカル アドレスに接続しようとしているのか、リモート アドレスに接続しようとしているのかを認識できません。 たとえば、ローカル IP アドレスを「XNUMX」に変更しました。
ステップ XNUMX では、管理者パスワードを設定できます。 最初に管理者パスワードを変更していたので、このステップがここに挿入されているのを見て少し混乱しました。そのため、ログインに使用するのと同じパスワードを要求していると仮定して、以前と同じ高エントロピーのパスワードを使用しました。ルーター。
次に、ステップ 192.168.69.1 で、「再読み込み」ボタンをクリックします。 リロード中なので、スイッチから電源ケーブルを抜きます。 ルーターのローカル IP アドレスが「XNUMX」(または選択したもの)に変更されたため、ネットワーク上のすべてのデバイスの IP アドレスがその IP 範囲に更新されるようになります。
したがって、たとえば、Raspberry Pi ノードに PuTTY または他の SSH セッションが構成されている場合は、それらの接続構成を更新する必要があります。 スイッチの電源プラグを抜き、ルーターの再起動後に再び差し込むと、すべてのデバイスを再割り当てすることができます。
ローカル ネットワーク上のデバイスの IP アドレスを確認するには、[ステータス] タブに移動し、[DHCP リース] を選択して、すべてのリストを確認します。
ステップ XNUMX のリロード後、ウィザードはステップ XNUMX と XNUMX をスキップしただけなので、これらのステップで何が起こるかはわかりませんが、先に進み、必要に応じて対処します。
その他の注目すべき基本設定は、「システム > 詳細 > 管理者アクセス」にあります。 ここでは、10443 や 80 などの同じデフォルト ポートにアクセスするいくつかのサービスを実行しており、輻輳を最小限に抑えたいため、TCP ポートを「443」に更新しました。
また、SSHを有効にしました。 次に、パスワードまたはキー、または両方またはキーのみを使用して SSH を保護する方法を選択できます。 保存したら、インターフェイスを新しいポートに更新するまで 192.168.69.1 分間待ちます。 ローカル IP アドレスと新しいポート (例: 「10443:XNUMX」) を使用してページをリロードする必要がある場合があります。 ページの下部で変更を必ず保存してください。
ここで説明する最後の基本設定はヘアピニングです。これは、たとえば、パブリック IP アドレスを使用してセキュリティ カメラ システムへのポートを開くことができるようにネットワークをセットアップできることを意味します。 このパブリック IP アドレスはネットワーク内でも使用できます。これは、自宅で LAN 上の携帯電話からカメラ システムにアクセスしている場合に便利です。ヘアピニングによって接続先が確認されるため、接続先を手動で変更する必要がありません。ローカル IP にアクセスしようとしているだけであり、この設定が有効になっているとデフォルトでループバックされます。
- 「システム」タブで、「詳細設定>ファイアウォールとNAT」に移動します。
- 「ネットワーク アドレス トランスレータ」セクションまで下にスクロールします。
- 「NAT リフレクション モード」ドロップダウン メニューから「Pure NAT」を選択します。
- ページ下部の「保存」をクリックし、ページ上部の「変更を適用」をクリックします。
基本的な設定は以上です。 良いニュースは、pfSense はデフォルトのインストールではかなり安全であるため、優れた基本基盤を構築するために変更する必要があるものはそれほど多くないことです。 一般に、pfSense 開発者の立場は、pfSense を展開するより安全な方法がある場合は、それをデフォルト設定にするだけだというものです。
もう 6 つ注意すべき点は、pfSense はデフォルトで WAN IPv6 ネットワーク アドレス変換 (NAT) マッピングを有効にすることです。 私はこれを無効にすることにしたので、広く開かれたインターネットへの IPvXNUMX ゲートウェイを開くことはありません。
これを行うには、「インターフェイス > 割り当て」に移動し、最初の割り当ての「WAN」ハイパーリンクをクリックします。 これにより構成ページが開きます。「IPv6 構成タイプ」が「なし」に設定されていることを確認してください。 次に、それらの変更を保存して適用します。
次に、「ファイアウォール > NAT」に移動し、IPv6 ソースを持つ「WAN」インターフェイスまで下にスクロールして、それを削除します。
ステップ XNUMX: pfSense の詳細設定を構成する方法
このセクションでは、ホーム ネットワークに興味があるかもしれないいくつかの高度な機能について説明します。 ここでは、pfSense ルーターとは別のネットワークをセットアップする方法を説明します。これにより、たとえば、ゲストは自宅の WiFi アクセス ポイントからオープン インターネットにアクセスできますが、そのネットワークから ASIC にはアクセスできません。
私と同じように i350 ネットワーク カードを使用した場合は、XNUMX つのイーサネット ポートが利用可能になります。また、私と同じように Dell Optiplex を使用した場合は、マザーボード上に XNUMX つ目のイーサネット ポートもあります。 つまり、設定できるインターフェイスが XNUMX つあり、そのうち XNUMX つはセカンダリ ローカル ネットワークにできるということです。
ここで私がやろうとしているのは、職場のデスクトップと専用のビットコイン デスクトップを XNUMX つのネットワーク (LANwork) 上に維持することです。 次に、自宅の WiFi アクセス ポイントが配置されるセカンダリ LAN (LANhome) を構成します。 こうすることで、家族のウェブ閲覧によるトラフィックを、私の仕事やビットコイン関連の活動から完全に切り離すことができます。
次に、他の XNUMX つのネットワークとは別に、ASIC (LANminer) 専用の別の LAN をセットアップします。 最後に、新しい ASIC を統合し、他の ASIC を公開する前に悪意のあるファームウェアが存在しないことを確認するために使用するテスト ネットワーク (LANtest) を作成します。 インターフェイスの XNUMX つにセキュリティ カメラ ネットワークを追加することもでき、その可能性は無限です。
[インターフェイス] タブ、[インターフェイスの割り当て] の順に移動すると、使用可能なネットワーク カードの RJ45 ポートがすべて表示されます。 それらには、「igb0」、「igb1」、「igb2」などのラベルが付いているはずです。次に、ドロップダウン メニューから目的のものを選択し、緑色の「追加」ボックスをクリックして追加します。
次に、追加したインターフェースの左側にあるハイパーリンクをクリックして、そのインターフェースの「一般構成」ページを開きます。
- 「インターフェースを有効にする」ボックスをクリックします。
- 次に、「説明」を「LANhome」など、その機能を識別しやすいものに変更します。
- 次に、「IPv4 構成」タイプを「静的 IPv4」に設定し、新しい IP 範囲を割り当てます。 最初の LAN では「192.168.69.1/24」を使用したため、この LAN では、次に連続する IP 範囲である「192.168.70.1/24」を使用します。
他の設定はすべてデフォルトのままにし、ページの下部にある「保存」をクリックしてから、ページの上部にある「変更を適用」をクリックします。
ここで、この新しい LAN に対していくつかのファイアウォール ルールを設定する必要があります。 「ファイアウォール」タブに移動し、次に「ルール」に移動します。 新しく追加したネットワーク、たとえば「LANhome」をクリックします。 次に、上矢印と「追加」という単語が付いた緑色のボックスをクリックします。
次のページ:
- 「アクション」が「パス」に設定されていることを確認してください。
- 「インターフェイス」は「LANhome」(またはセカンダリ LAN の名前)に設定されます。
- 必ず「プロトコル」を「任意」に設定してください。そうしないと、このネットワークで通過できるトラフィックの種類が制限されます。
- 次に、このルールの目的を示す短いメモ (「すべてのトラフィックを許可する」など) を追加できます。
- その後、他のすべての設定はデフォルトのままにし、ページの下部にある「保存」をクリックし、ページの上部にある「変更を適用」をクリックします。
新しいネットワークをテストする前に、そのネットワークに IP アドレスを設定する必要があります。
- 「サービス」、「DHCP サーバー」の順に移動します。
- 次に、新しい LAN のタブをクリックします。
- 「有効」ボックスをクリックし、192.168.70.1 つの「範囲」ボックスに IP アドレス範囲を追加します。 たとえば、「192.168.70.254 ~ XNUMX」の範囲を使用しました。 次に、ページの下部にある「保存」をクリックし、ページの上部にある「変更を適用」をクリックします。
これで、ネットワーク カード上の対応する RJ45 ポートにコンピュータを物理的に接続し、インターネットへのアクセスを試行することで、新しいネットワークをテストできるようになります。 すべてがうまくいけば、広く開かれた Web を閲覧できるはずです。
ただし、セカンダリ LAN 上でファイアウォールにログインしようとすると、「192.168.70.1」の IP アドレスを使用してログインできることに気づくかもしれません。 個人的には、ファイアウォールには「LANwork」ネットワークからのみアクセスしたいと考えています。 妻や子供、ゲストが指定された「LANhome」ネットワークからファイアウォールにログインできるようにしたくありません。 ファイアウォールに侵入するための高エントロピーのパスワードを持っているとしても、他の LAN がルーターと通信できないように設定するつもりです。
私が懸念している領域の XNUMX つは、この種の構成が緩和に役立つのではないかということですが、悪意のあるファームウェアがインストールされた ASIC をネットワークに接続した場合、そのデバイスを隔離したままにし、そのセキュリティ上の懸念が他のデバイスや情報に影響を与えるのを防ぐことができることです。私がセットアップしている LAN の XNUMX つを「LANtest」と呼ぶのはそのためです。これは、新しい ASIC を完全に隔離して、他の ASIC やデバイスに潜在的な攻撃が発生することを許可せずに安全にテストできるようにすることに特化しています。自宅のネットワーク上の他のデバイス。
他の LAN ネットワークからポート 10443 にアクセスできないようにルールを設定するには、「ファイアウォール > ルール」に移動し、該当するネットワークのタブを選択します。 上矢印と「追加」という文字が入った緑色のボックスをクリックします。
- 「アクション」が「ブロック」に設定されていることを確認してください
- 次に、「宛先」セクションで、「宛先」を「このファイアウォール (自身)」に設定し、「送信元」フィールドと「宛先」フィールドの「カスタム」ボックスを使用して「宛先ポート範囲」を「10443」に設定します。
- このルールの目的を思い出すのに役立つ説明を追加できます。 次に、ページの下部にある「保存」をクリックし、ページの上部にある「変更を適用」をクリックします。
ルーターにログインするための高エントロピーのパスワードを設定し、ポートをロックダウンするのは良いスタートですが、LAN ネットワークをさらに隔離して、あるネットワーク上のデバイスが他のネットワークにまったくアクセスできないようにすることもできます。プライマリ LAN のエイリアス。
「ファイアウォール > エイリアス」に移動し、「IP」タブで「追加」ボタンをクリックします。
- 次に、このエイリアスに「SequesteredNetworks0」という名前を付けました。
- 機能を思い出させるために説明を入力しました
- このエイリアスを参照するファイアウォール ルールを「LANhome」ネットワークに追加するので、他の LAN を「ネットワーク」リストに追加しました。 このようにすると、「LANhome」は「LANwork」、「LANminers」、または「LANtest」と通信できなくなります。
- ページの下部にある「保存」をクリックし、ページ上部の「変更を適用」をクリックします。
これで、他の LAN 上のファイアウォール ルールで参照される追加のエイリアスを追加して、「LANminers」が「LANwork」、「LANhome」、「LANtest」と通信するのを防ぐことができます。これをすべてのネットワークが隔離されるまで続けます。私のファイアウォールだけが他のネットワークに接続されているものを認識できるようにする方法です。
エイリアスを作成すると、セカンダリ LAN 上でこのエイリアスを参照する新しいファイアウォール ルールを適用できます。
- 「ファイアウォール > ルール」に移動し、ルールを適用する LAN (例: 「LANhome」) を選択します。
- 次に「アクション」を「ブロック」に設定します。 「プロトコル」は「任意」に設定します。
- 「宛先」を「単一ホストまたはエイリアス」に設定します。
- 次にエイリアス名を入力します
- ページの下部にある「保存」をクリックし、ページ上部にある「変更を適用」をクリックします。
エイリアスを作成し、ファイアウォール ルールを設定すると、ラップトップを各ネットワーク カードの RJ45 インターフェイス ポートに接続し、他の各ネットワークに ping を試みることができました。 各 LAN からは広大なインターネットにアクセスできましたが、他の LAN やファイアウォールとは通信できませんでした。 これで、私の LAN 上のどのデバイスも他の LAN 上のデバイスにアクセスできないことがわかりました。 私のプライマリ「LANwork」ネットワークからのみ、他のすべての LAN に何が接続されているかを確認できます。
これで、私が共有したい高度な機能が実現しました。 これで、いくつかのファイアウォール ルールが設定され、複数のネットワークが隔離されたはずです。 次に、セカンダリ LAN の XNUMX つに WiFi アクセス ポイントを設定します。
ステップ XNUMX: WiFi アクセス ポイントをセットアップおよび構成する方法
このセクションでは、セカンダリ「LANhome」ネットワークを使用して自宅のメッシュ WiFi を構成する方法を説明します。 ここで留意すべき重要な点は、これを家族やゲストが pfSense ファイアウォールや他の LAN へのアクセスを許可せずにリンクできるように、WiFi アクセス ポイント専用の専用 LAN にしたということです。 しかし、彼らは依然として、広く開かれたウェブに無制限にアクセスできます。 このガイドの後半で、この LAN に VPN トンネルを追加します。
家全体に適切な WiFi 信号を確実に提供するために、 ネットギア ナイトホーク AX1800 キット。
このキットの中には WiFi ルーターとリピーター衛星が含まれています。 基本的な考え方は、WiFi ルーターが igb2「LANhome」ポート上のイーサネット ケーブルを使用して pfSense ファイアウォールに直接接続されるということです。 次に、WiFi ルーターは家の別のエリアにあるリピーター衛星に信号をブロードキャストします。 このようにして、WiFi 信号のカバー範囲をより広いエリアに広げることができます。
これを実現するには、次の手順に従いました。
- 1. イーサネット ケーブルを使用して、WiFi ルーターの背面にある「インターネット」というラベルの付いたポートに、WiFi ルーターをポート igb2 「LANhome」の pfSense ファイアウォールに接続します。
- 2. イーサネット ケーブルを使用して、WiFi ルーターの背面にある「イーサネット」というラベルの付いたポートにラップトップを接続します。
- 3. 付属の電源アダプターを使用して WiFi ルーターを電源に接続します。
- 4. WiFi ルーターの前面のライトが青色に点灯するまで待ちます。
- 5. ラップトップで Web ブラウザを開き、WiFi ルーターの IP アドレスを入力します。 pfSense ダッシュボードの「ステータス > DHCP リース」の下にある「MR60」デバイスの隣に IP アドレスが見つかりました。
- 6. すぐに、パスワードを変更するように求められました。 ここでも、パスワード マネージャーを使用して、エントロピーの高いランダムなパスワードを使用しました。 家族やゲストがこの WiFi アクセス ポイントの管理設定にアクセスできないようにするため、ここに強力なパスワードを設定することをお勧めします。 ファームウェアの更新も求められる場合があり、その場合は再起動が必要になります。
- 7. 次に、新しい管理者パスワードを使用して再度ログインし、デフォルトのネットワーク名を任意の名前に変更し、WiFi ネットワークにアクセスするための WiFi パスワードを追加します。 これは家族やゲストと共有するパスワードなので、覚えやすく共有しやすいようにしました。 たとえ悪意のある攻撃者がパスワードを解読して WiFi ネットワークにアクセスしたとしても、ネットワークは他のすべてから完全に隔離されており、WiFi ルーター自体には高エントロピーのパスワードが設定されています。
- 8. 次に、「詳細設定 > ワイヤレス AP」に移動し、「AP モード」を有効にします。 「AP」とはアクセスポイントの略です。 次に、変更を適用します。
- 9. ルーターが再度再起動します。 この時点で、ローカル IP アドレスが更新されます。この変更は、「DHCP リース」ステータス ページで監視できます。 これで、ラップトップを WiFi ルーターから取り外し、pfSense インターフェイスが実行されているのと同じマシンから WiFi ルーターにログインできるようになります。
- 10. 再度ログインしたら、「デバイスの追加」をクリックすると、衛星リピーターを所定の位置に設定し、電源に接続するように求められます。 次に、インターフェイスのプロンプトに従って衛星を同期します。
これで、家族、ゲスト、そして私は、家全体でドロップアウトすることなく、Wi-Fi 経由でデバイスからオープンな Web を閲覧できるようになり、機密性の高い職場ネットワーク、ASIC ネットワーク、テストに誰かがアクセスすることを心配する必要がなくなります。通信網。
次に、これまでに作成したネットワークに VPN トンネルを追加します。
ステップ XNUMX: Mullvad を使用して WireGuard パッケージをインストールして構成する方法
ワイヤガード は、pfSense ファイアウォールにインストールできる VPN ソフトウェア プロトコルであり、そのプロトコルを使用して、VPN プロバイダーとのトンネルを構築する方法を定義できます。
VPN は、コンピュータから VPN プロバイダーのサーバーまでの安全で暗号化されたトンネルを作成します。 これにより、ISP がデータやその最終宛先を確認できなくなります。 VPN プロトコルにはいくつかの種類があります。 OpenVPN, IKEv2 / IPsec, L2TP / IPSec & ワイヤガード, しかし、それらは基本的に、パブリック ネットワーク上で送信されるデータを暗号化するための安全なトンネルを作成する手順の概要を説明するという同じ目標を持っています。
WireGuard は VPN プロトコルのラインナップに最近追加されたもので、オープンソースで比較的「軽量」で、他のものよりコードが少なく、速度が速いです。 遅延が増えると ASIC の効率が低下する可能性があることを考慮すると、速度の部分が私にとって重要でした。
VPN のもう XNUMX つの利点は、地理的位置を偽装できることです。つまり、世界のある地域にいる場合でも、世界の別の地域にある VPN プロバイダーのサーバーへの VPN トンネルを使用でき、あたかもインターネットにアクセスしているように見えます。トラフィックはそのサーバーから来ています。 これは、特定の Web サイトやサービスへのアクセスが制限されている権威ある国に住んでいる人にとって有益です。
VPN プロバイダーがあなたの IP アドレスを記録していないこと、または要求された場合にこの情報を当局に引き渡す可能性がある、または引き渡す可能性があることを信頼する必要があることに留意してください。 Mullvad は、電子メール アドレスを含め、お客様に関する個人情報を収集しません。 さらに、ビットコインまたは現金を受け入れるため、銀行口座の詳細をリンクするリスクなしでサービスの料金を支払うことができます。 Mullvad には「ログなし」ポリシーもあります。 こちら.
ここでの私の具体的な使用例では、私がビットコインをマイニングしていることが ISP に分からないようにするため、またマイニング プールを防ぐために VPN を使用します。 スラッシュプール、私の本当の IP アドレスを見たということは、私が何か違法なことをしているからでも、Slush Pool が私の IP アドレスを記録していると思うからでもありません。単純に、今は政治環境が急速に変化している激動の時代であり、私が今日合法的に行っていることは、非常に危険な可能性があるからです。明日は違法になるだろう。
あるいは、たとえば、米国で送金業者のライセンスなしでビットコインマイナーを運営することを違法にする法律が可決された場合、Slush Pool の手が入ってくる IP アドレスを強制的にブロックできるように、位置情報を偽装することができます。米国からの場合、私のハッシュ レートが米国外から発信されたように見えるため、マイニングを続けることができました。
ブロックチェーンは永遠であり、将来が不確実であることを考えると、時間をかけてプライバシーを守る方法を見つける価値があると思います。 今日、プライバシーとセキュリティを強化するための措置を講じることで、私の自由と幸福の追求を確実に守ることができます。
このセクションで紹介する情報の大部分は、YouTube でクリスチャン マクドナルドのビデオを視聴することによって得られます。 彼の WireGuard と Mullvad VPN のビデオはすべて見つかります。 こちら.
具体的に指摘したいのは 動画 pfSense の WireGuard パッケージを使用して Mullvad をセットアップし、複数のトンネルを使用してトラフィックの負荷をシームレスに分散できるようにする方法について説明します。
Mullvad は有料 VPN サブスクリプションで、料金は月額 5 ユーロです。 ただし、Mullvad はビットコインを受け入れ、識別情報を必要としません。 Mullvad サブスクリプションの設定方法を説明する前に、WireGuard パッケージを pfSense ファイアウォールにインストールします。 次に、Mullvad アカウントを設定し、構成ファイルを生成します。 次に、複数のトンネルをセットアップし、pfSense でいくつかの高度な構成を実行できます。
pfSense で、「システム > パッケージ マネージャー > 利用可能なパッケージ」に移動し、WireGuard リンクまで下にスクロールして「インストール」をクリックします。 次のページで「確認」をクリックします。 インストーラーが実行され、正常に完了すると通知されます。
これで、「VPN>WireGuard」に移動すると、パッケージがインストールされているものの、まだ何も設定されていないことがわかります。 ファイアウォールで WireGuard の準備ができたので、VPN クライアントのインストールに取り組みます。
MFAデバイスに移動する https://mullvad.net/en/ 「アカウントを生成」をクリックします。
Mullvad は、名前、電話番号、電子メールなどの情報をお客様から収集しません。Mullvad は固有のアカウント番号を生成します。これは、アカウントに関連してお客様が取得する唯一の識別情報であるため、書き留めて安全に保管してください。
次に、支払い方法を選択します。 ビットコインを使用すると 10% 割引になります。 サブスクリプションは、月額 12 ユーロの料金で、支払いを希望する期間 (最長 5 か月間) 有効です。 したがって、たとえば 60 年間のサブスクリプションは、現在のレート (0.001 年 2021 月時点) で XNUMX ユーロまたは約 XNUMX BTC になります。 支払いの送金先となるビットコイン アドレスの QR コードが表示されます。
チェック mempool ビットコイントランザクションがいつ確認されるかを確認します。 ネットワークの混雑状況によっては、しばらくお待ちいただく場合がございます。
チェーンでの確認後、Mullvad アカウントが補充され、残り時間が表示されるはずです。 Mullvad のサーバーの長いリストからサーバーの場所を選択する際は、考慮してください。 VPN の背後で ASIC を実行することを計画している場合は、実際の地理的位置に比較的近いサーバーに接続して、遅延をできる限り短縮することをお勧めします。
Mullvad の動作方法は、トンネル アドレスごとに一意の公開キーと秘密キーのペアを割り当てる構成ファイルを使用することです。 ここでの基本的な考え方は、ASIC 用にプライマリ トンネルをセットアップしたいということですが、プライマリ トンネル接続がオフラインになった場合に備えて、地理的に異なる場所にある別のサーバーとのセカンダリ トンネルもセットアップしたいということです。 こうすることで、私のマイニング インターネット トラフィックは自動的に他のトンネルに切り替わり、パブリック IP アドレスの隠蔽やトラフィック データの暗号化が中断されることはありません。 また、WiFi ネットワークと「LANwork」ネットワーク専用に他のトンネルも設定するつもりです。
これを行うには、トンネルに必要な数のキー ペアが必要になります。 XNUMX つの Mullvad サブスクリプションには、最大 XNUMX つのキー ペアが含まれます。 案内する https://mullvad.net/en/account/#/wireguard-config/ をクリックして、Windows などのプラットフォームを選択します。 次に、[キーの生成] をクリックして、必要な数のキー ペア (最大 XNUMX つのキー) を作成します。 次に、その下の「キーの管理」をクリックしてリストを表示します。
*このガイドに記載されているすべてのキーと機密情報は、公開前に消去されています。 Mullvad キーを秘密にしておきたいため、この情報を誰かと共有する場合は注意してください。
このガイド用に XNUMX つのキーを生成したことがわかりますが、例として使用し終わったら破棄します。 各構成ファイルは、選択した特定の Mullvad サーバーでセットアップする必要があります。
- 適切な公開キーの横にある「使用」列の下にある丸を選択して、構成ファイルを作成する対象の「公開キー」を選択します。
- この公開キーを使用して構成する国、都市、サーバーを選択します。
- 「ファイルをダウンロード」をクリックします。
- すぐに開く必要があるため、構成ファイルを便利な場所に保存します。
*設定する新しいサーバーへのトンネルごとに、個別の公開キーを使用する必要があることに注意してください。 XNUMX つのトンネルを同じキーに割り当てようとすると、pfSense で VPN に問題が発生します。
生成したキーの数だけこのプロセスを繰り返し、一意のキーごとに異なるサーバーを選択して構成ファイルを生成します。 構成ファイルに使用する都市とサーバーの名前を付けると便利であることがわかりました。
次に、pfSense に戻り、「VPN > WireGuard > 設定」に移動し、「WireGuard を有効にする」をクリックしてから「保存」をクリックします。
- 「トンネル」タブに移動し、「トンネルの追加」を選択します。
- 最初の Mullvad 設定ファイルをメモ帳などのテキスト エディタで開き、脇に置いておきます。
- WireGuard で、トンネルの内容を説明する「説明」を追加します (例: 「Mullvad Atlanta US167」)。
- Mullvad 設定ファイルから「PrivateKey」をコピー/ペーストし、「インターフェイス キー」ダイアログ ボックスに追加します。
- 「トンネルを保存」をクリックし、ページ上部にある「変更を適用」をクリックします。
秘密キーを貼り付けてキーボードの「Tab」キーを押すと、WireGuard は公開キーを自動的に生成します。 公開キーが正しく生成されたことを確認するには、以前に生成した Mullvad Web サイト上のキーと比較します。
必要な数のトンネルに対してこのプロセスを繰り返します。 すべてに異なる公開/秘密キーのペア、IP アドレス、エンドポイントが含まれているため、それぞれに正しい Mullvad 構成ファイルを使用していることを確認してください。
各トンネルは独自のピアを取得します。 「ピア」を追加するには、まず、先ほど表示していた「トンネル」タブの隣にある「ピア」タブに移動します。 次に「ピアの追加」をクリックします。
- このピアのドロップダウン メニューから適切なトンネルを選択します。
- 「Mullvad Atlanta US167」のように、トンネルの内容を説明する「説明」を追加します。
- 「動的エンドポイント」ボックスのチェックを外します。
- Mullvad 設定ファイルから「エンドポイント」の IP アドレスとポートをコピーして、WireGuard の「エンドポイント」フィールドに貼り付けます。
- 「Keep Alive」フィールドには 30 秒の時間を与えることができます。
- Mullvad 設定ファイルから「PublicKey」をコピーして、WireGuard の「Public Key」フィールドに貼り付けます。
- 「許可されるIP」をIPv0.0.0.0の「0/4」に変更します。 必要に応じて、「すべての IP を許可」などの記述子を追加することもできます。
- 「保存」をクリックし、ページ上部の「変更を適用」を選択します。
トンネルの数だけピアに対してこのプロセスを繰り返します。 それぞれに異なる公開キー/秘密キーのペア、IP アドレス、エンドポイントが含まれているため、それぞれに正しい Mullvad 構成ファイルを使用していることを確認してください。
この時点で、[ステータス] タブに移動し、右下隅にある [ピアの表示] をクリックして、行われているハンドシェイクを観察できるようになります。
次に、各トンネルにインターフェイスを割り当てる必要があります。
- 「インターフェイス > インターフェイスの割り当て」に移動します。
- ドロップダウン メニューから各トンネルを選択し、リストに追加します。
すべてのトンネルを追加したら、追加された各トンネルの横にある青いハイパーリンクをクリックしてインターフェイスを構成します。
- 「インターフェースを有効にする」ボックスをクリックします。
- 説明を入力してください。ここでは例として VPN サーバー名を使用しました:「Mullvad_Atlanta_US167」
- 「静的PIv4」を選択します。
- 「MTU & MSS」ボックスに「1420」と入力します。
- 次に、Mullvad 設定ファイルからホスト IP アドレスをコピーして、[IPv4 アドレス] ダイアログ ボックスに貼り付けます。
- 次に、「新しいゲートウェイを追加」をクリックします。
「新しいゲートウェイの追加」をクリックすると、以下のポップアップダイアログが表示されます。 新しいゲートウェイの名前を入力します。トンネルの名前に「GateWay」の「GW」を追加したような簡単な名前です。 次に、Mullvad 構成ファイルから同じホスト IP アドレスを入力します。 必要に応じて、「Mullvad Atlanta US167 Gateway」などの説明を追加することもできます。 次に「追加」をクリックします。
インターフェース設定ページに戻ったら、ページの下部にある「保存」をクリックします。 次に、ページ上部の「変更を適用」をクリックします。
このプロセスを繰り返して、追加したトンネル インターフェイスごとにゲートウェイを作成します。 すべてに異なるホスト IP アドレスが含まれているため、それぞれに正しい Mullvad 構成ファイルを使用していることを確認してください。
この時点で、ダッシュボードに移動してゲートウェイのステータスを監視できます。 まだ行っていない場合は、ダッシュボードをカスタマイズして、pfSense のいくつかの統計を監視できます。 ダッシュボードの右上隅にある「+」記号をクリックすると、利用可能な統計モニターのリストがドロップダウンし、必要なものを選択できます。
たとえば、私のダッシュボードには、「システム情報」から始まる XNUMX つの列があります。 XNUMX 番目の列には、「インストールされたパッケージ」の概要、「WireGuard」のステータス、およびインターフェースのリストがあります。 XNUMX 番目の列には、「ゲートウェイ」ステータスと「サービス」ステータスがあります。 こうすることで、あらゆる種類のステータスをすぐに確認し、監視することができます。
ダッシュボードについて指摘したいのは、「ゲートウェイ」セクションで、すべてのゲートウェイがオンラインであることがわかるということです。 リモート側が応答していない場合でも、トンネルがアクティブである限り、ゲートウェイはオンラインになります。 これは、これらはローカル インターフェイスであるため、リモート側がダウンしてもオンラインとして表示されるため、現時点では役に立ちません。 これらのゲートウェイが有用な統計を提供できるように遅延を監視する機能を有効にするには、監視するパブリック ドメイン ネーム システム (DNS) アドレスをこれらのゲートウェイに与える必要があります。
すべてのトンネルの ping 時間が XNUMX ミリ秒であることがわかります。 これは、これらのトンネルを介してデータを送信していないためです。 パブリック DNS サーバーに ping を送信することで、pfSense はいくつかの有用なメトリクスを取得し、どのトンネルが最小の遅延を提供するか、またはリモート サーバーがダウンしてトラフィックを再ルーティングするかどうかを決定できます。
監視するパブリック DNS サーバーは次の場所にあります。 この Web サイトやその他の多数のパブリック DNS サーバーのリスト。 記録された稼働時間の割合に注目してください。多ければ多いほど良いのです。 IPv4 ゲートウェイで監視するパブリック DNS IPv4 IP アドレスを見つけたいと考えています。 各ゲートウェイを監視するには個別の DNS アドレスが必要です。
パブリック DNS アドレスを取得したら、pfSense で「システム > ルーティング > ゲートウェイ」に移動します。 ゲートウェイの横にある鉛筆アイコンをクリックします。 「ゲートウェイ アドレス」と「モニター IP」アドレスがすべてのゲートウェイで同じであることがわかります。 これが、ping 時間が XNUMX ミリ秒である理由であり、pfSense がゲートウェイが常に稼働していると認識する理由でもあります。
「監視IP」フィールドに監視したいパブリックDNS IPアドレスを入力し、画面下部の「保存」をクリックします。 次に、画面上部の「変更を適用」をクリックします。 ゲートウェイは同じ DNS モニター アドレスを共有できないため、監視するゲートウェイごとに異なるパブリック DNS サーバーを使用することに注意してください。
ここで、ダッシュボードに戻ってゲートウェイ モニターを見ると、観察すべき実際の遅延メトリクスがいくつかあることがわかります。 この情報を使用すると、インターネット トラフィックの遅延が最も短いゲートウェイに基づいて、優先順位に従ってゲートウェイを設定できます。 したがって、たとえば、ビットコインをマイニングしている場合は、最初に遅延が最も短いトンネルを通過するように ASIC を優先する必要があります。 その後、そのトンネルに障害が発生した場合、ファイアウォールは、遅延が XNUMX 番目に小さい次の層のゲートウェイに自動的に切り替えることができます。
今のところすべてが順調で、トンネルはアクティブで、データはゲートウェイを通過しています。 次に、ファイアウォール上で送信ネットワーク アドレス変換 (NAT) マッピングを定義する必要があります。
- 「ファイアウォール」タブ、「NATm」、「アウトバウンド」タブの順に移動します。 これにより、WAN から LAN へのすべてのネットワーク マッピングのリストが表示されます。 新しいインターフェースをいくつか定義したので、これらのマッピングをリストに追加します。
- 「アウトバウンド NAT モード」セクションの「ハイブリッド アウトバウンド NAT ルールの生成」をクリックします。
- ページの一番下までスクロールし、「追加」をクリックします
- ドロップダウン メニューからインターフェイスを選択します
- 「アドレスファミリー」で「IPv4」を選択します。
- 「プロトコル」で「任意」を選択します
- 「ソース」が「ネットワーク」上にあることを確認し、このトンネルを経由する LAN のローカル IP アドレス範囲を入力します。 たとえば、「LANwork」をこのトンネルを通過してアトランタに接続したいので、「192.168.69.1/24」と入力しました。
- 次に、必要に応じて、「Mullvad Atlanta US167 への LANwork のアウトバウンド NAT」などの説明を入力します。
- 次に、ページの下部にある「保存」をクリックし、ページの上部にある「変更を適用」をクリックします。
トンネル インターフェイスごとにこのプロセスを繰り返します。 「LANwork」ネットワークがアトランタ トンネルに接続され、「LANhome」ネットワークがニューヨーク トンネルに接続され、「LANminers」ネットワークがマイアミ トンネルとシアトル トンネルの両方に設定されていることがわかります。 必要に応じて、マイニング LAN のマッピングを XNUMX つのトンネルすべてに設定できます。 必要に応じて、複数の LAN を同じトンネルにマッピングすることもでき、柔軟性が高くなります。
マッピングがすべて整ったら、ファイアウォール ルールを追加できます。 「ファイアウォール > LAN」に移動し、「追加」をクリックします。「LAN」はルールを追加する LAN です。 たとえば、このスクリーンショットでは「LANwork」ネットワークを設定しています。
- 「アクション」を「パス」に設定します
- 「アドレスファミリー」を「IPv4」に設定します。
- 「プロトコル」を「任意」に設定します
- 次に「詳細表示」をクリックします。
- 「ゲートウェイ」まで下にスクロールし、この LAN に設定したゲートウェイを選択します
- 画面下部の「保存」をクリックし、画面上部の「変更を適用」をクリックします
次に、すべての LAN にゲートウェイ ルールが設定されるまで、次の LAN に対して同じことを繰り返します。 これは LAN ゲートウェイ ルールのスナップショットです。「LANminers」ネットワークに XNUMX つのゲートウェイ ルールを追加したことがわかります。 後のステップでは、「LANminers」に追加したばかりの XNUMX つのルールを置き換える、マイニング LAN のトンネル間の自動負荷分散を設定する方法を説明しますが、すべてが設定されて正しく動作していることを確認したいと思います。初め。
これまでのところすべてが機能していること、および各 LAN が異なる公開 IP を取得していることを再確認するには、次のように入力します。 「ifconfig.co」 各LANからWebブラウザにアクセスします。 すべてが正しく動作している場合は、LAN ごとに接続して ping を送信する場所が異なるはずです。
すべて計画通りに進みました。まずは試してみましょう。 各 LAN に接続している間、対応するファイアウォール ルールを無効にしてページを更新すると、IP アドレスが実際の大まかな地理的エリアに戻るのを確認できました。
思い起こせば、私は「LANminers」ネットワーク用に XNUMX つのトンネルをセットアップしました。 マイアミ トンネルに対応する XNUMX つのファイアウォール ルールを無効にしてブラウザを更新すると、すぐにシアトルの IP アドレスに切り替わりました。
したがって、各 LAN は異なるトンネルを介してトラフィックを送信しており、すべてのトンネルが期待どおりに機能しています。 ただし、私の「LANminers」ネットワークに関しては、待ち時間やサーバーのダウンに基づいて、pfSense がマイアミ トンネルとシアトル トンネルの間を自動的に切り替えるようにしたいと考えています。 さらにいくつかの手順を実行すると、これを自動的に切り替えて XNUMX つのファイアウォール ルールを新しい XNUMX つのルールに置き換えるように構成できます。
「システム > ルーティング」に移動し、「ゲートウェイ グループ」タブに移動します。
- 「Mullvad_LB_LANMiners」のようなグループ名を入力します。 「LB」は「ロードバランス」の略です。
- マイナーに関心のある 1 つのゲートウェイを除き、他のゲートウェイの優先順位をすべて「なし」に設定します。 この場合、マイアミとシアトルのゲートウェイを使用しています。 私はこれらの優先順位を両方とも「Tier XNUMX」に設定していますが、必要に応じて XNUMX つのトンネルすべてを使用することもできます。
- トリガーレベルを「パケットロスまたは高遅延」に設定します。
- 必要に応じて、「ロード バランス LANminers Mullvad トンネル」などの説明を追加します。
- 画面下部の「保存」をクリックし、画面上部の「変更を適用」をクリックします
「ステータス > ゲートウェイ」に移動し、「ゲートウェイ グループ」タブに移動すると、新しいゲートウェイ グループがオンラインで表示されるはずです。 理論的には、トラフィックを「Mullvad_LB_LANminers」にルーティングすると、遅延に基づいて XNUMX つのゲートウェイ間のトラフィックのバランスがとられるはずです。
これで、このゲートウェイ グループをファイアウォール ルールで使用して、それに応じてトラフィックのルーティングをポリシー設定できるようになります。 「ファイアウォール > ルール」に移動し、「LANminers」タブまたはマイニング LAN の名前に移動します。
ルールの横にある取り消し線の円をクリックして、VPN トンネルをテストするために以前に設定した XNUMX つのルールを無効にします。 「変更を適用」をクリックし、下部にある「追加」をクリックします。
- プロトコルを「任意」に設定します
- 「詳細表示」をクリックします。
- 「ゲートウェイ」まで下にスクロールし、作成したロードバランスゲートウェイグループを選択します。
- ページの下部にある「保存」をクリックし、ページ上部にある「変更を適用」をクリックします
遅延やサーバーのダウンに基づいて ASIC をある VPN トンネルから別の VPN トンネルに自動的に切り替えるために必要なのはこれだけです。 これをテストするには、ラップトップをマイニング LAN のネットワーク カードの専用イーサネット ポートに接続します。 私の場合は「igb3」です。
WiFi がオフになっていることを確認してください。 Web ブラウザを開き、URL バーに「ifconfig.co」と入力します。 結果により、VPN トンネルの XNUMX つの場所が表示されるはずです。 私の場合はマイアミでした。
次に、pfSense に戻り、「インターフェイス > 割り当て」に移動し、そのトンネル インターフェイスのハイパーリンクをクリックします。 私の場合、それは「Mullvad_Miami_US155」インターフェイスです。
設定ページの一番上にある「インターフェイスを有効にする」チェックボックスをオフにします。 次に、画面下部の「保存」をクリックし、画面上部の「変更を適用」をクリックします。 これにより、私の LANminers がトラフィックを送信していたマイアミ トンネルが無効になりました。
ラップトップに戻り、ブラウザを更新して ifconfig.co ページを表示します。 これで、シアトル、またはセカンダリ トンネルが設定されていた場所に現在地が表示されるはずです。 場合によっては、キャッシュをクリアするためにブラウザを完全に閉じてから再度開く必要があります。
必ずマイアミ インターフェイスに戻り、ボックスを再度オンにしてそのインターフェイスを有効にし、保存して適用してください。 次に、「ファイアウォール > ルール」に戻り、次にマイニング LAN に移動して、無効にした XNUMX つのルールを削除します。
これで完了です。準備は完了です。 ファイアウォール ルールはトップダウン方式で機能することに注意してください。 次に、広告追跡を防ぐ方法について説明します。
ステップ XNUMX: 広告ブロッカー機能を構成する方法
広告会社はあなたに非常に興味を持っており、あなたについてできる限り多くの情報を入手します。 残念ながら、インターネットを閲覧すると、この求められている情報が簡単に漏洩してしまいます。
この情報は、外科手術のような精度で製品やサービスを提供して特定の視聴者をターゲットにして収益化されます。 オンラインで何かを検索した後、最近の検索に一致する広告がソーシャル メディア フィードにポップアップ表示されていることに気付いた経験があるかもしれません。 これは、インターネット検索、どの Web サイトにアクセスするか、どの写真を見るか、何をダウンロードするか、何を聴くか、現在地、ショッピング カートの内容、使用する支払い方法、このすべてのアクティビティの日時を記録し、その情報を、使用している特定の Web ブラウザーや使用しているデバイスなどの一意に識別可能な定数にリンクします。
この情報を IP アドレス、ISP アカウント、ソーシャル メディア プロフィールと組み合わせると、企業、警察、見知らぬ人、ハッカーに簡単に公開されたくないあなたに関する情報のハニーポットがどのように存在するかがわかります。 間 クッキー, ブラウザの指紋 & 行動追跡 不利な状況にあるように思えるかもしれません。 しかし、今すぐプライバシーの保護を始めるために実行できる簡単な手順があります。 完璧を善の敵にして、始めるのを妨げるのは残念なことです。
このセクションでは、ファイアウォールの DNS サーバーと DHCP サーバーの設定を変更して、広告ブロック機能を組み込む方法を説明します。 大まかに言うと、Web ブラウザに Web サイト名を入力すると、その名前が DNS サーバー (通常は ISP の DNS サーバー) に送信され、そのサーバーが人間が読めるテキストを IP アドレスに変換してブラウザに送り返します。そのため、どの Web サーバーにアクセスしようとしているのかがわかります。 さらに、ターゲットを絞った広告もこの方法で送信されます。
にアクセスしてこの演習を開始することをお勧めします https://mullvad.net/en/.
次に、「漏れのチェック」リンクをクリックして、改善できる箇所を確認します。
DNS リークが発生した場合は、使用しているブラウザによっては、Mullvad からの役立つ手順が見つかる可能性があります。 こちら ブラウザを強化し、ブラウザ レベルで広告や追跡を防止します。 その後、もう一度試してください。
好みのブラウザで広告をブロックできない場合は、次のようなプライバシーを重視したブラウザの使用を検討してください。 Google で検索されていないクロム:
- オペレーティング システムと最新バージョンを選択してください
- インストーラー.exeをダウンロードします。
- ハッシュ値を検証する
- インストーラーを実行し、デフォルトの検索エンジンなどの基本設定を構成します。
Torの は、一般的に、できるだけ使用することをお勧めするもう XNUMX つのブラウザです。
Mullvad は、いくつかの異なる DNS 解決サーバーを提供しています。 この ムルバドの記事。 この例では、広告トラッカーのブロックに「100.64.0.3」サーバーを使用します。 DNS サーバーの IP アドレスは時々変更される可能性があるため、最新の更新された DNS サーバーの IP アドレスについては、必ず Mullvad の Web サイトを参照してください。
pfSense で、「システム > 一般」に移動し、「DNS サーバー設定」セクションまで下にスクロールし、WAN ゲートウェイを選択した状態で DNS サーバー フィールドに「100.64.0.3」と入力します。 ガイドの最初から私の推奨事項を使用した場合、これはすでに設定されているはずですが、以下の DHCP 手順に従う必要があります。
ページの下部にある「保存」をクリックします。
次に、「サービス > DHCP サーバー」に移動し、「サーバー」まで下にスクロールします。 「DNS サーバー」のフィールドに「100.64.0.3」と入力し、ページの下部にある「保存」をクリックします。 複数のネットワークを設定している場合は、すべての LAN に対してこの手順を繰り返します。
これで、すべてのインターネット閲覧を保護するために、ファイアウォール レベルで構成された広告トラッカー ブロック DNS サーバーが必要になります。 その後、Web ブラウザを設定するか、プライバシー重視の Web ブラウザにアップグレードするという追加の措置を講じた場合、デスクトップ デバイスでのプライバシーの保護は大きく前進したことになります。
UnGoogled Chromium または ブロマイト モバイルで。 さらにモバイル デバイスのプライバシー対策に興味がある場合は、CalyxOS に関する私のガイドをご覧ください。 こちら.
ステップ 10: VPN によって引き起こされる遅延を確認する方法
VPN を使用すると、マイニング トラフィックに遅延が発生する可能性があるという当然の懸念があります。 問題は、獲得できる報酬が少なくなることです。
遅延が存在する場合、ASIC は無効になったブロック ヘッダーのハッシュを継続する可能性があります。 ASIC が無効なブロック ヘッダーのハッシュに費やす時間が長くなるほど、プールに送信される「古い」ハッシュ レートが増加します。 有効ではなくなったブロック ヘッダーに対して受信されるハッシュをプールが確認すると、プールはその作業を拒否します。 これは、ASIC が一部の計算能力を無駄に浪費していることを意味します。これはミリ秒単位ではありますが、ASIC が毎秒何兆ものハッシュを計算している場合、その計算量は急速に増加する可能性があります。
通常、これは、プールで受け入れられる作業量と比較すると、非常に小さな比率です。 しかし、重大かつ継続的なレイテンシがマイニングの報酬にどれほど影響を与える可能性があるかがわかり始めます。
一般に、XNUMX つのサーバーが互いに近づくほど、遅延は少なくなります。 VPN を使用する場合、マイニング トラフィックを VPN のサーバーに送信し、そこからプールのサーバーに送信する必要があります。 地理的な近さによって遅延を軽減するために、私は自分の場所とプールのサーバーの間に XNUMX つの VPN サーバーを使用しました。 また、地域的なインターネット障害が発生した場合のリスクも認識しておきたかったので、プールと私の間にない XNUMX つの VPN サーバーも追加しました。 XNUMX つの異なるトンネル間でトラフィックの負荷を分散するように「LANminers」ネットワークを構成して、XNUMX 日間のテストを開始しました。
最初の 60 日半 (XNUMX 時間) は、VPN をオンにしてマイニングに費やされました。 次の XNUMX 日半は、VPN をオフにしてマイニングに費やしました。 私が見つけたものは次のとおりです。
最初の 60 時間で、ASIC は 43,263 パケットを受け入れ、87 パケットを拒否しました。 これは、私が費やしたリソースの 0.201%、つまり 0.201% が報われていないことに相当します。
120 時間後、ASIC には 87,330 パケットが受け入れられ、187 パケットが拒否されました。 最初の 60 時間の測定値を差し引くと、VPN がオフになっている間、44,067 個の受け入れられたパケットと 100 個の拒否されたパケットが残りました。 これは 0.226% に相当します。 驚くべきことに、これは、同じ時間を与えた場合、VPN のプライバシー上の利点がなければ、拒否率がわずかに高くなります。
結論として、XNUMX つの VPN トンネル間でマイニング トラフィックのバランスを取ることで、マイニング操作の効率を低下させることなく VPN のプライバシー上の利点を得ることができました。 実際、拒否率の観点から見ると、私のマイナーは VPN を使用しない場合よりも VPN を使用した方が優れた成績を収めました。
このガイドで取り上げるトピックについて詳しく知りたい場合は、次の追加リソースを確認してください。
読んでくれてありがとう! この記事が、古いデスクトップを使用してネットワークをインストールし、pfSense でフラッシュして汎用性の高いファイアウォールを作成する方法、個別の LAN の構成方法、メッシュ WiFi ルーターのセットアップ方法、Mullvad VPN の作成方法の基本を理解するのに役立つことを願っています。アカウントと、WireGuard を使用して VPN フェイルオーバーを構成し、マイニング操作の遅延を最小限に抑える方法について説明します。
これはEconoalchemistによるゲスト投稿です。 表明された意見は完全に独自のものであり、必ずしもBTCIncまたは Bitcoin Magazine.
出典: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- アクセス
- Action
- アクティブ
- 活動
- Ad
- NEW
- 管理人
- 広告
- すべて
- 許可
- 申し込み
- AREA
- 周りに
- 記事
- ASIC
- オート
- バンキング
- の基礎
- BEST
- ベストプラクティス
- Bitcoin
- Bitcoinマイニング
- ブロックチェーン
- ブログ
- ボックス
- ブラウザ
- BTC
- BTC Inc
- ビルド
- 建物
- これ
- 現金
- 生じました
- 証明書
- 変化する
- 点検
- 小切手
- クロム
- サークル
- 市町村
- クローザー
- コード
- コラム
- 到来
- 企業
- コンピューター
- コンピューティング
- コンピューティングパワー
- 接続
- Connections
- 続ける
- 法人
- 国
- カップル
- 作成
- Credentials
- ダッシュボード
- データ
- 破壊する
- 開発者
- Devices
- DID
- 勤勉
- お得な商品
- ディスプレイ
- DNS
- ドメイン名
- Drop
- エディタ
- 効率
- エンドポイント
- 終了
- 英語
- 環境
- 運動
- 体験
- 顔
- 向い
- 家族
- ファッション
- スピーディー
- 特徴
- フィールズ
- フィギュア
- 最後に
- 名
- フラッシュ
- 柔軟性
- フォーム
- フォワード
- Foundation
- 無料版
- 自由
- フル
- function
- 未来
- GitHubの
- 与え
- 良い
- 素晴らしい
- グリーン
- グループ
- ゲスト
- ゲストのポスト
- ガイド
- ハッカー
- Hardware
- ハッシュ
- ハッシュレート
- ハッシュ
- こちら
- ハイ
- ホーム
- お家の掃除
- 認定条件
- How To
- HTTPS
- 人間が読める
- 飢えました
- ハイブリッド
- ICON
- アイデア
- 識別する
- 違法
- 画像
- 影響
- 増える
- 情報
- インフラ
- インテル
- 関心
- インタフェース
- インターネット
- IP
- IPアドレス
- IPアドレス
- IT
- 保管
- キー
- キー
- 子供たち
- ノートパソコン
- 最新の
- 起動する
- 法律
- 法執行機関
- 漏れ
- リーク
- 学習
- 立法
- レベル
- ライセンス
- 光
- LINK
- リスト
- リストされた
- 耳を傾ける
- <font style="vertical-align: inherit;"><font style="vertical-align: inherit;">アップロード履歴
- 負荷
- ローカル
- 場所
- 長い
- MAC
- 大多数
- 作成
- マーク
- 一致
- メディア
- メモリ
- 金属
- メトリック
- 鉱夫
- 鉱業
- ミラー
- モバイル
- モバイルデバイス
- 携帯電話
- お金
- ヶ月
- ネットワーク
- ネットワーキング
- ネットワーク
- ニューヨーク
- ニュース
- オンライン
- 開いた
- オペレーティング
- オペレーティングシステム
- 意見
- 機会
- オプション
- オプション
- 注文
- その他
- 機能停止
- パスワード
- パスワード
- 支払う
- 支払い
- のワークプ
- ping
- 計画
- プラットフォーム
- ポッドキャスト
- 方針
- プール
- 電力
- 現在
- プライバシー
- プライバシーとセキュリティ
- プライベート
- 秘密鍵
- 製品
- プロフィール
- 演奏曲目
- 守る
- 公共
- 公開鍵
- 出版
- RAM
- 範囲
- RE
- 減らします
- 研究
- リソース
- REST
- 結果
- 報酬
- リスク
- ロール
- ルート
- ルール
- ラン
- ランニング
- 安全性
- 節約
- 規模
- 画面
- を検索
- 二次
- セキュリティ
- 見て
- 選択
- 売る
- サービス
- セッションに
- 設定
- シェアする
- shared
- シェル(Shell)
- ショッピング
- ショート
- shutdown
- シルバー
- 簡単な拡張で
- SIX
- 小さい
- Snapshot
- So
- 社会
- ソーシャルメディア
- ソフトウェア
- スピード
- start
- 開始
- 米国
- 統計情報
- Status:
- 購読
- 成功した
- スイッチ
- 会話
- ターゲット
- ターミナル
- 規約と条件
- test
- テスト
- 基礎
- 世界
- 時間
- 豊富なツール群
- top
- トピック
- 追跡
- トラフィック
- トランザクション
- インタビュー
- 数兆
- 信頼
- 私達
- ユナイテッド
- 米国
- アップデイト
- USB
- ビデオ
- 動画
- バーチャル
- VPN
- VPN
- wait
- よく見る
- ウェブ
- ウェブブラウザ
- ウェブサーバー
- ウェブサイト
- ウェブサイト
- 何ですか
- 誰
- 無線LAN
- Wikipedia
- 風
- ウィンドウズ
- 無線
- 言葉
- 仕事
- 作品
- 世界
- 価値
- ユーチューブ
- ゼロ