Hvordan bygge et hjemmenettverk som hindrer Internett-leverandøren din fra å se dataene dine, isolerer ASIC-er og lar deg utvinne Bitcoin uten tillatelse.
En personvernfokusert veiledning for å bygge et sikkert hjemmenettverk med en pfSense-brannmur, som forklarer hvordan du setter opp dedikerte hjemmenettverk for å skille familiens WiFi-nettsurfing fra Bitcoin-gruvetrafikken din; hvordan konfigurere en VPN med WireGuard; og hvordan du sender all internettrafikken din gjennom Mullvad VPN-tunneler med automatisk lastbalansering for å bytte mellom tunneler i tider med høy latens; samt hvordan du konfigurerer en annonseblokkering på brannmurnivå.
Hver Bitcoin hjemmegruvearbeider kommer til å trenge et hjemmenettverk. Å bygge et sikkert og privat nettverk for å utvinne er en viktig del av å opprettholde en tillatelsesfri drift. Ved å følge denne veiledningen vil du se hvordan du bygger et robust og tilpassbart hjemmegruvenettverk som har følgende fordeler og mer:
- Virtuelt privat nettverk (VPN) tunneling for å sikre og kryptere Internett-trafikken din
- Forbedret personvern fra nysgjerrige øyne til internettleverandøren din (ISP)
- Redusering av den potensielle risikoen for IP-adresselogging fra gruvebassenget ditt
- Konfigurasjon av en pfSense-brannmur
- Oppretting av sekvestrerte hjemmenettverk for å holde ASIC-ene dine atskilt fra gjeste-WiFi-nettverket, etc.
- Konfigurer et tilgangspunkt for et mesh WiFi-nettverk
- Konfigurasjon av en annonseblokkering på brannmurnivå.
I denne veiledningen vil du se noe gratis, åpen kildekode-programvare som pfSense og WireGuard, samt noe betalt åpen kildekode-programvare som Mullvad VPN.
Denne oppgaven startet for meg da min kone og jeg bestemte oss for å selge huset vårt i byen og flytte til landet. Jeg hadde visjoner om å sette opp ny gruveinfrastruktur fra bunnen av, og jeg ønsket å benytte anledningen til å bygge det ultimate hjemmenettverket som jeg alltid ønsket meg – et hjemmenettverk som hindret Internett-leverandøren min fra å se dataene mine og hvor de skulle, et hjemmenettverk som isolerte ASIC-ene mine fra andre nettverkstilkoblede enheter, et hjemmenettverk som ikke hele tiden sporet meg og solgte nettleserinformasjonen min til annonsører.
Det var da jeg begynte å se nærmere på en blogginnlegg om emnet fra k3tan. I deres pfSense-artikkel la k3tan ut mange av egenskapene til et hjemmenettverk som jeg ønsket å bygge for meg selv og pekte på flere tilleggsressurser som fikk meg til å tro at jeg kunne gjøre dette selv hvis jeg virkelig prøvde.
Jeg hadde null nettverkserfaring før jeg hoppet inn i dette, og selv om det er mange trinn, er det veldig enkelt å bruke gratis og åpen kildekode-verktøy for å begynne å ta store sprang for å beskytte personvernet ditt.
Jeg henvendte meg til k3tan og de støttet innsatsen min og hjalp meg med å komme meg gjennom noen hindringer jeg møtte — jeg setter veldig pris på dette og vil si takk, k3tan.
Alt sammen for denne guiden brukte jeg $360 for å bygge hjemmenettverket mitt. $160 på et nettverkskort og $200 på et mesh WiFi-sett (som, ærlig talt, kunne vært gjort med en $40 ruter, men YOLO!).
Noen begrensninger du bør være klar over: Jeg hadde bokstavelig talt null nettverkserfaring før denne veiledningen. Det er godt mulig jeg har gjort en uforutsett feil. Jeg anbefaler på det sterkeste at du bruker dette som en guide, men også inkorporerer din egen forskning og due diligence i ditt eget hjemmenettverksoppsett. VPN-er er et flott verktøy for å beskytte personvernet ditt, men de er ikke en sølvkule. Det er flere andre måter du kan lekke data på og redusere personvernet ditt. Den gode nyheten er at det er enkelt å begynne å ta skritt for å utvikle gode, personvernfokuserte beste praksiser.
Jeg anbefaler å lese denne guide fra Mullvad, lytter til denne podcast fra Seth For Personvern, og sjekke ut tilleggsressurser fra Techlore.
La oss komme rett til det og få hjemmegruvenettverket ditt satt opp på en måte som gjør familien din glad og holder ASIC-ene dine sikre og private.
Bygge en pfSense-brannmur fra en gammel stasjonær datamaskin
I 10 trinn nedenfor vil jeg vise deg hvordan jeg brukte en gammel stasjonær datamaskin til å bygge en pfSense-brannmur og hvordan jeg konfigurerte hjemmenettverket mitt.
Hvis du velger det alternativet i stedet for å bygge din egen, kan du hoppe til trinn fire nedenfor.
Trinn én: Slik installerer du det nye nettverkskortet
Først trenger du en gammel stasjonær datamaskin. Jeg brukte en Dell Optiplex 9020 Small Form Factor (SFF). Dette er en kraftig maskinvare for en brannmur; den har en Intel i7-4790 3.6 GHz CPU, 16 GB RAM og en 250 GB harddisk.
Som standard har denne datamaskinen bare én RJ45 Ethernet-port. Men hvis dette skal fungere som en brannmur, trenger det minst to Ethernet-porter. For å oppnå dette kjøpte jeg et Intel i350 nettverkskort som er utstyrt med fire Ethernet-porter. i350-nettverkskortet er designet for å brukes i firefelts PCIe-sporet på skrivebordets hovedkort.
For dette SFF-chassiset måtte jeg bytte ut metallbraketten i full ramme med den medfølgende mindre braketten på nettverkskortet. Deretter åpner du bare chassiset og åpner den eksterne klemmen som dekker de tomme PCI-sporene. Med en skrutrekker kan du fjerne den tomme metallbrakettinnsatsen foran det firefelts PCI-sporet og sette inn nettverkskortet. Lukk deretter klemmen og sett på sidedekselet på chassiset igjen.
Når den er installert, er det viktig å merke seg hvilken Ethernet-port som er for wide area network (WAN) og hvilke porter som er for det lokale nettverket (LAN). WAN er det som vender ut mot det vidåpne offentlige internett og LAN er det som vender inn mot ditt lokale hjemmenettverk.
Når den er installert, kan du stille den stasjonære datamaskinen til siden for nå. Du vil bruke den nettverkstilkoblede datamaskinen til å laste ned og bekrefte pfSense-bildet og flashe det til en USB-stasjon.
Trinn to: Slik laster du ned og verifiserer pfSense-bildefilen og flasher den til en USB-stasjon
Naviger først til dette pfSense nedlastingsside og en gang der:
- Velg "AMD64"-arkitekturen
- Deretter "USB Memstick installer"
- Deretter "VGA"-konsoll
- Velg deretter det speilet som er nærmest din geografiske plassering, som vist på skjermbildet nedenfor, og klikk på "Last ned"
Deretter kan du beregne SHA-256-sjekksummen på den komprimerte filen du lastet ned og verifisere den mot kontrollsummen som vises på pfSense-nedlastingssiden.
Jeg liker å bruke en freeware hex editor kalt HXD for beregning av kontrollsummer. Bare åpne filen du er interessert i, naviger til "Verktøy" og deretter "Checksums" og velg "SHA256" fra menyen. Hvis hash-verdiene ikke samsvarer, ikke kjør den kjørbare filen.
Den enkleste måten jeg har funnet for å flashe en bildefil til en USB-stasjon er å bruke et program som heter balenaetcher.
Når det er installert, start programmet, klikk på "Flash fra fil", og naviger deretter til mappen der du har den komprimerte pfSense-bildefilen.
Deretter velger du den tomme USB-stasjonen og klikker på "Flash". BalenaEtcher vil begynne å blinke og automatisk dekomprimere pfSense-bildefilen. Denne prosessen vil ta noen minutter.
Etter at blinkingen er fullført, bør du få en grønn hake som indikerer at alt sjekkes ut. Hvis du får en feilmelding fra balenaEtcher, må du kanskje prøve å blinke til en annen USB-stasjon.
Nå kan du trygt løse ut den flashede USB-stasjonen fra datamaskinen din, og du er klar til å flashe den andre stasjonære datamaskinen.
Trinn tre: Hvordan flashe skrivebordet og installere pfSense
Koble et tastatur, skjerm, strømkabel og den blinkende USB-stasjonen til den stasjonære datamaskinen du installerte nettverkskortet i. Skjermen må kobles til via VGA-tilkoblinger — DisplayPort-tilkoblinger vil ikke fungere etter min erfaring. Ikke koble til Ethernet-kablene ennå.
Når alt er tilkoblet, slår du på skrivebordet. Noen datamaskiner vil automatisk oppdage at det er satt inn en oppstartbar USB-stasjon, og de vil spørre deg hvilken stasjon du vil starte opp fra. I mitt tilfelle startet datamaskinen som standard opp fra "C:"-stasjonen og startet Windows automatisk. Hvis dette skjer med deg, slår du av datamaskinen og holder nede "F12" på tastaturet og slår den på igjen. Dette vil starte BIOS, hvor du kan fortelle datamaskinen hvilken stasjon du vil starte opp fra.
For eksempel, her er BIOS-miljøet mitt der jeg kunne velge SanDisk USB-stasjonen som jeg hadde flashet pfSense-bildet til. Etter å ha valgt dette alternativet, vil et skript kjøres kort, og deretter starter pfSense-installasjonsprogrammet:
Først godtar du vilkårene og betingelsene. Velg deretter "Installer pfSense", og velg deretter tastaturet som passer for deg. Hvis du snakker engelsk og bor i USA, vil du sannsynligvis bare bruke standarden.
Deretter valgte jeg bare alternativet "Auto ZettaByte File System" (ZFS) fordi jeg bruker en maskinvareplattform som er langt over spesifisert for en hjemmebrannmur. ZFS-alternativet har flere funksjoner og er mer pålitelig enn Unix File System (UFS)-alternativet, men ZFS kan være mer minnesultent, noe jeg egentlig ikke er bekymret for gitt at jeg har 16 GB RAM på dette skrivebordet.
Deretter vil du ha noen partisjonerings- og redundansalternativer, som jeg bare holdt så enkle som mulig, for eksempel ingen redundans og standardkonfigurasjonsalternativene. Velg deretter "Installer".
Deretter vil du se et par bekreftelser på at pfSense-installasjonen var vellykket. En melding vil spørre deg om du ønsker å gjøre noen endelige endringer manuelt, noe jeg ikke gjorde. Deretter vil den spørre deg om du vil starte på nytt, velg ja. Fjern umiddelbart USB-stasjonen på dette tidspunktet før omstarten starter igjen, for ellers vil den slippe deg i begynnelsen av installasjonsveiviseren igjen. Du bør ende opp på hovedterminalmenyen når omstarten er fullført.
Nå er du klar til å koble den nye brannmuren til hjemmenettverket.
Trinn fire: Slik kobler du til pfSense i et hjemmenettverk
Følgende trinn vil alle bli fullført på tastaturet og skjermen koblet til den nye brannmuren:
- Først må du slå av ruteren som leveres av Internett-leverandøren, slå av modemet og koble fra Ethernet-kablene fra modemet og ruteren.
- Deretter slår du på den nye brannmuren og lar pfSense laste. Slå deretter på modemet og vent til det kobles til internett.
- I pfSense-menyen velger du alternativ én, "Tildel grensesnitt." Den vil spørre deg om du vil sette opp VLAN nå, skriv inn "n" for no. Deretter vil den be deg om å skrive inn WAN-grensesnittnavnet, skriv inn "a" for automatisk gjenkjenning.
- Koble en Ethernet-kabel fra modemutgangen til det nye nettverkskortgrensesnittet for brannmuren. Husk at porten helt til høyre hvis RJ45-utløsningstappene vender opp er WAN-porten din, eller ytterst til venstre hvis RJ45-utløserklaffene vender ned.
- Når du er koblet til, trykk "enter". Den skal oppdage kobling på grensesnittporten igb0. Hvis det er igb3, bytt Ethernet-kabelen til motsatt side og prøv igjen.
- Deretter vil den be deg om å angi navnet på LAN-grensesnittet, skriv inn "a" for automatisk gjenkjenning. Koble en Ethernet-kabel fra den neste tilgjengelige porten på det nye brannmurnettverkskortet til Ethernet-svitsjen eller et annet tilgangspunkt. Husk at hvis du har tenkt å kjøre et virtuelt lokalnettverk (VLAN), må du bruke en administrert svitsj.
- Når du er koblet til, trykk enter. Den skal oppdage kobling på grensesnittport igb1.
- Trykk deretter på enter igjen for "ingenting" siden ingen andre nettverkstilkoblinger er konfigurert på dette tidspunktet.
- Deretter vil den informere deg om at grensesnittene vil bli tildelt som følger: WAN = igb0 og LAN = igb1.
- Skriv inn "y" for ja, og pfSense vil skrive konfigurasjonen og bringe deg tilbake til hovedmenyen med WAN IP v4 og IP v6-adressene dine vist øverst.
Bare for å illustrere et eksempel på en signalbanekonfigurasjon, kan du gjøre et oppsett som dette:
På dette tidspunktet skal du kunne skrive inn "192.168.1.1" i nettleseren på ditt vanlige skrivebord og starte pfSense-nettgrensesnittet. Det er et selvsignert sertifikat, så aksepter risikoen når du blir bedt om det og fortsett. Påloggingsinformasjonen er admin/pfsense.
Du kan nå koble fra tastaturet og skjermen fra den nye brannmuren. Resten av trinnene vil bli fullført gjennom nettgrensesnittet på ditt vanlige skrivebord.
Trinn fem: Slik konfigurerer du pfSense Basic Settings
I dette trinnet vil du se hvordan du konfigurerer grunnleggende innstillinger som oppsettsveiviseren, endrer TCP-porten, aktiverer Secure Shell SSH og setter opp hårnåling som standard. Det store flertallet av informasjonen presentert her og i trinn seks nedenfor kom fra å se dette Tom Lawrence-video på pfSense — Jeg anbefaler på det sterkeste å se denne videoen, den er lang, men fullpakket med verdifull informasjon og har mye flere detaljer enn jeg presenterer i denne guiden.
Først klikker du på den røde advarselsdialogen øverst på siden for å endre passordet som brukes til å logge inn på den nye brannmuren. Personlig anbefaler jeg høyentropi, engangspassord med tilhørende passordbehandler. Logg deretter av og på igjen for å teste endringene.
Når du er logget på igjen, åpner du "Setup Wizard" fra "System"-fanen:
Deretter vil veiviseren lede deg gjennom ni grunnleggende trinn for å få den nye pfSense-brannmuren konfigurert.
Klikk "Neste" på det første trinnet.
Deretter, på det andre trinnet, kan du konfigurere vertsnavnet, domenet og primære/sekundære DNS-servere. Du kan la "Vertsnavn" og "Domene" være standardverdiene, eller sette dem til hva du vil. Jeg valgte "100.64.0.3" for den primære DNS-serveren for å komme ut til internett og fjernet merket for "Overstyr DNS" for å unngå at DHCP overstyrer DNS-serverne. Jeg skal gå over hvorfor jeg brukte "100.64.0.3" i trinn 10 i denne veiledningen.
Deretter kan du angi tidssonen din i trinn tre:
På det fjerde trinnet kan du velge "DHCP" for WAN-grensesnittet og la alle de andre feltene være standard. Hvis du vil forfalske MAC-adressen din, kan du gjøre det i dette trinnet. For de to siste feltene, sørg for at "Blokker RFC1918 Private Networks"-boksen og "Block bogon-nettverk"-boksen er merket, dette vil automatisk legge til de riktige reglene til brannmuren din.
I trinn fem kan du endre brannmurens IP-adresse. De fleste lokale hjemmenettverk vil enten bruke 192.168.0.1 eller 192.168.1.1 for å få tilgang til ruteren eller brannmuren. Grunnen til at du kanskje vil endre dette til en ikke-standard lokal IP-adresse er fordi hvis du er på andres nettverk og du prøver å VPN tilbake til hjemmenettverket ditt, kan du få et problem der du har samme adresse i begge ender og systemet vil ikke vite om du prøver å koble til den lokale eller eksterne adressen. For eksempel endret jeg min lokale IP-adresse til "192.168.69.1."
I trinn seks kan du angi administratorpassordet ditt. Jeg ble litt forvirret over å se dette trinnet satt inn her siden jeg hadde endret admin-passordet i begynnelsen, så jeg brukte bare mitt samme høyentropi-passord fra før, forutsatt at det ba om det samme passordet som skal brukes til å logge på ruteren.
Deretter, i trinn syv, kan du klikke på "Last inn på nytt"-knappen. Ettersom dette lastes på nytt, koble fra strømkabelen fra bryteren. Siden ruterens lokale IP-adresse ble endret til "192.168.69.1" (eller hva du enn valgte), vil alle enhetene på nettverket nå få sine IP-adresser oppdatert til det IP-området.
Så hvis du for eksempel har PuTTY eller andre SSH-økter konfigurert til Raspberry Pi-noden din, må du nå oppdatere disse tilkoblingskonfigurasjonene. Å koble fra strømmen fra bryteren og koble den til igjen etter at ruteren er startet på nytt, hjelper til med å få alle enhetene dine tilordnet på nytt.
For å finne ut IP-adressene for enhetene på ditt lokale nettverk, kan du navigere til "Status"-fanen og velge "DHCP-leieavtaler" for å se alt oppført:
Etter omlastingen i trinn sju hoppet veiviseren bare over trinn åtte og ni, så jeg er ikke sikker på hva som skjer i disse trinnene, men vi vil gå videre og ta opp ting etter behov.
Et par andre grunnleggende innstillinger som er verdt å merke seg, finnes under "System>Avansert>Admintilgang." Her oppdaterte jeg TCP-porten til "10443" fordi jeg kjører noen tjenester som vil få tilgang til de samme standardportene som 80 eller 443, og jeg vil minimere overbelastning.
Jeg har også aktivert SSH. Deretter kan du velge hvordan SSH er sikret, enten med et passord eller nøkler, eller begge deler eller bare nøkler. Når du har lagret, gi grensesnittet et minutt til å oppdatere til den nye porten. Du må kanskje laste inn siden på nytt ved å bruke den lokale IP-adressen og den nye porten, for eksempel "192.168.69.1:10443." Sørg for å lagre endringene nederst på siden.
Den siste grunnleggende innstillingen jeg skal dekke her er hårnåling, som betyr at du for eksempel kan ha nettverksoppsettet ditt slik at du kan åpne en port til et sikkerhetskamerasystem med en offentlig IP-adresse. Denne offentlige IP-adressen kan også brukes i nettverket ditt også, noe som er praktisk hvis du er hjemme og har tilgang til kamerasystemet fra mobiltelefonen på LAN-en din, så trenger du ikke manuelt endre hvor den kobles til, fordi hårnåling vil se at du bare prøver å få tilgang til en lokal IP, og den vil løkke deg tilbake som standard med denne innstillingen aktivert.
- Under "System"-fanen, naviger til "Avansert> Brannmur og NAT"
- Rull ned til delen "Nettverksadresseoversetter".
- Fra rullegardinmenyen "NAT Reflection Mode" velger du "Pure NAT"
- Klikk "Lagre" nederst på siden og "Bruk endringer" øverst på siden
Det er det for de grunnleggende innstillingene. Den gode nyheten er at pfSense er ganske sikker i sin standardinstallasjon, så det er ikke mye du trenger å endre for å ha et flott grunnleggende grunnlag. Generelt er posisjonen til pfSense-utviklerne at hvis det er en sikrere måte å rulle ut pfSense på, vil de bare gjøre det til standardinnstillingen.
En annen ting å merke seg er at pfSense som standard aktiverer WAN IPv6 nettverksadresseoversettelse (NAT) kartlegging. Jeg valgte å deaktivere dette, så jeg åpner ikke en IPv6-gateway til det vidåpne internett.
Du kan gjøre dette ved å gå til "Grensesnitt>Oppgaver" og deretter klikke på "WAN"-hyperlenken på den første oppgaven. Dette åpner konfigurasjonssiden, og sørg for at "IPv6-konfigurasjonstype" er satt til "Ingen." Lagre og bruk deretter disse endringene.
Deretter kan du navigere til "Brannmur>NAT" og bla ned til "WAN"-grensesnittet med en IPv6-kilde og slette den.
Trinn seks: Slik konfigurerer du pfSense Advanced Settings
I denne delen vil jeg gå over noen avanserte funksjoner som du kan være interessert i for hjemmenettverket ditt. Her vil du se hvordan du setter opp separate nettverk fra pfSense-ruteren din slik at for eksempel gjester kan få tilgang til det vidåpne internett fra et WiFi-tilgangspunkt i hjemmet ditt, men de kan ikke få tilgang til ASIC-ene fra det nettverket.
Hvis du brukte i350-nettverkskortet slik jeg gjorde, har du fire Ethernet-porter tilgjengelig, og hvis du brukte en Dell Optiplex som jeg gjorde, så har du også en femte Ethernet-port på hovedkortet. Hvilket betyr at jeg har fem grensesnitt jeg kan konfigurere, hvorav fire kan være sekundære lokale nettverk.
Det jeg skal gjøre her er å holde arbeidsskrivebordet og mitt dedikerte Bitcoin-skrivebord på ett nettverk (LANwork). Deretter vil jeg konfigurere et sekundært LAN som hjemmets WiFi-tilgangspunkt vil være på (LANhome). På denne måten kan jeg holde trafikk fra familiens nettsurfing helt atskilt fra jobben og Bitcoin-relaterte aktiviteter.
Deretter vil jeg sette opp et annet LAN som vil være dedikert for mine ASICs (LANminers), atskilt fra de to andre nettverkene. Til slutt skal jeg lage et testnettverk (LANtest) som jeg vil bruke til å integrere nye ASIC-er og sikre at det ikke er skadelig fastvare på dem før jeg utsetter mine andre ASIC-er for dem. Du kan også legge til et sikkerhetskameranettverk på et av grensesnittene, mulighetene er uendelige.
Hvis du navigerer til «Grensesnitt»-fanen, og deretter «Grensesnitttilordninger», vil du se alle tilgjengelige nettverkskort RJ45-porter. De skal være merket "igb0", "igb1," "igb2," osv. Nå er det bare å legge til den du er interessert i ved å velge den fra rullegardinmenyen og klikke på den grønne "Legg til"-boksen.
Klikk deretter på hyperkoblingen på venstre side av grensesnittet du nettopp la til for å åpne "Generell konfigurasjon"-siden for det grensesnittet.
- Klikk på "Aktiver grensesnitt"-boksen
- Deretter endrer du "Beskrivelse" til noe som hjelper med å identifisere funksjonen, som "LANhome", for eksempel
- Sett deretter typen "IPv4-konfigurasjon" til "Statisk IPv4" og tilordne et nytt IP-område. Jeg brukte "192.168.69.1/24" for mitt første LAN, så for dette vil jeg bruke det neste sekvensielle IP-området, "192.168.70.1/24."
Du kan la alle de andre innstillingene stå på standardinnstillingene, klikk "Lagre" nederst på siden og deretter "Bruk endringer" øverst på siden.
Nå må du sette opp noen brannmurregler for dette nye LAN. Naviger til "Brannmur"-fanen og deretter "Regler". Klikk for eksempel på nettverket du nylig har lagt til, "LANhome". Klikk deretter på den grønne boksen med pil opp og ordet "Legg til".
På neste side:
- Sørg for at "Handling" er satt til "Pass"
- "Grensesnittet" er satt til "LANhome" (eller hva det sekundære LANet ditt heter)
- Pass på å sette "Protokoll" til "Alle", ellers vil dette nettverket begrense typen trafikk som kan sendes på det
- Deretter kan du legge til et kort notat for å angi hva denne regelen er for, for eksempel "Tillat all trafikk"
- Da kan alle andre innstillinger forbli i standardinnstillingene og klikk "Lagre" nederst på siden og "Bruk endringer" øverst på siden
Før du kan teste det nye nettverket ditt, må du ha en IP-adresse satt opp på det:
- Naviger til "Tjenester" og deretter "DHCP-server"
- Klikk deretter på fanen for ditt nye LAN
- Klikk på "Aktiver"-boksen og legg deretter til IP-adresseområdet ditt i de to "Range"-boksene. For eksempel brukte jeg området fra "192.168.70.1 til 192.168.70.254." Klikk deretter på "Lagre" nederst på siden og "Bruk endringer" øverst på siden.
Nå kan du teste ditt nye nettverk ved å fysisk koble en datamaskin til den tilsvarende RJ45-porten på nettverkskortet og deretter prøve å få tilgang til internett. Hvis alt fungerte, bør du kunne surfe på det vidåpne nettet.
Du kan imidlertid legge merke til at hvis du er på ditt sekundære LAN og prøver å logge på brannmuren din, vil du kunne gjøre det ved å bruke "192.168.70.1" IP-adressen. Personlig vil jeg bare ha tilgang til brannmuren fra mitt "LANwork"-nettverk. Jeg vil ikke at min kone og barn eller gjester skal kunne logge på brannmuren fra deres utpekte "LANhome"-nettverk. Selv om jeg har et høyentropi-passord for å komme inn i brannmuren, skal jeg fortsatt konfigurere de andre LAN-ene slik at de ikke kan snakke med ruteren.
Et problemområde jeg har, som denne typen konfigurasjon vil bidra til å lindre, er at hvis jeg kobler en ASIC til nettverket mitt med en skadelig fastvare installert på den, kan jeg holde den enheten isolert og forhindre at sikkerhetsproblemet påvirker andre enheter og informasjon. som jeg har, og det er grunnen til at en av LAN-ene jeg setter opp kalles "LANtest", som vil være dedikert til å holde nye ASIC-er fullstendig isolert slik at jeg kan teste dem i sikkerhet uten å tillate et potensielt angrep på mine andre ASIC-er eller andre enheter i hjemmets nettverk.
For å sette opp en regel slik at port 10443 ikke kan nås fra dine andre LAN-nettverk, naviger til "Brannmur>Regler" og velg deretter fanen for det tilsvarende nettverket du er interessert i. Klikk på den grønne boksen med pil opp og ordet "Legg til" i den.
- Sørg for at "Action" er satt til "Block"
- Deretter, under "Destinasjon"-delen, sett "Destinasjon" til "Denne brannmuren (selv)" og deretter "Destinasjonsportområde" til "10443" ved å bruke "Egendefinert"-boksene for "Fra" og "Til"-feltene
- Du kan legge til en beskrivelse for å hjelpe deg å huske hva denne regelen er for. Klikk deretter på "Lagre" nederst på siden og deretter "Bruk endringer" øverst på siden.
Å ha et høyentropi-passord for å logge på ruteren og låse porten er en god start, men du kan sekvestre LAN-nettverkene dine ytterligere og sikre at enheter på ett nettverk ikke kan komme inn på noen av de andre nettverkene i det hele tatt ved å sette opp en alias for ditt primære LAN.
Naviger til "Brannmur>Aliaser", og klikk deretter på "Legg til"-knappen under "IP"-fanen.
- Deretter kalte jeg dette aliaset "SequesteredNetworks0"
- Jeg skrev inn en beskrivelse for å minne meg på hva dens funksjon er
- Siden jeg skal legge til en brannmurregel til "LANhome"-nettverket mitt som refererer til dette aliaset, la jeg de andre LAN-ene til "Nettverk"-listen. På denne måten kan ikke "LANhome" snakke med "LANwork", "LANminers" eller "LANtest."
- Klikk på "Lagre" nederst på siden og deretter "Bruk endringer" øverst på siden
Nå kan jeg legge til flere aliaser som vil bli referert til i brannmurregler på de andre LAN-ene for å forhindre at "LANminers" snakker med "LANwork", "LANhome" og "LANtest" - så videre og så videre til alle nettverkene mine er sekvestrert i en måte at bare brannmuren min kan se hva som er tilkoblet på de andre nettverkene.
Med aliaset opprettet, kan en ny brannmurregel brukes som refererer til dette aliaset på det sekundære LAN.
- Naviger til "Brannmur>Regler", velg LAN du vil bruke regelen på, for eksempel "LANhome"
- Sett deretter den til "Blokker" for "Handling". For "Protokoll" sett den til "Alle".
- For "Destinasjon" sett den til "Enkeltvert eller alias"
- Skriv deretter inn aliasnavnet ditt
- Klikk på "Lagre" nederst på siden og deretter "Bruk endringer" øverst på siden.
Når jeg opprettet aliasene og satte brannmurreglene, kunne jeg koble den bærbare datamaskinen til hver RJ45-grensesnittport for nettverkskort og forsøke å pinge hvert av de andre nettverkene. Jeg kunne komme meg ut til det vidåpne internett fra hvert LAN, men jeg var ikke i stand til å kommunisere med noen av de andre LAN-ene eller brannmuren. Nå vet jeg at noen enheter på noen av mine LAN ikke vil ha tilgang til enheter på noen av mine andre LAN. Bare fra mitt primære "LANwork"-nettverk kan jeg se hva som er tilkoblet på alle de andre LAN-ene.
Det tar vare på de avanserte funksjonene som jeg ønsket å dele med deg. Du bør nå ha noen brannmurregler satt opp og flere nettverk sekvestrert. Deretter kommer vi til å sette opp et WiFi-tilgangspunkt på et av de sekundære LAN-ene.
Trinn syv: Hvordan sette opp og konfigurere et WiFi-tilgangspunkt
I denne delen vil jeg vise deg hvordan jeg konfigurerte hjemmets mesh WiFi ved å bruke det sekundære "LANhome"-nettverket. Nøkkelpunktene å huske på her er at jeg gjorde dette til et dedikert LAN spesielt for et WiFi-tilgangspunkt for familien min og gjestene å koble til uten å gi dem tilgang til pfSense-brannmuren min eller andre LAN-er. Men de har fortsatt ubegrenset tilgang til det vidåpne nettet. Jeg vil legge til en VPN-tunnel for dette LAN senere i denne veiledningen.
For å sikre at jeg ga tilstrekkelig WiFi-signal til hele huset, bestemte jeg meg for å gå med en NetGear Nighthawk AX1800 kit.
Inne i dette settet er en WiFi-ruter og en repeatersatellitt. Den grunnleggende ideen er at WiFi-ruteren kobles til pfSense-brannmuren direkte med en Ethernet-kabel på igb2 "LANhome"-porten. Deretter sender WiFi-ruteren signalet til repeatersatellitten i et annet område av huset. Slik kan jeg øke WiFi-signaldekningen til et større område.
For å oppnå dette fulgte jeg ganske enkelt disse trinnene:
- 1. Koble WiFi-ruteren til pfSense-brannmuren på port igb2 "LANhome" ved hjelp av en Ethernet-kabel til porten merket "Internett" på baksiden av WiFi-ruteren.
- 2. Koble en bærbar datamaskin til porten merket "Ethernet" på baksiden av WiFi-ruteren med en Ethernet-kabel.
- 3. Koble WiFi-ruteren til strøm ved hjelp av den medfølgende strømadapteren.
- 4. Vent til lyset lyser konstant blått foran på WiFi-ruteren.
- 5. Åpne en nettleser på den bærbare datamaskinen og skriv inn IP-adressen til WiFi-ruteren. Jeg fant IP-adressen ved siden av "MR60"-enheten i pfSense-dashbordet mitt under "Status>DHCP-leieavtaler."
- 6. Umiddelbart ble jeg bedt om å endre passordet. Igjen brukte jeg et høyentropi, tilfeldig passord med tilhørende passordbehandler. Jeg vil ikke at familien min eller gjestene skal kunne få tilgang til disse administrative innstillingene for WiFi-tilgangspunktet, så det anbefales å plassere et sterkt passord her. Du kan også bli bedt om å oppdatere fastvaren også, noe som vil resultere i en omstart.
- 7. Deretter kan du logge på igjen med ditt nye administratorpassord og endre standard nettverksnavn til det du vil, og legge til et WiFi-passord for å få tilgang til WiFi-nettverket; dette er passordet som deles med familie og gjester, så dette har jeg gjort ganske enkelt å huske og dele. Selv om en ond aktør knekker passordet og får tilgang til WiFi-nettverket, er det totalt sekvestrert fra alt annet, og selve WiFi-ruteren har et passord med høy entropi.
- 8. Naviger deretter til "Avansert>Trådløst tilgangspunkt" og aktiver "AP-modus". "AP" står for tilgangspunkt. Bruk deretter endringene.
- 9. Ruteren vil starte på nytt. På dette tidspunktet vil den lokale IP-adressen bli oppdatert, denne endringen kan overvåkes på statussiden for "DHCP-leieavtaler". Nå kan den bærbare datamaskinen kobles fra WiFi-ruteren og WiFi-ruteren kan logges på fra samme maskin som pfSense-grensesnittet kjører.
- 10. Når du er logget på igjen, klikker du på "Legg til enhet", og du vil bli bedt om å sette satellittrepeateren på plass og koble den til strøm. Følg deretter instruksjonene på grensesnittet for å synkronisere satellitten.
Nå kan familien min, gjestene og jeg surfe på det vidåpne nettet fra enhetene våre via WiFi uten frafall i hele huset, og jeg trenger ikke å være bekymret for at noen får tilgang til det sensitive arbeidsnettverket mitt, eller ASIC-nettverket mitt eller testen min. Nettverk.
Deretter kommer vi inn på å legge til VPN-tunneler til nettverkene vi har opprettet så langt.
Trinn åtte: Hvordan installere og konfigurere WireGuard-pakken med Mullvad
WireGuard er en VPN-programvareprotokoll som kan installeres på pfSense-brannmuren din, så kan du bruke den protokollen til å definere hvordan du bygger tunnelene med VPN-leverandøren din.
VPN-er lager en sikker og kryptert tunnel fra datamaskinen din til VPN-leverandørens server. Dette forhindrer Internett-leverandøren din fra å se dataene dine eller hvor den er endelige destinasjon. Det finnes flere typer VPN-protokoller, som f.eks OpenVPN, IKEv2 / IPSec, L2TP / IPSec og WireGuard, men de har alle i hovedsak det samme målet å skissere instruksjonene for å lage en sikker tunnel for kryptering av dataene dine som skal sendes over offentlige nettverk.
WireGuard er et nylig tillegg til utvalget av VPN-protokoller, det er åpen kildekode og relativt "lett", med mindre kode og raskere hastigheter enn noen andre. Hastighetsdelen var nøkkelen for meg med tanke på at ekstra latens kan redusere en ASICs effektivitet.
En annen fordel med VPN-er er at din geografiske plassering kan forfalskes, noe som betyr at hvis du er i en del av verden, kan du bruke en VPN-tunnel til en VPN-leverandørs server i en annen del av verden, og det vil se ut som om internett ditt trafikk kommer fra den serveren. Dette er gunstig for folk som bor i autoritative land der tilgangen til visse nettsteder og tjenester er begrenset.
Husk at du må stole på at VPN-leverandøren din ikke logger IP-adressen din, eller at den kan eller vil overføre denne informasjonen til myndighetene hvis den trykkes. Mullvad samler ingen personlig informasjon om deg, ikke engang en e-postadresse. I tillegg aksepterer den bitcoin eller kontanter, slik at du kan betale for tjenesten uten risiko for å koble bankdetaljene dine. Mullvad har også en "ikke-logging"-policy, som du kan lese her..
For min spesifikke brukssituasjon her, vil jeg bruke en VPN for å sikre at min ISP ikke ser at jeg utvinner Bitcoin, og for også å forhindre min gruvepool, Slush Pool, fra å se min virkelige IP-adresse – ikke fordi jeg gjør noe ulovlig eller fordi jeg tror at Slush Pool logger IP-adressen min, men ganske enkelt fordi dette er tumultariske tider med et raskt skiftende politisk miljø og de tingene jeg gjør lovlig i dag kan veldig vel bli forbudt i morgen.
Eller, hvis det ble vedtatt en lovgivning som gjør det ulovlig for en person å drive en Bitcoin-gruvearbeider i USA uten en pengesenderlisens, for eksempel, så kunne jeg forfalske posisjonen min slik at hvis Slush Pools hånd ble tvunget til å blokkere IP-adresser som kommer fra USA, kunne jeg fortsette gruvedriften siden det ser ut til at hash-raten min stammer fra utenfor USA.
Tatt i betraktning at blokkjeden er evig og fremtiden er usikker, tror jeg det er verdt å ta seg tid til å finne ut hvordan jeg skal ivareta privatlivet mitt. Ved å ta skritt i dag for å øke mitt privatliv og sikkerhet, kan jeg sørge for at min frihet og min jakt på lykke blir ivaretatt.
Det store flertallet av informasjonen som presenteres i denne delen kommer fra å se Christian McDonald-videoer på YouTube. Du kan finne alle WireGuard & Mullvad VPN-videoene hans her..
Jeg vil spesifikt påpeke denne videoen av hans på å bruke WireGuard-pakken i pfSense for å sette opp Mullvad på en måte som har flere tunneler som tillater lastbalansering av trafikken sømløst:
Mullvad er et betalt VPN-abonnement, avgiften er €5 per måned. Mullvad godtar imidlertid bitcoin og krever ingen identifiserende informasjon. Før jeg viser deg hvordan du setter opp Mullvad-abonnementet ditt, får vi WireGuard-pakken installert på pfSense-brannmuren din. Deretter setter vi opp en Mullvad-konto og genererer konfigurasjonsfilene. Deretter kan vi sette opp flere tunneler og gjøre noen fancy konfigurasjoner i pfSense.
I pfSense, naviger til "System>Package Manager>Tilgjengelige pakker" og bla deretter ned til WireGuard-koblingen og klikk på "Installer." På neste side klikker du på "Bekreft". Installasjonsprogrammet vil kjøre og gi deg beskjed når det er fullført.
Nå kan du navigere til "VPN>WireGuard" og se at pakken er installert, men ingenting er konfigurert ennå. Nå som brannmuren har WireGuard klar, vil vi jobbe med å få installert VPN-klienten.
naviger til https://mullvad.net/en/ og klikk på "Generer konto."
Mullvad samler ingen informasjon fra deg som navn, telefonnummer, e-post osv. Mullvad genererer et unikt kontonummer og dette er den eneste identifiserende informasjonen du får relatert til kontoen din, så skriv den ned og sikre den.
Velg deretter betalingsmåten din. Du får 10 % rabatt for bruk av bitcoin. Abonnementet fungerer så lenge du vil betale for (opptil 12 måneder) med en rate på €5 per måned. Så et ettårs abonnement vil for eksempel være €60 eller omtrent 0.001 BTC med dagens kurs (fra november 2021). Du vil bli presentert med en QR-kode for Bitcoin-adresse som du kan sende betalingen til.
Sjekk mempool for å se når Bitcoin-transaksjonen din blir bekreftet. Det kan hende du må vente en stund avhengig av overbelastning av nettverket.
Etter bekreftelse på kjede, blir Mullvad-kontoen toppet og skal vise at du har tid igjen. Ta hensyn til å velge en serverplassering fra Mullvads lange liste over servere. Hvis du planlegger å kjøre ASIC-er bak VPN-en din, anbefaler jeg å koble til en server som er relativt nær din faktiske geografiske plassering for å prøve å redusere eventuell ventetid så mye som mulig.
Måten Mullvad fungerer på er med konfigurasjonsfiler som tildeler et unikt offentlig/privat nøkkelpar for hver tunneladresse. Den grunnleggende ideen her er at jeg vil ha en primær tunnel satt opp for ASIC-ene, men jeg vil også ha et sekundært tunneloppsett med en annen server på en annen geografisk plassering i tilfelle den primære tunnelforbindelsen går offline. På denne måten vil min internetttrafikk automatisk bytte over til den andre tunnelen, og det vil ikke være noen avbrudd i å skjule min offentlige IP-adresse eller kryptere trafikkdataene mine. Jeg skal også sette opp andre tunneler spesifikt for mitt WiFi-nettverk og mitt "LANwork"-nettverk.
For å gjøre dette trenger jeg så mange nøkkelpar som jeg vil ha tunneler. Ett Mullvad-abonnement inkluderer opptil fem nøkkelpar. Navigere til https://mullvad.net/en/account/#/wireguard-config/ og velg plattformen din, f.eks. Windows. Klikk deretter på "Generer nøkler" for så mange nøkkelpar du vil, opptil fem nøkler. Klikk deretter på "Administrer nøkler" under det for å se listen din.
*Alle nøkler og sensitiv informasjon presentert i denne veiledningen har blitt atomvåpen før publisering. Vær forsiktig med å dele denne informasjonen med noen, du vil holde Mullvad-nøklene dine private.
Du kan se at jeg genererte fire nøkler for denne guiden, som jeg vil ødelegge etter at jeg er ferdig med å bruke dem som eksempler. Hver konfigurasjonsfil må settes opp med en spesifikk Mullvad-server du velger.
- Velg "Offentlig nøkkel" du er interessert i å lage en konfigurasjonsfil for ved å velge sirkelen under "Bruk"-kolonnen ved siden av den aktuelle offentlige nøkkelen.
- Velg landet, byen og serveren du vil konfigurere med denne offentlige nøkkelen.
- Klikk på "Last ned fil."
- Lagre konfigurasjonsfilen på et praktisk sted fordi du må åpne den om et øyeblikk.
*Husk, for hver tunnel til en ny server du vil konfigurere, må du bruke en separat offentlig nøkkel. Hvis du prøver å tilordne to tunneler til samme nøkkel, vil pfSense støte på problemer med VPN-en din.
Gjenta denne prosessen for så mange nøkler som du genererte, velg en annen server for hver unike nøkkel og generer konfigurasjonsfilen. Jeg fant det nyttig å navngi konfigurasjonsfilen som byen og serveren som ble brukt.
Naviger nå tilbake til pfSense og gå til "VPN> WireGuard> Innstillinger" og klikk på "Aktiver WireGuard" og deretter "Lagre."
- Naviger til "Tunneller"-fanen og velg "Legg til tunnel."
- Åpne din første Mullvad-konfigurasjonsfil med et tekstredigeringsprogram som Notisblokk og hold den til siden.
- I WireGuard legger du til en "Beskrivelse" for tunnelen din som beskriver hva den er, for eksempel "Mullvad Atlanta US167."
- Kopier/lim inn "PrivateKey" fra Mullvad-konfigurasjonsfilen og legg den til i dialogboksen "Interface Keys".
- Klikk på "Lagre tunnel" og deretter "Bruk endringer" øverst på siden.
WireGuard vil automatisk generere den offentlige nøkkelen når du limer inn den private nøkkelen og trykker på "tab"-tasten på tastaturet. Du kan bekrefte at den offentlige nøkkelen ble riktig generert ved å sammenligne den med nøkkelen på Mullvad-nettstedet som du genererte tidligere.
Gjenta denne prosessen for så mange tunneler du vil. Pass på at du bruker den riktige Mullvad-konfigurasjonsfilen for hver enkelt, da de alle inneholder forskjellige offentlige/private nøkkelpar, IP-adresser og endepunkter.
Hver tunnel vil få sin egen likemann. Du kan legge til en «Peer» ved først å navigere til «Peer»-fanen ved siden av «Tunneller»-fanen du nettopp var på. Klikk deretter på "Legg til peer".
- Velg riktig tunnel fra rullegardinmenyen for denne peeren.
- Legg til en "beskrivelse" for tunnelen din som beskriver hva den er, for eksempel "Mullvad Atlanta US167."
- Fjern merket for "Dynamisk endepunkt".
- Kopier/lim inn "Endpoint" IP-adressen og porten fra Mullvad-konfigurasjonsfilen inn i "Endpoint"-feltene i WireGuard.
- Du kan gi 30 sekunder til «Keep Alive»-feltet.
- Kopier/lim inn "PublicKey" fra Mullvad-konfigurasjonsfilen inn i "Public Key"-feltet i WireGuard.
- Endre "Tillatte IP-er" til "0.0.0.0/0" for IPv4. Du kan også legge til en beskrivelse som "Tillat alle IP-er" hvis du vil.
- Klikk på "Lagre" og velg deretter "Bruk endringer" øverst på siden.
Gjenta denne prosessen for så mange jevnaldrende som du har tunneler. Pass på at du bruker den riktige Mullvad-konfigurasjonsfilen for hver enkelt, da de alle inneholder forskjellige offentlige/private nøkkelpar, IP-adresser og endepunkter.
På dette tidspunktet bør du kunne navigere til "Status"-fanen og observere håndtrykkene som finner sted ved å klikke på "Vis jevnaldrende" i nedre høyre hjørne.
Deretter må grensesnittene tildeles for hver tunnel.
- Naviger til "Grensesnitt> Grensesnitttilordninger"
- Velg hver tunnel fra rullegardinmenyen og legg den til i listen din.
Etter at alle tunnelene dine er lagt til, klikker du på den blå hyperkoblingen ved siden av hver lagt til tunnel for å konfigurere grensesnittet.
- Klikk på "Aktiver grensesnitt"-boksen
- Skriv inn beskrivelsen din - jeg brukte nettopp VPN-servernavnet for eksempel: "Mullvad_Atlanta_US167"
- Velg "Static PIv4"
- Skriv "1420" i "MTU & MSS"-boksene
- Kopier/lim inn verts-IP-adressen fra Mullvad-konfigurasjonsfilen i dialogboksen "IPv4-adresse".
- Klikk deretter på "Legg til en ny gateway"
Etter å ha klikket på "Legg til en ny gateway", vil du bli presentert med popup-dialogboksen nedenfor. Skriv inn et navn for den nye gatewayen din, noe enkelt som navnet på tunnelen din med «GW» for «GateWay». Skriv deretter inn den samme verts-IP-adressen fra Mullvad-konfigurasjonsfilen. Du kan også legge til en beskrivelse hvis du vil, for eksempel "Mullvad Atlanta US167 Gateway." Klikk deretter på "Legg til".
Når du er tilbake til grensesnittkonfigurasjonssiden, klikker du på "Lagre" nederst på siden. Klikk deretter på "Bruk endringer" øverst på siden.
Gjenta denne prosessen for å lage en gateway for hvert tunnelgrensesnitt du har lagt til. Pass på at du bruker den riktige Mullvad-konfigurasjonsfilen for hver av dem, da de alle inneholder forskjellige verts-IP-adresser.
På dette tidspunktet kan du navigere til dashbordet og overvåke statusen til gatewayene dine. Hvis du ikke allerede har gjort det, kan du tilpasse dashbordet til å overvåke flere statistikker i pfSense. Klikk på "+"-tegnet i øvre høyre hjørne av dashbordet ditt, og deretter vil en liste over tilgjengelige statistiske monitorer rulle ned og du kan velge de du vil ha.
På dashbordet mitt, for eksempel, har jeg tre kolonner, som starter med «Systeminformasjon». I den andre kolonnen har jeg «Installerte pakker»-sammendraget, «WireGuard»-status og en liste over grensesnittene mine. I den tredje kolonnen har jeg statusen "Gateway" og "Tjenester". På denne måten kan jeg raskt sjekke og overvåke status på alle mulige ting.
Det jeg vil påpeke om dashbordet er at i delen "Gatewayer" vil du legge merke til at alle gatewayene er online. Portene vil være online så lenge tunnelen er aktiv, selv om den eksterne siden ikke svarer. Dette er fordi de er det lokale grensesnittet, så akkurat nå er de ubrukelige siden selv om den eksterne siden går ned, vil de fortsatt vises som online. For å aktivere muligheten til å overvåke latens slik at disse gatewayene kan gi noen nyttige statistikker, må jeg gi disse gatewayene en DNS-adresse (public domain name system) som skal overvåkes.
Du vil legge merke til at alle tunnelpingtidene er null millisekunder. Det er fordi jeg ikke sender noen data ut gjennom disse tunnelene. Ved å pinge en offentlig DNS-server kan pfSense få noen nyttige beregninger og ta avgjørelser om hvilken tunnel som vil gi minst forsinkelse eller om en ekstern server går ned for å omdirigere trafikk.
Du kan finne en offentlig DNS-server å overvåke på denne nettstedet eller en rekke andre offentlige DNS-serveroppføringer. Se etter den registrerte oppetidsprosenten, jo mer jo bedre. Du vil finne offentlige DNS IPv4 IP-adresser for å overvåke på IPv4-gatewayene dine. Hver gateway trenger en egen DNS-adresse for å overvåke.
Når du har dine offentlige DNS-adresser, naviger til "System>Routing>Gateways" i pfSense. Klikk på blyantikonet ved siden av gatewayen din. Du kan se at "Gateway-adressen" og "Monitor IP"-adressen er den samme på alle gatewayene. Det er derfor pingtiden er null millisekunder, og det er også grunnen til at pfSense vil tro at gatewayen alltid er oppe.
Skriv inn den offentlige DNS IP-adressen du vil overvåke i "Monitor IP"-feltet og klikk deretter på "Lagre" nederst på skjermen. Klikk deretter på "Bruk endringer" øverst på skjermen. Husk at gatewayer ikke kan dele den samme DNS-overvåkingsadressen, så bruk en annen offentlig DNS-server for hver gateway som skal overvåkes.
Nå, hvis du går tilbake til dashbordet og ser på gateway-monitoren din, bør du se at det er noen faktiske latensverdier å observere. Med denne informasjonen kan du sette opp gatewayene dine i prioritert rekkefølge basert på hvilke som har lavest ventetid for internettrafikken din. Så hvis du for eksempel utvinner Bitcoin, vil du prioritere ASIC-ene dine for å gå gjennom tunnelen med lavest ventetid først. Hvis den tunnelen svikter, kan brannmuren automatisk bytte dem til neste lags gateway med den nest minste ventetiden og så videre.
Alt ser bra ut så langt, tunnelene er aktive og det går data gjennom portene. Deretter må vi definere noen utgående nettverksadresseoversettelse (NAT) kartlegging på brannmuren.
- Naviger til "Brannmur"-fanen, deretter "NATm" og deretter "Utgående"-fanen. Dette vil trekke opp en liste over alle nettverkstilordningene dine fra WAN-ene til LAN-ene. Siden vi har noen nye grensesnitt definert, ønsker vi å legge til disse kartleggingene i listen.
- Klikk på "Hybrid Outbound NAT Rule Generation" under delen "Utgående NAT-modus".
- Bla til bunnen av siden og klikk på "Legg til"
- Velg ditt grensesnitt fra rullegardinmenyen
- Velg "IPv4" for "Adressefamilien"
- Velg "alle" for "Protokoll"
- Sørg for at "Kilde" er på "Nettverk" og skriv deretter inn det lokale IP-adresseområdet for LAN-en du vil gå ned i denne tunnelen. For eksempel vil jeg at "LAN-arbeidet" mitt skal gå gjennom denne tunnelen til Atlanta, så jeg skrev inn "192.168.69.1/24."
- Skriv deretter inn en beskrivelse hvis du vil, for eksempel "Utgående NAT for LANwork til Mullvad Atlanta US167."
- Klikk deretter på "Lagre" nederst på siden og "Bruk endringer" øverst på siden.
Gjenta denne prosessen for hvert av tunnelgrensesnittene. Du vil legge merke til at jeg har «LANwork»-nettverket mitt til Atlanta-tunnelen, «LANhome»-nettverket mitt til New York-tunnelen, og jeg har satt opp «LANminers»-nettverket for både Miami- og Seattle-tunnelen. Du kan angi en kartlegging for gruve-LAN til alle fem av tunnelene dine hvis du vil. Du kan også ha flere LAN kartlagt til samme tunnel hvis du vil, det er mye fleksibilitet.
Med alle tilordningene på plass, kan vi legge til brannmurregler. Naviger til "Brannmur>LAN", og klikk deretter på "Legg til", "LAN" er det LAN du vil legge til en regel til. For eksempel setter jeg opp "LANwork"-nettverket mitt i dette skjermbildet:
- Sett "Action" til "Pass"
- Sett "Adressefamilie" til "IPv4"
- Sett "Protokoll" til "Alle"
- Klikk deretter på "Vis avansert"
- Rull ned til "Gateway" og velg gatewayen du har satt opp for dette LAN
- Klikk på "Lagre" nederst på skjermen, og klikk deretter på "Bruk endringer" øverst på skjermen
Deretter gjør du det samme med ditt neste LAN til du har satt opp alle LAN-ene dine med en gateway-regel. Her er et øyeblikksbilde av LAN-gateway-reglene mine, du vil legge merke til at jeg la til to gateway-regler til "LANminers"-nettverket mitt. I et senere trinn vil jeg vise deg hvordan du setter opp den automatiske lastbalanseringen mellom tunneler for gruve-LAN som vil erstatte de to reglene jeg nettopp la til "LANminers", men jeg vil sørge for at alt er satt opp og fungerer som det skal. først.
For å dobbeltsjekke at alt fungerer så langt og at hvert av LAN-ene mine får forskjellige offentlige IP-er, går jeg inn «ifconfig.co» inn i en nettleser fra hvert LAN. Hvis alt fungerer som det skal, bør jeg ha forskjellige plasseringer for hvert LAN jeg kobler til og pinger fra:
Alt fungerte som planlagt, første forsøk. Mens jeg var koblet til hvert LAN, klarte jeg å deaktivere den tilsvarende brannmurregelen og oppdatere siden og se at IP-adressen min endret seg tilbake til mitt faktiske grove geografiske område.
Hvis du husker, hadde jeg satt opp to tunneler for "LANminers"-nettverket mitt. Da jeg deaktiverte regelen for én brannmur som tilsvarer Miami-tunnelen og oppdaterer nettleseren min, byttet den umiddelbart til en IP-adresse i Seattle.
Så hvert LAN sender trafikk gjennom en annen tunnel, og alle tunnelene mine fungerer som forventet. Når det gjelder "LANminers"-nettverket mitt, vil jeg imidlertid at pfSense automatisk skal bytte mellom Miami- og Seattle-tunnelene basert på ventetid eller nedlagte servere. Med et par trinn til kan jeg få dette konfigurert til å bytte automatisk og erstatte de to brannmurreglene med en ny enkeltregel.
Naviger til "System>Routing" og deretter "Gateway Groups"-fanen.
- Skriv inn et gruppenavn som "Mullvad_LB_LANMiners." "LB" er for "Load Balance".
- Sett alle de andre gateway-prioriteringene til "Aldri", bortsett fra de to gatewayene du er interessert i for gruvearbeiderne dine. I dette tilfellet bruker jeg mine Miami- og Seattle-gatewayer. Jeg har begge disse prioriteringene satt til "Tier 1", eller du kan bruke alle fem tunnelene dine hvis du vil.
- Sett triggernivået til "Pakketap eller høy latens"
- Legg til en beskrivelse hvis du vil, for eksempel "Load Balance LANminers Mullvad Tunnels"
- Klikk på "Lagre" nederst på skjermen, deretter "Bruk endringer" øverst på skjermen
Hvis du navigerer til «Status>Gateways» og deretter «Gateway Groups»-fanen, bør du kunne se den nye gatewaygruppen din online. I teorien, hvis du ruter trafikk til "Mullvad_LB_LANminers", bør den balansere trafikken mellom de to gatewayene basert på latens.
Nå kan denne gatewaygruppen brukes i en brannmurregel for å rute denne trafikken deretter. Naviger til "Brannmur>Regler" og deretter "LANminers"-fanen eller hva gruve-LANet ditt heter.
Fortsett og deaktiver de to reglene du satte opp tidligere for å teste VPN-tunnelene ved å klikke på den utstrekede sirkelen ved siden av regelen. Klikk på "Bruk endringer", og klikk deretter på "Legg til" nederst.
- Sett protokollen til "Alle"
- Klikk på "Vis avansert"
- Rull ned til "Gateway" og velg belastningsbalanse-gatewaygruppen du opprettet
- Klikk på "Lagre" nederst på siden og klikk på "Bruk endringer" øverst på siden
Det burde være alt som trengs for å få ASIC-ene til å bytte fra en VPN-tunnel til en annen VPN-tunnel automatisk basert på ventetid eller nedlagte servere. For å teste dette, koble en bærbar datamaskin til den dedikerte Ethernet-porten på nettverkskortet ditt for gruve-LAN. Dette er "igb3" i mitt tilfelle.
Sørg for at WiFi er av. Åpne en nettleser og skriv "ifconfig.co" i URL-linjen. Resultatene skal plassere deg i en av VPN-tunnelene dine. I mitt tilfelle var det Miami.
Deretter, tilbake i pfSense, naviger til "Grensesnitt> Oppdrag" og klikk på hyperkoblingen for det tunnelgrensesnittet. I mitt tilfelle er det "Mullvad_Miami_US155"-grensesnittet.
Helt øverst på denne konfigurasjonssiden fjerner du merket for "Aktiver grensesnitt." Klikk deretter på "Lagre" nederst på skjermen og klikk deretter på "Bruk endringer" øverst på skjermen. Dette har nettopp deaktivert Miami-tunnelen som mine LANminers sendte trafikk gjennom.
Tilbake på den bærbare datamaskinen, oppdater nettleseren med ifconfig.co-siden. Det skal nå plassere posisjonen din i Seattle, eller hvor den sekundære tunnelen din var satt til. Noen ganger må jeg lukke nettleseren helt og åpne den på nytt for å tømme hurtigbufferen.
Pass på at du går tilbake til Miami-grensesnittet ditt og merker av i boksen på nytt for å aktivere det grensesnittet, lagre og bruk. Deretter kan du navigere tilbake til "Brannmur>Regler", deretter gruve-LAN og slette de to reglene du hadde deaktivert.
Det er det, du bør være god til å gå. Husk at brannmurregler fungerer ovenfra og ned. Deretter skal jeg komme inn på hvordan du kan bidra til å forhindre annonsesporing.
Trinn ni: Slik konfigurerer du Ad-Blocker-funksjoner
Reklameselskaper er veldig interessert i deg og så mye informasjon som de kan få om deg. Dessverre, når du surfer på internett, er det lett å lekke denne ettertraktede informasjonen.
Denne informasjonen genereres penger for å målrette mot bestemte målgrupper med produkter og tjenester med kirurgisk presisjon. Du har kanskje opplevd å søke etter noe på nettet, og senere lagt merke til annonser som dukker opp i feeden på sosiale medier som samsvarer med de siste søkene dine. Dette gjøres mulig ved å samle så mye informasjon om internettsøkene dine, hvilke nettsteder du besøker, hvilke bilder du ser på, hva du laster ned, hva du lytter til, posisjonen din, hva som er i handlekurven, hvilke betalingsmåter du bruker, klokkeslett og dato for all denne aktiviteten, og deretter koble denne informasjonen til unikt identifiserbare konstanter som den spesifikke nettleseren du bruker og på hvilken enhet du bruker den.
Kombiner denne informasjonen med din IP-adresse, ISP-konto og profil på sosiale medier, og du kan begynne å se hvordan det er en honningpott med informasjon om deg som du kanskje ikke vil ha så lett tilgjengelig for selskaper, rettshåndhevelse, fremmede eller hackere. Mellom cookies, nettleserens fingeravtrykk og atferdssporing det kan virke som om oddsen er stablet mot deg. Men det er enkle trinn du kan ta for å begynne å beskytte personvernet ditt nå. Det ville være synd å la perfekt være det godes fiende og holde deg tilbake fra å komme i gang.
I denne delen vil du se hvordan du kan inkorporere annonseblokkeringsfunksjoner ved å endre DNS-serveren og DHCP-serverinnstillingene i brannmuren. På et høyt nivå skriver du inn et nettstedsnavn i nettleseren din, som sendes til en DNS-server (vanligvis Internett-leverandørens DNS-server), og den serveren oversetter den menneskelesbare teksten til en IP-adresse og sender den tilbake til nettleseren din. slik at den vet hvilken webserver du prøver å nå. I tillegg sendes målrettede annonser til deg på denne måten.
Jeg anbefaler å starte denne øvelsen ved å besøke https://mullvad.net/en/.
Deretter klikker du på koblingen "Se etter lekkasjer" for å se hvor du kan forbedre deg.
Hvis du får DNS-lekkasjer, avhengig av hvilken nettleser du bruker, kan du finne nyttige instruksjoner fra Mullvad her. for å herde nettleseren din og bidra til å forhindre annonsering og sporing på nettlesernivå. Prøv deretter på nytt.
Hvis du har problemer med å blokkere annonser med din foretrukne nettleser, bør du vurdere å bruke en mer personvernfokusert nettleser som Ugooglet Chromium:
- Velg ditt operativsystem og den nyeste versjonen
- Last ned installasjonsprogrammet .exe
- Bekreft hash-verdien
- Kjør installasjonsprogrammet og konfigurer deretter de grunnleggende innstillingene som standard søkemotor
Tor er en annen nettleser jeg vil anbefale å bruke så mye som mulig, bare generelt.
Mullvad tilbyr noen forskjellige DNS-løsende servere som kan finnes oppført i denne Mullvad-artikkel. For dette eksemplet vil jeg bruke "100.64.0.3"-serveren for blokkering av annonsesporing. Sørg for å referere til Mullvad-nettstedet for de siste oppdaterte IP-adressene til DNS-serveren, da disse kan endres av og til.
I pfSense, naviger til "System>Generelt" og bla ned til delen "DNS Server Settings" og skriv "100.64.0.3" i DNS Server-feltet med WAN-gatewayen din valgt. Hvis du brukte min anbefaling fra begynnelsen av veiledningen, bør dette allerede være satt, men du må følge DHCP-instruksjonene nedenfor.
Klikk på "Lagre" nederst på siden.
Deretter går du til "Tjenester> DHCP-server" og ruller ned til "Servere." I feltet for "DNS-servere", skriv inn "100.64.0.3" og klikk på "Lagre" nederst på siden. Gjenta dette trinnet for alle LAN-ene dine hvis du har konfigurert flere nettverk.
Nå bør du ha en ad-tracker-blokkerende DNS-server konfigurert på brannmurnivå for å beskytte all internettsurfing. Deretter, hvis du tok de ekstra tiltakene med å konfigurere nettleseren din eller oppgradere til en personvernfokusert nettleser, har du tatt et stort sprang fremover i å beskytte personvernet ditt på stasjonære enheter.
Jeg anbefaler også å vurdere å bruke UnGoogled Chromium eller Bromitt på mobil. Hvis du er interessert i flere personverntiltak for mobile enheter, sjekk ut guiden min om CalyxOS her..
Trinn 10: Slik ser du etter ventetid forårsaket av VPN
Det er rimelig bekymring for at bruk av en VPN kan introdusere latens til gruvetrafikken din. Problemet med det er at du vil få færre belønninger.
Når det er ventetid, kan ASIC-en din fortsette å hashe en blokkhode som ikke lenger er gyldig. Jo lenger ASIC-en din bruker på å hashe en ugyldig blokkoverskrift, desto mer "foreldet" hash-rate vil du sende til bassenget. Når bassenget ser hashes komme inn for en blokkoverskrift som ikke lenger er gyldig, avviser bassenget dette arbeidet. Dette betyr at ASIC-en din bare kastet bort litt datakraft for ingenting, selv om dette er på skalaen av millisekunder, når en ASIC beregner billioner av hashes hvert sekund, kan det legge seg raskt.
Vanligvis er dette et veldig lite forhold sammenlignet med mengden arbeid som aksepteres av bassenget. Men du kan begynne å se hvordan betydelig og kontinuerlig ventetid kan ha en innvirkning på gruvebelønningene dine.
Generelt sett, jo nærmere to servere er hverandre, jo mindre ventetid vil det være. Med en VPN må jeg sende gruvetrafikken min til VPN-serveren, og derfra går den til bassengets server. I et forsøk på å prøve å redusere ventetiden ved geografisk nærhet, brukte jeg tre VPN-servere som var mellom min plassering og bassengets server. Jeg ønsket også å være klar over risikoen ved å ha et regionalt internettbrudd, så jeg la også til to VPN-servere som ikke var mellom bassenget og meg. Med mitt "LANminers"-nettverk konfigurert til å laste balansetrafikk mellom fem forskjellige tunneler, startet jeg en fem-dagers test.
De første to og en halv dagene (60 timer) ble brukt til gruvedrift med VPN på. De andre to og en halv dagene ble brukt til gruvedrift med VPN slått av. Her er hva jeg fant:
I løpet av de første 60 timene hadde min ASIC 43,263 87 aksepterte pakker og 0.201 avviste pakker. Dette tilsvarer at 0.201 %, eller med andre ord, XNUMX %, av mine brukte ressurser ikke blir belønnet.
Etter 120 timer hadde min ASIC 87,330 187 aksepterte pakker og 60 avviste pakker. Ved å trekke fra de første 44,067-timersavlesningene satt jeg igjen med 100 0.226 aksepterte pakker og XNUMX avviste pakker mens VPN var slått av. Dette tilsvarer XNUMX %. Overraskende nok er dette litt mer et avvisningsforhold uten personvernfordelene til en VPN gitt samme tid.
Avslutningsvis, ved å balansere gruvetrafikken min mellom fem VPN-tunneler, var jeg i stand til å oppnå personvernfordelene til en VPN uten å redusere effektiviteten til gruvedriften min. Faktisk, når det gjelder avvist forhold, klarte min gruvearbeider bedre å bruke VPN enn å ikke bruke VPN.
Hvis du er interessert i å lære mer om emnene som dekkes i denne veiledningen, sjekk ut disse tilleggsressursene:
Takk for at du leste! Jeg håper at denne artikkelen hjalp deg med å forstå det grunnleggende om å bruke et gammelt skrivebord for å installere et nettverk og flashe med pfSense for å lage en allsidig brannmur, hvordan du konfigurerer separate LAN, hvordan du setter opp en mesh WiFi-ruter, hvordan du lager en Mullvad VPN konto og hvordan du bruker WireGuard til å konfigurere VPN-failovers for å minimere ventetiden på gruvedriften din.
Dette er et gjestepost av Econoalchemist. De uttrykte meningene er helt deres egne og gjenspeiler ikke nødvendigvis de til BTC Inc eller Bitcoin Magazine.
Kilde: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- adgang
- Logg inn
- Handling
- aktiv
- Aktiviteter
- Ad
- Ytterligere
- admin
- annonser
- Alle
- tillate
- Søknad
- AREA
- rundt
- Artikkel
- ASIC
- auto
- Banking
- Grunnleggende
- BEST
- beste praksis
- Bitcoin
- Bitcoin gruvedrift
- blockchain
- Blogg
- Eske
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- BTC
- BTC Inc.
- bygge
- Bygning
- hvilken
- Kontanter
- forårsaket
- sertifikat
- endring
- kontroll
- Sjekker
- krom
- Circle
- City
- nærmere
- kode
- Kolonne
- kommer
- Selskaper
- datamaskiner
- databehandling
- databehandlingskraft
- Konfigurasjon
- tilkobling
- Tilkoblinger
- fortsette
- Corporations
- land
- Par
- Opprette
- Credentials
- dashbord
- dato
- ødelegge
- utviklere
- Enheter
- gJORDE
- aktsomhet
- Rabatt
- Vise
- dns
- Domain Name
- Drop
- redaktør
- effektivitet
- emalje
- Endpoint
- slutter
- Engelsk
- Miljø
- Øvelse
- erfaring
- ansikter
- vendt
- familie
- Mote
- FAST
- Egenskaper
- Felt
- Figur
- Endelig
- Først
- Blitz
- fleksibilitet
- følge
- skjema
- Forward
- Fundament
- Gratis
- Frihet
- fullt
- funksjon
- framtid
- general
- GitHub
- Giving
- god
- flott
- Grønn
- Gruppe
- Gjest
- gjest innlegg
- veilede
- hackere
- maskinvare
- hash
- hash rate
- hashing
- her.
- Høy
- hold
- Hjemprodukt
- hus
- Hvordan
- Hvordan
- HTTPS
- lesbar
- Sulten
- Hybrid
- ICON
- Tanken
- identifisere
- ulovlig
- bilde
- Påvirkning
- Øke
- informasjon
- Infrastruktur
- Intel
- interesse
- Interface
- Internet
- IP
- IP-adresse
- IP-adresser
- IT
- holde
- nøkkel
- nøkler
- kids
- laptop
- siste
- lansere
- Law
- rettshåndhevelse
- lekke
- Lekkasjer
- læring
- Lovgivning
- Nivå
- Tillatelse
- lett
- LINK
- Liste
- oppført
- Lytting
- oppføringer
- laste
- lokal
- plassering
- Lang
- mac
- Flertall
- Making
- merke
- Match
- Media
- Minne
- metall
- Metrics
- Miners
- Gruvedrift
- speil
- Mobil
- håndholdte enheter
- mobiltelefon
- penger
- måneder
- flytte
- nettverk
- nettverk
- nettverk
- New York
- nyheter
- på nett
- åpen
- drift
- operativsystem
- Meninger
- Opportunity
- Alternativ
- alternativer
- rekkefølge
- Annen
- brudd
- Passord
- passord
- Betale
- betaling
- Ansatte
- ping
- planlegging
- plattform
- podcast
- politikk
- basseng
- makt
- presentere
- privatliv
- Personvern og sikkerhet
- privat
- private Key
- Produkter
- Profil
- program
- beskytte
- protokollen
- offentlig
- offentlig Key
- Publisering
- QR kode
- RAM
- område
- RE
- redusere
- forskning
- Ressurser
- REST
- Resultater
- Belønninger
- Risiko
- Rull
- Rute
- regler
- Kjør
- rennende
- Sikkerhet
- besparende
- Skala
- Skjerm
- Søk
- sekundær
- sikkerhet
- Sees
- valgt
- selger
- Tjenester
- sett
- innstilling
- Del
- delt
- Shell
- Shopping
- Kort
- nedleggelse
- Sølv
- Enkelt
- SIX
- liten
- Snapshot
- So
- selskap
- sosiale medier
- Software
- fart
- Begynn
- startet
- Stater
- stats
- status
- abonnement
- vellykket
- Bytte om
- system
- snakker
- Target
- terminal
- vilkår og betingelser
- test
- Testing
- Grunnleggende
- verden
- tid
- verktøy
- topp
- temaer
- Sporing
- trafikk
- Transaksjonen
- Oversettelse
- billioner
- Stol
- oss
- forent
- Forente Stater
- Oppdater
- usb
- video
- videoer
- virtuelle
- VPN
- VPN
- vente
- Se
- web
- nettleser
- webserveren
- Nettsted
- nettsteder
- Hva er
- HVEM
- wifi
- Wikipedia
- vind
- vinduer
- trådløs
- ord
- Arbeid
- virker
- verden
- verdt
- youtube
- null