Cum să construiți o rețea de domiciliu care împiedică furnizorul dvs. de internet să vă vadă datele, izolează ASIC-urile și vă permite să extrageți Bitcoin fără permisiune.
Un ghid axat pe confidențialitate despre construirea unei rețele de domiciliu sigure cu un firewall pfSense, care explică cum să configurați rețele de acasă dedicate pentru a separa navigarea pe internet WiFi a familiei dvs. de traficul dvs. de minerit Bitcoin; cum se configurează un VPN cu WireGuard; și cum să trimiteți tot traficul dvs. de internet prin tunelurile Mullvad VPN cu echilibrare automată a sarcinii pentru a comuta între tuneluri în perioadele de latență ridicată; precum și cum să configurați un blocator de anunțuri la nivel de firewall.
Fiecare miner de acasă Bitcoin va avea nevoie de o rețea de domiciliu. Construirea unei rețele securizate și private pentru mine este o parte esențială a menținerii unei operațiuni fără permisiune. Urmând acest ghid, veți vedea cum să construiți o rețea minieră solidă și personalizabilă, care oferă următoarele beneficii și multe altele:
- Tunnel de rețea privată virtuală (VPN) pentru a securiza și cripta traficul dvs. de internet
- Confidențialitate sporită față de privirile indiscrete ale furnizorului dvs. de servicii de internet (ISP)
- Atenuarea riscului potențial de înregistrare a adreselor IP din grupul dvs. de minerit
- Configurarea unui firewall pfSense
- Crearea de rețele de acasă sechestrate pentru a vă păstra ASIC-urile separate de rețeaua WiFi pentru oaspeți etc.
- Configurarea unui punct de acces la rețea WiFi mesh
- Configurarea unui ad-blocker la nivel de firewall.
În acest ghid, veți vedea câteva programe gratuite, open-source, cum ar fi pfSense și WireGuard, precum și unele software cu sursă deschisă plătite, cum ar fi VPM Mullvad.
Asumarea acestei sarcini a început pentru mine când eu și soția mea am decis să ne vindem casa din oraș și să ne mutăm la țară. Am avut viziuni de a înființa o nouă infrastructură minieră de la zero și am vrut să profit de această ocazie pentru a construi cea mai bună rețea de domiciliu pe care mi-am dorit-o întotdeauna - o rețea de domiciliu care a împiedicat ISP-ul meu să-mi vadă datele și unde se îndreptau acestea, o rețea de acasă care Mi-am izolat ASIC-urile de alte dispozitive conectate la rețea, o rețea de domiciliu care nu mă urmărea constant și nu vindea informațiile mele de navigare agenților de publicitate.
Acesta este momentul în care am început să mă uit atent la a blog pe subiectul din k3tan. În articolul lor pfSense, k3tan a prezentat multe dintre atributele unei rețele de acasă pe care doream să o construiesc pentru mine și a indicat câteva resurse suplimentare care m-au făcut să cred că aș putea face asta chiar dacă aș încerca cu adevărat.
Nu am avut nicio experiență de rețea înainte de a intra în acest lucru și, deși există o mulțime de pași, este într-adevăr foarte ușor să utilizați instrumente gratuite și open-source pentru a începe să faceți salturi și limite în a vă proteja confidențialitatea.
Am apelat la k3tan și mi-au susținut eforturile și m-au ajutat să trec peste unele obstacole cu care m-am confruntat — apreciez foarte mult acest lucru și vreau să-ți mulțumesc, k3tan.
Împreună pentru acest ghid, am cheltuit 360 USD pentru a-mi construi rețeaua de acasă. 160 USD pe o placă de rețea și 200 USD pe un kit WiFi mesh (care, sincer, ar fi putut fi făcut cu un router de 40 USD, dar YOLO!).
Câteva limitări de care ar trebui să fiți conștienți: am avut literalmente zero experiență de rețea înainte de acest ghid. Este foarte posibil să fi făcut vreo greșeală neprevăzută. Vă recomand cu căldură să utilizați acest lucru ca ghid, dar să încorporați și propria dvs. cercetare și diligență în configurarea propriei rețele de acasă. VPN-urile sunt un instrument excelent pentru a vă proteja confidențialitatea, dar nu sunt un glonț de argint. Există mai multe alte moduri prin care vă puteți scurge date și vă puteți diminua confidențialitatea. Vestea bună este că este ușor să începeți să luați pași în dezvoltarea celor mai bune practici bune, concentrate pe confidențialitate.
Vă recomandăm să citiți acest ghid din Mullvad, ascultând acest podcast de la SethForPrivacy, și verificarea resurselor suplimentare de la Techlore.
Să trecem direct la asta și să vă configurați rețeaua minieră de acasă într-un mod care vă face familia fericită și vă păstrează ASIC-urile în siguranță și private.
Construirea unui firewall pfSense dintr-un computer desktop vechi
În 10 pași de mai jos, vă voi arăta cum am folosit un computer desktop vechi pentru a construi un firewall pfSense și cum mi-am configurat rețeaua de acasă.
Dacă alegeți această opțiune în loc să vă construiți propria, atunci puteți sări la pasul patru de mai jos.
Pasul unu: Cum se instalează noua placă de rețea
În primul rând, veți avea nevoie de un computer desktop vechi. Am folosit un Dell Optiplex 9020 Small Form Factor (SFF). Aceasta este o piesă puternică de hardware pentru un firewall; are un procesor Intel i7-4790 de 3.6 GHz, 16 GB RAM și un hard disk de 250 GB.
În mod implicit, acest computer are un singur port Ethernet RJ45. Cu toate acestea, dacă acesta va servi drept firewall, va avea nevoie de cel puțin două porturi Ethernet. Pentru a realiza acest lucru, am achiziționat o placă de rețea Intel i350 care este echipată cu patru porturi Ethernet. Placa de rețea i350 este proiectată pentru a fi utilizată în slotul PCIe cu patru benzi de pe placa de bază a desktopului.
Pentru acest șasiu SFF, a trebuit să schimb suportul metalic de dimensiune cadru complet cu suportul mai mic inclus pe placa de rețea. Apoi pur și simplu deschideți șasiul și deschideți clema externă care acoperă sloturile PCI goale. Cu o șurubelniță, puteți scoate inserția de suport metalic goală din fața slotului PCI cu patru benzi și puteți introduce placa de rețea. Apoi, închideți clema și puneți la loc capacul lateral al șasiului.
Odată instalat, este important să rețineți care port Ethernet este pentru rețeaua largă (WAN) și ce porturi sunt pentru rețeaua locală (LAN). WAN este ceea ce face față la internetul public larg deschis, iar LAN este ceea ce face față la rețeaua dvs. locală de acasă.
Odată instalat, puteți seta computerul desktop în lateral pentru moment. Veți dori să utilizați computerul conectat la rețea pentru a descărca și a verifica imaginea pfSense și a o introduce pe o unitate USB.
Pasul doi: Cum să descărcați și să verificați fișierul imagine pfSense și să îl introduceți pe o unitate USB
În primul rând, navigați la aceasta Pagina de descărcare a pfSense și, odată acolo:
- Selectați arhitectura „AMD64”.
- Apoi „Instalator USB Memstick”
- Apoi consola „VGA”.
- Apoi selectați oglinda cea mai apropiată de locația dvs. geografică, așa cum este demonstrat în captura de ecran de mai jos, și faceți clic pe „Descărcați”
Apoi, puteți calcula suma de control SHA-256 pe fișierul comprimat pe care l-ați descărcat și o puteți verifica față de suma de control afișată pe pagina de descărcare pfSense.
Îmi place să folosesc un editor hexadecimal gratuit numit HxD pentru calcularea sumelor de control. Doar deschideți fișierul care vă interesează, navigați la „Instrumente”, apoi „Sume de verificare” și selectați „SHA256” din meniu. Dacă valorile hash nu se potrivesc, nu rulați fișierul executabil.
Cel mai simplu mod pe care l-am găsit de a flash un fișier imagine pe o unitate USB este să folosesc un program numit balenaetcher.
Odată instalată, lansați aplicația, faceți clic pe „Flash din fișier”, apoi navigați la folderul în care aveți fișierul imagine comprimat pfSense.
Apoi, selectați unitatea USB goală și apoi faceți clic pe „Flash”. BalenaEtcher va începe procesul de intermitent și va decomprima automat fișierul imagine pfSense. Acest proces va dura câteva minute.
După ce intermiterea este completă, ar trebui să obțineți o bifă verde care indică faptul că totul a fost verificat. Dacă primiți o eroare de la balenaEtcher, poate fi necesar să încercați să flashați pe o altă unitate USB.
Acum puteți scoate în siguranță unitatea USB flash de pe computer și sunteți gata să flashiți celălalt computer desktop.
Pasul trei: Cum să flashezi desktopul și să instalezi pfSense
Conectați o tastatură, un monitor, un cablu de alimentare și unitatea USB flash la computerul desktop pe care ați instalat placa de rețea. Monitorul trebuie conectat prin conexiuni VGA — conexiunile DisplayPort nu vor funcționa din experiența mea. Nu conectați încă cablurile Ethernet.
După ce totul este conectat, porniți desktopul. Unele computere vor detecta automat că este introdusă o unitate USB bootabilă și vă vor întreba de pe ce unitate doriți să porniți. În cazul meu, computerul tocmai a pornit implicit de pe unitatea „C:” și a lansat Windows automat. Dacă vi se întâmplă acest lucru, închideți computerul și apoi țineți apăsat „F12” de pe tastatură și porniți-l din nou. Aceasta va lansa BIOS-ul, unde puteți spune computerului de pe ce unitate doriți să porniți.
De exemplu, aici este mediul meu BIOS în care am putut să selectez unitatea USB SanDisk pe care am trimis imaginea pfSense. După selectarea acestei opțiuni, un script va rula pentru scurt timp și apoi programul de instalare pfSense se va lansa:
În primul rând, acceptați termenii și condițiile. Apoi selectați „Instalați pfSense”, apoi alegeți harta de taste potrivită pentru dvs. Dacă vorbiți engleză și locuiți în SUA, probabil că veți dori doar să utilizați implicit.
Apoi, tocmai am ales opțiunea „Auto ZettaByte File System” (ZFS) deoarece folosesc o platformă hardware care este mult peste specificată pentru un firewall de acasă. Opțiunea ZFS are mai multe caracteristici și este mai fiabilă decât opțiunea Unix File System (UFS), dar ZFS poate avea mai multă memorie, ceea ce nu mă preocupă cu adevărat, având în vedere că am 16 GB de RAM pe acest desktop.
Apoi, veți avea câteva opțiuni de partiționare și redundanță, pe care le-am păstrat cât mai simple posibil, de exemplu, fără redundanță și opțiunile de configurare implicite. Apoi, selectați „Instalare”.
Apoi, veți vedea câteva confirmări că instalarea pfSense a avut succes. Un prompt vă va întreba dacă doriți să faceți manual modificări finale, ceea ce eu nu am făcut-o. Apoi, vă va întreba dacă doriți să reporniți, selectați da. Scoateți imediat unitatea USB în acest moment, înainte ca repornirea să repornească, deoarece altfel vă va lăsa din nou la începutul asistentului de instalare. Ar trebui să ajungeți în meniul principal al terminalului odată ce repornirea este terminată.
Acum sunteți gata să vă conectați noul firewall la rețeaua de acasă.
Pasul patru: Cum să conectați pfSense într-o rețea de domiciliu
Următorii pași vor fi parcurși cu toții pe tastatura și monitorul conectat la noul firewall:
- Mai întâi, opriți routerul furnizat de ISP, opriți modemul și deconectați cablurile Ethernet de la modem și router.
- Apoi, porniți noul firewall și lăsați pfSense să se încarce. Apoi, porniți modemul și așteptați să se conecteze la internet.
- În meniul pfSense, selectați opțiunea unu, „Atribuiți interfețe”. Vă va întreba dacă doriți să configurați VLAN-uri acum, introduceți „n” pentru nr. Apoi vă va cere să introduceți numele interfeței WAN, introduceți „a” pentru detectarea automată.
- Conectați un cablu Ethernet de la ieșirea modemului la noua interfață a plăcii de rețea firewall. Amintiți-vă, portul din extrema dreaptă, dacă urechile de eliberare RJ45 sunt orientate în sus, este portul dvs. WAN, sau partea extremă stângă dacă urechile de eliberare RJ45 sunt orientate în jos.
- Odată conectat, apăsați „Enter”. Ar trebui să detecteze conexiunea pe portul de interfață igb0. Dacă este igb3, atunci comutați cablul Ethernet pe partea opusă și încercați din nou.
- Apoi vă va cere să introduceți numele interfeței LAN, introduceți „a” pentru detectarea automată. Conectați un cablu Ethernet de la următorul port disponibil de pe noua placă de rețea firewall la comutatorul dumneavoastră Ethernet sau la alt punct de acces. Rețineți că, dacă intenționați să rulați o rețea locală virtuală (VLAN), va trebui să utilizați un comutator gestionat.
- Odată conectat, apăsați enter. Ar trebui să detecteze conexiunea pe portul de interfață igb1.
- Apoi, apăsați Enter din nou pentru „nimic”, deoarece nu sunt configurate alte conexiuni de rețea în acest moment.
- Apoi vă va informa că interfețele vor fi alocate după cum urmează: WAN = igb0 și LAN = igb1.
- Introduceți „y” pentru da și pfSense va scrie configurația și vă va aduce înapoi la meniul principal cu adresele dvs. WAN IP v4 și IP v6 afișate în partea de sus.
Doar pentru a ilustra un exemplu de configurare a căii de semnal, ați putea face o configurare ca aceasta:
În acest moment, ar trebui să puteți introduce „192.168.1.1” în browserul dvs. web de pe desktop-ul obișnuit și să lansați interfața web pfSense. Este un certificat autosemnat, deci acceptați riscul atunci când vi se solicită și continuați. Datele de conectare sunt admin/pfsense.
Acum puteți deconecta tastatura și monitorul de la noul firewall. Restul pașilor vor fi finalizați prin interfața web de pe desktop-ul obișnuit.
Pasul cinci: Cum să configurați setările de bază pfSense
În acest pas, veți vedea cum să configurați setările de bază, cum ar fi vrăjitorul de configurare, să schimbați portul TCP, să activați Secure Shell SSH și să configurați agraful în mod implicit. Marea majoritate a informațiilor prezentate aici și în pasul șase de mai jos au provenit din vizionarea acesteia Videoclipul lui Tom Lawrence pe pfSense — Recomand cu căldură să vizionați acest videoclip, este lung, dar plin de informații valoroase și are mult mai multe detalii decât vă prezint în acest ghid.
Mai întâi, faceți clic pe dialogul roșu de avertizare din partea de sus a paginii pentru a schimba parola folosită pentru a vă conecta la noul firewall. Personal, recomand parole cu entropie mare, de unică folosință, cu un manager de parole însoțitor. Apoi, deconectați-vă și conectați-vă din nou pentru a testa modificările.
După ce v-ați reconectat, deschideți „Setup Wizard” din fila „System”:
Apoi, expertul vă va ghida prin nouă pași de bază pentru a vă configura noul firewall pfSense.
Faceți clic pe „Următorul” la primul pas.
Apoi, la al doilea pas, puteți configura numele de gazdă, domeniul și serverele DNS primare/secundar. Puteți lăsa „Nume gazdă” și „Domeniu” ca valori implicite sau le puteți seta la orice doriți. Am ales „100.64.0.3” pentru serverul DNS principal pentru accesul la internet și am debifat caseta „Override DNS” pentru a evita ca DHCP să suprascrie serverele DNS. Voi trece peste de ce am folosit „100.64.0.3” la pasul 10 al acestui ghid.
Apoi, puteți seta fusul orar la pasul trei:
La al patrulea pas, puteți selecta „DHCP” pentru interfața WAN și lăsați toate celelalte câmpuri ca valori implicite. Dacă doriți să vă falsificați adresa MAC, puteți face acest lucru în acest pas. Pentru ultimele două câmpuri, asigurați-vă că caseta „Blocați rețele private RFC1918” și caseta „Blocați rețele bogon” sunt bifate, acest lucru va adăuga automat regulile corespunzătoare la firewall.
La pasul cinci, puteți schimba adresa IP a firewall-ului. Majoritatea rețelelor locale de acasă vor folosi fie 192.168.0.1, fie 192.168.1.1 pentru a accesa routerul sau firewallul. Motivul pentru care ați putea dori să schimbați această adresă IP locală care nu este implicită este că, dacă vă aflați în rețeaua altcuiva și încercați să reconectați VPN în rețeaua dvs. de domiciliu, este posibil să întâmpinați o problemă în care aveți aceeași adresă. la ambele capete și sistemul nu va ști dacă încercați să vă conectați la adresa locală sau la distanță. De exemplu, mi-am schimbat adresa IP locală la „192.168.69.1”.
La pasul șase, puteți seta parola de administrator. Am fost puțin confuz să văd acest pas inserat aici, deoarece am schimbat parola de administrator la început, așa că am folosit aceeași parolă cu entropie ridicată de înainte, presupunând că mi-a cerut aceeași parolă care va fi folosită pentru a vă autentifica. routerul.
Apoi, la pasul șapte, puteți face clic pe butonul „Reîncărcare”. Pe măsură ce se reîncarcă, deconectați cablul de alimentare de la comutator. Deoarece adresa IP locală a routerului a fost schimbată în „192.168.69.1” (sau orice ați ales), toate dispozitivele din rețea vor avea acum adresele IP actualizate la acel interval IP.
Deci, dacă aveți PuTTY sau alte sesiuni SSH configurate pentru nodul Raspberry Pi, de exemplu, acum va trebui să actualizați acele configurații de conexiune. Deconectarea alimentării de la comutator și reconectarea acesteia după ce routerul este repornit vă ajută să vă reatribuiți toate dispozitivele.
Pentru a afla adresele IP pentru dispozitivele din rețeaua locală, puteți naviga la fila „Stare” și selectați „Închiriere DHCP” pentru a vedea tot ce este enumerat:
După reîncărcarea de la pasul șapte, vrăjitorul doar a sărit peste pașii opt și nouă, așa că nu sunt sigur ce se întâmplă în acești pași, dar vom merge mai departe și vom aborda lucrurile după cum este necesar.
Câteva alte setări de bază care merită remarcate se găsesc în „Sistem> Avansat> Acces admin”. Aici, am actualizat portul TCP la „10443” pentru că rulez unele servicii care vor accesa aceleași porturi implicite precum 80 sau 443 și vreau să minimizez congestia.
De asemenea, am activat SSH. Apoi, puteți alege cum este securizat SSH, fie cu o parolă, fie cu chei, fie ambele sau numai cu chei. După salvare, acordați interfeței un minut pentru a se actualiza la noul port. Poate fi necesar să reîncărcați pagina folosind adresa IP locală și noul port, de exemplu, „192.168.69.1:10443”. Asigurați-vă că salvați modificările în partea de jos a paginii.
Ultima setare de bază pe care o voi acoperi aici este fixarea părului, ceea ce înseamnă că, de exemplu, vă puteți configura rețeaua, astfel încât să puteți deschide un port către un sistem de camere de securitate cu o adresă IP publică. Această adresă IP publică poate fi folosită și în interiorul rețelei dvs., ceea ce este convenabil dacă sunteți acasă, accesând sistemul de camere de pe telefonul mobil pe LAN, atunci nu trebuie să schimbați manual unde se conectează, deoarece agraful va vedea că doar încercați să accesați un IP local și vă va întoarce în mod implicit cu această setare activată.
- Sub fila „Sistem”, navigați la „Avansat>Firewall și NAT”
- Derulați în jos la secțiunea „Traducător de adrese de rețea”.
- Din meniul drop-down „NAT Reflection Mode”, selectați „Pure NAT”
- Faceți clic pe „Salvați” în partea de jos a paginii și pe „Aplicați modificări” în partea de sus a paginii
Asta este pentru setările de bază. Vestea bună este că pfSense este destul de sigur în instalarea sa implicită, așa că nu trebuie să schimbați prea multe pentru a avea o bază excelentă. În general, poziția dezvoltatorilor pfSense este că, dacă există o modalitate mai sigură de a lansa pfSense, atunci ei vor face doar setarea implicită.
Un alt lucru de remarcat este că, în mod implicit, pfSense permite maparea WAN IPv6 de traducere a adresei de rețea (NAT). Am ales să dezactivez acest lucru, așa că nu deschid o poartă IPv6 către internetul larg deschis.
Puteți face acest lucru mergând la „Interfețe> Atribuții” și apoi făcând clic pe hyperlinkul „WAN” de pe prima sarcină. Aceasta va deschide pagina de configurare, apoi asigurați-vă că „Tipul de configurare IPv6” este setat la „Niciuna”. Apoi salvați și aplicați acele modificări.
Apoi puteți naviga la „Firewall>NAT” și derulați în jos la interfața „WAN” cu o sursă IPv6 și ștergeți-o.
Pasul șase: Cum să configurați setările avansate pfSense
În această secțiune voi trece peste câteva funcții avansate care v-ar putea interesa pentru rețeaua dvs. de domiciliu. Aici, veți vedea cum să configurați rețele separate de la routerul dvs. pfSense, astfel încât, de exemplu, oaspeții să poată accesa internetul larg deschis de la un punct de acces WiFi din casa dvs., dar nu pot accesa ASIC-urile dvs. din acea rețea.
Dacă ați folosit placa de rețea i350 ca mine, atunci aveți patru porturi Ethernet disponibile, iar dacă ați folosit un Dell Optiplex ca mine, atunci aveți și un al cincilea port Ethernet pe placa de bază. Ceea ce înseamnă că am cinci interfețe pe care le pot configura, dintre care patru pot fi rețele locale secundare.
Ceea ce voi face aici este să-mi păstrez desktopul de lucru și desktopul meu dedicat Bitcoin într-o singură rețea (LANwork). Apoi, voi configura o rețea LAN secundară pe care punctul de acces WiFi al casei mele va fi activat (LANhome). În acest fel, pot păstra traficul din navigarea pe internet a familiei mele complet separat de munca mea și activitățile legate de Bitcoin.
Apoi, voi configura un alt LAN care va fi dedicat pentru ASIC-urile mele (LANminers), separat de celelalte două rețele. În cele din urmă, voi crea o rețea de testare (LANtest) pe care o voi folosi pentru a integra noi ASIC-uri și pentru a mă asigura că nu există firmware rău intenționat înainte de a le expune celelalte ASIC-uri ale mele. Ai putea adăuga și o rețea de camere de securitate pe una dintre interfețe, posibilitățile sunt nesfârșite.
Dacă navigați la fila „Interfețe”, apoi „Atribuire interfețe”, veți vedea toate porturile RJ45 disponibile ale plăcii de rețea. Acestea ar trebui să fie etichetate „igb0”, „igb1”, „igb2” etc. Acum, pur și simplu adăugați-l pe cel care vă interesează selectându-l din meniul derulant și făcând clic pe caseta verde „Adăugați”.
Apoi, faceți clic pe hyperlinkul din partea stângă a interfeței pe care tocmai ați adăugat-o pentru a deschide pagina „Configurație generală” pentru acea interfață.
- Faceți clic pe caseta „Activați interfața”.
- Apoi, schimbați „Descrierea” cu ceva care ajută la identificarea funcției sale, cum ar fi „LANhome”, de exemplu
- Apoi, setați tipul „Configurație IPv4” la „IPv4 static” și atribuiți un nou interval de IP. Am folosit „192.168.69.1/24” pentru prima mea LAN, așa că pentru aceasta, voi folosi următorul interval IP secvențial, „192.168.70.1/24”.
Puteți lăsa toate celelalte setări la valorile implicite, faceți clic pe „Salvați” în partea de jos a paginii și apoi pe „Aplicați modificări” în partea de sus a paginii.
Acum, trebuie să configurați câteva reguli de firewall pentru acest nou LAN. Navigați la fila „Firewall”, apoi „Reguli”. Faceți clic pe rețeaua nou adăugată, „LANhome”, de exemplu. Apoi, faceți clic pe caseta verde cu săgeata în sus și cuvântul „Adăugați”.
Pe pagina următoare:
- Asigurați-vă că „Acțiunea” este setată la „Pass”
- „Interfața” este setată la „LANhome” (sau cum se numește LAN-ul secundar)
- Asigurați-vă că setați „Protocolul” la „Orice”, altfel această rețea va restricționa tipul de trafic care poate fi transmis pe ea
- Apoi, puteți adăuga o notă scurtă pentru a indica pentru ce este această regulă, cum ar fi „Permite tot traficul”
- Apoi, toate celelalte setări pot rămâne în valorile implicite și dați clic pe „Salvați” în partea de jos a paginii și pe „Aplicați modificări” în partea de sus a paginii.
Înainte de a vă putea testa noua rețea, trebuie să aveți o adresă IP configurată pe ea:
- Navigați la „Servicii”, apoi „Server DHCP”
- Apoi faceți clic pe fila pentru noua dvs. LAN
- Faceți clic pe caseta „Activare” și apoi adăugați intervalul de adrese IP în cele două casete „Interval”. De exemplu, am folosit intervalul de la „192.168.70.1 la 192.168.70.254”. Apoi, faceți clic pe „Salvați” în partea de jos a paginii și pe „Aplicați modificări” în partea de sus a paginii.
Acum puteți testa noua rețea conectând fizic un computer la portul RJ45 corespunzător de pe placa de rețea și apoi încercați să accesați internetul. Dacă totul a funcționat, atunci ar trebui să puteți naviga pe web larg deschis.
Cu toate acestea, este posibil să observați că, dacă vă aflați pe rețeaua LAN secundară și încercați să vă conectați la firewall, veți putea face acest lucru folosind adresa IP „192.168.70.1”. Personal, vreau ca firewall-ul meu să fie accesibil doar din rețeaua mea „LANwork”. Nu vreau ca soția și copiii sau oaspeții mei să se poată conecta la firewall din rețeaua lor „LANhome” desemnată. Chiar dacă am o parolă cu entropie ridicată pentru a intra în firewall, încă voi configura celelalte rețele LAN, astfel încât acestea să nu poată vorbi cu routerul.
Un domeniu de îngrijorare pe care acest tip de configurație îl va ajuta la atenuarea este că, dacă conectez un ASIC în rețeaua mea cu un firmware rău intenționat instalat pe el, pot păstra acel dispozitiv izolat și pot preveni ca problema de securitate să afecteze alte dispozitive și informații. pe care le am, motiv pentru care unul dintre LAN-urile pe care le instalez se numește „LANtest”, care va fi dedicat menținerii ASIC-urilor noi complet izolate, astfel încât să le pot testa în siguranță, fără a permite un atac potențial asupra celorlalte ASIC-uri ale mele sau alte dispozitive din rețelele de acasă.
Pentru a configura o regulă astfel încât portul 10443 să nu poată fi accesat din celelalte rețele LAN, navigați la „Firewall>Reguli” și apoi selectați fila pentru rețeaua de interes corespunzătoare. Faceți clic pe caseta verde cu săgeata în sus și cuvântul „Adăugați” în ea.
- Asigurați-vă că „Acțiune” este setat la „Blocați”
- Apoi, în secțiunea „Destinație”, setați „Destinație” la „Acest firewall (auto)” și apoi „Interval de porturi de destinație” la „10443” folosind casetele „Personalizat” pentru câmpurile „De la” și „Către”
- Puteți adăuga o descriere pentru a vă ajuta să vă amintiți pentru ce este această regulă. Apoi faceți clic pe „Salvați” în partea de jos a paginii și apoi pe „Aplicați modificări” în partea de sus a paginii.
A avea o parolă cu entropie mare pentru a vă conecta la router și a bloca portul este un început excelent, dar vă puteți sechestra și mai mult rețelele LAN și vă puteți asigura că dispozitivele dintr-o rețea nu pot intra deloc în nici una dintre celelalte rețele prin configurarea unui alias pentru LAN-ul dvs. principal.
Navigați la „Firewall> Aliasuri”, apoi sub fila „IP” faceți clic pe butonul „Adăugați”.
- Apoi, am numit acest alias „SequesteredNetworks0”
- Am introdus o descriere pentru a-mi aminti care este funcția ei
- Deoarece voi adăuga o regulă de firewall la rețeaua mea „LANhome” care face referire la acest alias, am adăugat celelalte rețele LAN la lista „Rețea”. În acest fel, „LANhome” nu poate vorbi cu „LANwork”, „LANminers” sau „LANtest”.
- Faceți clic pe „Salvați” în partea de jos a paginii și apoi pe „Aplicați modificări” în partea de sus a paginii
Acum pot adăuga aliasuri suplimentare care vor fi menționate în regulile paravanului de protecție pe celelalte rețele LAN pentru a împiedica „LANminers” să vorbească cu „LANwork”, „LANhome” și „LANtest” - așa mai departe și așa mai departe până când toate rețelele mele sunt sechestrate în o modalitate prin care numai firewall-ul meu poate vedea ce este conectat pe celelalte rețele.
Odată cu aliasul creat, se poate aplica o nouă regulă de firewall care face referire la acest alias pe LAN secundar.
- Navigați la „Firewall>Reguli”, selectați rețeaua LAN la care doriți să aplicați regula, de exemplu, „LANhome”
- Apoi, pentru „Acțiune”, setați-l la „Blocați. Pentru „Protocol” setați-l la „Orice”.
- Pentru „Destinație” setați-l la „Gazdă unică sau alias”
- Apoi introduceți numele aliasului dvs
- Faceți clic pe „Salvați” în partea de jos a paginii și apoi pe „Aplicați modificări” în partea de sus a paginii.
Odată ce am creat aliasurile și am stabilit regulile paravanului de protecție, am putut să-mi conectez laptopul la fiecare port de interfață RJ45 a plăcii de rețea și să încerc să pun ping la fiecare dintre celelalte rețele. Am putut accesa internetul larg deschis din fiecare LAN, dar nu am putut comunica cu niciunul dintre celelalte LAN-uri sau firewall-ul. Acum știu că orice dispozitiv de pe oricare dintre rețelele mele LAN nu va avea acces la dispozitivele de pe niciunul dintre celelalte rețele LAN ale mele. Numai din rețeaua mea principală „LANwork” pot vedea ce este conectat pe toate celelalte rețele LAN.
Acesta are grijă de funcțiile avansate pe care am vrut să le împărtășesc cu tine. Acum ar trebui să aveți câteva reguli de firewall configurate și mai multe rețele sechestrate. În continuare, vom începe configurarea unui punct de acces WiFi pe una dintre rețelele LAN secundare.
Pasul șapte: Cum să configurați și să configurați un punct de acces WiFi
În această secțiune, vă voi arăta cum am configurat rețeaua WiFi mesh a casei mele folosind rețeaua secundară „LANhome”. Punctele cheie de reținut aici sunt că am făcut din aceasta o rețea LAN dedicată special pentru un punct de acces WiFi pentru familia mea și oaspeții la care să se conecteze fără a le oferi acces la firewall-ul meu pfSense sau la orice alte rețele LAN. Dar au încă acces nerestricționat la internetul larg deschis. Voi adăuga un tunel VPN pentru această rețea LAN mai târziu în acest ghid.
Pentru a mă asigura că furnizează un semnal WiFi adecvat întregii case, am decis să merg cu un NetGear Nighthawk AX1800 kit.
În interiorul acestui kit se află un router WiFi și un satelit repetitor. Ideea de bază este că routerul WiFi este conectat la firewall-ul pfSense direct cu un cablu Ethernet pe portul igb2 „LANhome”. Apoi, routerul WiFi transmite semnalul către satelitul repetitor din altă zonă a casei. Astfel, pot crește acoperirea semnalului WiFi la o zonă mai largă.
Pentru a realiza acest lucru, am urmat pur și simplu acești pași:
- 1. Conectați routerul WiFi la firewall-ul pfSense de pe portul igb2 „LANhome” folosind un cablu Ethernet la portul etichetat „Internet” de pe spatele routerului WiFi.
- 2. Conectați un laptop la portul etichetat „Ethernet” din spatele routerului WiFi cu un cablu Ethernet.
- 3. Conectați routerul WiFi la alimentare folosind adaptorul de alimentare furnizat.
- 4. Așteptați ca lumina să devină albastră pe partea din față a routerului WiFi.
- 5. Deschideți un browser web pe laptop și introduceți adresa IP pentru routerul WiFi. Am găsit adresa IP lângă dispozitivul „MR60” în tabloul de bord pfSense, sub „Stare> Închiriere DHCP”.
- 6. Imediat, mi s-a cerut să schimb parola. Din nou, am folosit o parolă aleatorie, cu entropie ridicată, cu un manager de parole însoțitor. Nu vreau ca familia sau oaspeții mei să poată accesa setările administrative ale acestui punct de acces WiFi, așa că se recomandă introducerea unei parole puternice aici. De asemenea, vi se poate solicita să actualizați firmware-ul, ceea ce va duce la o repornire.
- 7. Apoi, puteți să vă conectați din nou cu noua parolă de administrator și să schimbați numele implicit al rețelei în orice doriți și să adăugați o parolă WiFi pentru a accesa rețeaua WiFi; aceasta este parola partajată cu familia și oaspeții, așa că pe aceasta am făcut-o destul de ușor de reținut și de partajat. Chiar dacă un actor nefast sparge parola și obține acces la rețeaua WiFi, aceasta este total sechestrată de orice altceva, iar routerul WiFi în sine are o parolă cu entropie ridicată.
- 8. Apoi, navigați la „Advanced>Wireless AP” și activați „AP Mode”. „AP” înseamnă punct de acces. Apoi, aplicați modificările.
- 9. Routerul se va reporni din nou. În acest moment, adresa IP locală va fi actualizată, această modificare poate fi monitorizată în pagina de stare „Închirieri DHCP”. Acum, laptopul poate fi deconectat de la routerul WiFi, iar routerul WiFi poate fi conectat de pe aceeași mașină pe care rulează interfața pfSense.
- 10. Odată autentificat din nou, faceți clic pe „Adăugați dispozitiv” și vi se va solicita să setați repetorul de satelit și să îl conectați la alimentare. Apoi urmați instrucțiunile de pe interfață pentru a sincroniza satelitul.
Acum familia mea, oaspeții și cu mine putem naviga pe internetul larg deschis de pe dispozitivele noastre prin WiFi, fără întreruperi în toată casa și nu trebuie să fiu îngrijorat de accesul oricui la rețeaua mea sensibilă de lucru, sau rețeaua mea ASIC sau testul meu. reţea.
În continuare, vom începe să adăugăm tuneluri VPN la rețelele pe care le-am creat până acum.
Pasul opt: Cum să instalați și să configurați pachetul WireGuard cu Mullvad
WireGuard este un protocol software VPN care poate fi instalat pe firewall-ul dumneavoastră pfSense, apoi puteți utiliza acel protocol pentru a defini modul în care vă construiți tunelurile cu furnizorul dumneavoastră VPN.
VPN-urile creează un tunel securizat și criptat de la computer la serverul furnizorului tău VPN. Acest lucru împiedică ISP-ul dvs. să vă vadă datele sau unde este destinația finală. Există mai multe tipuri de protocoale VPN, cum ar fi OpenVPN, IKEv2 / IPSec, L2TP / IPSec și WireGuard, dar toate au, în esență, același scop de a contura instrucțiunile pentru crearea unui tunel securizat pentru criptarea datelor dvs. pentru a fi trimise prin rețele publice.
WireGuard este o adăugare recentă la gama de protocoale VPN, este open-source și relativ „ușoară”, cu mai puțin cod și viteze mai mari decât altele. Partea de viteză a fost cheia pentru mine, având în vedere că latența adăugată poate scădea eficiența ASIC-urilor.
Un alt avantaj al VPN-urilor este că locația dvs. geografică poate fi falsificată, ceea ce înseamnă că, dacă vă aflați într-o parte a lumii, puteți utiliza un tunel VPN către serverul unui furnizor VPN din altă parte a lumii și va apărea ca și cum internetul dvs. traficul vine de pe acel server. Acest lucru este benefic pentru persoanele care locuiesc în țări cu autoritate, unde accesul la anumite site-uri web și servicii este restricționat.
Rețineți că trebuie să aveți încredere că furnizorul dvs. VPN nu vă înregistrează adresa IP sau că ar putea sau ar preda aceste informații autorităților dacă este apăsat. Mullvad nu colectează informații personale despre tine, nici măcar o adresă de e-mail. În plus, acceptă bitcoin sau cash, astfel încât să puteți plăti pentru serviciu fără riscul de a vă conecta detaliile bancare. Mullvad are și o politică de „fără înregistrare”, pe care o puteți citi aici.
Pentru cazul meu de utilizare specific aici, voi folosi un VPN pentru a mă asigura că ISP-ul meu nu vede că extrag Bitcoin și, de asemenea, pentru a preveni pool-ul meu de minerit, Slush Pool, de la a vedea adresa mea IP reală - nu pentru că fac ceva ilegal sau pentru că cred că Slush Pool își înregistrează adresa IP, ci pur și simplu pentru că sunt vremuri tumultoase, cu un mediu politic care se schimbă rapid și lucrurile pe care le fac astăzi legal ar putea foarte bine să fie scos în afara legii mâine.
Sau, dacă a fost adoptată o legislație care să facă ilegal ca o persoană să opereze un miner Bitcoin în Statele Unite fără o licență de transmițător de bani, de exemplu, atunci aș putea să-mi falsific locația, astfel încât, dacă mâna lui Slush Pool ar fi forțată să blocheze adresele IP care vin. din Statele Unite, aș putea continua mineritul, deoarece s-ar părea că rata mea de hash provine din afara Statelor Unite.
Având în vedere că blockchain-ul este pentru totdeauna și viitorul este incert, cred că merită să-mi acorzi timp pentru a-mi da seama cum să-mi protejez confidențialitatea. Luând astăzi măsuri pentru a-mi spori confidențialitatea și securitatea, mă pot asigura că libertatea mea și căutarea fericirii sunt protejate.
Marea majoritate a informațiilor prezentate în această secțiune provin din vizionarea videoclipurilor lui Christian McDonald pe YouTube. Puteți găsi toate videoclipurile sale WireGuard și Mullvad VPN aici.
Vreau să subliniez în mod specific acest videoclip a lui despre utilizarea pachetului WireGuard din pfSense pentru a configura Mullvad astfel încât să aibă mai multe tuneluri care să permită echilibrarea încărcării fără probleme a traficului:
Mullvad este un abonament VPN plătit, taxa este de 5 EUR pe lună. Cu toate acestea, Mullvad acceptă bitcoin și nu necesită informații de identificare. Înainte să vă arăt cum să vă configurați abonamentul Mullvad, vom instala pachetul WireGuard pe firewall-ul dvs. pfSense. Apoi, vom configura un cont Mullvad și vom genera fișierele de configurare. Apoi, putem configura mai multe tuneluri și putem face câteva configurații fanteziste în pfSense.
În pfSense, navigați la „Sistem> Manager de pachete> Pachete disponibile”, apoi derulați în jos la linkul WireGuard și faceți clic pe „Instalare”. Pe pagina următoare, faceți clic pe „Confirmați”. Programul de instalare va rula și vă va anunța când s-a finalizat cu succes.
Acum, puteți naviga la „VPN>WireGuard” și puteți vedea că pachetul a fost instalat, dar nimic nu este încă configurat. Acum că firewall-ul are WireGuard pregătit, vom lucra la instalarea clientului VPN.
Navigheaza catre https://mullvad.net/en/ și faceți clic pe „Generează cont”.
Mullvad nu colectează nicio informație de la dvs., cum ar fi numele, numărul de telefon, e-mailul etc. Mullvad generează un număr unic de cont și aceasta este singura informație de identificare pe care o obțineți legată de contul dvs., așa că scrieți-l și asigurați-l.
Apoi, selectați metoda dvs. de plată. Primești o reducere de 10% pentru utilizarea bitcoin. Abonamentul funcționează atâta timp cât doriți să plătiți (până la 12 luni) la rata de 5 EUR pe lună. Deci, un abonament pe un an, de exemplu, ar fi 60 EUR sau aproximativ 0.001 BTC la cursul de astăzi (din noiembrie 2021). Vi se va prezenta un cod QR de adresă Bitcoin către care trimiteți plata.
Verifică mempool pentru a vedea când tranzacția dvs. Bitcoin este confirmată. Poate fi necesar să așteptați un timp, în funcție de congestionarea rețelei.
După confirmarea în lanț, contul Mullvad este completat și ar trebui să arate că mai aveți timp. Luați în considerare alegerea unei locații de server din lista lungă de servere Mullvad. Dacă intenționați să rulați ASIC-uri în spatele VPN-ului dvs., atunci vă recomand să vă conectați la un server relativ aproape de locația dvs. geografică reală pentru a încerca să reduceți cât mai mult posibil orice latență.
Modul în care funcționează Mullvad este cu fișiere de configurare care atribuie o pereche unică de chei publice/private pentru fiecare adresă de tunel. Ideea de bază aici este că vreau să am un tunel primar configurat pentru ASIC-uri, dar vreau și o configurare secundară a tunelului cu un alt server într-o locație geografică diferită, doar în cazul în care conexiunea tunelului primar este offline. În acest fel, traficul meu de internet minat va trece automat la celălalt tunel și nu va exista nicio întrerupere în ascunderea adresei mele IP publice sau în criptarea datelor mele de trafic. De asemenea, voi configura alte tuneluri special pentru rețeaua mea WiFi și rețeaua mea „LANwork”.
Pentru a face acest lucru, voi avea nevoie de atâtea perechi de chei câte tuneluri vreau. Un abonament Mullvad include până la cinci perechi de chei. Navigheaza catre https://mullvad.net/en/account/#/wireguard-config/ și selectați platforma dvs., de exemplu, Windows. Apoi faceți clic pe „Generați chei” pentru câte perechi de chei doriți, până la cinci chei. Apoi faceți clic pe „Gestionați cheile” de mai jos pentru a vedea lista.
*Toate cheile și informațiile sensibile prezentate în acest ghid au fost aruncate înainte de publicare. Fiți atenți la partajarea acestor informații cu oricine, doriți să păstrați cheile Mullvad private.
Puteți vedea că am generat patru chei pentru acest ghid, pe care le voi distruge după ce voi termina să le folosesc ca exemple. Fiecare fișier de configurare trebuie configurat cu un anumit server Mullvad la alegerea dvs.
- Selectați „Cheia publică” pentru care sunteți interesat să creați un fișier de configurare, selectând cercul din coloana „Utilizare” de lângă cheia publică corespunzătoare.
- Selectați țara, orașul și serverul pe care doriți să le configurați cu această cheie publică.
- Faceți clic pe „Descărcați fișierul”.
- Salvați fișierul de configurare într-un loc convenabil, deoarece va trebui să îl deschideți într-un moment.
*Rețineți, pentru fiecare tunel către un nou server pe care doriți să îl configurați, va trebui să utilizați o cheie publică separată. Dacă încercați să atribuiți două tuneluri aceleiași chei, pfSense va întâmpina probleme cu VPN-ul dvs.
Repetați acest proces pentru câte chei ați generat, selectând un server diferit pentru fiecare cheie unică și generând fișierul de configurare. Mi s-a părut util să numesc fișierul de configurare ca oraș și server folosit.
Acum, navigați înapoi la pfSense și mergeți la „VPN>WireGuard>Setări” și faceți clic pe „Activați WireGuard” și apoi pe „Salvați”.
- Navigați la fila „Tunele” și selectați „Adăugați tunel”.
- Deschideți primul fișier de configurare Mullvad cu un editor de text precum Notepad și păstrați-l pe o parte.
- În WireGuard, adăugați o „Descriere” pentru tunelul dvs. care descrie ce este, cum ar fi „Mullvad Atlanta US167”.
- Copiați/lipiți „PrivateKey” din fișierul de configurare Mullvad și adăugați-l în caseta de dialog „Interface Keys”.
- Faceți clic pe „Salvați tunel”, apoi pe „Aplicați modificări” în partea de sus a paginii.
WireGuard va genera automat cheia publică atunci când lipiți cheia privată și apăsați tasta „tab” de pe tastatură. Puteți verifica dacă cheia publică a fost generată corect comparând-o cu cheia de pe site-ul Mullvad pe care l-ați generat mai devreme.
Repetați acest proces pentru câte tuneluri doriți. Asigurați-vă că utilizați fișierul de configurare Mullvad corect pentru fiecare, deoarece toate conțin perechi de chei publice/private, adrese IP și puncte finale diferite.
Fiecare tunel va avea propriul său egal. Puteți adăuga un „Peer” navigând mai întâi la fila „Peer” de lângă fila „Tunele” pe care tocmai vă aflați. Apoi faceți clic pe „Adăugați peer”.
- Selectați tunelul corespunzător din meniul drop-down pentru acest peer.
- Adăugați o „Descriere” pentru tunelul dvs. care descrie ce este, cum ar fi „Mullvad Atlanta US167”.
- Debifați caseta „Dynamic Endpoint”.
- Copiați/lipiți adresa IP și portul „Endpoint” din fișierul de configurare Mullvad în câmpurile „Endpoint” din WireGuard.
- Puteți acorda 30 de secunde câmpului „Keep Alive”.
- Copiați/lipiți „PublicKey” din fișierul de configurare Mullvad în câmpul „Public Key” din WireGuard.
- Schimbați „IP-urile permise” la „0.0.0.0/0” pentru IPv4. De asemenea, puteți adăuga un descriptor precum „Permiteți toate IP-urile”, dacă doriți.
- Faceți clic pe „Salvați”, apoi selectați „Aplicați modificări” în partea de sus a paginii.
Repetați acest proces pentru cât mai mulți colegi aveți tuneluri. Asigurați-vă că utilizați fișierul de configurare Mullvad corect pentru fiecare, deoarece toate conțin perechi de chei publice/private, adrese IP și puncte finale diferite.
În acest moment, ar trebui să puteți naviga la fila „Stare” și să observați strângerile de mână care au loc făcând clic pe „Afișați peers” în colțul din dreapta jos.
Apoi, interfețele trebuie să fie alocate pentru fiecare tunel.
- Navigați la „Interfețe> Atribuții interfețe”
- Selectați fiecare tunel din meniul derulant și adăugați-l la lista dvs.
După ce toate tunelurile sunt adăugate, faceți clic pe hyperlinkul albastru de lângă fiecare tunel adăugat pentru a configura interfața.
- Faceți clic pe caseta „Activați interfața”.
- Introduceți descrierea dvs. — tocmai am folosit numele serverului VPN, de exemplu: „Mullvad_Atlanta_US167”
- Selectați „PIv4 static”
- Tastați „1420” în casetele „MTU & MSS”.
- Acum, copiați/lipiți adresa IP a gazdei din fișierul de configurare Mullvad în caseta de dialog „Adresă IPv4”.
- Apoi, faceți clic pe „Adăugați un nou Gateway”
După ce faceți clic pe „Adăugați un nou Gateway”, vi se va afișa dialogul pop-up de mai jos. Introduceți un nume pentru noul dvs. gateway, ceva ușor, cum ar fi numele tunelului, adăugat cu „GW” pentru „GateWay”. Apoi, introduceți aceeași adresă IP a gazdei din fișierul de configurare Mullvad. De asemenea, puteți adăuga o descriere dacă doriți, cum ar fi „Mullvad Atlanta US167 Gateway”. Apoi faceți clic pe „Adăugați”.
Odată ce vă întoarceți la pagina de configurare a interfeței, faceți clic pe „Salvați” în partea de jos a paginii. Apoi faceți clic pe „Aplicați modificări” în partea de sus a paginii.
Repetați acest proces pentru a crea un gateway pentru fiecare interfață de tunel pe care ați adăugat-o. Asigurați-vă că utilizați fișierul de configurare Mullvad corect pentru fiecare, deoarece toate conțin adrese IP diferite ale gazdei.
În acest moment, puteți naviga la tabloul de bord și puteți monitoriza starea gateway-urilor. Dacă nu ați făcut acest lucru deja, vă puteți personaliza tabloul de bord pentru a monitoriza mai multe statistici în pfSense. Faceți clic pe semnul „+” din colțul din dreapta sus al tabloului de bord și apoi o listă de monitoare statistice disponibile va derula în jos și le puteți selecta pe cele dorite.
Pe tabloul de bord, de exemplu, am trei coloane, începând cu „Informații de sistem”. În a doua coloană, am rezumatul „Pachete instalate”, starea „WireGuard” și o listă a interfețelor mele. În a treia coloană, am starea „Gateway” și starea „Servicii”. În acest fel, pot verifica și monitoriza rapid starea a tot felul de lucruri.
Ceea ce vreau să subliniez despre tabloul de bord este că în secțiunea „Gateway-uri”, veți observa că toate gateway-urile sunt online. Gateway-urile vor fi online atâta timp cât tunelul este activ, chiar dacă partea de la distanță nu răspunde. Acest lucru se datorează faptului că sunt interfața locală, așa că în acest moment sunt inutile, deoarece chiar dacă partea de la distanță scade, vor apărea în continuare ca online. Pentru a permite abilitatea de a monitoriza latența, astfel încât aceste gateway-uri să poată oferi câteva statistici utile, trebuie să le dau acestor gateway-uri o adresă de sistem de nume de domeniu public (DNS) de monitorizat.
Veți observa că toți timpii de ping din tunel sunt zero milisecunde. Asta pentru că nu trimit date prin aceste tuneluri. Prin ping-ul unui server DNS public, pfSense poate obține câteva valori utile și poate lua decizii cu privire la tunelul care va oferi cea mai mică latență sau dacă un server de la distanță se stinge pentru a redirecționa traficul.
Puteți găsi un server DNS public pe care să îl monitorizați acest site-ul web sau o serie de alte liste publice de servere DNS. Urmăriți procentul de timp de funcționare înregistrat, cu cât mai mult, cu atât mai bine. Doriți să găsiți adrese IP DNS IPv4 publice pe care să le monitorizați pe gateway-urile dvs. IPv4. Fiecare gateway va avea nevoie de o adresă DNS separată pentru monitorizare.
După ce aveți adresele DNS publice, navigați la „Sistem> Rutare> Gateway-uri” în pfSense. Faceți clic pe pictograma creion de lângă gateway-ul dvs. Puteți vedea că „Adresa gateway-ului” și adresa „Monitor IP” sunt aceleași pe toate gateway-urile. De aceea, timpul de ping este de zero milisecunde și de aceea pfSense va crede că gateway-ul este întotdeauna activ.
Introduceți adresa IP DNS publică pe care doriți să o monitorizați în câmpul „Monitor IP” și apoi faceți clic pe „Save” în partea de jos a ecranului. Apoi faceți clic pe „Aplicați modificări” în partea de sus a ecranului. Rețineți, gateway-urile nu pot partaja aceeași adresă de monitor DNS, așa că utilizați un server DNS public diferit pentru fiecare gateway de monitorizat.
Acum, dacă vă întoarceți la tabloul de bord și vă uitați la monitorul gateway-ului, ar trebui să vedeți că există unele valori reale de latență de observat. Cu aceste informații, vă puteți configura gateway-urile în ordinea priorității, pe baza cărora au cea mai mică latență pentru traficul dvs. de internet. Deci, de exemplu, dacă extrageți Bitcoin, atunci veți dori să acordați prioritate ASIC-urilor pentru a trece mai întâi prin tunelul cu cea mai mică latență. Apoi, dacă acel tunel eșuează, firewall-ul le poate comuta automat la gateway-ul de nivel următor cu a doua la cea mai mică latență și așa mai departe.
Totul arată bine până acum, tunelurile sunt active și sunt date care trec prin gateway-uri. În continuare, trebuie să definim o mapare de traducere a adresei de rețea de ieșire (NAT) pe firewall.
- Navigați la fila „Firewall”, apoi „NATm”, apoi fila „Outbound”. Aceasta va afișa o listă cu toate mapările rețelei dvs. de la rețelele WAN la rețelele LAN. Deoarece avem câteva interfețe noi definite, dorim să adăugăm aceste mapări la listă.
- Faceți clic pe „Hybrid Outbound NAT Rule Generation” din secțiunea „Outbound NAT Mode”.
- Derulați în partea de jos a paginii și faceți clic pe „Adăugați”
- Alegeți-vă interfața din meniul drop-down
- Selectați „IPv4” pentru „Familia de adrese”
- Selectați „oricare” pentru „Protocol”
- Asigurați-vă că „Sursă” este pe „Rețea” și apoi introduceți intervalul de adrese IP locale pentru LAN-ul pe care doriți să mergeți în acest tunel. De exemplu, vreau ca „LANwork” să treacă prin acest tunel până în Atlanta, așa că am introdus „192.168.69.1/24”.
- Apoi, introduceți o descriere dacă doriți, cum ar fi „NAT de ieșire pentru LANwork către Mullvad Atlanta US167”.
- Apoi, faceți clic pe „Salvați” în partea de jos a paginii și pe „Aplicați modificări” în partea de sus a paginii.
Repetați acest proces pentru fiecare dintre interfețele tunelului. Veți observa că rețeaua mea „LANwork” merge la tunelul Atlanta, rețeaua mea „LANhome” merge la tunelul New York și am rețeaua „LANminers” configurată atât pentru tunelurile Miami, cât și pentru Seattle. Dacă doriți, puteți seta o mapare pentru LAN-ul dvs. de minerit la toate cele cinci tuneluri. De asemenea, puteți avea mai multe rețele LAN mapate la același tunel dacă doriți, există multă flexibilitate.
Cu mapările toate la locul lor, putem adăuga reguli de firewall. Navigați la „Firewall>LAN”, apoi faceți clic pe „Adăugați”, „LAN” fiind oricare LAN la care doriți să adăugați o regulă. De exemplu, îmi configurez rețeaua „LANwork” în această captură de ecran:
- Setați „Acțiune” la „Trece”
- Setați „Familie de adrese” la „IPv4”
- Setați „Protocol” la „Orice”
- Apoi faceți clic pe „Afișare avansată”
- Derulați în jos la „Gateway” și selectați gateway-ul pe care l-ați configurat pentru această rețea LAN
- Faceți clic pe „Salvați” în partea de jos a ecranului, apoi faceți clic pe „Aplicați modificări” în partea de sus a ecranului
Apoi, faceți același lucru cu următoarea dvs. LAN până când aveți toate rețelele LAN configurate cu o regulă de gateway. Iată un instantaneu al regulilor mele de gateway LAN, veți observa că am adăugat două reguli de gateway la rețeaua mea „LANminers”. Într-o etapă ulterioară, vă voi arăta cum să configurați echilibrarea automată a sarcinii între tuneluri pentru LAN-ul minier, care va înlocui cele două reguli pe care tocmai le-am adăugat la „LANminers”, dar vreau să mă asigur că totul este configurat și funcționează corect. primul.
Pentru a verifica dacă totul funcționează până acum și că fiecare dintre rețelele mele LAN primește IP-uri diferite pentru public, voi introduce „ifconfig.co” într-un browser web din fiecare LAN. Dacă totul funcționează corect, atunci ar trebui să am locații diferite pentru fiecare LAN la care mă conectez și de la care dau ping:
Totul a funcționat conform planului, prima încercare. În timp ce sunt conectat la fiecare LAN, am reușit să dezactivez regula de firewall corespunzătoare și să reîmprospăt pagina și să văd că adresa mea IP se schimbă înapoi în zona mea geografică brută reală.
Dacă vă amintiți, am instalat două tuneluri pentru rețeaua mea „LANminers”. Când am dezactivat regula firewall-ului unic corespunzătoare tunelului din Miami și mi-am reîmprospătat browserul, a trecut imediat la o adresă IP din Seattle.
Deci, fiecare LAN trimite trafic printr-un tunel diferit și toate tunelurile mele funcționează conform așteptărilor. Cu toate acestea, în ceea ce privește rețeaua mea „LANminers”, vreau ca pfSense să comute automat între tunelurile din Miami și Seattle pe baza latenței sau a serverelor defectate. Cu încă câțiva pași, pot configura acest lucru să comute automat și să înlocuiască cele două reguli de firewall cu o nouă regulă unică.
Navigați la „System>Routing” și apoi la fila „Gateway Groups”.
- Introduceți un nume de grup precum „Mullvad_LB_LANMiners”. „LB” înseamnă „Echilibru de încărcare”.
- Setați toate celelalte priorități ale gateway-ului la „Niciodată”, cu excepția celor două gateway-uri care vă interesează pentru mineri. În acest caz, folosesc gateway-urile mele din Miami și Seattle. Am acele priorități setate la „Nivelul 1”, sau ați putea folosi toate cele cinci tuneluri dacă doriți.
- Setați nivelul de declanșare la „Pierdere de pachete sau latență ridicată”
- Adăugați o descriere dacă doriți, cum ar fi „Load Balance LANminers Mullvad Tunnels”
- Faceți clic pe „Salvați” în partea de jos a ecranului, apoi pe „Aplicați modificări” în partea de sus a ecranului
Dacă navigați la „Stare>Gateway-uri” și apoi la fila „Grupuri de gateway”, ar trebui să puteți vedea noul grup de gateway online. În teorie, dacă direcționați traficul către „Mullvad_LB_LANminers”, atunci ar trebui să echilibreze traficul dintre cele două gateway-uri pe baza latenței.
Acum, acest grup de gateway poate fi utilizat într-o regulă de firewall pentru a ruta traficul corespunzător. Navigați la „Firewall>Reguli” și apoi fila „LANminers” sau oricare ar fi numele LAN-ului dvs. minier.
Continuați și dezactivați cele două reguli pe care le-ați configurat anterior pentru a testa tunelurile VPN făcând clic pe cercul tăiat de lângă regulă. Faceți clic pe „Aplicați modificări”, apoi faceți clic pe „Adăugați” în partea de jos.
- Setați protocolul la „Orice”
- Faceți clic pe „Afișare avansată”
- Derulați în jos la „Gateway” și selectați grupul de gateway de echilibrare a sarcinii pe care l-ați creat
- Faceți clic pe „Salvați” în partea de jos a paginii și faceți clic pe „Aplicați modificări” în partea de sus a paginii
Acesta ar trebui să fie tot ceea ce este necesar pentru ca ASIC-urile dvs. să treacă automat de la un tunel VPN la un alt tunel VPN pe baza latenței sau a serverelor defectate. Pentru a testa acest lucru, conectați un laptop la portul Ethernet dedicat de pe placa de rețea pentru LAN-ul dvs. de minerit. Acesta este „igb3” în cazul meu.
Asigurați-vă că WiFi este oprit. Deschideți un browser web și tastați „ifconfig.co” în bara de adrese URL. Rezultatele ar trebui să vă pună în locația unuia dintre tunelurile VPN. În cazul meu, a fost Miami.
Apoi, înapoi în pfSense, navigați la „Interfețe> Atribuții” și faceți clic pe hyperlinkul pentru acea interfață de tunel. În cazul meu, este interfața „Mullvad_Miami_US155”.
În partea de sus a acelei pagini de configurare, debifați caseta pentru „Activați interfața”. Apoi, faceți clic pe „Salvați” în partea de jos a ecranului și apoi faceți clic pe „Aplicați modificări” în partea de sus a ecranului. Acest lucru tocmai a dezactivat tunelul din Miami prin care LANminerii mei trimiteau trafic.
Înapoi pe laptop, reîmprospătați browserul cu pagina ifconfig.co. Acum ar trebui să vă puneți locația în Seattle sau oriunde a fost setat tunelul secundar. Uneori, trebuie să închid complet browserul și să-l redeschid pentru a șterge memoria cache.
Asigurați-vă că reveniți la interfața Miami și bifați din nou caseta pentru a activa acea interfață, apoi salvați și aplicați. Apoi, puteți naviga înapoi la „Firewall>Reguli”, apoi LAN-ul dvs. de mining și ștergeți cele două reguli pe care le-ați dezactivat.
Asta e, ar trebui să fii gata să pleci. Rețineți că regulile firewall funcționează de sus în jos. În continuare, voi afla cum să ajut la prevenirea urmăririi anunțurilor.
Pasul nouă: Cum să configurați capabilitățile de blocare a anunțurilor
Companiile de publicitate sunt foarte interesate de tine și de cât de multe informații pot obține despre tine. Din păcate, atunci când navighezi pe internet, este ușor să scurgi aceste informații căutate.
Aceste informații sunt monetizate pentru a viza anumite audiențe cu produse și servicii cu precizie chirurgicală. Este posibil să fi experimentat o căutare online pentru ceva și apoi să fi observat mai târziu reclame care apar în fluxul de rețele sociale care se potrivesc căutărilor tale recente. Acest lucru este posibil prin colectarea a cât mai multe informații despre căutările dvs. pe internet, ce site-uri web vizitați, ce imagini vă uitați, ce descărcați, ce ascultați, locația dvs., ce este în coșul dvs. de cumpărături, ce metode de plată utilizați, ora și data acestei activități, apoi conectând aceste informații la constante identificabile în mod unic, cum ar fi browserul web specific pe care îl utilizați și pe ce dispozitiv îl utilizați.
Combinați aceste informații cu adresa dvs. IP, contul ISP și profilul de rețea socială și puteți începe să vedeți cum există o mulțime de informații despre dvs. pe care este posibil să nu le doriți atât de ușor disponibile pentru corporații, forțele de ordine, străini sau hackeri. Între fursecuri, amprentarea browserului și urmărirea comportamentală poate părea că șansele sunt stivuite împotriva ta. Dar există pași simpli pe care îi puteți lua pentru a începe să vă protejați confidențialitatea acum. Ar fi păcat să permiteți perfectului să fie dușmanul binelui și să vă împiedicați să începeți.
În această secțiune, veți vedea cum să încorporați capabilități de blocare a reclamelor prin modificarea serverului DNS și a setărilor serverului DHCP în firewall. La un nivel înalt, introduceți un nume de site în browserul dvs. web, care este trimis către un server DNS (de obicei, serverul DNS al ISP-ului dvs.), iar acel server traduce textul care poate fi citit de om într-o adresă IP și îl trimite înapoi la browserul dvs. astfel încât să știe la ce server web încercați să ajungeți. În plus, anunțurile direcționate vă sunt trimise în acest fel.
Vă recomand să începeți acest exercițiu vizitând https://mullvad.net/en/.
Apoi, faceți clic pe linkul „Verificați scurgerile” pentru a vedea unde vă puteți îmbunătăți.
Dacă obțineți scurgeri de DNS, în funcție de browserul pe care îl utilizați, este posibil să găsiți instrucțiuni utile de la Mullvad aici pentru a vă consolida browserul și pentru a ajuta la prevenirea anunțurilor și a urmăririi la nivel de browser. Apoi încercați din nou.
Dacă întâmpinați probleme la blocarea reclamelor cu browserul dvs. preferat, luați în considerare utilizarea unui browser mai concentrat pe confidențialitate, cum ar fi Chromium neGoogled:
- Selectați sistemul dvs. de operare și cea mai recentă versiune
- Descărcați programul de instalare .exe
- Verificați valoarea hash
- Rulați programul de instalare și apoi configurați setările de bază, cum ar fi motorul de căutare implicit
Tor este un alt browser pe care l-as recomanda sa il folosesc cat mai mult, doar in general.
Mullvad oferă câteva servere diferite de rezolvare a DNS care pot fi găsite listate în acest articol Mullvad. Pentru acest exemplu, voi folosi serverul „100.64.0.3” pentru blocarea ad-tracker. Asigurați-vă că consultați site-ul web Mullvad pentru cele mai recente adrese IP actualizate ale serverului DNS, deoarece acestea se pot schimba ocazional.
În pfSense, navigați la „Sistem> General”, apoi derulați în jos la secțiunea „Setări server DNS” și tastați „100.64.0.3” în câmpul Server DNS cu gateway-ul WAN selectat. Dacă ați folosit recomandarea mea de la începutul ghidului, atunci aceasta ar trebui să fie deja setată, dar va trebui să urmați instrucțiunile DHCP de mai jos.
Faceți clic pe „Salvați” în partea de jos a paginii.
Apoi, navigați la „Servicii> Server DHCP” și derulați în jos la „Servere”. În câmpul pentru „Servere DNS”, introduceți „100.64.0.3” și faceți clic pe „Salvare” în partea de jos a paginii. Repetați acest pas pentru toate rețelele LAN dacă aveți mai multe rețele configurate.
Acum ar trebui să aveți un server DNS de blocare a ad-tracker configurat la nivel de firewall pentru a vă proteja toată navigarea pe internet. Apoi, dacă ați luat măsuri suplimentare de configurare a browserului dvs. web sau de a face upgrade la un browser web axat pe confidențialitate, atunci ați făcut un mare salt înainte în protejarea confidențialității dvs. pe dispozitivele desktop.
De asemenea, recomand să luați în considerare utilizarea UnGoogled Chromium sau bromat pe mobil. Dacă sunteți interesat de mai multe măsuri de confidențialitate a dispozitivelor mobile, consultați ghidul meu despre CalyxOS aici.
Pasul 10: Cum să verificați latența cauzată de VPN
Există o îngrijorare rezonabilă că utilizarea unui VPN poate introduce latență în traficul dvs. de minerit. Problema cu asta este că vei primi mai puține recompense.
Când există o latență, ASIC-ul dvs. poate continua hashingul unui antet de bloc care nu mai este valid. Cu cât ASIC-ul tău cheltuie mai mult pentru hashing un antet de bloc nevalid, cu atât o rată de hash mai „învechită” vei trimite la pool. Când pool-ul vede hashuri care vin pentru un antet de bloc care nu mai este valid, pool-ul respinge acea funcționare. Aceasta înseamnă că ASIC-ul tău tocmai a irosit o putere de calcul pentru nimic, deși acest lucru este la scara milisecundelor, atunci când un ASIC calculează trilioane de hashe-uri în fiecare secundă, se poate adăuga rapid.
De obicei, acesta este un raport foarte mic în comparație cu cantitatea de muncă acceptată de grup. Dar puteți începe să vedeți cât de semnificativă și continuă ar putea avea un impact asupra recompenselor dvs. miniere.
În general, cu cât două servere sunt mai aproape unul de celălalt, cu atât va fi mai puțină latență. Cu un VPN, trebuie să trimit traficul meu de minerit la serverul VPN-ului și apoi de acolo merge la serverul pool-ului. În efortul de a încerca să atenuez latența prin proximitatea geografică, am folosit trei servere VPN care se aflau între locația mea și serverul piscinei. De asemenea, am vrut să conștientizez riscul de a avea o întrerupere regională a internetului, așa că am adăugat și două servere VPN care nu erau între mine și grup. Cu rețeaua mea „LANminers” configurată pentru a echilibra încărcarea traficului între cinci tuneluri diferite, am început un test de cinci zile.
Primele două zile și jumătate (60 de ore) au fost petrecute minând cu VPN-ul activat. Cele doua zile și jumătate au fost petrecute minând cu VPN-ul dezactivat. Iată ce am găsit:
În primele 60 de ore, ASIC-ul meu a avut 43,263 de pachete acceptate și 87 de pachete respinse. Acest lucru echivalează cu 0.201%, sau cu alte cuvinte, 0.201% din resursele mele cheltuite care nu sunt recompensate.
După 120 de ore, ASIC-ul meu avea 87,330 de pachete acceptate și 187 de pachete respinse. Scăzând citirile inițiale de 60 de ore, am rămas cu 44,067 de pachete acceptate și 100 de pachete respinse în timp ce VPN-ul era oprit. Aceasta echivalează cu 0.226%. În mod surprinzător, acesta este puțin mai mult un raport de respingere fără beneficiile de confidențialitate ale unui VPN, având în vedere aceeași perioadă de timp.
În concluzie, echilibrând traficul meu de minerit între cinci tuneluri VPN, am putut obține beneficiile de confidențialitate ale unui VPN fără a reduce eficiența operațiunii mele de minerit. De fapt, în ceea ce privește raportul de respingere, minerul meu a folosit mai bine VPN-ul decât nu a folosit VPN-ul.
Dacă sunteți interesat să aflați mai multe despre subiectele abordate în acest ghid, consultați aceste resurse suplimentare:
Multumesc pentru lectura! Sper că acest articol v-a ajutat să înțelegeți elementele de bază ale utilizării unui desktop vechi pentru a instala o rețea și flash cu pfSense pentru a crea un firewall versatil, cum să configurați rețele LAN separate, cum să configurați un router WiFi mesh, cum să creați un Mullvad VPN cont și cum să utilizați WireGuard pentru a configura failover-urile VPN pentru a minimiza latența operațiunii dvs. de minerit.
Aceasta este o postare pentru invitați de la Econoalchemist. Opiniile exprimate sunt în întregime proprii și nu reflectă neapărat cele ale BTC Inc sau Revista Bitcoin.
Sursa: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- acces
- Cont
- Acțiune
- activ
- activităţi de
- Ad
- Suplimentar
- admin
- Anunţuri
- TOATE
- Permiterea
- aplicație
- ZONĂ
- în jurul
- articol
- asic
- Auto
- Bancar
- Noțiuni de bază
- CEL MAI BUN
- Cele mai bune practici
- Bitcoin
- Bitcoin miniere
- blockchain
- Blog
- Cutie
- browser-ul
- BTC
- BTC Inc.
- construi
- Clădire
- pasă
- Bani gheata
- cauzată
- certificat
- Schimbare
- control
- Verificări
- crom
- Cerc
- Oraș
- mai aproape
- cod
- Coloană
- venire
- Companii
- Calculatoare
- tehnica de calcul
- puterea de calcul
- Configuraţie
- conexiune
- Conexiuni
- continua
- Corporații
- țări
- Cuplu
- Crearea
- scrisori de acreditare
- tablou de bord
- de date
- distruge
- Dezvoltatorii
- Dispozitive
- FĂCUT
- diligență
- Reducere
- Afişa
- dns
- Domain Name
- Picătură
- editor
- eficiență
- Punct final
- se încheie
- Engleză
- Mediu inconjurator
- Exercita
- experienţă
- fete
- cu care se confruntă
- familie
- Modă
- FAST
- DESCRIERE
- Domenii
- Figura
- În cele din urmă
- First
- bliț
- Flexibilitate
- urma
- formă
- Înainte
- Fundație
- Gratuit
- Libertate
- Complet
- funcţie
- viitor
- General
- GitHub
- Oferirea
- bine
- mare
- Verde
- grup
- Oaspete
- Vizitator Mesaj
- ghida
- hackeri
- Piese metalice
- hașiș
- hash rate
- hashing
- aici
- Înalt
- deţine
- Acasă
- casă
- Cum
- Cum Pentru a
- HTTPS
- uman poate fi citit
- Flămând
- Hibrid
- ICON
- idee
- identifica
- Ilegal
- imagine
- Impactul
- Crește
- informații
- Infrastructură
- Intel
- interes
- interfaţă
- Internet
- IP
- Adresa IP
- Adresele IP
- IT
- păstrare
- Cheie
- chei
- copii
- laptop
- Ultimele
- lansa
- Drept
- de aplicare a legii
- scăpa
- Scurgeri
- învăţare
- Legislație
- Nivel
- Licență
- ușoară
- LINK
- Listă
- listat
- Ascultare
- înregistrări
- încărca
- local
- locaţie
- Lung
- mac
- Majoritate
- Efectuarea
- marca
- Meci
- Mass-media
- Memorie
- metal
- Metrici
- minerii
- Minerit
- oglindă
- Mobil
- dispozitive mobile
- telefon mobil
- bani
- luni
- muta
- reţea
- rețele
- rețele
- New York
- ştiri
- on-line
- deschide
- de operare
- sistem de operare
- Avize
- Oportunitate
- Opțiune
- Opţiuni
- comandă
- Altele
- pană
- Parolă
- Parolele
- Plătește
- plată
- oameni
- ping
- planificare
- platformă
- Podcast
- Politica
- piscină
- putere
- prezenta
- intimitate
- Confidențialitate și securitate
- privat
- cheie privată
- Produse
- Profil
- Program
- proteja
- protocol
- public
- Cheia publică
- Editare
- Codul QR
- RAM
- gamă
- RE
- reduce
- cercetare
- Resurse
- REST
- REZULTATE
- Recompense
- Risc
- sul
- Traseul
- norme
- Alerga
- funcţionare
- Siguranţă
- economisire
- Scară
- Ecran
- Caută
- secundar
- securitate
- vede
- selectate
- vinde
- Servicii
- set
- instalare
- Distribuie
- comun
- Coajă
- Cumpărături
- Pantaloni scurți
- închidere
- Silver
- simplu
- SIX
- mic
- Instantaneu
- So
- Social
- social media
- Software
- viteză
- Începe
- început
- Statele
- Statistici
- Stare
- abonament
- de succes
- Intrerupator
- sistem
- vorbesc
- Ţintă
- Terminal
- termenii si condițiile
- test
- Testarea
- Noțiuni de bază
- lumea
- timp
- Unelte
- top
- subiecte
- Urmărire
- trafic
- tranzacție
- Traducere
- trilioane
- Încredere
- ne
- Unit
- Statele Unite
- Actualizează
- USB
- Video
- Video
- Virtual
- VPN
- VPN-uri
- aștepta
- Ceas
- web
- browser web
- server de web
- website
- site-uri web
- Ce este
- OMS
- Wifi
- Wikipedia
- vânt
- ferestre
- fără fir
- cuvinte
- Apartamente
- fabrică
- lume
- valoare
- youtube
- zero