Как построить домашнюю сеть, которая не позволяет вашему интернет-провайдеру видеть ваши данные, изолирует ASIC и позволяет майнить биткойны без разрешения.
Ориентированное на конфиденциальность руководство по созданию безопасной домашней сети с брандмауэром pfSense, объясняющее, как настроить выделенные домашние сети, чтобы отделить просмотр веб-страниц вашей семьи по Wi-Fi от трафика майнинга биткойнов; как настроить VPN с помощью WireGuard; и как отправить весь ваш интернет-трафик через туннели Mullvad VPN с автоматической балансировкой нагрузки для переключения между туннелями во время высокой задержки; а также как настроить блокировщик рекламы на уровне брандмауэра.
Каждому домашнему майнеру биткойнов понадобится домашняя сеть. Создание безопасной и частной сети для майнинга является важной частью поддержания работы без разрешения. Следуя этому руководству, вы увидите, как построить надежную и настраиваемую сеть для домашнего майнинга, которая обладает следующими преимуществами и многим другим:
- Туннелирование виртуальной частной сети (VPN) для защиты и шифрования вашего интернет-трафика
- Повышенная конфиденциальность от посторонних глаз вашего интернет-провайдера (ISP)
- Снижение потенциального риска регистрации IP-адресов из вашего майнинг-пула
- Настройка брандмауэра pfSense
- Создание изолированных домашних сетей, чтобы ваши ASIC были отделены от вашей гостевой сети Wi-Fi и т. д.
- Настройка точки доступа к ячеистой сети Wi-Fi
- Настройка блокировщика рекламы на уровне брандмауэра.
В этом руководстве вы увидите бесплатное программное обеспечение с открытым исходным кодом, например pfSense и WireGuard, а также некоторые платные программы с открытым исходным кодом, например Mullvad VPN.
Принятие этой задачи началось для меня, когда мы с женой решили продать наш дом в городе и переехать в деревню. У меня было видение создания новой инфраструктуры майнинга с нуля, и я хотел воспользоваться этой возможностью, чтобы построить идеальную домашнюю сеть, которую я всегда хотел — домашнюю сеть, которая не позволяла моему интернет-провайдеру видеть мои данные и куда они направлялись, домашнюю сеть, которая изолировал мои ASIC от других устройств, подключенных к сети, домашней сети, которая не отслеживала меня постоянно и не продавала информацию о моем просмотре рекламодателям.
Именно тогда я начал внимательно смотреть на блоге по теме от к3тан. В своей статье pfSense k3tan изложил многие атрибуты домашней сети, которые я хотел построить для себя, и указал на несколько дополнительных ресурсов, которые заставили меня подумать, что я мог бы сделать это сам, если бы действительно постарался.
У меня не было опыта работы в сети до того, как я занялся этим, и, хотя есть много шагов, действительно очень легко использовать бесплатные инструменты с открытым исходным кодом, чтобы начать делать скачки в защите вашей конфиденциальности.
Я обратился к k3tan, и они поддержали мои усилия и помогли мне преодолеть некоторые препятствия, с которыми я столкнулся - я очень ценю это и хочу сказать спасибо, k3tan.
Все вместе для этого руководства я потратил 360 долларов на создание своей домашней сети. 160 долларов за сетевую карту и 200 долларов за ячеистый комплект Wi-Fi (что, честно говоря, можно было бы сделать с маршрутизатором за 40 долларов, но YOLO!).
Некоторые ограничения, о которых вы должны знать: у меня буквально не было опыта работы в сети до этого руководства. Вполне возможно, что я сделал какую-то непредвиденную ошибку. Я настоятельно рекомендую вам использовать это в качестве руководства, а также включить свои собственные исследования и комплексную проверку в настройку вашей собственной домашней сети. VPN — отличный инструмент для защиты вашей конфиденциальности, но это не панацея. Есть несколько других способов утечки данных и нарушения конфиденциальности. Хорошей новостью является то, что легко начать разрабатывать передовые методы, ориентированные на конфиденциальность.
Я рекомендую чтение этой гид из Муллвада, слушая этой подкаст из SethForPrivacy, и ознакомьтесь с дополнительными ресурсами на сайте Техлор.
Давайте приступим к делу и настроим вашу домашнюю сеть майнинга так, чтобы ваша семья была счастлива, а ваши ASIC были безопасными и конфиденциальными.
Создание брандмауэра pfSense на старом настольном компьютере
В 10 шагах ниже я покажу вам, как я использовал старый настольный компьютер для создания брандмауэра pfSense и как я настроил свою домашнюю сеть.
Если вы выберете этот вариант вместо создания собственного, вы можете перейти к шаг четвертый ниже.
Шаг первый: как установить новую сетевую карту
Во-первых, вам понадобится старый настольный компьютер. Я использовал Dell Optiplex 9020 в малом форм-факторе (SFF). Это мощное оборудование для брандмауэра; Он оснащен процессором Intel i7-4790 3.6 ГГц, 16 ГБ оперативной памяти и жестким диском на 250 ГБ.
По умолчанию этот компьютер имеет только один порт Ethernet RJ45. Однако, если он будет служить брандмауэром, ему потребуется как минимум два порта Ethernet. Для этого я купил сетевую карту Intel i350 с четырьмя портами Ethernet. Сетевая карта i350 предназначена для использования в четырехканальном слоте PCIe на материнской плате настольного компьютера.
Для этого шасси SFF мне пришлось заменить полноразмерный металлический кронштейн на прилагаемый меньший кронштейн на сетевой карте. Затем просто откройте корпус и откройте внешний зажим, закрывающий пустые слоты PCI. С помощью отвертки вы можете удалить заглушку металлического кронштейна перед четырехканальным разъемом PCI и вставить сетевую карту. Затем закройте зажим и снова наденьте боковую крышку корпуса.
После установки важно отметить, какой порт Ethernet предназначен для глобальной сети (WAN), а какие — для локальной сети (LAN). WAN — это то, что обращено к широко открытому общедоступному Интернету, а LAN — это то, что обращено к вашей локальной домашней сети.
После установки вы можете пока отложить свой настольный компьютер в сторону. Вам нужно будет использовать компьютер, подключенный к сети, чтобы загрузить и проверить образ pfSense и записать его на USB-накопитель.
Шаг второй: как загрузить и проверить файл изображения pfSense и записать его на USB-накопитель
Сначала перейдите к этому страница загрузки pfSense и, оказавшись там:
- Выберите архитектуру «AMD64».
- Затем «Установщик USB Memstick»
- Затем консоль «VGA».
- Затем выберите зеркало, ближайшее к вашему географическому местоположению, как показано на снимке экрана ниже, и нажмите «Загрузить».
Затем вы можете вычислить контрольную сумму SHA-256 для сжатого файла, который вы загрузили, и сравнить ее с контрольной суммой, отображаемой на странице загрузки pfSense.
Мне нравится использовать бесплатный шестнадцатеричный редактор под названием HxD для подсчета контрольных сумм. Просто откройте интересующий вас файл, перейдите в «Инструменты», затем в «Контрольные суммы» и выберите в меню «SHA256». Если хэш-значения не совпадают, не запускайте исполняемый файл.
Самый простой способ, который я нашел для записи файла образа на USB-накопитель, - это использовать программу под названием BalenaEtcher.
После установки запустите приложение, нажмите «Прошить из файла», затем перейдите в папку, в которой находится сжатый файл изображения pfSense.
Затем выберите пустой USB-накопитель и нажмите «Flash». BalenaEtcher начнет процесс перепрошивки и автоматически распакует файл образа pfSense. Этот процесс займет несколько минут.
После завершения перепрошивки вы должны увидеть зеленую галочку, указывающую, что все прошло проверку. Если вы получаете сообщение об ошибке от balenaEtcher, возможно, вам придется попробовать выполнить перепрошивку на другой USB-накопитель.
Теперь вы можете безопасно извлечь флеш-накопитель из своего компьютера, и вы готовы прошить другой настольный компьютер.
Шаг третий: как прошить рабочий стол и установить pfSense
Подключите клавиатуру, монитор, кабель питания и флэш-накопитель USB к настольному компьютеру, в который вы установили сетевую карту. Монитор должен быть подключен через соединения VGA — соединения DisplayPort, по моему опыту, не будут работать. Пока не подключайте кабели Ethernet.
Когда все подключено, включите рабочий стол. Некоторые компьютеры автоматически обнаружат, что вставлен загрузочный USB-накопитель, и спросят, с какого диска вы хотите загрузиться. В моем случае компьютер просто по умолчанию загружался с диска «C:» и автоматически запускал Windows. Если это произойдет с вами, выключите компьютер, а затем, удерживая клавишу «F12» на клавиатуре, снова включите его. Это запустит BIOS, где вы можете указать компьютеру, с какого диска вы хотите загрузиться.
Например, вот моя среда BIOS, где я смог выбрать USB-накопитель SanDisk, на который я записал образ pfSense. После выбора этого параметра на короткое время запустится сценарий, а затем запустится установщик pfSense:
Во-первых, примите условия. Затем выберите «Установить pfSense», затем выберите подходящую для вас раскладку клавиш. Если вы говорите по-английски и живете в США, вы, вероятно, просто захотите использовать значение по умолчанию.
Затем я просто выбрал вариант «Автоматическая файловая система ZettaByte» (ZFS), потому что я использую аппаратную платформу, которая намного превосходит спецификации домашнего брандмауэра. Вариант ZFS имеет больше возможностей и более надежен, чем вариант файловой системы Unix (UFS), но ZFS может быть более требовательным к памяти, что меня не очень беспокоит, учитывая, что у меня 16 ГБ ОЗУ на этом рабочем столе.
Затем у вас будут некоторые параметры разделения и избыточности, которые я сделал максимально простыми, например, отсутствие избыточности и параметры конфигурации по умолчанию. Затем выберите «Установить».
Затем вы увидите несколько подтверждений того, что установка pfSense прошла успешно. Вас спросят, хотите ли вы вручную внести какие-либо окончательные изменения, чего я не делал. Затем он спросит вас, хотите ли вы перезагрузиться, выберите «Да». Немедленно извлеките USB-накопитель в это время, прежде чем перезагрузка снова начнется, потому что в противном случае он снова сбросит вас в начале мастера установки. После перезагрузки вы должны перейти в главное меню терминала.
Теперь вы готовы подключить новый брандмауэр к домашней сети.
Шаг четвертый: как подключить pfSense к домашней сети
Следующие шаги будут выполнены на клавиатуре и мониторе, подключенном к вашему новому брандмауэру:
- Сначала выключите маршрутизатор, предоставленный провайдером, выключите модем и отсоедините кабели Ethernet от модема и маршрутизатора.
- Затем включите новый брандмауэр и дайте pfSense загрузиться. Затем включите модем и подождите, пока он подключится к Интернету.
- В меню pfSense выберите первый вариант «Назначить интерфейсы». Он спросит вас, хотите ли вы настроить VLAN сейчас, введите «n» для «нет». Затем он попросит вас ввести имя интерфейса WAN, введите «a» для автоматического определения.
- Подключите кабель Ethernet от выхода модема к интерфейсу новой сетевой карты брандмауэра. Помните, что крайний правый порт, если защелки RJ45 обращены вверх, — это ваш порт WAN, или крайний левый порт, если защелки RJ45 обращены вниз.
- После подключения нажмите «войти». Он должен обнаружить соединение на интерфейсном порту igb0. Если это igb3, то переключите Ethernet-кабель на противоположную сторону и повторите попытку.
- Затем он попросит вас ввести имя интерфейса LAN, введите «a» для автоматического определения. Подключите кабель Ethernet от следующего доступного порта на новой сетевой карте брандмауэра к коммутатору Ethernet или другой точке доступа. Имейте в виду, что если вы собираетесь использовать виртуальную локальную сеть (VLAN), вам потребуется использовать управляемый коммутатор.
- После подключения нажмите Enter. Он должен обнаружить соединение на интерфейсном порту igb1.
- Затем снова нажмите «Ввод» для «ничего», поскольку в настоящее время другие сетевые подключения не настроены.
- Затем сообщит, что интерфейсы будут назначены так: WAN=igb0 и LAN=igb1.
- Введите «y» для «да», и pfSense запишет конфигурацию и вернет вас в главное меню с вашими адресами WAN IP v4 и IP v6, отображаемыми вверху.
Чтобы проиллюстрировать пример конфигурации пути прохождения сигнала, вы можете сделать такую настройку:
На этом этапе вы сможете ввести «192.168.1.1» в свой веб-браузер на обычном рабочем столе и запустить веб-интерфейс pfSense. Это самозаверяющий сертификат, поэтому при появлении запроса примите на себя риск и продолжите. Учетные данные для входа: admin / pfsense.
Теперь вы можете отключить клавиатуру и монитор от нового брандмауэра. Остальные шаги будут выполнены через веб-интерфейс на вашем обычном рабочем столе.
Шаг пятый: как настроить основные параметры pfSense
На этом шаге вы увидите, как настроить основные параметры, такие как мастер установки, изменить порт TCP, включить Secure Shell SSH и настроить закрепление по умолчанию. Подавляющее большинство информации, представленной здесь и в шаге XNUMX ниже, получено при просмотре этого Видео Тома Лоуренса на pfSense - Я настоятельно рекомендую посмотреть это видео, оно длинное, но полно ценной информации и содержит гораздо больше деталей, чем я представляю в этом руководстве.
Сначала щелкните красное диалоговое окно с предупреждением в верхней части страницы, чтобы изменить пароль, используемый для входа в новый брандмауэр. Лично я рекомендую одноразовые пароли с высокой энтропией и сопровождающий их менеджер паролей. Затем выйдите из системы и войдите снова, чтобы проверить свои изменения.
После входа в систему откройте «Мастер настройки» на вкладке «Система»:
Затем мастер проведет вас через девять основных шагов по настройке нового брандмауэра pfSense.
Нажмите «Далее» на первом шаге.
Затем, на втором этапе, вы можете настроить имя хоста, домен и первичный/вторичный DNS-серверы. Вы можете оставить «Имя хоста» и «Домен» по умолчанию или установить их по своему усмотрению. Я выбрал «100.64.0.3» в качестве основного DNS-сервера для выхода в Интернет и снял флажок «Переопределить DNS», чтобы DHCP не переопределял DNS-серверы. Я расскажу, почему я использовал «100.64.0.3» в шаге 10 этого руководства.
Затем вы можете установить часовой пояс на третьем шаге:
На четвертом шаге вы можете выбрать «DHCP» для интерфейса WAN и оставить все остальные поля по умолчанию. Если вы хотите подделать свой MAC-адрес, вы можете сделать это на этом шаге. Для последних двух полей убедитесь, что установлены флажки «Блокировать частные сети RFC1918» и «Блокировать сети bogon», это автоматически добавит соответствующие правила в ваш брандмауэр.
На пятом шаге вы можете изменить IP-адрес вашего брандмауэра. Большинство домашних локальных сетей будут использовать либо 192.168.0.1, либо 192.168.1.1 для доступа к маршрутизатору или брандмауэру. Причина, по которой вы можете захотеть изменить это на локальный IP-адрес, отличный от используемого по умолчанию, заключается в том, что если вы находитесь в чужой сети и пытаетесь подключиться к VPN обратно в свою домашнюю сеть, вы можете столкнуться с проблемой, когда у вас есть тот же адрес. на обоих концах, и система не будет знать, пытаетесь ли вы подключиться к локальному или удаленному адресу. Например, я изменил свой локальный IP-адрес на «192.168.69.1».
На шестом шаге вы можете установить пароль администратора. Я был немного смущен, увидев этот шаг, вставленный здесь, так как вначале я изменил пароль администратора, поэтому я просто использовал тот же пароль с высокой энтропией, что и раньше, предполагая, что он запрашивал тот же пароль, который будет использоваться для входа в систему. роутер.
Затем, на седьмом шаге, вы можете нажать кнопку «Перезагрузить». Во время перезагрузки отсоедините кабель питания от коммутатора. Поскольку локальный IP-адрес маршрутизатора был изменен на «192.168.69.1» (или любой другой, который вы выбрали), IP-адреса всех устройств в сети теперь будут обновлены до этого диапазона IP-адресов.
Итак, если у вас есть PuTTY или другие сеансы SSH, настроенные, например, на ваш узел Raspberry Pi, теперь вам нужно будет обновить эти конфигурации подключения. Отключение питания от коммутатора и его повторное включение после перезагрузки маршрутизатора помогает переназначить все ваши устройства.
Чтобы выяснить IP-адреса устройств в вашей локальной сети, вы можете перейти на вкладку «Статус» и выбрать «Аренда DHCP», чтобы увидеть все перечисленное:
После перезагрузки на седьмом шаге мастер просто пропустил восьмой и девятый шаги, поэтому я не уверен, что происходит на этих шагах, но мы будем двигаться дальше и решать проблемы по мере необходимости.
Несколько других основных настроек, на которые стоит обратить внимание, находятся в разделе «Система»> «Дополнительно»> «Доступ администратора». Здесь я обновил порт TCP до «10443», потому что я запускаю некоторые службы, которые будут обращаться к одним и тем же портам по умолчанию, таким как 80 или 443, и я хочу минимизировать перегрузку.
Кроме того, я включил SSH. Затем вы можете выбрать способ защиты SSH: с помощью пароля, ключей, либо того и другого, либо только ключей. После сохранения дайте интерфейсу минуту для обновления до нового порта. Возможно, вам придется перезагрузить страницу, указав локальный IP-адрес и новый порт, например, «192.168.69.1:10443». Не забудьте сохранить изменения внизу страницы.
Последняя базовая настройка, о которой я здесь расскажу, — это закрепление, что означает, что, например, вы можете настроить свою сеть так, чтобы вы могли открыть порт для системы видеонаблюдения с общедоступным IP-адресом. Этот общедоступный IP-адрес также можно использовать внутри вашей сети, что удобно, если вы находитесь дома и подключаетесь к системе камеры со своего мобильного телефона в локальной сети, тогда вам не нужно вручную менять место подключения, потому что шпилька увидит что вы просто пытаетесь получить доступ к локальному IP-адресу, и он будет возвращаться к вам по умолчанию с включенным этим параметром.
- На вкладке «Система» перейдите в «Дополнительно> Брандмауэр и NAT».
- Прокрутите вниз до раздела «Переводчик сетевых адресов».
- В раскрывающемся меню «Режим отражения NAT» выберите «Чистый NAT».
- Нажмите «Сохранить» внизу страницы и «Применить изменения» вверху страницы.
Это основные настройки. Хорошей новостью является то, что pfSense довольно безопасен при установке по умолчанию, поэтому вам не нужно много менять, чтобы иметь отличную базовую основу. Как правило, позиция разработчиков pfSense заключается в том, что если есть более безопасный способ развертывания pfSense, они просто сделают его настройкой по умолчанию.
Еще одна вещь, которую следует отметить, это то, что по умолчанию pfSense включает преобразование сетевых адресов WAN IPv6 (NAT). Я решил отключить это, поэтому я не открываю шлюз IPv6 для широко открытого Интернета.
Вы можете сделать это, перейдя в «Интерфейсы> Назначения», а затем щелкнув гиперссылку «WAN» в первом назначении. Откроется страница конфигурации, затем просто убедитесь, что для параметра «Тип конфигурации IPv6» установлено значение «Нет». Затем сохраните и примените эти изменения.
Затем вы можете перейти к «Брандмауэр> NAT», прокрутить вниз до интерфейса «WAN» с источником IPv6 и удалить его.
Шаг шестой: Как настроить дополнительные параметры pfSense
В этом разделе я расскажу о некоторых дополнительных функциях, которые могут вас заинтересовать для вашей домашней сети. Здесь вы увидите, как настроить отдельные сети от вашего маршрутизатора pfSense, чтобы, например, гости могли получить доступ к широко открытому Интернету из точки доступа Wi-Fi в вашем доме, но они не могли получить доступ к вашим ASIC из этой сети.
Если вы использовали сетевую карту i350, как я, тогда у вас будет четыре доступных порта Ethernet, а если вы использовали Dell Optiplex, как я, то у вас также будет пятый порт Ethernet на материнской плате. Это означает, что у меня есть пять интерфейсов, которые я могу настроить, четыре из которых могут быть вторичными локальными сетями.
Что я собираюсь сделать здесь, так это сохранить мой рабочий компьютер и мой выделенный рабочий стол Биткойн в одной сети (LANwork). Затем я настрою дополнительную локальную сеть, в которой будет находиться точка доступа Wi-Fi моего дома (LANhome). Таким образом, я могу полностью отделить трафик от просмотра веб-страниц моей семьей от моей работы и деятельности, связанной с биткойнами.
Затем я настрою другую локальную сеть, которая будет выделена для моих ASIC (LANminers), отдельно от двух других сетей. Наконец, я создам тестовую сеть (LANtest), которую буду использовать для интеграции новых ASIC и проверки того, что на них нет вредоносной прошивки, прежде чем подвергать их воздействию другие мои ASIC. Вы также можете добавить сеть камер безопасности на один из интерфейсов, возможности безграничны.
Если вы перейдете на вкладку «Интерфейсы», затем «Назначения интерфейсов», вы увидите все доступные порты RJ45 вашей сетевой карты. Они должны быть помечены как «igb0», «igb1», «igb2» и т. д. Теперь просто добавьте интересующий вас вариант, выбрав его в раскрывающемся меню и щелкнув зеленое поле «Добавить».
Затем щелкните гиперссылку в левой части только что добавленного интерфейса, чтобы открыть страницу «Общая конфигурация» для этого интерфейса.
- Щелкните поле «Включить интерфейс».
- Затем измените «Описание» на то, что помогает определить его функцию, например, «LANhome».
- Затем установите тип «Конфигурация IPv4» на «Статический IPv4» и назначьте новый диапазон IP-адресов. Я использовал «192.168.69.1/24» для своей первой локальной сети, поэтому для этой я буду использовать следующий последовательный диапазон IP-адресов «192.168.70.1/24».
Вы можете оставить все остальные настройки по умолчанию, нажмите «Сохранить» внизу страницы, а затем «Применить изменения» вверху страницы.
Теперь вам нужно настроить некоторые правила брандмауэра для этой новой локальной сети. Перейдите на вкладку «Брандмауэр», затем «Правила». Нажмите на свою недавно добавленную сеть, например, «LANhome». Затем нажмите на зеленое поле со стрелкой вверх и словом «Добавить».
На следующей странице:
- Убедитесь, что для параметра «Действие» установлено значение «Пропустить».
- «Интерфейс» установлен на «LANhome» (или как там называется ваша вторичная локальная сеть)
- Обязательно установите «Протокол» на «Любой», иначе эта сеть будет ограничивать тип трафика, который может быть передан по ней.
- Затем вы можете добавить короткую заметку, чтобы указать, для чего предназначено это правило, например «Разрешить весь трафик».
- Затем все остальные настройки можно оставить по умолчанию и нажать «Сохранить» внизу страницы и «Применить изменения» вверху страницы.
Прежде чем вы сможете протестировать свою новую сеть, вам необходимо настроить на ней IP-адрес:
- Перейдите в «Службы», затем в «DHCP-сервер».
- Затем нажмите на вкладку для вашей новой локальной сети.
- Нажмите на поле «Включить», а затем добавьте диапазон IP-адресов в два поля «Диапазон». Например, я использовал диапазон от «192.168.70.1 до 192.168.70.254». Затем нажмите «Сохранить» внизу страницы и «Применить изменения» вверху страницы.
Теперь вы можете протестировать свою новую сеть, физически подключив компьютер к соответствующему порту RJ45 на сетевой карте, а затем попытаться получить доступ к Интернету. Если все работает, значит, вы сможете просматривать широко открытую сеть.
Однако вы можете заметить, что если вы находитесь во вторичной локальной сети и пытаетесь войти в свой брандмауэр, вы сможете сделать это, используя IP-адрес «192.168.70.1». Лично я хочу, чтобы мой брандмауэр был доступен только из моей сети «LANwork». Я не хочу, чтобы моя жена, дети или гости могли войти в брандмауэр из назначенной им сети «LANhome». Несмотря на то, что у меня есть пароль с высокой энтропией для входа в брандмауэр, я все равно собираюсь настроить другие локальные сети, чтобы они не могли общаться с маршрутизатором.
Одна проблема, которую я беспокою, которую такая конфигурация поможет облегчить, заключается в том, что если я подключу ASIC к своей сети с установленной на нем вредоносной прошивкой, я смогу изолировать это устройство и предотвратить влияние этой проблемы безопасности на другие устройства и информацию. который у меня есть, поэтому одна из LAN, которую я настраиваю, называется «LANtest» и предназначена для полной изоляции новых ASIC, чтобы я мог безопасно тестировать их, не допуская потенциальной атаки на другие мои ASIC или другие устройства в моей домашней сети.
Чтобы настроить правило, запрещающее доступ к порту 10443 из других сетей вашей локальной сети, перейдите в «Брандмауэр>Правила», а затем выберите вкладку для соответствующей интересующей вас сети. Нажмите на зеленое поле со стрелкой вверх и словом «Добавить».
- Убедитесь, что для параметра «Действие» установлено значение «Блокировать».
- Затем в разделе «Назначение» установите «Назначение» на «Этот брандмауэр (собственный)», а затем «Диапазон портов назначения» на «10443», используя «Пользовательские» поля для полей «От» и «Кому».
- Вы можете добавить описание, которое поможет вам запомнить, для чего предназначено это правило. Затем нажмите «Сохранить» внизу страницы, а затем «Применить изменения» вверху страницы.
Наличие пароля с высокой энтропией для входа в маршрутизатор и блокировка порта - отличное начало, но вы можете дополнительно изолировать свои сети LAN и гарантировать, что устройства в одной сети вообще не могут подключиться к какой-либо из других сетей, настроив псевдоним для вашей основной LAN.
Перейдите к «Брандмауэр>Псевдонимы», затем на вкладке «IP» нажмите кнопку «Добавить».
- Затем я назвал этот псевдоним «SequesteredNetworks0».
- Я ввел описание, чтобы напомнить мне, какова его функция.
- Поскольку я буду добавлять правило брандмауэра в свою сеть «LANhome», ссылаясь на этот псевдоним, я добавил другие локальные сети в список «Сеть». Таким образом, «LANhome» не может общаться с «LANwork», «LANminers» или «LANtest».
- Нажмите «Сохранить» внизу страницы, а затем «Применить изменения» вверху страницы.
Теперь я могу добавить дополнительные псевдонимы, на которые будут ссылаться правила брандмауэра в других локальных сетях, чтобы предотвратить общение «LANminers» с «LANwork», «LANhome» и «LANtest» — и так далее, и так далее, пока все мои сети не будут изолированы в таким образом, что только мой брандмауэр может видеть, что подключено в других сетях.
Создав псевдоним, можно применить новое правило брандмауэра, ссылающееся на этот псевдоним во вторичной локальной сети.
- Перейдите к «Брандмауэр>Правила», выберите локальную сеть, к которой вы хотите применить правило, например, «LANhome».
- Затем для «Действия» установите «Блокировать». Для «Протокола» установите значение «Любой».
- Для «Назначения» установите «Один хост или псевдоним».
- Затем введите псевдоним
- Нажмите «Сохранить» внизу страницы, а затем «Применить изменения» вверху страницы.
После того, как я создал псевдонимы и установил правила брандмауэра, я смог подключить свой ноутбук к каждому интерфейсному порту RJ45 сетевой карты и попытаться пропинговать каждую из других сетей. Я мог выйти в широко открытый Интернет из каждой локальной сети, но не мог связаться ни с одной из других локальных сетей или с брандмауэром. Теперь я знаю, что любые устройства в любой из моих локальных сетей не будут иметь доступа к устройствам в любой из моих других локальных сетей. Только из моей основной сети «LANwork» я могу видеть, что подключено ко всем остальным локальным сетям.
Это заботится о расширенных функциях, которыми я хотел поделиться с вами. Теперь у вас должны быть настроены некоторые правила брандмауэра и несколько изолированных сетей. Далее мы приступим к настройке точки доступа WiFi в одной из дополнительных локальных сетей.
Шаг седьмой: как установить и настроить точку доступа Wi-Fi
В этом разделе я покажу вам, как я настроил домашнюю ячеистую сеть Wi-Fi, используя вторичную сеть «LANhome». Ключевыми моментами, которые следует иметь в виду, является то, что я сделал это выделенной локальной сетью специально для точки доступа Wi-Fi, к которой моя семья и гости могут подключаться, не предоставляя им доступ к моему брандмауэру pfSense или любым другим локальным сетям. Но у них по-прежнему есть неограниченный доступ к широко открытой сети. Позже в этом руководстве я добавлю VPN-туннель для этой локальной сети.
Чтобы обеспечить адекватный сигнал Wi-Fi для всего дома, я решил использовать NetGear Nighthawk AX1800 Комплект.
Внутри этого комплекта находится WiFi-роутер и репитер-сателлит. Основная идея заключается в том, что маршрутизатор WiFi подключается к брандмауэру pfSense напрямую с помощью кабеля Ethernet через порт igb2 «LANhome». Затем WiFi-маршрутизатор транслирует сигнал на спутник-ретранслятор в другой части дома. Таким образом, я могу увеличить зону покрытия сигнала Wi-Fi до более широкой области.
Для этого я просто выполнил следующие шаги:
- 1. Подключите WiFi-маршрутизатор к брандмауэру pfSense через порт igb2 «LANhome» с помощью кабеля Ethernet к порту с надписью «Интернет» на задней панели WiFi-маршрутизатора.
- 2. Подключите ноутбук к порту с надписью «Ethernet» на задней панели маршрутизатора WiFi с помощью кабеля Ethernet.
- 3. Подключите WiFi-роутер к источнику питания с помощью прилагаемого адаптера питания.
- 4. Подождите, пока индикатор на передней панели WiFi-маршрутизатора не загорится постоянным синим светом.
- 5. Откройте веб-браузер на ноутбуке и введите IP-адрес маршрутизатора WiFi. Я нашел IP-адрес рядом с устройством «MR60» на панели инструментов pfSense в разделе «Статус> Аренда DHCP».
- 6. Сразу же мне было предложено сменить пароль. Опять же, я использовал случайный пароль с высокой энтропией и менеджер паролей. Я не хочу, чтобы моя семья или гости могли получить доступ к административным настройкам этой точки доступа Wi-Fi, поэтому рекомендуется установить здесь надежный пароль. Вам также может быть предложено обновить прошивку, что приведет к перезагрузке.
- 7. Затем вы можете снова войти в систему с новым паролем администратора и изменить имя сети по умолчанию на любое, которое вы хотите, и добавить пароль WiFi для доступа к сети WiFi; это пароль, которым поделились с семьей и гостями, поэтому я сделал его довольно легким для запоминания и обмена. Даже если злоумышленник взломает пароль и получит доступ к сети Wi-Fi, он будет полностью изолирован от всего остального, а сам маршрутизатор Wi-Fi имеет пароль с высокой степенью энтропии.
- 8. Затем перейдите в «Дополнительно> Беспроводная точка доступа» и включите «Режим точки доступа». «AP» означает точку доступа. Затем примените изменения.
- 9. Роутер снова перезагрузится. В этот момент локальный IP-адрес будет обновлен, это изменение можно отслеживать на странице состояния «Аренда DHCP». Теперь ноутбук можно отключить от маршрутизатора WiFi, а вход в маршрутизатор WiFi можно выполнить с того же компьютера, на котором работает интерфейс pfSense.
- 10. После повторного входа в систему нажмите «Добавить устройство», и вам будет предложено установить спутниковый ретранслятор на место и подключить его к источнику питания. Затем следуйте подсказкам интерфейса, чтобы синхронизировать спутник.
Теперь моя семья, гости и я можем просматривать широко открытые веб-страницы со своих устройств через Wi-Fi без пропусков во всем доме, и мне не нужно беспокоиться о том, что кто-то получит доступ к моей конфиденциальной рабочей сети, моей сети ASIC или моему тесту. сеть.
Далее мы приступим к добавлению туннелей VPN к уже созданным сетям.
Шаг восьмой: Как установить и настроить пакет WireGuard с помощью Mullvad
WireGuard - это программный протокол VPN, который можно установить на вашем брандмауэре pfSense, затем вы можете использовать этот протокол для определения того, как вы строите свои туннели с вашим провайдером VPN.
VPN создают безопасный и зашифрованный туннель от вашего компьютера до сервера вашего провайдера VPN. Это не позволяет вашему интернет-провайдеру видеть ваши данные или их конечный пункт назначения. Существует несколько типов протоколов VPN, таких как OpenVPN, IKEv2 / IPSec, L2TP / IPSec и WireGuard, но все они, по сути, преследуют одну и ту же цель - изложить инструкции по созданию безопасного туннеля для шифрования ваших данных, которые будут отправлены по общедоступным сетям.
WireGuard — это недавнее дополнение к линейке протоколов VPN, он с открытым исходным кодом и сравнительно «легкий», с меньшим количеством кода и более высокими скоростями, чем некоторые другие. Скорость была для меня ключевой, учитывая, что дополнительная задержка может снизить эффективность ASIC.
Еще одним преимуществом VPN является то, что ваше географическое местоположение может быть подделано, а это означает, что если вы находитесь в одной части мира, вы можете использовать VPN-туннель для доступа к серверу VPN-провайдера в другой части мира, и это будет выглядеть так, как будто ваш интернет трафик идет с этого сервера. Это выгодно людям, проживающим в авторитетных странах, где доступ к определенным сайтам и сервисам ограничен.
Имейте в виду, что вы должны быть уверены, что ваш VPN-провайдер не регистрирует ваш IP-адрес или что он может или передаст эту информацию властям, если на них надавят. Mullvad не собирает никакой личной информации о вас, даже адреса электронной почты. Кроме того, он принимает биткойны или наличные, поэтому вы можете оплатить услугу, не рискуя привязать свои банковские реквизиты. У Mullvad также есть политика «без регистрации», с которой вы можете ознакомиться здесь.
Для моего конкретного случая использования здесь я буду использовать VPN, чтобы мой интернет-провайдер не видел, что я занимаюсь майнингом биткойнов, а также чтобы предотвратить мой пул майнинга. Бассейн для слякоти, от просмотра моего настоящего IP-адреса - не потому, что я делаю что-то незаконное или потому, что я думаю, что Slush Pool регистрирует мой IP-адрес, а просто потому, что сейчас неспокойные времена с быстро меняющейся политической средой, и то, что я делаю сегодня на законных основаниях, может очень сильно повлиять на хорошо завтра быть вне закона.
Или, если бы был принят какой-то закон, запрещающий человеку управлять майнером биткойнов в Соединенных Штатах, например, без лицензии на денежный перевод, тогда я мог бы подделать свое местоположение, чтобы, если бы рука Slush Pool была вынуждена блокировать поступающие IP-адреса из Соединенных Штатов, я мог бы продолжить майнинг, поскольку мой хешрейт исходил из-за пределов Соединенных Штатов.
Учитывая, что блокчейн вечен, а будущее неопределенно, я думаю, что стоит потратить время, чтобы выяснить, как защитить мою конфиденциальность. Принимая сегодня меры для повышения моей конфиденциальности и безопасности, я могу гарантировать, что моя свобода и мое стремление к счастью защищены.
Подавляющее большинство информации, представленной в этом разделе, получено при просмотре видео Кристиана Макдональда на YouTube. Вы можете найти все его видео о WireGuard и Mullvad VPN. здесь.
Хочу особо отметить здесь из его об использовании пакета WireGuard в pfSense для настройки Mullvad таким образом, чтобы иметь несколько туннелей, которые позволяют плавно балансировать нагрузку вашего трафика:
Mullvad — это платная подписка на VPN, стоимость которой составляет 5 евро в месяц. Однако Mullvad принимает биткойны и не требует никакой идентифицирующей информации. Прежде чем я покажу вам, как настроить подписку Mullvad, мы установим пакет WireGuard на ваш брандмауэр pfSense. Затем мы настроим учетную запись Mullvad и создадим файлы конфигурации. Затем мы можем настроить несколько туннелей и выполнить некоторые причудливые настройки в pfSense.
В pfSense перейдите к «Система> Диспетчер пакетов> Доступные пакеты», затем прокрутите вниз до ссылки WireGuard и нажмите «Установить». На следующей странице нажмите «Подтвердить». Программа установки запустится и сообщит вам об успешном завершении.
Теперь вы можете перейти к «VPN> WireGuard» и увидеть, что пакет был установлен, но еще ничего не настроено. Теперь, когда брандмауэр готов к работе с WireGuard, мы приступим к установке VPN-клиента.
Перейдите в https://mullvad.net/en/ и нажмите «Создать учетную запись».
Mullvad не собирает от вас какую-либо информацию, такую как имя, номер телефона, адрес электронной почты и т. Д. Mullvad генерирует уникальный номер учетной записи, и это единственная идентифицирующая часть информации, которую вы получаете, связанную с вашей учетной записью, поэтому запишите ее и защитите.
Далее выберите способ оплаты. Вы получаете скидку 10% за использование биткойнов. Подписка действует столько, сколько вы хотите оплатить (до 12 месяцев) по тарифу 5 евро в месяц. Так, годовая подписка, например, будет стоить 60 евро или около 0.001 BTC по сегодняшнему курсу (по состоянию на ноябрь 2021 года). Вам будет представлен QR-код биткойн-адреса, на который нужно отправить платеж.
Проверить mempool чтобы увидеть, когда ваша биткойн-транзакция будет подтверждена. Возможно, вам придется подождать некоторое время в зависимости от перегрузки сети.
После подтверждения в цепочке учетная запись Mullvad пополняется и должно показывать, что у вас осталось время. Подумайте о выборе местоположения сервера из длинного списка серверов Mullvad. Если вы планируете использовать ASIC за VPN, я рекомендую подключиться к серверу относительно близко к вашему фактическому географическому местоположению, чтобы попытаться максимально уменьшить задержку.
Mullvad работает с файлами конфигурации, которые назначают уникальную пару открытого/закрытого ключа для каждого адреса туннеля. Основная идея здесь заключается в том, что я хочу настроить первичный туннель для ASIC, но я также хочу настроить вторичный туннель с другим сервером в другом географическом местоположении на случай, если первичное туннельное соединение отключится. Таким образом, мой интернет-трафик для майнинга будет автоматически переключаться на другой туннель, и не будет перерыва в сокрытии моего общедоступного IP-адреса или шифровании данных моего трафика. Я также собираюсь настроить другие туннели специально для моей сети WiFi и моей сети «LANwork».
Для этого мне понадобится столько пар ключей, сколько мне нужно туннелей. Одна подписка Mullvad включает до пяти пар ключей. Перейдите к https://mullvad.net/en/account/#/wireguard-config/ и выберите свою платформу, например, Windows. Затем нажмите «Создать ключи» для любого количества пар ключей, до пяти ключей. Затем нажмите «Управление ключами» ниже, чтобы увидеть свой список.
*Все ключи и конфиденциальная информация, представленные в этом руководстве, были подвергнуты ядерной атаке перед публикацией. Будьте осторожны при обмене этой информацией с кем-либо, вы хотите, чтобы ваши ключи Mullvad оставались конфиденциальными.
Как видите, я сгенерировал четыре ключа для этого руководства, которые я уничтожу после того, как закончу использовать их в качестве примеров. Каждый файл конфигурации должен быть настроен для определенного сервера Mullvad по вашему выбору.
- Выберите «Открытый ключ», для которого вы хотите создать файл конфигурации, щелкнув кружок в столбце «Использовать» рядом с соответствующим открытым ключом.
- Выберите страну, город и сервер, которые вы хотите настроить с помощью этого открытого ключа.
- Нажмите «Загрузить файл».
- Сохраните файл конфигурации в удобном месте, потому что вам нужно будет открыть его через мгновение.
* Помните, что для каждого туннеля к новому серверу, который вы хотите настроить, вам нужно будет использовать отдельный открытый ключ. Если вы попытаетесь назначить два туннеля одному и тому же ключу, pfSense столкнется с проблемами с вашим VPN.
Повторите этот процесс для столько ключей, сколько вы сгенерировали, выбирая разные серверы для каждого уникального ключа и создавая файл конфигурации. Я счел полезным назвать файл конфигурации в соответствии с используемым городом и сервером.
Теперь вернитесь к pfSense и перейдите в «VPN> WireGuard> Настройки», нажмите «Включить WireGuard», а затем «Сохранить».
- Перейдите на вкладку «Туннели» и выберите «Добавить туннель».
- Откройте свой первый файл конфигурации Mullvad с помощью текстового редактора, такого как Блокнот, и оставьте его в стороне.
- В WireGuard добавьте «Описание» для своего туннеля, которое описывает, что это такое, например «Mullvad Atlanta US167».
- Скопируйте/вставьте «PrivateKey» из файла конфигурации Mullvad и добавьте его в диалоговое окно «Interface Keys».
- Нажмите «Сохранить туннель», затем «Применить изменения» в верхней части страницы.
WireGuard автоматически сгенерирует открытый ключ, когда вы вставите закрытый ключ и нажмете клавишу «Tab» на клавиатуре. Вы можете убедиться, что открытый ключ был сгенерирован правильно, сравнив его с ключом на веб-сайте Mullvad, который вы создали ранее.
Повторите этот процесс для любого количества туннелей. Убедитесь, что вы используете правильный файл конфигурации Mullvad для каждого из них, поскольку все они содержат разные пары открытого / закрытого ключей, IP-адреса и конечные точки.
Каждый туннель получит свой пир. Вы можете добавить «Пир», сначала перейдя на вкладку «Пер» рядом с вкладкой «Туннели», на которой вы только что были. Затем нажмите «Добавить пир».
- Выберите соответствующий туннель из раскрывающегося меню для этого узла.
- Добавьте «Описание» для своего туннеля, которое описывает, что это такое, например «Mullvad Atlanta US167».
- Снимите флажок «Динамическая конечная точка».
- Скопируйте/вставьте IP-адрес и порт «Конечной точки» из файла конфигурации Mullvad в поля «Конечная точка» в WireGuard.
- Вы можете дать поле «Keep Alive» 30 секунд.
- Скопируйте/вставьте «PublicKey» из файла конфигурации Mullvad в поле «Public Key» в WireGuard.
- Измените «Разрешенные IP-адреса» на «0.0.0.0/0» для IPv4. Вы также можете добавить дескриптор, например «Разрешить все IP-адреса», если хотите.
- Нажмите «Сохранить», затем выберите «Применить изменения» вверху страницы.
Повторите этот процесс для такого количества пиров, сколько у вас туннелей. Убедитесь, что вы используете правильный файл конфигурации Mullvad для каждого из них, поскольку все они содержат разные пары открытого / закрытого ключей, IP-адреса и конечные точки.
На этом этапе вы должны иметь возможность перейти на вкладку «Статус» и наблюдать за происходящими рукопожатиями, нажав «Показать одноранговые узлы» в правом нижнем углу.
Далее необходимо назначить интерфейсы для каждого туннеля.
- Перейдите в «Интерфейсы> Назначения интерфейсов».
- Выберите каждый туннель из раскрывающегося меню и добавьте его в свой список.
После добавления всех ваших туннелей щелкните синюю гиперссылку рядом с каждым добавленным туннелем, чтобы настроить интерфейс.
- Нажмите на поле «Включить интерфейс».
- Введите свое описание — я просто использовал имя VPN-сервера, например: «Mullvad_Atlanta_US167».
- Выберите «Статический PIv4».
- Введите «1420» в поля «MTU и MSS».
- Теперь скопируйте/вставьте IP-адрес хоста из файла конфигурации Mullvad в диалоговое окно «Адрес IPv4».
- Затем нажмите «Добавить новый шлюз».
После нажатия на «Добавить новый шлюз» вам будет представлено следующее всплывающее диалоговое окно. Введите имя для вашего нового шлюза, что-то простое, например, имя вашего туннеля с добавлением «GW» для «GateWay». Затем введите тот же IP-адрес хоста из файла конфигурации Mullvad. Вы также можете добавить описание, если хотите, например «Mullvad Atlanta US167 Gateway». Затем нажмите «Добавить».
Когда вы вернетесь на страницу конфигурации интерфейса, нажмите «Сохранить» внизу страницы. Затем нажмите «Применить изменения» вверху страницы.
Повторите этот процесс, чтобы создать шлюз для каждого добавленного туннельного интерфейса. Убедитесь, что вы используете правильный файл конфигурации Mullvad для каждого из них, поскольку все они содержат разные IP-адреса хоста.
На этом этапе вы можете перейти на панель инструментов и отслеживать состояние ваших шлюзов. Если вы еще этого не сделали, вы можете настроить панель инструментов для отслеживания нескольких статистических данных в pfSense. Нажмите на знак «+» в правом верхнем углу панели инструментов, после чего выпадет список доступных мониторов статистики, и вы сможете выбрать те, которые вам нужны.
Например, на панели инструментов у меня есть три столбца, начиная с «Информация о системе». Во втором столбце у меня есть сводка «Установленные пакеты», статус «WireGuard» и список моих интерфейсов. В третьем столбце у меня статус «Шлюз» и статус «Услуги». Таким образом, я могу быстро проверять и контролировать состояние самых разных вещей.
Что я хочу отметить в панели инструментов, так это то, что в разделе «Шлюзы» вы заметите, что все шлюзы подключены к сети. Шлюзы будут в сети до тех пор, пока активен туннель, даже если удаленная сторона не отвечает. Это потому, что они являются локальным интерфейсом, поэтому сейчас они бесполезны, поскольку даже если удаленная сторона выйдет из строя, они все равно будут отображаться как онлайн. Чтобы включить возможность мониторинга задержки, чтобы эти шлюзы могли предоставлять некоторую полезную статистику, мне нужно предоставить этим шлюзам адрес в системе имен общедоступных доменов (DNS) для мониторинга.
Вы заметите, что время проверки связи туннеля составляет ноль миллисекунд. Это потому, что я не отправляю никаких данных через эти туннели. Пингуя общедоступный DNS-сервер, pfSense может получить некоторые полезные метрики и принять решение о том, какой туннель обеспечит наименьшую задержку или отключится ли удаленный сервер для перенаправления трафика.
Вы можете найти общедоступный DNS-сервер для мониторинга по адресу этой веб-сайт или ряд других публичных списков DNS-серверов. Следите за зарегистрированным процентом времени безотказной работы, чем больше, тем лучше. Вы хотите найти общедоступные IP-адреса DNS IPv4 для мониторинга на своих шлюзах IPv4. Каждому шлюзу потребуется отдельный DNS-адрес для мониторинга.
Получив общедоступные DNS-адреса, перейдите в «Система> Маршрутизация> Шлюзы» в pfSense. Нажмите на значок карандаша рядом с вашим шлюзом. Вы можете видеть, что «Адрес шлюза» и «IP-адрес монитора» одинаковы на всех шлюзах. Вот почему время пинга составляет ноль миллисекунд, и именно поэтому pfSense будет думать, что шлюз всегда активен.
Введите общедоступный IP-адрес DNS, который вы хотите отслеживать, в поле «Мониторинг IP», а затем нажмите «Сохранить» в нижней части экрана. Затем нажмите «Применить изменения» в верхней части экрана. Помните, что шлюзы не могут использовать один и тот же адрес монитора DNS, поэтому используйте для мониторинга разные общедоступные DNS-серверы для каждого шлюза.
Теперь, если вы вернетесь к своей приборной панели и посмотрите на свой монитор шлюза, вы должны увидеть, что есть некоторые фактические показатели задержки для наблюдения. С помощью этой информации вы можете настроить свои шлюзы в порядке приоритета в зависимости от того, какие из них имеют наименьшую задержку для вашего интернет-трафика. Так, например, если вы занимаетесь добычей биткойнов, то вам нужно расставить приоритеты для своих ASIC, чтобы они сначала проходили туннель с наименьшей задержкой. Затем, если этот туннель выйдет из строя, брандмауэр может автоматически переключить их на шлюз следующего уровня со второй по величине задержкой и так далее.
Пока все в порядке, туннели активны, через шлюзы проходят данные. Затем нам нужно определить отображение преобразования адресов исходящей сети (NAT) на брандмауэре.
- Перейдите на вкладку «Брандмауэр», затем «NATm», затем вкладку «Исходящий». Это выведет список всех ваших сетевых сопоставлений из ваших глобальных сетей в ваши локальные сети. Поскольку у нас определены некоторые новые интерфейсы, мы хотим добавить эти сопоставления в список.
- Нажмите «Создание правила гибридного исходящего NAT» в разделе «Режим исходящего NAT».
- Прокрутите страницу вниз и нажмите «Добавить».
- Выберите свой интерфейс из выпадающего меню
- Выберите «IPv4» для «Семейства адресов».
- Выберите «любой» для «Протокола»
- Убедитесь, что «Источник» находится в «Сети», а затем введите диапазон локальных IP-адресов для локальной сети, через которую вы хотите пройти по этому туннелю. Например, я хочу, чтобы моя «LANwork» шла через этот туннель в Атланту, поэтому я ввел «192.168.69.1/24».
- Затем введите описание, если хотите, например «Исходящий NAT для LANwork в Mullvad Atlanta US167».
- Затем нажмите «Сохранить» внизу страницы и «Применить изменения» вверху страницы.
Повторите этот процесс для каждого из туннельных интерфейсов. Вы заметите, что моя сеть «LANwork» идет к туннелю в Атланте, моя сеть «LANhome» идет к туннелю в Нью-Йорке, а сеть «LANminers» настроена как для туннелей в Майами, так и для Сиэтла. Вы можете установить сопоставление вашей майнинговой локальной сети со всеми пятью вашими туннелями, если хотите. Вы также можете иметь несколько локальных сетей, сопоставленных с одним и тем же туннелем, если хотите, существует большая гибкость.
Со всеми сопоставлениями мы можем добавить правила брандмауэра. Перейдите к «Брандмауэр>Локальная сеть», затем нажмите «Добавить», где «Локальная сеть» — это та локальная сеть, к которой вы хотите добавить правило. Например, на этом снимке экрана я настраиваю свою сеть «LANwork»:
- Установите «Действие» на «Пропустить».
- Установите «Семейный адрес» на «IPv4».
- Установите «Протокол» на «Любой».
- Затем нажмите «Показать расширенные настройки».
- Прокрутите вниз до «Шлюз» и выберите шлюз, который вы настроили для этой локальной сети.
- Нажмите «Сохранить» в нижней части экрана, затем нажмите «Применить изменения» в верхней части экрана.
Затем проделайте то же самое со следующей локальной сетью, пока не настроите все свои локальные сети с правилом шлюза. Вот снимок моих правил шлюза LAN. Вы заметите, что я добавил два правила шлюза в свою сеть «LANminers». Позже я покажу вам, как настроить автоматическую балансировку нагрузки между туннелями для майнинговой локальной сети, которая заменит два правила, которые я только что добавил в «LANminers», но я хочу убедиться, что все настроено и работает правильно. первый.
Чтобы дважды проверить, что все работает до сих пор и что каждая из моих локальных сетей получает разные общедоступные IP-адреса, я введу «ifconfig.co» в веб-браузер из каждой локальной сети. Если все работает правильно, то у меня должны быть разные места для каждой локальной сети, к которой я подключаюсь и из которой пингую:
Все заработало по плану, первая попытка. При подключении к каждой локальной сети я смог отключить соответствующее правило брандмауэра, обновить страницу и посмотреть, как мой IP-адрес возвращается к моей фактической приблизительной географической области.
Если вы помните, я настроил два туннеля для своей сети «LANminers». Когда я отключил одно правило брандмауэра, соответствующее туннелю в Майами, и обновил свой браузер, он немедленно переключился на IP-адрес в Сиэтле.
Таким образом, каждая локальная сеть отправляет трафик через другой туннель, и все мои туннели работают должным образом. Однако, что касается моей сети «LANminers», я хочу, чтобы pfSense автоматически переключался между туннелями Майами и Сиэтла в зависимости от задержки или отключенных серверов. Выполнив еще пару шагов, я могу настроить автоматическое переключение и заменить два правила брандмауэра новым единым правилом.
Перейдите в «Система> Маршрутизация», а затем на вкладку «Группы шлюзов».
- Введите имя группы, например «Mullvad_LB_LANMiners». «LB» означает «Баланс нагрузки».
- Установите для всех остальных шлюзов значение «Никогда», кроме двух шлюзов, которые вас интересуют для ваших майнеров. В данном случае я использую свои шлюзы в Майами и Сиэтле. Оба этих приоритета установлены на «Уровень 1», или вы можете использовать все пять своих туннелей, если хотите.
- Установите уровень срабатывания «Потеря пакетов или высокая задержка».
- Если хотите, добавьте описание, например «Балансировка нагрузки LANminers Mullvad Tunnels».
- Нажмите «Сохранить» внизу экрана, затем «Применить изменения» вверху экрана.
Если вы перейдете в «Статус> Шлюзы», а затем на вкладку «Группы шлюзов», вы сможете увидеть свою новую группу шлюзов в сети. Теоретически, если вы направляете трафик на «Mullvad_LB_LANminers», он должен балансировать трафик между двумя шлюзами на основе задержки.
Теперь эту группу шлюзов можно использовать в правиле брандмауэра для соответствующей политики маршрутизации этого трафика. Перейдите в «Брандмауэр> Правила», а затем на вкладку «LANminers» или как там называется ваша локальная сеть для майнинга.
Идите вперед и отключите два правила, которые вы установили ранее для тестирования туннелей VPN, щелкнув перечеркнутый кружок рядом с правилом. Нажмите «Применить изменения», затем нажмите «Добавить» внизу.
- Установите протокол на «Любой»
- Нажмите «Показать расширенные настройки».
- Прокрутите вниз до «Шлюз» и выберите созданную вами группу шлюзов балансировки нагрузки.
- Нажмите «Сохранить» внизу страницы и нажмите «Применить изменения» вверху страницы.
Это должно быть все, что нужно, чтобы ваши ASIC автоматически переключались с одного туннеля VPN на другой туннель VPN в зависимости от задержки или отключенных серверов. Чтобы проверить это, подключите ноутбук к выделенному порту Ethernet на сетевой карте для вашей локальной сети майнинга. В моем случае это «igb3».
Убедитесь, что ваш WiFi выключен. Откройте веб-браузер и введите «ifconfig.co» в строке URL. Результаты должны указать вам местонахождение одного из ваших VPN-туннелей. В моем случае это был Майами.
Затем вернитесь в pfSense, перейдите в «Интерфейсы> Назначения» и щелкните гиперссылку для этого туннельного интерфейса. В моем случае это интерфейс Mullvad_Miami_US155.
В самом верху этой страницы конфигурации снимите флажок «Включить интерфейс». Затем нажмите «Сохранить» в нижней части экрана, а затем нажмите «Применить изменения» в верхней части экрана. Это только что отключило туннель Майами, через который мои LANminers отправляли трафик.
Вернувшись на ноутбук, обновите браузер со страницей ifconfig.co. Теперь он должен указывать ваше местоположение в Сиэтле или там, где был установлен ваш вторичный туннель. Иногда мне нужно полностью закрыть браузер и снова открыть его, чтобы очистить кеш.
Убедитесь, что вы вернетесь к своему интерфейсу Майами и повторно установите флажок, чтобы включить этот интерфейс, затем сохраните и примените. Затем вы можете вернуться к «Брандмауэр> Правила», затем к своей локальной сети майнинга и удалить два правила, которые вы отключили.
Вот и все, вы должны быть готовы идти. Имейте в виду, что правила брандмауэра работают сверху вниз. Далее я расскажу, как предотвратить отслеживание рекламы.
Шаг девятый: как настроить возможности блокировки рекламы
Рекламные компании очень заинтересованы в вас и в максимально возможной информации о вас. К сожалению, когда вы просматриваете Интернет, эту желаемую информацию легко просочить.
Эта информация монетизируется для целевой аудитории с продуктами и услугами с хирургической точностью. Возможно, вы когда-нибудь искали что-то в Интернете, а затем заметили рекламу, появляющуюся в вашей ленте социальных сетей, которая соответствует вашим недавним поискам. Это стало возможным благодаря сбору как можно большего количества информации о ваших поисковых запросах в Интернете, какие веб-сайты вы посещаете, какие изображения вы просматриваете, что вы загружаете, что вы слушаете, ваше местоположение, что находится в вашей корзине, какие способы оплаты вы используете, время и дата всей этой деятельности, а затем связывание этой информации с уникальными идентифицируемыми константами, такими как конкретный веб-браузер, который вы используете, и на каком устройстве вы его используете.
Объедините эту информацию со своим IP-адресом, учетной записью интернет-провайдера и профилем в социальных сетях, и вы сможете начать понимать, как существует приманка с информацией о вас, которая, возможно, вам не нужна так легко доступной для корпораций, правоохранительных органов, незнакомцев или хакеров. Между печенье, отпечатки пальцев браузера и поведенческое отслеживание может показаться, что шансы складываются против вас. Но есть простые шаги, которые вы можете предпринять, чтобы начать охранять свою конфиденциальность прямо сейчас. Было бы стыдно позволить идеалу стать врагом добра и удерживать вас от начала.
В этом разделе вы увидите, как включить возможности блокировки рекламы, изменив настройки DNS-сервера и DHCP-сервера в вашем брандмауэре. На высоком уровне вы вводите имя веб-сайта в свой веб-браузер, которое отправляется на DNS-сервер (обычно DNS-сервер вашего интернет-провайдера), и этот сервер переводит удобочитаемый текст в IP-адрес и отправляет его обратно в ваш браузер. поэтому он знает, к какому веб-серверу вы пытаетесь подключиться. Кроме того, таким образом вам также отправляется целевая реклама.
Я рекомендую начать это упражнение с посещения https://mullvad.net/en/.
Затем нажмите ссылку «Проверить наличие утечек», чтобы увидеть, что можно улучшить.
Если вы получаете утечку DNS, в зависимости от того, какой браузер вы используете, вы можете найти полезные инструкции от Mullvad. здесь для усиления защиты вашего браузера и предотвращения рекламы и отслеживания на уровне браузера. Затем попробуйте еще раз.
Если у вас есть проблемы с блокировкой рекламы в предпочтительном браузере, подумайте об использовании браузера, более ориентированного на конфиденциальность, например Хром без поиска в Google:
- Выберите свою операционную систему и последнюю версию
- Скачать установщик .exe
- Проверьте хеш-значение
- Запустите установщик, а затем настройте основные параметры, такие как поисковая система по умолчанию.
Tor это еще один браузер, который я бы рекомендовал использовать как можно чаще, просто в общем.
Mullvad предоставляет несколько различных DNS-серверов, перечисленных в этой Статья Маллвада. В этом примере я буду использовать сервер «100.64.0.3» для блокировки рекламного трекера. Не забудьте обратиться к веб-сайту Mullvad за последними обновленными IP-адресами DNS-серверов, поскольку они могут время от времени меняться.
В pfSense перейдите к «Система> Общие», затем прокрутите вниз до раздела «Настройки DNS-сервера» и введите «100.64.0.3» в поле DNS-сервер с выбранным шлюзом глобальной сети. Если вы воспользовались моей рекомендацией в начале руководства, то это уже должно быть установлено, но вам нужно будет следовать приведенным ниже инструкциям DHCP.
Нажмите «Сохранить» внизу страницы.
Затем перейдите к «Сервисы> DHCP-сервер» и прокрутите вниз до «Серверы». В поле «DNS-серверы» введите «100.64.0.3» и нажмите «Сохранить» внизу страницы. Повторите этот шаг для всех ваших локальных сетей, если у вас настроено несколько сетей.
Теперь у вас должен быть настроен DNS-сервер, блокирующий рекламный трекер, на уровне брандмауэра, чтобы защитить все ваши просмотры в Интернете. Затем, если вы приняли дополнительные меры по настройке своего веб-браузера или обновились до веб-браузера, ориентированного на конфиденциальность, вы сделали большой шаг вперед в защите своей конфиденциальности на своих настольных устройствах.
Я также рекомендую рассмотреть возможность использования UnGoogled Chromium или Бромит на мобильном телефоне. Если вас интересуют дополнительные меры по обеспечению конфиденциальности мобильных устройств, ознакомьтесь с моим руководством по CalyxOS. здесь.
Шаг 10: как проверить задержку, вызванную VPN
Есть разумные опасения, что использование VPN может вызвать задержку в трафике майнинга. Проблема в том, что вы получите меньше наград.
Когда присутствует задержка, ваш ASIC может продолжать хэшировать заголовок блока, который больше не действителен. Чем дольше ваш ASIC тратит на хеширование недопустимого заголовка блока, тем более «устаревший» хешрейт вы будете отправлять в пул. Когда пул видит поступающие хэши для заголовка блока, который больше не действителен, пул отклоняет эту работу. Это означает, что ваш ASIC просто потратил часть вычислительной мощности впустую, хотя это измеряется миллисекундами, когда ASIC вычисляет триллионы хэшей каждую секунду, он может быстро накапливаться.
Как правило, это очень маленький коэффициент по сравнению с объемом работы, который принимает пул. Но вы можете начать понимать, насколько значительная и непрерывная задержка может повлиять на вознаграждение за майнинг.
Вообще говоря, чем ближе два сервера друг к другу, тем меньше будет задержка. С помощью VPN я должен отправлять свой майнинг-трафик на сервер VPN, а оттуда он идет на сервер пула. Пытаясь уменьшить задержку из-за географической близости, я использовал три VPN-сервера, которые находились между моим местоположением и сервером пула. Я также хотел осознавать риск регионального отключения интернета, поэтому я также добавил два VPN-сервера, которые не находились между пулом и мной. С моей сетью «LANminers», настроенной на балансировку трафика между пятью разными туннелями, я начал пятидневный тест.
Первые два с половиной дня (60 часов) были потрачены на майнинг с включенным VPN. Вторые два с половиной дня были потрачены на майнинг с отключенным VPN. Вот что я нашел:
За первые 60 часов у моего ASIC было 43,263 87 принятых пакета и 0.201 отклоненных пакетов. Это равняется 0.201%, или, другими словами, XNUMX% моих израсходованных ресурсов, которые не вознаграждаются.
Через 120 часов на моем ASIC было 87,330 187 принятых пакетов и 60 отклоненных пакетов. Если вычесть начальные 44,067-часовые показания, у меня осталось 100 0.226 принятых пакетов и XNUMX отклоненных пакетов, когда VPN был отключен. Это равно XNUMX%. Удивительно, но это немного больше, чем коэффициент отказа без преимуществ конфиденциальности VPN, если учесть такое же количество времени.
В заключение, балансируя мой трафик майнинга между пятью туннелями VPN, я смог получить преимущества конфиденциальности VPN без снижения эффективности моей операции майнинга. Фактически, с точки зрения количества отказов, мой майнер лучше использовал VPN, чем не использовал VPN.
Если вам интересно узнать больше о темах, затронутых в этом руководстве, ознакомьтесь с этими дополнительными ресурсами:
Спасибо за прочтение! Я надеюсь, что эта статья помогла вам понять основы использования старого рабочего стола для установки сети и прошивки с помощью pfSense для создания универсального межсетевого экрана, как настроить отдельные локальные сети, как настроить ячеистый WiFi-маршрутизатор, как создать Mullvad VPN учетной записи и как использовать WireGuard для настройки отработки отказа VPN, чтобы минимизировать задержку при майнинге.
Это гостевой пост Econoalchemist. Выраженные мнения являются полностью их собственными и не обязательно отражают мнение BTC Inc или Биткойн-журнал.
Источник: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- доступ
- Учетная запись
- Действие
- активный
- активно
- Ad
- дополнительный
- Администратор
- объявления
- Все
- Позволяющий
- Применение
- ПЛОЩАДЬ
- около
- гайд
- Основныеоперации
- автоматический
- Банковское дело
- Основы
- ЛУЧШЕЕ
- лучшие практики
- Bitcoin
- Биткойн-добыча
- блокчейн
- Блог
- Коробка
- браузер
- BTC
- BTC Inc
- строить
- Строительство
- заботится
- Наличный расчёт
- вызванный
- сертификат
- изменение
- контроль
- Проверки
- хром
- Circle
- Город
- ближе
- код
- Column
- приход
- Компании
- компьютеры
- вычисление
- вычислительная мощность
- Конфигурация
- связи
- Коммутация
- продолжать
- Корпорации
- страны
- Пара
- Создающий
- Полномочия
- приборная панель
- данным
- уничтожить
- застройщиков
- Устройства
- DID
- усердие
- скидка
- Дисплей
- DNS
- Имя домена
- Падение
- редактор
- затрат
- Конечная точка
- окончания поездки
- Английский
- Окружающая среда
- Упражнение
- опыт
- лица
- всего лишь пяти граммов героина
- семья
- Фэшн
- БЫСТРО
- Особенности
- Поля
- фигура
- в заключение
- Во-первых,
- Flash
- Трансформируемость
- следовать
- форма
- вперед
- Год основания
- Бесплатно
- Freedom
- полный
- функция
- будущее
- Общие
- GitHub
- Отдаете
- хорошо
- большой
- Зелёная
- группы
- GUEST
- Guest Post
- инструкция
- Хакеры
- Аппаратные средства
- хэш
- хэш-ставка
- Хеширования
- здесь
- High
- держать
- Главная
- Вилла / Бунгало
- Как
- How To
- HTTPS
- человек читаемый
- Голодный
- Гибридный
- ICON
- идея
- определения
- нелегальный
- изображение
- Влияние
- Увеличение
- информация
- Инфраструктура
- Intel
- интерес
- Интерфейс
- Интернет
- IP
- IP-адрес
- IP-адреса
- IT
- хранение
- Основные
- ключи
- Дети
- портативный компьютер
- последний
- запуск
- закон
- правоохранительной
- утечка
- Утечки
- изучение
- Законодательство
- уровень
- Лицензия
- легкий
- LINK
- Список
- Включенный в список
- Listening
- Объявления
- загрузка
- локальным
- расположение
- Длинное
- макинтош
- Большинство
- Создание
- отметка
- Совпадение
- Медиа
- Память
- металл
- Метрика
- Шахтеры
- Горнодобывающая промышленность
- зеркало
- Мобильный телефон
- мобильных устройств
- мобильный телефон
- деньги
- месяцев
- двигаться
- сеть
- сетей
- сетей
- New York
- Новости
- онлайн
- открытый
- операционный
- операционная система
- Мнения
- Возможность
- Опция
- Опции
- заказ
- Другое
- перебой в работе
- Пароль
- пароли
- ОПЛАТИТЬ
- оплата
- Люди
- пинг
- планирование
- Платформа
- Подкаст
- политика
- бассейн
- мощностью
- представить
- политикой конфиденциальности.
- Конфиденциальность и безопасность
- частная
- Секретный ключ
- Продукция
- Профиль
- FitPartner™
- для защиты
- протокол
- что такое варган?
- публичный ключ
- Издательство
- QR-код
- Оперативная память
- ассортимент
- RE
- уменьшить
- исследованиям
- Полезные ресурсы
- ОТДЫХ
- Итоги
- Награды
- Снижение
- Катить
- дорога
- условиями,
- Run
- Бег
- Сохранность
- экономия
- Шкала
- экран
- Поиск
- вторичный
- безопасность
- видит
- выбранный
- продаем
- Услуги
- набор
- установка
- Поделиться
- общие
- Оболочка
- Шоппинг
- Короткое
- выключение
- Серебро
- просто
- ШЕСТЬ
- небольшой
- Снимок
- So
- Соцсети
- социальные сети
- Software
- скорость
- Начало
- и политические лидеры
- Области
- Статистика
- Статус:
- подписка
- успешный
- Коммутатор
- система
- говорить
- цель
- Терминал
- условиями
- тестXNUMX
- Тестирование
- Основы
- мир
- время
- инструменты
- топ
- Темы
- Отслеживание
- трафик
- сделка
- Переводы
- триллионы
- Доверие
- нам
- Объединенный
- США
- Обновление ПО
- USB
- Видео
- Видео
- Виртуальный
- VPN
- Виртуальные частные сети
- ждать
- Смотреть
- Web
- веб-браузер
- веб-сервер
- Вебсайт
- веб-сайты
- Что такое
- КТО
- Wi-Fi
- Википедия.
- ветер
- окна
- беспроводной
- слова
- Работа
- работает
- Мир
- стоимость
- YouTube
- нуль