Kako zgraditi domače omrežje, ki vašemu ponudniku internetnih storitev preprečuje, da bi videl vaše podatke, izolira ASIC-je in vam omogoča rudarjenje Bitcoinov brez dovoljenja.
Priročnik o gradnji varnega domačega omrežja s požarnim zidom pfSense, osredotočen na zasebnost, ki pojasnjuje, kako nastaviti namenska domača omrežja, da ločite družinsko brskanje po spletu WiFi od vašega prometa rudarjenja Bitcoinov; kako konfigurirati VPN z WireGuardom; in kako poslati ves svoj internetni promet skozi tunele Mullvad VPN s samodejnim uravnoteženjem obremenitve za preklapljanje med tuneli v času visoke zakasnitve; kot tudi, kako konfigurirati blokator oglasov na ravni požarnega zidu.
Vsak domači rudar Bitcoinov bo potreboval domače omrežje. Izgradnja varnega in zasebnega omrežja za rudarjenje je bistveni del vzdrževanja delovanja brez dovoljenj. Z upoštevanjem tega vodnika boste videli, kako zgraditi robustno in prilagodljivo domače rudarsko omrežje, ki ima naslednje prednosti in še več:
- Tuneliranje navideznega zasebnega omrežja (VPN) za zaščito in šifriranje vašega internetnega prometa
- Izboljšana zasebnost pred radovednimi očmi vašega ponudnika internetnih storitev (ISP)
- Zmanjšanje potencialnega tveganja beleženja naslovov IP iz vašega rudarskega bazena
- Konfiguracija požarnega zidu pfSense
- Ustvarjanje ločenih domačih omrežij, da bodo vaši ASIC-ji ločeni od gostujočega WiFi omrežja itd.
- Nastavitev dostopne točke omrežja WiFi
- Konfiguracija zaviralca oglasov na ravni požarnega zidu.
V tem priročniku boste videli nekaj brezplačne odprtokodne programske opreme, kot je pfSense in WireGuard, pa tudi nekaj plačljive odprtokodne programske opreme, kot je Mullvad VPN.
To nalogo sem začel opravljati, ko sva se z ženo odločila prodati hišo v mestu in se preseliti na podeželje. Imel sem vizijo vzpostavitve nove rudarske infrastrukture iz nič in želel sem izkoristiti to priložnost, da zgradim vrhunsko domače omrežje, ki sem si ga vedno želel – domače omrežje, ki je mojemu ponudniku internetnih storitev preprečilo, da bi videl moje podatke in kam gredo, domače omrežje, ki izolirala moje ASIC-je od drugih omrežno povezanih naprav, domačega omrežja, ki me ni nenehno spremljalo in oglaševalcem prodajalo mojih informacij o brskanju.
Takrat sem začel pozorno gledati a blog post na temo od k3tan. V svojem članku o pfSense je k3tan razložil številne lastnosti domačega omrežja, ki sem jih želel zgraditi zase, in pokazal na več dodatnih virov, zaradi katerih sem mislil, da bi to lahko naredil sam, če bi se res potrudil.
Preden sem skočil v to, nisem imel nobenih izkušenj z mreženjem in čeprav je veliko korakov, je res zelo enostavno uporabljati brezplačna in odprtokodna orodja, da začnete delati skoke pri varovanju vaše zasebnosti.
Obrnil sem se na k3tan in podprli so moja prizadevanja in mi pomagali premagati nekatere ovire, na katere sem naletel — res cenim to in se želim zahvaliti, k3tan.
Skupaj sem za ta vodnik porabil 360 USD za izgradnjo domačega omrežja. 160 $ za omrežno kartico in 200 $ za mrežni WiFi komplet (kar bi, pošteno, lahko naredili z usmerjevalnikom za 40 $, vendar YOLO!).
Nekatere omejitve, ki se jih morate zavedati: Pred tem vodnikom nisem imel dobesedno nobenih izkušenj z mreženjem. Zelo možno je, da sem naredil kakšno nepredvideno napako. Toplo priporočam, da to uporabite kot vodilo, vendar tudi vključite lastne raziskave in skrbnost v nastavitev svojega domačega omrežja. VPN-ji so odlično orodje za varovanje vaše zasebnosti, vendar niso srebrna paleta. Obstaja več drugih načinov, kako lahko razkrijete podatke in zmanjšate svojo zasebnost. Dobra novica je, da je enostavno začeti delati korake pri razvoju dobrih praks, osredotočenih na zasebnost.
Priporočam branje ta vodnik iz Mullvada, poslušam ta podcast od SethForPrivacy, in preverjanje dodatnih virov iz Teklore.
Pojdimo takoj k temu in nastavimo svoje domače rudarsko omrežje tako, da bo vaša družina srečna in bodo vaši ASIC-ji varni in zasebni.
Izdelava požarnega zidu pfSense iz starega namiznega računalnika
V 10 korakih spodaj vam bom pokazal, kako sem s starim namiznim računalnikom zgradil požarni zid pfSense in kako sem konfiguriral domače omrežje.
Če izberete to možnost, namesto da bi zgradili svojo, lahko preskočite na četrti korak spodaj.
Prvi korak: Kako namestiti novo omrežno kartico
Najprej boste potrebovali star namizni računalnik. Uporabil sem Dell Optiplex 9020 Small Form Factor (SFF). To je močan kos strojne opreme za požarni zid; ima procesor Intel i7-4790 3.6 GHz, 16 GB RAM-a in trdi disk 250 GB.
Privzeto ima ta računalnik samo ena vrata RJ45 Ethernet. Če pa bo to služilo kot požarni zid, bo potrebovalo vsaj dve ethernetni vrati. Da bi to dosegel, sem kupil omrežno kartico Intel i350, ki je opremljena s štirimi vrati Ethernet. Omrežna kartica i350 je zasnovana za uporabo v štiripasovni reži PCIe na matični plošči namizja.
Za to ohišje SFF sem moral zamenjati kovinski nosilec polne velikosti s priloženim manjšim nosilcem na omrežni kartici. Nato preprosto odprite ohišje in odprite zunanjo sponko, ki pokriva prazne reže PCI. Z izvijačem lahko odstranite prazen vložek kovinskega nosilca pred štiripasovno režo PCI in vstavite omrežno kartico. Nato zaprite sponko in nazaj namestite stranski pokrov ohišja.
Po namestitvi je pomembno vedeti, katera vrata Ethernet so za prostrano omrežje (WAN) in katera vrata za lokalno omrežje (LAN). WAN je tisto, kar je obrnjeno proti široko odprtemu javnemu internetu, LAN pa je tisto, kar je obrnjeno proti vašemu lokalnemu domačemu omrežju.
Ko je nameščen, lahko namizni računalnik za zdaj postavite na stran. Če želite prenesti in preveriti sliko pfSense in jo prenesti na pogon USB, boste želeli uporabiti računalnik, povezan z omrežjem.
Drugi korak: Kako prenesti in preveriti slikovno datoteko pfSense in jo prenesti na pogon USB
Najprej se pomaknite do tega stran za prenos pfSense in enkrat tam:
- Izberite arhitekturo »AMD64«.
- Nato »Namestitveni program USB Memstick«
- Nato konzola "VGA".
- Nato izberite katero koli ogledalo, ki je najbližje vaši geografski lokaciji, kot je prikazano na spodnjem posnetku zaslona, in kliknite »Prenesi«
Nato lahko izračunate kontrolno vsoto SHA-256 za stisnjeno datoteko, ki ste jo prenesli, in jo preverite glede na kontrolno vsoto, prikazano na strani za prenos pfSense.
Rad uporabljam brezplačni šestnajstiški urejevalnik, imenovan HxD za izračun kontrolnih vsot. Samo odprite datoteko, ki vas zanima, pojdite na »Orodja«, nato na »Kontrolne vsote« in v meniju izberite »SHA256«. Če se vrednosti razpršitve ne ujemajo, ne zaženite izvršljive datoteke.
Najlažji način, ki sem ga našel, da prenesem slikovno datoteko na pogon USB, je uporaba programa z imenom balenaetcher.
Ko je nameščen, zaženite aplikacijo, kliknite »Flash from file«, nato se pomaknite do mape, v kateri imate stisnjeno slikovno datoteko pfSense.
Nato izberite prazen pogon USB in kliknite »Flash«. BalenaEtcher bo začel postopek utripanja in samodejno dekompresiral slikovno datoteko pfSense. Ta postopek bo trajal nekaj minut.
Ko je utripanje končano, bi morali dobiti zeleno kljukico, ki označuje, da je vse izvedeno. Če dobite napako od balenaEtcherja, boste morda morali poskusiti utripati na drug pogon USB.
Zdaj lahko varno izvržete prepleteni USB-pogon iz računalnika in pripravljeni ste za preklop drugega namiznega računalnika.
Tretji korak: kako preklopiti namizje in namestiti pfSense
Priključite tipkovnico, monitor, napajalni kabel in bliskovni pogon USB na namizni računalnik, v katerega ste namestili omrežno kartico. Monitor mora biti povezan prek povezav VGA — po mojih izkušnjah povezave DisplayPort ne bodo delovale. Eternetnih kablov še ne priključujte.
Ko je vse povezano, vklopite namizje. Nekateri računalniki bodo samodejno zaznali, da je vstavljen zagonski pogon USB, in vas bodo vprašali, s katerega pogona se želite zagnati. V mojem primeru se je računalnik samo privzeto zagnal s pogona »C:« in samodejno zagnal Windows. Če se vam to zgodi, zaustavite računalnik in nato držite tipko "F12" na tipkovnici ter ga ponovno vklopite. To bo zagnalo BIOS, kjer lahko poveste računalniku, s katerega pogona se želite zagnati.
Tu je na primer moje okolje BIOS-a, kjer sem lahko izbral pogon USB SanDisk, na katerega sem prestavil sliko pfSense. Ko izberete to možnost, se bo za kratek čas zagnal skript, nato pa se bo zagnal namestitveni program pfSense:
Najprej sprejmite določila in pogoje. Nato izberite »Namesti pfSense« in nato izberite razporeditev tipk, ki vam ustreza. Če govorite angleško in živite v ZDA, boste verjetno želeli uporabiti privzeto.
Nato sem pravkar izbral možnost »Auto ZettaByte File System« (ZFS), ker uporabljam platformo strojne opreme, ki je veliko večja od specifikacij za domači požarni zid. Možnost ZFS ima več funkcij in je bolj zanesljiva kot možnost datotečnega sistema Unix (UFS), vendar je ZFS lahko bolj požrešen po pomnilniku, kar me pravzaprav ne skrbi, glede na to, da imam na tem namizju 16 GB RAM-a.
Nato boste imeli nekaj možnosti particioniranja in redundance, ki sem jih ohranil čim bolj preproste, npr. brez redundance in privzete možnosti konfiguracije. Nato izberite »Namesti«.
Nato boste videli nekaj potrdil, da je bila namestitev pfSense uspešna. Poziv vas bo vprašal, ali želite ročno narediti končne spremembe, česar nisem storil. Nato vas bo vprašal, ali želite znova zagnati, izberite da. Takoj odstranite pogon USB, preden se znova zažene ponovni zagon, ker vas bo v nasprotnem primeru spet spustil na začetek čarovnika za namestitev. Ko je ponovni zagon končan, bi morali priti v glavni meni terminala.
Zdaj ste pripravljeni, da svoj novi požarni zid povežete z domačim omrežjem.
Četrti korak: Kako povezati pfSense v domače omrežje
Naslednji koraki bodo izvedeni na tipkovnici in monitorju, povezanim z novim požarnim zidom:
- Najprej izklopite usmerjevalnik, ki ga je zagotovil ponudnik internetnih storitev, izklopite modem in odklopite ethernetne kable iz modema in usmerjevalnika.
- Nato vklopite vaš novi požarni zid in pustite, da se pfSense naloži. Nato vklopite modem in počakajte, da se poveže z internetom.
- V meniju pfSense izberite možnost ena, »Dodeli vmesnike«. Vprašal vas bo, ali želite zdaj nastaviti omrežja VLAN, vnesite »n« za št. Nato vas bo pozval, da vnesete ime vmesnika WAN, vnesite "a" za samodejno zaznavanje.
- Povežite ethernetni kabel iz modemskega izhoda z vmesnikom nove omrežne kartice požarnega zidu. Ne pozabite, da so vrata na skrajni desni strani, če so jezički za sprostitev RJ45 obrnjeni navzgor, vaša vrata WAN, ali skrajna leva stran, če so jezički za sprostitev RJ45 obrnjeni navzdol.
- Ko se povežete, pritisnite »enter«. Zaznati mora povezavo na vmesniških vratih igb0. Če je igb3, preklopite ethernetni kabel na nasprotno stran in poskusite znova.
- Nato vas bo pozval, da vnesete ime vmesnika LAN, vnesite "a" za samodejno zaznavanje. Priključite ethernetni kabel iz naslednjih razpoložljivih vrat na novi omrežni kartici požarnega zidu na vaše ethernetno stikalo ali drugo dostopno točko. Upoštevajte, da če nameravate uporabljati navidezno lokalno omrežje (VLAN), boste morali uporabiti upravljano stikalo.
- Ko ste povezani, pritisnite enter. Zaznati mora povezavo na vmesniških vratih igb1.
- Nato znova pritisnite enter za "nič", saj trenutno niso konfigurirane nobene druge omrežne povezave.
- Nato vas bo obvestil, da bodo vmesniki dodeljeni na naslednji način: WAN = igb0 in LAN = igb1.
- Vnesite »y« za da in pfSense bo zapisal konfiguracijo ter vas vrnil v glavni meni z vašimi naslovi WAN IP v4 in IP v6, prikazanimi na vrhu.
Samo za ponazoritev primera konfiguracije signalne poti lahko naredite takšno nastavitev:
Na tej točki bi morali imeti možnost vnesti »192.168.1.1« v spletni brskalnik na navadnem namizju in zagnati spletni vmesnik pfSense. To je samopodpisano potrdilo, zato sprejmite tveganje, ko boste pozvani, in nadaljujte. Poverilnice za prijavo so admin/pfsense.
Zdaj lahko odklopite tipkovnico in monitor z novega požarnega zidu. Preostali koraki bodo izvedeni prek spletnega vmesnika na običajnem namizju.
Peti korak: Kako konfigurirati osnovne nastavitve pfSense
V tem koraku boste videli, kako konfigurirate osnovne nastavitve, kot je čarovnik za namestitev, spremenite vrata TCP, omogočite Secure Shell SSH in privzeto nastavite pripenjanje. Velika večina informacij, predstavljenih tukaj in v šestem koraku spodaj, je nastala zaradi gledanja tega Video Tom Lawrence na pfSense — Zelo priporočam ogled tega videoposnetka, je dolg, a poln dragocenih informacij in vsebuje veliko več podrobnosti, kot jih predstavljam v tem priročniku.
Najprej kliknite rdeče opozorilno pogovorno okno na vrhu strani, da spremenite geslo, ki se uporablja za prijavo v vaš novi požarni zid. Osebno priporočam gesla z visoko entropijo za enkratno uporabo s priloženim upravljalnikom gesel. Nato se odjavite in se znova prijavite, da preizkusite svoje spremembe.
Ko se ponovno prijavite, odprite »Čarovnika za namestitev« na zavihku »Sistem«:
Nato vas bo čarovnik vodil skozi devet osnovnih korakov za konfiguracijo novega požarnega zidu pfSense.
V prvem koraku kliknite »Naprej«.
Nato lahko v drugem koraku konfigurirate ime gostitelja, domeno in primarne/sekundarne DNS strežnike. Lahko pustite »Ime gostitelja« in »Domena« kot njuni privzeti vrednosti ali ju nastavite na karkoli želite. Za primarni strežnik DNS za dostop do interneta sem izbral »100.64.0.3« in počistil polje »Preglasi DNS«, da preprečim, da bi DHCP preglasil strežnike DNS. V 100.64.0.3. koraku tega vodnika bom razložil, zakaj sem uporabil »10«.
Nato lahko v tretjem koraku nastavite svoj časovni pas:
V četrtem koraku lahko izberete »DHCP« za vmesnik WAN in pustite vsa druga polja kot privzeta. Če želite ponarediti svoj naslov MAC, lahko to storite v tem koraku. Za zadnji dve polji se prepričajte, da sta označeni polji »Blokiraj zasebna omrežja RFC1918« in polje »Blokiraj bogonska omrežja«; to bo samodejno dodalo ustrezna pravila vašemu požarnemu zidu.
V petem koraku lahko spremenite naslov IP požarnega zidu. Večina domačih lokalnih omrežij bo za dostop do usmerjevalnika ali požarnega zidu uporabljala 192.168.0.1 ali 192.168.1.1. Razlog, da to morda želite spremeniti v neprivzeti lokalni naslov IP, je ta, da če ste v omrežju nekoga drugega in poskušate vzpostaviti VPN nazaj v svoje domače omrežje, lahko naletite na težavo, če imate isti naslov na obeh koncih in sistem ne bo vedel, ali se poskušate povezati z lokalnim ali oddaljenim naslovom. Svoj lokalni naslov IP sem na primer spremenil v »192.168.69.1«.
V šestem koraku lahko nastavite skrbniško geslo. Bil sem nekoliko zmeden, ko sem videl, da je ta korak vstavljen tukaj, saj sem na začetku spremenil skrbniško geslo, zato sem uporabil isto geslo z visoko entropijo kot prej, ob predpostavki, da je zahtevalo isto geslo, ki bo uporabljeno za prijavo v usmerjevalnik.
Nato lahko v sedmem koraku kliknete gumb »Ponovno naloži«. Ker gre za ponovno polnjenje, izključite napajalni kabel iz stikala. Ker je bil lokalni IP-naslov usmerjevalnika spremenjen v »192.168.69.1« (ali karkoli ste izbrali), bodo vse naprave v omrežju zdaj imele naslove IP posodobljene na ta obseg IP.
Torej, če imate na primer PuTTY ali druge seje SSH konfigurirane za vaše vozlišče Raspberry Pi, boste morali zdaj posodobiti te konfiguracije povezave. Če izključite napajanje iz stikala in ga znova vključite po ponovnem zagonu usmerjevalnika, lahko vse vaše naprave ponovno dodelite.
Če želite ugotoviti naslove IP za naprave v vašem lokalnem omrežju, se lahko pomaknete na zavihek »Status« in izberete »DHCP Leases«, da vidite vse navedeno:
Po ponovnem nalaganju v sedmem koraku je čarovnik samo preskočil osmi in deveti korak, tako da nisem prepričan, kaj se zgodi v teh korakih, vendar bomo šli naprej in stvari obravnavali po potrebi.
Nekaj drugih osnovnih nastavitev, ki jih je vredno omeniti, najdete v razdelku »Sistem>Napredno>Skrbniški dostop«. Tukaj sem posodobil vrata TCP na »10443«, ker izvajam nekatere storitve, ki bodo dostopale do istih privzetih vrat, kot sta 80 ali 443, in želim čim bolj zmanjšati zastoje.
Prav tako sem omogočil SSH. Nato lahko izberete, kako je SSH zaščiten, bodisi z geslom, ali ključi, ali oboje ali samo ključi. Po shranjevanju pustite vmesnik minuto, da se posodobi na nova vrata. Morda boste morali znova naložiti stran z uporabo lokalnega naslova IP in novih vrat, npr. »192.168.69.1:10443«. Ne pozabite shraniti svojih sprememb na dnu strani.
Zadnja osnovna nastavitev, ki jo bom obravnaval tukaj, je pripenjanje, kar pomeni, da lahko na primer nastavite svoje omrežje tako, da lahko odprete vrata za sistem varnostnih kamer z javnim naslovom IP. Ta javni naslov IP je mogoče uporabiti tudi v vašem omrežju, kar je priročno, če ste doma in dostopate do sistema kamer s svojega mobilnega telefona v omrežju LAN, potem vam ni treba ročno spreminjati, s katerim se povezuje, saj bodo lasje videli da samo poskušate dostopati do lokalnega IP-ja in vas bo privzeto vrnil nazaj z omogočeno to nastavitvijo.
- Pod zavihkom »Sistem« se pomaknite do »Napredno> Požarni zid in NAT«.
- Pomaknite se navzdol do razdelka »Prevajalnik omrežnih naslovov«.
- V spustnem meniju »NAT Reflection Mode« izberite »Pure NAT«
- Kliknite »Shrani« na dnu strani in »Uporabi spremembe« na vrhu strani
To je to za osnovne nastavitve. Dobra novica je, da je pfSense precej varen v svoji privzeti namestitvi, tako da vam ni treba veliko spremeniti, da bi imeli odlično osnovno osnovo. Na splošno je stališče razvijalcev pfSense, da če obstaja bolj varen način za uvedbo pfSense, potem bodo to preprosto postavili za privzeto nastavitev.
Še ena stvar, ki jo je treba upoštevati, je, da pfSense privzeto omogoča preslikavo prevajanja omrežnih naslovov WAN IPv6 (NAT). Odločil sem se, da to onemogočim, zato ne bom odprl prehoda IPv6 do široko odprtega interneta.
To lahko storite tako, da odprete »Vmesniki>Dodelitve« in nato kliknete hiperpovezavo »WAN« na prvi dodelitvi. To bo odprlo konfiguracijsko stran, nato pa se prepričajte, da je »Vrsta konfiguracije IPv6« nastavljena na »Brez«. Nato shranite in uporabite te spremembe.
Nato se lahko pomaknete do »Požarni zid>NAT« in se pomaknete navzdol do vmesnika »WAN« z virom IPv6 in ga izbrišete.
Šesti korak: Kako konfigurirati napredne nastavitve pfSense
V tem razdelku bom pregledal nekaj naprednih funkcij, ki bi vas morda zanimale za vaše domače omrežje. Tukaj boste videli, kako nastaviti ločena omrežja iz vašega usmerjevalnika pfSense, tako da lahko na primer gostje dostopajo do široko odprtega interneta z dostopne točke WiFi v vašem domu, vendar ne morejo dostopati do vaših ASIC-jev iz tega omrežja.
Če ste kot jaz uporabljali omrežno kartico i350, imate na voljo štiri ethernetna vrata, in če ste uporabljali Dell Optiplex, kot sem jaz, potem imate tudi peta vrata Ethernet na matični plošči. Kar pomeni, da imam pet vmesnikov, ki jih lahko konfiguriram, od katerih so štirje lahko sekundarna lokalna omrežja.
Tukaj bom naredil svoje delovno namizje in namensko namizje Bitcoin v enem omrežju (LANwork). Nato bom konfiguriral sekundarni LAN, v katerem bo moja domača dostopna točka WiFi (LANhome). Tako lahko ohranim promet iz družinskega brskanja po spletu popolnoma ločen od svojega dela in dejavnosti, povezanih z bitcoini.
Nato bom vzpostavil drugo LAN, ki bo namenjeno mojim ASIC-jem (LANrudarjem), ločeno od drugih dveh omrežij. Nazadnje bom ustvaril testno omrežje (LANtest), ki ga bom uporabil za integracijo novih ASIC-jev in zagotovil, da na njih ni zlonamerne vdelane programske opreme, preden jim bom izpostavil svoje druge ASIC-je. Na enega od vmesnikov lahko dodate tudi omrežje varnostnih kamer, možnosti so neskončne.
Če se pomaknete na zavihek »Vmesniki« in nato »Dodelitve vmesnikov«, boste videli vsa razpoložljiva vrata RJ45 omrežne kartice. Imeti morajo oznako »igb0«, »igb1«, »igb2« itd. Zdaj preprosto dodajte tistega, ki vas zanima, tako da ga izberete v spustnem meniju in kliknete zeleno polje »Dodaj«.
Nato kliknite hiperpovezavo na levi strani vmesnika, ki ste ga pravkar dodali, da odprete stran »Splošna konfiguracija« za ta vmesnik.
- Kliknite polje »Omogoči vmesnik«.
- Nato spremenite »Opis« v nekaj, kar pomaga prepoznati njegovo funkcijo, na primer »LANhome«
- Nato nastavite vrsto »Konfiguracija IPv4« na »Statični IPv4« in dodelite nov obseg IP. Za svoj prvi LAN sem uporabil »192.168.69.1/24«, zato bom za tega uporabil naslednji zaporedni obseg IP, »192.168.70.1/24«.
Vse druge nastavitve lahko pustite privzete, kliknite »Shrani« na dnu strani in nato »Uporabi spremembe« na vrhu strani.
Zdaj morate nastaviti nekaj pravil požarnega zidu za ta novi LAN. Pomaknite se do zavihka »Požarni zid« in nato »Pravila«. Kliknite na novo dodano omrežje, na primer »LANhome«. Nato kliknite zeleno polje s puščico navzgor in besedo »Dodaj«.
Na naslednji strani:
- Prepričajte se, da je »Action« nastavljeno na »Pass«
- »Vmesnik« je nastavljen na »LANhome« (ali kakor koli se imenuje vaš sekundarni LAN)
- Prepričajte se, da ste »Protokol« nastavili na »Any«, sicer bo to omrežje omejilo vrsto prometa, ki ga je mogoče posredovati
- Nato lahko dodate kratko opombo, da navedete, čemu je to pravilo, na primer »Dovoli ves promet«
- Potem lahko vse druge nastavitve ostanejo privzete in kliknite »Shrani« na dnu strani in »Uporabi spremembe« na vrhu strani
Preden lahko preizkusite svoje novo omrežje, morate v njem nastaviti naslov IP:
- Pomaknite se do »Storitve« in nato »Strežnik DHCP«.
- Nato kliknite zavihek za vaš novi LAN
- Kliknite polje »Omogoči« in nato v obe polji »Razpon« dodajte obseg naslovov IP. Na primer, uporabil sem obseg od "192.168.70.1 do 192.168.70.254." Nato kliknite »Shrani« na dnu strani in »Uporabi spremembe« na vrhu strani.
Zdaj lahko preizkusite svoje novo omrežje tako, da fizično povežete računalnik z ustreznimi vrati RJ45 na omrežni kartici in nato poskusite dostopati do interneta. Če je vse delovalo, bi morali imeti možnost brskati po široko odprtem spletu.
Vendar pa boste morda opazili, da če ste v svojem sekundarnem omrežju LAN in se poskušate prijaviti v požarni zid, boste to lahko storili z naslovom IP »192.168.70.1«. Osebno želim, da je moj požarni zid dostopen samo iz mojega omrežja »LANwork«. Ne želim, da se moja žena in otroci ali gostje lahko prijavijo v požarni zid iz svojega določenega omrežja »LANhome«. Čeprav imam visoko entropijsko geslo za dostop do požarnega zidu, bom še vedno konfiguriral druga LAN-a tako, da se ne morejo pogovarjati z usmerjevalnikom.
Eno področje, ki me skrbi in ki ga bo ta vrsta konfiguracije pomagalo ublažiti, je, če v svoje omrežje priključim ASIC z nameščeno zlonamerno strojno programsko opremo, lahko ohranim to napravo izolirano in preprečim, da bi ta varnostni pomislek vplival na druge naprave in informacije ki ga imam, zato se eno od omrežij LAN, ki jih vzpostavljam, imenuje »LANtest« in bo namenjeno ohranjanju novih ASIC-jev v popolni izolaciji, tako da jih lahko testiram na varnem, ne da bi dovolil morebitni napad na moje druge ASIC-je ali druge naprave v domačem omrežju.
Če želite nastaviti pravilo, tako da do vrat 10443 ni mogoče dostopati iz vaših drugih omrežij LAN, se pomaknite do »Požarni zid>Pravila« in nato izberite zavihek za vaše ustrezno omrežje, ki vas zanima. Kliknite zeleno polje s puščico navzgor in besedo »Dodaj«.
- Prepričajte se, da je »Dejanje« nastavljeno na »Blokiraj«
- Nato v razdelku »Destination« nastavite »Destination« na »This Firewall (self)« in nato »Destination Port Range« na »10443« z uporabo polj »Custom« za polja »From« in »To«.
- Dodate lahko opis, da se boste lažje spomnili, čemu je to pravilo. Nato kliknite »Shrani« na dnu strani in nato »Uporabi spremembe« na vrhu strani.
Imeti visoko entropijsko geslo za prijavo v usmerjevalnik in zaklepanje vrat je odličen začetek, vendar lahko še dodatno omejite svoja omrežja LAN in zagotovite, da naprave v enem omrežju sploh ne morejo priti v nobeno drugo omrežje, tako da nastavite vzdevek za vaš primarni LAN.
Pomaknite se do »Požarni zid> Vzdevki«, nato pod zavihkom »IP« kliknite gumb »Dodaj«.
- Nato sem ta vzdevek poimenoval »SequesteredNetworks0«
- Vnesel sem opis, da me spomni, kakšna je njegova funkcija
- Ker bom svojemu omrežju »LANhome« dodal pravilo požarnega zidu, ki se nanaša na ta vzdevek, sem dodal druga LAN-a na seznam »Omrežje«. Na ta način se »LANhome« ne more pogovarjati z »LANwork«, »LANminers« ali »LANtest«.
- Kliknite »Shrani« na dnu strani in nato »Uporabi spremembe« na vrhu strani
Zdaj lahko dodam dodatne vzdevke, ki bodo navedeni v pravilih požarnega zidu v drugih omrežjih LAN, da preprečim »LANrudarjem«, da bi se pogovarjali z »LANwork«, »LANhome« in »LANtest« — tako naprej in tako naprej, dokler vsa moja omrežja niso zaprta v način, da lahko samo moj požarni zid vidi, kaj je povezano v drugih omrežjih.
Z ustvarjenim vzdevkom se lahko uporabi novo pravilo požarnega zidu, ki se sklicuje na ta vzdevek v sekundarnem LAN.
- Pomaknite se do »Firewall>Rules«, izberite LAN, za katerega želite uporabiti pravilo, npr. »LANhome«
- Nato za »Dejanje« nastavite na »Blokiraj. Za »Protokol« nastavite na »Kateri koli«.
- Za »Cilj« nastavite na »En gostitelj ali vzdevek«
- Nato vnesite svoje vzdevek
- Kliknite »Shrani« na dnu strani in nato »Uporabi spremembe« na vrhu strani.
Ko sem ustvaril vzdevke in nastavil pravila požarnega zidu, sem lahko svoj prenosni računalnik povezal z vsakim vmesniškim priključkom omrežne kartice RJ45 in poskusil pingati vsa druga omrežja. Iz vsakega lokalnega omrežja sem lahko dostopal do široko odprtega interneta, vendar nisem mogel komunicirati z nobenim drugim lokalnim omrežjem ali požarnim zidom. Zdaj vem, da nobena naprava v katerem koli od mojih omrežij LAN ne bo imela dostopa do naprav v katerem koli od mojih drugih omrežij LAN. Samo iz svojega primarnega omrežja »LANwork« lahko vidim, kaj je povezano v vseh drugih omrežjih LAN.
To poskrbi za napredne funkcije, ki sem jih želel deliti z vami. Zdaj bi morali imeti nastavljenih nekaj pravil požarnega zidu in ločenih več omrežij. Nato se bomo lotili nastavitve dostopne točke WiFi na enem od sekundarnih omrežij LAN.
Sedmi korak: Kako nastaviti in konfigurirati dostopno točko WiFi
V tem razdelku vam bom pokazal, kako sem konfiguriral zapleteni WiFi svojega doma z uporabo sekundarnega omrežja »LANhome«. Ključne točke, ki jih je treba upoštevati pri tem, so, da sem to namensko omrežje LAN naredil posebej za dostopno točko WiFi, s katero se lahko povežejo moja družina in gosti, ne da bi jim omogočil dostop do mojega požarnega zidu pfSense ali katerega koli drugega omrežja LAN. Še vedno pa imajo neomejen dostop do široko odprtega spleta. Kasneje v tem priročniku bom dodal tunel VPN za ta LAN.
Da zagotovim ustrezen signal WiFi za celotno hišo, sem se odločil za a NetGear Nighthawk AX1800 komplet.
V tem kompletu sta WiFi usmerjevalnik in repetitorski satelit. Osnovna ideja je, da se usmerjevalnik WiFi poveže s požarnim zidom pfSense neposredno z ethernetnim kablom na vratih igb2 »LANhome«. Nato usmerjevalnik WiFi oddaja signal satelitu repetitorja v drugem delu hiše. Tako lahko povečam pokritost WiFi signala na širše območje.
Da bi to dosegel, sem preprosto sledil tem korakom:
- 1. Priključite usmerjevalnik WiFi v požarni zid pfSense na vratih igb2 »LANhome« z uporabo ethernetnega kabla v vrata z oznako »Internet« na zadnji strani usmerjevalnika WiFi.
- 2. Priključite prenosni računalnik v vrata z oznako »Ethernet« na zadnji strani usmerjevalnika WiFi z ethernetnim kablom.
- 3. Priključite WiFi usmerjevalnik na napajanje s priloženim napajalnikom.
- 4. Počakajte, da lučka na sprednji strani usmerjevalnika WiFi zasveti modro.
- 5. Odprite spletni brskalnik na prenosniku in vnesite naslov IP za WiFi usmerjevalnik. Naslov IP sem našel poleg naprave »MR60« na svoji nadzorni plošči pfSense pod »Status>DHCP Leases«.
- 6. Takoj sem bil pozvan, da spremenim geslo. Spet sem uporabil naključno geslo z visoko entropijo in pripadajočim upraviteljem gesel. Ne želim, da bi moja družina ali gostje lahko dostopali do skrbniških nastavitev dostopne točke WiFi, zato priporočamo, da tukaj postavite močno geslo. Morda boste tudi pozvani, da posodobite vdelano programsko opremo, kar bo povzročilo ponovni zagon.
- 7. Nato se lahko znova prijavite z novim skrbniškim geslom in spremenite privzeto ime omrežja v katero koli želite ter dodate geslo za WiFi za dostop do omrežja WiFi; to je geslo, ki si ga delijo z družino in gosti, zato sem naredil zelo enostavno, da si ga zapomnite in delite. Tudi če zlobni akter razbije geslo in pridobi dostop do omrežja WiFi, je popolnoma ločeno od vsega drugega in sam usmerjevalnik WiFi ima geslo z visoko entropijo.
- 8. Nato se pomaknite do »Advanced>Wireless AP« in omogočite »AP Mode«. "AP" pomeni dostopna točka. Nato uporabite spremembe.
- 9. Usmerjevalnik se bo znova zagnal. Na tej točki bo lokalni naslov IP posodobljen, to spremembo je mogoče spremljati na statusni strani »DHCP Leases«. Zdaj je prenosni računalnik mogoče izključiti iz usmerjevalnika WiFi in v usmerjevalnik WiFi se lahko prijavite z istega stroja, na katerem teče vmesnik pfSense.
- 10. Ko se znova prijavite, kliknite »Dodaj napravo« in pozvani boste, da nastavite satelitski repetitor na svoje mesto in ga priključite na napajanje. Nato sledite pozivom na vmesniku za sinhronizacijo satelita.
Zdaj lahko moja družina, gosti in jaz brskamo po široko odprtem spletu iz naših naprav prek WiFi-ja brez izpadov v celotni hiši in ni mi treba skrbeti, da bi kdo dostopal do mojega občutljivega delovnega omrežja ali omrežja ASIC ali mojega testa omrežje.
Nato se bomo lotili dodajanja tunelov VPN v omrežja, ki smo jih do sedaj ustvarili.
Osmi korak: Kako namestiti in konfigurirati paket WireGuard z Mullvad
WireGuard je programski protokol VPN, ki ga je mogoče namestiti na vaš požarni zid pfSense, nato pa lahko s tem protokolom določite, kako boste zgradili svoje tunele pri ponudniku VPN.
VPN ustvarijo varen in šifriran tunel od vašega računalnika do strežnika vašega ponudnika VPN. To vašemu ponudniku internetnih storitev prepreči, da bi videl vaše podatke ali njihov končni cilj. Obstaja več vrst protokolov VPN, kot npr OpenVPN, IKEv2 / IPSec, L2TP / IPSec in WireGuard, vendar imajo vsi v bistvu isti cilj, da začrtajo navodila za ustvarjanje varnega tunela za šifriranje vaših podatkov za pošiljanje po javnih omrežjih.
WireGuard je nedavni dodatek naboru protokolov VPN, je odprtokoden in sorazmerno »lahek«, z manj kode in večjimi hitrostmi kot nekateri drugi. Del hitrosti je bil zame ključen, saj lahko dodana zakasnitev zmanjša učinkovitost ASIC.
Druga prednost VPN-jev je, da je vašo geografsko lokacijo mogoče ponarediti, kar pomeni, da lahko, če ste v enem delu sveta, uporabite tunel VPN do strežnika ponudnika VPN v drugem delu sveta in videti bo, kot da je vaš internet promet prihaja s tega strežnika. To je koristno za ljudi, ki živijo v avtoritativnih državah, kjer je dostop do določenih spletnih mest in storitev omejen.
Upoštevajte, da morate zaupati, da vaš ponudnik VPN ne beleži vašega naslova IP ali da bi lahko ali bi te podatke predal oblastem, če bi nanj pritisnili. Mullvad ne zbira nobenih osebnih podatkov o vas, niti e-poštnega naslova. Poleg tega sprejema bitcoin ali gotovino, tako da lahko plačate storitev brez tveganja, da bi povezali svoje bančne podatke. Mullvad ima tudi politiko "brez beleženja", ki jo lahko preberete tukaj.
Za moj poseben primer uporabe tukaj bom uporabljal VPN, da zagotovim, da moj ponudnik internetnih storitev ne vidi, da rudarim Bitcoin, in da preprečim tudi moj rudarski bazen, Slush Pool, da bi videl svoj pravi naslov IP – ne zato, ker delam karkoli nezakonitega ali ker mislim, da Slush Pool beleži moj naslov IP, ampak preprosto zato, ker so to burni časi s hitro spreminjajočim se političnim okoljem in stvari, ki jih danes počnem zakonito, bi lahko zelo naj bo jutri prepovedan.
Ali pa, če je bila sprejeta zakonodaja, ki prepoveduje, da oseba upravlja rudar Bitcoin v Združenih državah brez dovoljenja za prenos denarja, na primer, potem bi lahko ponaredil svojo lokacijo, tako da bi bila roka Slush Poola prisiljena blokirati prihajajoče naslove IP iz Združenih držav, bi lahko nadaljeval z rudarjenjem, saj se je zdelo, da moja stopnja zgoščevanja izvira izven Združenih držav.
Glede na to, da je blockchain za vedno in da je prihodnost negotova, menim, da si je vredno vzeti čas in ugotoviti, kako zaščititi svojo zasebnost. Z današnjim ukrepanjem za povečanje svoje zasebnosti in varnosti lahko zagotovim varovanje moje svobode in mojega prizadevanja za srečo.
Velika večina informacij, predstavljenih v tem razdelku, izvira iz gledanja videoposnetkov Christian McDonald na YouTubu. Najdete lahko vse njegove videoposnetke WireGuard & Mullvad VPN tukaj.
Rad bi posebej poudaril Ta video njegovega o uporabi paketa WireGuard v pfSense za nastavitev Mullvada na način, da ima več tunelov, ki omogočajo nemoteno uravnavanje obremenitve vašega prometa:
Mullvad je plačljiva naročnina na VPN, ki znaša 5 € na mesec. Vendar Mullvad sprejema bitcoine in ne zahteva nobenih identifikacijskih podatkov. Preden vam pokažem, kako nastavite svojo naročnino na Mullvad, bomo na vaš požarni zid pfSense namestili paket WireGuard. Nato bomo nastavili račun Mullvad in ustvarili konfiguracijske datoteke. Nato lahko nastavimo več tunelov in naredimo nekaj modnih konfiguracij v pfSense.
V pfSense se pomaknite do »Sistem>Upravitelj paketov>Razpoložljivi paketi«, nato se pomaknite navzdol do povezave WireGuard in kliknite »Namesti«. Na naslednji strani kliknite »Potrdi«. Namestitveni program se bo zagnal in vas obvestil, ko bo uspešno dokončan.
Zdaj se lahko pomaknete do »VPN>WireGuard« in vidite, da je paket nameščen, vendar ni še nič konfigurirano. Zdaj, ko ima požarni zid pripravljen WireGuard, bomo delali na namestitvi odjemalca VPN.
Pomaknite se na https://mullvad.net/en/ in kliknite »Ustvari račun«.
Mullvad od vas ne zbira nobenih podatkov, kot so ime, telefonska številka, e-pošta itd. Mullvad ustvari edinstveno številko računa in to je edini identifikacijski del podatkov, ki ga dobite v zvezi s svojim računom, zato ga zapišite in zaščitite.
Nato izberite način plačila. Za uporabo bitcoina prejmete 10% popust. Naročnina velja tako dolgo, kot želite plačati (do 12 mesecev) po tarifi 5 € na mesec. Tako bi bila na primer enoletna naročnina 60 € ali približno 0.001 BTC po današnjem tečaju (od novembra 2021). Predstavljena vam bo koda QR naslova Bitcoin, na katero boste poslali plačilo.
Prijava mempool da vidite, kdaj bo vaša transakcija Bitcoin potrjena. Morda boste morali počakati nekaj časa, odvisno od prezasedenosti omrežja.
Po potrditvi v verigi se račun Mullvad dopolni in mora pokazati, da imate še preostali čas. Premislite o izbiri lokacije strežnika z Mullvadovega dolgega seznama strežnikov. Če nameravate za svojim VPN izvajati ASIC-je, priporočam, da se povežete s strežnikom, ki je relativno blizu vaše dejanske geografske lokacije, da poskusite čim bolj zmanjšati zakasnitev.
Mullvad deluje s konfiguracijskimi datotekami, ki dodelijo edinstven par javnih/zasebnih ključev za vsak naslov tunela. Osnovna zamisel tukaj je, da želim imeti nastavljen primarni tunel za ASIC-je, vendar želim tudi sekundarno nastavitev tunela z drugim strežnikom na drugi geografski lokaciji samo v primeru, da povezava s primarnim tunelom prekine povezavo. Na ta način bo moj rudarski internetni promet samodejno preklopil na drug tunel in ne bo motenj pri skrivanju mojega javnega naslova IP ali šifriranju mojih prometnih podatkov. Prav tako bom nastavil druge tunele posebej za svoje omrežje WiFi in svoje omrežje »LANwork«.
Za to bom potreboval toliko parov ključev, kolikor želim tunelov. Ena naročnina na Mullvad vključuje do pet parov ključev. Pomaknite se do https://mullvad.net/en/account/#/wireguard-config/ in izberite svojo platformo, npr. Windows. Nato kliknite »Ustvari ključe« za poljubno število parov ključev, do pet ključev. Nato spodaj kliknite »Upravljanje ključev«, da si ogledate svoj seznam.
*Vsi ključi in občutljivi podatki, predstavljeni v tem priročniku, so bili pred objavo uničeni. Bodite previdni pri delitvi teh informacij s komer koli, saj želite, da vaši ključi Mullvad ostanejo zasebni.
Vidite lahko, da sem ustvaril štiri ključe za ta vodnik, ki jih bom uničil, ko jih bom nehal uporabljati kot primere. Vsako konfiguracijsko datoteko je treba nastaviti z določenim strežnikom Mullvad po vaši izbiri.
- Izberite »Javni ključ«, za katerega želite ustvariti konfiguracijsko datoteko, tako da izberete krog pod stolpcem »Uporabi« poleg ustreznega javnega ključa.
- Izberite državo, mesto in strežnik, ki ga želite konfigurirati s tem javnim ključem.
- Kliknite »Prenesi datoteko«.
- Shranite konfiguracijsko datoteko na priročno mesto, ker jo boste morali odpreti v trenutku.
*Ne pozabite, da boste morali za vsak predor do novega strežnika, ki ga želite konfigurirati, uporabiti ločen javni ključ. Če poskusite istemu ključu dodeliti dva tunela, bo pfSense naletel na težave z vašim VPN.
Ta postopek ponovite za toliko ključev, kot ste jih ustvarili, pri čemer izberete drug strežnik za vsak edinstven ključ in ustvarite konfiguracijsko datoteko. Zdelo se mi je v pomoč, če konfiguracijsko datoteko poimenujemo kot mesto in strežnik, ki se uporabljata.
Zdaj se vrnite na pfSense in pojdite na »VPN>WireGuard>Nastavitve« ter kliknite »Omogoči WireGuard« in nato »Shrani«.
- Pomaknite se do zavihka »Tunnels« in izberite »Add Tunnel«.
- Odprite svojo prvo konfiguracijsko datoteko Mullvad z urejevalnikom besedil, kot je Beležnica, in jo držite ob strani.
- V WireGuard dodajte »Opis« za svoj tunel, ki opisuje, kaj je, na primer »Mullvad Atlanta US167«.
- Kopirajte/prilepite »PrivateKey« iz konfiguracijske datoteke Mullvad in ga dodajte v pogovorno okno »Interface Keys«.
- Kliknite »Shrani tunel« in nato »Uporabi spremembe« na vrhu strani.
WireGuard bo samodejno ustvaril javni ključ, ko prilepite zasebni ključ in pritisnete tipko »tab« na tipkovnici. Lahko preverite, ali je bil javni ključ pravilno ustvarjen, tako da ga primerjate s ključem na spletnem mestu Mullvad, ki ste ga ustvarili prej.
Ta postopek ponovite za toliko tunelov, kolikor želite. Prepričajte se, da za vsako uporabite pravilno konfiguracijsko datoteko Mullvad, saj vse vsebujejo različne pare javnih/zasebnih ključev, naslove IP in končne točke.
Vsak tunel bo dobil svojega vrstnika. »Perja« lahko dodate tako, da se najprej pomaknete na zavihek »Peer« poleg zavihka »Tunnels«, na katerem ste pravkar bili. Nato kliknite »Dodaj vrstnika«.
- V spustnem meniju izberite ustrezen tunel za ta vrstnik.
- Dodajte »Opis« za svoj predor, ki opisuje, kaj je, na primer »Mullvad Atlanta US167«.
- Počistite polje »Dinamična končna točka«.
- Kopirajte/prilepite naslov IP in vrata »Endpoint« iz konfiguracijske datoteke Mullvad v polja »Endpoint« v WireGuardu.
- Polju »Keep Alive« lahko daste 30 sekund.
- Kopirajte/prilepite »PublicKey« iz konfiguracijske datoteke Mullvad v polje »Public Key« v WireGuardu.
- Spremenite »Dovoljene IP-je« na »0.0.0.0/0« za IPv4. Če želite, lahko dodate tudi deskriptor, kot je »Dovoli vse IP-je«.
- Kliknite »Shrani«, nato izberite »Uporabi spremembe« na vrhu strani.
Ta postopek ponovite za toliko vrstnikov, kolikor imate tunelov. Prepričajte se, da uporabljate pravilno konfiguracijsko datoteko Mullvad za vsako, saj vse vsebujejo različne pare javnih/zasebnih ključev, naslove IP in končne točke.
Na tej točki bi morali imeti možnost, da se pomaknete na zavihek »Status« in opazujete rokovanje, tako da kliknete »Prikaži vrstnike« v spodnjem desnem kotu.
Nato je treba za vsak predor dodeliti vmesnike.
- Pomaknite se do »Vmesniki>Dodelitve vmesnikov«
- V spustnem meniju izberite vsak tunel in ga dodajte na seznam.
Ko so vsi vaši predori dodani, kliknite modro hiperpovezavo poleg vsakega dodanega tunela, da konfigurirate vmesnik.
- Kliknite polje »Omogoči vmesnik«.
- Vnesite svoj opis - pravkar sem uporabil ime strežnika VPN, na primer: "Mullvad_Atlanta_US167"
- Izberite »Statični PIv4«
- Vnesite "1420" v polja "MTU & MSS".
- Zdaj kopirajte/prilepite naslov IP gostitelja iz konfiguracijske datoteke Mullvad v pogovorno okno »Naslov IPv4«.
- Nato kliknite »Dodaj nov prehod«
Ko kliknete »Dodaj nov prehod«, se vam prikaže spodnje pojavno pogovorno okno. Vnesite ime za svoj novi prehod, nekaj preprostega, kot je ime vašega tunela, ki mu je priloženo »GW« za »GateWay«. Nato vnesite isti naslov IP gostitelja iz konfiguracijske datoteke Mullvad. Če želite, lahko dodate tudi opis, na primer »Mullvad Atlanta US167 Gateway«. Nato kliknite »Dodaj«.
Ko se vrnete na stran za konfiguracijo vmesnika, kliknite »Shrani« na dnu strani. Nato kliknite »Uporabi spremembe« na vrhu strani.
Ponovite ta postopek, da ustvarite prehod za vsak vmesnik tunela, ki ste ga dodali. Prepričajte se, da uporabljate pravilno konfiguracijsko datoteko Mullvad za vsako, saj vse vsebujejo različne naslove IP gostitelja.
Na tej točki se lahko pomaknete do svoje nadzorne plošče in spremljate stanje svojih prehodov. Če tega še niste storili, lahko svojo nadzorno ploščo prilagodite za spremljanje več statistik v pfSense. Kliknite znak »+« v zgornjem desnem kotu vaše nadzorne plošče in nato se bo spustil seznam razpoložljivih monitorjev statistike in lahko izberete tiste, ki jih želite.
Na moji nadzorni plošči imam na primer tri stolpce, ki se začnejo s »Sistemske informacije«. V drugem stolpcu imam povzetek »Nameščeni paketi«, status »WireGuard« in seznam mojih vmesnikov. V tretjem stolpcu imam status "Gateway" in "Services". Tako lahko hitro preverim in spremljam stanje najrazličnejših stvari.
Glede nadzorne plošče želim poudariti, da boste v razdelku »Prehodi« opazili, da so vsi prehodi na spletu. Prehodi bodo povezani, dokler je tunel aktiven, tudi če se oddaljena stran ne odziva. To je zato, ker so lokalni vmesnik, zato so trenutno neuporabni, saj bodo, tudi če oddaljena stran ne deluje, še vedno prikazani kot povezani. Da omogočim možnost spremljanja zakasnitve, tako da lahko ti prehodi zagotovijo nekaj uporabnih statističnih podatkov, moram tem prehodom dati naslov sistema imen javne domene (DNS) za spremljanje.
Opazili boste, da so vsi časi ping tunela nič milisekund. To je zato, ker ne pošiljam nobenih podatkov skozi te tunele. S pinganjem javnega strežnika DNS lahko pfSense pridobi nekaj uporabnih meritev in sprejme odločitve o tem, kateri tunel bo zagotovil najmanjšo zakasnitev ali če se oddaljeni strežnik prekine, da preusmeri promet.
Najdete lahko javni strežnik DNS za spremljanje ta spletne strani ali številnih drugih javnih seznamov strežnikov DNS. Pazi na zabeleženi odstotek delovanja, več kot je, bolje. Želite poiskati javne DNS IPv4 naslove IP za spremljanje na vaših prehodih IPv4. Vsak prehod bo za spremljanje potreboval ločen naslov DNS.
Ko imate svoje javne naslove DNS, se pomaknite do »Sistem> Usmerjanje> Prehodi« v pfSense. Kliknite ikono svinčnika poleg vašega prehoda. Vidite lahko, da sta naslova »Gateway Address« in »Monitor IP« enaka na vseh prehodih. Zato je čas pinganja nič milisekund in tudi zato bo pfSense mislil, da je prehod vedno odprt.
Vnesite javni naslov IP DNS, ki ga želite spremljati, v polje »Monitor IP« in nato kliknite »Shrani« na dnu zaslona. Nato kliknite »Uporabi spremembe« na vrhu zaslona. Ne pozabite, da prehodi ne morejo deliti istega naslova nadzornika DNS, zato za nadzor uporabite drug javni strežnik DNS za vsak prehod.
Zdaj, če se vrnete na nadzorno ploščo in pogledate monitor prehoda, bi morali videti, da je treba opazovati nekaj dejanskih meritev zakasnitve. S temi informacijami lahko nastavite svoje prehode po prednostnem vrstnem redu glede na to, kateri imajo najnižjo zakasnitev za vaš internetni promet. Torej, če na primer rudarite Bitcoin, boste želeli dati prednost svojim ASIC-jem, da gredo najprej skozi tunel z najnižjo zakasnitvijo. Če ta tunel odpove, jih lahko požarni zid samodejno preklopi na prehod naslednjega nivoja z zakasnitvijo od druge do najmanjše in tako naprej.
Zaenkrat je vse videti dobro, tuneli so aktivni in podatki gredo skozi prehode. Nato moramo na požarnem zidu definirati nekaj preslikav izhodnega omrežnega naslova (NAT).
- Pomaknite se do zavihka »Požarni zid«, nato do »NATm« in nato do zavihka »Odhodni«. To bo prikazalo seznam vseh vaših omrežnih preslikav iz vaših WAN v vaša LAN. Ker imamo definiranih nekaj novih vmesnikov, želimo te preslikave dodati na seznam.
- Kliknite »Hybrid Outbound NAT Rule Generation« v razdelku »Outbound NAT Mode«.
- Pomaknite se na dno strani in kliknite »Dodaj«
- V spustnem meniju izberite svoj vmesnik
- Izberite »IPv4« za »Družino naslovov«
- Izberite »kateri koli« za »Protokol«
- Prepričajte se, da je »Vir« na »Omrežje« in nato vnesite lokalni obseg naslovov IP za LAN, za katerega želite, da se spusti po tem tunelu. Na primer, želim, da gre moje »LANwork« skozi ta predor v Atlanto, zato sem vnesel »192.168.69.1/24«.
- Nato vnesite opis, če želite, na primer »Izhodni NAT za LANwork v Mullvad Atlanta US167.«
- Nato kliknite »Shrani« na dnu strani in »Uporabi spremembe« na vrhu strani.
Ta postopek ponovite za vsak vmesnik tunela. Opazili boste, da imam svoje omrežje »LANwork« v predoru Atlanta, svoje omrežje »LANhome« v predoru New York in imam omrežje »LANminers« nastavljeno za predora Miami in Seattle. Če želite, lahko nastavite preslikavo za vaš rudarski LAN na vseh pet vaših tunelov. Če želite, lahko imate tudi več omrežij LAN preslikanih v isti tunel, obstaja veliko prilagodljivosti.
Ko so preslikave pripravljene, lahko dodamo pravila požarnega zidu. Pomaknite se do »Požarni zid>LAN« in kliknite »Dodaj«, pri čemer je »LAN« tisto omrežje, v katerega želite dodati pravilo. Na tem posnetku zaslona na primer nastavljam svoje omrežje »LANwork«:
- Nastavite »Action« na »Pass«
- Nastavite »Address Family« na »IPv4«
- Nastavite »Protokol« na »Kateri koli«
- Nato kliknite »Display Advanced«
- Pomaknite se navzdol do »Gateway« in izberite prehod, ki ste ga nastavili za ta LAN
- Kliknite »Shrani« na dnu zaslona, nato kliknite »Uporabi spremembe« na vrhu zaslona.
Nato naredite isto stvar z naslednjim LAN-om, dokler ne nastavite vseh svojih LAN-ov s pravilom prehoda. Tukaj je posnetek mojih pravil prehoda LAN, opazili boste, da sem svojemu omrežju »LANminers« dodal dva pravila prehoda. V poznejšem koraku vam bom pokazal, kako nastaviti samodejno uravnoteženje obremenitve med tuneli za rudarsko LAN, ki bo nadomestilo dve pravili, ki sem ju pravkar dodal v »LANminers«, vendar želim zagotoviti, da je vse nastavljeno in deluje pravilno prvi.
Da bi še enkrat preveril, ali vse do zdaj deluje in ali vsak od mojih LAN-jev dobiva različne javne IP-je, bom vnesel “ifconfig.co” v spletni brskalnik iz vsakega LAN. Če vse deluje pravilno, bi moral imeti različne lokacije za vsak LAN, v katerega se priključim in iz katerega pingam:
Vse je delovalo po načrtih, prvi poskus. Medtem ko sem bil povezan z vsakim LAN-om, sem lahko onemogočil ustrezno pravilo požarnega zidu in osvežil stran ter opazoval, kako se moj naslov IP spreminja nazaj na moje dejansko grobo geografsko območje.
Če se spomnite, sem postavil dva tunela za svoje omrežje "LANminers". Ko sem onemogočil eno pravilo požarnega zidu, ki ustreza predoru Miami, in osvežil svoj brskalnik, je takoj preklopil na naslov IP v Seattlu.
Torej vsak LAN pošilja promet skozi drug tunel in vsi moji tuneli delujejo po pričakovanjih. Vendar pa v zvezi z mojim omrežjem »LANminers« želim, da pfSense samodejno preklaplja med tuneloma Miami in Seattle na podlagi zakasnitve ali padcev strežnikov. Z nekaj dodatnimi koraki lahko to konfiguriram za samodejni preklop in zamenjavo dveh pravil požarnega zidu z novim enim pravilom.
Pomaknite se do »Sistem> Usmerjanje« in nato do zavihka »Skupine prehodov«.
- Vnesite ime skupine, na primer »Mullvad_LB_LANMiners«. »LB« je za »Ravnotežje obremenitve«.
- Vse druge prioritete prehodov nastavite na »Nikoli«, razen dveh prehodov, ki vas zanimata za vaše rudarje. V tem primeru uporabljam svoja prehoda Miami in Seattle. Obe prioriteti imam nastavljeni na "Stopnja 1" ali pa lahko uporabiš vseh pet svojih predorov, če želiš.
- Nastavite raven sprožitve na »Izguba paketa ali visoka zakasnitev«
- Če želite, dodajte opis, na primer »Load Balance LANminers Mullvad Tunnels«
- Kliknite »Shrani« na dnu zaslona in nato »Uporabi spremembe« na vrhu zaslona
Če se pomaknete na »Status>Gateways« in nato na zavihek »Gateway Groups«, bi morali videti svojo novo skupino prehodov v spletu. Teoretično, če usmerite promet na »Mullvad_LB_LANminers«, bi moral uravnotežiti promet med dvema prehodoma glede na zakasnitev.
Zdaj je to skupino prehodov mogoče uporabiti v pravilu požarnega zidu za ustrezno usmeritev tega prometa. Pomaknite se na »Požarni zid>Pravila« in nato na zavihek »LANminers« ali kakorkoli že se imenuje vaš rudarski LAN.
Nadaljujte in onemogočite dve pravili, ki ste ju predhodno nastavili za testiranje tunelov VPN, tako da kliknete prečrtan krog poleg pravila. Kliknite »Uporabi spremembe«, nato kliknite »Dodaj« na dnu.
- Protokol nastavite na »Any«
- Kliknite »Prikaži napredno«
- Pomaknite se navzdol do »Gateway« in izberite skupino prehodov za uravnoteženje obremenitve, ki ste jo ustvarili
- Kliknite »Shrani« na dnu strani in kliknite »Uporabi spremembe« na vrhu strani
To bi moralo biti vse, kar je potrebno, da vaši ASIC-ji samodejno preklopijo iz enega tunela VPN v drugega tunela VPN glede na zakasnitev ali padce strežnikov. Če želite to preizkusiti, priključite prenosni računalnik v namenska vrata Ethernet na omrežni kartici za vaš LAN za rudarjenje. To je v mojem primeru "igb3".
Preverite, ali je WiFi izklopljen. Odprite spletni brskalnik in v naslovno vrstico vnesite »ifconfig.co«. Rezultati bi vas morali postaviti na lokacijo enega od vaših tunelov VPN. V mojem primeru je bil to Miami.
Nato se v pfSense pomaknite do »Vmesniki>Dodelitve« in kliknite hiperpovezavo za ta vmesnik tunela. V mojem primeru je to vmesnik "Mullvad_Miami_US155".
Na samem vrhu konfiguracijske strani počistite polje za »Omogoči vmesnik«. Nato kliknite »Shrani« na dnu zaslona in nato kliknite »Uporabi spremembe« na vrhu zaslona. To je pravkar onemogočilo tunel Miami, skozi katerega so pošiljali promet moji rudarji LAN.
Nazaj na prenosniku osvežite brskalnik s stranjo ifconfig.co. Zdaj bi morala biti vaša lokacija v Seattlu ali kamor koli je bil nastavljen vaš sekundarni predor. Včasih moram popolnoma zapreti brskalnik in ga znova odpreti, da izbrišem predpomnilnik.
Prepričajte se, da se vrnete na svoj vmesnik Miami in znova potrdite polje, da omogočite ta vmesnik, nato shranite in uporabite. Nato se lahko pomaknete nazaj na »Požarni zid>Pravila«, nato na svoj rudarski LAN in izbrišete dve pravili, ki ste ju onemogočili.
To je to, morali bi biti pripravljeni. Ne pozabite, da pravila požarnega zidu delujejo od zgoraj navzdol. Nato se bom posvetil temu, kako preprečiti sledenje oglasom.
Deveti korak: Kako konfigurirati zmogljivosti za blokiranje oglasov
Oglaševalska podjetja se zelo zanimajo za vas in čim več informacij o vas dobijo. Na žalost, ko brskate po internetu, zlahka razkrijete te iskane informacije.
Te informacije se monetizirajo za ciljanje na določeno občinstvo z izdelki in storitvami s kirurško natančnostjo. Morda se vam je že zgodilo, da ste nekaj iskali po spletu in pozneje opazili oglase, ki so se pojavili v vašem viru družbenih medijev, ki se ujemajo z vašimi nedavnimi iskanji. To je mogoče z zbiranjem čim več informacij o vaših spletnih iskanjih, spletnih mestih, ki jih obiščete, katere slike gledate, kaj prenesete, kaj poslušate, vaši lokaciji, kaj je v vašem nakupovalnem vozičku, katere načine plačila uporabljate, čas in datum vse te dejavnosti, nato te podatke povežete z edinstveno določljivimi konstantami, kot je določen spletni brskalnik, ki ga uporabljate, in v kateri napravi ga uporabljate.
Združite te podatke s svojim naslovom IP, računom ponudnika internetnih storitev in profilom v družbenih medijih in lahko začnete videti, kako obstaja zbirka informacij o vas, za katere morda ne želite, da so tako na voljo korporacijam, organom pregona, tujcem ali hekerjem. vmes piškotki, prstni odtis brskalnika in vedenjsko sledenje lahko se zdi, da so možnosti naložene proti vam. Toda obstajajo preprosti koraki, ki jih lahko storite, da začnete varovati svojo zasebnost zdaj. Škoda bi bilo, če bi dovolili, da je popoln sovražnik dobrega in vas ovira pri začetku.
V tem razdelku boste videli, kako vključite zmožnosti blokiranja oglasov s spreminjanjem nastavitev strežnika DNS in strežnika DHCP v požarnem zidu. Na visoki ravni v spletni brskalnik vnesete ime spletnega mesta, ki se pošlje strežniku DNS (običajno strežniku DNS vašega ponudnika internetnih storitev), ta strežnik pa prevede človeku berljivo besedilo v naslov IP in ga pošlje nazaj v vaš brskalnik tako da ve, kateri spletni strežnik poskušate doseči. Poleg tega se vam na ta način pošiljajo tudi ciljani oglasi.
Priporočam, da to vajo začnete z obiskom https://mullvad.net/en/.
Nato kliknite povezavo »Preveri puščanje«, da vidite, kje bi lahko izboljšali.
Če opazite puščanje DNS, odvisno od tega, kateri brskalnik uporabljate, boste morda našli koristna navodila pri Mullvadu tukaj za utrjevanje brskalnika in preprečevanje oglasov in sledenja na ravni brskalnika. Nato poskusite znova.
Če imate težave z blokiranjem oglasov v želenem brskalniku, razmislite o uporabi brskalnika, ki je bolj osredotočen na zasebnost, kot je NeGoogle Chromium:
- Izberite svoj operacijski sistem in najnovejšo različico
- Prenesite namestitveni program .exe
- Preverite zgoščeno vrednost
- Zaženite namestitveni program in nato konfigurirajte svoje osnovne nastavitve, kot je privzeti iskalnik
tor je še en brskalnik, ki bi ga priporočal za čim večjo uporabo, samo na splošno.
Mullvad ponuja nekaj različnih strežnikov za reševanje DNS, ki jih lahko najdete na seznamu ta Članek Mullvad. Za ta primer bom uporabil strežnik »100.64.0.3« za blokiranje sledilnika oglasov. Za najnovejše posodobljene naslove IP strežnika DNS obiščite spletno mesto Mullvad, saj se ti lahko občasno spremenijo.
V pfSense se pomaknite do »Sistem>Splošno«, nato se pomaknite navzdol do razdelka »Nastavitve strežnika DNS« in vnesite »100.64.0.3« v polje strežnika DNS z izbranim prehodom WAN. Če ste uporabili moje priporočilo z začetka vodnika, bi moralo biti to že nastavljeno, vendar boste morali slediti spodnjim navodilom DHCP.
Na dnu strani kliknite »Shrani«.
Nato se pomaknite do »Storitve> Strežnik DHCP« in se pomaknite navzdol do »Strežniki«. V polje za »DNS strežnike« vnesite »100.64.0.3« in kliknite »Shrani« na dnu strani. Ponovite ta korak za vsa vaša omrežja LAN, če imate nastavljenih več omrežij.
Zdaj bi morali imeti strežnik DNS, ki blokira sledenje oglasov, konfiguriran na ravni požarnega zidu, da bi zaščitil vse vaše brskanje po internetu. Potem, če ste sprejeli dodatne ukrepe za konfiguracijo spletnega brskalnika ali nadgradnjo na spletni brskalnik, ki je osredotočen na zasebnost, ste naredili velik korak naprej pri varovanju zasebnosti na namiznih napravah.
Priporočam tudi, da razmislite o uporabi UnGoogled Chromium oz Bromit na mobilnem telefonu. Če vas zanima več ukrepov glede zasebnosti mobilnih naprav, si oglejte moj vodnik o CalyxOS tukaj.
10. korak: Kako preveriti zamudo, ki jo povzroča VPN
Obstaja utemeljena zaskrbljenost, da lahko uporaba VPN povzroči zamudo v vašem rudarskem prometu. Težava pri tem je, da boste dobili manj nagrad.
Ko je prisotna zakasnitev, lahko vaš ASIC nadaljuje z zgoščevanjem glave bloka, ki ni več veljaven. Dlje kot vaš ASIC porabi za zgoščevanje neveljavne glave bloka, bolj »zastarelo« stopnjo zgoščevanja boste poslali v skupino. Ko skupina vidi, da prihajajo zgoščene vrednosti za glavo bloka, ki ni več veljavna, skupina to delo zavrne. To pomeni, da je vaš ASIC pravkar zapravil nekaj računalniške moči za nič, čeprav je to na lestvici milisekund, ko ASIC vsako sekundo izračuna trilijone zgoščenih vrednosti, se lahko hitro sešteje.
Običajno je to zelo majhno razmerje v primerjavi s količino dela, ki jo sprejme bazen. Lahko pa začnete videti, kako pomembna in stalna zamuda bi lahko vplivala na vaše nagrade za rudarjenje.
Na splošno velja, da čim bližje sta dva strežnika drug drugemu, manjša bo zakasnitev. Pri VPN-ju moram svoj rudarski promet poslati na strežnik VPN-ja, nato pa gre od tam na strežnik bazena. Da bi poskušal ublažiti zakasnitev zaradi geografske bližine, sem uporabil tri strežnike VPN, ki so bili med mojo lokacijo in strežnikom bazena. Želel sem se tudi zavedati tveganja regionalnega izpada interneta, zato sem dodal tudi dva strežnika VPN, ki nista bila med skupino in mano. Z mojim omrežjem »LANminers«, konfiguriranim za uravnoteženje prometa med petimi različnimi tuneli, sem začel petdnevni test.
Prva dva dneva in pol (60 ur) smo rudarili z vklopljenim VPN. Drugih dva dni in pol smo rudarili z izklopljenim VPN. Evo, kar sem našel:
V prvih 60 urah je imel moj ASIC 43,263 sprejetih in 87 zavrnjenih paketov. To je enako 0.201 % ali z drugimi besedami 0.201 % mojih porabljenih virov, ki niso nagrajeni.
Po 120 urah je imel moj ASIC 87,330 sprejetih in 187 zavrnjenih paketov. Z odštevanjem začetnih 60-urnih odčitkov mi je ostalo 44,067 sprejetih paketov in 100 zavrnjenih paketov, medtem ko je bil VPN izklopljen. To je enako 0.226%. Presenetljivo je, da je to nekoliko večje razmerje zavrnitve brez prednosti zasebnosti VPN-ja ob enakem času.
Skratka, z uravnoteženjem rudarskega prometa med petimi tuneli VPN sem lahko pridobil prednosti zasebnosti VPN, ne da bi zmanjšal učinkovitost mojega rudarjenja. Pravzaprav je v smislu zavrnjenega razmerja moj rudar bolje uporabil VPN kot ne uporabljal VPN.
Če vas zanima več o temah, obravnavanih v tem priročniku, si oglejte te dodatne vire:
Hvala za branje! Upam, da vam je ta članek pomagal razumeti osnove uporabe starega namizja za namestitev omrežja in flash s pfSense za ustvarjanje vsestranskega požarnega zidu, kako konfigurirati ločena LAN omrežja, kako nastaviti mrežni usmerjevalnik WiFi, kako ustvariti Mullvad VPN račun in kako uporabljati WireGuard za konfiguriranje preklopov VPN, da zmanjšate zamudo pri rudarjenju.
To je gostujoča objava Ekonoalkemika. Izražena mnenja so v celoti njihova in ne odražajo nujno mnenj družbe BTC Inc. Bitcoin Magazine.
Vir: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- dostop
- Račun
- Ukrep
- aktivna
- dejavnosti
- Ad
- Dodatne
- admin
- oglasi
- vsi
- Dovoli
- uporaba
- OBMOČJE
- okoli
- članek
- ASIC
- avto
- Bančništvo
- Osnove
- BEST
- najboljše prakse
- Bitcoin
- Bitcoin mining
- blockchain
- Blog
- Pasovi
- brskalnik
- BTC
- BTC Inc.
- izgradnjo
- Building
- ki
- Denar
- povzročilo
- potrdilo
- spremenite
- preverjanje
- Pregledi
- krom
- Krog
- mesto
- bližje
- Koda
- Stolpec
- prihajajo
- Podjetja
- računalniki
- računalništvo
- računalniška moč
- konfiguracija
- povezava
- povezave
- naprej
- Korporacije
- države
- par
- Ustvarjanje
- Mandatno
- Armaturna plošča
- datum
- uniči
- Razvijalci
- naprave
- DID
- skrbnosti
- Popust
- zaslon
- dns
- Ime domene
- Drop
- urednik
- učinkovitosti
- E-naslov
- Končna točka
- konča
- Angleščina
- okolje
- Vaja
- izkušnje
- obrazi
- s katerimi se sooča
- družina
- Moda
- FAST
- Lastnosti
- Področja
- Slika
- končno
- prva
- Flash
- prilagodljivost
- sledi
- obrazec
- Naprej
- Fundacija
- brezplačno
- Svoboda
- polno
- funkcija
- Prihodnost
- splošno
- GitHub
- Giving
- dobro
- veliko
- Zelen
- skupina
- Gost
- Gost Prispevek
- vodi
- hekerji
- strojna oprema
- hash
- hitrost hash
- mešanje
- tukaj
- visoka
- držite
- Domov
- Hiša
- Kako
- Kako
- HTTPS
- človeško berljivo
- Lačni
- Hybrid
- ICON
- Ideja
- identificirati
- nezakonito
- slika
- vpliv
- Povečajte
- Podatki
- Infrastruktura
- Intel
- obresti
- vmesnik
- Internet
- IP
- IP naslov
- IP naslovi
- IT
- vzdrževanje
- Ključne
- tipke
- otroci
- laptop
- Zadnji
- kosilo
- zakon
- kazenskega pregona
- uhajanje
- puščanje
- učenje
- Zakonodaja
- Stopnja
- Licenca
- light
- LINK
- Seznam
- Navedeno
- Poslušanje
- oglasi
- obremenitev
- lokalna
- kraj aktivnosti
- Long
- mac
- Večina
- Izdelava
- znamka
- Stave
- mediji
- Spomin
- kovinski
- Meritve
- Rudarji
- Rudarstvo
- ogledalo
- Mobilni
- mobilne naprave
- mobilni telefon
- Denar
- mesecev
- premikanje
- mreža
- mreženje
- omrežij
- NY
- novice
- na spletu
- odprite
- deluje
- operacijski sistem
- Komentarji
- Priložnost
- Možnost
- možnosti
- Da
- Ostalo
- Prekinitev
- Geslo
- gesla
- Plačajte
- Plačilo
- ljudje
- ping
- načrtovanje
- platforma
- Podcast
- politika
- bazen
- moč
- predstaviti
- zasebnost
- Zasebnost in varnost
- zasebna
- zasebni ključ
- Izdelki
- profil
- Program
- zaščito
- protokol
- javnega
- javni ključ
- Založništvo
- QR koda
- RAM
- območje
- RE
- zmanjša
- Raziskave
- viri
- REST
- Rezultati
- Nagrade
- Tveganje
- Roll
- Pot
- pravila
- Run
- tek
- Varnost
- shranjevanje
- Lestvica
- Zaslon
- Iskalnik
- sekundarno
- varnost
- vidi
- izbran
- prodaja
- Storitve
- nastavite
- nastavitev
- Delite s prijatelji, znanci, družino in partnerji :-)
- deli
- Shell
- Nakupovalna
- Kratke Hlače
- shutdown
- Silver
- Enostavno
- SIX
- majhna
- Posnetek
- So
- socialna
- družbeni mediji
- Software
- hitrost
- Začetek
- začel
- Države
- statistika
- Status
- naročnina
- uspešno
- Preklop
- sistem
- pogovor
- ciljna
- terminal
- Splošni pogoji poslovanja
- Test
- Testiranje
- Osnove
- svet
- čas
- orodja
- vrh
- Teme
- Sledenje
- Prometa
- transakcija
- prevod
- trillions
- Zaupajte
- nas
- Velika
- Združene države Amerike
- Nadgradnja
- usb
- Video
- Video posnetki
- Virtual
- VPN
- VPN
- Počakaj
- Watch
- web
- spletni brskalnik
- spletni strežnik
- Spletna stran
- spletne strani
- Kaj je
- WHO
- Wifi
- Wikipedia
- veter
- okna
- brezžična
- besede
- delo
- deluje
- svet
- vredno
- youtube
- nič