Hur man bygger ett hemnätverk som hindrar din internetleverantör från att se dina data, isolerar ASIC:er och låter dig bryta Bitcoin utan tillstånd.
En integritetsfokuserad guide för att bygga ett säkert hemnätverk med en pfSense-brandvägg, som förklarar hur du konfigurerar dedikerade hemnätverk för att skilja din familjs WiFi-webbsurfning från din Bitcoin-gruvtrafik; hur man konfigurerar ett VPN med WireGuard; och hur du skickar all din internettrafik genom Mullvad VPN-tunnlar med automatisk lastbalansering för att växla mellan tunnlar under tider med hög latens; samt hur man konfigurerar en annonsblockerare på brandväggsnivå.
Varje Bitcoin hemmagruvarbetare kommer att behöva ett hemnätverk. Att bygga ett säkert och privat nätverk att bryta från är en viktig del av att upprätthålla en tillståndslös drift. Genom att följa den här guiden kommer du att se hur du bygger ett robust och anpassningsbart hemgruvnätverk som har följande fördelar och mer:
- Virtual Private Network (VPN) tunnling för att säkra och kryptera din internettrafik
- Förbättrad integritet från din internetleverantörs (ISP) nyfikna ögon
- Reducering av den potentiella risken för IP-adressloggning från din gruvpool
- Konfiguration av en pfSense-brandvägg
- Skapande av sekvestrerade hemnätverk för att hålla dina ASIC:er åtskilda från ditt gäst-WiFi-nätverk, etc.
- Konfigurera en åtkomstpunkt för mesh WiFi-nätverk
- Konfiguration av en annonsblockerare på brandväggsnivå.
I den här guiden kommer du att se några gratis, öppen källkodsprogram som pfSense och WireGuard, samt en del betald öppen källkod som Mullvad VPN.
Att åta sig denna uppgift började för mig när min fru och jag bestämde oss för att sälja vårt hus i staden och flytta ut på landet. Jag hade visioner om att sätta upp ny gruvinfrastruktur från grunden och jag ville ta tillfället i akt att bygga det ultimata hemnätverket som jag alltid velat ha – ett hemnätverk som hindrade min internetleverantör från att se min data och vart den var på väg, ett hemnätverk som isolerade mina ASIC:er från andra nätverksanslutna enheter, ett hemnätverk som inte ständigt spårade mig och sålde min webbläsarinformation till annonsörer.
Det var då jag började titta närmare på en blogginlägg i ämnet från k3tan. I sin pfSense-artikel presenterade k3tan många av attributen för ett hemnätverk som jag ville bygga åt mig själv och pekade på flera ytterligare resurser som fick mig att tro att jag skulle kunna göra detta själv om jag verkligen försökte.
Jag hade ingen nätverkserfarenhet innan jag hoppade in i det här och även om det finns många steg, är det verkligen väldigt enkelt att använda gratis och öppen källkodsverktyg för att börja ta steg och gränser för att skydda din integritet.
Jag kontaktade k3tan och de stöttade mina ansträngningar och hjälpte mig att ta mig igenom några hinder som jag stötte på — jag uppskattar verkligen detta och vill säga tack, k3tan.
Tillsammans för den här guiden spenderade jag $360 för att bygga mitt hemnätverk. $160 på ett nätverkskort och $200 på ett mesh WiFi-kit (vilket, ärligt talat, kunde ha gjorts med en $40-router men YOLO!).
Några begränsningar du bör vara medveten om: Jag hade bokstavligen noll nätverkserfarenhet innan den här guiden. Det är mycket möjligt att jag gjorde något oförutsett misstag. Jag rekommenderar starkt att du använder detta som en guide men också att införliva din egen forskning och due diligence i ditt eget hemnätverk. VPN: er är ett bra verktyg för att skydda din integritet, men de är inte en silverkula. Det finns flera andra sätt att läcka data och minska din integritet. Den goda nyheten är att det är lätt att börja ta steg för att utveckla bra, integritetsfokuserade bästa praxis.
Jag rekommenderar att du läser detta guide från Mullvad, lyssna på detta podcast från SethFör sekretessoch kolla in ytterligare resurser från Techlore.
Låt oss komma till rätta med det och få ditt hemgruvnätverk inrättat på ett sätt som gör din familj glad och håller dina ASIC:er säkra och privata.
Att bygga en pfSense-brandvägg från en gammal stationär dator
I 10 steg nedan kommer jag att visa dig hur jag använde en gammal stationär dator för att bygga en pfSense-brandvägg och hur jag konfigurerade mitt hemnätverk.
Om du väljer det alternativet istället för att bygga ditt eget kan du hoppa till steg fyra nedan.
Steg ett: Hur man installerar det nya nätverkskortet
Först behöver du en gammal stationär dator. Jag använde en Dell Optiplex 9020 Small Form Factor (SFF). Detta är en kraftfull hårdvara för en brandvägg; den har en Intel i7-4790 3.6 GHz CPU, 16 GB RAM och en 250 GB hårddisk.
Som standard har den här datorn bara en RJ45 Ethernet-port. Men om detta ska fungera som en brandvägg behöver det minst två Ethernet-portar. För att uppnå detta köpte jag ett Intel i350-nätverkskort som är utrustat med fyra Ethernet-portar. i350-nätverkskortet är designat för att användas i den fyrfiliga PCIe-platsen på skrivbordets moderkort.
För detta SFF-chassi var jag tvungen att byta ut det fullstora metallfästet med det medföljande mindre fästet på nätverkskortet. Öppna sedan bara chassit och fäll upp den externa klämman som täcker de tomma PCI-platserna. Med en skruvmejsel kan du ta bort den tomma metallfästeinsatsen framför den fyrfiliga PCI-platsen och sätta in nätverkskortet. Stäng sedan klämman och sätt tillbaka chassiets sidokåpa.
När den väl har installerats är det viktigt att notera vilken Ethernet-port som är för WAN (Wide Area Network) och vilka portar som är för det lokala nätverket (LAN). WAN är det som vetter mot det vidöppna offentliga internet och LAN är det som vänder sig mot ditt lokala hemnätverk.
När du har installerat den kan du ställa in din stationära dator åt sidan för nu. Du kommer att vilja använda din nätverksanslutna dator för att ladda ner och verifiera pfSense-bilden och flasha den till en USB-enhet.
Steg två: Hur man laddar ner och verifierar pfSense-bildfilen och flashar den till en USB-enhet
Först, navigera till detta pfSense nedladdningssida och väl där:
- Välj "AMD64"-arkitekturen
- Sedan "USB Memstick installer"
- Sedan "VGA"-konsol
- Välj sedan den spegel som ligger närmast din geografiska plats, såsom visas i skärmdumpen nedan, och klicka på "Ladda ner"
Därefter kan du beräkna SHA-256-kontrollsumman på den komprimerade filen du laddade ner och verifiera den mot kontrollsumman som visas på pfSense-nedladdningssidan.
Jag gillar att använda en freeware hex editor som heter HxD för beräkning av kontrollsummor. Öppna bara filen du är intresserad av, navigera till "Verktyg" sedan "Checksums" och välj "SHA256" från menyn. Om hash-värdena inte matchar, kör inte den körbara filen.
Det enklaste sättet jag har hittat för att flasha en bildfil till en USB-enhet är att använda ett program som heter balenaetcher.
När det är installerat, starta programmet, klicka på "Flash från fil" och navigera sedan till mappen där du har den komprimerade pfSense-bildfilen.
Välj sedan din tomma USB-enhet och klicka sedan på "Flash". BalenaEtcher kommer att börja blinka och automatiskt dekomprimera pfSense-bildfilen. Denna process tar några minuter.
Efter att blinkningen är klar bör du få en grön bock som indikerar att allt checkar ut. Om du får ett felmeddelande från balenaEtcher kan du behöva prova att flasha till en annan USB-enhet.
Nu kan du säkert mata ut den flashade USB-enheten från din dator och du är redo att flasha den andra stationära datorn.
Steg tre: Hur man flashar skrivbordet och installerar pfSense
Anslut ett tangentbord, bildskärm, strömkabel och den flashade USB-enheten till din stationära dator som du installerade nätverkskortet i. Skärmen måste anslutas via VGA-anslutningar — DisplayPort-anslutningar fungerar inte enligt min erfarenhet. Anslut inte Ethernet-kablarna ännu.
När allt är anslutet slår du på skrivbordet. Vissa datorer kommer automatiskt att upptäcka att det finns en startbar USB-enhet isatt och de kommer att fråga dig vilken enhet du vill starta från. I mitt fall startade datorn bara som standard från "C:"-enheten och startade Windows automatiskt. Om detta händer dig, stäng av datorn och håll sedan ned "F12" på tangentbordet och slå på den igen. Detta kommer att starta BIOS, där du kan tala om för datorn vilken enhet du vill starta från.
Till exempel, här är min BIOS-miljö där jag kunde välja SanDisk USB-enheten som jag hade flashat pfSense-bilden till. När du har valt det här alternativet körs ett skript kort och sedan startar pfSense-installationsprogrammet:
Acceptera först villkoren. Välj sedan "Installera pfSense" och välj sedan den tangentkarta som passar dig. Om du talar engelska och bor i USA vill du förmodligen bara använda standarden.
Därefter valde jag bara alternativet "Auto ZettaByte File System" (ZFS) eftersom jag använder en hårdvaruplattform som är långt över specificerad för en hembrandvägg. ZFS-alternativet har fler funktioner och är mer pålitligt än Unix File System (UFS)-alternativet, men ZFS kan vara mer minneshungrigt, vilket jag egentligen inte bryr mig om med tanke på att jag har 16 GB RAM-minne på den här skrivbordet.
Sedan kommer du att ha några partitionerings- och redundansalternativ, som jag bara höll så enkla som möjligt, t.ex. ingen redundans och standardkonfigurationsalternativen. Välj sedan "Installera".
Sedan kommer du att se ett par bekräftelser på att pfSense-installationen lyckades. En fråga kommer att fråga dig om du vill göra några sista ändringar manuellt, vilket jag inte gjorde. Sedan kommer det att fråga dig om du vill starta om, välj ja. Ta omedelbart bort USB-enheten vid denna tidpunkt innan omstarten startar igen eftersom den annars kommer att tappa dig i början av installationsguiden igen. Du bör avsluta på huvudterminalmenyn när omstarten är klar.
Nu är du redo att ansluta din nya brandvägg till ditt hemnätverk.
Steg fyra: Hur man ansluter pfSense i ett hemnätverk
Följande steg kommer alla att slutföras på tangentbordet och bildskärmen som är anslutna till din nya brandvägg:
- Stäng först av din ISP-försedda router, stäng av ditt modem och koppla bort Ethernet-kablarna från ditt modem och router.
- Slå sedan på din nya brandvägg och låt pfSense ladda. Slå sedan på modemet och vänta tills det länkar till internet.
- I pfSense-menyn väljer du alternativ ett, "Tilldela gränssnitt." Den kommer att fråga dig om du vill ställa in VLAN nu, ange "n" för nej. Sedan kommer den att be dig att ange WAN-gränssnittets namn, ange "a" för automatisk upptäckt.
- Anslut en Ethernet-kabel från din modemutgång till ditt nya nätverkskortsgränssnitt för brandväggen. Kom ihåg att porten längst till höger om RJ45-frigöringsflikarna är vända uppåt är din WAN-port, eller längst till vänster om RJ45-frigöringsflikarna är vända nedåt.
- När du är ansluten trycker du på "enter". Den bör upptäcka länkning på gränssnittsporten igb0. Om det är igb3, byt Ethernet-kabeln till motsatt sida och försök igen.
- Sedan kommer den att be dig ange namnet på LAN-gränssnittet, ange "a" för automatisk identifiering. Anslut en Ethernet-kabel från nästa tillgängliga port på det nya nätverkskortet för brandväggen till din Ethernet-switch eller annan åtkomstpunkt. Tänk på att om du tänker köra ett virtuellt lokalt nätverk (VLAN) måste du använda en hanterad switch.
- När du är ansluten trycker du på enter. Den bör upptäcka länkning på gränssnittsporten igb1.
- Tryck sedan på enter igen för "ingenting" eftersom inga andra nätverksanslutningar är konfigurerade just nu.
- Sedan kommer den att informera dig om att gränssnitten kommer att tilldelas enligt följande: WAN = igb0 och LAN = igb1.
- Ange "y" för ja och pfSense skriver konfigurationen och tar dig tillbaka till huvudmenyn med dina WAN IP v4- och IP v6-adresser visas överst.
Bara för att illustrera ett exempel på en signalvägskonfiguration kan du göra en inställning så här:
Vid det här laget bör du kunna ange "192.168.1.1" i din webbläsare på ditt vanliga skrivbord och starta pfSense webbgränssnitt. Det är ett självsignerat certifikat, så acceptera risken när du uppmanas och fortsätt. Inloggningsuppgifterna är admin/pfsense.
Du kan nu koppla bort tangentbordet och bildskärmen från din nya brandvägg. Resten av stegen kommer att slutföras via webbgränssnittet på ditt vanliga skrivbord.
Steg fem: Så här konfigurerar du pfSense Basic Settings
I det här steget kommer du att se hur du konfigurerar grundläggande inställningar som installationsguiden, ändrar TCP-porten, aktiverar Secure Shell SSH och ställer in hårnålning som standard. Den stora majoriteten av informationen som presenteras här och i steg sex nedan kom från att titta på detta Tom Lawrence video på pfSense — Jag rekommenderar starkt att du tittar på den här videon, den är lång men full av värdefull information och har mycket mer detaljer än jag presenterar i den här guiden.
Klicka först på den röda varningsdialogrutan högst upp på sidan för att ändra lösenordet som används för att logga in på din nya brandvägg. Personligen rekommenderar jag högentropi, engångslösenord med tillhörande lösenordshanterare. Logga sedan ut och logga in igen för att testa dina ändringar.
När du har loggat in igen öppnar du "Inställningsguiden" från fliken "System":
Sedan kommer guiden att leda dig genom nio grundläggande steg för att få din nya pfSense-brandvägg konfigurerad.
Klicka på "Nästa" i det första steget.
Sedan, i det andra steget, kan du konfigurera värdnamnet, domänen och primära/sekundära DNS-servrar. Du kan lämna "Värdnamn" och "Domän" som standardvärden eller ställa in dem till vad du vill. Jag valde "100.64.0.3" för den primära DNS-servern för att komma ut till internet och avmarkerade rutan "Åsidosätt DNS" för att undvika att DHCP åsidosätter DNS-servrarna. Jag ska gå igenom varför jag använde "100.64.0.3" i steg 10 i den här guiden.
Sedan kan du ställa in din tidszon i steg tre:
I det fjärde steget kan du välja "DHCP" för WAN-gränssnittet och lämna alla andra fält som standardinställningar. Om du vill förfalska din MAC-adress kan du göra det i det här steget. För de två sista fälten, se till att rutan "Blockera RFC1918 Private Networks" och rutan "Block bogon networks" är markerade, detta kommer automatiskt att lägga till lämpliga regler i din brandvägg.
I steg fem kan du ändra din brandväggs IP-adress. De flesta lokala hemnätverk använder antingen 192.168.0.1 eller 192.168.1.1 för att komma åt routern eller brandväggen. Anledningen till att du kanske vill ändra detta till en lokal IP-adress som inte är standard är att om du är på någon annans nätverk och du försöker att VPN tillbaka till ditt hemnätverk, kan du stöta på ett problem där du har samma adress i båda ändar och systemet kommer inte att veta om du försöker ansluta till den lokala adressen eller fjärradressen. Till exempel ändrade jag min lokala IP-adress till "192.168.69.1."
I steg sex kan du ställa in ditt administratörslösenord. Jag blev lite förvirrad när jag såg det här steget infogat här eftersom jag hade ändrat administratörslösenordet i början, så jag använde bara samma högentropilösenord från tidigare, förutsatt att det bad om samma lösenord som kommer att användas för att logga in routern.
Sedan, i steg sju, kan du klicka på knappen "Ladda om". När detta laddas om, koppla ur strömkabeln från din switch. Eftersom routerns lokala IP-adress ändrades till "192.168.69.1" (eller vad du nu väljer), kommer nu alla enheter i nätverket att ha sina IP-adresser uppdaterade till det IP-intervallet.
Så om du till exempel har PuTTY eller andra SSH-sessioner konfigurerade till din Raspberry Pi-nod, måste du nu uppdatera dessa anslutningskonfigurationer. Att koppla ur strömmen från switchen och koppla in den igen efter att routern har startat om hjälper till att få alla dina enheter omtilldelade.
För att ta reda på IP-adresserna för enheterna i ditt lokala nätverk kan du navigera till fliken "Status" och välja "DHCP-leasing" för att se allt listat:
Efter omladdningen i steg sju hoppade guiden bara över steg åtta och nio, så jag är inte säker på vad som händer i de stegen, men vi kommer att gå vidare och ta itu med saker som behövs.
Ett par andra grundläggande inställningar som är värda att notera finns under "System> Avancerat> Admin Access." Här uppdaterade jag TCP-porten till "10443" eftersom jag kör vissa tjänster som kommer åt samma standardportar som 80 eller 443 och jag vill minimera överbelastning.
Dessutom aktiverade jag SSH. Sedan kan du välja hur SSH ska skyddas, antingen med ett lösenord eller nycklar, eller båda eller bara nycklar. När du har sparat, ge gränssnittet en minut för att uppdatera till den nya porten. Du kan behöva ladda om sidan med den lokala IP-adressen och den nya porten, t.ex. "192.168.69.1:10443." Se till att spara dina ändringar längst ner på sidan.
Den sista grundinställningen jag ska ta upp här är hårnålning, vilket innebär att du till exempel kan ha din nätverksinställning så att du kan öppna en port till ett säkerhetskamerasystem med en offentlig IP-adress. Denna offentliga IP-adress kan också användas i ditt nätverk också, vilket är bekvämt om du är hemma och ansluter till kamerasystemet från din mobiltelefon på ditt LAN, då behöver du inte manuellt ändra var den ansluter till, eftersom hårnålning kommer att se att du bara försöker få åtkomst till en lokal IP och den kommer att gå runt dig som standard med den här inställningen aktiverad.
- Under fliken "System", navigera till "Avancerat> Brandvägg & NAT"
- Rulla ned till avsnittet "Network Address Translator".
- Från rullgardinsmenyn "NAT Reflection Mode" väljer du "Pure NAT"
- Klicka på "Spara" längst ned på sidan och "Apply Changes" längst upp på sidan
Det är det för grundinställningarna. Den goda nyheten är att pfSense är ganska säker i sin standardinstallation så det är inte så mycket du behöver ändra för att ha en bra grundläggande grund. I allmänhet är ståndpunkten för pfSense-utvecklarna att om det finns ett säkrare sätt att rulla ut pfSense, så kommer de bara att göra det till standardinställningen.
En annan sak att notera är att pfSense som standard aktiverar WAN IPv6 nätverksadressöversättning (NAT). Jag valde att inaktivera detta, så jag öppnar inte en IPv6-gateway till det vidöppna internet.
Du kan göra detta genom att gå till "Gränssnitt>Uppdrag" och sedan klicka på hyperlänken "WAN" på den första uppgiften. Detta öppnar konfigurationssidan, se till att "IPv6 Configuration Type" är inställd på "None". Spara sedan och tillämpa dessa ändringar.
Sedan kan du navigera till "Brandvägg>NAT" och scrolla ner till "WAN"-gränssnittet med en IPv6-källa och ta bort den.
Steg sex: Så här konfigurerar du pfSense Advanced Settings
I det här avsnittet kommer jag att gå över några avancerade funktioner som du kan vara intresserad av för ditt hemnätverk. Här kommer du att se hur du ställer in separata nätverk från din pfSense-router så att till exempel gäster kan komma åt det vidöppna internet från en WiFi-åtkomstpunkt i ditt hem men de kan inte komma åt dina ASICs från det nätverket.
Om du använde i350 nätverkskortet som jag gjorde så har du fyra Ethernet-portar tillgängliga, och om du använde en Dell Optiplex som jag gjorde så har du också en femte Ethernet-port på moderkortet. Vilket innebär att jag har fem gränssnitt jag kan konfigurera, varav fyra kan vara sekundära lokala nätverk.
Vad jag ska göra här är att hålla mitt skrivbord och mitt dedikerade Bitcoin-skrivbord i ett nätverk (LANwork). Sedan kommer jag att konfigurera ett sekundärt LAN som mitt hems WiFi-åtkomstpunkt kommer att vara på (LANhome). På så sätt kan jag hålla trafik från min familjs webbsurfning helt åtskild från mitt arbete och Bitcoin-relaterade aktiviteter.
Sedan kommer jag att sätta upp ett annat LAN som kommer att vara dedikerat för mina ASICs (LANminers), separat från de andra två nätverken. Slutligen ska jag skapa ett testnätverk (LANtest) som jag kommer att använda för att integrera nya ASIC:er och se till att det inte finns någon skadlig firmware på dem innan jag exponerar mina andra ASIC:er för dem. Du kan också lägga till ett nätverk av säkerhetskamera på ett av gränssnitten, möjligheterna är oändliga.
Om du navigerar till fliken "Gränssnitt", sedan "Gränssnittstilldelningar", kommer du att se alla dina tillgängliga nätverkskort RJ45-portar. De ska vara märkta "igb0", "igb1", "igb2" etc. Lägg nu bara till den du är intresserad av genom att välja den från rullgardinsmenyn och klicka på den gröna "Lägg till"-rutan.
Klicka sedan på hyperlänken till vänster om gränssnittet du just lade till för att öppna sidan "Allmän konfiguration" för det gränssnittet.
- Klicka på rutan "Aktivera gränssnitt".
- Ändra sedan "Description" till något som hjälper till att identifiera dess funktion, som "LANhome", till exempel
- Ställ sedan in typen "IPv4 Configuration" till "Static IPv4" och tilldela ett nytt IP-intervall. Jag använde "192.168.69.1/24" för mitt första LAN så för det här kommer jag att använda nästa sekventiella IP-intervall, "192.168.70.1/24."
Du kan lämna alla andra inställningar på sina standardinställningar, klicka på "Spara" längst ner på sidan och sedan på "Använd ändringar" överst på sidan.
Nu måste du ställa in några brandväggsregler för detta nya LAN. Navigera till fliken "Brandvägg", sedan "Regler". Klicka på ditt nyligen tillagda nätverk, "LANhome", till exempel. Klicka sedan på den gröna rutan med uppåtpilen och ordet "Lägg till".
På nästa sida:
- Se till att "Action" är inställt på "Pass"
- "Gränssnittet" är inställt på "LANhome" (eller vad ditt sekundära LAN heter)
- Se till att ställa in "Protokoll" till "Val som helst" annars kommer detta nätverk att begränsa typen av trafik som kan skickas på det
- Därefter kan du lägga till en kort anteckning för att ange vad den här regeln är till för, till exempel "Tillåt all trafik"
- Då kan alla andra inställningar förbli i sina standardinställningar och klicka på "Spara" längst ner på sidan och "Apply Changes" längst upp på sidan
Innan du kan testa ditt nya nätverk måste du ha en IP-adress inställd på det:
- Navigera till "Tjänster" och sedan "DHCP-server"
- Klicka sedan på fliken för ditt nya LAN
- Klicka på rutan "Aktivera" och lägg sedan till ditt IP-adressintervall i de två "Omfång"-rutorna. Till exempel använde jag intervallet från "192.168.70.1 till 192.168.70.254." Klicka sedan på "Spara" längst ned på sidan och "Tillämpa ändringar" överst på sidan.
Nu kan du testa ditt nya nätverk genom att fysiskt ansluta en dator till motsvarande RJ45-port på nätverkskortet och sedan försöka komma åt internet. Om allt fungerade borde du kunna surfa på den vidöppna webben.
Men du kanske märker att om du är på ditt sekundära LAN och försöker logga in på din brandvägg, kommer du att kunna göra det med "192.168.70.1" IP-adressen. Personligen vill jag bara ha min brandvägg tillgänglig från mitt "LANwork"-nätverk. Jag vill inte att min fru och barn eller gäster ska kunna logga in på brandväggen från deras angivna "LANhome"-nätverk. Även om jag har ett högentropiskt lösenord för att komma in i brandväggen, kommer jag fortfarande att konfigurera de andra LAN så att de inte kan prata med routern.
Ett område av oro jag har, som den här typen av konfiguration kommer att hjälpa till att lindra, är om jag ansluter en ASIC till mitt nätverk med någon skadlig firmware installerad på den, kan jag hålla den enheten isolerad och förhindra att säkerhetsproblemet påverkar andra enheter och information som jag har, vilket är anledningen till att ett av de LAN jag sätter upp kallas "LANtest", som kommer att vara dedikerat till att hålla nya ASIC:er helt isolerade så att jag kan testa dem på ett säkert sätt utan att tillåta en potentiell attack att inträffa på mina andra ASIC:er eller andra enheter i mitt hems nätverk.
För att ställa in en regel så att port 10443 inte kan nås från dina andra LAN-nätverk, navigera till "Brandvägg>Regler" och välj sedan fliken för ditt motsvarande nätverk av intresse. Klicka på den gröna rutan med uppåtpilen och ordet "Lägg till" i den.
- Se till att "Action" är inställt på "Blockera"
- Sedan, under avsnittet "Destination", ställ in "Destination" till "This Firewall (self)" och sedan "Destination Port Range" till "10443" med hjälp av "Custom"-rutorna för fälten "From" och "To"
- Du kan lägga till en beskrivning för att hjälpa dig komma ihåg vad den här regeln är till för. Klicka sedan på "Spara" längst ner på sidan och sedan på "Apply Changes" längst upp på sidan.
Att ha ett högentropiskt lösenord för att logga in på routern och låsa porten är en bra början, men du kan ytterligare binda dina LAN-nätverk och se till att enheter på ett nätverk inte alls kan komma in på något av de andra nätverken genom att konfigurera en alias för ditt primära LAN.
Navigera till "Brandvägg> Alias" och klicka sedan på "Lägg till" under fliken "IP".
- Sedan döpte jag detta alias till "SequesteredNetworks0"
- Jag skrev in en beskrivning för att påminna mig om vad dess funktion är
- Eftersom jag kommer att lägga till en brandväggsregel till mitt "LANhome"-nätverk som hänvisar till detta alias, har jag lagt till de andra LAN:en till "Nätverks"-listan. På så sätt kan "LANhome" inte prata med "LANwork", "LANminers" eller "LANtest."
- Klicka på "Spara" längst ned på sidan och sedan på "Apply Changes" längst upp på sidan
Nu kan jag lägga till ytterligare alias som kommer att hänvisas till i brandväggsreglerna på de andra LAN:en för att förhindra "LANminers" från att prata med "LANwork", "LANhome" och "LANtest" - så vidare och så vidare tills alla mina nätverk är sekvestrerade i ett sätt att bara min brandvägg kan se vad som är anslutet på de andra nätverken.
Med aliaset skapat kan en ny brandväggsregel tillämpas som refererar till detta alias på det sekundära LAN:et.
- Navigera till "Brandvägg>Regler", välj det LAN du vill tillämpa regeln på, t.ex. "LANhome"
- Sedan för "Action" ställ in den på "Blockera. För "Protokoll" ställ in den på "Val som helst".
- För "Destination" ställ in den till "Enskild värd eller alias"
- Ange sedan ditt alias
- Klicka på "Spara" längst ned på sidan och sedan på "Apply Changes" längst upp på sidan.
När jag skapade aliasen och ställde in brandväggsreglerna kunde jag ansluta min bärbara dator till varje nätverkskorts RJ45-gränssnittsport och försöka pinga vart och ett av de andra nätverken. Jag kunde komma ut till det vidöppna internet från varje LAN men jag kunde inte kommunicera med något av de andra LAN:en eller brandväggen. Nu vet jag att alla enheter på något av mina LAN inte kommer att ha tillgång till enheter på något av mina andra LAN. Endast från mitt primära "LANwork"-nätverk kan jag se vad som är anslutet på alla andra LAN.
Det tar hand om de avancerade funktionerna som jag ville dela med dig. Du bör nu ha några brandväggsregler inställda och flera nätverk sekvestrerade. Därefter kommer vi in på att ställa in en WiFi-åtkomstpunkt på ett av de sekundära LAN.
Steg sju: Hur man ställer in och konfigurerar en WiFi-åtkomstpunkt
I det här avsnittet ska jag visa dig hur jag konfigurerade mitt hems mesh WiFi med hjälp av det sekundära "LANhome"-nätverket. De viktigaste punkterna att tänka på här är att jag gjorde detta till ett dedikerat LAN specifikt för en WiFi-åtkomstpunkt för min familj och gäster att länka till utan att ge dem tillgång till min pfSense-brandvägg eller andra LAN. Men de har fortfarande obegränsad tillgång till den vidöppna webben. Jag kommer att lägga till en VPN-tunnel för detta LAN senare i den här guiden.
För att säkerställa att jag gav tillräcklig WiFi-signal till hela huset, bestämde jag mig för att gå med en NetGear Nighthawk AX1800 utrustning.
Inuti detta kit finns en WiFi-router och en repeatersatellit. Grundidén är att WiFi-routern ansluts till pfSense-brandväggen direkt med en Ethernet-kabel på igb2 "LANhome"-porten. Sedan sänder WiFi-routern signalen till repeatersatelliten i en annan del av huset. Så här kan jag öka WiFi-signaltäckningen till ett bredare område.
För att åstadkomma detta följde jag helt enkelt dessa steg:
- 1. Anslut WiFi-routern i pfSense-brandväggen på port igb2 "LANhome" med en Ethernet-kabel till porten märkt "Internet" på baksidan av WiFi-routern.
- 2. Anslut en bärbar dator till porten märkt "Ethernet" på baksidan av WiFi-routern med en Ethernet-kabel.
- 3. Anslut WiFi-routern till strömmen med den medföljande nätadaptern.
- 4. Vänta tills lampan lyser med fast blått på framsidan av WiFi-routern.
- 5. Öppna en webbläsare på den bärbara datorn och skriv in IP-adressen för WiFi-routern. Jag hittade IP-adressen bredvid "MR60"-enheten i min pfSense-instrumentpanel under "Status>DHCP-leasingavtal."
- 6. Jag blev omedelbart ombedd att ändra lösenordet. Återigen använde jag ett högentropi, slumpmässigt lösenord med en tillhörande lösenordshanterare. Jag vill inte att min familj eller gäster ska kunna komma åt den här WiFi-åtkomstpunktens administrativa inställningar, så att du anger ett starkt lösenord här rekommenderas. Du kan också bli ombedd att uppdatera den fasta programvaran, vilket kommer att resultera i en omstart.
- 7. Sedan kan du logga in igen med ditt nya administratörslösenord och ändra standardnätverkets namn till vad du vill och lägga till ett WiFi-lösenord för att komma åt WiFi-nätverket; detta är lösenordet som delas med familj och gäster så det här gjorde jag ganska lätt att komma ihåg och dela. Även om en ondsint skådespelare knäcker lösenordet och får tillgång till WiFi-nätverket är det totalt avskiljt från allt annat och själva WiFi-routern har ett lösenord med hög entropi.
- 8. Navigera sedan till "Avancerat>Trådlös AP" och aktivera "AP-läge". "AP" står för åtkomstpunkt. Tillämpa sedan ändringarna.
- 9. Routern kommer att starta om igen. Vid denna tidpunkt kommer den lokala IP-adressen att uppdateras, denna ändring kan övervakas på statussidan för "DHCP Leasing". Nu kan den bärbara datorn kopplas bort från WiFi-routern och WiFi-routern kan loggas in från samma maskin som pfSense-gränssnittet körs.
- 10. När du har loggat in igen, klicka på "Lägg till enhet" och du kommer att uppmanas att ställa in satellitrepeatern på plats och ansluta den till ström. Följ sedan anvisningarna på gränssnittet för att synkronisera satelliten.
Nu kan min familj, gäster och jag surfa på den vidöppna webben från våra enheter via WiFi utan avhopp i hela huset och jag behöver inte bry mig om att någon ska komma åt mitt känsliga arbetsnätverk, eller mitt ASIC-nätverk eller mitt test nätverk.
Därefter kommer vi in på att lägga till VPN-tunnlar till de nätverk vi har skapat hittills.
Steg åtta: Hur man installerar och konfigurerar WireGuard-paketet med Mullvad
WireGuard är ett VPN-programvaruprotokoll som kan installeras på din pfSense-brandvägg, då kan du använda det protokollet för att definiera hur du konstruerar dina tunnlar med din VPN-leverantör.
VPN skapar en säker och krypterad tunnel från din dator till din VPN-leverantörs server. Detta förhindrar din internetleverantör från att se din data eller var den slutliga destinationen är. Det finns flera typer av VPN-protokoll, som t.ex OpenVPN, IKEv2 / IPSec, L2TP / IPSec och WireGuard, men de har alla i huvudsak samma mål att beskriva instruktionerna för att skapa en säker tunnel för att kryptera din data som ska skickas över offentliga nätverk.
WireGuard är ett nyligen tillägg till sortimentet av VPN-protokoll, det är öppen källkod och relativt "lätt" med mindre kod och snabbare hastigheter än vissa andra. Hastighetsdelen var nyckeln för mig med tanke på att extra latens kan minska en ASICs effektivitet.
En annan fördel med VPN är att din geografiska plats kan förfalskas, vilket innebär att om du befinner dig i en del av världen kan du använda en VPN-tunnel till en VPN-leverantörs server i en annan del av världen och det kommer att se ut som om ditt internet trafik kommer från den servern. Detta är fördelaktigt för människor som bor i auktoritativa länder där tillgången till vissa webbplatser och tjänster är begränsad.
Tänk på att du måste lita på att din VPN-leverantör inte loggar din IP-adress eller att den kan eller skulle lämna över denna information till myndigheter om den trycks på. Mullvad samlar ingen personlig information om dig, inte ens en e-postadress. Dessutom accepterar den bitcoin eller kontanter så att du kan betala för tjänsten utan att riskera att länka dina bankuppgifter. Mullvad har också en policy för "ingen loggning", som du kan läsa här..
För mitt specifika användningsfall här kommer jag att använda en VPN för att säkerställa att min internetleverantör inte ser att jag bryter Bitcoin och för att även förhindra min gruvpool, Slush Pool, från att se min riktiga IP-adress — inte för att jag gör något olagligt eller för att jag tror att Slush Pool loggar min IP-adress, utan helt enkelt för att det här är tumultartade tider med en snabbt föränderlig politisk miljö och de saker jag gör lagligt idag kan mycket väl bli förbjuden imorgon.
Eller, om någon lagstiftning antogs som gör det olagligt för en person att driva en Bitcoin-gruvarbetare i USA utan en pengaöverföringslicens, till exempel, så skulle jag kunna förfalska min plats så att om Slush Pools hand skulle tvingas blockera IP-adresser som kommer från USA kunde jag fortsätta att bryta eftersom det verkar som att min hashhastighet härrörde utanför USA.
Med tanke på att blockkedjan är för evigt och framtiden är osäker tycker jag att det är värt att ta sig tid att ta reda på hur jag ska skydda min integritet. Genom att vidta åtgärder idag för att öka min integritet och säkerhet kan jag säkerställa att min frihet och min strävan efter lycka bevakas.
Den stora majoriteten av informationen som presenteras i det här avsnittet kommer från att titta på Christian McDonald-videor på YouTube. Du kan hitta alla hans WireGuard & Mullvad VPN-videor här..
Jag vill särskilt påpeka denna video av honom på att använda WireGuard-paketet i pfSense för att ställa in Mullvad på ett sätt att ha flera tunnlar som tillåter lastbalansering av din trafik sömlöst:
Mullvad är en betald VPN-prenumeration, avgiften är €5 per månad. Mullvad accepterar dock bitcoin och kräver ingen identifieringsinformation. Innan jag visar dig hur du ställer in din Mullvad-prenumeration kommer vi att få WireGuard-paketet installerat på din pfSense-brandvägg. Sedan skapar vi ett Mullvad-konto och genererar konfigurationsfilerna. Sedan kan vi ställa in flera tunnlar och göra några snygga konfigurationer i pfSense.
I pfSense, navigera till "System>Package Manager>Available Packages" scrolla sedan ned till WireGuard-länken och klicka på "Installera." På nästa sida klickar du på "Bekräfta". Installationsprogrammet körs och låter dig veta när det har slutförts.
Nu kan du navigera till "VPN>WireGuard" och se att paketet har installerats men inget är konfigurerat ännu. Nu när brandväggen har WireGuard redo kommer vi att arbeta med att få VPN-klienten installerad.
Navigera till https://mullvad.net/en/ och klicka på "Generera konto."
Mullvad samlar inte in någon information från dig såsom namn, telefonnummer, e-post, etc. Mullvad genererar ett unikt kontonummer och detta är den enda identifierande informationen du får relaterad till ditt konto, så skriv ner den och säkra den.
Välj sedan din betalningsmetod. Du får 10 % rabatt för att använda bitcoin. Abonnemanget fungerar så länge du vill betala för (upp till 12 månader) till en kurs av 5 € per månad. Så, en ettårsprenumeration skulle till exempel vara €60 eller cirka 0.001 BTC med dagens kurs (från och med november 2021). Du kommer att presenteras med en QR-kod för Bitcoin-adress att skicka din betalning till.
Kontrollera mempool för att se när din Bitcoin-transaktion bekräftas. Du kan behöva vänta ett tag beroende på överbelastning i nätverket.
Efter bekräftelse på kedjan fylls Mullvad-kontot på och bör visa att du har tid kvar. Tänk på att välja en serverplats från Mullvads långa lista med servrar. Om du planerar att köra ASIC bakom ditt VPN rekommenderar jag att du ansluter till en server som är relativt nära din faktiska geografiska plats för att försöka minska eventuell latens så mycket som möjligt.
Sättet Mullvad fungerar är med konfigurationsfiler som tilldelar ett unikt offentligt/privat nyckelpar för varje tunneladress. Grundidén här är att jag vill ha en primär tunnel inställd för ASIC, men jag vill också ha en sekundär tunnelinstallation med en annan server på en annan geografisk plats ifall den primära tunnelanslutningen går offline. På så sätt växlar min gruvinternettrafik automatiskt över till den andra tunneln och det blir inget avbrott i att dölja min offentliga IP-adress eller kryptera min trafikdata. Jag kommer också att ställa in andra tunnlar specifikt för mitt WiFi-nätverk och mitt "LANwork"-nätverk.
För att göra detta behöver jag så många nyckelpar som jag vill ha tunnlar. En Mullvad-prenumeration inkluderar upp till fem nyckelpar. Navigera till https://mullvad.net/en/account/#/wireguard-config/ och välj din plattform, t.ex. Windows. Klicka sedan på "Generera nycklar" för så många nyckelpar du vill, upp till fem nycklar. Klicka sedan på "Hantera nycklar" nedanför för att se din lista.
*Alla nycklar och känslig information som presenteras i den här guiden har nukats före publicering. Var försiktig med att dela denna information med någon, du vill hålla dina Mullvad-nycklar privata.
Du kan se att jag genererade fyra nycklar för den här guiden, som jag kommer att förstöra när jag är klar med att använda dem som exempel. Varje konfigurationsfil måste ställas in med en specifik Mullvad-server som du väljer.
- Välj den "Public Key" som du är intresserad av att skapa en konfigurationsfil för genom att välja cirkeln under "Använd"-kolumnen bredvid lämplig offentlig nyckel.
- Välj land, stad och server som du vill konfigurera med denna publika nyckel.
- Klicka på "Ladda ner fil."
- Spara konfigurationsfilen på en lämplig plats eftersom du måste öppna den om ett ögonblick.
*Kom ihåg att för varje tunnel till en ny server du vill konfigurera, måste du använda en separat publik nyckel. Om du försöker tilldela två tunnlar till samma nyckel kommer pfSense att stöta på problem med din VPN.
Upprepa denna process för så många nycklar som du genererade, välj en annan server för varje unik nyckel och generera konfigurationsfilen. Jag tyckte att det var till hjälp att namnge konfigurationsfilen som den stad och server som används.
Navigera nu tillbaka till pfSense och gå till "VPN>WireGuard>Inställningar" och klicka på "Aktivera WireGuard" och sedan "Spara."
- Navigera till fliken "Tunnlar" och välj "Lägg till tunnel".
- Öppna din första Mullvad-konfigurationsfil med en textredigerare som Anteckningar och håll den vid sidan av.
- I WireGuard lägger du till en "beskrivning" för din tunnel som beskriver vad den är, som "Mullvad Atlanta US167."
- Kopiera/klistra in "PrivateKey" från Mullvad-konfigurationsfilen och lägg till den i dialogrutan "Interface Keys".
- Klicka på "Spara tunnel" och sedan på "Apply Changes" högst upp på sidan.
WireGuard genererar automatiskt den publika nyckeln när du klistrar in den privata nyckeln och trycker på "tab"-tangenten på ditt tangentbord. Du kan verifiera att den offentliga nyckeln skapades korrekt genom att jämföra den med nyckeln på Mullvad-webbplatsen som du genererade tidigare.
Upprepa denna process för så många tunnlar du vill. Se till att du använder rätt Mullvad-konfigurationsfil för var och en eftersom de alla innehåller olika offentliga/privata nyckelpar, IP-adresser och slutpunkter.
Varje tunnel kommer att få sin egen kamrat. Du kan lägga till en "Peer" genom att först navigera till fliken "Peer" bredvid fliken "Tunnlar" som du just var på. Klicka sedan på "Lägg till peer".
- Välj lämplig tunnel från rullgardinsmenyn för denna peer.
- Lägg till en "beskrivning" för din tunnel som beskriver vad den är, som "Mullvad Atlanta US167."
- Avmarkera rutan "Dynamisk slutpunkt".
- Kopiera/klistra in "Endpoint" IP-adressen och porten från Mullvad-konfigurationsfilen i "Endpoint"-fälten i WireGuard.
- Du kan ge 30 sekunder till fältet "Keep Alive".
- Kopiera/klistra in "PublicKey" från Mullvad-konfigurationsfilen i fältet "Public Key" i WireGuard.
- Ändra "Tillåtna IP-adresser" till "0.0.0.0/0" för IPv4. Du kan också lägga till en beskrivning som "Tillåt alla IP-adresser" om du vill.
- Klicka på "Spara" och välj sedan "Apply Changes" högst upp på sidan.
Upprepa denna process för så många kamrater som du har tunnlar. Se till att du använder rätt Mullvad-konfigurationsfil för var och en eftersom de alla innehåller olika offentliga/privata nyckelpar, IP-adresser och slutpunkter.
Vid denna tidpunkt bör du kunna navigera till fliken "Status" och observera handskakningarna som äger rum genom att klicka på "Visa kamrater" i det nedre högra hörnet.
Därefter måste gränssnitten tilldelas för varje tunnel.
- Navigera till "Gränssnitt> Gränssnittstilldelningar"
- Välj varje tunnel från rullgardinsmenyn och lägg till den i din lista.
När alla dina tunnlar har lagts till klickar du på den blå hyperlänken bredvid varje tillagd tunnel för att konfigurera gränssnittet.
- Klicka på rutan "Aktivera gränssnitt".
- Ange din beskrivning - jag använde precis VPN-servernamnet till exempel: "Mullvad_Atlanta_US167"
- Välj "Static PIv4"
- Skriv "1420" i "MTU & MSS"-rutorna
- Kopiera/klistra in värd-IP-adressen från din Mullvad-konfigurationsfil i dialogrutan "IPv4-adress".
- Klicka sedan på "Lägg till en ny gateway"
Efter att ha klickat på "Lägg till en ny gateway" kommer du att presenteras med popup-dialogrutan nedan. Ange ett namn för din nya gateway, något enkelt som namnet på din tunnel med "GW" för "GateWay". Ange sedan samma värd-IP-adress från Mullvad-konfigurationsfilen. Du kan också lägga till en beskrivning om du vill, till exempel "Mullvad Atlanta US167 Gateway." Klicka sedan på "Lägg till".
När du är tillbaka på gränssnittskonfigurationssidan klickar du på "Spara" längst ner på sidan. Klicka sedan på "Apply Changes" högst upp på sidan.
Upprepa den processen för att skapa en gateway för varje tunnelgränssnitt du lagt till. Se till att du använder rätt Mullvad-konfigurationsfil för var och en eftersom de alla innehåller olika värd-IP-adresser.
Vid det här laget kan du navigera till din instrumentpanel och övervaka statusen för dina gateways. Om du inte redan har gjort det kan du anpassa din instrumentpanel för att övervaka flera statistik i pfSense. Klicka på "+"-tecknet i det övre högra hörnet av din instrumentpanel och sedan kommer en lista över tillgängliga statmonitorer att rulla ner och du kan välja de du vill ha.
På min instrumentpanel, till exempel, har jag tre kolumner, som börjar med "Systeminformation." I den andra kolumnen har jag sammanfattningen "Installerade paket", "WireGuard"-status och en lista över mina gränssnitt. I den tredje kolumnen har jag statusen "Gateway" och "Tjänster". På så sätt kan jag snabbt kontrollera och övervaka status på alla möjliga saker.
Vad jag vill påpeka om instrumentpanelen är att i avsnittet "Gateways" kommer du att märka att alla gateways är online. Gateways kommer att vara online så länge som tunneln är aktiv, även om fjärrsidan inte svarar. Detta beror på att de är det lokala gränssnittet, så just nu är de värdelösa eftersom även om fjärrsidan går ner, kommer de fortfarande att visas som online. För att möjliggöra möjligheten att övervaka latens så att dessa gateways kan ge lite användbar statistik, måste jag ge dessa gateways en DNS-adress (public domain name system) att övervaka.
Du kommer att märka att alla tunnelpingtider är noll millisekunder. Det beror på att jag inte skickar ut någon data genom dessa tunnlar. Genom att pinga en offentlig DNS-server kan pfSense få några användbara mätvärden och fatta beslut om vilken tunnel som ger minst latens eller om en fjärrserver går ner för att dirigera om trafik.
Du kan hitta en offentlig DNS-server att övervaka på detta webbplats eller ett antal andra offentliga DNS-serverlistor. Håll utkik efter den registrerade upptidsprocenten, ju fler desto bättre. Du vill hitta offentliga DNS IPv4 IP-adresser att övervaka på dina IPv4-gateways. Varje gateway kommer att behöva en separat DNS-adress att övervaka.
När du har dina offentliga DNS-adresser, navigera till "System>Routing>Gateways" i pfSense. Klicka på pennikonen bredvid din gateway. Du kan se att "Gateway-adressen" och "Monitor IP"-adressen är samma på alla gateways. Det är därför pingtiden är noll millisekunder och det är också därför pfSense kommer att tro att gatewayen alltid är uppe.
Ange den offentliga DNS IP-adressen som du vill övervaka i fältet "Monitor IP" och klicka sedan på "Spara" längst ner på skärmen. Klicka sedan på "Apply Changes" längst upp på skärmen. Kom ihåg att gateways inte kan dela samma DNS-monitoradress så använd en annan offentlig DNS-server för varje gateway att övervaka.
Nu, om du går tillbaka till din instrumentpanel och tittar på din gateway-monitor, bör du se att det finns några faktiska latensmått att observera. Med denna information kan du ställa in dina gateways i prioritetsordning baserat på vilka som har lägst latens för din internettrafik. Så, till exempel, om du bryter Bitcoin, kommer du att vilja prioritera dina ASIC:er för att gå igenom tunneln med den lägsta latensen först. Sedan om den tunneln misslyckas kan brandväggen automatiskt byta dem till nästa nivås gateway med näst minsta latens och så vidare.
Allt ser bra ut än så länge, tunnlarna är aktiva och det går data genom gateways. Därefter måste vi definiera en NAT-mappning (outbound network address translation) på brandväggen.
- Navigera till fliken "Brandvägg", sedan "NATm" och sedan fliken "Utgående". Detta kommer att dra upp en lista över alla dina nätverksmappningar från dina WAN till dina LAN. Eftersom vi har några nya gränssnitt definierade vill vi lägga till dessa mappningar i listan.
- Klicka på "Hybrid Outbound NAT Rule Generation" under avsnittet "Utgående NAT-läge".
- Scrolla till botten av sidan och klicka på "Lägg till"
- Välj ditt gränssnitt från rullgardinsmenyn
- Välj "IPv4" för "Adressfamiljen"
- Välj "alla" för "Protokoll"
- Se till att "Källa" är på "Nätverk" och ange sedan det lokala IP-adressintervallet för det LAN du vill gå ner i den här tunneln. Till exempel vill jag att mitt "LANwork" ska gå genom den här tunneln till Atlanta, så jag skrev in "192.168.69.1/24."
- Ange sedan en beskrivning om du vill, till exempel "Utgående NAT för LANwork till Mullvad Atlanta US167."
- Klicka sedan på "Spara" längst ned på sidan och "Tillämpa ändringar" överst på sidan.
Upprepa denna process för vart och ett av tunnelgränssnitten. Du kommer att märka att jag har mitt "LANwork"-nätverk på väg till Atlanta-tunneln, mitt "LANhome"-nätverk går till New York-tunneln, och jag har "LANminers"-nätverk inrättat för både Miami- och Seattle-tunnlarna. Du kan ställa in en mappning för ditt gruv-LAN till alla fem dina tunnlar om du vill. Du kan också ha flera LAN mappade till samma tunnel om du vill, det finns mycket flexibilitet.
Med alla mappningar på plats kan vi lägga till brandväggsregler. Navigera till "Brandvägg>LAN" och klicka sedan på "Lägg till", "LAN" är vilket LAN du vill lägga till en regel till. Till exempel, jag ställer in mitt "LANwork"-nätverk i den här skärmdumpen:
- Ställ in "Action" till "Pass"
- Ställ in "Adressfamilj" till "IPv4"
- Ställ in "Protokoll" till "Val som helst"
- Klicka sedan på "Visa avancerat"
- Scrolla ner till "Gateway" och välj den gateway du har ställt in för detta LAN
- Klicka på "Spara" längst ner på skärmen, klicka sedan på "Apply Changes" längst upp på skärmen
Gör sedan samma sak med ditt nästa LAN tills du har konfigurerat alla dina LAN med en gateway-regel. Här är en ögonblicksbild av mina LAN-gateway-regler, du kommer att märka att jag har lagt till två gateway-regler till mitt "LANminers"-nätverk. I ett senare steg kommer jag att visa dig hur du ställer in den automatiska lastbalanseringen mellan tunnlar för gruv-LAN som kommer att ersätta de två reglerna som jag just lade till i "LANminers", men jag vill se till att allt är inställt och fungerar korrekt först.
För att dubbelkontrollera att allt fungerar hittills och att vart och ett av mina LAN får olika IP-adresser för allmänheten, kommer jag att ange "ifconfig.co" till en webbläsare från varje LAN. Om allt fungerar korrekt bör jag ha olika platser för varje LAN jag ansluter till och pingar från:
Allt fungerade som planerat, första försöket. Medan jag var ansluten till varje LAN kunde jag inaktivera motsvarande brandväggsregel och uppdatera sidan och se min IP-adress ändras tillbaka till mitt faktiska grova geografiska område.
Om du kommer ihåg hade jag satt upp två tunnlar för mitt "LANminers"-nätverk. När jag inaktiverade regeln för en brandvägg som motsvarar Miami-tunneln och uppdaterade min webbläsare bytte den omedelbart till en IP-adress i Seattle.
Så varje LAN skickar trafik genom en annan tunnel och alla mina tunnlar fungerar som förväntat. Men när det gäller mitt "LANminers"-nätverk vill jag att pfSense automatiskt ska växla mellan Miami- och Seattle-tunnlarna baserat på latens eller nedstängda servrar. Med ytterligare ett par steg kan jag få detta konfigurerat att byta automatiskt och ersätta de två brandväggsreglerna med en ny enda regel.
Navigera till "System>Routing" och sedan fliken "Gateway Groups".
- Ange ett gruppnamn som "Mullvad_LB_LANMiners." "LB" är för "Load Balance".
- Ställ in alla andra gatewayprioriteringar till "Aldrig", förutom de två gateways du är intresserad av för dina gruvarbetare. I det här fallet använder jag mina Miami och Seattle gateways. Jag har dessa prioriteringar båda inställda på "Tier 1", eller så kan du använda alla fem av dina tunnlar om du vill.
- Ställ in triggernivån på "Packet Loss or High Latency"
- Lägg till en beskrivning om du vill, till exempel "Load Balance LANminers Mullvad Tunnels"
- Klicka på "Spara" längst ned på skärmen och sedan på "Apply Changes" längst upp på skärmen
Om du navigerar till "Status> Gateways" och sedan fliken "Gateway Groups" bör du kunna se din nya gatewaygrupp online. I teorin, om du dirigerar trafik till "Mullvad_LB_LANminers" bör den balansera trafiken mellan de två gateways baserat på latens.
Nu kan den här gatewaygruppen användas i en brandväggsregel för att styra den trafiken i enlighet därmed. Navigera till "Brandvägg>Regler" och sedan fliken "LANminers" eller vad ditt gruv-LAN nu heter.
Fortsätt och inaktivera de två reglerna du ställt in tidigare för att testa VPN-tunnlarna genom att klicka på den överstrukna cirkeln bredvid regeln. Klicka på "Använd ändringar" och klicka sedan på "Lägg till" längst ned.
- Ställ in protokollet på "Val som helst"
- Klicka på "Visa avancerat"
- Scrolla ner till "Gateway" och välj den lastbalansgateway-grupp du skapade
- Klicka på "Spara" längst ner på sidan och klicka på "Apply Changes" längst upp på sidan
Det borde vara allt som behövs för att få dina ASIC att byta från en VPN-tunnel till en annan VPN-tunnel automatiskt baserat på latens eller nedstängda servrar. För att testa detta, anslut en bärbar dator till din dedikerade Ethernet-port på ditt nätverkskort för ditt gruv-LAN. Detta är "igb3" i mitt fall.
Se till att ditt WiFi är avstängt. Öppna en webbläsare och skriv "ifconfig.co" i URL-fältet. Resultaten bör placera dig på platsen för en av dina VPN-tunnlar. I mitt fall var det Miami.
Sedan, tillbaka i pfSense, navigera till "Gränssnitt> Tilldelningar" och klicka på hyperlänken för det tunnelgränssnittet. I mitt fall är det "Mullvad_Miami_US155"-gränssnittet.
Högst upp på den konfigurationssidan, avmarkera rutan för "Aktivera gränssnitt." Klicka sedan på "Spara" längst ner på skärmen och klicka sedan på "Apply Changes" längst upp på skärmen. Detta har precis inaktiverat Miami-tunneln som mina LANminers skickade trafik genom.
Tillbaka på den bärbara datorn, uppdatera webbläsaren med sidan ifconfig.co. Det bör nu placera din plats i Seattle, eller var din sekundära tunnel nu var inställd. Ibland måste jag stänga min webbläsare helt och öppna den igen för att rensa cacheminnet.
Se till att du går tillbaka till ditt Miami-gränssnitt och markerar rutan igen för att aktivera det gränssnittet, spara sedan och tillämpa. Sedan kan du navigera tillbaka till "Brandvägg>Regler", sedan ditt gruv-LAN och ta bort de två reglerna som du hade inaktiverat.
Det är det, du borde vara bra att gå. Tänk på att brandväggsreglerna fungerar uppifrån och ned. Härnäst ska jag gå in på hur man hjälper till att förhindra annonsspårning.
Steg nio: Så här konfigurerar du Ad-Blocker-funktioner
Annonsföretag är väldigt intresserade av dig och så mycket information de kan få om dig. När du surfar på internet är det tyvärr lätt att läcka denna eftertraktade information.
Den här informationen tjänar pengar på att rikta in sig på specifika målgrupper med produkter och tjänster med kirurgisk precision. Du kanske har upplevt att göra en onlinesökning efter något och sedan senare märkt att annonser dyker upp i ditt sociala mediaflöde som matchar dina senaste sökningar. Detta görs möjligt genom att samla in så mycket information om dina internetsökningar, vilka webbplatser du besöker, vilka bilder du tittar på, vad du laddar ner, vad du lyssnar på, din plats, vad som finns i din kundvagn, vilka betalningsmetoder du använder, tid och datum för all denna aktivitet, och länka sedan den informationen till unikt identifierbara konstanter som den specifika webbläsaren du använder och på vilken enhet du använder den.
Kombinera denna information med din IP-adress, ISP-konto och sociala medier-profil och du kan börja se hur det finns en kruka av information om dig som du kanske inte vill ha så lättillgänglig för företag, brottsbekämpande myndigheter, främlingar eller hackare. Mellan Cookiepolicy, fingeravtryck av webbläsare och beteendespårning det kan tyckas som om oddsen går emot dig. Men det finns enkla steg du kan vidta för att börja skydda din integritet nu. Det skulle vara synd att låta perfekt vara det godas fiende och hålla dig tillbaka från att komma igång.
I det här avsnittet kommer du att se hur du införlivar annonsblockeringsfunktioner genom att ändra DNS-serverns och DHCP-serverinställningarna i din brandvägg. På en hög nivå skriver du in ett webbplatsnamn i din webbläsare, som skickas till en DNS-server (vanligtvis din ISP:s DNS-server), och den servern översätter den mänskligt läsbara texten till en IP-adress och skickar tillbaka den till din webbläsare så den vet vilken webbserver du försöker nå. Dessutom skickas riktade annonser till dig på detta sätt.
Jag rekommenderar att börja denna övning genom att besöka https://mullvad.net/en/.
Klicka sedan på länken "Sök efter läckor" för att se var du kan förbättra dig.
Om du får DNS-läckor, beroende på vilken webbläsare du använder, kan du hitta användbara instruktioner från Mullvad här. för att förstärka din webbläsare och hjälpa till att förhindra annonser och spårning på webbläsarnivå. Försök sedan igen.
Om du har problem med att blockera annonser med din föredragna webbläsare, överväg att använda en mer sekretessfokuserad webbläsare som Ungoogled Chromium:
- Välj ditt operativsystem och den senaste versionen
- Ladda ner installationsprogrammet .exe
- Verifiera hashvärdet
- Kör installationsprogrammet och konfigurera sedan dina grundläggande inställningar som standardsökmotor
Tor är en annan webbläsare jag skulle rekommendera att använda så mycket som möjligt, bara generellt.
Mullvad tillhandahåller några olika DNS-lösande servrar som kan hittas listade i detta Mullvad artikel. För det här exemplet kommer jag att använda servern "100.64.0.3" för att blockera annonsspårningen. Se till att gå till Mullvads webbplats för de senaste uppdaterade IP-adresserna för DNS-servern eftersom dessa kan ändras ibland.
I pfSense, navigera till "System>Allmänt" scrolla sedan ner till avsnittet "DNS Server Settings" och skriv "100.64.0.3" i fältet DNS Server med din WAN-gateway vald. Om du använde min rekommendation från början av guiden, bör detta redan vara inställt men du måste följa DHCP-instruktionerna nedan.
Klicka på "Spara" längst ner på sidan.
Därefter navigerar du till "Tjänster> DHCP-server" och scrollar ner till "Server." I fältet för "DNS-servrar" anger du "100.64.0.3" och klickar på "Spara" längst ner på sidan. Upprepa detta steg för alla dina LAN om du har konfigurerat flera nätverk.
Nu bör du ha en ad-tracker-blockerande DNS-server konfigurerad på brandväggsnivå för att skydda all din internetsurfning. Sedan, om du vidtog de ytterligare åtgärderna för att konfigurera din webbläsare eller uppgradera till en sekretessfokuserad webbläsare, så har du tagit ett stort steg framåt för att skydda din integritet på dina stationära enheter.
Jag rekommenderar också att du överväger att använda UnGoogled Chromium eller Bromit på mobilen. Om du är intresserad av fler mobila enheters sekretessåtgärder, kolla in min guide om CalyxOS här..
Steg 10: Hur man kontrollerar fördröjning orsakad av VPN
Det finns rimlig oro för att användning av ett VPN kan introducera latens till din gruvtrafik. Problemet med det är att du kommer att få färre belöningar.
När det finns latens kan din ASIC fortsätta hasha en blockrubrik som inte längre är giltig. Ju längre tid din ASIC spenderar på att hasha en ogiltig blockrubrik, desto mer "inaktuell" hashhastighet kommer du att skicka till poolen. När poolen ser att hash kommer in för en blockrubrik som inte längre är giltig, avvisar poolen det arbetet. Detta betyder att din ASIC bara slösat bort lite datorkraft för ingenting, även om detta är på skalan av millisekunder, när en ASIC beräknar biljoner hash varje sekund, kan det gå snabbt.
Vanligtvis är detta ett mycket litet förhållande jämfört med mängden arbete som accepteras av poolen. Men du kan börja se hur betydande och kontinuerlig latens kan ha en inverkan på dina gruvbelöningar.
Generellt sett gäller att ju närmare två servrar är varandra, desto mindre latens blir det. Med en VPN måste jag skicka min gruvtrafik till VPN:s server och sedan går den därifrån till poolens server. I ett försök att försöka minska fördröjningen genom geografisk närhet använde jag tre VPN-servrar som fanns mellan min plats och poolens server. Jag ville också vara medveten om risken med att ha ett regionalt internetavbrott, så jag lade också till två VPN-servrar som inte fanns mellan poolen och mig. Med mitt "LANminers"-nätverk konfigurerat för att lastbalansera trafik mellan fem olika tunnlar startade jag ett femdagarstest.
De första två och en halv dagarna (60 timmar) ägnades åt gruvdrift med VPN på. De andra två och en halv dagarna ägnades åt gruvdrift med VPN avstängt. Här är vad jag hittade:
Under de första 60 timmarna hade min ASIC 43,263 87 accepterade paket och 0.201 avvisade paket. Detta motsvarar att 0.201 %, eller med andra ord, XNUMX %, av mina förbrukade resurser inte belönas.
Efter 120 timmar hade min ASIC 87,330 187 accepterade paket och 60 avvisade paket. Genom att subtrahera de första 44,067-timmarsavläsningarna fick jag 100 0.226 accepterade paket och XNUMX avvisade paket medan VPN var avstängt. Detta motsvarar XNUMX %. Överraskande nog är detta något mer av ett avslagsförhållande utan sekretessfördelarna med ett VPN givet samma tid.
Sammanfattningsvis, genom att balansera min gruvtrafik mellan fem VPN-tunnlar, kunde jag få sekretessfördelarna med ett VPN utan att minska effektiviteten i min gruvdrift. Faktum är att min gruvarbetare när det gäller avvisat förhållande lyckades bättre med att använda VPN än att inte använda VPN.
Om du är intresserad av att lära dig mer om de ämnen som tas upp i den här guiden, kolla in dessa ytterligare resurser:
Tack för att du läser! Jag hoppas att den här artikeln hjälpte dig att förstå grunderna för att använda ett gammalt skrivbord för att installera ett nätverk och flasha med pfSense för att skapa en mångsidig brandvägg, hur man konfigurerar separata LAN, hur man ställer in en mesh WiFi-router, hur man skapar en Mullvad VPN konto och hur du använder WireGuard för att konfigurera VPN-failovers för att minimera latens på din gruvdrift.
Detta är ett gästinlägg av Econoalchemist. Åsikter som uttrycks är helt egna och återspeglar inte nödvändigtvis de från BTC Inc eller Bitcoin Magazine.
Källa: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- tillgång
- Konto
- Handling
- aktiv
- aktiviteter
- Ad
- Annat
- administration
- annonser
- Alla
- tillåta
- Ansökan
- OMRÅDE
- runt
- Artikeln
- ASIC
- bil
- Banking
- Grunderna
- BÄST
- bästa praxis
- Bitcoin
- Bitcoin gruvdrift
- blockchain
- Blogg
- Box
- webbläsare
- BTC
- BTC Inc.
- SLUTRESULTAT
- Byggnad
- vilken
- Kontanter
- orsakas
- certifikat
- byta
- kontroll
- Kontroller
- krom
- Circle
- Stad
- närmare
- koda
- Kolumn
- kommande
- Företag
- datorer
- databehandling
- beräkningskraft
- konfiguration
- anslutning
- Anslutningar
- fortsätta
- Företag
- länder
- Par
- Skapa
- referenser
- instrumentbräda
- datum
- förstöra
- utvecklare
- enheter
- DID
- flit
- Rabatt
- Visa
- dns
- Domain Name
- Drop
- redaktör
- effektivitet
- Slutpunkt
- slutar
- Engelska
- Miljö
- Motionera
- erfarenhet
- ytorna
- vänd
- familj
- Mode
- SNABB
- Funktioner
- Fält
- Figur
- Slutligen
- Förnamn
- Blixt
- Flexibilitet
- följer
- formen
- Framåt
- fundament
- Fri
- Frihet
- full
- fungera
- framtida
- Allmänt
- GitHub
- Ge
- god
- stor
- Grön
- Grupp
- Gäst
- gäst inlägg
- styra
- hackare
- hårdvara
- hash
- hash rate
- hasch
- här.
- Hög
- hålla
- Hem
- Huset
- Hur ser din drömresa ut
- How To
- HTTPS
- läsbar
- Hungrig
- Hybrid
- IKON
- Tanken
- identifiera
- Olaglig
- bild
- Inverkan
- Öka
- informationen
- Infrastruktur
- Intel
- intresse
- Gränssnitt
- Internet
- IP
- IP-adress
- IP-adresser
- IT
- hålla
- Nyckel
- nycklar
- barn
- laptop
- senaste
- lansera
- Lag
- brottsbekämpning
- läckage
- Läckor
- inlärning
- Lagstiftning
- Nivå
- Licens
- ljus
- LINK
- Lista
- Noterade
- Lyssna
- Annonser
- läsa in
- lokal
- läge
- Lång
- mac
- Majoritet
- Framställning
- markera
- Match
- Media
- Minne
- metall
- Metrics
- gruvarbetare
- Gruvdrift
- spegel
- Mobil
- Mobil enheter
- mobiltelefon
- pengar
- månader
- flytta
- nät
- nätverk
- nätverk
- New York
- nyheter
- nätet
- öppet
- drift
- operativsystem
- Åsikter
- Möjlighet
- Alternativet
- Tillbehör
- beställa
- Övriga
- strömavbrott
- Lösenord
- lösenord
- Betala
- betalning
- Personer
- ping
- planering
- plattform
- podcast
- policy
- poolen
- kraft
- presentera
- privatpolicy
- Integritet och säkerhet
- privat
- privat nyckel
- Produkter
- Profil
- Program
- skydda
- protokoll
- allmän
- Public Key
- publicering
- QR code
- RAM
- område
- RE
- minska
- forskning
- Resurser
- REST
- Resultat
- Belöningar
- Risk
- Rulla
- Rutt
- regler
- Körning
- rinnande
- Säkerhet
- sparande
- Skala
- screen
- Sök
- sekundär
- säkerhet
- ser
- vald
- sälja
- Tjänster
- in
- inställning
- Dela
- delas
- Shell
- Gå och Handla
- Kort
- avstängning
- Silver
- Enkelt
- SEX
- Small
- Snapshot
- So
- Social hållbarhet
- sociala medier
- Mjukvara
- fart
- starta
- igång
- Stater
- statistik
- status
- prenumeration
- framgångsrik
- Växla
- system
- tala
- Målet
- terminal
- Villkor
- testa
- Testning
- Grunderna
- världen
- tid
- verktyg
- topp
- ämnen
- Spårning
- trafik
- transaktion
- Översättning
- biljoner
- Litar
- oss
- United
- USA
- Uppdatering
- usb
- Video
- Video
- Virtuell
- VPN
- VPN
- vänta
- Kolla på
- webb
- webbläsare
- webbserver
- Webbplats
- webbsidor
- Vad är
- VEM
- wiFi
- wikipedia
- vind
- fönster
- trådlös
- ord
- Arbete
- fungerar
- världen
- värt
- Youtube
- noll-