วิธีสร้างเครือข่ายในบ้านที่ป้องกันไม่ให้ ISP ของคุณเห็นข้อมูลของคุณ แยก ASIC และอนุญาตให้คุณขุด Bitcoin โดยไม่ได้รับอนุญาต
คู่มือที่เน้นความเป็นส่วนตัวในการสร้างเครือข่ายในบ้านที่ปลอดภัยด้วยไฟร์วอลล์ pfSense อธิบายวิธีตั้งค่าเครือข่ายภายในบ้านโดยเฉพาะเพื่อแยกการท่องเว็บ WiFi ของครอบครัวคุณออกจากการรับส่งข้อมูลการขุด Bitcoin วิธีกำหนดค่า VPN ด้วย WireGuard; และวิธีส่งทราฟฟิกอินเทอร์เน็ตทั้งหมดของคุณผ่านอุโมงค์ Mullvad VPN พร้อมโหลดบาลานซ์อัตโนมัติเพื่อสลับระหว่างอุโมงค์ข้อมูลในช่วงเวลาที่มีเวลาแฝงสูง รวมถึงวิธีกำหนดค่าตัวบล็อกโฆษณาที่ระดับไฟร์วอลล์
ผู้ขุด Bitcoin ในบ้านทุกคนจะต้องมีเครือข่ายในบ้าน การสร้างเครือข่ายที่ปลอดภัยและเป็นส่วนตัวเพื่อขุดเป็นส่วนสำคัญของการรักษาการดำเนินการที่ไม่ได้รับอนุญาต เมื่อทำตามคำแนะนำนี้ คุณจะเห็นวิธีสร้างเครือข่ายการขุดในบ้านที่แข็งแกร่งและปรับแต่งได้ ซึ่งมีข้อดีดังต่อไปนี้และอีกมากมาย:
- อุโมงค์เครือข่ายส่วนตัวเสมือน (VPN) เพื่อรักษาความปลอดภัยและเข้ารหัสการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณ
- เพิ่มความเป็นส่วนตัวจากการสอดรู้สอดเห็นของผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณ
- การลดความเสี่ยงที่อาจเกิดขึ้นจากการบันทึกที่อยู่ IP จากพูลการขุดของคุณ
- การกำหนดค่าไฟร์วอลล์ pfSense
- การสร้างเครือข่ายภายในบ้านที่แยกส่วนเพื่อแยก ASIC ของคุณออกจากเครือข่าย WiFi สำหรับแขก ฯลฯ
- ตั้งค่าจุดเชื่อมต่อเครือข่าย mesh WiFi
- การกำหนดค่า ad-blocker ที่ระดับไฟร์วอลล์
ในคู่มือนี้ คุณจะเห็นซอฟต์แวร์โอเพ่นซอร์สฟรีเช่น pfSense และ WireGuardรวมถึงซอฟต์แวร์โอเพนซอร์ซแบบชำระเงินบางตัว เช่น มัลวาด VPN.
งานนี้เริ่มต้นสำหรับฉันเมื่อฉันกับภรรยาตัดสินใจขายบ้านของเราในเมืองและย้ายไปอยู่ต่างจังหวัด ฉันมีวิสัยทัศน์ในการตั้งค่าโครงสร้างพื้นฐานการขุดใหม่ตั้งแต่ต้น และฉันต้องการใช้โอกาสนี้เพื่อสร้างเครือข่ายภายในบ้านที่ดีที่สุดที่ฉันต้องการมาโดยตลอด — เครือข่ายในบ้านที่ขัดขวาง ISP ของฉันไม่ให้เห็นข้อมูลของฉันและมันกำลังจะไปที่ใด เครือข่ายในบ้านที่ แยก ASIC ของฉันออกจากอุปกรณ์ที่เชื่อมต่อเครือข่ายอื่นๆ ซึ่งเป็นเครือข่ายในบ้านที่ไม่ได้ติดตามฉันตลอดเวลาและขายข้อมูลการท่องเว็บของฉันให้กับผู้โฆษณา
นี่คือตอนที่ฉันเริ่มมองอย่างใกล้ชิดที่ โพสต์บล็อก ในเรื่องจาก k3tan. ในบทความ pfSense ของพวกเขา k3tan ได้วางคุณลักษณะหลายอย่างของเครือข่ายในบ้านที่ฉันต้องการสร้างสำหรับตัวเอง และชี้ไปที่แหล่งข้อมูลเพิ่มเติมหลายอย่างที่ทำให้ฉันคิดว่าฉันสามารถทำได้ด้วยตัวเองหากฉันพยายามจริงๆ
ฉันมีประสบการณ์ด้านเครือข่ายเป็นศูนย์ก่อนที่จะเริ่มทำสิ่งนี้ และแม้ว่าจะมีขั้นตอนมากมาย แต่จริงๆ แล้ว มันง่ายมากที่จะใช้เครื่องมือโอเพนซอร์ซฟรีเพื่อเริ่มต้นการก้าวกระโดดในการปกป้องความเป็นส่วนตัวของคุณ
ฉันเอื้อมมือไปหา k3tan และพวกเขาสนับสนุนความพยายามของฉันและช่วยให้ฉันผ่านอุปสรรคที่ฉันพบ — ฉันซาบซึ้งในสิ่งนี้จริงๆ และอยากจะกล่าวขอบคุณ k3tan
ทั้งหมดนี้สำหรับคู่มือนี้ ฉันใช้จ่าย $360 เพื่อสร้างเครือข่ายในบ้านของฉัน $160 สำหรับการ์ดเครือข่าย และ $200 สำหรับ mesh WiFi kit (ซึ่งจริงๆ แล้ว สามารถทำได้ด้วยเราเตอร์ $40 แต่ YOLO!)
ข้อจำกัดบางประการที่คุณควรทราบ: ฉันไม่มีประสบการณ์ด้านเครือข่ายมาก่อนคู่มือนี้ เป็นไปได้มากที่ฉันทำผิดพลาดโดยไม่คาดคิด ฉันขอแนะนำอย่างยิ่งให้คุณใช้สิ่งนี้เป็นแนวทาง แต่ยังรวมการวิจัยของคุณเองและความขยันในการตั้งค่าเครือข่ายในบ้านของคุณด้วย VPN เป็นเครื่องมือที่ยอดเยี่ยมในการปกป้องความเป็นส่วนตัวของคุณ แต่ไม่ใช่กระสุนเงิน มีหลายวิธีที่คุณสามารถทำให้ข้อมูลรั่วไหลและลดความเป็นส่วนตัวของคุณ ข่าวดีก็คือ มันง่ายที่จะเริ่มดำเนินการพัฒนาแนวทางปฏิบัติที่ดีที่สุดที่ดีและเน้นความเป็นส่วนตัว
ฉันแนะนำให้อ่าน นี้ คำแนะนำจาก Mullvad ฟัง นี้ พอดคาสต์จาก เซทเพื่อความเป็นส่วนตัวและตรวจสอบทรัพยากรเพิ่มเติมจาก เทคโล.
มาทำให้ถูกต้องและตั้งค่าเครือข่ายการขุดที่บ้านของคุณในลักษณะที่ทำให้ครอบครัวของคุณมีความสุขและทำให้ ASIC ของคุณปลอดภัยและเป็นส่วนตัว
การสร้างไฟร์วอลล์ pfSense จากคอมพิวเตอร์เดสก์ท็อปเครื่องเก่า
ใน 10 ขั้นตอนด้านล่าง ฉันจะแสดงให้คุณเห็นว่าฉันใช้คอมพิวเตอร์เดสก์ท็อปเครื่องเก่าเพื่อสร้างไฟร์วอลล์ pfSense อย่างไรและกำหนดค่าเครือข่ายในบ้านอย่างไร
หากคุณเลือกตัวเลือกนั้นแทนการสร้างของคุณเอง คุณสามารถข้ามไปที่ ขั้นตอนที่สี่ด้านล่าง
ขั้นตอนที่หนึ่ง: วิธีการติดตั้งการ์ดเครือข่ายใหม่
ขั้นแรก คุณจะต้องมีคอมพิวเตอร์เดสก์ท็อปเครื่องเก่า ฉันใช้ Dell Optiplex 9020 Small Form Factor (SFF) นี่เป็นฮาร์ดแวร์ที่ทรงพลังสำหรับไฟร์วอลล์ มีซีพียู Intel i7-4790 3.6GHz, RAM 16 GB และฮาร์ดไดรฟ์ 250 GB
ตามค่าเริ่มต้น คอมพิวเตอร์เครื่องนี้มีพอร์ตอีเทอร์เน็ต RJ45 เพียงพอร์ตเดียว อย่างไรก็ตาม หากจะใช้เป็นไฟร์วอลล์ ก็จะต้องมีพอร์ตอีเทอร์เน็ตอย่างน้อย 350 พอร์ต เพื่อให้บรรลุสิ่งนี้ ฉันซื้อการ์ดเครือข่าย Intel i350 ซึ่งมาพร้อมกับพอร์ตอีเทอร์เน็ตสี่พอร์ต การ์ดเครือข่าย iXNUMX ออกแบบมาเพื่อใช้ในสล็อต PCIe สี่เลนบนมาเธอร์บอร์ดของเดสก์ท็อป
สำหรับแชสซี SFF นี้ ฉันต้องเปลี่ยนโครงยึดโลหะขนาดฟูลเฟรมกับโครงยึดขนาดเล็กที่รวมอยู่ในการ์ดเครือข่าย จากนั้นเพียงเปิดแชสซีและพลิกเปิดแคลมป์ภายนอกที่ปิดสล็อต PCI ว่าง ด้วยไขควง คุณสามารถถอดตัวยึดโลหะเปล่าที่ด้านหน้าของสล็อต PCI สี่เลนและเสียบการ์ดเครือข่าย จากนั้นปิดแคลมป์แล้วใส่ฝาครอบด้านข้างของแชสซีกลับเข้าที่
เมื่อติดตั้งแล้ว สิ่งสำคัญคือต้องสังเกตว่าพอร์ตอีเทอร์เน็ตใดสำหรับเครือข่ายบริเวณกว้าง (WAN) และพอร์ตใดสำหรับเครือข่ายท้องถิ่น (LAN) WAN คือสิ่งที่หันหน้าเข้าหาอินเทอร์เน็ตสาธารณะแบบเปิดกว้าง และ LAN คือสิ่งที่ต้องเผชิญกับเครือข่ายภายในบ้านของคุณ
เมื่อติดตั้งแล้ว คุณสามารถตั้งค่าคอมพิวเตอร์เดสก์ท็อปของคุณไว้ด้านข้างได้ในตอนนี้ คุณจะต้องใช้คอมพิวเตอร์ที่เชื่อมต่อเครือข่ายของคุณเพื่อดาวน์โหลดและตรวจสอบอิมเมจ pfSense และแฟลชไปยังไดรฟ์ USB
ขั้นตอนที่สอง: วิธีดาวน์โหลดและยืนยันไฟล์รูปภาพ pfSense และแฟลชไปยังไดรฟ์ USB
ขั้นแรก ให้นำทางไปยังสิ่งนี้ หน้าดาวน์โหลด pfSense และเมื่อมี:
- เลือกสถาปัตยกรรม “AMD64”
- จากนั้น "ตัวติดตั้ง USB Memstick"
- แล้วก็คอนโซล "VGA"
- จากนั้นเลือกมิเรอร์ที่ใกล้กับตำแหน่งทางภูมิศาสตร์ของคุณมากที่สุด เช่นที่แสดงในภาพหน้าจอด้านล่าง และคลิกที่ “ดาวน์โหลด”
ถัดไป คุณสามารถคำนวณเช็คซัม SHA-256 บนไฟล์บีบอัดที่คุณดาวน์โหลด และตรวจสอบกับเช็คซัมที่แสดงบนหน้าดาวน์โหลด pfSense
ฉันชอบใช้โปรแกรมแก้ไขฐานสิบหกฟรีแวร์ที่เรียกว่า HxD สำหรับการคำนวณเช็คซัม เพียงเปิดไฟล์ที่คุณสนใจ ไปที่ "เครื่องมือ" จากนั้นเลือก "Checksums" และเลือก "SHA256" จากเมนู หากค่าแฮชไม่ตรงกัน อย่าเรียกใช้ไฟล์เรียกทำงาน
วิธีที่ง่ายที่สุดที่ฉันพบในการแฟลชไฟล์รูปภาพไปยังไดรฟ์ USB คือการใช้โปรแกรมที่ชื่อว่า balenaetcher.
เมื่อติดตั้งแล้ว ให้เปิดแอปพลิเคชัน คลิก "แฟลชจากไฟล์" จากนั้นไปที่โฟลเดอร์ที่คุณมีไฟล์รูปภาพ pfSense ที่บีบอัดไว้
จากนั้นเลือกไดรฟ์ USB เปล่าของคุณแล้วคลิก "Flash" BalenaEtcher จะเริ่มกระบวนการกระพริบและคลายการบีบอัดไฟล์ภาพ pfSense โดยอัตโนมัติ กระบวนการนี้จะใช้เวลาสองสามนาที
หลังจากการกะพริบเสร็จสิ้น คุณควรได้รับเครื่องหมายถูกสีเขียวที่ระบุว่าทุกอย่างเช็คเอาท์ หากคุณได้รับข้อผิดพลาดจาก balenaEtcher คุณอาจต้องลองแฟลชไปยังไดรฟ์ USB อื่น
ตอนนี้คุณสามารถนำไดรฟ์ USB ที่แฟลชออกได้อย่างปลอดภัยจากคอมพิวเตอร์ของคุณ และคุณพร้อมที่จะแฟลชคอมพิวเตอร์เดสก์ท็อปอีกเครื่องแล้ว
ขั้นตอนที่สาม: วิธีแฟลชเดสก์ท็อปและติดตั้ง pfSense
เชื่อมต่อแป้นพิมพ์ จอภาพ สายไฟ และไดรฟ์ USB แบบแฟลชเข้ากับคอมพิวเตอร์เดสก์ท็อปที่คุณติดตั้งการ์ดเครือข่ายไว้ จอภาพจำเป็นต้องเชื่อมต่อผ่านการเชื่อมต่อ VGA — ประสบการณ์ของผมจะใช้การเชื่อมต่อ DisplayPort ไม่ได้ อย่าเพิ่งต่อสายอีเทอร์เน็ต
เมื่อเชื่อมต่อทุกอย่างแล้ว ให้เปิดเครื่องเดสก์ท็อปของคุณ คอมพิวเตอร์บางเครื่องจะตรวจพบโดยอัตโนมัติว่ามีไดรฟ์ USB ที่สามารถบู๊ตได้เสียบอยู่ และจะถามคุณว่าต้องการบูตจากไดรฟ์ใด ในกรณีของฉัน คอมพิวเตอร์เพิ่งเริ่มต้นการบูทจากไดรฟ์ “C:” และเปิดใช้งาน Windows โดยอัตโนมัติ หากเกิดเหตุการณ์นี้กับคุณ ให้ปิดเครื่องคอมพิวเตอร์ จากนั้นกด "F12" บนแป้นพิมพ์ค้างไว้แล้วเปิดใหม่ นี่จะเป็นการเปิด BIOS ซึ่งคุณสามารถบอกคอมพิวเตอร์ว่าต้องการบูตจากไดรฟ์ใด
ตัวอย่างเช่น นี่คือสภาพแวดล้อม BIOS ของฉันที่ฉันสามารถเลือกไดรฟ์ USB ของ SanDisk ที่ฉันแฟลชอิมเมจ pfSense ได้ หลังจากเลือกตัวเลือกนี้ สคริปต์จะทำงานชั่วครู่ จากนั้นโปรแกรมติดตั้ง pfSense จะเปิดขึ้น:
ขั้นแรก ยอมรับข้อกำหนดและเงื่อนไข จากนั้นเลือก “ติดตั้ง pfSense” จากนั้นเลือกคีย์แมปที่เหมาะสมกับคุณ หากคุณพูดภาษาอังกฤษและอาศัยอยู่ในสหรัฐอเมริกา คุณอาจต้องการใช้ค่าเริ่มต้นเท่านั้น
ต่อไป ฉันเพิ่งเลือกตัวเลือก “ระบบไฟล์ ZettaByte อัตโนมัติ” (ZFS) เพราะฉันใช้แพลตฟอร์มฮาร์ดแวร์ที่มีคุณสมบัติเหนือกว่าไฟร์วอลล์ที่บ้าน ตัวเลือก ZFS มีคุณสมบัติมากกว่าและมีความน่าเชื่อถือมากกว่าตัวเลือก Unix File System (UFS) แต่ ZFS อาจมีหน่วยความจำมากกว่า ซึ่งฉันไม่ได้กังวลมากนักเนื่องจากฉันมี RAM ขนาด 16 GB ในเดสก์ท็อปนี้
จากนั้น คุณจะมีตัวเลือกการแบ่งพาร์ติชั่นและความซ้ำซ้อน ซึ่งผมเพิ่งทำให้ง่ายที่สุดเท่าที่จะทำได้ เช่น ไม่มีความซ้ำซ้อน และตัวเลือกการกำหนดค่าเริ่มต้น จากนั้นเลือก "ติดตั้ง"
จากนั้น คุณจะเห็นการยืนยันว่าการติดตั้ง pfSense สำเร็จ ข้อความแจ้งจะถามคุณว่าคุณต้องการทำการแก้ไขขั้นสุดท้ายด้วยตนเองหรือไม่ ซึ่งฉันไม่ได้ทำ จากนั้นระบบจะถามคุณว่าต้องการรีบูตหรือไม่ เลือกใช่ ให้ถอดไดรฟ์ USB ออกทันทีก่อนที่การรีบูตจะเริ่มขึ้นใหม่ เพราะไม่เช่นนั้นระบบจะพาคุณไปที่จุดเริ่มต้นของวิซาร์ดการติดตั้งอีกครั้ง คุณควรปิดท้ายเมนูเทอร์มินัลหลักเมื่อการรีบูตเสร็จสิ้น
ตอนนี้คุณพร้อมที่จะเชื่อมต่อไฟร์วอลล์ใหม่กับเครือข่ายในบ้านของคุณแล้ว
ขั้นตอนที่สี่: วิธีเชื่อมต่อ pfSense ในเครือข่ายภายในบ้าน
ขั้นตอนต่อไปนี้จะเสร็จสมบูรณ์บนแป้นพิมพ์และจอภาพที่เชื่อมต่อกับไฟร์วอลล์ใหม่ของคุณ:
- ขั้นแรก ปิดเราเตอร์ที่ ISP จัดหาให้ ปิดโมเด็ม และถอดสายอีเทอร์เน็ตออกจากโมเด็มและเราเตอร์ของคุณ
- ถัดไป เปิดไฟร์วอลล์ใหม่และปล่อยให้ pfSense โหลด จากนั้นเปิดโมเด็มของคุณและรอให้มันลิงก์กับอินเทอร์เน็ต
- ในเมนู pfSense ให้เลือกตัวเลือกที่หนึ่ง "กำหนดอินเทอร์เฟซ" ระบบจะถามคุณว่าต้องการตั้งค่า VLAN ตอนนี้หรือไม่ ให้ป้อน "n" สำหรับหมายเลข จากนั้นจะขอให้คุณป้อนชื่ออินเทอร์เฟซ WAN ป้อน "a" เพื่อตรวจหาอัตโนมัติ
- เชื่อมต่อสายเคเบิลอีเทอร์เน็ตจากเอาต์พุตของโมเด็มกับอินเทอร์เฟซการ์ดเครือข่ายไฟร์วอลล์ใหม่ โปรดจำไว้ว่า พอร์ตทางด้านขวาสุดหากแท็บรีลีส RJ45 หงายขึ้นคือพอร์ต WAN ของคุณ หรือด้านซ้ายสุดหากแท็บรีลีส RJ45 คว่ำลง
- เมื่อเชื่อมต่อแล้วให้กด "Enter" ควรตรวจพบการเชื่อมโยงบนพอร์ตอินเทอร์เฟซ igb0 หากเป็น igb3 ให้เปลี่ยนสายอีเทอร์เน็ตไปฝั่งตรงข้ามแล้วลองอีกครั้ง
- จากนั้นระบบจะขอให้คุณป้อนชื่ออินเทอร์เฟซ LAN ป้อน "a" เพื่อตรวจหาอัตโนมัติ เชื่อมต่อสายอีเทอร์เน็ตจากพอร์ตถัดไปที่พร้อมใช้งานบนการ์ดเครือข่ายไฟร์วอลล์ใหม่กับสวิตช์อีเทอร์เน็ตหรือจุดเชื่อมต่ออื่นๆ โปรดทราบว่าหากคุณต้องการเรียกใช้ Virtual Local Area Network (VLAN) คุณจะต้องใช้สวิตช์ที่มีการจัดการ
- เมื่อเชื่อมต่อแล้วให้กด Enter ควรตรวจพบการเชื่อมโยงบนพอร์ตอินเทอร์เฟซ igb1
- จากนั้นกด Enter อีกครั้งเพื่อ "ไม่มีอะไร" เนื่องจากไม่มีการกำหนดค่าการเชื่อมต่อเครือข่ายอื่นในขณะนี้
- จากนั้นจะแจ้งให้คุณทราบว่าอินเทอร์เฟซจะถูกกำหนดดังนี้: WAN = igb0 และ LAN = igb1
- ป้อน “y” สำหรับใช่ และ pfSense จะเขียนการกำหนดค่าและนำคุณกลับไปที่เมนูหลักโดยแสดงที่อยู่ WAN IP v4 และ IP v6 ที่ด้านบน
เพียงเพื่อแสดงตัวอย่างการกำหนดค่าเส้นทางสัญญาณ คุณสามารถตั้งค่าดังนี้:
ณ จุดนี้ คุณควรจะสามารถป้อน “192.168.1.1” ลงในเว็บเบราว์เซอร์บนเดสก์ท็อปปกติของคุณ และเปิดเว็บอินเทอร์เฟซ pfSense เป็นใบรับรองที่ลงนามเอง ดังนั้นยอมรับความเสี่ยงเมื่อได้รับแจ้งและดำเนินการต่อ ข้อมูลรับรองการเข้าสู่ระบบคือ admin/pfsense
ตอนนี้คุณสามารถยกเลิกการเชื่อมต่อแป้นพิมพ์และจอภาพจากไฟร์วอลล์ใหม่ของคุณ ขั้นตอนที่เหลือจะเสร็จสมบูรณ์ผ่านอินเทอร์เฟซเว็บบนเดสก์ท็อปปกติของคุณ
ขั้นตอนที่ห้า: วิธีกำหนดค่าการตั้งค่าพื้นฐาน pfSense
ในขั้นตอนนี้ คุณจะเห็นวิธีกำหนดการตั้งค่าพื้นฐาน เช่น วิซาร์ดการตั้งค่า เปลี่ยนพอร์ต TCP เปิดใช้งาน Secure Shell SSH และตั้งค่ากิ๊บติดผมตามค่าเริ่มต้น ข้อมูลส่วนใหญ่ที่นำเสนอที่นี่และในขั้นตอนที่หกด้านล่างมาจากการดูสิ่งนี้ วิดีโอของ Tom Lawrence บน pfSense — ฉันขอแนะนำให้ดูวิดีโอนี้มาก มันยาวแต่เต็มไปด้วยข้อมูลที่มีค่าและมีรายละเอียดมากกว่าที่ฉันนำเสนอในคู่มือนี้
ขั้นแรก ให้คลิกที่กล่องโต้ตอบคำเตือนสีแดงที่ด้านบนของหน้าเพื่อเปลี่ยนรหัสผ่านที่ใช้เข้าสู่ระบบไฟร์วอลล์ใหม่ของคุณ โดยส่วนตัวแล้ว ฉันแนะนำรหัสผ่านแบบใช้ครั้งเดียวที่มีเอนโทรปีสูงพร้อมตัวจัดการรหัสผ่านที่มาพร้อม จากนั้นออกจากระบบและกลับเข้าสู่ระบบอีกครั้งเพื่อทดสอบการเปลี่ยนแปลงของคุณ
เมื่อกลับเข้าสู่ระบบแล้ว ให้เปิด "ตัวช่วยสร้างการตั้งค่า" จากแท็บ "ระบบ":
จากนั้น วิซาร์ดจะแนะนำคุณตลอดเก้าขั้นตอนพื้นฐานเพื่อกำหนดค่าไฟร์วอลล์ pfSense ใหม่ของคุณ
คลิก "ถัดไป" ในขั้นตอนแรก
จากนั้น ในขั้นตอนที่ 100.64.0.3 คุณจะกำหนดค่าชื่อโฮสต์ โดเมน และเซิร์ฟเวอร์ DNS หลัก/รองได้ คุณสามารถปล่อยให้ "ชื่อโฮสต์" และ "โดเมน" เป็นค่าเริ่มต้นหรือตั้งค่าให้เป็นอะไรก็ได้ที่คุณต้องการ ฉันเลือก "100.64.0.3" สำหรับเซิร์ฟเวอร์ DNS หลักเพื่อออกสู่อินเทอร์เน็ต และยกเลิกการเลือกช่อง "แทนที่ DNS" เพื่อหลีกเลี่ยงไม่ให้ DHCP แทนที่เซิร์ฟเวอร์ DNS ฉันจะอธิบายว่าทำไมฉันจึงใช้ “10” ในขั้นตอนที่ XNUMX ของคู่มือนี้
จากนั้น คุณสามารถตั้งค่าเขตเวลาของคุณในขั้นตอนที่สาม:
ในขั้นตอนที่สี่ คุณสามารถเลือก “DHCP” สำหรับอินเทอร์เฟซ WAN และปล่อยให้ฟิลด์อื่นๆ ทั้งหมดเป็นค่าเริ่มต้น หากคุณต้องการปลอมแปลงที่อยู่ MAC ของคุณ คุณสามารถทำได้ในขั้นตอนนี้ สำหรับสองฟิลด์สุดท้าย ตรวจสอบให้แน่ใจว่าได้เลือกช่อง "บล็อกเครือข่ายส่วนตัว RFC1918" และช่อง "บล็อกเครือข่ายโบกอน" ซึ่งจะเป็นการเพิ่มกฎที่เหมาะสมให้กับไฟร์วอลล์ของคุณโดยอัตโนมัติ
ในขั้นตอนที่ห้า คุณสามารถเปลี่ยนที่อยู่ IP ของไฟร์วอลล์ได้ เครือข่ายท้องถิ่นส่วนใหญ่จะใช้ 192.168.0.1 หรือ 192.168.1.1 เพื่อเข้าถึงเราเตอร์หรือไฟร์วอลล์ เหตุผลที่คุณอาจต้องการเปลี่ยนการตั้งค่านี้เป็นที่อยู่ IP ในเครื่องที่ไม่ใช่ค่าเริ่มต้น เนื่องจากหากคุณอยู่ในเครือข่ายของผู้อื่นและพยายาม VPN กลับเข้าสู่เครือข่ายในบ้าน คุณอาจประสบปัญหาในที่อยู่เดียวกัน ที่ปลายทั้งสองข้าง และระบบจะไม่ทราบว่าคุณกำลังพยายามเชื่อมต่อกับที่อยู่ในเครื่องหรือที่อยู่ระยะไกล ตัวอย่างเช่น ฉันเปลี่ยนที่อยู่ IP ในเครื่องเป็น “192.168.69.1”
ในขั้นตอนที่หก คุณสามารถตั้งรหัสผ่านผู้ดูแลระบบของคุณ ฉันสับสนเล็กน้อยที่เห็นขั้นตอนนี้แทรกไว้ที่นี่ เนื่องจากฉันเปลี่ยนรหัสผ่านของผู้ดูแลระบบในตอนเริ่มต้น ดังนั้นฉันจึงใช้รหัสผ่านที่มีเอนโทรปีสูงแบบเดิมเมื่อก่อน สมมติว่ามันขอรหัสผ่านเดียวกันกับที่จะใช้ในการเข้าสู่ระบบ เราเตอร์
จากนั้น ในขั้นตอนที่เจ็ด คุณสามารถคลิกปุ่ม "โหลดซ้ำ" ขณะที่กำลังโหลดซ้ำ ให้ถอดปลั๊กสายไฟออกจากสวิตช์ของคุณ เนื่องจากที่อยู่ IP ในเครื่องของเราเตอร์ถูกเปลี่ยนเป็น “192.168.69.1” (หรืออะไรก็ตามที่คุณเลือก) ตอนนี้อุปกรณ์ทั้งหมดในเครือข่ายจะมีที่อยู่ IP ที่อัปเดตเป็นช่วง IP นั้น
ตัวอย่างเช่น หากคุณมี PuTTY หรือเซสชัน SSH อื่นๆ ที่กำหนดค่าให้กับโหนด Raspberry Pi คุณจะต้องอัปเดตการกำหนดค่าการเชื่อมต่อเหล่านั้น การถอดปลั๊กไฟจากสวิตช์และเสียบกลับเข้าไปใหม่หลังจากรีบูตเราเตอร์แล้ว จะช่วยกำหนดอุปกรณ์ทั้งหมดของคุณใหม่
หากต้องการทราบที่อยู่ IP ของอุปกรณ์ในเครือข่ายท้องถิ่นของคุณ คุณสามารถไปที่แท็บ "สถานะ" และเลือก "DHCP Leases" เพื่อดูรายการทั้งหมด:
หลังจากโหลดซ้ำในขั้นตอนที่เจ็ด วิซาร์ดเพิ่งข้ามขั้นตอนที่แปดและเก้า ดังนั้นฉันไม่แน่ใจว่าจะเกิดอะไรขึ้นในขั้นตอนเหล่านั้น แต่เราจะดำเนินการต่อและจัดการกับสิ่งต่างๆ ตามความจำเป็น
การตั้งค่าพื้นฐานอื่น ๆ ที่ควรค่าแก่การสังเกตมีอยู่สองสามรายการภายใต้ "ระบบ> ขั้นสูง> การเข้าถึงของผู้ดูแลระบบ" ที่นี่ ฉันอัปเดตพอร์ต TCP เป็น "10443" เพราะฉันเรียกใช้บริการบางอย่างที่จะเข้าถึงพอร์ตเริ่มต้นเดียวกัน เช่น 80 หรือ 443 และฉันต้องการลดความแออัด
ฉันยังเปิดใช้งาน SSH จากนั้น คุณสามารถเลือกวิธีการรักษาความปลอดภัย SSH โดยใช้รหัสผ่านหรือคีย์ หรือทั้งสองอย่างหรือคีย์เท่านั้น เมื่อบันทึกแล้ว ให้เวลาอินเทอร์เฟซหนึ่งนาทีเพื่ออัปเดตพอร์ตใหม่ คุณอาจต้องโหลดหน้าซ้ำโดยใช้ที่อยู่ IP ในเครื่องและพอร์ตใหม่ เช่น “192.168.69.1:10443” อย่าลืมบันทึกการเปลี่ยนแปลงของคุณที่ด้านล่างของหน้า
การตั้งค่าพื้นฐานสุดท้ายที่ฉันจะกล่าวถึงในที่นี้คือ กิ๊บติดผม ซึ่งหมายความว่า ตัวอย่างเช่น คุณสามารถตั้งค่าเครือข่ายเพื่อให้คุณสามารถเปิดพอร์ตไปยังระบบกล้องรักษาความปลอดภัยที่มีที่อยู่ IP สาธารณะได้ ที่อยู่ IP สาธารณะนี้ยังสามารถใช้ภายในเครือข่ายของคุณได้ ซึ่งจะสะดวกหากคุณอยู่ที่บ้านเพื่อเข้าถึงระบบกล้องจากโทรศัพท์มือถือบน LAN คุณไม่จำเป็นต้องเปลี่ยนตำแหน่งที่จะเชื่อมต่อด้วยตนเอง เพราะการปักหมุดจะเห็น ว่าคุณกำลังพยายามเข้าถึง IP ในพื้นที่และจะวนกลับมาตามค่าเริ่มต้นโดยเปิดใช้งานการตั้งค่านี้
- ภายใต้แท็บ "ระบบ" ให้ไปที่ "ขั้นสูง>ไฟร์วอลล์ & NAT"
- เลื่อนลงไปที่ส่วน "เครื่องมือแปลที่อยู่เครือข่าย"
- จากเมนูแบบเลื่อนลง "โหมดสะท้อน NAT" ให้เลือก "NAT บริสุทธิ์"
- คลิก "บันทึก" ที่ด้านล่างของหน้าและ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
นั่นคือสำหรับการตั้งค่าพื้นฐาน ข่าวดีก็คือว่า pfSense ค่อนข้างปลอดภัยในการติดตั้งเริ่มต้น ดังนั้นคุณไม่จำเป็นต้องเปลี่ยนอะไรมากมายเพื่อให้มีพื้นฐานที่ดี โดยทั่วไป จุดยืนของนักพัฒนา pfSense ก็คือ หากมีวิธีที่ปลอดภัยกว่าในการเปิดตัว pfSense พวกเขาก็จะทำให้การตั้งค่าเริ่มต้นนั้นเป็นค่าเริ่มต้น
อีกสิ่งหนึ่งที่ควรทราบคือโดยค่าเริ่มต้น pfSense จะเปิดใช้งานการแมปการแปลที่อยู่เครือข่าย WAN IPv6 (NAT) ฉันเลือกที่จะปิดใช้งานสิ่งนี้ ดังนั้นฉันจึงไม่ได้เปิดเกตเวย์ IPv6 สู่อินเทอร์เน็ตแบบเปิดกว้าง
คุณสามารถทำได้โดยไปที่ "อินเทอร์เฟซ>การมอบหมาย" จากนั้นคลิกที่ไฮเปอร์ลิงก์ "WAN" ในงานแรก ซึ่งจะเปิดหน้าการกำหนดค่า จากนั้นตรวจสอบให้แน่ใจว่า "ประเภทการกำหนดค่า IPv6" ถูกตั้งค่าเป็น "ไม่มี" จากนั้นบันทึกและใช้การเปลี่ยนแปลงเหล่านั้น
จากนั้นคุณสามารถไปที่ "ไฟร์วอลล์> NAT" และเลื่อนลงไปที่อินเทอร์เฟซ "WAN" ที่มีแหล่งที่มาของ IPv6 แล้วลบออก
ขั้นตอนที่หก: วิธีกำหนดค่าการตั้งค่าขั้นสูง pfSense
ในส่วนนี้ ฉันจะพูดถึงคุณสมบัติขั้นสูงบางอย่างที่คุณอาจสนใจสำหรับเครือข่ายในบ้านของคุณ ที่นี่ คุณจะเห็นวิธีตั้งค่าเครือข่ายแยกจากเราเตอร์ pfSense ของคุณ ตัวอย่างเช่น แขกสามารถเข้าถึงอินเทอร์เน็ตแบบเปิดกว้างจากจุดเชื่อมต่อ WiFi ในบ้านของคุณ แต่ไม่สามารถเข้าถึง ASIC ของคุณจากเครือข่ายนั้นได้
หากคุณใช้การ์ดเครือข่าย i350 เหมือนที่ฉันทำ แสดงว่าคุณมีพอร์ตอีเทอร์เน็ตสี่พอร์ต และหากคุณใช้ Dell Optiplex เช่นเดียวกับฉัน คุณก็มีพอร์ตอีเทอร์เน็ตที่ห้าบนเมนบอร์ดด้วย ซึ่งหมายความว่าฉันมีอินเทอร์เฟซห้าแบบที่ฉันสามารถกำหนดค่าได้ โดยสี่อินเทอร์เฟซสามารถเป็นเครือข่ายท้องถิ่นสำรองได้
สิ่งที่ฉันจะทำคือเก็บเดสก์ท็อปที่ทำงานและเดสก์ท็อป Bitcoin เฉพาะของฉันไว้ในเครือข่ายเดียว (LANwork) จากนั้น ฉันจะกำหนดค่า LAN สำรองที่จุดเชื่อมต่อ WiFi ที่บ้านของฉันจะเปิดอยู่ (LANhome) ด้วยวิธีนี้ ฉันสามารถแยกการเข้าชมจากการท่องเว็บของครอบครัวออกจากงานและกิจกรรมที่เกี่ยวข้องกับ Bitcoin โดยสิ้นเชิง
จากนั้น ฉันจะตั้งค่า LAN อื่นซึ่งจะใช้สำหรับ ASICs (LANminers) ของฉันโดยเฉพาะ แยกจากอีกสองเครือข่าย สุดท้าย ฉันจะสร้างเครือข่ายทดสอบ (LANtest) ซึ่งฉันจะใช้เพื่อรวม ASIC ใหม่ และตรวจสอบให้แน่ใจว่าไม่มีเฟิร์มแวร์ที่เป็นอันตรายก่อนที่จะเปิดเผย ASIC อื่นๆ ของฉันแก่พวกเขา คุณยังสามารถเพิ่มเครือข่ายกล้องรักษาความปลอดภัยบนอินเทอร์เฟซได้ ความเป็นไปได้ไม่มีที่สิ้นสุด
หากคุณไปที่แท็บ "อินเทอร์เฟซ" จากนั้น "การกำหนดอินเทอร์เฟซ" คุณจะเห็นพอร์ต RJ45 ของการ์ดเครือข่ายที่มีอยู่ทั้งหมด ควรมีป้ายกำกับว่า "igb0," "igb1" "igb2" เป็นต้น ตอนนี้ เพียงเพิ่มรายการที่คุณสนใจโดยเลือกจากเมนูแบบเลื่อนลงและคลิกที่กล่อง "เพิ่ม" สีเขียว
จากนั้นคลิกที่ไฮเปอร์ลิงก์ทางด้านซ้ายของอินเทอร์เฟซที่คุณเพิ่งเพิ่มเพื่อเปิดหน้า "การกำหนดค่าทั่วไป" สำหรับอินเทอร์เฟซนั้น
- คลิกกล่อง “เปิดใช้งานอินเทอร์เฟซ”
- จากนั้นเปลี่ยน “คำอธิบาย” เป็นสิ่งที่ช่วยระบุหน้าที่ของมัน เช่น “LANhome” เป็นต้น
- จากนั้นตั้งค่าประเภท "IPv4 Configuration" เป็น "Static IPv4" และกำหนดช่วง IP ใหม่ ฉันใช้ "192.168.69.1/24" สำหรับ LAN แรกของฉัน ดังนั้นสำหรับ LAN นี้ ฉันจะใช้ช่วง IP ตามลำดับถัดไป "192.168.70.1/24"
คุณสามารถปล่อยให้การตั้งค่าอื่นๆ ทั้งหมดเป็นค่าเริ่มต้น คลิก "บันทึก" ที่ด้านล่างของหน้า แล้วคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ตอนนี้ คุณต้องตั้งค่ากฎไฟร์วอลล์สำหรับ LAN ใหม่นี้ ไปที่แท็บ "ไฟร์วอลล์" จากนั้น "กฎ" คลิกที่เครือข่ายที่เพิ่มใหม่ของคุณ เช่น “LANhome” จากนั้นคลิกที่กล่องสีเขียวที่มีลูกศรขึ้นและคำว่า "เพิ่ม"
ในหน้าถัดไป:
- ตรวจสอบให้แน่ใจว่าได้ตั้งค่า "การดำเนินการ" เป็น "ผ่าน"
- “อินเทอร์เฟซ” ถูกตั้งค่าเป็น “LANhome” (หรืออะไรก็ตามที่เรียกว่า LAN รองของคุณ)
- อย่าลืมตั้งค่า "โปรโตคอล" เป็น "ใดๆ" มิฉะนั้นเครือข่ายนี้จะจำกัดประเภทของการรับส่งข้อมูลที่สามารถส่งผ่านได้
- ถัดไป คุณสามารถเพิ่มข้อความสั้นๆ เพื่อช่วยระบุว่ากฎนี้มีไว้เพื่ออะไร เช่น "อนุญาตการรับส่งข้อมูลทั้งหมด"
- จากนั้นการตั้งค่าอื่น ๆ ทั้งหมดจะยังคงเป็นค่าเริ่มต้นและคลิก "บันทึก" ที่ด้านล่างของหน้าและ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ก่อนที่คุณจะสามารถทดสอบเครือข่ายใหม่ของคุณ คุณต้องตั้งค่าที่อยู่ IP ก่อน:
- ไปที่ "บริการ" จากนั้น "เซิร์ฟเวอร์ DHCP"
- จากนั้นคลิกที่แท็บสำหรับ LAN ใหม่ของคุณ
- คลิกที่ช่อง "เปิดใช้งาน" จากนั้นเพิ่มช่วงที่อยู่ IP ของคุณในกล่อง "ช่วง" สองช่อง ตัวอย่างเช่น ฉันใช้ช่วงตั้งแต่ “192.168.70.1 ถึง 192.168.70.254” จากนั้นคลิก "บันทึก" ที่ด้านล่างของหน้าและ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ตอนนี้คุณสามารถทดสอบเครือข่ายใหม่ของคุณโดยเชื่อมต่อคอมพิวเตอร์กับพอร์ต RJ45 ที่สอดคล้องกันบนการ์ดเครือข่าย จากนั้นลองเข้าถึงอินเทอร์เน็ต หากทุกอย่างทำงาน คุณควรจะสามารถเรียกดูเว็บที่เปิดกว้างได้
อย่างไรก็ตาม คุณอาจสังเกตเห็นว่าหากคุณใช้ LAN สำรองและพยายามเข้าสู่ระบบไฟร์วอลล์ คุณจะสามารถทำได้โดยใช้ที่อยู่ IP “192.168.70.1” โดยส่วนตัวแล้ว ฉันต้องการให้ไฟร์วอลล์ของฉันสามารถเข้าถึงได้จากเครือข่าย “LANwork” เท่านั้น ฉันไม่ต้องการให้ภรรยาและลูกๆ หรือแขกของฉันสามารถเข้าสู่ระบบไฟร์วอลล์จากเครือข่าย "LANhome" ที่กำหนดไว้ได้ แม้ว่าฉันจะมีรหัสผ่านที่มีเอนโทรปีสูงเพื่อเข้าสู่ไฟร์วอลล์ แต่ฉันยังคงกำหนดค่า LAN อื่น ๆ เพื่อให้พวกเขาไม่สามารถพูดคุยกับเราเตอร์ได้
ประเด็นหนึ่งที่ฉันมีความกังวลว่าการกำหนดค่าประเภทนี้จะช่วยบรรเทาได้ คือถ้าฉันเสียบ ASIC เข้ากับเครือข่ายของฉันโดยติดตั้งเฟิร์มแวร์ที่เป็นอันตรายบางตัว ฉันสามารถแยกอุปกรณ์นั้นออกจากกันและป้องกันไม่ให้ปัญหาด้านความปลอดภัยส่งผลกระทบกับอุปกรณ์และข้อมูลอื่น ๆ ที่ฉันมี ซึ่งเป็นสาเหตุที่ LAN ที่ฉันตั้งค่าตัวใดตัวหนึ่งเรียกว่า "LANtest" ซึ่งจะทุ่มเทเพื่อให้ ASIC ใหม่แยกจากกันโดยสิ้นเชิง เพื่อให้ฉันสามารถทดสอบได้อย่างปลอดภัยโดยไม่อนุญาตให้มีการโจมตีที่อาจเกิดขึ้นกับ ASIC อื่นของฉันหรือ อุปกรณ์อื่นๆ บนเครือข่ายที่บ้านของฉัน
ในการตั้งค่ากฎเพื่อไม่ให้พอร์ต 10443 ไม่สามารถเข้าถึงได้จากเครือข่าย LAN อื่นของคุณ ให้ไปที่ "ไฟร์วอลล์>กฎ" จากนั้นเลือกแท็บสำหรับเครือข่ายที่คุณสนใจ คลิกที่กล่องสีเขียวที่มีลูกศรขึ้นและคำว่า "เพิ่ม" อยู่ในนั้น
- ตรวจสอบให้แน่ใจว่าตั้งค่า "Action" เป็น "Block"
- จากนั้น ในส่วน "ปลายทาง" ให้ตั้งค่า "ปลายทาง" เป็น "ไฟร์วอลล์นี้ (ตัวเอง)" จากนั้น "ช่วงพอร์ตปลายทาง" เป็น "10443" โดยใช้ช่อง "กำหนดเอง" สำหรับฟิลด์ "จาก" และ "ถึง"
- คุณสามารถเพิ่มคำอธิบายเพื่อช่วยให้คุณจำได้ว่ากฎนี้มีไว้เพื่ออะไร จากนั้นคลิก "บันทึก" ที่ด้านล่างของหน้า จากนั้นคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
การมีรหัสผ่านเอนโทรปีสูงเพื่อล็อกอินเข้าสู่เราเตอร์และล็อคพอร์ตเป็นจุดเริ่มต้นที่ดี แต่คุณสามารถแยกเครือข่าย LAN ของคุณออกไปได้อีก และทำให้แน่ใจว่าอุปกรณ์บนเครือข่ายหนึ่งไม่สามารถเข้าสู่เครือข่ายอื่นได้เลยโดยการตั้งค่า นามแฝงสำหรับ LAN หลักของคุณ
ไปที่ "ไฟร์วอลล์>นามแฝง" จากนั้นภายใต้แท็บ "IP" คลิกที่ปุ่ม "เพิ่ม"
- จากนั้น ฉันตั้งชื่อนามแฝงนี้ว่า “SequesteredNetworks0”
- ฉันป้อนคำอธิบายเพื่อเตือนฉันถึงหน้าที่ของมันคือ
- เนื่องจากฉันจะเพิ่มกฎไฟร์วอลล์ลงในเครือข่าย "LANhome" ที่อ้างอิงนามแฝงนี้ ฉันจึงเพิ่ม LAN อื่นๆ ลงในรายการ "เครือข่าย" วิธีนี้จะทำให้ “LANhome” คุยกับ “LANwork”, “LANminers” หรือ “LANtest” ไม่ได้
- คลิก "บันทึก" ที่ด้านล่างของหน้า จากนั้นคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ตอนนี้ฉันสามารถเพิ่มนามแฝงเพิ่มเติมที่จะอ้างอิงในกฎไฟร์วอลล์บน LAN อื่น ๆ เพื่อป้องกันไม่ให้ "LANminers" พูดคุยกับ "LANwork", "LANhome" และ "LANtest" - ไปเรื่อย ๆ จนกว่าเครือข่ายทั้งหมดของฉันจะถูกแยกออก วิธีที่ไฟร์วอลล์ของฉันเท่านั้นที่สามารถเห็นสิ่งที่เชื่อมต่อกับเครือข่ายอื่น
เมื่อสร้างนามแฝงแล้ว สามารถใช้กฎไฟร์วอลล์ใหม่เพื่ออ้างอิงนามแฝงนี้บน LAN สำรองได้
- ไปที่ "ไฟร์วอลล์>กฎ" เลือก LAN ที่คุณต้องการใช้กฎ เช่น "LANhome"
- จากนั้นสำหรับ "การกระทำ" ให้ตั้งค่าเป็น "บล็อก สำหรับ "โปรโตคอล" ให้ตั้งค่าเป็น "ใดๆ"
- สำหรับ "ปลายทาง" ให้ตั้งค่าเป็น "โฮสต์เดียวหรือนามแฝง"
- จากนั้นป้อนชื่อแทนของคุณ
- คลิก "บันทึก" ที่ด้านล่างของหน้า จากนั้นคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
เมื่อฉันสร้างนามแฝงและตั้งกฎไฟร์วอลล์แล้ว ฉันก็สามารถเชื่อมต่อแล็ปท็อปของฉันกับพอร์ตอินเทอร์เฟซ RJ45 ของการ์ดเครือข่ายแต่ละพอร์ต และพยายาม ping แต่ละเครือข่ายอื่นๆ ฉันสามารถออกอินเทอร์เน็ตแบบเปิดกว้างจากแต่ละ LAN ได้ แต่ฉันไม่สามารถสื่อสารกับ LAN อื่นหรือไฟร์วอลล์ได้ ตอนนี้ฉันรู้แล้วว่าอุปกรณ์ใดๆ บน LAN ของฉันจะไม่สามารถเข้าถึงอุปกรณ์บน LAN อื่นของฉันได้ จากเครือข่าย "LANwork" หลักของฉันเท่านั้น ฉันสามารถดูสิ่งที่เชื่อมต่อกับ LAN อื่นๆ ทั้งหมดได้
ที่ดูแลคุณสมบัติขั้นสูงที่ฉันต้องการแบ่งปันกับคุณ ตอนนี้คุณควรมีกฎไฟร์วอลล์บางข้อที่ตั้งค่าและแยกเครือข่ายหลายเครือข่าย ต่อไป เราจะมาตั้งค่าจุดเชื่อมต่อ WiFi บน LAN สำรองตัวใดตัวหนึ่ง
ขั้นตอนที่เจ็ด: วิธีการตั้งค่าและกำหนดค่าจุดเชื่อมต่อ WiFi
ในส่วนนี้ ฉันจะแสดงให้คุณเห็นว่าฉันกำหนดค่า mesh WiFi ในบ้านโดยใช้เครือข่าย “LANhome” สำรองอย่างไร ประเด็นสำคัญที่ต้องจำไว้ในที่นี้คือ ฉันสร้าง LAN นี้เป็น LAN เฉพาะสำหรับจุดเชื่อมต่อ WiFi สำหรับครอบครัวและแขกของฉันเพื่อลิงก์ไปโดยไม่ให้พวกเขาเข้าถึงไฟร์วอลล์ pfSense ของฉันหรือ LAN อื่นๆ แต่พวกเขายังสามารถเข้าถึงเว็บที่เปิดกว้างได้ไม่จำกัด ฉันจะเพิ่มอุโมงค์ข้อมูล VPN สำหรับ LAN นี้ในภายหลังในคู่มือนี้
เพื่อให้แน่ใจว่าฉันได้ให้สัญญาณ WiFi ที่เพียงพอกับทั้งบ้าน ฉันตัดสินใจไปกับ a เน็ตเกียร์ ไนท์ฮอว์ก AX1800 ชุด.
ภายในชุดนี้มีเราเตอร์ WiFi และดาวเทียมทวนสัญญาณ แนวคิดพื้นฐานคือเราเตอร์ WiFi เชื่อมต่อกับไฟร์วอลล์ pfSense โดยตรงด้วยสายอีเทอร์เน็ตบนพอร์ต "LANhome" ของ igb2 จากนั้นเราเตอร์ WiFi จะส่งสัญญาณไปยังดาวเทียมทวนสัญญาณในพื้นที่อื่นของบ้าน แบบนี้ฉันสามารถเพิ่มความครอบคลุมของสัญญาณ WiFi ให้กว้างขึ้นได้
เพื่อให้บรรลุสิ่งนี้ ฉันเพียงทำตามขั้นตอนเหล่านี้:
- 1. เสียบเราเตอร์ WiFi ในไฟร์วอลล์ pfSense บนพอร์ต igb2 “LANhome” โดยใช้สายอีเทอร์เน็ตกับพอร์ตที่ระบุว่า “อินเทอร์เน็ต” ที่ด้านหลังของเราเตอร์ WiFi
- 2. เสียบแล็ปท็อปเข้ากับพอร์ต "Ethernet" ที่ด้านหลังของเราเตอร์ WiFi ด้วยสาย Ethernet
- 3. เสียบปลั๊กเราเตอร์ WiFi เข้ากับแหล่งจ่ายไฟโดยใช้อะแดปเตอร์จ่ายไฟที่ให้มา
- 4. รอให้ไฟเปลี่ยนเป็นสีน้ำเงินค้างที่ด้านหน้าเราเตอร์ WiFi
- 5. เปิดเว็บเบราว์เซอร์บนแล็ปท็อปและพิมพ์ที่อยู่ IP สำหรับเราเตอร์ WiFi ฉันพบที่อยู่ IP ถัดจากอุปกรณ์ “MR60” ในแดชบอร์ด pfSense ของฉันภายใต้ “สถานะ>DHCP Leases”
- 6. ทันทีที่ฉันได้รับแจ้งให้เปลี่ยนรหัสผ่าน อีกครั้ง ฉันใช้รหัสผ่านแบบสุ่มที่มีเอนโทรปีสูงพร้อมกับตัวจัดการรหัสผ่านที่มาพร้อมกัน ฉันไม่ต้องการให้ครอบครัวหรือแขกของฉันสามารถเข้าถึงการตั้งค่าการดูแลระบบจุดเชื่อมต่อ WiFi นี้ได้ ดังนั้นจึงแนะนำให้วางรหัสผ่านที่คาดเดายากไว้ที่นี่ คุณอาจได้รับแจ้งให้อัปเดตเฟิร์มแวร์ด้วย ซึ่งจะส่งผลให้มีการรีบูต
- 7. จากนั้น คุณสามารถกลับเข้าสู่ระบบใหม่ด้วยรหัสผ่านผู้ดูแลระบบใหม่และเปลี่ยนชื่อเครือข่ายเริ่มต้นเป็นสิ่งที่คุณต้องการ และเพิ่มรหัสผ่าน WiFi เพื่อเข้าถึงเครือข่าย WiFi นี่คือรหัสผ่านที่แชร์กับครอบครัวและแขก ดังนั้นรหัสผ่านนี้จึงทำให้ง่ายต่อการจดจำและแชร์ แม้ว่าตัวร้ายที่ร้ายกาจจะถอดรหัสรหัสผ่านและเข้าถึงเครือข่าย WiFi ได้ แต่ก็ถูกแยกออกจากสิ่งอื่นโดยสิ้นเชิง และเราเตอร์ WiFi เองก็มีรหัสผ่านเอนโทรปีสูง
- 8. จากนั้นไปที่ "Advanced>Wireless AP" และเปิดใช้งาน "AP Mode" “AP” ย่อมาจาก access point จากนั้นใช้การเปลี่ยนแปลง
- 9. เราเตอร์จะรีบูตอีกครั้ง ณ จุดนี้ ที่อยู่ IP ในพื้นที่จะได้รับการอัปเดต การเปลี่ยนแปลงนี้สามารถตรวจสอบได้ในหน้าสถานะ "DHCP Leases" ตอนนี้ แล็ปท็อปสามารถถอดปลั๊กออกจากเราเตอร์ WiFi และเราเตอร์ WiFi สามารถเข้าสู่ระบบจากเครื่องเดียวกันขณะที่อินเทอร์เฟซ pfSense ทำงานอยู่
- 10. เมื่อเข้าสู่ระบบอีกครั้ง ให้คลิกที่ "เพิ่มอุปกรณ์" และคุณจะได้รับแจ้งให้ตั้งค่าตัวรับสัญญาณดาวเทียมเข้าที่และเชื่อมต่อกับแหล่งจ่ายไฟ จากนั้นทำตามคำแนะนำบนอินเทอร์เฟซเพื่อซิงค์ดาวเทียม
ตอนนี้ครอบครัวของฉัน แขกและฉันสามารถท่องเว็บแบบเปิดกว้างจากอุปกรณ์ของเราผ่าน WiFi โดยไม่ต้องหยุดทั้งบ้าน และฉันไม่จำเป็นต้องกังวลเกี่ยวกับใครก็ตามที่เข้าถึงเครือข่ายงานที่ละเอียดอ่อนของฉัน หรือเครือข่าย ASIC หรือการทดสอบของฉัน เครือข่าย
ต่อไป เราจะเข้าสู่การเพิ่มอุโมงค์ข้อมูล VPN ไปยังเครือข่ายที่เราได้สร้างขึ้น
ขั้นตอนที่แปด: วิธีการติดตั้งและกำหนดค่าแพ็คเกจ WireGuard ด้วย Mullvad
WireGuard เป็นโปรโตคอลซอฟต์แวร์ VPN ที่สามารถติดตั้งบนไฟร์วอลล์ pfSense ของคุณได้ จากนั้นคุณสามารถใช้โปรโตคอลนั้นเพื่อกำหนดวิธีสร้างอุโมงค์ข้อมูลของคุณกับผู้ให้บริการ VPN ได้
VPNs สร้างช่องสัญญาณที่ปลอดภัยและเข้ารหัสจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์ของผู้ให้บริการ VPN ของคุณ สิ่งนี้จะป้องกันไม่ให้ ISP ของคุณเห็นข้อมูลของคุณหรือว่าปลายทางอยู่ที่ไหน โปรโตคอล VPN มีหลายประเภท เช่น OpenVPN, IKEv2 / IPSec, L2TP / IPSec และ WireGuardแต่โดยพื้นฐานแล้วทั้งหมดมีเป้าหมายเดียวกันในการสรุปคำแนะนำสำหรับการสร้างช่องสัญญาณที่ปลอดภัยสำหรับการเข้ารหัสข้อมูลของคุณเพื่อส่งผ่านเครือข่ายสาธารณะ
WireGuard เป็นส่วนเสริมล่าสุดของโปรโตคอล VPN ซึ่งเป็นโอเพ่นซอร์สและค่อนข้าง "เบา" โดยมีโค้ดน้อยกว่าและความเร็วที่เร็วกว่าบางตัว ส่วนความเร็วเป็นกุญแจสำคัญสำหรับฉันเมื่อพิจารณาว่าเวลาแฝงที่เพิ่มขึ้นสามารถลดประสิทธิภาพของ ASIC ได้
ข้อดีอีกประการของ VPN ก็คือตำแหน่งทางภูมิศาสตร์ของคุณสามารถปลอมแปลงได้ ซึ่งหมายความว่าหากคุณอยู่ในส่วนหนึ่งของโลก คุณสามารถใช้อุโมงค์ VPN ไปยังเซิร์ฟเวอร์ของผู้ให้บริการ VPN ในส่วนอื่นของโลกได้ และจะปรากฏราวกับว่าอินเทอร์เน็ตของคุณ การรับส่งข้อมูลมาจากเซิร์ฟเวอร์นั้น สิ่งนี้มีประโยชน์สำหรับผู้ที่อาศัยอยู่ในประเทศที่เชื่อถือได้ซึ่งการเข้าถึงเว็บไซต์และบริการบางอย่างถูกจำกัด
พึงระลึกไว้เสมอว่าคุณต้องเชื่อมั่นว่าผู้ให้บริการ VPN ของคุณไม่ได้บันทึกที่อยู่ IP ของคุณ หรือว่าสามารถทำได้หรือส่งข้อมูลนี้ไปยังหน่วยงานที่มีอำนาจหากกด Mullvad ไม่ได้รวบรวมข้อมูลส่วนบุคคลเกี่ยวกับคุณ แม้แต่ที่อยู่อีเมล นอกจากนี้ยังรับ bitcoin หรือเงินสด เพื่อให้คุณสามารถชำระค่าบริการโดยไม่ต้องเสี่ยงในการเชื่อมโยงรายละเอียดธนาคารของคุณ Mullvad ยังมีนโยบาย "ไม่บันทึก" ซึ่งคุณสามารถอ่านได้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
สำหรับกรณีการใช้งานเฉพาะของฉันที่นี่ ฉันจะใช้ VPN เพื่อให้แน่ใจว่า ISP ของฉันจะไม่เห็นว่าฉันกำลังขุด Bitcoin และเพื่อป้องกันไม่ให้กลุ่มการขุดของฉัน Slush Poolจากการเห็นที่อยู่ IP จริงของฉัน ไม่ใช่เพราะฉันทำสิ่งที่ผิดกฎหมายหรือเพราะฉันคิดว่า Slush Pool กำลังบันทึกที่อยู่ IP ของฉัน แต่เพียงเพราะสิ่งเหล่านี้เป็นช่วงเวลาที่วุ่นวายด้วยสภาพแวดล้อมทางการเมืองที่เปลี่ยนแปลงอย่างรวดเร็วและสิ่งที่ฉันทำอย่างถูกกฎหมายในวันนี้อาจมาก ดีจะผิดกฎหมายในวันพรุ่งนี้
หรือหากมีการออกกฎหมายบางอย่างที่ทำให้คนดำเนินการขุด Bitcoin ในสหรัฐอเมริกาโดยไม่มีใบอนุญาตผู้ส่งเงินผิดกฎหมาย ตัวอย่างเช่น ฉันสามารถปลอมตำแหน่งของฉันเพื่อที่ว่าถ้ามือของ Slush Pool ถูกบังคับให้บล็อกที่อยู่ IP ที่มา จากสหรัฐอเมริกา ฉันสามารถขุดต่อได้ เนื่องจากดูเหมือนว่าอัตราแฮชของฉันจะมาจากนอกสหรัฐอเมริกา
เมื่อพิจารณาว่าบล็อคเชนจะอยู่ตลอดไปและอนาคตก็ไม่แน่นอน ฉันคิดว่าควรสละเวลาเพื่อหาวิธีปกป้องความเป็นส่วนตัวของฉัน การทำตามขั้นตอนในวันนี้เพื่อเพิ่มความเป็นส่วนตัวและความปลอดภัย ฉันสามารถมั่นใจได้ว่าเสรีภาพและการแสวงหาความสุขของฉันจะได้รับการปกป้อง
ข้อมูลส่วนใหญ่ที่นำเสนอในส่วนนี้มาจากการดูวิดีโอของ Christian McDonald บน YouTube คุณสามารถค้นหาวิดีโอ WireGuard & Mullvad VPN ทั้งหมดของเขาได้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
ฉันต้องการที่จะชี้ให้เห็นโดยเฉพาะ วิดีโอนี้ ของเขาในการใช้แพ็คเกจ WireGuard ใน pfSense เพื่อตั้งค่า Mullvad เพื่อให้มีหลายช่องสัญญาณที่อนุญาตให้โหลดบาลานซ์การรับส่งข้อมูลของคุณได้อย่างราบรื่น:
Mullvad เป็นการสมัครสมาชิก VPN แบบชำระเงิน โดยมีค่าธรรมเนียม €5 ต่อเดือน อย่างไรก็ตาม Mullvad ยอมรับ bitcoin และไม่ต้องการข้อมูลระบุตัวตนใดๆ ก่อนที่ฉันจะแสดงวิธีตั้งค่าการสมัครสมาชิก Mullvad ของคุณ เราจะทำการติดตั้งแพ็คเกจ WireGuard ในไฟร์วอลล์ pfSense ของคุณก่อน จากนั้น เราจะตั้งค่าบัญชี Mullvad และสร้างไฟล์การกำหนดค่า จากนั้น เราสามารถตั้งค่าอุโมงค์หลายช่องและกำหนดค่าบางอย่างใน pfSense ได้
ใน pfSense ให้ไปที่ "ระบบ>ตัวจัดการแพ็คเกจ>แพ็คเกจที่มี" จากนั้นเลื่อนลงไปที่ลิงก์ WireGuard และคลิกที่ "ติดตั้ง" ในหน้าถัดไป ให้คลิกที่ "ยืนยัน" โปรแกรมติดตั้งจะทำงานและแจ้งให้คุณทราบเมื่อดำเนินการเสร็จสิ้น
ตอนนี้คุณสามารถไปที่ “VPN>WireGuard” และดูว่าแพ็คเกจได้รับการติดตั้งแล้ว แต่ยังไม่มีอะไรได้รับการกำหนดค่า เมื่อไฟร์วอลล์พร้อม WireGuard แล้ว เราจะดำเนินการติดตั้งไคลเอนต์ VPN
นำทางไปยัง https://mullvad.net/en/ และคลิกที่ "สร้างบัญชี"
Mullvad ไม่ได้รวบรวมข้อมูลใด ๆ จากคุณ เช่น ชื่อ หมายเลขโทรศัพท์ อีเมล ฯลฯ Mullvad สร้างหมายเลขบัญชีที่ไม่ซ้ำกัน และนี่เป็นข้อมูลเพียงส่วนเดียวที่คุณได้รับซึ่งเกี่ยวข้องกับบัญชีของคุณ ดังนั้นให้จดบันทึกและรักษาความปลอดภัย
ถัดไป เลือกวิธีการชำระเงินของคุณ คุณจะได้รับส่วนลด 10% สำหรับการใช้ bitcoin การสมัครสมาชิกใช้งานได้นานเท่าที่คุณต้องการจ่าย (สูงสุด 12 เดือน) ในอัตรา €5 ต่อเดือน ตัวอย่างเช่น การสมัครสมาชิกหนึ่งปีจะเป็น €60 หรือประมาณ 0.001 BTC ที่อัตราปัจจุบัน (ณ เดือนพฤศจิกายน 2021) คุณจะได้รับรหัส QR ที่อยู่ Bitcoin เพื่อส่งการชำระเงินของคุณไปที่
ตรวจสอบ เมมพูล เพื่อดูว่าธุรกรรม Bitcoin ของคุณได้รับการยืนยันเมื่อใด คุณอาจต้องรอสักครู่ขึ้นอยู่กับความแออัดของเครือข่าย
หลังจากการยืนยันในห่วงโซ่ บัญชี Mullvad จะถูกเติมเงินและควรแสดงว่าคุณมีเวลาเหลืออยู่ พิจารณาเกี่ยวกับการเลือกตำแหน่งเซิร์ฟเวอร์จากรายการเซิร์ฟเวอร์ที่ยาวของ Mullvad หากคุณกำลังวางแผนที่จะใช้งาน ASIC เบื้องหลัง VPN ของคุณ เราขอแนะนำให้คุณเชื่อมต่อกับเซิร์ฟเวอร์ที่ค่อนข้างใกล้กับตำแหน่งทางภูมิศาสตร์จริงของคุณเพื่อพยายามช่วยลดเวลาในการตอบสนองให้มากที่สุด
วิธีทำงานของ Mullvad คือกับไฟล์การกำหนดค่าที่กำหนดคู่คีย์สาธารณะ/ส่วนตัวที่ไม่ซ้ำกันสำหรับแต่ละที่อยู่ช่องสัญญาณ แนวคิดพื้นฐานในที่นี้คือ ฉันต้องการตั้งค่าอุโมงค์ข้อมูลหลักสำหรับ ASIC แต่ฉันต้องการการตั้งค่าช่องสัญญาณสำรองกับเซิร์ฟเวอร์อื่นในตำแหน่งทางภูมิศาสตร์อื่น ในกรณีที่การเชื่อมต่ออุโมงค์ข้อมูลหลักออฟไลน์ ด้วยวิธีนี้ ปริมาณการใช้อินเทอร์เน็ตในการขุดของฉันจะสลับไปยังอุโมงค์อื่นโดยอัตโนมัติ และจะไม่มีการหยุดชะงักในการปกปิดที่อยู่ IP สาธารณะของฉันหรือเข้ารหัสข้อมูลการรับส่งข้อมูลของฉัน ฉันจะตั้งค่าอุโมงค์อื่นๆ สำหรับเครือข่าย WiFi และเครือข่าย "LANwork" โดยเฉพาะ
ในการทำเช่นนี้ ฉันจะต้องมีคู่คีย์มากที่สุดเท่าที่ฉันต้องการอุโมงค์ การสมัครสมาชิก Mullvad หนึ่งครั้งประกอบด้วยคู่คีย์สูงสุดห้าคู่ นำทางไปยัง https://mullvad.net/en/account/#/wireguard-config/ และเลือกแพลตฟอร์มของคุณ เช่น Windows จากนั้นคลิกที่ "สร้างคีย์" สำหรับคู่คีย์มากเท่าที่คุณต้องการ สูงสุดห้าคีย์ จากนั้นคลิกที่ "จัดการคีย์" ด้านล่างเพื่อดูรายการของคุณ
*คีย์และข้อมูลที่สำคัญทั้งหมดที่นำเสนอในคู่มือนี้ได้ถูกเผยแพร่ก่อนเผยแพร่ โปรดใช้ความระมัดระวังในการแบ่งปันข้อมูลนี้กับทุกคน คุณต้องการเก็บคีย์ Mullvad ไว้เป็นส่วนตัว
คุณจะเห็นว่าฉันได้สร้างกุญแจสี่ดอกสำหรับคู่มือนี้ ซึ่งฉันจะทำลายหลังจากใช้พวกมันเป็นตัวอย่างเสร็จแล้ว ไฟล์การกำหนดค่าแต่ละไฟล์ต้องตั้งค่าด้วยเซิร์ฟเวอร์ Mullvad เฉพาะที่คุณเลือก
- เลือก "คีย์สาธารณะ" ที่คุณสนใจในการสร้างไฟล์การกำหนดค่าโดยเลือกวงกลมใต้คอลัมน์ "ใช้" ถัดจากคีย์สาธารณะที่เหมาะสม
- เลือกประเทศ เมือง และเซิร์ฟเวอร์ที่คุณต้องการกำหนดค่าด้วยคีย์สาธารณะนี้
- คลิกที่ "ดาวน์โหลดไฟล์"
- บันทึกไฟล์การกำหนดค่าไว้ในที่ที่สะดวกเพราะคุณจะต้องเปิดไฟล์นั้นในอีกสักครู่
*จำไว้ว่า สำหรับแต่ละช่องสัญญาณไปยังเซิร์ฟเวอร์ใหม่ที่คุณต้องการกำหนดค่า คุณจะต้องใช้กุญแจสาธารณะแยกต่างหาก หากคุณพยายามกำหนดอุโมงค์ข้อมูลสองช่องให้กับคีย์เดียวกัน pfSense จะประสบปัญหากับ VPN ของคุณ
ทำขั้นตอนนี้ซ้ำสำหรับคีย์มากที่สุดเท่าที่คุณสร้าง เลือกเซิร์ฟเวอร์ที่แตกต่างกันสำหรับแต่ละคีย์ที่ไม่ซ้ำกัน และสร้างไฟล์การกำหนดค่า ฉันพบว่าการตั้งชื่อไฟล์การกำหนดค่าเป็นเมืองและเซิร์ฟเวอร์นั้นมีประโยชน์
ตอนนี้ ให้กลับไปที่ pfSense แล้วไปที่ “VPN>WireGuard>Settings” แล้วคลิก “Enable WireGuard” แล้วคลิก “Save”
- ไปที่แท็บ "อุโมงค์" และเลือก "เพิ่มอุโมงค์"
- เปิดไฟล์การกำหนดค่า Mullvad ไฟล์แรกของคุณด้วยโปรแกรมแก้ไขข้อความ เช่น Notepad และเก็บไว้ที่ด้านข้าง
- ใน WireGuard ให้เพิ่ม "คำอธิบาย" สำหรับอุโมงค์ของคุณที่อธิบายว่ามันคืออะไร เช่น "Mullvad Atlanta US167"
- คัดลอก/วาง “PrivateKey” จากไฟล์การกำหนดค่า Mullvad และเพิ่มลงในกล่องโต้ตอบ “Interface Keys”
- คลิกที่ "บันทึกอุโมงค์" จากนั้น "ใช้การเปลี่ยนแปลง" ที่ด้านบนสุดของหน้า
WireGuard จะสร้างคีย์สาธารณะโดยอัตโนมัติเมื่อคุณวางคีย์ส่วนตัวและกดปุ่ม "tab" บนแป้นพิมพ์ของคุณ คุณสามารถตรวจสอบว่าคีย์สาธารณะถูกสร้างขึ้นอย่างถูกต้องโดยเปรียบเทียบกับคีย์บนเว็บไซต์ Mullvad ที่คุณสร้างไว้ก่อนหน้านี้
ทำซ้ำขั้นตอนนี้สำหรับอุโมงค์ได้มากเท่าที่คุณต้องการ ตรวจสอบให้แน่ใจว่าคุณใช้ไฟล์การกำหนดค่า Mullvad ที่ถูกต้องสำหรับแต่ละไฟล์ เนื่องจากไฟล์ทั้งหมดมีคู่คีย์สาธารณะ/ส่วนตัว ที่อยู่ IP และอุปกรณ์ปลายทางต่างกัน
แต่ละอุโมงค์จะได้รับเพียร์ของตัวเอง คุณสามารถเพิ่ม "เพียร์" โดยไปที่แท็บ "เพียร์" ถัดจากแท็บ "อุโมงค์" ที่คุณเพิ่งเปิดขึ้นมาก่อน จากนั้นคลิกที่ "เพิ่มเพียร์"
- เลือกช่องสัญญาณที่เหมาะสมจากเมนูแบบเลื่อนลงสำหรับเพียร์นี้
- เพิ่ม "คำอธิบาย" สำหรับอุโมงค์ของคุณที่อธิบายว่ามันคืออะไร เช่น "Mullvad Atlanta US167"
- ยกเลิกการเลือกช่อง "Dynamic Endpoint"
- คัดลอก/วางที่อยู่ IP "ปลายทาง" และพอร์ตจากไฟล์การกำหนดค่า Mullvad ลงในฟิลด์ "ปลายทาง" ใน WireGuard
- คุณสามารถให้เวลา 30 วินาทีกับฟิลด์ "Keep Alive"
- คัดลอก/วาง “PublicKey” จากไฟล์การกำหนดค่า Mullvad ลงในฟิลด์ “Public Key” ใน WireGuard
- เปลี่ยน "IP ที่อนุญาต" เป็น "0.0.0.0/0" สำหรับ IPv4 คุณสามารถเพิ่มคำอธิบายเช่น "Allow All IPs" ได้หากต้องการ
- คลิก "บันทึก" จากนั้นเลือก "ใช้การเปลี่ยนแปลง" ที่ด้านบนสุดของหน้า
ทำขั้นตอนนี้ซ้ำสำหรับเพื่อนให้มากที่สุดเท่าที่คุณมีอุโมงค์ ตรวจสอบให้แน่ใจว่าคุณใช้ไฟล์การกำหนดค่า Mullvad ที่ถูกต้องสำหรับไฟล์แต่ละไฟล์ เนื่องจากไฟล์ทั้งหมดมีคู่คีย์สาธารณะ/ส่วนตัว ที่อยู่ IP และปลายทางต่างกัน
ณ จุดนี้ คุณควรจะสามารถไปที่แท็บ "สถานะ" และสังเกตการจับมือกันได้โดยคลิกที่ "แสดงเพื่อน" ที่มุมล่างขวา
ถัดไป จำเป็นต้องกำหนดอินเทอร์เฟซสำหรับแต่ละช่องสัญญาณ
- ไปที่ "อินเทอร์เฟซ>การกำหนดอินเทอร์เฟซ"
- เลือกอุโมงค์ข้อมูลแต่ละช่องจากเมนูแบบเลื่อนลงและเพิ่มลงในรายการของคุณ
หลังจากเพิ่มอุโมงค์ข้อมูลทั้งหมดแล้ว ให้คลิกที่ไฮเปอร์ลิงก์สีน้ำเงินถัดจากช่องสัญญาณที่เพิ่มแต่ละรายการเพื่อกำหนดค่าอินเทอร์เฟซ
- คลิกที่กล่อง “เปิดใช้งานอินเทอร์เฟซ”
- ป้อนคำอธิบายของคุณ — ฉันเพิ่งใช้ชื่อเซิร์ฟเวอร์ VPN เช่น: “Mullvad_Atlanta_US167”
- เลือก "คงที่ PIv4"
- พิมพ์ “1420” ในช่อง “MTU & MSS”
- ตอนนี้ คัดลอก/วางที่อยู่ IP ของโฮสต์จากไฟล์การกำหนดค่า Mullvad ของคุณในกล่องโต้ตอบ "ที่อยู่ IPv4"
- จากนั้นคลิกที่ "เพิ่มเกตเวย์ใหม่"
หลังจากคลิกที่ "เพิ่มเกตเวย์ใหม่" คุณจะเห็นกล่องโต้ตอบป๊อปอัปด้านล่าง ป้อนชื่อสำหรับเกตเวย์ใหม่ของคุณ ง่ายๆ เช่น ชื่ออุโมงค์ที่ต่อท้ายด้วย "GW" สำหรับ "GateWay" จากนั้น ป้อนที่อยู่ IP โฮสต์เดียวกันจากไฟล์การกำหนดค่า Mullvad คุณสามารถเพิ่มคำอธิบายได้หากต้องการ เช่น “Mullvad Atlanta US167 Gateway” จากนั้นคลิกที่ "เพิ่ม"
เมื่อคุณกลับมาที่หน้าการกำหนดค่าอินเทอร์เฟซ ให้คลิกที่ "บันทึก" ที่ด้านล่างของหน้า จากนั้นคลิกที่ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ทำขั้นตอนนั้นซ้ำเพื่อสร้างเกตเวย์สำหรับอินเทอร์เฟซอุโมงค์ข้อมูลแต่ละรายการที่คุณเพิ่ม ตรวจสอบให้แน่ใจว่าคุณใช้ไฟล์การกำหนดค่า Mullvad ที่ถูกต้องสำหรับแต่ละไฟล์ เนื่องจากไฟล์ทั้งหมดมีที่อยู่ IP ของโฮสต์ที่แตกต่างกัน
ณ จุดนี้ คุณสามารถนำทางไปยังแดชบอร์ดและตรวจสอบสถานะของเกตเวย์ของคุณได้ หากคุณยังไม่ได้ดำเนินการดังกล่าว คุณสามารถปรับแต่งแดชบอร์ดของคุณเพื่อตรวจสอบสถิติต่างๆ ใน pfSense คลิกที่เครื่องหมาย “+” ที่มุมขวาบนของแดชบอร์ด จากนั้นรายการของตัวตรวจสอบสถิติที่พร้อมใช้งานจะเลื่อนลงมา และคุณสามารถเลือกรายการที่คุณต้องการได้
ตัวอย่างเช่น บนแดชบอร์ดของฉัน ฉันมีสามคอลัมน์ เริ่มต้นด้วย "ข้อมูลระบบ" ในคอลัมน์ที่สอง ฉันมีข้อมูลสรุป "แพ็คเกจที่ติดตั้ง" สถานะ "WireGuard" และรายการอินเทอร์เฟซของฉัน ในคอลัมน์ที่สาม ฉันมีสถานะ "เกตเวย์" และสถานะ "บริการ" ด้วยวิธีนี้ ฉันสามารถตรวจสอบและตรวจสอบสถานะของสิ่งต่างๆ ได้อย่างรวดเร็ว
สิ่งที่ฉันต้องการจะชี้ให้เห็นเกี่ยวกับแดชบอร์ดคือในส่วน "เกตเวย์" คุณจะสังเกตเห็นว่าเกตเวย์ทั้งหมดออนไลน์อยู่ เกตเวย์จะออนไลน์ตราบเท่าที่อุโมงค์ยังทำงานอยู่ แม้ว่าฝั่งระยะไกลจะไม่ตอบสนองก็ตาม เนื่องจากเป็นอินเทอร์เฟซภายในเครื่อง ดังนั้นตอนนี้จึงไม่มีประโยชน์ เนื่องจากแม้ว่าด้านระยะไกลจะปิดลง แต่ก็ยังแสดงเป็นแบบออนไลน์ เพื่อให้สามารถมอนิเตอร์เวลาแฝงเพื่อให้เกตเวย์เหล่านี้สามารถให้สถิติที่มีประโยชน์บางอย่าง ฉันต้องให้ที่อยู่ของระบบชื่อโดเมนสาธารณะ (DNS) แก่เกตเวย์เพื่อตรวจสอบ
คุณจะสังเกตเห็นว่าเวลา ping อุโมงค์ทั้งหมดเป็นศูนย์มิลลิวินาที นั่นเป็นเพราะฉันไม่ได้ส่งข้อมูลใด ๆ ผ่านอุโมงค์เหล่านี้ โดยการส่งคำสั่ง ping ไปยังเซิร์ฟเวอร์ DNS สาธารณะ pfSense สามารถรับเมตริกที่มีประโยชน์และตัดสินใจได้ว่าช่องสัญญาณใดจะให้เวลาแฝงน้อยที่สุด หรือหากเซิร์ฟเวอร์ระยะไกลหยุดทำงานเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล
คุณสามารถค้นหาเซิร์ฟเวอร์ DNS สาธารณะเพื่อตรวจสอบได้ที่ นี้ เว็บไซต์หรือรายชื่อเซิร์ฟเวอร์ DNS สาธารณะอื่นๆ จำนวนหนึ่ง ดูเปอร์เซ็นต์เวลาทำงานที่บันทึกไว้ ยิ่งดี คุณต้องการค้นหาที่อยู่ IP สาธารณะ DNS IPv4 เพื่อตรวจสอบบนเกตเวย์ IPv4 ของคุณ แต่ละเกตเวย์จะต้องมีที่อยู่ DNS แยกต่างหากเพื่อตรวจสอบ
เมื่อคุณมีที่อยู่ DNS สาธารณะของคุณแล้ว ให้ไปที่ “ระบบ>การกำหนดเส้นทาง>เกตเวย์” ใน pfSense คลิกที่ไอคอนดินสอถัดจากเกตเวย์ของคุณ คุณจะเห็นว่า "ที่อยู่เกตเวย์" และที่อยู่ "ตรวจสอบ IP" เหมือนกันในทุกเกตเวย์ นั่นคือสาเหตุที่เวลา ping เป็นศูนย์มิลลิวินาที และนี่คือสาเหตุที่ pfSense คิดว่าเกตเวย์ทำงานอยู่เสมอ
ป้อนที่อยู่ DNS IP สาธารณะที่คุณต้องการตรวจสอบในช่อง "ตรวจสอบ IP" จากนั้นคลิก "บันทึก" ที่ด้านล่างของหน้าจอ จากนั้นคลิกที่ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้าจอ โปรดจำไว้ว่า เกตเวย์ไม่สามารถแชร์ที่อยู่การตรวจสอบ DNS เดียวกันได้ ดังนั้นให้ใช้เซิร์ฟเวอร์ DNS สาธารณะที่แตกต่างกันสำหรับแต่ละเกตเวย์เพื่อตรวจสอบ
ตอนนี้ หากคุณกลับไปที่แดชบอร์ดและดูที่มอนิเตอร์เกตเวย์ของคุณ คุณจะเห็นว่ามีเมตริกเวลาแฝงจริงที่ต้องสังเกต ด้วยข้อมูลนี้ คุณสามารถตั้งค่าเกตเวย์ของคุณตามลำดับความสำคัญโดยพิจารณาจากว่าเกตเวย์ใดมีเวลาแฝงต่ำที่สุดสำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณ ตัวอย่างเช่น หากคุณกำลังขุด Bitcoin คุณจะต้องจัดลำดับความสำคัญ ASIC ของคุณให้ผ่านอุโมงค์ที่มีเวลาแฝงต่ำสุดก่อน จากนั้นหากทันเนลนั้นล้มเหลว ไฟร์วอลล์สามารถสลับไปยังเกตเวย์ระดับถัดไปได้โดยอัตโนมัติโดยมีเวลาแฝงที่น้อยที่สุดเป็นอันดับสองและอื่นๆ
จนถึงตอนนี้ทุกอย่างดูดี ทันเนลมีการใช้งานและมีข้อมูลผ่านเกตเวย์ ต่อไป เราต้องกำหนดการจับคู่การแปลที่อยู่เครือข่ายขาออก (NAT) บนไฟร์วอลล์
- ไปที่แท็บ "ไฟร์วอลล์" จากนั้น "NATm" จากนั้นไปที่แท็บ "ขาออก" การดำเนินการนี้จะดึงรายการการแมปเครือข่ายทั้งหมดจาก WAN ไปยัง LAN ของคุณ เนื่องจากเรามีอินเทอร์เฟซใหม่ที่กำหนดไว้ เราจึงต้องการเพิ่มการแมปเหล่านี้ในรายการ
- คลิกที่ "การสร้างกฎ NAT ขาออกแบบไฮบริด" ใต้ส่วน "โหมด NAT ขาออก"
- เลื่อนไปที่ด้านล่างของหน้าและคลิกที่ "เพิ่ม"
- เลือกอินเทอร์เฟซของคุณจากเมนูแบบเลื่อนลง
- เลือก "IPv4" สำหรับ "Address Family"
- เลือก "ใดๆ" สำหรับ "โปรโตคอล"
- ตรวจสอบให้แน่ใจว่า "แหล่งที่มา" อยู่ใน "เครือข่าย" จากนั้นป้อนช่วงที่อยู่ IP ในเครื่องสำหรับ LAN ที่คุณต้องการให้ลงอุโมงค์นี้ ตัวอย่างเช่น ฉันต้องการให้ "งาน LAN" ผ่านอุโมงค์นี้ไปยังแอตแลนต้า ดังนั้นฉันจึงป้อน "192.168.69.1/24"
- จากนั้นป้อนคำอธิบายหากต้องการ เช่น "Outbound NAT for LANwork to Mullvad Atlanta US167"
- จากนั้นคลิก "บันทึก" ที่ด้านล่างของหน้าและ "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
ทำขั้นตอนนี้ซ้ำสำหรับอินเทอร์เฟซช่องสัญญาณแต่ละรายการ คุณจะสังเกตเห็นว่าฉันมีเครือข่าย "LANwork" ไปที่อุโมงค์แอตแลนตา เครือข่าย "LANhome" ของฉันไปที่อุโมงค์ในนิวยอร์ก และฉันมีเครือข่าย "LANminers" ที่ตั้งค่าไว้สำหรับทั้งอุโมงค์ในไมอามีและซีแอตเทิล คุณสามารถตั้งค่าการทำแผนที่สำหรับ LAN การขุดของคุณเป็นอุโมงค์ทั้งห้าของคุณได้หากต้องการ คุณยังสามารถมี LAN หลายเครื่องที่แมปไปยังช่องสัญญาณเดียวกันได้หากต้องการ ซึ่งมีความยืดหยุ่นมาก
ด้วยการแมปทั้งหมด เราสามารถเพิ่มกฎไฟร์วอลล์ ไปที่ "ไฟร์วอลล์> LAN" จากนั้นคลิกที่ "เพิ่ม" "LAN" เป็น LAN ใดก็ได้ที่คุณต้องการเพิ่มกฎ ตัวอย่างเช่น ฉันกำลังตั้งค่าเครือข่าย "LANwork" ในภาพหน้าจอนี้:
- ตั้งค่า "การกระทำ" เป็น "ผ่าน"
- ตั้งค่า “Address Family” เป็น “IPv4”
- ตั้งค่า "โปรโตคอล" เป็น "ใดๆ"
- จากนั้นคลิกที่ "แสดงขั้นสูง"
- เลื่อนลงไปที่ "เกตเวย์" และเลือกเกตเวย์ที่คุณตั้งค่าไว้สำหรับ LAN นี้
- คลิก "บันทึก" ที่ด้านล่างของหน้าจอ จากนั้นคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้าจอ
จากนั้น ทำสิ่งเดียวกันกับ LAN ถัดไปของคุณ จนกว่าคุณจะตั้งค่า LAN ทั้งหมดด้วยกฎเกตเวย์ นี่คือภาพรวมของกฎเกตเวย์ LAN ของฉัน คุณจะสังเกตเห็นว่าฉันได้เพิ่มกฎเกตเวย์สองกฎในเครือข่าย "LANminers" ของฉัน ในขั้นตอนต่อไป ฉันจะแสดงวิธีตั้งค่าการปรับสมดุลโหลดอัตโนมัติระหว่างช่องสัญญาณสำหรับ LAN การขุด ซึ่งจะแทนที่กฎสองข้อที่ฉันเพิ่งเพิ่มลงใน "LANminers" แต่ฉันต้องการให้แน่ใจว่าทุกอย่างได้รับการตั้งค่าและทำงานอย่างถูกต้อง แรก.
เพื่อตรวจสอบอีกครั้งว่าทุกอย่างใช้งานได้จนถึงตอนนี้และ LAN แต่ละรายการของฉันได้รับ IP ที่เปิดเผยต่อสาธารณะต่างกัน ฉันจะเข้าไปที่ “ifconfig.co” ลงในเว็บเบราว์เซอร์จากแต่ละ LAN หากทุกอย่างถูกต้อง ฉันควรมีตำแหน่งที่แตกต่างกันสำหรับแต่ละ LAN ที่ฉันเสียบและ ping จาก:
ทุกอย่างทำงานได้ตามแผนที่วางไว้ ลองก่อน ขณะเชื่อมต่อกับแต่ละ LAN ฉันสามารถปิดการใช้งานกฎไฟร์วอลล์ที่เกี่ยวข้องและรีเฟรชหน้าและดูที่อยู่ IP ของฉันเปลี่ยนกลับไปเป็นพื้นที่ทางภูมิศาสตร์คร่าวๆ ของฉัน
ถ้าคุณจำได้ ฉันได้ตั้งค่าสองอุโมงค์สำหรับเครือข่าย “LANminers” ของฉัน เมื่อฉันปิดใช้งานกฎไฟร์วอลล์หนึ่งกฎที่สอดคล้องกับอุโมงค์ในไมอามีและรีเฟรชเบราว์เซอร์ของฉัน กฎนั้นจะเปลี่ยนไปใช้ที่อยู่ IP ในซีแอตเทิลทันที
ดังนั้น แต่ละ LAN กำลังส่งทราฟฟิกผ่านทันเนลที่แตกต่างกัน และทันเนลทั้งหมดของฉันทำงานตามที่คาดไว้ อย่างไรก็ตาม ในส่วนที่เกี่ยวกับเครือข่าย “LANminers” ของฉัน ฉันต้องการให้ pfSense สลับไปมาระหว่างอุโมงค์ในไมอามีและซีแอตเทิลโดยอัตโนมัติโดยอิงตามเวลาแฝงหรือเซิร์ฟเวอร์ที่ขัดข้อง ด้วยอีกสองสามขั้นตอน ฉันจะได้รับการกำหนดค่านี้ให้สลับโดยอัตโนมัติและแทนที่กฎไฟร์วอลล์สองกฎด้วยกฎเดียวใหม่
ไปที่ "ระบบ>การกำหนดเส้นทาง" จากนั้นไปที่แท็บ "กลุ่มเกตเวย์"
- ป้อนชื่อกลุ่ม เช่น “Mullvad_LB_LANMiners” "LB" ใช้สำหรับ "Load Balance"
- ตั้งค่าลำดับความสำคัญของเกตเวย์อื่น ๆ ทั้งหมดเป็น "ไม่" ยกเว้นสองเกตเวย์ที่คุณสนใจสำหรับผู้ขุดของคุณ ในกรณีนี้ ฉันใช้เกตเวย์ในไมอามีและซีแอตเทิล ฉันจัดลำดับความสำคัญเหล่านั้นไว้ที่ "ระดับ 1" หรือคุณสามารถใช้อุโมงค์ทั้งห้าของคุณได้หากต้องการ
- ตั้งค่าระดับทริกเกอร์เป็น "Packet Loss หรือ High Latency"
- เพิ่มคำอธิบายหากต้องการ เช่น "Load Balance LANminers Mullvad Tunnels"
- คลิก "บันทึก" ที่ด้านล่างของหน้าจอ จากนั้น "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้าจอ
หากคุณไปที่ "สถานะ>เกตเวย์" จากนั้นไปที่แท็บ "กลุ่มเกตเวย์" คุณควรจะเห็นกลุ่มเกตเวย์ใหม่ของคุณทางออนไลน์ ในทางทฤษฎี หากคุณกำหนดเส้นทางการรับส่งข้อมูลไปที่ “Mullvad_LB_LANminers” ก็ควรสร้างสมดุลการรับส่งข้อมูลระหว่างสองเกตเวย์ตามเวลาแฝง
ขณะนี้ กลุ่มเกตเวย์นี้สามารถใช้ในกฎไฟร์วอลล์เพื่อกำหนดเส้นทางนโยบายที่รับส่งข้อมูลตามนั้น ไปที่ "ไฟร์วอลล์>กฎ" จากนั้นไปที่แท็บ "LANminers" หรือชื่อ LAN การขุดของคุณ
ไปข้างหน้าและปิดการใช้งานกฎสองข้อที่คุณตั้งค่าไว้ก่อนหน้านี้สำหรับการทดสอบอุโมงค์ข้อมูล VPN โดยคลิกที่เครื่องหมายกากบาทที่อยู่ถัดจากกฎ คลิกที่ "ใช้การเปลี่ยนแปลง" จากนั้นคลิกที่ "เพิ่ม" ที่ด้านล่าง
- ตั้งค่าโปรโตคอลเป็น "ใดๆ"
- คลิกที่ "แสดงขั้นสูง"
- เลื่อนลงไปที่ "เกตเวย์" และเลือกกลุ่มเกตเวย์ของโหลดบาลานซ์ที่คุณสร้างขึ้น
- คลิก "บันทึก" ที่ด้านล่างของหน้า และคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้า
นั่นควรเป็นสิ่งที่จำเป็นเพื่อให้ ASIC ของคุณเปลี่ยนจากอุโมงค์ข้อมูล VPN หนึ่งไปยังช่องสัญญาณ VPN อื่นโดยอัตโนมัติตามเวลาแฝงหรือเซิร์ฟเวอร์ที่ล่ม ในการทดสอบนี้ ให้เสียบแล็ปท็อปเข้ากับพอร์ตอีเทอร์เน็ตเฉพาะบนการ์ดเครือข่ายสำหรับ LAN การขุดของคุณ นี่คือ "igb3" ในกรณีของฉัน
ตรวจสอบให้แน่ใจว่า WiFi ของคุณปิดอยู่ เปิดเว็บเบราว์เซอร์และพิมพ์ “ifconfig.co” ในแถบ URL ผลลัพธ์ควรนำคุณไปยังตำแหน่งของอุโมงค์ข้อมูล VPN อันใดอันหนึ่งของคุณ ในกรณีของฉันคือไมอามี่
จากนั้น กลับมาที่ pfSense ไปที่ “Interfaces>Assignments” และคลิกที่ไฮเปอร์ลิงก์สำหรับอินเทอร์เฟซอุโมงค์ข้อมูลนั้น ในกรณีของฉัน มันคืออินเทอร์เฟซ “Mullvad_Miami_US155”
ที่ด้านบนสุดของหน้าการกำหนดค่านั้น ให้ยกเลิกการเลือกช่อง "เปิดใช้งานอินเทอร์เฟซ" จากนั้นคลิก "บันทึก" ที่ด้านล่างของหน้าจอ จากนั้นคลิก "ใช้การเปลี่ยนแปลง" ที่ด้านบนของหน้าจอ สิ่งนี้ได้ปิดการใช้งานอุโมงค์ไมอามี่ที่ LANminers ของฉันกำลังส่งทราฟฟิก
กลับไปที่แล็ปท็อป รีเฟรชเบราว์เซอร์ด้วยหน้า ifconfig.co ตอนนี้ควรจะวางตำแหน่งของคุณในซีแอตเทิลหรือที่ใดก็ตามที่อุโมงค์รองของคุณตั้งไว้ บางครั้ง ฉันต้องปิดเบราว์เซอร์โดยสมบูรณ์แล้วเปิดใหม่อีกครั้งเพื่อล้างแคช
ตรวจสอบให้แน่ใจว่าคุณกลับไปที่อินเทอร์เฟซ Miami และทำเครื่องหมายที่ช่องอีกครั้งเพื่อเปิดใช้งานอินเทอร์เฟซนั้น จากนั้นบันทึกและนำไปใช้ จากนั้น คุณสามารถกลับไปที่ "ไฟร์วอลล์>กฎ" จากนั้นจึงไปที่ LAN การขุดและลบกฎสองข้อที่คุณปิดใช้งาน
แค่นั้นแหละคุณควรจะไปได้ดี โปรดทราบว่ากฎไฟร์วอลล์ทำงานแบบจากบนลงล่าง ต่อไป ฉันจะพูดถึงวิธีการช่วยป้องกันการติดตามโฆษณา
ขั้นตอนที่เก้า: วิธีกำหนดค่าความสามารถของตัวบล็อกโฆษณา
บริษัทโฆษณาสนใจคุณมากและมีข้อมูลมากที่สุดเท่าที่จะหาได้เกี่ยวกับตัวคุณ น่าเสียดาย เมื่อคุณท่องอินเทอร์เน็ต มันง่ายที่จะรั่วไหลข้อมูลที่ต้องการนี้
ข้อมูลนี้สร้างรายได้เพื่อกำหนดเป้าหมายผู้ชมเฉพาะด้วยผลิตภัณฑ์และบริการที่มีความแม่นยำเหมือนการผ่าตัด คุณอาจเคยมีประสบการณ์ในการค้นหาบางสิ่งทางออนไลน์ และต่อมาสังเกตเห็นโฆษณาปรากฏขึ้นในฟีดโซเชียลมีเดียของคุณที่ตรงกับการค้นหาล่าสุดของคุณ สิ่งนี้เกิดขึ้นได้โดยการรวบรวมข้อมูลเกี่ยวกับการค้นหาทางอินเทอร์เน็ตของคุณ เว็บไซต์ที่คุณเยี่ยมชม รูปภาพที่คุณดู สิ่งที่คุณดาวน์โหลด สิ่งที่คุณฟัง ตำแหน่งของคุณ สิ่งที่อยู่ในตะกร้าสินค้าของคุณ วิธีการชำระเงินที่คุณใช้ เวลาและวันที่ของกิจกรรมทั้งหมดนี้ จากนั้นเชื่อมโยงข้อมูลนั้นกับค่าคงที่ที่ระบุได้ไม่ซ้ำกัน เช่น เว็บเบราว์เซอร์ที่คุณใช้อยู่และอุปกรณ์ที่คุณใช้
รวมข้อมูลนี้เข้ากับที่อยู่ IP, บัญชี ISP และโปรไฟล์โซเชียลมีเดียของคุณ และคุณสามารถเริ่มดูว่ามีข้อมูลเกี่ยวกับคุณอย่างไรที่คุณอาจไม่ต้องการให้พร้อมสำหรับองค์กร การบังคับใช้กฎหมาย คนแปลกหน้า หรือแฮกเกอร์ ระหว่าง คุ้กกี้, ลายนิ้วมือของเบราว์เซอร์ และ ติดตามพฤติกรรม ดูเหมือนว่าอัตราต่อรองจะซ้อนกับคุณ แต่มีขั้นตอนง่ายๆ ที่คุณสามารถทำได้เพื่อเริ่มปกป้องความเป็นส่วนตัวของคุณตอนนี้ เป็นเรื่องน่าละอายที่จะปล่อยให้ความสมบูรณ์แบบเป็นศัตรูของความดีและรั้งคุณไว้ไม่ให้เริ่มต้น
ในส่วนนี้ คุณจะเห็นวิธีรวมความสามารถในการบล็อกโฆษณาโดยแก้ไขการตั้งค่าเซิร์ฟเวอร์ DNS และเซิร์ฟเวอร์ DHCP ในไฟร์วอลล์ของคุณ ในระดับสูง คุณพิมพ์ชื่อเว็บไซต์ลงในเว็บเบราว์เซอร์ของคุณ ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ DNS (โดยปกติคือเซิร์ฟเวอร์ DNS ของ ISP ของคุณ) และเซิร์ฟเวอร์นั้นจะแปลข้อความที่มนุษย์สามารถอ่านได้เป็นที่อยู่ IP และส่งข้อมูลนั้นกลับไปยังเบราว์เซอร์ของคุณ เพื่อให้รู้ว่าเว็บเซิร์ฟเวอร์ใดที่คุณพยายามเข้าถึง นอกจากนี้ โฆษณาที่ตรงเป้าหมายยังส่งถึงคุณด้วยวิธีนี้
ฉันแนะนำให้เริ่มออกกำลังกายนี้โดยไปที่ https://mullvad.net/en/.
จากนั้นคลิกลิงก์ "ตรวจหารอยรั่ว" เพื่อดูว่าคุณจะปรับปรุงด้านใดได้บ้าง
หากคุณได้รับการรั่วไหลของ DNS ขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้ คุณอาจพบคำแนะนำที่เป็นประโยชน์จาก Mullvad โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม เพื่อทำให้เบราว์เซอร์ของคุณแข็งแกร่งขึ้นและช่วยป้องกันโฆษณาและการติดตามในระดับเบราว์เซอร์ แล้วลองอีกครั้ง
หากคุณมีปัญหาในการบล็อกโฆษณาด้วยเบราว์เซอร์ที่คุณต้องการ ให้ลองใช้เบราว์เซอร์ที่เน้นความเป็นส่วนตัวมากขึ้น เช่น เลิก Googled Chromium:
- เลือกระบบปฏิบัติการของคุณและเวอร์ชันล่าสุด
- ดาวน์โหลดตัวติดตั้ง .exe
- ตรวจสอบค่าแฮช
- เรียกใช้โปรแกรมติดตั้งแล้วกำหนดการตั้งค่าพื้นฐานของคุณ เช่น เครื่องมือค้นหาเริ่มต้น
ยอดหินของภูเขา เป็นเบราว์เซอร์อื่นที่ฉันอยากจะแนะนำให้ใช้ให้มากที่สุดเท่าที่จะทำได้โดยทั่วไป
Mullvad มีเซิร์ฟเวอร์แก้ไข DNS ที่แตกต่างกันสองสามตัวที่สามารถพบได้ใน นี้ บทความ Mullvad สำหรับตัวอย่างนี้ ฉันจะใช้เซิร์ฟเวอร์ “100.64.0.3” สำหรับการบล็อกตัวติดตามโฆษณา ตรวจสอบให้แน่ใจว่าได้อ้างอิงเว็บไซต์ Mullvad สำหรับที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่อัปเดตล่าสุด เนื่องจากสิ่งเหล่านี้อาจเปลี่ยนแปลงเป็นครั้งคราว
ใน pfSense ให้ไปที่ "ระบบ>ทั่วไป" จากนั้นเลื่อนลงไปที่ส่วน "การตั้งค่าเซิร์ฟเวอร์ DNS" และพิมพ์ "100.64.0.3" ลงในช่องเซิร์ฟเวอร์ DNS โดยเลือกเกตเวย์ WAN ของคุณ หากคุณใช้คำแนะนำของฉันตั้งแต่ต้นคู่มือ แสดงว่าควรตั้งค่านี้ไว้แล้ว แต่คุณจะต้องปฏิบัติตามคำแนะนำ DHCP ด้านล่าง
คลิกที่ "บันทึก" ที่ด้านล่างของหน้า
จากนั้นไปที่ "บริการ>เซิร์ฟเวอร์ DHCP" และเลื่อนลงไปที่ "เซิร์ฟเวอร์" ในช่องสำหรับ "เซิร์ฟเวอร์ DNS" ให้ป้อน "100.64.0.3" แล้วคลิก "บันทึก" ที่ด้านล่างของหน้า ทำซ้ำขั้นตอนนี้สำหรับ LAN ทั้งหมดของคุณ หากคุณมีการตั้งค่าเครือข่ายหลายเครือข่าย
ตอนนี้คุณควรมีตัวติดตามโฆษณาที่บล็อกเซิร์ฟเวอร์ DNS ที่กำหนดค่าไว้ที่ระดับไฟร์วอลล์เพื่อช่วยปกป้องการท่องอินเทอร์เน็ตทั้งหมดของคุณ จากนั้น หากคุณใช้มาตรการเพิ่มเติมในการกำหนดค่าเว็บเบราว์เซอร์ของคุณหรืออัปเกรดเป็นเว็บเบราว์เซอร์ที่เน้นความเป็นส่วนตัว แสดงว่าคุณได้ก้าวกระโดดครั้งใหญ่ในการปกป้องความเป็นส่วนตัวของคุณบนอุปกรณ์เดสก์ท็อปของคุณ
ฉันยังแนะนำให้พิจารณาใช้ UnGoogled Chromium หรือ โบรไมท์ บนโทรศัพท์มือถือ. หากคุณสนใจมาตรการความเป็นส่วนตัวของอุปกรณ์เคลื่อนที่เพิ่มเติม โปรดดูคำแนะนำของฉันเกี่ยวกับ CalyxOS โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
ขั้นตอนที่ 10: วิธีตรวจสอบเวลาแฝงที่เกิดจาก VPN
มีความกังวลที่สมเหตุสมผลว่าการใช้ VPN อาจทำให้เกิดความหน่วงแฝงกับการรับส่งข้อมูลการขุดของคุณ ปัญหาคือคุณจะได้รับรางวัลน้อยลง
เมื่อมีเวลาแฝง ASIC ของคุณอาจทำการแฮชส่วนหัวของบล็อกซึ่งใช้ไม่ได้อีกต่อไป ยิ่ง ASIC ของคุณใช้เวลาในการแฮชส่วนหัวบล็อกที่ไม่ถูกต้องนานเท่าใด อัตราแฮช "เก่า" ที่คุณจะส่งไปยังพูลก็จะยิ่งมากขึ้น เมื่อพูลเห็นแฮชเข้ามาสำหรับส่วนหัวของบล็อกที่ใช้ไม่ได้อีกต่อไป พูลจะปฏิเสธการทำงานนั้น ซึ่งหมายความว่า ASIC ของคุณสูญเสียพลังการประมวลผลไปโดยเปล่าประโยชน์ แม้ว่าจะอยู่ในระดับมิลลิวินาที เมื่อ ASIC กำลังคำนวณแฮชหลายล้านล้านทุกวินาที ก็สามารถเพิ่มขึ้นอย่างรวดเร็ว
โดยทั่วไปแล้ว นี่เป็นอัตราส่วนที่น้อยมากเมื่อเทียบกับปริมาณงานที่ได้รับการยอมรับจากพูล แต่คุณสามารถเริ่มเห็นว่าเวลาแฝงที่มีนัยสำคัญและต่อเนื่องอาจส่งผลต่อรางวัลการขุดของคุณได้อย่างไร
โดยทั่วไป ยิ่งสองเซิร์ฟเวอร์อยู่ใกล้กันมากเท่าไหร่ เวลาแฝงก็จะยิ่งน้อยลงเท่านั้น ด้วย VPN ฉันต้องส่งทราฟฟิกการขุดของฉันไปยังเซิร์ฟเวอร์ของ VPN จากนั้นไปที่เซิร์ฟเวอร์ของพูล ในความพยายามที่จะพยายามลดเวลาแฝงด้วยความใกล้ชิดทางภูมิศาสตร์ ฉันใช้เซิร์ฟเวอร์ VPN สามตัวที่อยู่ระหว่างตำแหน่งของฉันกับเซิร์ฟเวอร์ของพูล ฉันยังต้องการรับทราบถึงความเสี่ยงในการที่อินเทอร์เน็ตขัดข้องในระดับภูมิภาค ดังนั้นฉันจึงเพิ่มเซิร์ฟเวอร์ VPN สองเซิร์ฟเวอร์ที่ไม่ได้อยู่ระหว่างพูลกับฉัน ด้วยเครือข่าย "LANminers" ของฉันที่กำหนดค่าให้โหลดการรับส่งข้อมูลระหว่างอุโมงค์ต่างๆ ห้าอุโมงค์ ฉันเริ่มการทดสอบห้าวัน
สองวันครึ่งแรก (60 ชั่วโมง) ถูกใช้ในการขุดโดยเปิด VPN สองวันครึ่งที่สองถูกใช้ไปในการขุดโดยปิด VPN นี่คือสิ่งที่ฉันพบ:
ใน 60 ชั่วโมงแรก ASIC ของฉันมีแพ็กเก็ตที่ยอมรับ 43,263 รายการ และแพ็กเก็ตที่ถูกปฏิเสธ 87 รายการ นี่เท่ากับ 0.201% หรืออีกนัยหนึ่ง 0.201% ของทรัพยากรที่ใช้ไปของฉันไม่ได้รับรางวัล
หลังจาก 120 ชั่วโมง ASIC ของฉันมีแพ็กเก็ตที่ยอมรับ 87,330 แพ็กเก็ต และ 187 แพ็กเก็ตที่ถูกปฏิเสธ เมื่อลบการอ่าน 60 ชั่วโมงแรกออก ฉันเหลือแพ็กเก็ตที่ยอมรับ 44,067 รายการและแพ็กเก็ตที่ถูกปฏิเสธ 100 รายการในขณะที่ปิด VPN นี่เท่ากับ 0.226% น่าแปลกที่นี่เป็นอัตราส่วนการปฏิเสธมากกว่าเล็กน้อยโดยไม่มีประโยชน์ด้านความเป็นส่วนตัวของ VPN ในช่วงเวลาเท่ากัน
โดยสรุป โดยการปรับสมดุลการรับส่งข้อมูลการขุดของฉันระหว่างอุโมงค์ VPN ห้าแห่ง ฉันสามารถได้รับประโยชน์ด้านความเป็นส่วนตัวของ VPN โดยไม่ลดประสิทธิภาพของการดำเนินการขุดของฉัน ในแง่ของอัตราส่วนที่ถูกปฏิเสธ นักขุดของฉันใช้ VPN ได้ดีกว่าไม่ใช้ VPN
หากคุณสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับหัวข้อที่กล่าวถึงในคู่มือนี้ โปรดดูแหล่งข้อมูลเพิ่มเติมเหล่านี้:
ขอบคุณที่อ่าน! ฉันหวังว่าบทความนี้จะช่วยให้คุณเข้าใจพื้นฐานของการใช้เดสก์ท็อปเก่าเพื่อติดตั้งเครือข่ายและแฟลชด้วย pfSense เพื่อสร้างไฟร์วอลล์อเนกประสงค์ วิธีกำหนดค่า LAN แยก วิธีตั้งค่าเราเตอร์ mesh WiFi วิธีสร้าง Mullvad VPN บัญชีและวิธีใช้ WireGuard เพื่อกำหนดค่าความล้มเหลวของ VPN เพื่อลดเวลาแฝงในการขุดของคุณ
นี่คือแขกโพสต์โดย Econoalchemist ความคิดเห็นที่แสดงออกมาเป็นความคิดเห็นของตนเองทั้งหมด และไม่จำเป็นต้องสะท้อนถึงความคิดเห็นของ BTC Inc หรือ นิตยสาร Bitcoin.
ที่มา: https://bitcoinmagazine.com/guides/how-to-mine-bitcoin-privately-at-home
- "
- &
- 100
- เข้า
- ลงชื่อเข้าใช้
- การกระทำ
- คล่องแคล่ว
- กิจกรรม
- Ad
- เพิ่มเติม
- ผู้ดูแลระบบ
- โฆษณา
- ทั้งหมด
- การอนุญาต
- การใช้งาน
- AREA
- รอบ
- บทความ
- ASIC
- รถยนต์
- การธนาคาร
- ข้อมูลพื้นฐานเกี่ยวกับ
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- Bitcoin
- การทำเหมือง Bitcoin
- blockchain
- บล็อก
- กล่อง
- เบราว์เซอร์
- BTC
- BTC อิงค์
- สร้าง
- การก่อสร้าง
- ซึ่ง
- เงินสด
- ที่เกิดจาก
- ใบรับรอง
- เปลี่ยนแปลง
- การตรวจสอบ
- การตรวจสอบ
- โครเมียม
- วงกลม
- เมือง
- ใกล้ชิด
- รหัส
- คอลัมน์
- มา
- บริษัท
- คอมพิวเตอร์
- การคำนวณ
- พลังคอมพิวเตอร์
- องค์ประกอบ
- การเชื่อมต่อ
- การเชื่อมต่อ
- ต่อ
- บริษัท
- ประเทศ
- คู่
- การสร้าง
- หนังสือรับรอง
- หน้าปัด
- ข้อมูล
- ทำลาย
- นักพัฒนา
- อุปกรณ์
- DID
- ความขยัน
- ส่วนลด
- แสดง
- DNS
- ชื่อโดเมน
- หล่น
- บรรณาธิการ
- อย่างมีประสิทธิภาพ
- อีเมล
- ปลายทาง
- สิ้นสุด
- ภาษาอังกฤษ
- สิ่งแวดล้อม
- การออกกำลังกาย
- ประสบการณ์
- ใบหน้า
- หันหน้าไปทาง
- ครอบครัว
- ร้านแฟชั่นเกาหลี
- FAST
- คุณสมบัติ
- สาขา
- รูป
- ในที่สุด
- ชื่อจริง
- แฟลช
- ความยืดหยุ่น
- ปฏิบัติตาม
- ฟอร์ม
- ข้างหน้า
- รากฐาน
- ฟรี
- เสรีภาพ
- เต็ม
- ฟังก์ชัน
- อนาคต
- General
- GitHub
- ให้
- ดี
- ยิ่งใหญ่
- สีเขียว
- บัญชีกลุ่ม
- แขก
- โพสต์ของผู้เข้าพัก
- ให้คำแนะนำ
- แฮกเกอร์
- ฮาร์ดแวร์
- กัญชา
- อัตราการแฮช
- hashing
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จุดสูง
- ถือ
- หน้าแรก
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- มนุษย์สามารถอ่านได้
- หิว
- เป็นลูกผสม
- ICON
- ความคิด
- แยกแยะ
- ที่ผิดกฎหมาย
- ภาพ
- ส่งผลกระทบ
- เพิ่ม
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินเทล
- อยากเรียนรู้
- อินเตอร์เฟซ
- อินเทอร์เน็ต
- IP
- ที่อยู่ IP
- ที่อยู่ IP
- IT
- การเก็บรักษา
- คีย์
- กุญแจ
- เด็ก
- แล็ปท็อป
- ล่าสุด
- เปิดตัว
- กฏหมาย
- การบังคับใช้กฎหมาย
- รั่วไหล
- การรั่วไหล
- การเรียนรู้
- กฎหมาย
- ชั้น
- License
- เบา
- LINK
- รายการ
- จดทะเบียน
- การฟัง
- รายชื่อ
- โหลด
- ในประเทศ
- ที่ตั้ง
- นาน
- Mac
- ส่วนใหญ่
- การทำ
- เครื่องหมาย
- การจับคู่
- ภาพบรรยากาศ
- หน่วยความจำ
- โลหะ
- ตัวชี้วัด
- คนงานเหมือง
- การทำเหมืองแร่
- กระจก
- โทรศัพท์มือถือ
- อุปกรณ์มือถือ
- โทรศัพท์มือถือ
- เงิน
- เดือน
- ย้าย
- เครือข่าย
- เครือข่าย
- เครือข่าย
- นิวยอร์ก
- ข่าว
- ออนไลน์
- เปิด
- การดำเนินงาน
- ระบบปฏิบัติการ
- ความคิดเห็น
- โอกาส
- ตัวเลือกเสริม (Option)
- Options
- ใบสั่ง
- อื่นๆ
- ดับ
- รหัสผ่าน
- รหัสผ่าน
- ชำระ
- การชำระเงิน
- คน
- ปิง
- การวางแผน
- เวที
- พอดคาสต์
- นโยบาย
- สระ
- อำนาจ
- นำเสนอ
- ความเป็นส่วนตัว
- ความเป็นส่วนตัวและความปลอดภัย
- ส่วนตัว
- คีย์ส่วนตัว
- ผลิตภัณฑ์
- โปรไฟล์
- โครงการ
- ป้องกัน
- โปรโตคอล
- สาธารณะ
- คีย์สาธารณะ
- การประกาศ
- ยังมีคิวอาร์โค้ด
- แรม
- พิสัย
- RE
- ลด
- การวิจัย
- แหล่งข้อมูล
- REST
- ผลสอบ
- รางวัล
- ความเสี่ยง
- ม้วน
- เส้นทาง
- กฎระเบียบ
- วิ่ง
- วิ่ง
- ความปลอดภัย
- ประหยัด
- ขนาด
- จอภาพ
- ค้นหา
- รอง
- ความปลอดภัย
- เห็น
- เลือก
- ขาย
- บริการ
- ชุด
- การตั้งค่า
- Share
- ที่ใช้ร่วมกัน
- เปลือก
- ช้อปปิ้ง
- สั้น
- การปิด
- เงิน
- ง่าย
- หก
- เล็ก
- ภาพย่อ
- So
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- ความเร็ว
- เริ่มต้น
- ข้อความที่เริ่ม
- สหรัฐอเมริกา
- สถิติ
- Status
- การสมัครสมาชิก
- ที่ประสบความสำเร็จ
- สวิตซ์
- ระบบ
- การพูดคุย
- เป้า
- สถานีปลายทาง
- ข้อกำหนดและเงื่อนไข
- ทดสอบ
- การทดสอบ
- ข้อมูลพื้นฐานเกี่ยวกับ
- โลก
- เวลา
- เครื่องมือ
- ด้านบน
- หัวข้อ
- การติดตาม
- การจราจร
- การทำธุกรรม
- การแปลภาษา
- ล้านล้าน
- วางใจ
- เรา
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- บันทึก
- USB
- วีดีโอ
- วิดีโอ
- เสมือน
- VPN
- VPNs
- รอ
- นาฬิกา
- เว็บ
- เว็บเบราเซอร์
- เว็บเซิร์ฟเวอร์
- Website
- เว็บไซต์
- ความหมายของ
- WHO
- อินเตอร์เน็ตไร้สาย
- วิกิพีเดีย
- ลม
- หน้าต่าง
- ไร้สาย
- คำ
- งาน
- โรงงาน
- โลก
- คุ้มค่า
- YouTube
- เป็นศูนย์