Настройка
1. Настройка DNS на Mikrotik
Если помните, в предыдущей статье мы много обсуждали, какой адрес DNS раздавать клиентам и куда форвардить запросы с маршрутизатора.
Для целей же нашего нового решения важно на маршрутизаторе указать в качестве DNS-серверов именно сервера нашего провайдера — чтобы они оставались доступны при блокировке сервиса за неуплату, например. Поэтому или настраиваем получение DNS от оператора по DHCP, или идем в Winbox по пути IP — DNS и в поле Servers прописываем адреса DNS-серверов провайдера.
2. Настройка VRRP на Mikrotik
Создаем новый VRRP интерфейс с привязкой к интерфейсу Bridge и навязываем на него наш виртуальный адрес. Можно сделать в Winbox, но гораздо проще сделать это в терминале:
Здесь vrrp-dns — это имя интерфейса (можете выбрать любое на свой вкус, главное совпасть в обеих командах), vrid — ID группы, можно тоже выбрать любой в диапазоне 1-255, нужно совпасть на обоих устройствах. Имя интерфейса bridge и IPv4-адреса нужно скорректировать под вашу домашнюю сеть.
После выполнения этого действия можно попинговать 192.168.1.9 — он уже должен отвечать с маршрутизатора, если пинг не закрыт файрволом.
UPD. Если у вас жесткие настройки файрвола — проверьте, что DNS на виртуальном адресе работает (nslookup google.com 192.168.1.9 с вашего компьютера). И если нет — добавьте разрешающее правило для 53/udp.
3. Настройка VRRP на Pi-Hole
Устанавливаем демон keepalived:
Создаем файл конфигурации демона /etc/keepalived/keepalived.conf:
Здесь обратите внимание на имя интерфейса, на котором сейчас работает Pi-Hole — в примере дефолтное ens160, у вас может быть другое (проверить можно, например, через команду ifconfig). Создаем скрипт проверки живости DNS /etc/keepalived/check_dns.sh:
Создаем скрипт проверки живости DNS /etc/keepalived/check_dns.sh:
И не забываем сделать его исполняемым:
С методикой проверки DNS вы можете экспериментировать как угодно. Для себя я выбрал проверку резолвинга адреса amazon.com. Плюс этого варианта в том, что TTL этой записи — 1 минута, поэтому дольше чем на минуту ваш Pi-Hole закэшировать запись не сможет и, соответственно, на это время максимум и отложится убегание сервиса в случае потери связи с миром. Основной принцип, который надо помнить — если скрипт выдает 0 в качестве error code, то keepalived будет считать, что всё хорошо, и добавит приоритета. Любой другой error code — и адрес уползет на Mikrotik.
Теперь достаточно перезапустить сервис и всё заработает.
Вы можете проверить, что теперь на адресе 192.168.1.9 отвечает Pi-Hole, самый простой способ проверки — это резолвинг имени pi.hole.
Обратите внимание, что резолвиться будет в адрес сервера Pi-Hole, а не в наш виртуальный IP — это правильно и так и должно быть.
4. Настройка DHCP на Mikrotik
Ну и наконец нам надо научить DHCP-сервис Mikrotik раздавать клиентам правильный адрес DNS. Это удобнее сделать из WinBox — там вы увидите все свои пулы. Идем по пути IP — Networks, смотрим глазами на все сети, которые у вас связаны с Pi-Hole сейчас и изменяем поле DNS Servers с адреса Pi-Hole 192.168.1.10 на виртуальный адрес 192.168.1.9.
Обновляем аренду адреса на компьютерах, проверяем, что получили правильный адрес DNS, проверяем, что резолвинг работает (например, командой nslookup pi.hole — уже без прямого указания имени используемого сервера). Радуемся.
Особо ответственные могут каким-либо образом сломать своему DNS-серверу резолвинг и проконтролировать, что по истечении таймаута виртуальный адрес переползет на Mikrotik. Но это уже зависит от вашей фантазии.
Использование ключей для доступа и шифрование трафика
Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2…
Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.
До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).
В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.
Настройка брандмауэра
Итак, Pi-hole и OpenVPN взаимодействуют. Теперь нужно открыть порт 53, чтобы разблокировать DNS-запросы, которые прошли через фильтры Pi-hole.
Чтобы веб-браузер работал правильно, откройте в брандмауэре порты для трафика HTTP и HTTPS.
Затем нужно разблокировать трансмиссии udp и tcp в диапазоне IP-адресов 10.8.0.0/24 до 10.8.0.1 по порту 53. Это позволит DNS-запросам из IP-диапазона VPN пройти в Pi-hole для фильтрации.
Также нужно разрешить веб-трафику в диапазоне 10.8.0.0/24 проходить через VPN-сервер по адресу 10.8.0.1 и порту 80.
Перезапустите UFW.
Если брандмауэр перезапустился успешно, вы увидите:
Как настроить Pi-hole на Raspberry Pi
1. Скачиваем образ операционной системы Raspbian с официального сайта.
Лучше выбирайте версию Raspbian Buster with desktop, чтобы при необходимости получить систему с графическим интерфейсом и рабочим столом. В противном случае все манипуляции с устройством придется делать через командную строку.
2. Скачиваем и устанавливаем приложение Etcher для записи образа на карту памяти.
3. Подключаем карту памяти microSD к компьютеру. Да, тут могут возникнуть трудности. Для большинства современных Mac потребуется внешний адаптер, а может еще и переходник с SD на microSD карты.
4. Записываем образ Raspbian на карту памяти при помощи приложения Etcher.
5. Устанавливаем карточку в Raspberry Pi и подключаем “малинку” к сети.
Далее потребуется определить способ управления нашим одноплатником. При наличии USB-клавиатуры и монитора можно вывести картинку на экран, а можно открыть доступ по протоколу SSH и настраивать систему удаленно.
6. В Терминале на Raspbian или в Терминале на компьютере при SSH подключении вводим команду:
7. В разделе Network options настраиваем Wi-Fi, если первый раз подключались по кабелю.
Обратите внимание, что для подключения к сети 5 ГГц необходимо в конфигурации Raspbian перейти в раздел Network options – Change Wi-Fi Country и указать регион US. В противном случае система будет видеть только 2.4 ГГц сети
8. В настройках своего роутера задаем для Raspberry статический IP-адрес.
9. Выполняем на “малинке” скрипт для установки Pi-hole командой:
10. В процессе установки выбираем DNS-сервер провайдера. Можно остановиться на Google или OpenDNS и выбираем предложенные списки адресов для блокировки контента.
11. Соглашаемся на установку веб-интерфейса.
12. На последнем шаге запоминаем сгенерированный пароль для входа в систему.
13. После окончания процесса в браузере на компьютере или смартфоне переходим по адресу: http://ip-адрес-малинки/admin и авторизуемся при помощи полученных учетных данных.
Установка пи-дыры
Pi-hole упрощает загрузку и запуск с помощью однострочного скрипта, который запускает установщик на основе меню. Если у вас есть опыт работы с Linux и сетями, вам не понадобится слишком много помощи. Вот как я установил Pi-hole, шаг за шагом.
Первое, что вам нужно сделать, это открыть окно консоли, если вы используете графическую версию Raspbian. Если вы не установили менеджер окон, вы можете сделать это прямо из командной строки.
Pi-дыра использует локон загрузить сценарий установки, который затем выполняется удар ракушка. Вот команда, которую нужно ввести: sudo curl -sSL https://install.pi-hole.net/ | удар
Установщик проверит, чтобы убедиться, что у вас есть необходимые привилегии, и убедитесь, что у вас достаточно места на диске..
Тогда вас попросят нажать Ok начать установку Pi-hole.
Настройка DNS на Pi-hole
Самым первым шагом процесса установки является настройка DNS-сервера Pi-hole..
Pi-hole будет обрабатывать все запросы DNS, чтобы заблокировать мобильную рекламу, но остальное передает другому провайдеру DNS.. и OpenDNS оба безопасных выбора.
Если вам нужны расширенные функции конфиденциальности, такие как DNSSEC и DNScrypt, Pi-hole рекомендует выбрать DNS-серверы Google или Norton..
Я решил использовать DNS-серверы Google с этой установкой и добавил их в OpenDNS и пользовательских серверах в качестве резервной копии на более позднем этапе..
Если вы используете VPN, вам нужно выбрать изготовленный на заказ и введите DNS-серверы вашего провайдера VPN. Пользователи IPVanish должны установить пользовательские DNS-серверы на 198.18.0.1 и 198.18.0.2. Если вы используете другого провайдера VPN, вам нужно поискать в Интернете их DNS-серверы или проверить файлы конфигурации VPN.
Настройка вашей сети
Как только вы сообщили Pi-hole, куда отправлять ваш DNS-трафик, следующим шагом будет информирование Pi-hole о вашей локальной сети. Вам нужно установить адрес шлюза и назначить Pi-hole статический IP.
Pi-hole будет блокировать мобильную рекламу в сетях IPv4 и IPv6. Поскольку я не использую IPv6 в своей локальной сети, и большинство людей этого не делают, я думаю, что сейчас стоит снять флажок с IPv6. Отключение IPv6 немного уменьшит использование памяти Pi-hole.
Далее вам будет предоставлена возможность просто сделать назначенный IP-адрес статическим. Есть несколько причин, почему вы должны нажать нет и вручную назначить адрес
Наиболее важно то, что вы не хотите назначать статический адрес из пула DHCP, потому что это может привести к конфликту, когда ваш маршрутизатор попытается снова передать адрес
Но прежде чем двигаться дальше, запишите шлюз IP-адрес, он вам скоро понадобится.
Мне нравится устанавливать IP-адрес x.x.x.2 / 24. В большинстве случаев это будет 192.168.1.2/24 или 10.0.0.2/24. Традиционно ваш шлюз-маршрутизатор назначен x.x.x.1 / 24 и DNS-серверы получают адрес, очень близкий к этому.
Вы также захотите отметить выбранный вами IP-адрес Pi-hole. Это понадобится тебе позже.
Теперь вам нужно указать IP-адрес вашего маршрутизатора, тот же, который Pi-hole показал вам на предыдущем шаге. Введите его и нажмите Ok.
Вас попросят подтвердить ваш статический IP-адрес. Если все выглядит правильно, нажмите да.
Завершение установки
Последняя часть установки посвящена включению или отключению нескольких основных служб в Pi-hole..
Убедитесь, что вы установили веб-интерфейс. Он понадобится вам для управления Pi-hole после его установки..
Я также включил ведение журнала, чтобы мои графики работали правильно. Если вы используете несколько разных серверов на Raspberry Pi, или если это старая модель, вы можете отключить ведение журнала, чтобы освободить немного больше памяти.
Вам захочется отключите ведение журнала, если вы используете Pi-hole с VPN для того, чтобы защитить вашу конфиденциальность. Pi-hole хранит журналы в реальном времени о том, какие сайты он блокирует, а какие пропускают, чтобы генерировать графики использования — и эти журналы не шифруются.
Установка начнется с использованием выбранных вами настроек. Вы можете наблюдать за его прогрессом в консоли, но если вы используете стандартную сборку Raspbian, она будет успешно завершена.
Когда Pi-hole установлен, вы увидите краткую сводку настроек. Запишите пароль администратора, который выбрал для вас Pi-hole. Он понадобится вам для входа и настройки сервера на следующем шаге..
Прежде чем нажать Ok Чтобы завершить установку, рекомендуется добавить в закладки ссылку на веб-интерфейс Pi-hole на вашем компьютере..
Что нового в WiFi 6?
Точки доступа с поддержкой WiFi 6, и соответственно, более безопасных технологий WPA3 уже доступны для потребителя. Например, у Zyxel выпущена линейка точек доступа бизнес-класса Unified Pro.
Точки доступа Unified Pro Zyxel WAX510D, Unified Pro Zyxel WAX650S, Unified Pro Zyxel NWA110AX поддерживают стандарт 802.11ax (Wi-Fi 6) и управление из облака Nebula, что позволяет применять их для повышения уровня безопасности и скорости работы сети.
Рисунок 2. Точки доступа Unified Pro Zyxel WAX650S и Unified Pro Zyxel WAX510D.
Ниже мы рассмотрим самые важные нововведения, которые появились в стандарте 802.11ax (WiFi 6).
WPA3-Enterprise 192-bit mode
Улучшения в криптографии в первую очередь затронули именно WPA3-Enterprise — это действительно более стойкий и переработанный стандарт.
Для повышения уровня безопасности, WPA3-Enterprise использует:
- 256-битный протокол Galois/Counter Mode — для шифрования,
- 384-битный Hashed Message Authentication Mode — для создания и подтверждения ключей;
- алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm — для аутентификации ключей.
В WPA3-Enterprise применяются следующие комбинации шифров, используемых для согласования настроек безопасности во время рукопожатия SSL / TLS:
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384;
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384, RSA от 3072 бит;
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 — «облегченный» режим, без EC, RSA от 3072 бит, DH-группа 15.
WPA3-Personal на смену WPA2-PSK
В качестве замены Pre-Shared Key, о проблемах которого уже сказано выше, в WPA3 используется метод аутентификации SAE, (стандарт IEEE 802.11-2016)
В основу работы положен принцип равноправности устройств. В отличие от обычного сценария, когда одно устройство объявляется как отправляющее запрос (клиент), а второе — устанавливающее право на подключение (точка доступа или маршрутизатор) и они обмениваются сообщениями по очереди, в случае с SAE каждая из сторон может послать запрос на соединение, после чего происходит отправка удостоверяющей информации.
При подключении и идентификации используется метод dragonfly handshake, с применением криптографической защиты для предотвращения кражи пароля.
SAE предоставляет защиту от атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK ), а также от наиболее распространённых offline атак по словарю, когда компьютер перебирает множество паролей, чтобы подобрать подходящий для расшифровки информации, полученной во время PSK-соединений.
В SAE также добавлена дополнительная функция forward secrecy, повышающая уровень безопасности. Предположим, злоумышленник получил возможность сохранить зашифрованные данные, которые маршрутизатор транслирует в Интернет или локальную сеть, чтобы после подбора пароля расшифровать их. При переходе на SAE шифрующий пароль меняется при каждом новом соединении, поэтому злоумышленник получит только пароль от данных, переданных после вторжения.
Enhanced Open — защита открытых сетей
Это отдельный протокол, разработанный для защиты соединений в открытой сети. Под открытыми сетями на данный момент понимаются сети, когда не требуется предварительная аутентификация, например по ключу (паролю), который в дальнейшем используются как ключ для шифрования.
В Enhanced Open применяется свой метод защиты от перехвата трафика — Opportunistic Wireless Encryption, OWE, описанный в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Также обеспечивается защита от метода unsophisticated packet injection, когда злоумышленник препятствует работе сети через передачу специальных пакетов данных.
Рекомендуемая сфера применения Enhanced Open — защита гостевых и публичных сетей от пассивного прослушивания.
Защита WiFi
Первое, с чего надо начать — это безопасность сети Вай-Фай, ведь именно она чаще всего становится объектом атак различных хулиганов. И это не удивительно! Как подсказывает мне мой опыт, в лучшем случае пользователи ограничиваются сменой пароля WiFi с заводского варианта на свой собственный. И всё. А ведь это только треть от необходимых действий.
На сегодняшний день необходимо использовать только стандарт безопасности WPA2-PSK с шифрованием AES. Сейчас, зачастую, используется смешанный вариант WPA/WPA2, который не является безопасным с точки зрения взлома.
Очень важный, на мой взгляд, момент — это технология WPS, которая тоже включена на роутере «из коробки». Это одна из главных уязвимостей, благодаря которой взлом WiFi занимает немного времени даже у среднестатистического школьника. WPS необходимо отключить в настройках беспроводной сети
Если уж Вам очень важно, чтобы эта опция работала — хотя бы отключите WPS PIN, чтобы можно было использовать функцию только с помощью специальной кнопки
Если Вы живёте в многоэтажке или ином месте, где высокая концентрация беспроводных сетей, то не лишним будет скрыть свой Вай-Фай отключив широковещательную трансляцию SSID.
В тех случаях, когда к Вашему роутеру часто подключаются посторонние — друзья, знакомые, клиенты и т.п., то есть смысл активировать на роутере изолированную гостевую сеть. Её клиенты будут без проблем выходить в Интернет, но вот устройства Вашей домашней сети видеть не будут!
Если Ваш WiFi маршрутизатор умеет блокировать незарегистрированные на нем устройства и Вы редко подключаете к нему новые гаджеты, то есть смысл активировать такую функцию защиты.
Маскировка местоположения
Чтобы во время прогулки по Сети оставаться полностью анонимным, необходимо пользоваться VPN (Virtual Private Network). В этом случае ваши веб-данные будут передаваться в зашифрованном виде на сервер, служащий шлюзом. Даже ваш провайдер не сможет отследить, на каких сайтах вы бывали. Ваша безопасность и анонимность, однако, зависят исключительно от поставщика услуг VPN. Хорошую славу, к примеру, заслужил сервис Proton VPN, серверы которого располагаются в Швейцарии. Его преимущество заключается в том, что он по закону обязан не сохранять никакой информации о подключениях. И кстати, большинство функций — бесплатные.
Под Windows сервис предлагает собственное ПО, позволяющее вам выбрать отдельные шлюзы. В то же время на смартфоне ваши веб-данные защищены с помощью приложения ProtonVPN (дополнительную информацию см. в разделе «Герметизация мобильных устройств»). Дополнительными функциями безопасности оснащено приложение ProtonVPN Plus, которое обойдется вам в восемь евро (около 600 рублей) в месяц. За эти деньги ваша информация будет направляться в Интернет через специальный сервер, особым образом защищенный от хакерских атак. Кроме того, в этом случае используется не одна VPN, а две последовательно подключенных сети. При желании услуги сервиса можно оплатить биткоинами — абсолютно анонимно.
Работа в конфиденциальной ОС
Благодаря встроенному браузеру Tor система Tails отлично подходит для анонимного интернет-серфинга.
Самую полноценную защиту обеспечивает особая, изолированная от Windows операционная система. С версией Linux Tails, нацеленной на конфиденциальность, безопасность и анонимность, вы сможете спокойно перемещаться по Всемирной паутине. При этом усиленная Linux на базе Debian запускается в качестве самостоятельной системы, благодаря чему потенциальные вирусы не смогут проскользнуть в Windows.
Бонусом к системе вы получаете браузер Tor. С его помощью вы сохраните анонимность в Сети, поскольку в таком случае, подобно VPN, вся информация пересылается в Интернет в зашифрованном виде через несколько узлов. Отследить вас просто невозможно, если только вы не сделаете ошибку и не войдете в какой-либо аккаунт под своим логином и паролем. Такие действия позволяют соотнести вашу личность с вашим IP-адресом. Вас смогут отслеживать через Cookies до тех пор, пока либо вы не получите новый IP, либо не удалите эти cookies. Это происходит, однако, лишь после перезагрузки системы Tails.
- Что такое Trusted Computing: объясняем по-простому
- Прячем личные данные: какие приложения имеют доступ к вашей учетной записи Google
Ищете надёжный VPN-Сервис?
Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.
И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.
Блокировка слежки онлайн-активности в браузере
Прежде чем использовать браузер BitBox полностью отключите сохранение данных
После того как вы скрыли данные о своем местоположении от провайдера, следует заняться отслеживанием. Практически каждая коммерческая веб-страница идентифицирует своих клиентов посредством cookies и процедур отслеживания. Результат: если ежедневно не очищать историю своего браузера, рекламные корпорации могут составить отличный профиль вашего поведения в Сети. Предотвратить это способен браузер, ориентированный на конфиденциальность, например Cliqz. Поисковые запросы в этом продукте анонимны; защита от отслеживания и блокировка всплывающих окон спасают от целевой рекламы.
В дополнение к защите, предоставляемой браузером, рекомендуется использование анонимного DNS-сервера Quad9. В этом случае такая информация, как адресные запросы и то, под каким IP осуществлялся вход на определенные адреса, проходит через сервер абсолютно анонимно. Чтобы иметь возможность работать через него, зайдите в Windows в «Панель управления | Сеть и Интернет | Центр управления сетями и общим доступом | Изменение параметров адаптера | Протокол Интернета версии 4». Здесь для DNS-сервера внесите адрес «9.9.9.9» и подтвердите изменения нажатием на «ОК».
Еще более безопасным и анонимным, однако гораздо менее удобным является браузер BitBox. Он автоматически запускается в виртуальной среде, однако не рекомендуется к использованию на слабых компьютерах. Современные же устройства получат полностью защищенную от любых атак среду. Поскольку BitBox удаляет cookies по завершению работы, у средств отслеживания не остается ни малейшего шанса на успех.
Проблемы в данном случае может создать лишь новая уязвимость Meltdown. Через нее злоумышленники способны получить доступ к памяти хост-компьютера несмотря на вашу работу через виртуальный браузер. Впрочем, для Windows уже существует патч, который следует немедленно установить, пока ничего не случилось.
Локальная сеть дома: как настроить так, чтобы не взломали?
Когда-то защита локальной сети для домашних пользователей была достаточно тривиальной. Всё было просто! К каналу с ADSL подключали несколько рабочих станций по «витой паре» через маршрутизатор, и на каждый из компьютеров ставили антивирус. Вот и всё, оставалось лишь следить за обновлениями софта. Но прошло 10 лет и ситуация полностью изменилась. В современном доме множество гаджетов пытается выйти в Интернет! От умных часов с WiFi — до локальных сетевых хранилищ с торрент-клиентами. От традиционных ПК — до аудиосистем Hi-End с сетевыми мостами. И от 4G-смартфонов — до крохотных Ethernet-модулей для управления «умным домом»! Добавим сюда вероятные уязвимости домашнего сетевого оборудования — и получим целый зоопарк разнородных устройств, нуждающихся в квалифицированном присмотре (который раньше требовался только предприятиям).
Отключите UPnP (Universal Plug n Play)
UPnP на самом деле очень полезен для роутера, поскольку он позволяет ему взаимодействовать с веб-сайтом производителя для скачивания обновления и других файлов. UPnP – это протокол, который позволяет интеллектуальным устройствам подключаться к Интернету для получения интеллектуальных функций.
К сожалению, UPnP также могут легко использовать хакеры в собственных целях. Был случай, когда киберпреступникам удалось через UPnP добавить около 65 000 роутеров в ботнет для совершения различных преступлений, включая фишинг, мошенничество с кредитными картами, кражу учётных записей, накрутку кликов и распространение вредоносного ПО. Кроме того, UPnP также использовался и для других атак вредоносных программ.
Именно поэтому лучше отключить возможности и совместимость UPnP на роутере и смарт-устройствах. Чтобы вы могли использовать утилиты UPnP и на своих смарт-устройствах, сначала настройте UPnP и запустите его, а затем отключите.
Разместите роутер в центре дома
«Действительно ли так важно, где стоит мой роутер?»
Да, это важно. И дело не только в том, чтобы Wi-fi хорошо работал во всех комнатах
А в том, чтобы посторонние не имели доступа к сигналу вашего Wi-Fi.
Если вы разместите роутер близко к окну, часть его сигнала уйдёт наружу, и прохожие смогут поймать его на своих мобильных устройствах. В то же время, если роутер стоит слишком близко к стене, то высока вероятность, что ваш сосед может поймать сигнал вашего Wi-Fi.
Вот почему стоит разместить роутер в центре дома. Это гарантирует, что посторонние люди не будут иметь возможности использовать ваш сигнал Wi-Fi. Вы даже можете попробовать проверить диапазон сигнала, пройдясь возле своего дома с телефоном в руке, чтобы увидеть, обнаруживает ли он сигнал вашего Wi-Fi.
К сожалению, этот способ не будет слишком эффективным, если вы живёте в многоквартирном доме, так как ваши соседи сверху или снизу могут поймать сигнал вашего роутера независимо от того, где вы его разместите в квартире. Этот способ работает эффективнее, когда вы живёте в частном доме.
Логика решения и немного теории
Чтобы не превращать статью в совсем уж деревянную инструкцию «нажмите третьим пальцем левой руки на кнопку W», расскажу самую базовую теорию того, что мы пытаемся сделать.
Итак, название протокола VRRP расшифровывается как Virtual Router Redundancy Protocol и он входит в группу протоколов NHRP (Next-Hop Resolution Protocol). Почему-то многие люди считают, что с использованием этих протоколов можно резервировать только адреса шлюзов по умолчанию, хотя, разумеется, это не так. Самому протоколу совершенно без разницы, какие сервисы с его помощью резервируются, он работает на третьем уровне модели ISO/OSI и фактически просто создает виртуальный IP-адрес, который будет перемещаться между устройствами, входящими в VRRP-группу, по определенным критериям. Очевидно, что такая логика подразумевает существование этого адреса только на одном устройстве, поэтому обеспечить, например, балансировку нагрузки между серверами с помощью стандартного VRRP нельзя (но в нашем случае этого и не требуется). Для тех кейсов, где это необходимо, существует, например, проприетарный протокол Cisco GLBP, где адрес активен одновременно на всех устройствах группы, а балансировка осуществляется за счет разных ARP-ответов. По подобной GLBP логике работает и протокол CARP.
В случае VRRP все устройства, входящие в группу, анонсируют себя через рассылку мультикаст-пакетов на адрес 224.0.0.18, внутри которых передается множество технической информации. Из нее нам важен один параметр — приоритет. Логика простая — все устройства, входящие в группу, меряются приоритетом, у кого больше, тот и победил и приземлил на себя виртуальный IP группы. Остальные сидят в засаде и ждут, пока победитель зазевается и умрет (перестанет слать нужный мультикаст), в этом случае опять проходят выборы и опять побеждает устройство с наибольшим приоритетом. Если устройств с одинаковым приоритетом несколько — побеждает больший IP-адрес, но хорошим тоном считается таких ситуаций избегать и разруливать приоритеты явно.
Большим плюсом для нас является возможность изменять приоритет на ходу. У Cisco используемая для этого фича, например, называется Enhanced Object Tracking. Но она такая есть у любой известной мне имплементации протокола, в том числе и у линуксового демона.
На основе этой фичи вырисовывается логика всей нашей конструкции:
- Настраиваем на нашем маршрутизаторе в качестве основных DNS сервера провайдера
- Настраиваем между маршрутизатором и Pi-Hole VRRP с приоритетами 100 на маршрутизаторе и 90 на Pi-Hole
- Создаем на Pi-Hole скрипт, проверяющий работоспособность DNS и при успешности повышающий приоритет на Pi-Hole до 110
- Раздаем домашним клиентам по DHCP наш виртуальный IP-адрес как адрес DNS.
Установите защиту от вирусов и вредоносных программ для своего Wi-Fi
Да, сервисы для защиты от вредоносных программ и вирусов для роутеров на самом деле существуют. Возможность их настройки полностью зависит от марки роутера. Это дополнительная мера для защиты домашнего Wi-Fi. Вредоносные атаки ранее были нацелены на роутеры, так что не стоит недооценивать риски.
Защита от вредоносных программ и вирусов для Wi-Fi может быть как в программном, так и в аппаратном форматах. Вот некоторые из лучших решений для защиты роутеров, сети и подключённых к ней устройств:
- BullGuard
- Avast Smart Home Security
- McAfee Secure Home Platform
- F-Secure SENSE
- Bitdefender BOX
Установка Raspbian
Чтобы установить операционную систему Raspbian на SD-карту, вам понадобится компьютер с подходящим карт-ридером. Если карта памяти уже была прежде в использовании, отформатируйте ее кликом правой кнопкой мыши, выбором «Форматировать», а затем — настройки по умолчанию (FAT32). Скачайте образ Raspbian Strech Lite и программу Etcher Portable (оба файла вы найдете также на CHIP DVD). Запустите Etcher и выберите через команду «Select image» zip-файл с системой Raspbian.
Важно: с помощью центральной кнопки «Change» убедитесь, что выбрана нужная SD-карта, а затем нажмите на «Flash!». Когда Etcher завершит запись, ответьте отрицательно на вопрос от Windows, следует ли отформатировать носитель (как и всегда, когда карта вставлена в ПК)
Отсоедините карту и снова вставьте ее в ридер. В Проводнике вы увидите на карте лишь небольшой загрузочный раздел объемом в несколько десятков мегабайтов. Нажав на клавишу , кликните по буквам диска справа и выберите из Windows 10 «Открыть окно PowerShell здесь» (Windows 7: «Открыть окно команд»).
В окне командной строки введите «fsutil file createnew ssh 0» (последний символ — ноль). Это самый надежный способ создать пустой файл под названием «ssh» без расширения. Он необходим для того, чтобы впоследствии вы смогли получить доступ к Raspberry через сеть. Теперь извлеките SD-карту и установите ее в Raspberry Pi. Подключите этот компьютер сетевым кабелем к роутеру, а кабелем Micro-USB — к источнику питания (выполняя рекомендации из раздела «Экономия энергии с Pi-Hole»!), а затем загрузите готовую систему.