אחת הדרכים הטובות להתגבר הן על צנזורה והן על חסימות גיאוגרפיות הוא שימוש ב-VPN טוב. יותר ויותר אנשים בישראל, הן מחשש הצנזורה והן מחשש מעקבים אלו ואחרים של השב"כ או המשטרה, פונים לדרך הזו של שימוש ב-VPN.
VPN, למי שלא יודע, זו תקשורת מאובטחת ופרטית שאני יוצר ביני לבין מחשב אחר. כל התנועה ביני לבין המחשב האחר מוצפנת. המחשב האחר בעצם יוצר את התקשורת עבורי לאתרים באינטרנט. אם המחשב האחר נמצא בחו"ל, במדינה שבה לרשויות הישראליות אין כוח או יכולת לבצע מעקב/חסימה, אני אהיה מוגן מהמעקב. הרשויות יראו שיצרתי תקשורת עם שרת ה-VPN אבל שום דבר מעבר לזה.
יש לא מעט ספקי VPN והודות לקלות השימוש, התפוצה של השירותים האלו בישראל היא גדולה. אבל חשוב לציין ש-VPN הוא לא כלי אנונימיזציה ובנוסף, התנועה בו גלויה לספק ה-VPN. יש ספקים אמינים, כמו פרוטון (שבו אני משתמש – זול, אמין ובטוח), שאין להם לוגים כלל והם לא מבצעים איסוף של המידע, אבל יש גם חברות אחרות יותר רעות. מהצד השני, כרגע יש איומים גדולים יותר על הפרטיות מצד הממשלה הישראלית. בנוסף, לפעמים השימוש ב-VPN הוא נטו לעקיפת חסימות גיאוגרפיות ואין לנו בעיה שהמידע ייחשף.
כאשר אני נרשם לשירות VPN, הדרך המקובלת להפעיל אותו היא עם שם משתמש וסיסמה ותוכנה קטנה המותקנת במחשב. ברגע שהיא מותקנת ומופעלת – כל התקשורת של המחשב עוברת דרך הVPN.
אבל בעוד שממש קל להשתמש ב-VPN במחשב או בטלפון, יש התקנים שקשה להשתמש בהם עם VPN. כמו למשל סטרימרים. מה קורה אם יש לי מכשירים שמחוברים לאינטרנט אבל אני רוצה שיעברו דרך VPN?
יש נתבים שניתן להתקין עליהם VPN. אבל אם אין לי כזה? או לחלופין – יש לי אבל אני לא רוצה שכל התנועה שלי תנותב דרכו? הפתרון – רשת אלחוטית נפרדת שניזונה מהאינטרנט שלי. כל מה שעובר דרכה? עובר דרך VPN. אני רוצה לראות סרט דרך נטפליקס האמריקאי? אחבר אותו לרשת הזו. אני רוצה לגלוש בטאבלט שלי מבלי שהשב"כ, המשטרה או כל אחד אחר ירחרח? אז אתחבר לשם. אני רוצה להכנס לאתרים שמיקי זוהר את שולי מועלם לא מרשים לי? הבנתם את הרעיון.
איך עושים את זה? בקלות רבה. כל מה שצריך זה מחשב לינוקס שמחובר לרשת בכבל רשת וגם לווי-פיי. את האינטרנט המחשב יקבל מכבל הרשת וישתמש בווי-פיי שלו על מנת לשדר. את החיבור ל-VPN הוא יעשה באמצעות קליינט בתוכנת קוד פתוח אולטרא פופולרית שנקראת Open VPN. בעוד שאפשר לעשות את זה בכל לינוקס שהוא בקלות, אנחנו נשתמש בצעצוע החביב עלי: רספברי פיי. שהוא מאוד נוח – הוא קומפקטי וקטן (אלו שלי שבשימוש קבוע יושבים בסלון בלי שרואים אותם), קל לו להיות דולק כל הזמן, הוא עובד היטב עם קירור פסיבי ולא עושה רעש. וגם הוא זול. אין שום מניעה לרכוש רספברי פיי במאתיים ש"ח ולסגור את הפינה הזו.
ניתן להתקין רשת אלחוטית על רספברי פיי בקלות. אבל אנחנו נהפוך את זה לקל הרבה יותר עם raspAP. הלחם של rasp מלשון רספברי ו-AP. ראשי תבות של Access point. שזו הרשת האלחוטית שאנו יוצרים.
השלב הראשון הוא לבצע התקנה של RaspberryOS על כרטיס זכרון, לאפשר SSH, ולחבר את הרספברי פיי לכבל רשת. אנו נתחבר עם SSH לרספברי פיי. אם כל זה נשמע לכם סינית – הקדישו כמה דקות למדריכים שיש בקטגורית רספברי פיי המסבירים איך עובדים מההתחלה עם רספברי.
השלב השני הוא התקנה של raspap. מדובר בממשק וובי וגרפי מאוד נוח לניהול שמבצע את כל ההתקנות וההגדרות בשבילנו ומספק לנו ממשק גרפי נוח לניהול. הכל כמובן בקוד פתוח.
מילת אזהרה: לשימוש ביתי רגיל והתנסות זה בטח ובטח מוצר מעולה. אבל יש כמה סיכוני אבטחה בשימוש במוצר כזה ברשתות עסקיות ובמקומות עם סיכון גבוה. caveat emptor!
אחרי שהתחברנו ל-SSH של הרספברי פיי, אנו נריץ:
curl -sL https://install.raspap.com | bash
מה זה עושה? זה לוקח קובץ פקודות שיש ב-https://install.raspap.com ומריץ אותו. הפקודות האלו ישאלו אתכם מגוון שאלות. האם אנחנו רוצים להתקין שרת אינטרנט בשביל הקונפיגורציות, האם אנו רוצים שהשרת ישתמש בעוגיות http only, האם אנו רוצים להתקין openvpn וכו'. על כל התשובות אנו רוצים לענות "כן". אפשר להוסיף לפקודה y- בסוף כדי למנוע את השאלות או פשוט לענות עליהן בעצמנו.
מה שהפקודות האלו עושות הן לבצע התקנה של access point עם הגדרות מובנות שכל מי שמתחבר אליו מקבל את ה-IP הפנימי *.10.3.141. בנוסף, מותקן שרת אינטרנט פשוט שמאפשר לנו שינוי של ההגדרות השונות באופן גרפי ו (הכי חשוב) מאפשר גם חיבור ל-openVPN ממש בקלות.
אחרי ההתקנה הפשוטה שכוללת גם ריסטארט, אנו נראה שנוצרת לנו רשת בשם raspi-webgui שאליה ניתן להתחבר עם הסיסמה ChangeMe. אנו נתחבר אליה ואז נכתוב בדפדפן את הכתובת הפנימית של הרספברי פיי ברשת הזו. http://10.3.141.1 – אנו נקליד את שם המשתמש admin והסיסמה secret. נכנס אל ממשק הניהול!
הדבר הראשון שעושים הוא לשנות את שם המשתמש והסיסמה למערכת הניהול. נכנס אל Authentication מהתפריט הצדדי. נקליד שם משתמש חדש, את הסיסמה הישנה (secret) ואז סיסמה חדשה. שימו לב לבחור סיסמה קשה והכי כדאי עם מנהל ססמאות.
שימו לב! אם אין לכם פיירוול: יש סיכוי שממשק הגישה הזה חשוף לרשת. חשוב לשמור על ססמאות ואבטחה!
הדבר השני שעושים הוא לשנות את שם הרשת והסיסמה למשהו מעט פחות מביך. נכנס אל Hotspot. בלשונית Basic נשנה את ה-SSID ובלשונית Security נכניס סיסמה חדשה. אחרי השמירה נלחץ על restart hotspot. אנו נכנס מחדש אל הרשת האלחוטית עם השם החדש והסיסמה החדשה ולממשק הניהול עם שם המשתמש והסיסמה החדשה.
הגדרת openVPN
יש לנו בעצם access point שמחברת אותנו לרשת. אבל אנחנו רוצים אחת כזו שתעבוד עם openVPN ועם ה-VPN שלנו. אני מסביר על פרוטון. שזו הבחירה והברירה שלי. אבל אפשר לעשות את זה עם כל VPN שהוא. אנו נכנס לממשק הניהול של ה-VPN שלנו ונצטייד מראש ב:
שם משתמש והסיסמה. יש ספקי VPN שמדובר באותם שמות משתמש וססמה לשירות עצמו. עם פרוטון שמות המשתמש הייחודיים ל-openVPN נמצאים ב-account.
קובץ ההגדרות של השרת שמולו אנו רוצים לעבוד. בפרוטון זה בממשק הניהול -> ב-Downloads. אנו בוחרים udp ואת השרת שמולו אנו רוצים לעבוד מהרשימה ומורידים את הקובץ. זה קובץ עם סיומת ovpn.
ניגש לממשק הניהול של Raspap. נכנס ל-openVPN, נקליד את שם המשתמש, את הסיסמה ונטען את הקובץ. אחר כך נכתוב save settings. אחרי שהמסך מתחלף, נלחץ על start openVPN. אם שם המשתמש והסיסמה תקינים, אנו נראה שיש נורית ירוקה ליד ה-openvpn up. הממשק הגרפי של openVPN בשעת כתיבת שורות אלו עדיין בשלב הבטא, אז מומלץ לרפרש את העמוד ולראות שהכל תקין, הנורית הירוקה עדיין דולקת וגם כתובת ה-IP השתנתה.
אם תכנסו ל whatsmyip תוכלו לראות שכתובת ה-IP החיצונית שלכם השתנתה. כל מכשיר שיהיה מחובר לרשת הזו, יהיה מחובר דרך השרת שאותו הגדרנו ב-openVPN. אנו רוצים פרטיות, אבטחה או לראות סרט בנטפליקס בחו"ל? אין בעיה. מתחברים לרשת הזו. כמו כל VPN, יש ירידה מסוימת במהירות הרשת. לא רוצים? אין כל בעיה, מתחברים לרשת הרגילה. הכל מאובטח, הכל בטוח ומיקי זוהר ושולי מועלם? יכולים לחוקק עוד חוק נגד אחוז החמצן באוויר.
פתרון בעיות
כל הבעיות שהיו לי היו התרחשו בגלל שלא הקלדתי את שם המשתמש והסיסמה כמו שצריך או שבטעות חשבתי ששם המשתמש והסיסמה ל-openVPN הן שם המשתמש והסיסמה של שירות ה-VPN. כדאי לוודא את זה. בכל מקרה, אם יש לכם בעיות ואתם לא מצליחים – הקלידו את הפקודה הבאה כדי לראות את הלוגים ולהבין למה openVPN לא עובד:
grep VPN /var/log/syslog
בנוסף, אולי הפתרון הטוב ביותר הוא לא לתת כוח מיותר לחברי כנסת מיותרים וטיפשים וכל מי שמאפשר את המעקבים של המשטרה והשב"כ. אבל זה כבר סיפור אחר.
7 תגובות
באופן כללי, כמה שירותים אפשר להתקין על אותו רספברי? אפשר שכל השירותים האלה שבכתבות הקודמות יפעלו על אותו מכשיר אבל כל אחד מהם עם פורט שונה?
תודה רבה!
אתה יכול להתקין שירותים אינסוף ככל שה rpi יעמוד בכך ומבחינת נפח אחסון ו RAM פנוי בעזרת דוקר
היי, תודה על המדריכים. יצא לך במקרה להתקין PiHole ו RaspAP על אותו מכשיר ?
שניהם משתמשים ב dnsmasq ויש קצת קונפליקטים
תודה.
כתבת שיש בעיות אבטחה בשימוש בפיתרון הזה ברשתות עסקיות ורגישות.
האם אתה יכול לפרט מה הבעיות?
כתבה מעולה!
אולם כתבת שיש בעיות אבטחה בשימוש בפיתרון הזה ברשתות עסקיות ורגישות.
האם אתה יכול לפרט מה הבעיות?
יש אפשרות לעשות את זה עם ESP32 במקור רספברי?
סליחה, אך טעות נפוצה לחשוב שVPN חוסם עוקבים. עדיין ניתן לראות איפה אתה נמצא באמת.
אני מפתח python, ורציתי לפתח דשבורד כמו google analytics לכן למדתי איך למעשה ניתן לזהות מיקום גאוגראפי ע"פ כתובת IP. למעשה, זה עובד כך פחות או יותר:
ארגון מחזיק DB עם מלא כתובות IP אחרות, שמלא אתרים כנראה מעבירים לו. ואז למעשה אותו אתר נותן שירות לאתרים אחרים באמצעות הDB שמאפשר לראות מיקום ע"פ IP.
טוב עכשיו מגיע החלק היותר מעניין: בDB יש אפשרות לראות האם בפעם האחרונה שהועבר מידע על הכתובת IP מהDB, המידע שהועבר הועבר מרשת TOR, או מרשת VPN. כך שלמעשה המידע חשוף לכל, ולדוגמא ב-IPINFO יש גם אפשרות לראות מה הכתובת IP האמיתית של המכשיר…
בקיצור… לא כזה בטוח הVPN וגם TOR לא משהו…