Čisto pravi računalnik: Spletna previdnost in varnost (Pi-hole, PiVPN)
Raspberry Pi lahko v dom prinese zabavo in veselje, z nekaj dela pa si z njim lahko postavimo omrežne naprave, ki bodo naredila domače omrežje varnejše in zasebnejše. Za to bomo potrebovali le nekaj časa in v večini primerov dostop do domačega usmerjevalnika.
Za vse projekte v tokratnem članku boste potrebovali nameščen operacijski sistem Raspbian. Priporočamo, da namestite aktualno različico v obliki Lite, ki ne vsebuje grafičnega namizja in množice nepotrebnih programov. Z uradnega spletišča prenesite sliko, jo raztegnite in uporabite Etcher ali drug program za zapis slike na pomnilniško kartico. Tokratni projekti ne zahtevajo velike kartice, že 16 ali celo 8 GB bo dovolj.
Redni bralci rubrike že veste, da je najpriročneje takoj po zapisu slike na particiji boot zapisati še podatke o brezžičnem omrežju v datoteki wpa_supplicant.conf, omogočiti dostop SSH s prazno datoteko ssh, odvisno od opreme, ki jo uporabljate, pa tudi morebitne spremembe config.txt. Če večkrat nameščate svežo sliko operacijskega sistema, shranite vse tri datoteke na priročno mesto, da jih boste lahko naslednjič znova uporabili.
Ob prvem zagonu in priklopu na napravo Raspberry Pi ne pozabite posodobiti sistema in, še pomembneje, spremeniti gesla. Oboje je še posebej pomembno, če boste Raspberry Pi izpostavili internetu. Prvi ukazi po namestitvi naj bodo vedno
sudo apt update
sudo apt upgrade
sudo passwd
Preprečevanje sledenja in skrivanje oglasov
Sporne prakse pri spletnem oglaševanju so marsikomu trn v peti. Razne statistike kažejo, da zajeten del spletnih uporabnikov uporablja dodatke za brskalnike, ki onemogočajo prikazovanje reklam in onesposobijo sledilce. A to ni mogoče na vseh napravah. Mednje sodijo pametni televizorji, igralne konzole, večkrat tudi tablice in telefoni.
Strežnik Pi-hole lahko uporabite kot domači strežnik DNS, ki poskrbi za prevajanje spletnih naslovov v naslove IP strežnikov. Med tem prevajanjem se je mogoče precej enostavno znebiti nadležnih reklam in številnih načinov za sledenje vašemu deskanju po prostranstvih spleta. Pi-hole uporablja podobne sezname kot vtičniki za zatiranje spletnih oglasov, in jih uporabi za to, da zahteve za spletne oglase, sledilne skripte in podobno naprave v omrežjih ne bodo mogle naložiti.
Pi-hole lahko namestimo kot storitev na Raspbian (ali drug linuxni strežnik) ali pa kot kontejnersko storitev. Druga rešitev je zelo uporabna, če Raspberry že uporabljate kot strežnik, ki mu lahko dodate storitev. Če v vašem omrežju teče Home Assistant, ki smo ga opisali v tretjem članku te rubrike, lahko Pi-hole z enim klikom namestite kot dodatek. Podobno velja za medijski strežnik LibreELEC.
Namestitev Pi-hole je nadve prijazna in ne bo delala preglavic niti začetnikom. Mi ga bomo namestili v Raspbian. To naredimo z zagonom kratke skripte, ki nas pričaka na domači strani strežnika Pi-hole. Poskrbite, da jo boste pognali kot super-uporabnik.
sudo -i
curl -sSL install.pi-hole.net | bash
Skripta vas bo vodila po postopku namestitve in konfiguracije in namestitve manjkajoče komponente. Med namestitvijo lahko večinoma sprejmete privzete nastavitve, pozorni bodite le pri nastavitve naslova IP.
Ko je Pi-hole nameščen, ga morate samo še začeti uporabljati kot lokalni strežnik DNS. To naredite tako, da ga ročno nastavite kot strežnik DNS na napravah ali pa spremenite nastavitve DHCP vašega usmerjevalnika. Ta bo ustrezne nastavitve posredoval vsem priključenim napravam, res pa je, da bodo spremembe verjetno vidne šele čez nekaj ur, ali celo dni, odvisno od nastavitev usmerjevalnika. Za navodila poglejte v navodila za vaš tip usmernika, ne pozabite pa dodati še rezervnega strežnika DNS, ki bo prevzel prevajanje, če bo Pi-hole nehal delovati ali pa boste iz omrežja odklopili Raspberry Pi.
To so vsi potrebni koraki, Pi-hole vas že ščiti pred neželenim spletnim prometom. Če boste v spletnem brskalniku odprli naslov IP strežnika, boste lahko natančno spremljali delovanje.
Pi-hole je nedvomno eden najboljših načinov, da uporabite Raspberry Pi. Družina in drugi uporabniki domačega omrežja vam bodo hvaležni za ličnejše spletne strani in hitrejše brskanje po spletu. Pi-hole ima odlično dokumentacijo, zelo razvito skupnost, zato tudi v primeru zapletov ne boste imeli težav.
Navidezno zasebno omrežje
Če imate soliden usmerjevalnik, ta verjetno že podpira ustvarjanje povezave VPN v vaše omrežje. A namestitev strežnika OpenVPN na Raspberry je včasih boljša, mnogokrat pa enostavnejša rešitev. VPN boste potrebovali, če vas skrbi, da v javnih omrežjih kdo prisluškuje vašemu nešifriranemu spletnemu prometu, ali če želite svoje dejavnosti skriti pred ponudnikom storitev ali pred kom drugim z možnostjo nadzora nad internetnim prometom. In seveda zato, da boste lahko dostopali do kotičkov spleta, do katerih doma lahko, v službi, šoli ali v tujini pa ne.
Tudi začetna namestitev PiVPN je sila enostavna in se začne zelo podobno kot pri prej opisanem Pi-hole. Z uradne spletne strani skopirajte ukaz, ko ga boste pognali, bo iz spleta prenesel namestitveno skripto in namestil vse potrebno.
url -L install.pivpn.io | bash
Namestitveni postopek bo od vas zahteval nekaj odločitev, a za začetek bodo privzeto izbrane nastavitve dovolj. Pozorni bodite na statični naslov IP in namestitev bo kmalu končana.
Po namestitvi je treba ustvariti še profil za vsakega odjemalca, kot nas bo opozoril zadnji korak čarovnika za namestitev. Zaženite pivpn -add, vpišite uporabniško ime in geslo. V osebni mapi boste našli datoteko s končnico .ovpn, ki vsebuje vse potrebno, da lahko v računalnik ali mobilno napravo namestite odjemalce OpenVPN.
PiVPN ne premore nadzorne spletne strani, stanja povezav, dodajanja in preklica uporabnikov. Iskanje napak boste morali izvesti z že omenjenim pripomočkom pivpn.
Da bo omrežje VPN delovalo, boste morali poskrbeli še na omrežnem usmerjevalniku, ki bo moral dovoliti promet do Raspberry Pi s PiVPN. Podrobnosti tega koraka so specifične glede na vrsto usmerjevalnika, zato si pri tem koraku pomagajte z iskalnikom v spletu in ne obupajte prehitro. Ta korak zna precej verjetno povzročiti sive lase in pogrizene nohte.
Če boste želeli uporabiti obe predstavljeni orodji hkrati, kar je, mimogrede, zelo smiselno, bo treba spremeniti nekaj omrežnih nastavitev strežnika OpenVPN. Podrobna navodila boste našli v uradni dokumentaciji PiVPN.
Naprednejše funkcije
Navidezno zasebno omrežje in preprečevanje oglaševalskega prometa sta le dve izmed možnosti, za katere lahko izkoristite Raspberry Pi.
Še ena izmed možnosti je postavitev posredniškega (proxy) strežnika, ki bo zbiral in posredoval odhodni promet. To je lahko uporabno za blokiranje spletnih strani, če posredniški strežnik odprete v internet, pa omogoča delovanje, podobno VPN, kjer boste zunaj doma brskali po spletu, kot bi bili doma. V spletu pobrskajte za navodili za namestitev strežnika squid3, povezavo boste našli tudi v okvirčku s koristnimi povezavami.
Raspberry Pi lahko spremenite tudi v brezžično dostopno točko, ki posreduje promet po omreženi povezavi. To je uporabno v hotelih in drugod, kjer brezžično omrežje deluje slabo, omrežene povezave pa bolje. Povsem mogoče je, da boste s takšno rabo kršili pravila, ali je to ovira, pa presodite sami. Spletni naslov navodil boste našli v okvirčku s koristnimi povezavami.
Najzahtevnejši pa se lahko pozabavate in Raspberry Pi spremenite v posrednika spletnega prometa prek strežnika TOR. Tako boste brskali po spletu zares anonimno, v omrežju pa se vam ponujajo možnosti, ki jih javni splet ne pozna. Postopek presega okvire tega članka, smo pa priložili povezavo na video, ki ga je objavila uradna revija za Raspberry Pi, MagPi.
Kaj potrebujemo?
- Raspberry Pi, vsaj 2 Model B, priporočeno Raspberry 3 Model B+
- kartica SD velikosti 8 GB, priporočeno 16 GB, Class 10
- ustrezen usmernik, priporočeno Raspberry Pi Universal Power Supply
- nameščen PuTTY ali drug način dostopa na daljavo SSH
Dodatne komponente
- kabel HDMI in zaslon ali še bolje TV z vmesnikom HDMI
- uradno ohišje Raspberry Pi Case ali drugo ustrezno ohišje
- Pri intenzivni uporabi Raspberryja Pi je priporočena uporaba hladilnega rebra za procesor.
Objavljeno tudi v reviji Monitor.