Всім салют, дорогі друзі!
Сьогодні ми розповімо про те, як зі звичайного роутера зробити роутер, який забезпечуватиме всі ваші підключені пристрої анонімним інтернет-з'єднанням.
Погнали!
Як заходити в мережу через DNS, як налаштувати постійно зашифроване з'єднання з інтернетом, як захистити домашній роутер - і ще кілька корисних порад ви знайдете в нашій статті.
Щоб запобігти відстеженню вашої особи за конфігурацією маршрутизатора, необхідно відключити по максимуму веб-сервіси вашого пристрою та змінити стандартний ідентифікатор SSID. Як це зробити ми покажемо на прикладі Zyxel. З іншими роутерами принцип дії аналогічний.
Відкрийте сторінку конфігурації вашого маршрутизатора в браузері. Користувачам роутерів Zyxel для цього потрібно ввести "my.keenetic.net" в адресний рядок.
Тепер слід увімкнути відображення додаткових функцій. Для цього натисніть на три точки у верхньому правому куті веб-інтерфейсу і клацніть по перемикачу для опції «Advanced View».
Зайдіть в меню Wireless | Radio Network» та у розділі «Radio Network» введіть нову назву вашої мережі. Поряд з ім'ям для частоти 2,4 ГГц не забудьте змінити назву для частоти 5 ГГц. Як SSID вкажіть будь-яку послідовність символів.
Потім перейдіть до меню «Internet | Permit Access». Зніміть прапорець перед опціями "Internet access via HTTPS enabled" та "Internet access to your storage media via FTP/FTPS enabled". Підтвердьте зміни.
Побудова DNS-захисту
Насамперед змініть SSID свого роутера
(1). Потім в установках DNS вкажіть сервер Quad9
(2). Тепер всі підключені клієнти у безпеці
Ваш маршрутизатор також має використовувати альтернативний DNS-сервер, наприклад Quad9. Перевага: якщо цей сервіс налаштований безпосередньо на роутері, всі підключені клієнти автоматично заходитимуть в Інтернет через даний сервер. Ми пояснимо конфігурацію знов-таки на прикладі Zyxel.
Описаним у попередньому розділі чином розділі «Зміна імені роутера та ідентифікатора SSID» зайдіть на сторінку конфігурації Zyxel і перейдіть до розділу «Мережа Wi-Fi» на вкладку «Точка доступу». Тут поставте галочку у чекпойнті «Приховати SSID».
Перейдіть на вкладку «Сервери DNS» і виберіть опцію «Адреса сервера DNS». У рядку параметра введіть IP-адресу "9.9.9.9".
Налаштування постійного перенаправлення через VPN
Ще більше анонімності ви досягнете за допомогою постійного з'єднання VPN. У цьому випадку вам не доведеться більше турбуватися про організацію такого підключення на кожному окремому пристрої – кожен клієнт, з'єднаний з роутером, автоматично заходитиме до мережі через захищене VPN-підключення. Однак для цього вам знадобиться альтернативна прошивка DD-WRT, яку необхідно встановити на роутер замість прошивки від виробника. Це програмне забезпечення сумісне з більшістю роутерів.
Наприклад, на маршрутизаторі преміум-класу Netgear Nighthawk X10 є підтримка DD-WRT. Втім, ви можете використовувати як точку доступу до Wi-Fi і недорогий роутер, наприклад TP-Link TL-WR940N. Після вибору маршрутизатора слід вирішити, яку VPN-службу ви віддасте перевагу. У нашому випадку ми зупинилися на безкоштовній версії ProtonVPN.
Встановлення альтернативної прошивки
Після встановлення DD-WRT змініть DNS-сервер пристрою, перш ніж налаштовувати підключення за VPN.
Ми пояснимо встановлення на прикладі роутера Netgear, проте для інших моделей процес аналогічний. Завантажте прошивку DD-WRT та встановіть її за допомогою функції оновлення. Після перезавантаження ви опинитеся в інтерфейсі DD-WRT. Ви можете перекласти програму на російську мову, вибравши меню «Administration | Management | Language» варіант «Російський».
Перейдіть до пункту Setup | Basic setup» та для «Static DNS 1» пропишіть значення «9.9.9.9».
Також поставте прапорці перед наступними опціями «Use DNSMasq for DHCP», «Use DNSMasq for DNS» та «DHCP-Authoritative». Збережіть зміни клацанням на кнопку «Save».
У розділі Setup | IPV6» вимкніть «IPV6 Support». Тим самим ви запобігти деанонімізації через витоку IPV6.
Сумісні пристрої можна знайти в будь-якій ціновій категорії, наприклад, TP-Link TL-WR940N (близько 1300 руб.)
або Netgear R9000 (близько 28 000 руб.)
Конфігурація віртуальної приватної мережі (VPN)
Запустіть OpenVPN Client (1) у DD-WRT. Після введення даних доступу в меню Status можна перевірити, чи побудований тунель для захисту даних (2)
Для налаштування VPN необхідно змінити параметри ProtonVPN. Конфігурація нетривіальна, тому суворо дотримуйтесь вказівок. Після того як ви зареєструєтеся на сайті ProtonVPN, в налаштуваннях облікового запису завантажте файл Ovpn з вузлами, які ви хочете використовувати. Цей файл містить усі необхідні відомості для доступу. У випадку з іншими постачальниками послуг ви знайдете ці відомості в іншому місці, проте найчастіше у своєму обліковому записі.
Відкрийте файл Ovpn у текстовому редакторі. Потім на сторінці конфігурації роутера натисніть «Services | VPN» та на цій вкладці перемикачем активуйте опцію «OpenVPN Client». Для доступних опцій внесіть інформацію із файлу Ovpn. Для безкоштовного сервера в Голландії, наприклад, використовуйте в рядку "Server IP/Name" значення "nlfree-02.protonvpn.com", а в якості порту вкажіть "1194".
"Tunnel Device" встановіть на "TUN", а "Encryption Cipher" - на "AES-256 CBC".
Для "Hash Algorithm" задайте "SHA512", увімкніть "User Pass Authentication" і в полях "User" і "Password" вкажіть свої дані для входу в Proton.
Тепер настав час зайнятися розділом Advanced Options. "TLS Cypher" переведіть у положення "None", "LZO Compression" - на "Yes". Активуйте «NAT» та «Firewall Protection» і вкажіть число «1500» як «Tunnel MTU settings». "TCP-MSS" необхідно вимкнути.
У полі "TLS Auth Key" скопіюйте значення з файлу Ovpn, які ви знайдете під рядком "BEGIN OpenVPN Static key V1".
У полі Additional Configuration введіть рядки, які ви знайдете під Server Name.
На завершення для CA Cert вставте текст, який ви бачите в рядку BEGIN Certificate. Збережіть налаштування натисканням на кнопку «Save» та запустіть інсталяцію натисканням на «Apply Settings». Після перезавантаження ваш роутер буде пов'язаний з VPN. Для надійності перевірте з'єднання через Status | OpenVPN».
Поради для вашого роутера
За допомогою пари нескладних прийомів ви зможете перетворити свій домашній маршрутизатор на безпечний вузол. Перш ніж починати налаштування, слід змінити стандартну конфігурацію пристрою.
Зміна SSID Не залишайте назву роутера за промовчанням. По ньому зловмисники можуть зробити висновки про ваш пристрій та провести цілеспрямовану атаку на відповідні вразливості.
DNS-захист Встановіть DNS-сервер Quad9 як стандартний на сторінці конфігурації. Після цього всі підключені клієнти заходитимуть до мережі через безпечний DNS. Це також позбавляє вас від ручного налаштування пристроїв.
Використання VPN Через альтернативну прошивку DD-WRT, доступну для більшості моделей маршрутизаторів, ви зможете побудувати з'єднання VPN для всіх клієнтів, пов'язаних з цим пристроєм. Необхідність конфігурувати клієнти окремо відпадає. Вся інформація надходить до мережі в зашифрованому вигляді. Веб-служби більше не зможуть обчислити ваші реальні IP-адреси та розташування.
При виконанні всіх рекомендацій, викладених у цій статті, навіть фахівці в галузі захисту даних не зможуть причепитися до ваших конфігурацій, оскільки ви досягнете максимальної анонімності (наскільки це можливо).
Дякуємо за прочитання моєї статті, більше мануалів, статей про кібербезпеку, тіньовий інтернет та багато іншого ви зможете знайти на нашому [Telegram каналі](https://t.me/dark3idercartel).
Всім спасибі хтось прочитав мою статтю і ознайомився з нею.Сподіваюся вам сподобалося і ви відпишіть у коментарях, що думаєте з цього приводу?
Джерело: habr.com