Ростелеком ТВ 

Программа для чтения скорости жесткого диска. Определение скорости жёсткого диска. Программа для тестирования скорости работы накопителей – CrystalDiskMark

Многие современные домашние роутеры по сути представляют собой мини-компьютер - у которого разве что нет монитора и мыши/клавиатуры. Впрочем, учитывая назначение этих самых железяк, последнее - вовсе не проблема.

Как правило, в базовой прошивке роутер умеет раздавать интернет на один или несколько LAN-портов, а также обслуживать собственную беспроводную сеть. Более продвинутые модели зачастую включают один или несколько портов USB, куда можно подключить, например, принтер или флэшку с файлами.

Однако всё богатство возможностей этого железа открывается при использовании открытых прошивок. Для новичков - dd-wrt, для более продвинутых - серия open-wrt и прочие wrt-based.
В настоящей статье речь пойдёт о настройке анонимизированной wifi-точки на базе роутера Asus RT-N16 с прошивкой dd-wrt и optware.

Изначальная идея не нова - она давно витает в воздухе, и одна из реализаций даже как-то анонсировалась на Хабре. Тем не менее, что касается деталей - то их, как правило, не найти. В рядовых «how-to» я этого не нашёл, а явно знающим гуру, видимо, не до написания подобных инструкций. Поэтому пришлось во всём разбираться самому. Ну и заодно фиксировать сделанное - на будущее.

Итак, имеем роутер с прошитым dd-wrt. У этой специфической модели, увы, нет поддержки Open-wrt (или, по крайней мере, не было на тот момент, когда это потребовалось. Сейчас уже появилась бета, но она пока что не претендует на стабильность).

Что потребуется ещё? Если ограничиться только лишь tor, то, возможно, ничего. Можно обойтись без всего optware и даже без внешней флэшки. Нужно лишь найти, куда упихать в роутер около 1,5Мб бинарника. Я, тем не менее, поднимал у себя не только лишь точку доступа, а полноценный домашний сервер, основной задачей которого было поддерживать сеть (основные службы - DNS, DHCP), раздавать интернет, содержать небольшую (гигабайт этак на 500) файлопомойку с доступом по NFS (ну, звиняйте. Windows не использую, поэтому SAMBA не нужна), самостоятельно пополнять эту файлопомойку свежими торрентами, хостить несколько веб-морд для разных поделок (весь фарш: - lighttpd, php, mysql и даже sphinx), служить failsafe-сервером для загрузки Ubuntu по сети (чтобы при надобности в «мёртвое тело» вставлять не флэшку с образом, а сетевой кабель). И, видимо, всё (а может и забыл чего). Для того, чтобы внешне всё было красиво и с минимумом проводов - жёсткий диск на 640гб для всего задуманного был помещён прямо внутрь роутера, и свободного места тем самым существенно прибавилось. А tor на роутере ставился, скорее, из любопытства. Однако - прижился и стабильно работает.

Для установки и настройки необходим доступ к роутеру через telnet или (что гораздо безопаснее) через ssh. Доступ можно устроить (или подсмотреть) в веб-интерфейсе dd-wrt.
Сперва устанавливаем tor:

Root@DD-WRT:~# ipkg install tor

Затем правим его конфиг. В случае с optware он располагается в /opt/etc/torrc. Опять же, замечу, что путь к конфигу по умолчанию вовсе не является обязательным. Программу всегда можно запустить с другим файлом конфигурации, но его придётся явно указывать в опциях запуска. В этом плане путь по умолчанию всё же проще, покуда делает запуск программы более лаконичным.

Конфиг по умолчанию хорошо прокомментирован, и основную настройку можно произвести, просто читая эти комментарии, без всяких сторонних руководств. В моём случае роутер обслуживает домашнюю сеть 192.168.1.0/24. В ней я решил сделать классический tor с доступом как через прокси socks5 на порту 9100. Помимо этого я решил сделать анонимизированную точку доступа, которая пустит пользователей в сеть 192.168.2.0/24, где вся связь с внешним миром будет лишь через tor (прозрачный прокси), либо просто обрублена. Иными словами - мы имеем wifi-точку, подключившись к которой мы никак не попадём ни к соседям из той же сети (192.168.2.0/24), ни в мою домашнюю сеть (192.168.1.0/24), ни на локальные сервисы роутера. А можем попасть только в интернет, причём только анонимным образом (через tor).

Для этого в конфиге прописаны следующие локальные параметры:
Для домашней сети:

SockListenAddress 192.168.1.5:9100

По сути это означает, что для того, чтобы попасть анонимно в интернет я должен настроить браузер на подключение через socks5-прокси с указанным адресом (это внутренний адрес роутера).

Для анонимной сети:

TransPort 9040
TransListenAddress 192.168.2.1
DNSPort 9053
DNSListenAddress 192.168.2.1

В анонимной сети клиенты никуда подключаться не будут, а указанные порты и адрес нужны лишь для настройки правил iptables.

Помимо этих настроек также имеет смысл назначить адрес виртуальной сети:

VirtualAddrNetwork 10.192.0.0/10

Этот адрес необходим в случае перехода по внутренним анонимным сервисам (т.н. "hidden service") тор-сети. Это адреса сайтов, располагающиеся в домене.onion. Такого домена в реальной жизни нет; однако будучи в tor, их собственный DNS распознаёт такие адреса и выводит вас к нужному ресурсу, спрятанному где-то в глубине сети. При этом фактический ip-адрес такого сайта скрыт, и узнать его невозможно. В этом случае для программ, которые сперва разрешают адрес узла через DNS, а потом подключаются к полученному ip-адресу, tor-демон создаёт временный адрес из указанной маски виртуальной сети. Иными словами, при попытке подключиться к какому-нибудь узлу superpuper.onion он «разрешится» в адрес, например, 10.192.0.1. И программа, подключаясь к этому адресу, будет через «луковые слои» tor-шифрования достигать нужного ресурса.

Что касается настройки «публичной» части конфига - там всё, согласно комментариям в самом файле.
В результате этих настроек мы получим демона, который
1) является proxy-socks с адресом 192.168.1.5:9100
2) является прозрачным proxy с адресом 192.168.2.1, причём помимо tcp-трафика умеет обрабатывать DNS-запросы.

С локальным socks-прокси всё ясно. Просто настраиваем любой браузер в домашней сети на выход в интернет через указанный прокси - и всё работает.

Ничуть не сложнее доступ с удалённой машины (у нас же есть ssh-консоль на роутер - значит, ничего не мешает просто пробросить порт:

Ssh -L localhost:9100:192.168.1.5:9100 homerouter

И после этого на той машине заработает Socks5 по адресу localhost:9100.

Теперь настраиваем точку доступа.

Для этого в gui dd-wrt заходим во вкладку wireless и там добавляем виртуальный интерфейс. Имя придумайте сами (я назвал бесхитростно: tor_network). Конфигурация сети - unbridged (т.е. точка не имеет связи с другими интерфейсами и как бы образует свой собственный замкнутый мирок). Запрещаем там же маскарадинг и мультикаст и назначаем адрес сети: 192.168.2.1/255.255.255.0. Затем на вкладке wireless security настраиваем, если нужно, доступ к точке. Я в своём случае поставил «disabled», т.е. создал открытую точку.

Таким образом у нас на роутере работают одновременно две разные сети: домашняя (защищённая WPA2) и вновь созданная tor_network, которая изначально открыта. Впрочем, это не даёт никому никаких привилегий, поскольку подключившись к этой открытой сети мы никуда не попадём:)

Двигаемся дальше. На вкладке Setup/Networking ищем в самом низу раздел DHCPD и добавляем запись для интерфейса wl0.1 (это, собственно, и есть железячное имя нового виртуального wifi-интерфейса), чтобы он назначал адреса из подсети 192.168.2.0/24. Скажем, 50 адресов начиная со 100 вполне хватит.

Теперь подключаясь к нашей открытой точке мы получим внутренний ip-адрес.
Осталось лишь подключить эту точку к прозрачному tor.
Это делается с помощью iptables:

CRNET="192.168.2.0/24"
TORCMD="iptables -t nat -A PREROUTING -i wl0.1"
TORPORT="9040"
TORDNS="9053"

# transparent tor for tor_network wireless
$TORCMD -p udp --dport 53 -j REDIRECT --to-ports $TORDNS
$TORCMD -p udp --dport 67 -j RETURN
$TORCMD -d $CRNET -j DROP
$TORCMD -p tcp --syn -j REDIRECT --to-ports $TORPORT
$TORCMD -j DROP

Что делаем?
1. Редиректим весь udp-трафик на 53-й порт (dns) на порт нашего демона.
2. Пропускаем спокойно весь udp-трафик на 67-й порт (там висит dhcp)
3. Весь остальной трафик во внутреннюю открытую сеть, откуда бы он ни был, отсекаем.
4. Редиректим весь tcp-трафик на порт прозрачного прокси нашего демона.
5. Весь остальной трафик открытой сети отсекаем.

Этот скрипт можно вставить в Administration/commands и сохранить как firewall-скрипт.

Проверяем работу: подключаемся к точке tor_network и открываем адрес

Вообще мне это напоминает операционную систему Whonix . Для того чтобы собрать роутер нам понадобятся:
  1. платa Raspbeery pi Model B или новее
  2. sd карта 4Гб минимум
  3. провод microUSB (для питания от разетки или usb порта)
  4. wi-fi адаптер (я изспользовал d-link dwa 125 и именно под него буду устанавливать драйвера, если у вас другой адаптер то google.com в помощь
  5. 3G модем (в моем случае Билайн ZTE MF 180)
  6. сетевой кабель для подключения к домашнему роутеру
Глава 1. Подготовка
  1. Первое что нами нужно сделать это скачать образ raspbian c сайта (raspberrypi.org/downloads/raspbian/ )
  2. После того как скачали образ вставляем нашу sd карту в кардридер и с помощью Win32DiskImager записываем его на карту. Ну вот, мы готовы к первому запуску.
  3. Будем подключаться по SSH. Для этого подключаем Raspberry pi с помощью сетевого кабеля к роутеру, тем самым мы получим ip по DHCP. Чтобы узнать ip нужно скачать и запустить IpScan. Скачали, запустили, видим нашу raspberry, копируем ip и подключаемся с помощью Putty. По умолчанию логин pi, пароль raspberry.
  4. Как только подключились первым делом нужно выполнить команду

    Sudo raspi-config
    далее Expand file system (увеличение памяти на всю карту). Далее в главном меню
    выбираем internationalisation options далее change locale и выбираем нужный нам язык (я ставил ru UTF 8),выходим из меню и перезагружаемся

    Sudo reboot
    .

  5. Далее нам нужно определяем версию ядра и переписываем (в моем случае 3.12.28+ # 709) для правильного подбора драйверов командой,
  6. Когда версия ядра известна далее нужно подобрать драйвера по версии ядра для wi fi адаптера на сайте fars-robotics.net/ . Ищем в списке нужную нам версию. P.S. Тут есть один нюанс, если скачивать отсюда то там в архиве почему то нет и файла rtl8188eufw.bin , его нужно будет скачать отдельно и положить в папку командой
  7. Далее распаковываем

    Sudo unzip 0001-RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911.zip

  8. cd RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911
  9. далее
  10. далее

    Cd wpa_supplicant_hostapd-0.8_rtw_r7475.20130812

  11. далее
  12. далее
  13. далее

    Sudo make install

  14. sudo mv hostapd /usr/sbin/hostapd
  15. sudo chown root.root /usr/sbin/hostapd
  16. sudo chmod 755 /usr/sbin/hostapd
Когда с hostapd всё готово то идем дальше.
Будем устанавливать DHCP server:

Sudo nano /etc/dhcp/dhcpd.conf
, в файле находим строки

Option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;
нам нужно закомментироватьих поставив # перед ними чтобы получилось

#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;
далее находим ниже строки



#authoritative;
и убираем # чтобы получилось

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
далее прокручиваем файл в самый конец вниз и добавляем в самом конце оставив пробел в одну строку между кодом и последней строкой (это важно, т.к. просто не будет работать ничего)

Subnet 192.168.42.0 netmask 255.255.255.0 {
range 192.168.42.10 192.168.42.50;
option broadcast-address 192.168.42.255;
option routers 192.168.42.1;
default-lease-time 600;
max-lease-time 7200;
option domain-name "local";
option domain-name-servers 8.8.8.8, 8.8.4.4;
}
Затем сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно запустить наш сервер командой

Sudo nano /etc/default/isc-dhcp-server
и в самом низу в строчке

INTERFACES=""
вписать wlan0 , чтобы получилось

INTERFACES="wlan0"
сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно сделать ip адрес статическим
Для это сначала отключаем wlan0 командой


...
удаляем весь текст и приводим к такому виду копируя и вставляя весь выделенный ниже текст:

Iface lo inet loopback
iface eth0 inet dhcp

Allow-hotplug wlan0

Iface wlan0 inet static
address 192.168.42.1
netmask 255.255.255.0

#iface wlan0 inet manual
#wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
#iface default inet dhcp
ctrl+x , затем y для подтверждения.

Sudo ifconfig wlan0 192.168.42.1
.

Теперь нужно собрать свою точку доступа. Мы будем делать защищенную сеть, доступ к которой будет по паролю. Хотя в принципе вы можете сделать и открытую сеть.
Вводим команду

Sudo nano /etc/hostapd/hostapd.conf

И редактируем: нужно вставить текст написанный ниже:

Interface=wlan0
driver=rtl871xdrv
ssid=Pi_AP
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=Raspberry
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
Далее

Sudo nano /etc/default/hostapd
там ищем строку

#DAEMON_CONF=""

Должно получиться (не забываем убрать перед строкой # ) .

DAEMON_CONF="/etc/hostapd/hostapd.conf"
.

Sudo nano /etc/sysctl.conf
, спускаемся в самый низ текста и в новой строке вставляем

Net.ipv4.ip_forward=1
Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее пишем

Sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
Потом настраиваем автозапуск вместе с системой введя команду

Sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"
Далее пишем

Sudo nano /etc/network/interfaces
и добавляем в конец всего текста

Up iptables-restore < /etc/iptables.ipv4.nat
чтобы между вставленным текстом и текстом выше был пустая строка. Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее скачиваем hostapd c сайта adafruit

Sudo wget http://adafruit-download.s3.amazonaws.com/adafruit_hostapd_14128.zip
Далее распаковываем

Sudo unzip adafruit_hostapd_14128.zip
Потом пишем

Sudo mv /usr/sbin/hostapd /usr/sbin/hostapd.ORIG
Затем

Sudo mv hostapd /usr/sbin
Потом

Sudo /usr/sbin/hostapd /etc/hostapd/hostapd.conf
После этой команды наша точка доступа будет видна. Вы можете попробовать подключиться к ней, но интернета пока нету.
Далее для запуска точки доступа при загрузке вводим

Sudo service hostapd start
sudo service isc-dhcp-server start
sudo update-rc.d hostapd enable
sudo update-rc.d isc-dhcp-server enable
Теперь убираем следы изменения

Sudo mv /usr/share/dbus-1/system-services/fi.epitest.hostap.WPASupplicant.service ~/
Теперь подключимся к нашей точке доступа с другого ноутбука, а в командной строке Raspberry пишем

Tail -f /var/log/syslog
тем самым мы сможем проверить подключение к нашей точке доступа. Подключаемся, всё работает, но интернета пока нет.. Теперь переходим к следующей главе.

Глава 3. Установка и настройка TOR
Обновляемся командой

Sudo apt-get update
Скачиваем и устанавливаем TOR

Sudo apt-get install tor
нажимаем Y для подтверждения
Далее будем настраивать файл torrc , вводим

Sudo nano /etc/tor/torrc
И редактируем вставив выделенный текст между строками как на скрине s019.radikal.ru/i620/1602/f8/d7682b0ac753.png

Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.42.1
DNSPort 53
DNSListenAddress 192.168.42.1
Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее очистим Iptables

Sudo iptables –F
sudo iptables -t nat –F
далее оставим доступ по ssh

Sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 22 -j REDIRECT --to-ports 22
Затем пустим udp пакеты на 53 порт

Sudo iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53
Затем пустим tcp пакеты на торовский порт 9040

Sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040
Проверяем что ip tables настроились правильно

Sudo iptables -t nat –L

И после пишем команду

Sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"
.
Далее пишем по очереди три команды ниже

Sudo touch /var/log/tor/notices.log
sudo chown debian-tor /var/log/tor/notices.log
sudo chmod 644 /var/log/tor/notices.log
Проверяем командой

Ls -l /var/log/tor
Запускаем Тор вручную командой

Sudo service tor start
Проверяем вводом команды

Sudo service tor status
Ставим Тор на автозапуск при старте системы

Sudo update-rc.d tor enable
Далее проверяем подключившись нашему роутеру с ноутбука. Если всё сделали правильно то в результате подключившись мы получим TOR ip . Если нет то проверяем еще раз каждый пункт, т. к. если где то есть пропущенный пробел между строками то он не даст работать всей системе в целом. Как настроить 3g модем напишу на днях, уже сил нет писать, засыпаю на ходу.
Спасибо за внимание, надеюсь моя статья окажется полезной. Буду рад услышать от вас вопросы, предложения, замечания.