SavePearlHarbor

Ч. 2 — Дальнобойный Wi-Fi. Реализация интернет шлюза на базе Debian 12

от автора

admin

Ч. 1 — Дальнобойный Wi-Fi. Выбор аппаратного обеспечения.

Статья ещё не дописана!!!

В моём сценарии WPA2 отключен, для аутентификации пользователей и выдачи доступа к интернету используется openvpn, но при этом пользователи имеют доступ к локальным ресурсам и могут взаимодействовать внутри локальной сети.

На точке необходимо отключить встроенные функции dhcp и dns.

Настройка сетевых интерфейсов

При нескольких сетевых картах возникает ситуация когда система не понимает к какому интерфейсу обращаться за интернетом. Для того что бы исправить это нам надо указать маршрут и метрику. Чем больше число метрики, тем меньше приоритет интерфейса. В данном случае для WAN он 10, а для LAN 5000.

Узнаём имена интерфейсов с помощью команды

ip a

Команда post-up выполняет действие после подключения интерфейса.

## /etc/network/interfaces  source /etc/network/interfaces.d/*  auto lo iface lo inet loopback  # WAN allow-hotplug enp1s0 iface enp1s0 inet dhcp         post-up sh -c 'ip route del default || true; ip route add default via 192.168.1.1 dev enp1s0 metric 10'          post-up sh -c 'echo "nameserver 9.9.9.9" > /etc/resolv.conf'  # Фикс перезаписи resolv долбанным systemd-resolved  # LAN auto enp3s0 iface enp3s0 inet static         address 192.168.2.1         netmask 255.255.255.0         dns-nameservers 192.168.2.1         metric 5000          post-up /usr/local/bin/ciadpi -D --ip 192.168.2.1 --port 1080 --tfo -s1 -q1 -Y -Ar -s5 -o1+s -At -f-1 -r1+s -As --tlsrec 3+s -b+300 --fake-sni "www.vk.com" --ttl 65

Настройка SSH

Генерация ключей ssh

sudo ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N »
sudo ssh-keygen -t ecdsa -b 521 -f /etc/ssh/ssh_host_ecdsa_key -N »
sudo ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key -N »

## /etc/ssh/sshd_config  Port 2222 ListenAddress 0.0.0.0  # Ключи хоста (серверные) HostKey /etc/ssh/ssh_host_ed25519_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_rsa_key  # RSA 4096  # Аутентификация #PubkeyAuthentication yes         PubkeyAuthentication no           # Явное отключение аутентификации по ключам  PasswordAuthentication yes        # Разрешаем только парольную аутентификацию  #ChallengeResponseAuthentication yes ChallengeResponseAuthentication no  # Отключаем интерактивные вызовы  #KbdInteractiveAuthentication yes KbdInteractiveAuthentication no     # Отключаем интерактивную аутентификацию (kbd-interactive)  PermitRootLogin no                  # Запрет входа под root по SSH  # Шифры (ciphers) — баланс безопасности и совместимости Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr  # MAC алгоритмы MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com  # Алгоритмы обмена ключами (Kex) KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1  # Ограничение по времени и объёму для смены ключа сессии (Forward Secrecy) RekeyLimit 1G 1h  # Логирование SyslogFacility AUTH LogLevel VERBOSE  # Отключаем DNS-обратные запросы для ускорения и безопасности UseDNS no  # Разрешаем форвардинг TCP и порты AllowTcpForwarding yes GatewayPorts yes  # Отключаем X11 форвардинг — снижает риск атак X11Forwarding no  # Подсистема SFTP отключена #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp /bin/false  # Сжатие данных отключено (лучше для безопасности) Compression no  # Удержание живого соединения и таймауты TCPKeepAlive yes ClientAliveInterval 300 ClientAliveCountMax 3  # Использовать PAM (при необходимости) UsePAM yes

Настройка параметров ядра

## /etc/sysctl.conf  # --- Основное (маршрутизация, NAT, производительность) --- net.ipv4.ip_forward = 1  # --- Надежность TCP и защита --- net.ipv4.tcp_syncookies = 1                               # Защита от SYN flood net.ipv4.tcp_rfc1337 = 1                                  # Защита от TIME_WAIT spoofing net.ipv4.tcp_fin_timeout = 10  # --- Быстрое открытие TCP-соединений (TFO) --- net.ipv4.tcp_fastopen = 3                                 # Клиент и сервер   # --- Безопасность и фильтрация --- net.ipv4.conf.all.rp_filter = 2                            # Усиленный антиспуфинг (strict mode) net.ipv4.conf.default.rp_filter = 2  net.ipv4.conf.all.accept_redirects = 0                     # Отключаем ICMP redirect net.ipv4.conf.default.accept_redirects = 0  net.ipv4.conf.all.send_redirects = 0                       # Не отправлять ICMP redirect net.ipv4.conf.default.send_redirects = 0  net.ipv4.conf.all.accept_source_route = 0                  # Отключаем source routing net.ipv4.conf.default.accept_source_route = 0   # --- Ограничение ICMP (защита от DoS) --- net.ipv4.icmp_echo_ignore_broadcasts = 1                   # Игнорирование broadcast ping  # --- Оптимизация TCP --- net.ipv4.tcp_abort_on_overflow = 1                          # Быстро сбрасывать соединения при переполнении очереди net.ipv4.tcp_mtu_probing = 1                                # Автоматическое определение MTU (помогает проблемам с VPN/NAT) net.ipv4.tcp_timestamps = 1                                 # Включить TCP timestamps (улучшенная производительность)   # --- Современный congestion control net.core.default_qdisc = fq                                  net.ipv4.tcp_congestion_control = bbr

Настройка DHCP (выдача ip-адресов)

Установка

apt install isc-dhcp-server

Конфигурация

## /etc/dhcp/dhcpd.conf  option captive-portal code 160 = text; option captive-portal "http://freedom.local";  default-lease-time 600; max-lease-time 7200;  ddns-update-style none;  subnet 192.168.2.0 netmask 255.255.255.0 {   range 192.168.2.1 192.168.2.254;   option domain-name-servers 192.168.2.1;   option domain-name "freedom.local";   option routers 192.168.2.1;   option broadcast-address 192.168.2.255;   default-lease-time 600;   max-lease-time 7200; }

Выбор интерфейса раздачи адресов 

## /etc/default/isc-dhcp-server  INTERFACESv4="enp3s0" INTERFACESv6=""

Настройка простого DNS сервера с апстримом dnscrypt (DoH)

Установка

apt install dnsmasq

Актуальный билд dnscrypt можно взять тут https://github.com/DNSCrypt/dnscrypt-proxy

Возьмите за привычку пользовательские программы которые были установлены вручную размещать либо в /usr/local, либо в /opt

Конфигурация dnsmasq

## /etc/dnsmasq.conf  port=53  # Не пересылать запросы без доменного имени (например, просто "localhost") domain-needed  # Привязывать dnsmasq только к указанным интерфейсам, чтобы не слушать на всех bind-interfaces  # Не использовать системный файл /etc/resolv.conf для поиска upstream DNS-серверов no-resolv  # Защита от DNS rebind-атак — блокирует ответы с подозрительными IP-адресами stop-dns-rebind  # Жёстко назначить домен freedom.net на IP-адрес 192.168.2.1 address=/freedom.net/192.168.2.1  # Жёстко назначить домен freedom.local на IP-адрес 192.168.2.1 address=/freedom.local/192.168.2.1  # Использовать локальный DNSCrypt сервер на 127.0.0.1:5353 как upstream DNS server=127.0.0.1#5353  # Вариант: использовать публичный DNS-сервер Quad9 # server=9.9.9.9  # Слушать DNS-запросы на сетевом интерфейсе enp3s0 interface=enp3s0  # dnsmasq работает только как DNS no-dhcp-interface=*

Конфигурация DNSCrypt

//

Настройка OpenVPN для аутентификации

apt install openvpn

Качаем https://github.com/OpenVPN/easy-rsa/

Переименовываем vars.example в vars

Изменяем параметр set_var EASYRSA_KEY_SIZE на 4096

Даём права EasyRSA на исполнение:

chmod +x easyrsa

  1. ./easy-rsa init-pki

  2. ./easy-rsa build-ca

  3. ./easy-rsa gen-req server nopass

  4. ./easy-rsa sign-req server server

  5. ./easy-rsa gen-dh

  6. openvpn —genkey secret /etc/openvpn/server/pki/ta.key

## /etc/openvpn/server серверная часть  port 1192 proto tcp  # Виртуальный сетевой интерфейс TUN (уровень IP) dev tun  # Сертификат центра сертификации (CA) ca /etc/openvpn/server/pki/ca.crt  # Сертификат сервера cert /etc/openvpn/server/pki/issued/server.crt  # Закрытый ключ сервера key /etc/openvpn/server/pki/private/server.key  # Параметры Диффи-Хеллмана для ключевого обмена dh /etc/openvpn/server/pki/dh.pem  # Подсеть VPN и маска подсети (выдача IP клиентам) server 10.8.0.0 255.255.255.0  # Использовать топологию подсети (одинаковый пул IP для всех клиентов) topology subnet  # Перенаправлять весь трафик клиента через VPN (default route через VPN-сервер) push "redirect-gateway def1"  # Настроить DNS клиента push "dhcp-option DNS 192.168.2.1"  # Минимальная версия TLS для обеспечения безопасности tls-version-min 1.2  # TLS-crypt ключ для защиты tls-crypt /etc/openvpn/server/pki/ta.key  # Специфический набор TLS-шифров для безопасности tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384  # Качественные современные шифры для данных data-ciphers AES-256-GCM:CHACHA20-POLY1305  # Алгоритм хэширования (аутентификация сообщений) auth SHA256  # Сохранять ключи между перезапусками туннеля persist-key  # Сохранять туннельное устройство между рестартами persist-tun  # Использовать имя пользователя как common name клиента username-as-common-name  # Не проверять сертификаты клиента (аутентификация через username/password) verify-client-cert none  # Скрипт для проверки логина и пароля пользователя auth-user-pass-verify "/usr/bin/php-cgi /etc/openvpn/server/verify.php" via-file  # Позволяет выполнять скрипты с максимальным уровнем безопасности script-security 3  # Без логов verb

Даём права на исполнение скрипту

chmod +x verify.php

// тут должно быть про MariaDB и SQL

#!/usr/bin/php-cgi  <?php  class Database {     private $pdo;      /**      * Конструктор класса Database.      *       * @param array $config Массив конфигурации подключения к БД.      * @throws PDOException Если подключение к БД не удалось.      */     public function __construct(array $config) {         if (!isset($config['host'], $config['dbname'], $config['user'], $config['password'])) {             throw new InvalidArgumentException("Недостаточно данных для подключения к БД");         }          try {             $options = [                 PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8mb4',                 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,                 PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,                 PDO::ATTR_EMULATE_PREPARES => false,             ];             $this->pdo = new PDO("mysql:host={$config['host']};dbname={$config['dbname']};charset=utf8mb4", $config['user'], $config['password'], $options);         } catch (PDOException $e) {             throw new PDOException("Database connection failed: " . $e->getMessage());         }     }      /**      * Подготавливает и выполняет SQL-запрос.      *       * @param string $sql SQL-запрос.      * @param array $params Параметры запроса.      * @return PDOStatement Подготовленный и выполненный запрос.      */     public function query(string $sql, array $params = []): PDOStatement {         $stmt = $this->pdo->prepare($sql);         $stmt->execute($params);         return $stmt;     }      /**      * Выполняет SQL-запрос и возвращает все результаты.      *       * @param string $sql SQL-запрос.      * @param array $params Параметры запроса.      * @return array Массив результатов.      */     public function getAll(string $sql, array $params = []): array {         $stmt = $this->query($sql, $params);         return $stmt->fetchAll(PDO::FETCH_ASSOC);     } }  /* $config = [     'host' => 'localhost',     'dbname' => 'mydatabase',     'user' => 'myuser',     'password' => 'mypassword', ];  // Пока только класс работы с mysql. Надо более точно определить как ведёт себя openvpn. $db = new Database($config);  $sqlInsert = "SELECT id, login, passwd FROM users WHERE login = :login"; $paramsInsert = ['login' => 'testing']; $db->query($sqlInsert, $paramsInsert); */  ?>
# openvpn клиентская часть  client dev tun proto tcp remote 192.168.2.1 1192  resolv-retry infinite nobind  # Встроенный сертификат CA <ca> -----BEGIN CERTIFICATE----- (текст вашего ca.crt) -----END CERTIFICATE----- </ca>  remote-cert-tls server  persist-key persist-tun  auth-user-pass  tls-version-min 1.2  # Встроенный TLS-crypt ключ <tls-crypt> -----BEGIN OpenVPN Static key V1----- (текст вашего ta.key) -----END OpenVPN Static key V1----- </tls-crypt>  tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 data-ciphers AES-256-GCM:CHACHA20-POLY1305 auth SHA256  verb 0

Настройка правил nftables

#!/usr/sbin/nft -f  flush ruleset  define VPN = "tun0" define WAN = "enp1s0" define LAN = "enp3s0"  table inet filter {     chain input {         type filter hook input priority filter; policy drop;          # Разрешаем весь трафик с loopback интерфейса         iifname "lo" accept;          # Разрешаем установленные и связанные соединения         ct state {established, related} accept;          # ICMP echo-request (ping) с LAN с rate limit         iifname $LAN icmp type echo-request limit rate 5/second burst 10 packets accept;          # # OpenVPN TCP 1194         iifname $LAN tcp dport 1194 accept;          # # SSH TCP 2222 с WAN с rate limiting и только новые соединения         iifname $WAN tcp dport 2222 ct state new limit rate 20/second burst 30 packets accept;          # # HTTP и HTTPS TCP (80, 443)         tcp dport {80, 443} ct state new limit rate 30/second burst 40 packets accept;          # # UDP 443 (QUIC)         udp dport 443 ct state new limit rate 40/second burst 50 packets accept;          # # DNS UDP 53 на LAN и VPN с ограничением         iifname { $VPN, $LAN } udp dport 53 limit rate 30/second burst 40 packets accept;          # # DNSCrypt-proxy UDP 5353 с lo и LAN         iifname { "lo", $LAN } udp dport 5353 accept;          # # ByeDPI - SOCKS5         iifname $VPN tcp dport 1080 accept;     }      chain output {         type filter hook output priority filter; policy accept;     }      chain forward {         type filter hook forward priority filter; policy drop;          # Разрешаем установленные и связанные соединения         ct state {established, related} accept;          # Трафик VPN -> WAN (интернет)         iifname $VPN oifname $WAN accept;          # Трафик WAN -> VPN         iifname $WAN oifname $VPN accept;     }   }  table ip nat {     chain prerouting {         type nat hook prerouting priority -100; policy accept;         # captive portal - перенаправление неавторизованных пользователей, на домашний сайт         ip saddr 192.168.2.0/24 tcp dport 80 redirect to 80;     }      chain postrouting {         type nat hook postrouting priority 100; policy accept;         # Доступ в интернет авторизированным         iifname $VPN oifname $WAN masquerade;     } }


ссылка на оригинал статьи https://habr.com/ru/articles/930086/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *