Una rete domestica privata e semplice
view this post on our onion site
15 min read

Una rete domestica privata e semplice

Costruire una rete domestica privata e semplice con hardware e software open source
Una rete domestica privata e semplice

Non sapevo nulla di reti di computer. In effetti, ho vissuto per anni in una capanna nei boschi senza elettricità. Ma ora che sono tornato alla rete elettrica, volevo creare una rete domestica privata che mi desse il massimo controllo possibile. Questa è una guida di base per iniziare, per chi è assolutamente sprovveduto come me.

Mi sono reso conto di quanto sia importante una rete domestica privata e di quanto possa sembrare complicata.  In tutte le mie ricerche solo una manciata di blog mi ha aiutato a descrivere come configurare una rete, scrivendo in un linguaggio semplice e comune. La maggior parte delle guide presuppone che si conosca già il significato dei termini specifici. Ci sono molte cose sul networking che ancora non so come fare. Spero che questo aiuti a dimostrare che è possibile per un completo noobbio configurare una rete domestica privata. Non tutti sono codificatori super segreti di Shaddow. Alcuni di noi sono solo contadini che cercano di mantenere un po' di privacy.

Innanzitutto parliamo di hardware. L'hardware si riferisce al dispositivo fisico e il software ai programmi che vi girano sopra. In genere un dispositivo all in one del provider di servizi Internet (ISP) è la rete completa.  Questo dispositivo svolge più funzioni in una sola e offre un controllo minimo sulla rete.  Funge da modem, router e router WiFi.  Procuratevi un hardware separato per ciascuna di queste funzioni. In questo modo si avrà un maggiore controllo su ciò che accade e si potranno separare le funzioni.

Per il modem ho scelto l'Arris Surfboard SBV3202 perché è esclusivamente un modem. Riceve e invia informazioni. Ha un cavo coassiale in entrata e un cavo Ethernet in uscita. Non ha un wifi integrato e non fa nient'altro.

SBV3202 SURFboard® DOCSIS® 3.0 Cable Modem for Xfinity Internet & VOIP
The SBV3202 delivers two lines of Voice over IP (VoIP), ultra-high speed internet access, and multiple battery pack options (sold separately) to support telephony service during power outages. It provides Xfinity subscribers the speed and performance they need to keep their home network performing a…

Il router firewall è un computer dedicato che esegue un software firewall come pfsense o opnsense. È possibile utilizzare un desktop come un Dell, acquistare hardware specializzato come un router netgate o seguire la strada che ho scelto io, ovvero acquistare un router firewall Protectli Vault a 4 porte con una scheda wifi aggiuntiva. Opnsense è stato pre installato al momento dell'acquisto.

FW4B - 4 Port Intel® J3160 - Protectli EU
Intel Celeron® J3160 Quad Core at 1.6 GHz (Burst to 2.24 GHz) 4 Intel® Gigabit Ethernet NIC ports AES-NI support 25% smaller than the original Vault at only 115mm × 108mm × 39mm Fanless and Silent Included Universal Power Supply, VESA mount kit, Serial Console Cable, Quick Start Guide

Ecco un link per installare Opnsense da soli. https://homenetworkguy.com/how-to/install-and-configure-opnsense/

Quindi procuratevi un router wifi dedicato per collegare i dispositivi di casa. Un router wifi separato consente di creare più reti e di isolare i dispositivi l'uno dall'altro.  Io ho scelto il router wifi GliNet Flint.

GL-AX1800 / Flint
An Ultra-fast Wi-Fi 6 VPN Encrypted Router that runs on OpenWrt operating system, offering fast, secure and reliable network connection.

Configurare un computer desktop, preferibilmente con Linux, come terminale di amministrazione della rete. Ho installato un Raspeberry Pi 4g B e un SSD da 1 TB da un vecchio kit Ronin Dojo Node DIY che avevo. Ci ho installato Ubuntu e ho collegato un monitor, un mouse e una tastiera per farlo funzionare come terminale desktop per gestire la rete.

Buy a Raspberry Pi 4 Model B – Raspberry Pi
Your tiny, dual-display, desktop computer…and robot brains, smart home hub, media centre, networked AI core, factory controller, and much more.

Ho scelto Ronin Dojo Tanto come nodo Bitcoin dedicato. Si tratta di un elegante pezzo di metallo con un design brillante e plug and play destinato a completare lo stack di portafogli Samourai. Sono rimasto assolutamente sbalordito dalla qualità, dal supporto e dalla comunità che ruota attorno a questo hardware.

Tanto - RoninDojo
As a Samourai Wallet user with your own Bitcoin node, running RoninOS ensures the best and smooth experience. Now RoninDojo Tanto equips you with the recommended hardware setup, stylish premium case and pre-installed RoninOS on a microSD card. You can get everything up and running in no time. Privac…

Ho anche un portatile Thinkpad dedicato che esegue linux per Sparrow Wallet, Whirlpool e per accedere all'indirizzo Tanto Tor per la GUI web. Ecco un link a un Thinkpad che ha installato libreboot, eliminando una serie di potenziali backdoor. Sono disponibili molte opzioni per thinkpad.

Minifree Ltd – GNU+Linux laptops with coreboot, osboot or libreboot preinstalled

Questo è praticamente l'equipaggiamento necessario per configurare una rete privata di base. È necessario disporre di cavi Ethernet di qualità e di una ciabatta di protezione da sovratensioni. Ora mettiamo insieme il tutto.

Il cavo coassiale dalla parete si collega al modem Arris surfboard sbv3202.

Il cavo Ethernet si collega al modem Arris surfboard sbv3202.

Collegare l'altra estremità del cavo Ethernet alla porta WAN di Protectli Vault.

Collegare un altro cavo Ethernet alla porta LAN di Protectli Vault.

Collegare l'altra estremità del cavo alla porta LAN del desktop di Raspberry Pi.

Collegare monitor, tastiera e mouse a Raspberry Pi.

Collegare la surfboard Arris.

Collegare e premere il pulsante di accensione di Protectli Vault.

Collegare e avviare Raspberry Pi.

Le connessioni vengono effettuate automaticamente.  La LAN dovrebbe utilizzare automaticamente DHCP per connettere a Internet il desktop. Aprire il browser e navigare fino a 192.168.1.1 che è l'indirizzo IP predefinito di Protectli Vault.

Gli indirizzi IP sono formati da quattro serie di numeri e periodi.  Il bacslash alla fine di un indirizzo ip definisce la serie di indirizzi ip secondari che la rete utilizzerà per ogni dispositivo. Gli indirizzi ip vengono utilizzati per identificare e instradare le informazioni verso quel dispositivo.

Fare clic sulle avvertenze fino a raggiungere l'interfaccia utente generale (GUI) di Opnsense e accedere con root come utente e la password predefinita del dispositivo. Eseguire la configurazione guidata all'avvio.

A questo punto sarà possibile modificare l'indirizzo IP della LAN e impostare la porta TCP. In questo modo si cambierà l'IP della LAN rispetto a quello predefinito. La porta TCP è la porta interna utilizzata per accedere alla GUI di Opnsense. Ho cambiato il numero della porta TCP in modo da poter creare in seguito una regola del firewall per bloccare l'accesso a quella porta da altre reti. A questo punto è possibile impostare il server DNS personalizzato. Per saperne di più, si veda più avanti.

L'interfaccia utente di Opnsense è molto semplice da usare una volta compreso il processo del flusso di lavoro. La scheda lobby porta a un cruscotto in cui si possono vedere tutti i gateway, le interfacce e i servizi in esecuzione.

La scheda sistema consente di accedere alle impostazioni generali, alla configurazione guidata, agli aggiornamenti del firmware, agli amministratori, all'accesso e ad altro ancora.

In Impostazioni generali è possibile impostare server DNS personalizzati sul router. In amministrazione è possibile impostare la propria porta TCP e abilitare SSH.

Durante l'impostazione e la configurazione iniziali, è necessario tracciare su un foglio di carta le reti che si desidera utilizzare, gli indirizzi IP per tali reti e le reti che si desidera rendere accessibili o bloccare.  Questo vi aiuterà ad effettuare la configurazione una volta sola e a non dover scollegare i dispositivi e reimpostare gli indirizzi ip e i firewall in un secondo momento, perché potreste cambiare idea.

Opnsense avrà creato automaticamente un gateway.  Un gateway è una singola interfaccia WAN che consente il DHCP.  Ciò significa che consente di assegnare automaticamente gli indirizzi IP ai dispositivi.  Per questa interfaccia WAN vengono creati dei firewall automatici. Non è necessario apportare modifiche, ma è possibile personalizzarle in seguito. Opnsense creerà automaticamente anche un'interfaccia LAN e alcuni firewall automatici. Questo permette di accedere alla GUI web di Opnsense per creare altre interfacce per altre reti, impostare regole di firewall e altro ancora.

Ogni 'interfaccia' è una rete LAN unica con un proprio intervallo di indirizzi IP. Ogni interfaccia crea una nuova rete. Questa rete può essere isolata o meno.  Ciò consente di isolare un laptop bitcoin dalla rete su cui si trova un televisore, ad esempio. In questo modo si ottiene un modo più sicuro di interagire con Internet e si evita che elementi dannosi attraversino l'intera rete. Le interfacce sono il punto di partenza del flusso di lavoro.

Fare clic sulla scheda Interface. Fare clic su assegnazioni per creare una nuova interfaccia. La scheda assegnazioni associa una nuova interfaccia a una porta fisica del router. Una volta assegnata, sarà elencata insieme alle altre interfacce nella scheda Interfaccia.

Fare clic sulla scheda Interfaccia. Fare clic sulla nuova interfaccia Opt1. Fare clic per abilitare l'interfaccia. Fare clic per impedire la rimozione. Qui è possibile assegnare un nome all'interfaccia, scegliere la configurazione IPv4 statica e inserire l'indirizzo IP statico. Ad esempio, la prima LAN è 192.168.1.1. L'interfaccia successiva potrebbe essere 192.168.2.1, se lo si desidera. Fare clic su Salva.

Andare ora alla scheda Servizi. Fare clic su DHCP IPv4. Sono presenti tutte le interfacce. Fare clic sulla nuova interfaccia Opt1. Fare clic su Abilita DHCP sull'interfaccia e aggiungere l'intervallo di indirizzi ip per l'interfaccia. Questo significa che l'insieme di indirizzi ip verrà assegnato ai dispositivi che si connettono a quella specifica rete. Creare un intervallo che lasci alcuni indirizzi al di fuori di questo range, da utilizzare in seguito per la mappatura DHCP statica. Per mappatura DHCP statica si intende la selezione di un indirizzo IP specifico da assegnare a un dispositivo specifico in base al suo MAC ID univoco. Questo può essere fatto tramite i Leasing o nella parte inferiore della scheda Interfaccia servizi facendo clic sul pulsante più. Fare clic su Salva.

Ora che il DHCP è abilitato sulla nuova interfaccia tramite i servizi e che è stato definito l'intervallo di indirizzi IP, è necessario impostare le regole del firewall per questa nuova interfaccia.

Fare clic sulla scheda firewall. Per semplificare la creazione delle regole del firewall, utilizzare l'opzione alias. Fare clic sulla scheda alias. Fare clic sul pulsante più per creare un nuovo alias. Creare un alias per host, indirizzi IP, reti, interfacce e altro ancora.

In questo modo le informazioni specifiche, come l'indirizzo IP, devono essere inserite una sola volta e sono disponibili per fare riferimento all'alias in qualsiasi momento in futuro, quando vengono aggiunte nuove regole del firewall.  Il primo alias da creare è un alias 'Rete privata' che contiene 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 Questo sarà il primo alias che utilizzeremo per creare l'accesso a Internet sull'interfaccia e bloccare tutte le altre reti.

Nota: utilizzando 192.168.0.0/16 si coprono tutti gli indirizzi ip secondari di 192.168.x.x/24 utilizzati nella rete, rendendo più semplice il blocco di tutti gli ip futuri della rete senza dover creare in seguito una nuova regola del fire wall per quel cambiamento di ip. Penso che sia corretto, ma potrebbe essere necessario un ulteriore approfondimento.

Fare clic su regole nella scheda firewall. Fare clic sulla nuova interfaccia appena creata. Ora creare due semplici regole.  La prima è per consentire il DNS sull'interfaccia. La seconda è quella che consente l'accesso a Internet ma blocca anche le altre reti private dall'interfaccia. Queste due regole consentono l'accesso a Internet, tranne che alle altre reti dell'interfaccia.

Creare una nuova regola facendo clic sul pulsante più. Per consentire il DNS, impostate l'azione della regola del firewall su Pass, scegliere Qiock su On, l'interfaccia sulla stessa nuova creata, la direzione su IN, TCP su IPv4, il protocollo su TCP/UDP, la sorgente sulla rete Opt1, l'indirizzo Opt1 di destinazione, l'intervallo di porte di destinazione su DNS su entrambe le porte da e verso, quindi premete Salva.

Creare ora la seconda regola del firewall.  Questo firewall utilizza sia l'alias che l'opzione di inversione della destinazione.  Questa opzione del firewall dice in sostanza di consentire il passaggio di tutto, tranne che di questo alias contenente indirizzi ip della rete privata.

Fare clic sulle regole nella scheda Firewall. Fare clic sulla stessa interfaccia Opt1. Fare clic sul pulsante plus per aggiungere una regola del firewall. Impostate l'azione su Pass, quick su On, l'interfaccia è la stessa interfaccia Opt1, la direzione è In, TCP su IPv4, il protocollo TCP/UDP, la sorgente è la rete Opt1, la casella Inverti destinazione è selezionata, la destinazione è l'alias 'Rete privata', fate clic su Salva.

Appariranno due nuove regole firewall per l'interfaccia. Assicurarsi che la prima regola del firewall DNS si trovi sopra la seconda regola Internet con l'alias. Le regole del firewall vengono seguite dall'alto verso il basso.  Il DNS deve trovarsi sopra la regola che blocca le reti private.

Ora fate passare un cavo Ethernet dalla porta Protectli Vault assegnata alla nuova interfaccia alla porta WAN del router wifi GliNet Flint. Collegare il dispositivo e lasciare che si accenda e si connetta.

Collegare un cavo Ethernet dalla prima porta LAN sul retro del FLint al laptop. Accedere a 192.168.8.1, l'indirizzo IP predefinito del router GliNet Flint, in un browser.

Ecco la GUI web del Flint. Impostare una password di amministrazione per accedere alla GUI.  Nella GUI di Flint è possibile impostare l'indirizzo ip del Flint, l'intervallo di indirizzi ip per le reti principali e guest, creare password wifi per ogni rete, vedere tutti i client connessi al router, bloccare i client, attivare o disattivare le reti, aggiornare il firmware e altro ancora.

Flint è dotato di quattro reti wifi e quattro porte. Le reti wifi principali 5g e 2.4 hanno ciascuna una rete guest.  Solo le reti principali possono accedere all'interfaccia grafica, un'ottima impostazione predefinita. Collegando tutti i televisori, gli ioT e gli ospiti alle reti guest, questi non saranno in grado di accedere alla GUI wifi. In Altre impostazioni è possibile impostare un server DNS personalizzato da eseguire sul router, in modo che tutto il traffico sia impedito da fughe di DNS. In Applicazioni è possibile attivare Adgaurd con un solo clic, bloccando il tracciamento e gli annunci pubblicitari a tutti i dispositivi collegati al router.

Utilizzate la scheda VPN per impostare una VPN che venga avviata sul router e copra tutti i dispositivi ad esso collegati. Wiregaurd può essere usato come client o server e Mullvad può essere usato come VPN.  Fare clic su VPN, client wiregaurd, selezionare Mullvad, fare clic su Now set up, inserire un numero di account Mullvad valido e fare clic su Avanti. Assegnare un nome al profilo e fare clic sul pulsante Aggiungi. A questo punto, pazientare per la configurazione. Se necessario, aggiornare la pagina. Ora scegliere la configurazione e fare clic su connetti. Ora l'indirizzo IP e i dati dovrebbero essere visualizzati come ricevuti e inviati. Questo è quanto. Ora tutti i dispositivi collegati al Flint funzionano con una VPN Mullvad.

Ho impostato le mie reti Wifi per isolare gruppi di dispositivi l'uno dall'altro. La rete uno è solo il mio telefono quotidiano. La rete due è una rete ospite con due TV e un tablet. La rete tre è il mio computer di lavoro e la mia stampante. La rete quattro è una rete ospite a cui possono accedere amici e parenti.  In questo modo solo il mio telefono e il mio portatile possono accedere all'interfaccia web di Flint.  Ogni rete è isolata da una password unica e da un intervallo di indirizzi IP. Tutto il traffico passa attraverso Mullvad VPN e Adguard, oltre alle regole del firewall sull'interfaccia Protectli Vault a cui è collegato il Flint.

Il motivo per cui non ho impostato il router WiFi Flint sull'interfaccia LAN originale è che non volevo che i dispositivi connessi al WiFi potessero accedere alla GUI di Opnsense tramite 192.168.1.1. Per questo motivo sto facendo funzionare un Raspberry Pi stand alone come terminale di rete sulla LAN primaria con accesso singolo alla GUI di Opnsense. Ciò richiede l'impostazione di SSH nel router GLiNet se voglio accedervi dal terminale. Ma è abbastanza facile connettersi alla GUI GliNet sul mio telefono che non mi preoccupo più di tanto. Inoltre, isola ulteriormente l'accesso all'intera rete da un unico punto di accesso.

Solo il Raspberry Pi è collegato alla LAN originale.  In questo modo tutti gli altri dispositivi su altre interfacce di rete possono essere bloccati dall'accesso alla GUI di Opnsense.  Isolando Flint su un'interfaccia separata, sono in grado di bloccare l'interfaccia con il maggior numero di dispositivi dall'accesso alla porta TCP con una regola del firewall.

Per ogni nuova interfaccia creare una regola del firewall impostata su blocca, quick è on, direction è in, protocol è TCP, source è qualsiasi, destination è 'this firewall', destination port è impostato sulla porta TCP unica scelta nelle impostazioni generali. Posizionare questa regola del firewall sopra la regola Consenti Internet e sotto la regola Consenti DNS creata in precedenza. Ora solo l'interfaccia LAN può accedere alla porta TCP.

A questo punto, per creare un'altra interfaccia, seguite lo stesso flusso di lavoro: assegnate a un'interfaccia una porta fisica, abilitate la nuova interfaccia, impostate l'indirizzo IP, abilitate il DHCP tra i servizi, impostate gli intervalli di indirizzi IP, create le regole del firewall per consentire il DNS, le regole del firewall per autorizzare Internet e le regole del firewall per bloccare le reti o le porte private per isolare la rete.

Il flusso di lavoro è costituito da interfaccia, servizi, firewall per ogni nuova rete isolata. Una volta assegnate tutte le interfacce, si possono aggiungere le VLAN, che sono un altro argomento.

Ho creato un'interfaccia per il mio nodo bitcoin da utilizzare da solo. Ho anche configurato l'interfaccia wifi stand alone direttamente disponibile sul protectli vault per il mio thinkpad bitcoin dedicato che esegue sparrow wallet, whirlpool e serve come accesso GUI all'indirizzo tor del mio nodo Ronin Dojo Tanto. Collego anche il mio telefono pixel con Samourai Wallet a questa rete WiFi isolata sul Protectli Vault.

In questo modo non ho il mio laptop bitcoin o il telefono che si connettono al WiFi tramite un router che gestisce anche tutto il mio traffico domestico. Solo il mio laptop e il mio telefono si collegano all'interfaccia unica del router WiFi direttamente dal Protectli Vault.

Per rivedere, ho le seguenti reti di privacy isolate l'una dall'altra:

ISP -->

modem Arris Surfboard SBV3202 -->

router firewall Protectli Vault -->

Rete LAN --> Raspberry Pi come terminale desktop di rete, con accesso alla GUI Opnsense

Interfaccia Opt1 --> router WiFi GliNet Flint -->

Rete WiFi 1 --> telefono quotidiano, con accesso alla GUI GliNet

Rete WiFi 2 Ospite --> TV, Tablet

Rete WiFi 3 --> Computer portatile di lavoro, stampante

Rete WiFi 4 Guest --> Ospiti

Interfaccia Opt2 --> Nodo bitcoin Tanto

Interfaccia Opt3 Protectli Vault WiFi --> laptop e telefono Bitcoin

Posso collegarmi al mio nodo bitcoin dal mio portatile tramite Tor. Anche i programmi in esecuzione sul laptop girano su Tor.

L'impostazione della VPN wiregaurd sul Protectli Vault è un progetto completo che richiede un altro post del blog semplicemente dedicato a questo.

Il mio obiettivo in questo progetto era trovare hardware e software open source per creare una rete domestica incentrata sulla privacy.  Volevo essere in grado di creare interfacce separate, isolare le reti, bloccare l'accesso al router, utilizzare server DNS personalizzati, eseguire VPN a livello di router, separare i router e le reti wifi, avere il blocco degli annunci e il tracciamento a livello di router. Adottando queste misure sto aumentando la mia privacy e la sicurezza dei dispositivi in esecuzione sulla mia rete domestica. Credo che questi siano i passi fondamentali da compiere per creare una rete domestica privata di base. Di seguito sono riportati i link alle guide che ho trovato utili in questo processo.


https://homenetworkguy.com/how-to/install-and-configure-opnsense/

OPNSense Firewall Rules Explained
00:00 - Intro00:31 - Resources used in this video01:28 - Rule action types02:25 - Add private IP ranges alias03:26 - LAN rules management13:02 - Quick firewall “tick-box”15:35 - Rules direction16:35 - Rule cloning18:00 - WAN rules management20:27 - Additional tips22:48 - Outro PayPal Dona…
Bitcoin Home Mining Network Privacy
A privacy-focused guide on building a secure home network with a pfSense firewall. How to setup dedicated home networks to separate your family’s WiFi web browsing from your Bitcoin mining traffic. How to configure a VPN with WireGuard and how to send all your internet traffic through Mullvad VPN tu…
HOME NETWORK
HOME NETWORK
🧡
Found this post helpful? Consider sending the author a tip
ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ