openPGP в России / Форум / Практическая безопасность / Пишем Howto для Onion Pi

Пишем Howto для Onion Pi

Ну вот, наконец, и в нашей деревне праздник – приехала долгожданная "малина"!
Raspberry Pi 3 Model B V1.2 – последняя модель! :)

Сначала "для поиграться" залил на нее X-вую версию Raspbian – 2016-09-23-raspbian-jessie.img.
ОС построена на основе Debian 8 Jessie, DE- моя любимая LXDE.

Что порадовало – затяжной этап инсталляции, как во всех Линуксах, здесь отсутствует как класс, и система сразу настроена на все встроенные железки – Ethernet, WiFi, Bluetooth и пр., никаких поисков и установки драйверов не требуется, все работает "из коробки".
Загрузился моментально! И вся дальнейшая работа порадовала своей скоростью: тест 7zip показал почти однаковую скорость с Atom-компьютером на 1,8 Мгц (у которого 2 ядра, а в данном PI – 4).
Данный дистрбутив включал в себя OpenOffice, браузер Chromium, игры, математику и множество всякой всячины.
OpenOffice Writer загружается всего за 2 секунды :)
Chromium по Интернету бегает довольно сносно, но легкое притормаживание пристутствует.
Все местные точки доступа по WiFi видны, подключение к домашней точке по WPA2 происходит без проблем.
Видеосистема тоже хороша – можно спокойно смотреть видео 1080.

В-общем, если смотреть на экран, то создается впечатление, что работаешь на обыкновенном ноутбуке, и никогда не подумаешь, что основа этого "ноутбука" представляет собой миниатюрную плату размерами 50x90 мм.

Наигравшись с Иксами, приступил к главной задаче – настройке Onion Pi по инструцкции, представленной на https://learn.adafruit.com/set.....ccess-point?view=all

Для этого залил на PI консольную версию Rasbian – 2016-09-23-raspbian-jessie-lite.img

< Продолжение следует >

На страницу: 1, 2, 3, 4 След.

Комментарии

—	Piano (21/10/2016 18:57, исправлен 21/10/2016 18:57) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Хм, почему нельзя редактировать стартовый пост? Хотел немного подправить. Последующие – можно.

—	SATtva (21/10/2016 19:54) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4116

Пока нет других сообщений — можно.

—	Piano (21/10/2016 20:07) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

В том-то и дело, что других сообщений еще не было, а ссылки "Редактировать" – уже не было.
Она появилась только во 2-м посте.

—	SATtva (21/10/2016 20:14) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4116

У первого поста и нет такой ссылки, там отдельная панель управления в верхнем левом углу.

—	Piano (21/10/2016 20:23) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Кто бы мог подумать... Неудобно разбрасывать управляющие органы куда попало.
Теперь все, кроме 1-го поста, можно удалить.
И если возможно, сделать жирным:

Raspberry Pi 3 Model B V1.2

2016-09-23-raspbian-jessie-lite.img

—	Гость_ (21/10/2016 21:30) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Хм, почему нельзя редактировать стартовый пост? Хотел немного подправить.

Для желающих править документы до бесконечности, как в любой вики, есть специально отведённое место. Создаёте документ в релевантном подразделе и редактируете хоть до посинения. В данном случае вам придётся либо там начинать заново, либо просить SATtva перенести этот форумный документ туда.

—	Piano (21/10/2016 22:12, исправлен 21/10/2016 22:43) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Ладно, продолжу здесь, потому что это не законченное Howto, а черновик, который еще править и править.
Дело в том. что на официальном сайте Onion Pi полноценного руководства от А до Я нет, только отдельные фрагменты, которые надо проверять и соединять воедино.
На русскоязычных сайтах есть кое-что похожее, но заметил, что авторы то ли случайно, то ли намеренно искажают мануалы – то пробел лишний в коды вставят, то точку нужную выбросят, в результате инструкция без доработки не работает, уж не говорю об отсутствии плноценных комментариев.
Мне же хочется создать добросовестное полноценное Howto по настройке Onion Pi на базе Raspberry Pi 3 и Raspbian Jessi 8 – такое, чтобы обычный пользователь его тупо выполнил – и все заработало. Может, даже удастся создать скрипт, который сам выполнит эти все настройки.
Разумеется, со всеми этими задачами я как простой пользователь не справлюсь, поэтому рассчитываю на совместную помощь.

Итак, продолжим.
Дальнейшие действия в предположении, что PI интерфейсом eth0 подключен к локальной сети с выходм в Internet.

1. Проверяем интерфейс eth0 пинг на что-нибудь:

yandex.ru - ping yandex.ru PING yandex.ru (77.88.55.66) 56(84) bytes of data. 64 bytes from yandex.ru (77.88.55.66): icmp_seq=1 ttl=57 time=17.0 ms 64 bytes from yandex.ru (77.88.55.66): icmp_seq=2 ttl=57 time=17.1 ms

2. Проверяем наличие WiFi-адаптера -

# ifconfig -a eth0 Link encap:Ethernet HWaddr a6:27:fe:1c:5c:d6 inet addr:192.168.1.101 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::dd55:9c11:e3c4:f6b1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:245 errors:0 dropped:0 overruns:0 frame:0 TX packets:276 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:21687 (21.1 KiB) TX bytes:27856 (27.2 KiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) wlan0 Link encap:Ethernet HWaddr 11:22:33:44:55:66 inet6 addr: fe80::a0ba:1287:35fb:9871/64 Scope:Link UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:1 errors:0 dropped:1 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:63 (63.0 B) TX bytes:0 (0.0 B)
– видим, что он определяется под именем wlan0

3. Устанавливаем софт для точки доступа:

apt-get update apt-get install hostapd isc-dhcp-server

4. Устанавливаем менеджер iptables:

apt-get install iptables-persistent

который запросит сохранение текущих правил для IPv4 и IPv6 – согласиться.

5. Настраиваем DHCP-сервер

Комментируем в конфиге /etc/dhcp/dhcpd.conf строки:

option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;

Расскомментируем строку:

#authoritative;

Добавляем вниз конфига строки:

subnet 192.168.42.0 netmask 255.255.255.0 {
    	range 192.168.42.10 192.168.42.50;
    	option broadcast-address 192.168.42.255;
    	option routers 192.168.42.1;
    	default-lease-time 600;
    	max-lease-time 7200;
    	option domain-name "local";
    	option domain-name-servers 8.8.8.8, 8.8.4.4;
    }

– и тут у меня вопрос – хорошо ли использовать для будущего Tor-анонимизатора гугловские DNS?
Может лучше свои, провайдерские?

—	Piano (21/10/2016 22:55, исправлен 21/10/2016 22:58) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

6. Заменяем в конфиге /etc/default/isc-dhcp-server

INTERFACES=""
на
INTERFACES="wlan0"

7. Настраиваем WiFi-адаптер на статический адрес и входящие соединения:

ifdown wlan0

при получаем предупреждение -

Warning: Stopping avahi-daemon.service, but it can still be activated by:
avahi-daemon.socket

– не знаю, к чему это. Может этот сервис луxше вообще отключить, чтобы не путался под ногами?

8. Заполняем конфиг /etc/network/interfaces следующим содержанием:

source-directory /etc/network/interfaces.d

	auto lo

	iface lo inet looback
	iface eth0 inet dhcp

	allow-hotplug wlan0

    iface wlan0 inet static
      address 192.168.200.1
      netmask 255.255.255.0

где 192.168.200.1 – адрес создаваемой точки доступа.

9. Назначаем WiFi-адаптеру статический адрес, указанный в конфиге /etc/network/interfaces -

ifconfig wlan0 192.168.200.1

10. Конфигурируем точку доступа

Создаем файл

/etc/hostapd/hostapd.conf

и заполняем его следующим содержанием:

interface=wlan0
	#driver=rtl871xdrv
	ssid=MyBigPoint
	country_code=US
	hw_mode=g
	channel=6
	macaddr_acl=0
	auth_algs=1
	ignore_broadcast_ssid=0
	wpa=2
	wpa_passphrase=MySuperParol
	wpa_key_mgmt=WPA-PSK
	wpa_pairwise=CCMP
	wpa_group_rekey=86400
	ieee80211n=1
	wme_enabled=1

Здесь строка с драйвером адаптера WiFi закомментирована,
поскольку используется встроенный в PI3 WiFi-адаптер.
Имя точки доступа и пароль естесственно, свои.

11. Указываем системе, где находится конфигурационный файл hostapd.conf.

Для этого в конфиге

/etc/default/hostapd

расскоментируем строку

#DAEMON_CONF=""

и приводим ее в такой вид:

DAEMON_CONF="/etc/hostapd/hostapd.conf"

В конфиге /etc/init.d/hostapd заменяем строку

DAEMON_CONF=

на

DAEMON_CONF=/etc/hostapd/hostapd.conf

—	Гость_ (21/10/2016 22:59) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> хорошо ли использовать для будущего Tor-анонимизатора гугловские DNS? Может лучше свои, провайдерские?

Лучше свои, провайдерские, но ещё лучше – не использовать никаких и весь UDP запретить. Тору для работы ни UDP, ни DNS не нужны.

> Проверяем интерфейс eth0 пинг на что-нибудь

Отлично, товарищ. Теперь мы знаем твой IP. Спасибо, что пинганул и потом отписался об этом на форуме.

> Устанавливаем софт для точки доступа

Если есть возможность, лучше использовать статику и для ISP и для локалки, а не городить DHCP, который ходит мимо сетевого экрана.

—	Гость_ (21/10/2016 23:04) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Может этот сервис луxше вообще отключить, чтобы не путался под ногами?

Не можно, а нужно. Точнее, при правильном инсталле он вообще не должен был установиться в систему.

> wpa=2

Помимо него нужен ещё какой-то тунель поверх, на нерасшифровываемость WPA2 полагаться нельзя.

—	Piano (21/10/2016 23:08, исправлен 21/10/2016 23:10) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Млин, Гость_, ну зачем вы влезли именно сейчас? Я снова не могу редактировать предыдущий пост, а там остались ошибки.

Потерпите уж все, пока я не закончу первый этап писанины, о чем сообщу отдельно, а потом будем решать возникшие вопросы.

Но поскольку вы уже влезли, отвечу, что об IP, который я указал, не имею малейшего понятия :) Поскольку вбил его от балды – опыт старого сетевого параноика не пропьешь :))

Avahi был преустановлен в системе разработчиками.
По DNS – понятно, UDP, статику и туннели обсудим несколько попозже.

—	Piano (21/10/2016 23:14, исправлен 21/10/2016 23:15) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

12. Конфигурируем NAT

12.1 Добавляем внизу конфига /etc/sysctl.conf строку -

net.ipv4.ip_forward=1

12.2. Для немедленной активации запустить

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

12.3. Для создания сетевой трансляции между сетевым интерфейсом eth0 и wifi-портом wlan0
запускамем команды:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

12.4. Проверяем полученные таблицы командами:

iptables -t nat -S

получаем -

-P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE

iptables -S

получаем -

-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i wlan0 -o eth0 -j ACCEPT

12.5. Чтобы эти действия происходили при перезагрузке, выполняем команду:

sh -c "iptables-save > /etc/iptables.ipv4.nat"

—	Piano (21/10/2016 23:19, исправлен 22/10/2016 00:07) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Кое-что из упущенного:

– дефолтовый логин/пароль для PI:
pi/raspberry

– полезно сразу установить:
mc
htop
screen
chkconfig

– сервис, который лучше сразу отключить –
bluetooth

—	Piano (22/10/2016 00:08, исправлен 22/10/2016 00:12) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

Сервисы Raspbian Jessie 8 на текущий момент:

# chkconfig --list alsa-utils 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on avahi-daemon 0:off 1:off 2:on 3:on 4:on 5:on 6:off bluetooth 0:off 1:off 2:off 3:off 4:off 5:off 6:off bootlogs 0:off 1:on 2:on 3:on 4:on 5:on 6:off bootmisc.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkroot-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on checkroot.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on console-setup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on cron 0:off 1:off 2:on 3:on 4:on 5:on 6:off dbus 0:off 1:off 2:on 3:on 4:on 5:on 6:off dhcpcd 0:off 1:off 2:on 3:on 4:on 5:on 6:off dphys-swapfile 0:off 1:off 2:on 3:on 4:on 5:on 6:off fake-hwclock 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on hostapd 0:off 1:off 2:on 3:on 4:on 5:on 6:off hostname.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on hwclock.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off isc-dhcp-server 0:off 1:off 2:on 3:on 4:on 5:on 6:off kbd 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on keyboard-setup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on killprocs 0:off 1:on 2:off 3:off 4:off 5:off 6:off kmod 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on motd 0:off 1:on 2:on 3:on 4:on 5:on 6:off mountall-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountall.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountdevsubfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountkernfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountnfs-bootclean.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on mountnfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on netfilter-persistent 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on networking 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on nfs-common 0:off 1:off 2:off 3:off 4:off 5:off 6:off ntp 0:off 1:off 2:on 3:on 4:on 5:on 6:off plymouth 0:off 1:off 2:on 3:on 4:on 5:on 6:off plymouth-log 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on procps 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on raspi-config 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on rc.local 0:off 1:off 2:on 3:on 4:on 5:on 6:off rcS 0:off 1:off 2:off 3:off 4:off 5:off 6:off rmnologin 0:off 1:off 2:on 3:on 4:on 5:on 6:off rpcbind 0:off 1:off 2:off 3:off 4:off 5:off 6:off rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off screen-cleanup 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on sendsigs 0:off 1:off 2:off 3:off 4:off 5:off 6:off ssh 0:off 1:off 2:on 3:on 4:on 5:on 6:off sudo 0:off 1:off 2:off 3:off 4:off 5:off 6:off triggerhappy 0:off 1:off 2:on 3:on 4:on 5:on 6:off udev 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on udev-finish 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on umountfs 0:off 1:off 2:off 3:off 4:off 5:off 6:off umountnfs.sh 0:off 1:off 2:off 3:off 4:off 5:off 6:off umountroot 0:off 1:off 2:off 3:off 4:off 5:off 6:off urandom 0:off 1:off 2:off 3:off 4:off 5:off 6:off S:on

—	Piano (22/10/2016 00:13, исправлен 22/10/2016 00:55) профиль/связь <#> комментариев: 110 документов: 17 редакций: 16

13. Приступаем к тестированию полученной точки доступа.
Хм, пункт получился 13-й – так оно и оказалось :(

Планшет точку видит, коннектится, но никак не может от нее получить IP-адрес.
Видимо, что-то с DHCP.

Уже нашел одну ошибку в адресе: в п.5 вместо

option routers 192.168.42.1;

должно быть

option routers 192.168.200.1;

Но это все равно не помогло.

Далее меня заинтересовало содержание конфига, взятое из оригинального мануала, которое гласит:

source-directory /etc/network/interfaces.d auto lo iface lo inet looback iface eth0 inet dhcp allow-hotplug wlan0 iface wlan0 inet static address 192.168.200.1 netmask 255.255.255.0

т.е. получается, что etho получает адрес по DHCP.
Так оно и есть – eth0 получает у меня 192.168.1.101

На всякий случай, для надежности, переделал его на статику:

source-directory /etc/network/interfaces.d auto lo iface lo inet loopback # iface eth0 inet dhcp iface eth0 inet static address 192.168.1.50 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 192.168.1.1 8.8.8.8 auto eth0 allow-hotplug wlan0 iface wlan0 inet static address 192.168.200.1 netmask 255.255.255.0

но и это не помогло наладить получение IP-адреса WiFi-клиентами.

Более того – PI по Ethernet стал откликаться сразу на 2 адреса –
– на тот же динамический 192.168.1.101
– и на статический 192.168.1.50

Это уже мне уже совсем непонятно :(
Возможно, что-то в устройстве PI мне еще неизвестно.

На этом пока остановливаюсь и жду ваших советов, пока только по проблеме получения IP-адреса WiFi-клиентами.

После ее решения продолжу повествование.

На страницу: 1, 2, 3, 4 След.

Ваша оценка документа [показать результаты]