使用goSecure VPN将树莓派3打造成隐身设备

作者：Jordan Drysdale
注意： 本博文中提到的技术和工具可能已过时，不适用于当前情况。但本文仍可作为学习机会，并可能更新或集成到现代工具和技术中。

本文与IADGov链接类似，包含三个主要步骤。首先，获取树莓派和运行CentOS 6.8的VPS。其次，配置服务器和树莓派。最后，讨论和学习如何将所有通过树莓派作为新路由器的通信进行隐身。我将通过一个小型外接显示器演示如何将树莓派连接到需要接受使用条款和协议页面的Wi-Fi网络。通过此连接，树莓派后的所有网络流量都通过VPN隧道路由，实现基本不可追踪的互联网通信。有关使用礼品卡购买比特币服务器的信息，请参阅此文章。

基础步骤

首先，如何为树莓派安装所选操作系统的链接：https://www.raspberrypi.org/documentation/installation/installing-images/。为简洁起见，本文使用Raspbian。

goSecure VPN服务器端快速简易安装

选择一个平台，以下任一平台都提供CentOS 6.8。关于完全匿名化，请参阅第一段中的博客链接。goSecure VPN服务器配置在CentOS 6.8上完全支持，因此请在选择虚拟私有服务器时选择此操作系统。

Digital Ocean: https://www.digitalocean.com/
Linode: https://www.linode.com/
Amazon EC2: https://aws.amazon.com/ec2/

购买VPS时，您无需完成此处列出的大多数步骤。在步骤1 – 构建服务器端网络配置 – 中，您可以跳过“内部网络配置”，因为Amazon可能不感兴趣您配置对其信任网络的VPN访问。

无需多言，服务器安装命令：

1
2
3
4
5


root@centos6.8:~ $ cd ~
root@centos6.8:~ $ wget https://iadgov.github.io/goSecure/files/install_scripts/gosecure_server_install.py
### 此命令使用wget获取服务器安装Python文件 – 这是服务器安装，确保您拉取的是server_install.py ###
root@centos6.8:~ $ sudo python gosecure_server_install.py client_id user1@cloaker.dev client_psk "longpasswordforuse"
### 请使用您想要的任何凭据和域名，域名无关紧要，系统将在命令完成后重启 ###

仅此而已。但是，要更改、编辑或修改用户，您需要修改以下两个文件：

1
2
3


root@centos6.8:~ $ sudo yum install nano -y   ### 添加nano文本编辑器 ###
root@centos6.8:~ $ sudo nano /etc/ipsec.conf  ### 在此添加用户
root@centos6.8:~ $ sudo nano /etc/ipsec.secrets ### 在此添加密钥

goSecure VPN客户端快速简易安装

以下步骤均取自IADGov网站，那里有许多漂亮的截图。

从终端使用sudo raspi-config命令配置树莓派
- 更改用户密码 - 选项2
- 国际化选项 - 选项5
  - 更改时区
  - 更改键盘布局 ### 默认为UK键盘，此部分有多个选项，请参阅截图 ###
  - 更改Wi-Fi国家
应用更改，点击Tab键两次并重启。
配置网络，使其匹配以下示例network/interfaces文件：

1
2
3
4
5
6
7
8
9


pi:$ sudo nano /etc/network/interfaces

# interfaces(5) file used by ifup(8) and ifdown(8)
# Please note that this file is written to be used with dhcpcd # For static IP, consult /etc/dhcpcd.conf and ‘man dhcpcd.conf’
# Include files from /etc/network/interfaces.d: source-directory /etc/network/interfaces.d
auto lo iface lo inet loopback
### eth0接口将成为您的隐身路由器的接口IP。您可以将其设置为任何值，但必须在运行client_install.py之前配置 ###
auto eth0 allow-hotplug eth0 iface eth0 inet static address 192.168.50.1 netmask 255.255.255.0
auto wlan0 allow-hotplug wlan0 iface wlan0 inet manual wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

使用sudo service networking restart重启网络。

更新操作系统和树莓派：

1
2
3
4
5
6


sudo apt-get update -y
sudo apt-get upgrade -y
sudo apt-get dist-upgrade -y
sudo apt-get install rpi-update
sudo rpi-update
sudo reboot

重启后，在登录提示符处登录。

wget并运行goSecure客户端安装脚本

1
2
3


pi:~$ cd ~
pi:~$ wget https://iadgov.github.io/goSecure/files/install_scripts/gosecure_client_install.py
pi:~$ sudo python gosecure_client_install.py

清理 ### 删除所有配置痕迹

1
2
3
4
5
6
7
8
9


pi:~$ sudo rm /home/pi/gosecure_client_install.py
pi:~$ sudo rm -rf /usr/share/doc/* /opt/vc/src/hello_pi/
pi:~$ sudo find /usr/share/locale/* -maxdepth 0 -type d |grep -v en |xargs sudo rm -rf
pi:~$ sudo find /usr/share/man/* -maxdepth 0 -type d |grep -Pv 'man\d' |xargs sudo rm -rf
pi:~$ sudo find / -type f -name "*-old" |xargs sudo rm -rf
pi:~$ sudo rm -rf /var/backups/* /var/lib/apt/lists/* ~/.bash_history
pi:~$ sudo find /var/log/ -type f |xargs sudo rm -rf
pi:~$ sudo cp /dev/null /etc/resolv.conf
pi:~$ sudo reboot

快速简易客户端用例（更多截图等）：

将网络电缆从笔记本电脑、PC或交换机连接到树莓派。
将USB电缆插入goSecure客户端以为设备供电。
等待60秒。
打开Web浏览器并导航到“https://setup.gosecure”。
按照出现的网页上的说明操作。默认登录用户名为“admin”，密码为“gosecure”。登录后，系统将提示您更改它们。
下一页将提示您输入本地无线网络。如果需要接受Wi-Fi访问的服务条款页面，我会携带一个小型监视器。
下一页将提示您输入目标VPN服务器；您之前获取的VPS IP地址以及在server_install.py命令中使用的凭据。例如：user1@cloaker.dev longpasswordforuse。
一切应变为绿色，您应确认自己隐藏在VPS IP之后。

故障排除页面不可用：

如果您无法访问该站点，能否ping 192.168.50.1？
您是否在192.168.50.x网络上收到了IP地址？
在树莓派的终端中运行route -n命令是否产生有效的默认网关或全零路由？0.0.0.0 192.168.1.1 – 如果没有，请在同一个终端中运行sudo route add default gw <gatewayIP>命令。

最后，一个正常用例：

将以太网电缆从goSecure客户端插入笔记本电脑。
将USB电缆插入goSecure客户端以为设备供电。
等待60秒。我在此使用便携式监视器在树莓派上接受Wi-Fi网络的服务条款。我的笔记本电脑通过有线连接到树莓派，它成为我的路由器/网关/隐身器。
从笔记本电脑登录到goSecure客户端GUI，地址为https://setup.gosecure。
在VPN字段中配置您的VPS IP，以及您预先配置的用户名和密码。
魔法时刻，大功告成！

您已隐身，浏览互联网时应隐藏在VPS的IP地址之后。再进一步，创建一个新的本地端口隐藏出站SSH隧道，并添加另一层混淆：

1
2


hyperion@tau-ceti:~$ ssh -D 3333 -f -C -q -N -p 8415 enoch@12.34.56.78 ### 将此服务器视为另一层混淆
hyperion@tau-ceti:~$ google-chrome --proxy-server="socks://localhost:3333" ### socks代理获胜！

感谢阅读。玩得开心，注意安全。