Как раздавать свободный интернет? Инструкция для чайников.
Создана: 24 Мая 2017 Срд 20:40:17.
Раздел: "Защита от гос.органов"
Сообщений в теме: 25, просмотров: 62146
-
Эта заметка в продолжение затронутой в прошлый раз темы Как безопасно обойти блокировки в интернете? OpenVPN AS, в которой мы рассмотрели простой способ получения свободного интернета, не урезанного и не подконтрольного местным чиновникам.
Если мы получили свободный интернет на одном из компьютеров, грех не поделиться им со всеми желающими в нашей локальной сети. Сделать это очень просто - в сущности, нужно включить одну-единственную галочку, разрешающую общий доступ.
Вся инструкция уложилась в одну картинку, причём она подойдёт к большинству версий Windows, начиная от XP и до Windows 10. За исключением серверных. Но если у вас серверная винда, то вам не нужна инструкция для чайников.
Итак, суть раздачи интернета состоит в том, чтобы найти и включить одну-единственную галочку, разрешающую раздачу интернета. Однако, чтобы сделать это правильно, вы должны более-менее ясно представлять, что делаете, иначе ничего не получится. Объясняю по шагам.
1. Заходим в панель управления (Control panel)
2. Находим там настройки сети (Network and Sharing Center), заходим
3. Заходим там в настройки сетевых адаптеров (Change adapter settings).
4. Должен открыться список сетевых адаптеров, и в нём должно быть как минимум два адаптера:
- один адаптер локальной сети, физическое устройство.
- и ещё должен быть адаптер OpenVPN , виртуальное устройство.
Мы же настроили OpenVPN client по предыдущей инструкции, поэтому TAP-адаптер должен присутствовать. Если его нет ничего не получится.
5. Прежде всего изучаем свойства адаптера локальной сети - все его настройки (IP-адрес, маску, шлюз, DNS), лучше переписать на бумажку, потому что они сбросятся и надо будет прописать их заново.
5.а Возможна ситуация, что вместо статического IP-адреса имеет место получение настроек через DHCP - и это тоже не страшно, надо узнать полученные настройки выполнив в cmd команду ipconfig /all, и переписать из неё все эти настройки - IP-адрес (IPv4 Address), маска (Subnet Mask), шлюз (Default Gateway), DNS Servers.
После включения галочки эти настройки надо прописать статически в свойства адаптера локальной сети. Лучше с этого и начать - прописать настройки статикой, убедиться, что всё работает, ничего не сломалось, после этого можно идти дальше.
6. Ищем адаптер, соответствующий OpenVPN каналу связи, его можно отличить по надписи под ним "TAP Adapter ...". Заходим в свойства, и переходим на вкладку общего доступа (Sharing), и там включаем заветную галочку.
7. Жмём ОК, и получаем предупреждение, что в адаптер нашей локальной сети будет прописан IP-адрес 192.168.0.1. Это нам не нужно, но выбора у нас нет - соглашаемся, жмем Окей, после чего общий доступ должен включиться.
8. После этого быстренько идём в настройки адаптера локальной сети и прописываем там те настройки, которые там были раньше. Если всё получилось, то результат должен выглядеть так, словно мы вообще ничего не изменили, только включили галочку. Всё должно работать как и работало.
9. Ну и как же этим пользоваться?
(OpenVPN, разумеется, должен быть у вас уже подключен)
Общая идея такая:
на других компьютерах вашей локальной сети прописан какой-то основной шлюз, а если вместо него прописать IP-адрес вашего компьютера в вашей локальной сети, то ваш компьютер становится альтернативным шлюзом, и трафик того компьютера пойдёт через ваш OpenVPN-канал. Таким образом, на любом компьютере локальной сети становится возможно выходить в интернет либо напрямую (прописав Default Gateway тот который обычный), либо через ваш OpenVPN-шлюз (исправив Default Gateway на IP-адрес вашего компьютера).
10. Для продвинутых юзеров, подсказка: шлюз можно менять из командной строки при помощи следующих двух команд (cmd должен быть запущен с правами администратора):
route delete 0.0.0.0 - удаляем текущее значение шлюза по умолчанию
route add 0.0.0.0 mask 0.0.0.0 192.168.0.1 - прописываем другое значение шлюза, например, 192.168.0.1
Можно записать эти команды в два bat-файлика, и осуществлять переключение между шлюзами кликая в них - один для переключения на "прямой шлюз", другой чтобы включить "свободный интернет". -
Какая-то бесполезная фигня.
Во-первых, раздача с чего и для чего? С виндоус-компутера? WannaCry ничему не учит... Поржал. В тырнет обычно смотрит роутер, модем или телефон, а раздача нужна в основном на другие мобильные девайсы. Текущая инструкция была бы актуальна лет 15 назад.
Во-вторых, поржал с раздела. Нынешние "блокировки" это школьный уровень. Щас даже домохозяйки умеют их обходить. Про методику для рутрекера даже по ТВ сюжет был. Бояться нужно DPI и внедрения корневых сертификатов от ФСБ, как это уже отчасти реализовано в Яндекс-браузере. Тогда тупо весь нераспознанный трафик будут тормозить например до 64 кбит/с. Админам для SSH хватит, а вот мамкины хакиры обломаются. Ни видео про нахального ни фоток ботокса не загрузить. Тут надо бы рассказать про SoftEther VPN, но желающие сами найдут инфу. Единственное, он не работает на мобилах. Но в некоторых странах средней азии научились как-то по-другому заворачивать VPN в SSL, так что работает со стандартными клиентами. Я пока не нашел технических подробностей, но говорят, что все есть на китайских форумах. Кстати если найдут бабло на аналог китайского фаервола, то весь этот детский сад не поможет. Придется заворачивать туннели в SSL или в SSH, правда в последнем случае скорость не более 2 мбит/с. -
ZED писал : Во-первых, раздача с чего и для чего? С виндоус-компутера? WannaCry ничему не учит...
Интересно, какая связь между раздачей интернета с виндоус-компутера и WannaCry ?
ZED писал :В тырнет обычно смотрит роутер, модем или телефон, а раздача нужна в основном на другие мобильные девайсы. Текущая инструкция была бы актуальна лет 15 назад.
Чтобы раздать интернет на мобильные девайсы, нужно сделать ровно то же самое. Это обобщённый метод. Любое устройство, хоть мобильное, хоть принтер, из локальной сети будет выходить через этот шлюз в свободный интернет, если указать ему IP-адрес этого шлюза.
ZED писал :Нынешние "блокировки" это школьный уровень. Щас даже домохозяйки умеют их обходить.
Задача не столько в обходе блокировок, сколько в полном выходе из-под всех средств наблюдения РФ. Все СОРМы идут лесом.
ZED писал :Бояться нужно DPI и внедрения корневых сертификатов от ФСБ, как это уже отчасти реализовано в Яндекс-браузере.
ну вот этим способом как раз всё такое преодолевается))
ZED писал :Тогда тупо весь нераспознанный трафик будут тормозить например до 64 кбит/с.
Пока об этом речи не идёт. Если зайдёт, то значит в РФ стало всё так плохо, что тормозить конечно же не будут, а тупо запретят, имхо.
ZED писал :Тут надо бы рассказать про SoftEther VPN, но желающие сами найдут инфу.
даже при использовании SoftEther VPN раздача с него свободного интернета в локальную сеть будет выглядеть так же, как описано в этой заметке (если у пользователя Windows).
OpenVPN на сегодняшний день наиболее надёжный из доступных способов обеспечения секретного туннеля. Большинство стандартных протоколов VPN блокируются просто включением галочки на маршрутизаторе - "запретить VPN". Для блокировки OpenVPN нужен анализ пакетов, а это умеет только дорогое оборудование. Из готовых проверенных решений кроме OpenVPN сейчас в общем-то ничего другого нет. -
-
AlexAdmin писал :
Если мы получили свободный интернет на одном из компьютеров, грех не поделиться им со всеми желающими
Я намеренно пропускаю технические детали, чтобы сообщить тебе, АА, о главном. Ты что, не в курсе, что для того, чтобы раздавать интернет, нужна лицензия? Ты подбиваешь местных на нарушение законодательства РФ?
Не, ты конечно можешь сказать, что вон сколько по городу хот-спотов свободных. Ну да, много. Но только на каждом из них происходит обязательная аутентификация пользователя (различными способами) в соответствии с законом.
Опять провоцируешь? -
iXBT\_man писал :Я намеренно пропускаю технические детали
а зря, лучше с этого начать, дабы читатели смогли оценить уровень технической грамотности, так сказать, заранее развеять иллюзии)
iXBT\_man писал :Ты что, не в курсе, что для того, чтобы раздавать интернет, нужна лицензия? Ты подбиваешь местных на нарушение законодательства РФ?
Товарищ чиновник, дайте ссылочку на этот закон, запрещающий пользоваться интернетом в локальной сети, раздавать его с шлюза на компьютеры в своей квартире или организации. Мы, айтишники, про такой бредовый закон даже не в курсе, пользуясь случаем хотелось бы узнать
-
iXBT\_man писал : Я намеренно пропускаю технические детали, чтобы сообщить тебе, АА, о главном. Ты что, не в курсе, что для того, чтобы раздавать интернет, нужна лицензия?
Если речь о неопределенном круге - то да, верное замечание.
А если речь о раздаче инета по локалке в своей квартире - то никаких лицензий не требуется. Правда, я уже давно (лет так десять) не видел использования ПК в качестве эдакого "большого и прожорливого роутера" в домашних сетях, так что полезность инструкции под большим вопросом.
Имхо, проще взять нормальный роутер и настроить VPN через него, благо инструкций пошаговых с картинками сейчас полно, как и сервисов.
Хотя я не айтишник, может и ошибаюсь в чем. -
Boyarin\_law писал : Имхо, проще взять нормальный роутер и настроить VPN через него, благо инструкций пошаговых с картинками сейчас полно, как и сервисов.
я сначала именно этим путём и пошел, но потом осознал его нелепость.
дело в том, что в локальной сети каким-то компьютерам OpenVPN не нужен.
Вот пара примеров.
-когда с компьютера смотрят фильмы, телепрограммы, и прочее. Это довольно объёмный трафик, который хотя и можно гнать через секретный канал, но никакого смысла в этом нет, пустая нагрузка.
-когда для доступа на какой-то сайт нужен именно российский IP-адрес, а не зарубежный.
В общем, практически всегда из локальной сети нужен и прямой доступ, и секретный. Поэтому, если идти путём одного роутера, который будет настроен только на секретный канал, то мы лишаемся удовольствия легкого переключения между каналами. Чтобы переключиться нам потребуется залазить в настройки роутера и переключать канал, причём, он переключится сразу для всей локальной сети. То есть вообще не вариант.
Второй вариант, как у меня - это два Wi-Fi роутера. Один - понятное дело, настроен на провайдера и раздаёт "прямой" интернет. Второй - допустим, прошиваем dd wrt, настраиваем OpenVPN, вроде всё прекрасно - но тут наступает момент практического использования. Возникает вопрос: КУДА будет раздавать интернет этот "секретный роутер"? Если на вайфай - то понятно, тут всё просто, на вайфае мы получим свободный интернет, а в локалке - нет.
А мы-то хотим интернет не только на вайфае, но и в локалке! Что делать? Ну, берём и тупо втыкаем линк с выхода секретного роутера - в локалку. Появляется секретный интернет и в локалке, и на вайфае, и вообще вроде бы всё круто, но... Тут возникает проблема конфликта DHCP. У нас в сети два роутера, каждый из которых норовит отдать клиенту свой вариант настроек, наперебой. Это же чушь собачья. Что делать? Выключаем DHCP на одном роутере - устраняем конфликт DHCP, но и теряем возможность автоматического подключения по Wi-Fi либо к роутеру со свободным интернетом, либо с прямым. Опять неудобство.
И вот в итоге мы приходим к выводу, что железный роутер, настроенный на OpenVPN, является совершенно неправильным решением в этой ситуации.
Вот в итоге я и сделал так, как объяснил в этой статейке. И второй роутер настроил просто вторым раздавальщиком локальной сети. Однако, в настройках мобильных устройств можно указать прямо IP-адреса и шлюзы, какие использовать для разных Wi-Fi сетей, поэтому подключаясь к одному вайфаю я получаю прямой интернет, а просто переключаясь на другой - получаю свободный интернет. А в локальной сети переключение осуществляется просто сменой шлюза - всё очень удобно и никакого лишнего оборудования не требуется. -
AlexAdmin писал : дайте ссылочку на этот закон, запрещающий пользоваться интернетом в локальной сети, раздавать его с шлюза на компьютеры в своей квартире или организации. Мы, айтишники, про такой бредовый закон даже не в курсе, пользуясь случаем хотелось бы узнать
А, так весь этот огород - для локальной сети в одной квартире??? Прикольно.
Слыхал небось - говорят, придумали рутеры, а у них - хоть проводом интернет подавай, хоть вайфаем. А если на рутер еще и DDWRT накатить - так и вообще чума настанет. И совершенно непонятно, зачем тогда городить весь этот огород на ПК под виндой...Не увидел сразу весь ответ выше.
Да, если твой вайфай кто-то поймает вне твоей квартиры - то ты становишься преступником без лицензии... если формально подойти к делу. -
Вообще многие пользуют VPN для объемного трафа - скачки торрентов (в Германии, например, где за них атата) и просмотра онлайновых фильмов/сериалов и передач, которые не транслируются на Россию. У меня так было с трансляциями с Wacken'а в 2015 году, почему-то с российского ip трансляция не шла, а через vpn посмотрел.
Но если уж прям надо российские ip... (хотя я пока не встречал примеров такой неободимости, лично мне не надо было)... Мне кажется, проще в том же dd-wrt на роутере включать/выключать, чем держать постоянно включенным ПК.
Я не считаю твой способ плохим, просто размышляю над вариантами. -
iXBT\_man писал : Да, если твой вайфай кто-то поймает вне твоей квартиры - то ты становишься преступником без лицензии... если формально подойти к делу.
Сдается мне, что умысел на раздачу неопределенному кругу лиц в данном случае товарищи замаются доказывать. А такой формы вины, как неосторожность по таким составам закон не предусматривает. Это опять же если сторого по закону и формальным признакам - мы ведь об этом говорим. -
Boyarin\_law писал : Сдается мне, что умысел на раздачу неопределенному кругу лиц в данном случае товарищи замаются доказывать.
Если, конечно, на рабочем столе того компа не будет лежать статейка АА с призывами раздавать свободный интернет -
Boyarin\_law писал :Я не считаю твой способ плохим, просто размышляю над вариантами.
Дак я тоже размышляю над вариантами, экспериментирую, выясняю плюсы и минусы.
У меня дома локальная сеть устроена по классической схеме: есть постоянно включенный сервер (у меня он на Windows 7 x64, не вижу смысла в серверной оси), и плюс несколько (более десяти) устройств в локальной сети - компьютеры через LAN подключены, ноутбуки и смартфоны через WiFi.
Такая топология сети мне кажется оптимальной и для домашнего использования, и для небольшого предприятия. Скажем так, это базовое решение, любые отклонения от которого влекут определённые неудобства.
Наличие постоянно включенного "сервера" как раз и даёт возможность либо вообще выкинуть роутеры из сети, возложив их функции на "сервер", либо оставить один входной роутер с вайфаем (потому что для раздачи вайфая всё равно нужна какая-то железка). А если функции входного роутера с "сервера" сняты, то он вполне может вместо этого быть шлюзом OpenVPN. По крайней мере я методом проб и ошибок пришел именно к такой топологии, она практически удобна и вполне логична. -
iXBT\_man писал :Да, если твой вайфай кто-то поймает вне твоей квартиры - то ты становишься преступником без лицензии...
Вы давно встречали открытые WiFi в России? У меня в доме ловится штук двадцать сеток и все до единой закрыты. Если где-то в городе встречается открытая WiFi точка - скорее всего, это какая-то ловушка, пароли воровать например. -
AlexAdmin писал :
даже при использовании SoftEther VPN раздача с него свободного интернета в локальную сеть будет выглядеть так же, как описано в этой заметке... OpenVPN на сегодняшний день наиболее надёжный из доступных способов обеспечения секретного туннеля.... Из готовых проверенных решений кроме OpenVPN сейчас в общем-то ничего другого нет.
Нет не будет. У SoftEther своя реализация и я вкратце объяснил в чем отличия. Кому надо, тот поймет. OpenVPN легко блочится или замедляется через заголовки по типу "нераспознанный трафик". Через DPI тем более. А его уже внедрили некоторые мобильные операторы (Йота и кое-где МТС), так что с наземными лишь вопрос времени. Чтобы не задеть нужные ресурсы и переносят сервера в РФ, попутно угрожая замедлить гугл (а на самом деле готовят почву для прогиба хрома с сертификатами). Когда случится страшное, все мамкины хакиры с OpenVPN на 443 порту вернутся в эпоху диал-ап. А подобные темы лишь засрут поисковую выдачу. Вот и вся причина моего недовольства.