我在我的浏览器中使用uBlock Origin扩展,就像大多数阅读这类文章的人一样,但对于大多数人,包括我的其他家庭成员来说,情况并非如此。因此,为了增强他们的网络浏览体验,我决定在DNS级别屏蔽广告。
但我想,为什么不就此打住,为什么不在我做这件事的时候也改善他们的隐私呢?所以我也决定建立一个VPN。现在让我在这里澄清一些事情,我不是VPN的狂热粉丝,也不是大公司宣传VPN的方式,下面是汤姆·斯科特(Tom Scott)制作的一段很棒的视频,解释了我的意思。但它们也有自己的用例,其中一些是:
我看过Blokada和DNS66这样的应用程序,它们可以让你在移动设备上拦截设备范围的广告。在Android上,这是通过在手机上创建内部VPN来实现的,这样来自设备的所有流量都可以通过它进行路由,并且它有一个包含所有列入黑名单的域的文件,以过滤掉流量。
但这种方法有一个警告。由于Android的限制,我不能使用其他VPN来路由我的流量。
一次只能运行一个VPN连接。创建新接口时,现有接口将停用。
这意味着我的ISP仍然可以访问我的浏览模式。因此,我开始寻找拦截广告的DNS服务器,这样我就可以将Android的全球DNS指向它。我发现AdGuard和PiHole是最顶尖的项目。在家里把这些东西放在树莓PI上似乎是一个可行的解决方案,但再说一遍,人们在旅行时不能使用它。解决方案显然是将其托管在可公开访问的服务器上。在这两个人中,我发现AdGuard更有吸引力,原因如下。
你可以在这里找到更多关于他们的不同之处。这两个都是伟大的项目,但AdGuard完美地满足了我的要求。
当谈到VPN时,我甚至没有考虑使用OpenVPN,WireGuard是显而易见的选择,因为它速度快、体积小、易于审计的代码库(我不是要审计它,但仍然)、跨平台兼容性和与Linux内核的集成。
作为Kubernetes的忠实粉丝并将基础设施作为代码进行维护,我想要一种能够轻松部署和版本控制我的部署的方法。经过多次搜索,我偶然发现了一个基于wireGuard为Kubernetes构建的网络覆盖。通过加密Pod间通信,并允许我在跨越多个云提供商的节点上构建安全群集,它可以做我想做的事情,同时还可以增强我的群集的安全性。此外,它还可以让我轻松调试部署在Kubernetes集群上的应用程序,因为当连接时,我将成为网络上的一个对等用户,从而可以访问部署、服务等的所有私有IP。您可以观看Lucas Servén Marín的这篇演讲以了解更多信息。
没有更多的麻烦,让我们直接跳到设置中。我将解释在K3S群集上设置它的步骤。您可能需要根据您的群集修改它们。在部署K3之后,第一件需要做的事情就是设置KIO。首先在k3s上下载KIO的货单。
现在,您需要修改kg容器的args下的DaemonSet部分,并将其添加到-Mesh-Granity=Full。
.-kubeconfig=/etc/Kubernetes/kubeconfig-hostname=$(NODE_NAME)-Mesh-Granality=Full env:-NAME:NODE_NAME值From:fieldRef:fieldpath:spec.nodeName.。
这样做是为了确保我们的所有节点都网状连接在一起,而与数据中心无关。然后只需应用清单即可。
这将在稍后用于设置WireGuard VPN。稍后会详细介绍这一点。现在我们可以继续设置AdGuard了。这是AdGuard的说明书。
apiVersion:apps/v1Kind:DeploymentMetadata:Name:adGuardhomespec:selector:matchLabels:app:adGudhome副本:1策略:type:RollingUpdate RollingUpdate:maxUnailable:1 maxSurge:0模板:METADATA:Labels:app:adGudhome规范:卷:-Name:tls-cert-Secret:SecretName:Production-TLS-cert-name:adGuard-config hostPath:path:。类型:目录或创建容器:-name:adGudhome映像:adGuard/adGuardhome:v0.102.0端口:#Regular DNS Port-tainerPort:53 hostPort:53 protocol:udp-tainerPort:53 hostPort:53 protocol:tcp#dns over TLS-tainerPort:853 hostPort:853 protocol:tcp volumemount:-name:tls-cert-Secret mount tPath:/certs-name:adGuard-config mount tPath:/。名称:adGuardhome标签:app:adGuardhomespec:type:ClusterIP选择器:app:adGuardhome端口:-port:80#targetPort:3000 targetPort:80 protocol:tcp。
RollingUpdate被有意配置为不等待新Pod启动,并在部署期间直接终止现有Pod。从表面上看,这似乎是一种反模式,但由于我正在使用hostPort指令,因此除非主机上有端口53可供其绑定,否则不会调度新Pod,因此必须先终止现有Pod,然后才能部署新Pod。
另外,我最初打算使用ConfigMap来保存AdGuardHome.yml,但AdGuard在初始启动时试图写入它时出现了一些问题,但由于ConfigMap被设置为ReadOnly,Pod创建通常会失败,所以我决定使用Volume,直到我弄清楚问题。
对于初始设置,可以在端口3000上访问AdGuard管理UI,因此您必须首先在adGuardhome服务中将targetPort切换为3000,访问admin UI,设置密码,然后将targetPort恢复为80。
您还可以在“DNS设置”下启用DNSSEC,以通过对DNS响应进行签名并使篡改可检测来保证DNS响应的真实性。
仅当您要启用TLS上的DNS时,才需要装载TLS-cert-secret的卷。您需要配置入口资源,然后才能将其挂载到此处。
要启用DNS-over-TLS,可以在AdGuard管理UI上转到Encryption Settings->;Enable Encryption,然后输入证书路径/certs/tls.crt和密钥路径/certs/tls.key。再次重申,您的Inress资源需要正确配置,并且您需要拥有托管AdGuard的域的有效TLS证书。
在Android Pie及更高版本的Android手机上,您可以进入设置->;WiFi和互联网->;私有DNS。选择Private DNS Hostname Provider(专用DNS主机名提供程序),并在上配置后将其设置为的域名。您也可以在您的家庭路由器上配置它,以确保所有设备都能获得DNS级别的广告拦截。
从现在开始,我将把K3S集群称为服务器,将本地笔记本电脑称为客户端。
您的服务器和客户端计算机上都需要安装WireGaurd。按照您的发行版的步骤进行安装。如果您使用的是前沿发行版,如ArchLInux或Gentoo,那么您不需要在服务器端做任何事情,因为此时WireGuard已经嵌入内核。但是,在客户端,您需要安装它才能让命令行客户端启用/禁用界面。
在客户端拥有的另一个有用工具是kgctl。您可以使用以下命令进行安装。
现在,我们需要在客户机上创建私钥和公钥对。
这将创建具有各自密钥内容的2个文件。此密钥对需要在服务器上进行授权。您只需创建对等资源即可做到这一点。创建名为archie.yaml的文件。
apiVersion:kilo.squat.ai/v1alpha1Kind:PeerMetadata:Name:Archiespec:alloweIPs:-10.120.120.1/32#这只是个示例,您可以在此处使用任何有效的CIDR public Key:client_public_key#在此处输入公钥,即您刚刚生成的公钥Keeplive:10。
请记住,允许的IP应该是有效的CIDR,该CIDR在服务器和客户端都可用。现在,我们可以使用kgctl工具生成客户端WireGuard配置的对等部分。
在客户端的/etc/wireguard位置创建一个名为adgaurd.yaml的文件,并向其中添加以下内容。
[interface]address=10.120.120.1/32#使用对等清单中列出的相同CIDR PrivateKey=Clinet_PRIVATE_KEY#您在客户端上生成的CIDR DNS=Your_SERVER_IP#输入服务器的IP以阻止广告,FQDN由于某种原因不能在Android上工作[Peer]AllowweIP=0.0.0.0/0,::/0#此修改对于通过wireguard接口路由来自您计算机的所有流量非常重要。
您可以通过访问ifconfig.io验证您是否已连接到VPN服务器。它应该将您的IP显示为服务器的IP。
使用上面概述的相同流程,您可以添加多个对等设备并创建多个配置。您还可以安装并使用qrencode实用程序将相同的配置转换为二维码,以便在手机上轻松扫描。
这将在您的终端上打印一个二维码。您可以在手机上安装WireGuard Android应用程序,然后扫描此二维码以导入配置。
维奥拉,只要你连接上了,你的ISP就不能窥探你正在访问的网站,此外,你的所有流量都会被过滤掉,因为广告会被过滤掉,同时还会通过服务器路由你的数据,以防止你的网络中的恶意行为者,对于最重要的樱桃来说,你可以让所有的设备连接起来,相互交谈,而不管它们所在的位置/网络是什么。