使用公共網路最怕的就是有心人搞鬼
外面WiFi有沒有加密不是你能決定的
是不是有人故意用相同的SSID等你去連線也很難察覺
這篇目的是在連線後建立加密VPN連線
減少資料被竊取的風險
測試的硬體是TP-Link MR3040
因flash容量只有4MB裝不下luci, 全以設定檔來操作
為達加密目的PPTP Server端請設為'必須加密'
另因LAN/WAN使用同一個無線裝置時
若WAN未連上會造成LAN也無法連線
故加裝一支USB無線網卡來跑WAN(我是用Buffalo WLI-UC-HPGN)
不裝也可以用, 只是就會有前述問題
以下是設定方法:
1. 安裝必要套件
opkg update
opkg install kmod-mppe ppp-mod-pptp kmod-rt2800-usb(視你的USB無線網卡而定) kmod-nf-nathelper-extra(Chaos Calmer要加裝這個)
裝完後reboot讓它抓USB無線網卡
2. 設定/etc/config/network
wan interface修改如下:
config interface 'wan'
option ifname 'wlan1'
option proto 'dhcp'
加入vpn interface:
config interface 'vpn'
option ifname 'pptp-vpn'
option proto 'pptp'
option username '使用者名稱'
option password '密碼'
option server 'PPTP server IP'
3. 設定/etc/config/wireless
設定WiFi LAN:
config wifi-iface
option device radio0
option network lan
option mode ap
option ssid '自訂SSID'
option encryption psk2
option key '自訂密碼'
設定WiFi WAN(以中華電信WiFi為例):
config wifi-iface
option device radio1 (如果沒有另外插USB無線網卡, 這裡就改成radio0)
option network wan
option mode sta
option ssid 'CHT Wi-Fi(HiNet)'
4. 設定/etc/config/firewall
新增vpn zone:
config zone
option name vpn
list network 'vpn'
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1
在forwarding加入vpn:
config forwarding
option src lan
option dest wan
option dest vpn
通通設完後再reboot
測試:
在麥當勞將AP開機會自動連上CHT Wi-Fi(HiNet)
用手機連此AP, 開瀏覽器會出現中華電信的登入畫面
登入後會自行連上PPTP server
接著再到http://www.whatsmyip.org/確認IP是否為PPTP server IP
是則代表連線成功
否的話請登入OpenWRT執行/etc/init.d/network restart
進行重新連線(不會影響公共WiFi登入狀態)
已知問題:
此方式僅能確保連線加密
但若遇到假的CHT Wi-Fi(HiNet)及偽造的中華電信登入網頁
仍可竊取你的中華電信帳密
測試過程有試過以下自動登入方法:
http://www.mobile01.com/topicdetail.php?f=110&t=2816872
不過中華電信登入網頁有變更過, 此方法已無法使用
從 APP 打開
X