Domácí super

• Vybrat rubriku
• Vybrat vydání

Bez Wi-Fi sítě se dnes neobejde snad žádná domácnost, nicméně zdaleka ne všichni uživatelé domácích bezdrátových sítí jsou s výkonem a dosahem své Wi-Fi sítě spokojeni. Velmi často se jako problém ukazuje i pokrytí běžně velkého bytu – typicky kvůli mnoha okolním Wi-Fi sítím, které se navzájem přetahují o vysílací kanály. Přitom může být poměrně snadné podstatným způsobem výkon své domácí Wi-Fi sítě zvýšit – bez speciálních znalostí nebo dodatečných nástrojů. Profesionálové pak umí vyladit Wi-Fi síť k dokonalosti prostřednictvím triků a postupů, z nichž některé vám rovněž prozradíme. Navíc se zaměříme také na lepší zabezpečení vaší domácí Wi-Fi sítě. Především proto, že mnoho uživatelů přiznává, že ve svém novém Wi-Fi routeru nikdy nezměnili administrátorské heslo, které je vstupním klíčem do celé jejich domácí sítě. Zabezpečení sítě je dnes opravdu velmi důležité, takže se řada našich triků zaměřuje právě na to, jak učinit váš Wi-Fi router a potažmo domácí síť pro hackery naprosto neprůstřelnou. Nakonec ještě přidáme zajímavý postup, jak surfovat po internetu zcela anonymně. Problém je, že příslušná nastavení se u Wi-Fi routerů různých výrobců liší, resp. je najdete na různých místech administračního rozhraní. Budeme se proto snažit popsat konfiguraci tak, abyste příslušné předvolby podle jejich názvu či významu našli ve většině běžně používaných modelů Wi-Fi routerů. Pokud se vám to nepodaří, hledejte pomoc v uživatelské příručce, která bude jistě ke stažení na webu výrobce vašeho Wi-Fi routeru.

Základní kroky pro vyšší výkon

Začněme několika základními kroky a nastaveními, jejichž význam bývá pro výkon a dosah domácí Wi-Fi sítě největší.

Zásadní je výběr Wi-Fi routeru

Standardní Wi-Fi routery, které dostanete v rámci instalace od poskytovatelů internetového připojení, velmi pravděpodobně nebudou patřit k nejvýkonnějším zařízením na trhu. To ale neznamená, že si nutně musíte pořídit nejdražší a co do specifikace nejvýkonnější zařízení na trhu. Pořízení nového Wi-Fi routeru jako náhrady za zařízení dodané poskytovatelem internetového připojení se většinou vyplatí, ale jak vidíte v naší tabulce na pravé části stránky, nejvýkonnější Wi-Fi router určitě nemusí být zároveň tím nejdražším. Sledujte naše testy a také Top 10 žebříčky, abyste si zvolili zařízení s optimálním poměrem výkonu a ceny, které zbytečně nevyprázdní vaši peněženku.

Najděte nejlepší vysílací kanál

Velké množství problémů s dosahem a kvalitou Wi-Fi vyřeší taková drobnost, jako je nastavení vhodnějšího vysílacího kanálu bezdrátové sítě. Prakticky všechny novější Wi-Fi routery jsou přitom vybaveny funkcí pro automatickou detekci vhodného vysílacího kanálu podle zarušení prostoru okolními sítěmi. Zdali má tuto funkci i váš domácí router, zjistíte velmi snadno. Přejděte do administračního rozhraní routeru (typicky zadáním adresy 192.168.1.1 do webového prohlížeče) a v nastavení Wi-Fi si ověřte, zda je vysílací kanál volen automaticky, nebo je třeba jej nastavit ručně.
Ani automatická volba optimálního přenosového kanálu Wi-Fi ale není samospasitelná. Problém totiž nastává, pokud je váš Wi-Fi router více vzdálen od místa, kde máte špatný signál bezdrátové sítě. Router totiž zjišťuje okolní sítě a podle výsledku volí přenosové pásmo. Nicméně na druhé straně bytu mohou vaši Wi-Fi rušit naprosto jiné okolní sítě než třeba v komoře, kde máte svůj router umístěný.

V takovém případě je třeba vypnout automatické nastavení a zvolit vysílací kanál ručně. Pomůže vám s tím aplikace WifiInfoView (nirsoft.net), která zjistí informace o všech okolních Wi-Fi sítích. Program hned po svém spuštění vypíše přehled okolních Wi-Fi sítí, které kliknutím na popisek sloupce »Channel« můžete seřadit podle jejich přenosového kanálu. Vy si pak pro svoji Wi-Fi síť zvolte kanál, který není okolními sítěmi používán vůbec, nebo v něm alespoň přenáší data nejméně z nich, a nastavte jej v administraci Wi-Fi routeru. V případě sítí operujících v pásmu 2,4 GHz bude vaše okolí možná hodně přeplněno, 5GHz pásmo pak nabízí podstatně větší výběr z dostupných kanálů. Potíž je v tom, že signál 5GHz Wi-Fi obtížněji prochází překážkami, takže bude mít v bytě slabší dosah.

Rychlá Wi-Fi daleko od routeru

Potřebujete-li dostat kvalitní signál Wi-Fi sítě na druhou stranu bytu či domu a není možné použít LAN kanel, máte několik možností, jak tuto situaci vyřešit. Výkon vašeho stávajícího Wi-Fi routeru můžete posílit použitím jiných, výkonnějších antén (k této možnosti se ještě dostaneme). Další možností je použití Wi-Fi opakovače, přičemž ceny těchto zařízení začínají kolem 1 500 korun. Doporučujeme vám přitom zvolit některý z dvoupásmových modelů s podporou funkce cross-band, která zajistí, že Wi-Fi opakovač vysílá a přijímá data v odlišných pásmech. V tomto případě nedochází k zásadní redukci kapacity přenosového pásma pro vaše data. Pro připojení opakovače do vaší domácí sítě jej zapojte do zásuvky poblíž Wi-Fi routeru a spárujte jej s ním prostřednictvím WPS tlačítka. Pak umístěte opakovač přibližně do poloviny vzdálenosti mezi Wi-Fi routerem a koncovým zařízením, ke kterému má posílený signál bezdrátové sítě dosáhnout. Aktuální modely opakovačů vám s volbou vhodného umístění pomohou indikátorem síly signálu z Wi-Fi routeru.

Pro pokrytí opravdu vzdálených míst je nutné použít jiný trik. Spočívá v tom, že podstatnou část cesty pošlete datový signál po drátech elektrického rozvodu a na konci jej opět převedete na Wi-Fi. Slouží k tomu powerline adaptéry kombinované s Wi-Fi vysílači. U Wi-Fi routeru zapojíte běžný powerline adaptér a na druhém konci bytu či domu pak adaptér kombinovaný s Wi-Fi. Taková sada powerline adaptérů bude stát více peněz než opakovač, ale zajistí vám kvalitní pokrytí signálem Wi-Fi i velmi daleko od routeru.

Když ale potřebujete vzduchem bez drátů rychle posílat opravdu velká množství dat, například pro streamování videa ve 4K rozlišení, narazí i ty nejlepší opakovače na svoje limity. Budete potřebovat speciální bezdrátové zařízení, jako je třeba Devolo GigaGate za přibližně 3 500 korun, které mezi svými dvěma adaptéry vytvoří bezdrátový most s datovou propustností až 2 Gb/s.

Profesionální řešení pro zvýšení výkonu

Zvyšování výkonu a dosahu Wi-Fi sítě prostřednictvím volby přenosového kanálu a nasazení opakovačů a powerline adaptérů má svoje limity, za které se můžete dostat pomocí našich tipů na profesionální úpravu hardwaru a softwaru vašeho Wi-Fi routeru.

Nové antény k domácímu routeru

Teorie je celkem prostá a jasně říká, že většího výkonu a propustnosti bezdrátové sítě dosáhnete s většími anténami Wi-Fi routeru. Jiné, větší antény pak můžete snadno namontovat jen na Wi-Fi routery, které jsou vybaveny odnímatelnými externími anténami. Modely se skrytými anténami lze takto upravit jen velmi těžko, popřípadě musíte sehnat sadu externích antén určenou pro váš konkrétní model Wi-Fi routeru. Když budete vybírat antény pro váš Wi-Fi router, ujistěte se, že nové antény podporují vysílání a příjem Wi-Fi signálu v pásmech 2,4 i 5 GHz a bude je možné na váš router našroubovat. Takovýto upgrade routeru vás vyjde na pár stokorun.

U antén je samozřejmě důležité i jejich nastavení. Pokud je to možné, nastavte každou z antén Wi-Fi routeru do jiného směru, aby se signál šířil na všechny strany. Router by přitom měl být umístěn co možná nejvýše a nejblíže středu oblasti, kterou chcete Wi-Fi signálem pokrýt. U Wi-Fi routerů se skrytými anténami je třeba laborovat s umístěním a natočeném celého zařízení.

Správné použití powerline adaptérů

Přenos dat po drátech elektrického vedení je velmi citlivý na kvalitu elektrických rozvodů a rušení od dalších připojených spotřebičů. Snažte se vyhnout zapojování powerline adaptérů do rozdvojek a prodlužováků, ale zapojte je vždy rovnou do zásuvky ve zdi. Pokud je poblíž více zásuvek, vyzkoušejte je pro dosažení nejlepší propustnosti sítě. Kvalita datového přenosu se liší i podle toho, na jaké fázi a okruhu jsou powerline adaptéry připojeny. Rušení od dalších elektrických zařízení se alespoň částečně vyhnete tím, že si pořídíte powerline adaptéry s průchozí elektrickou zásuvkou a ostatní spotřebiče do ní připojíte přes rozdvojku.

Nové modely powerline adaptérů používají pro přenos dat v elektrických rozvodech technologii MIMO, která díky využití více fází současně může zvýšit datovou propustnost. Pokud tomu tak není, může výkon při přenosu dat naopak zvýšit, když funkci MIMO v nastavení powerline adaptérů vypnete. S moderními powerline adaptéry, zapojenými v kvalitním měděném vedení, byste měli dosahovat přenosových rychlostí v řádu stovek Mb/s. Se vzdáleností mezi adaptéry propustnost sítě slábne.

Alternativní firmware přinese vyšší výkon

Některé Wi-Fi routery mají svůj vysílací výkon již od výrobce omezen. Měli byste si proto v administračním rozhraní ověřit, zdali váš router vysílá opravdu naplno. Pokud váš router umožňuje manuální konfiguraci výkonu, měli byste jej nastavit na 100 %. Zdaleka ne ve všech Wi-Fi routerech ale takové nastavení najdete – i tato situace má však své řešení.
Do mnoha modelů Wi-Fi routerů od řady různých výrobců je možné nahrát alternativní firmware DD-WRT (dd-wrt.com), který routerům přidává mnoho nových funkcí a nastavení. Na webu dd-wrt.com snadno zjistíte, zdali je tento firmware dostupný i pro váš Wi-Fi router, a případně si jej můžete rovnou stáhnout. Instalace firmwaru DD-WRT probíhá úplně stejně jako aktualizace firmwaru přímo od výrobce routeru.

V novém firmwaru přejděte do nabídky »Wireless Basic Settings« a zde pokračujte volbou »Advanced Settings«. Pak v nabídce »TX Power« zadejte vysílací výkon v dBm. Podle konkrétního modelu Wi-Fi routeru by mělo být možné zadat vysílací výkon až 1 W, což odpovídá 30 dBm. Nicméně, v České republice je ze zákona vysílací výkon limitován na 100 mW, takže byste měli jako hodnotu »TX Power« zadat nejvýše 20 dBm. Nové nastavení uložte tlačítkem »Apply Settings«. Řešení pro omezení DSL

Jelikož jsou prakticky všechny IPv4 internetové adresy již rozebrány, stávají se celkem vzácnou komoditou. Poskytovatelé internetového připojení proto postupně nasazují IPv6 adresy. Nicméně, mnoho webových severů je dostupných jen prostřednictvím IPv4, přičemž jsou oba adresní systémy navzájem nekompatibilní. Aby poskytovatelé internetového připojení toto omezení obešli a zajistili přístup uživatelům ke všem webovým serverům, používají jednoduchý trik. Jde o tzv. NAT (Network Address Translation), tedy překlad adres. Tuto technologii známe i z našich domácích Wi-Fi routerů, kdy je naše síť navenek reprezentována jen jednou IP adresou, zatímco v rámci domácí sítě má každé z připojených zařízení přiřazenu vlastní IP adresu. NAT tedy pracuje jako převaděč mezi vaší vnitřní sítí a zbytkem internetu. U poskytovatelů DSL připojení to funguje velmi podobně – i když samozřejmě v mnohem větším měřítku. Když si tedy nějaký uživatel vyžádá data ze serveru s IPv4 adresou, obdrží poskytovatel data s IPv4 adresou a pak je interně přepošle zákazníkovi na jeho IPv6 adresu. Takto to ale nefunguje se všemi porty. Webový provoz není problém, ale NAT nefunguje s některými on-line hrami nebo peer-to-peer sítěmi. V tomto případě se používají speciální tunelovací služby, které přeposílají IPv4 data na IPv6 spojení s využitím určitých portů. Přestože poskytovatelé internetového připojení tuto možnost mají, zdaleka ne všichni ji využívají.

Českých uživatelů internetu se tento problém velmi pravděpodobně zatím týkat nebude, ale pokud přece, je možné, že máte v nastavení připojení k internetu ve svém routeru jako typ připojení nastaven »DS-Lite«. Jde o tzv. Dual-Stack Lite připojení. Pak musíte zjistit, který port pro danou internetovou službu potřebujete (pomůže vám s tím vyhledávač Google), a následně použít tunelovací službu, jako je třeba feste-ip.net pro přesměrování portů. Tato služba obsahuje i komplexní uživatelský manuál, který vám pomůže s potřebnými nastaveními.

Zabezpečení pro všechny

Vždy byste měli pamatovat na základní bezpečnostní opatření na ochranu vaší Wi-Fi i celé domácí sítě a zařízení k ní připojených před útoky zevnitř i zvenčí. Existuje několik základních pravidel a postupů, které byste měli provést u každého Wi-Fi routeru – bez ohledu na jeho výrobce a typ.

Ochrana domácí Wi-Fi

Ze všeho nejdříve je třeba k administraci Wi-Fi routeru zvolit silné, komplikované heslo. Většina výrobců na tento nejdůležitější faktor ochrany domácí sítě pamatuje a svoje Wi-Fi routery vybavuje individuálními hesly. Tato hesla byste ale měli používat pouze jednorázově – k prvnímu přihlášení při instalaci a úvodní konfiguraci Wi-Fi routeru. Ostatně, mnoho moderních routerů vás ani nepustí k dalšímu kroku konfigurace, pokud nejdříve nezměníte výchozí administrátorské heslo. Hesla přidělená Wi-Fi routerům jejich výrobci, jakkoli mohou vypadat komplikovaně, a tedy bezpečně, se nevyplatí používat, protože existují metody, jak je mohou hackeři odvodit nebo hrubým útokem prolomit. Pak pokračujte se zabezpečením samotné Wi-Fi sítě – opět bez ohledu na to, jak komplikované heslo síti přednastavil výrobce vašeho routeru. Přístupové heslo pro připojení k Wi-Fi by mělo mít alespoň deset znaků v kombinaci písmen a číslic. Speciálním znakům se raději vyhněte – na některých zařízeních by mohl být problém s jejich zadáváním. Dále byste měli změnit název sítě (SSID), a to tak, aby nový název neobsahoval označení výrobce a modelu vašeho Wi-Fi routeru. Značně tím zkomplikujete hackerům práci, protože nebudou moci svůj útok přesně zacílit.

Novější Wi-Fi routery, resp. routery, kterým jejich výrobci pravidelně aktualizují firmware, podporují i dodatečné zabezpečení sítě prostřednictvím technologie PMF (Protected Management Frames), která zabezpečuje proces přihlašování klientů k bezdrátové síti proti útokům hackerů. Dalším prvkem ochrany je filtrování tzv. MAC adres, tedy unikátních identifikátorů, kterými jsou označena všechna zařízení se síťovým rozhraním. Po aktivování filtrování zařízení na základě MAC adres pustí router do sítě pouze známá zařízení. Doporučujeme vám ale aktivovat filtrování MAC adres až ve chvíli, kdy máte k síti připojena všechna používaná zařízení. Těm pak můžete v administraci snadno povolit přístup, aniž byste museli ručně vypisovat jejich dlouhou MAC adresu. Při připojování nových klientských zařízení můžete filtrování MAC adres na chvíli vypnout, nebo prostě vypíšete MAC adresu ručně (většinou ji najdete na výrobním štítku jako »MAC ID«). Ochrana s využitím filtru MAC adres je velmi spolehlivá, ale pro hackery není neprolomitelná.

Dalším ze základních kroků k většímu zabezpečení vaší domácí sítě by mělo být deaktivování funkce WPS pro připojování nových klientů do sítě stisknutím stejnojmenného tlačítka na routeru a na koncovém zařízení – tedy bez zadávání příslušného hesla k síti. Tato funkce, jakkoli je komfortní, má svoje bezpečnostní mouchy a lze ji zneužít. Proto vám doporučujeme v nastavení vašeho Wi-Fi routeru funkci WPS vypnout.

V bezpečí před hackery díky profesionálním tipům

Chytré lampy a žárovky a další zařízení internetu věcí pro inteligentní domácnost zpravidla nelze plně zabezpečit s využitím funkcí softwaru, kterým jsou vybavena. Neobejdete se bez správného hardwaru a našich profesionálních tipů.

Použití zabezpečeného Wi-Fi routeru

Nejbezpečnější je, pokud vaše domácí síť vůbec není přístupná zvenčí. Díky tomu zcela zamezíte možnosti, že by hackeři do vaší sítě pronikli prostřednictvím bezpečnostních mezer v zařízeních, která v sobě mají integrovaný webový server, jako jsou například webkamery. Nicméně, nemožnost připojit se k těmto zařízením zvenčí popírá jejich užitečnost. Proto byste měli na webových stránkách výrobců vašich zařízení pravidelně kontrolovat dostupnost nového firmwaru s opravami chyb a bezpečnostních mezer. Opravdu spolehlivé zabezpečení chytrých světel, reproduktorů či bezpečnostních kamer zajistí jen specializované Wi-Fi routery jako Bitdefender Box 2 nebo F-Secure Sense. Tyto Wi-Fi routery kontrolují obsah všech datových paketů v reálném čase a blokují podezřelý síťový provoz. Bezpečnostní routery ale nejsou zrovna levné a navíc se u nich platí i pravidelný poplatek za aktualizace jejich bezpečnostního softwaru. Podobnou, i když ne tak komplexní službu vám však zajistí zablokování nepoužívaných portů vašeho Wi-Fi routeru.

Prověření portů a internetových služeb

V nastavení firewallu vašeho Wi-Fi routeru nejprve zablokujte všechny porty, které vaše zařízení a používané aplikace nepotřebují. Pak vyzkoušejte všechna vaše zařízení, abyste zjistili, jestli jste nezablokovali i některé porty, bez kterých se neobejdou. Váš Wi-Fi router bude pravděpodobně nabízet i možnost zablokování některých konkrétních služeb typu FTP, které se nechystáte používat. Pokud vše funguje správně, máte vyhráno a vaše domácí síť je zase o něco bezpečnější.

Zvenčí je u většiny aktuálních Wi-Fi routerů dostupné i jejich administrační rozhraní. Je ale mnohem bezpečnější, pokud se bez této funkce obejdete a v nastavení ji deaktivujete. U Wi-Fi routerů, u kterých lze na dálku po internetu měnit nastavení prostřednictvím mobilní aplikace, dbejte na to, abyste si pro přístup k routeru tímto způsobem zvolili dostatečně silné přihlašovací heslo.

Anonymní surfování na webu

Když se vám podaří vyladit přenosovou rychlost, dosah a zabezpečení vaší Wi-Fi sítě ke své spokojenosti, je čas myslet na ochranu samotného síťového provozu. Ukážeme vám, jak si zařídit extrémně zabezpečené a anonymní připojení k internetu.

Použití DNS serverů zaměřených na ochranu soukromí

Firma Cloudflare, která se věnuje bezpečnosti na internetu, provozuje rychlý DNS server, jehož služby lze využívat zdarma a který neuchovává žádné záznamy o požadavcích uživatelů na připojení ke konkrétním webovým stránkám a službám. Nastavení DNS serverů můžete snadno změnit v každém Wi-Fi routeru. Jako preferovaný DNS server zvolte IP adresu »1.1.1.1« a jako alternativní DNS pak »1.0.0.1«. Pokud váš poskytovatel internetového připojení nasadil IPv6, použijte adresy »2606:4700:4700::1111« a »2606:4700:4700::1001«. VPN připojení pro externí zařízení

Ve veřejných Wi-Fi sítích byste měli vždy používat šifrování připojení k internetu prostřednictvím VPN (Virtual Private Network). Za tímto účelem najdete v Obchodě Play i App Storu desítky různých aplikací. Háček je v tom, že bezplatně použitelné verze VPN služeb jsou zpravidla limitovány co do přenosové rychlosti nebo objemu přenesených dat. Výhodu mají majitelé některých Wi-Fi routerů, které jejich výrobci vybavili funkcí VPN serveru a umožňují tak zabezpečení přenášených dat u všech koncových zařízení. Nicméně, nastavení a způsob použití se opět liší podle výrobce a modelu Wi-Fi routeru.

Skrytí IP adresy

I když nasměrujete svoje internetové připojení přes šifrovaný VPN tunel, budou sice chráněna přenášená data, ale váš pohyb po internetu anonymizován nebude. Přinejmenším váš poskytovatel internetového připojení a provozovatelé webových serverů a dalších služeb uvidí skutečnou IP adresu vašeho Wi-Fi routeru. Bohužel, k vaší IP adrese se celkem snadno dostanou i hackeři, kteří pak budou moci daleko lépe zacílit svůj případný útok. IP adresa slouží také jako identifikátor v případě, kdy si různé státní orgány vyžádají informace o vašem pohybu na internetu.

Na základě IP adres rovněž dochází k filtrování a blokování přístupu k různým internetovým službám, určeným například jen uživatelům z konkrétní země či regionu. U nás tento typ blokování dobře známe například ze streamovacích služeb, ke kterým se s českou IP adresou prostě nedostaneme. Dlužno říci, že provozovatelé těchto služeb neblokují uživatele z jiných zemí jen tak pro legraci, ale důvodem je, že jim šíření obsahu mimo určitou zemi či region neumožňují autorská práva ke streamovanému obsahu.

Řešením je použití VPN v kombinaci s proxy serverem, přes který se přesměruje internetová komunikace tak, aby původní IP adresa uživatele zůstala skryta a provozovateli webové (typicky streamovací) služby se propagovala jiná lokální IP adresa. Problém je, že s využitím standardních anonymizačních služeb byste museli nastavovat připojení v každém ze svých klientských zařízení individuálně. Kdybyste ale chtěli VPN proxy používat ve vaší síti centrálně, automaticky ze všech vašich zařízení, musíte si za tímto účelem zprovoznit vlastní server. To v zásadě není problém, protože k tomu můžete použít starší počítač s Linuxem, nebo ještě lépe mikropočítač Raspberry Pi, který zastane všechny potřebné funkce a navíc má jen minimální spotřebu několika málo wattů. Mikropočítač i další potřebné vybavení (napájecí zdroj a microSD karta) vás celkem vyjdou na něco málo přes tisícikorunu. Dále budete potřebovat linuxový operační systém Raspbian, jehož instalační obraz najdete na Chip DVD. Tento obraz prostě jen v programu Etcher přepíšete na microSD kartu, která musí mít kapacitu alespoň 2 GB. Neobejdete se ale bez předplatného některé z podporovaných VPN služeb z našeho přehledu v tabulce. Jakmile budete mít k dispozici kompletní výbavu, včetně uživatelského jména a hesla pro přihlášení k VPN službě, můžete se pustit do dalšího kroku.

Instalace a přihlášení

Pro provoz OpenVPN proxy bude svým výkonem stačit mikropočítač Raspberry Pi 2 nebo novější verze 3 B/B+. Vložte do něj microSD kartu s instalovaným Raspbianem, propojte jej LAN kabelem se svým Wi-Fi routerem a pak jej zapojte do zdroje. První bootování zabere mikropočítači asi pět minut, jelikož musí být na paměťové kartě připravena všechna data operačního systému. Využijte tento čas pro instalaci SSH klienta PuTTY do vašeho počítače s Windows. Jako »Host Name (or IP address)« zadejte »raspberrypi« a klepněte na [Enter]. Pokud se zobrazí chybové hlášení, budete pro připojení k Raspberry Pi potřebovat jeho IP adresu. Tu snadno zjistíte ze seznamu klientských zařízení v administračním rozhraní vašeho Wi-Fi routeru. Zjištěnou IP adresu zadejte jako »Host Name (or IP address)«. Do pole »login as« zadejte »pi« a jako heslo (»Password«) použijte »himbeervpn«.

Nastavení OpenVPN ve virtuálním prostředí

V následujícím kroku si nastavíte přístup k příslušné VPN službě. Údaje o VPN službě a přístupová data k ní musí být uložena v konfiguračním souboru v Raspberry Pi, kde se také spouští softwarový balíček VPN serveru. Nezbytným předpokladem je, abyste měli k dispozici přístupová data k VPN službě, pro kterou má použitý software připraveny konfigurační soubory. Seznam služeb, které za tímto účelem přicházejí v úvahu, najdete na webové stránce pod adresou github. com/haugene/docker-transmissionopenvpn, když kliknete na složku »openvpn«. Pokud nemáte uživatelský účet k některé z těchto podporovaných služeb, zřiďte si jej – zatím jen na jeden měsíc na vyzkoušení. Na webu GitHub najdete podle názvu provozovatele VPN služby složku s konfiguračními soubory, určenými pro použití ve spojení se servery provozovatele v různých zemích. Zvolte si požadovaného provozovatele, přičemž návodem vám může být náš seznam provozovatelů VPN služeb s největším výběrem serverů, který najdete v tabulce na levé straně stránky.

Správné parametry pro přístup k VPN službě vložíte do Raspberry Pi prostřednictvím příkazového řádku v konzoli PuTTY. Příkazem »nano run_raspi_vpn.sh« otevřete v linuxovém editoru nano spouštěcí skript kontejneru. Zde musíte upravit čtyři řádky podle návodu uvedeného v tabulce na levé straně, ale pozor: každý řádek kromě prvního a posledního musí být ukončen mezerou a zpětným lomítkem (»«). Na řádky, které je potřeba upravit, se v editoru nano dostanete pomocí kurzorových šipek. Konfigurační soubor uložíte klávesovou zkratkou [Ctrl] + [O], pak klepněte na [Enter] a následně zavřete editor kombinací kláves [Ctrl] + [X].

Spuštění a otestování VPN proxy

Nově vytvořenou VPN proxy spustíte prostřednictvím PuTTY konzole příkazem »./run« a klepnutím na klávesu [Tab]. Tím doplníte zbytek názvu použitého skriptu, takže v příkazovém řádku uvidíte příkaz ».run/-raspi-vpn.sh«. Pak už jen klepněte na [Enter] pro spuštění tohoto příkazu. Správné nastavení a úspěšné spuštění VPN proxy poznáte podle zobrazení dlouhé řady písmen a číslic bez chybového hlášení.

Pro otextování vlastního VPN proxy serveru je nejlepší vytvořit si v počítači samostatný profil v internetovém prohlížeči Firefox. Použijte klávesovou zkratku [Windows] + [R] a do nově otevřeného okna »Spustit« zadejte příkaz »firefox --no-remote -p«, kterým spustíte správce profilů Firefoxu. Zde si vytvořte nový profil nazvaný »proxy« a zrušte u něj označení předvolby »Použít zvolený profil bez ptaní při startu«. Pak dvojitým kliknutím na nový profil spusťte internetový prohlížeč. V internetovém prohlížeči otevřete tlačítkem v pravém horním rohu jeho hlavní nabídku a přejděte na »Možnosti«. V okně nastavení sjeďte až dolů k »Nastavení připojení« a zde klikněte na »Nastavení«. V dalším okně označte předvolbu »Ruční konfigurace proxy serverů« a pak jako »HTTP proxy« zadejte »raspberrypi«, popřípadě (pokud zadání názvu nefungovalo v nastavení PuTTY) IP adresu mikropočítače Raspberry Pi ve vaší síti. Předvolbu »Port« nastavte na »8888« a aktivujte nastavení »Pro všechny protokoly používat tento proxy server«. Uložte nastavení tlačítkem »OK« a zadejte do prohlížeče adresu checkup.dyndns.org, která vede na stránku s identifikací vaší IP adresy. Ta musí být nyní odlišná, než jaká se zobrazí, pokud stejnou stránku navštívíte pod normálním profilem ve Firefoxu, tedy bez použití vaší VPN proxy.

Optimalizace serveru a protokolu

Pro dosažení nejlepších výsledků můžete otestovat více různých VPN serverů, když do spouštěcího skriptu vložíte jejich konfigurační soubory. Opět se tedy prostřednictvím PuTTY připojte k Raspberry Pi a zde použijte příkaz »nano run-raspivpn.sh« pro otevření spouštěcího skriptu v editoru – stejně jako v předchozím případě. Pak vložte jiný konfigurační soubor do řádku »eOPENVPN_CONFIG=« (vždy bez koncovky .ovpn). Pokud název souboru obsahuje mezery, vložte jej do skriptu v uvozovkách. Blokování na základě geolokace můžete obejít přesměrováním vaší internetové komunikace přes server v zemi, odkud mají uživatelé k dané webové službě přístup. Typicky tedy budete potřebovat sever ve Spojených státech nebo třeba v Kanadě. Kvůli geografické vzdálenosti je však přesměrování přes servery v Severní Americe často pomalejší. Dobrou alternativou mohou být servery umístěné v Norsku nebo Švýcarsku. Konfigurační soubory jsou přitom k dispozici v »TCP« i »UDP« verzi. TCP je pomalejší, ale robustnější protokol s ověřováním doručení jednotlivých paketů, zatímco UDP je rychlejší, ale méně spolehlivý protokol. Pokud máte na výběr, vyzkoušejte nejprve UDP verze, a pokud bude připojení příliš nestabilní, přejděte na TCP. Po uložení konfiguračního souboru a zavření editoru nano zadejte příkaz »docker stop« a pro doplnění názvu spuštěného kontejneru klepněte na klávesu [Tab]. Pak pokračujte klávesou [Enter]. Dále smažte všechny kontejnery příkazem »docker container prune« a začněte s novou konfigurací příkazem »./run-raspi-vpn.sh«.

Komfortní používání proxy

Pro možnost přecházení mezi normálním připojením k internetu a použitím VPN proxy si vytvořte na pracovní ploše zástupce k proxy profilu v internetovém prohlížeči Firefox. Přetáhněte Firefox z nabídky Start na pracovní plochu Windows, kde vytvoříte zástupce. Pak na něj klikněte pravým tlačítkem myši a z kontextové nabídky zvolte »Vlastnosti«. V nově otevřeném okně doplňte řádek »Cíl« tak, aby vypadal následovně: »“C:Program FilesMozilla Firefoxfirefox.exe“ --no-remote -p proxy«. Na kartě »Obecné« pak nového zástupce Firefoxu přejmenujte třeba na »FireProxy«.

V mobilních zařízeních lze připojení přes VPN proxy nastavit pouze globálně pro celou Wi-Fi síť. V Androidu přejděte do nastavení Wi-Fi sítě, přidržte prst na názvu vaší Wi-Fi a pak použijte volbu »Upravit síť«. Dále sjeďte dolů a klepněte na »Pokročilé možnosti«. V nabídce »Proxy« zvolte »Ručně« a jako »Název hostitele serveru proxy« zadejte IP adresu vašeho Raspberry Pi. Jako »Port proxy« zadejte »8888«. Pamatujte ale na to, že smartphone či tablet bude používat vaši VPN proxy samozřejmě jen v případě, že bude připojen k vaší domácí Wi-Fi síti.

Váš VPN proxy server se bude automaticky spouštět po každém restartu vašeho mikropočítače Raspberry Pi. Pro správnou funkci byste ale měli VPN proxy server na vašem Raspberry Pi vždy před odpojením napájení zastavit příkazem »sudo halt«. Pokud budete VPN proxy server na Raspberry Pi provozovat dlouhodobě a nepřetržitě, může docházet k výpadkům spojení. Bohužel, automatický restart kontejneru, který by tuto situaci vyřešil, nefunguje vždy správně. Pokud dojde k takové situaci, připojte se k Raspberry Pi přes PuTTY a zadejte příkaz »dockerrestart«, následovaný klávesou [Tab], kterou doplníte název běžícího kontejneru. Pak potvrďte příkaz k restartu klávesou [Enter].
Kromě doma vyrobeného VPN proxy serveru na Raspberry Pi existuje samozřejmě i řada dalších, sofistikovanějších řešení VPN připojení k internetu. Například můžete do nějakého staršího Wi-Fi routeru nahrát alternativní firmware DD-WRT a v něm pak nastavit připojení přes VPN. Pak můžete tento router připojit k vašemu hlavnímu Wi-Fi routeru. Jelikož budete mít na výběr, můžete pak mobilní zařízení připojit k jednomu či druhému Wi-Fi routeru a volit tak mezi vyšší rychlostí nebo anonymním pohybem po internetu.

S

Docker: VPN jedním kliknutím

Popisované řešení vlastní VPN proxy se poměrně složitě manuálně nastavuje, navíc musí být instalován a nakonfigurován další software.

Celý proces lze ale zjednodušit prostřednictvím softwaru Docker, který virtualizuje programy a operační systémy v izolovaných kontejnerech. V balíčcích pro Docker jejich autoři popisují, jaký software, konfigurační soubory a komponenty operačního systému jsou vyžadovány. Při spuštění balíčku si ověří dostupnost potřebných systémových komponent, a pokud nějaké chybí, stáhne si je z repozitáře Dockers.

> Transmission-Open VPN je název Docker balíčku, který můžete pro naše účely použít. Norský vývojář Kristian Haugene jej vytvořil s úmyslem provozovat izolované přenosy přes BitTorrenty prostřednictvím VPN připojení. K rozhraní pro webové přenosy můžete přistupovat prostřednictvím adresy »http://[IP adresa vašeho Raspberry Pi]:9091«. Připravili jsme balíček pro Raspberry Pi a nakonfigurovali jsme jej tak, aby fungoval ve většině domácích sítí. Navíc jsme k němu přibalili i celý systém Raspbian v podobě instalačního obrazu, abychom vám zjednodušili celou instalaci.

Nejrychlejší routery v našich testech
Wi-Fi routery vybavené nejvíce funkcemi nemusejí být nutně
ty nejrychlejší. Jasně to ukazují naše srovnávací testy
přenosových rychlostí, ve kterých nedominují multifunkční
modem-routery.

1 D-Link DIR-882 3 000 100 330 377 461 413
2 Asus Bluecave 5 300 92,3 246 339 452 389
3 Netgear XR500 7 400 88,6 193 340 440 379
4 Asus RT-AC86U 5 500 85,0 264 330 399 337
5 Linksys WRT32X 9 300 85,0 171 318 514 320
6 AVM Fritz!Box 7590 6 800 79,3 50 366 470 381
Výborný (100–90,0) Velmi dobrý (89,9–75,0) Dobrý (74,9–60,0)
Dostačující (59,9–45,0) Nelze doporučit (44,9–0)
Všechna hodnocení v bodech (max. 100)

Podporované VPN služby
Naše tabulka ukazuje desítku VPN služeb, pro které naše řešení
VPN proxy nabízí největší množství konfiguračních souborů.
Počet Jednorázový Měsíční
Provozovatel / URL souborů/konfiguračních serverů poplatek měsíční předplatném při poplatek ročním
FrostVPN.com 276 2,99 $ 1,99 $
HideMyAss.com 535 11,99 $ 6,99 $
IPVanish.com 1 048 10,00 $ 6,49 $
Mullvad.net 195 5,00 € 5,00 €
newshosting.com/vpn 380 14,99 $ 16,95 $
NordVPN.com 4 142 11,95 $ 6,99 $
PureVPN.com 356 10,95 $ 4,15 $
SmartDNSproxy.com 1 281 4,90 $ 3,33 $
VPN.ac 385 9,00 $ 4,80 $
vyprvpn.com 148 7,95 € 3,96 €

Řádek v »run-raspi-vpn.sh« Zástupné znaky nahradit za:
xxx = název vašeho poskytovatele
-e OPENVPN_PROVIDER=xxx služby, github.jak com/je haugene/uveden na docker-webové transmission-stránce
openvpn ve složce »openvpn«
yyy = název konfiguračního souboru
-e OPENVPN_CONFIG=yyy z ovpn). výše uvedené Pokud název složky obsahuje (bez koncovky mezery, .
zadejte jej v uvozovkách
-e OPENVPN_USERNAME=zzz zzz = vaše uživatelské jméno u VPN služby
-e OPENVPN_PASSWORD=vvv vvv = vaše heslo pro VPN službu
Do spouštěcího skriptu musíte zadat údaje o vašem poskytovateli
VPN služby, požadovaný konfigurační soubor serveru,
stejně jako vaše uživatelské jméno a heslo – podle výše uvedeného
vzoru.

Správné nastavení kanálu Wi-Fi Pro běžný provoz Wi-Fi aktivujte automatickou volbu vysílacího kanálu 1 . Pokud to nevede k optimálnímu pokrytí bezdrátovou sítí, použijte nástroj WifiInfoView 2 pro zjištění vysílacích kanálů okolních Wi-Fi a pak ve svém Wi-Fi routeru nastavte některý z volných kanálů. Vysokorychlostní bezdrát Zařízení Devolo GigaGate přenáší bezdrátově data rychlostí více než 1 Gb/s. To je více než dostatečné i pro streamování videa ve 4K.

Více antén pro vyšší výkon Zatímco některé Wi-Fi routery si vystačí se dvěma, třemi nebo čtyřmi anténami, vysokovýkonná monstra jako třeba TP-Link Archer C5400X mají třeba i osm obřích antén.

Powerline se zásuvkou Když si budete vybírat powerline adaptéry, zaměřte se na modely s průchozí elektrickou zásuvkou. Můžete do ní, třeba i přes prodlužovák s více zásuvkami, připojit další elektrická zařízení, která díky odrušení v powerline adaptéru nebudou mít vliv na datové přenosy v elektrické síti. Vyšší výkon díky alternativnímu firmwaru V alternativním firmwaru DD-WRT můžete sami nastavovat výkon vysílače Wi-Fi. Měli byste přitom ale dbát na limity stanovené místní legislativou.

Zkontrolujte si v nastavení svého routeru, zdali nemá pro připojení k internetu nastavenu předvolbu »DS-Lite«. Pokud ano, může to vést k problémům s rychlostí připojení.

Nová bezpečnostní funkce pro Wi-Fi Protected Management Frames (PMF) je předstupněm zavedení WPA-3. Některé Wi-Fi routery již tuto funkci, která chrání přihlašování klientů k síti před úroky hackerů, díky aktualizaci svého firmwaru podporují. Maximálně zabezpečená Wi-Fi Speciální bezpečnostní routery jako Bitdefender Box 2 kontrolují v reálném čase veškerý provoz v domácí síti. Kromě smartphonů a notebooků umí před útoky ochránit i zařízení internetu věcí. Vaše IP adresa není žádným tajemstvím Každá webová stránka, kterou navštívíte, získá informaci o vaší IP adrese a může tedy, za určitých okolností, zjistit i vaši identitu. Zjišťování IP adresy slouží k identifikaci návštěvníků webů, ale také k regionálnímu blokování internetových služeb. Skrýt vaši skutečnou IP adresu vám pomohou různé VPN služby. Instalace obrazu RaspiVPN V nástroji Etcher (etcher.io) zvolte ZIP archiv s obrazem instalace a v nabídce »Select drive« vyberte použitou microSD kartu. Pak klikněte na tlačítko »Flash!«. Po ukončení procesu ignorujte hlášení Windows, že je potřeba paměťovou kartu před použitím naformátovat. Vložení konfigurace VPN do Raspberry Pi V linuxovém textovém editoru nano upravte spouštěcí skript VPN kontejneru. Ovládání je omezeno na tlačítka pro ovládání kurzoru a klávesové kombinace [Ctrl] + [O] pro uložení obsahu a [Ctrl] + [X] pro ukončení editoru. Nastavení proxy v Raspberry Pi v prohlížeči Firefox V jediném samostatném profilu ve Firefoxu zadejte IP adresu vašeho Raspberry Pi jako proxy (na portu 8888) pro všechny protokoly.

Trvalé využití proxy Vytvořte si ve Windows zástupce VPN profilu ve Firefoxu 1 . V mobilních zařízeních, typicky v Androidu, nastavíte proxy pro celý systém v rozšířených předvolbách Wi-Fi připojení 2 .

Foto popis| Filtrování MAC adres zajistí, že se k vašemu Wi-Fi routeru budou moci připojovat jen známá, povolená zařízení.
Foto popis| Připojování zařízení přes funkci WPS 1 není právě bezpečné, navíc jej může zneužít kdokoli, kdo získá fyzický přístup k vašemu Wi-Fi routeru. Proto vám doporučujeme tuto funkci v nastavení routeru zcela deaktivovat 2 .
Foto popis| Součástí ochrany před hackerskými útoky je také blokování IP adres, ze kterých dochází k opakovaným, neúspěšným pokusům o přihlášení k vašemu Wi-Fi routeru 1 . Dále byste měli ve firewallu routeru zakázat všechny služby, které se nechystáte používat 2 .
Foto popis| Prostřednictvím SSH klienta PuTTY se můžete přihlásit k Raspberry Pi a na dálku jej ovládat z příkazového řádku vašeho počítače s Windows.

O autorovi| FABIAN VON KEUDELL, CHRISTOPH SCHMIDT, RADEK KUBEŠ, autor@chip.cz