Se nunca ouviu falar em VPN, este artigo pode não o atrair. Nesse caso, experimente continuar a ler, que este talvez seja um assunto que lhe interesse. E, interessando, instalar e configurar uma VPN é algo relativamente simples, ao alcance de qualquer um.
O que é e para que serve uma VPN?
Este artigo da DECO esclarece o que é e como funciona uma VPN, bem como as suas vantagens e limitações.
Concretamente, existem vários motivos para usar uma VPN:
- Quando pensamos na segurança de um equipamento informático ligado à Internet (contra hackers, malware, ligações maliciosas…), é costume associar esse pensamento aos antivírus e às firewalls. Mas as VPN desempenham também um papel muito relevante na proteção da informação; podem prevenir o malware, a pirataria informática, a espionagem,… ocultando o IP e criptografando a ligação.
- Uma VPN pode ser usada para evitar a censura. Há escolas, universidades, empresas… e governos que bloqueiam determinados conteúdos, impedindo o acesso a certas páginas ou sítios web a partir da sua redes. Uma forma auxiliar no desbloqueio desse conteúdo restringido é o recurso a uma VPN.
- Iludir restrições geográficas. Empresas como Netflix ou Amazon, entre outras, implementaram restrições geográficas aos seus conteúdos; estando fora de determinados países, não poderemos ver alguns filmes ou instalar algum software ou ouvir determinadas músicas… Muitas VPN comerciais farão com que a sua direção IP pareça ser (por exemplo) dos Estados Unidos, o que permitirá ver o conteúdo bloqueado.
- Outros motivos para ter uma VPN podem ser o acesso seguro às nossas contas pessoais ou de trabalho (sobretudo se estivermos de viagem ou ligados a uma rede pública) ou a proteção do historial de navegação.
VPN e PROXY
Antes de mais: o que queremos é apenas ocultar o nosso endereço IP ou fazer acreditar a um sítio web que estamos num lugar diferente daquele em que realmente estamos? neste caso, outras soluções são mais do que suficientes, como usar a rede gratuita Tor (através do navegador Tor: a velocidade de navegação será menor) ou usar proxy.
A maioria dos proxies não criptografa o tráfego e não oculta endereço IP de pessoas que possam interceptar o tráfego no caminho do dispositivo até ao proxy. Se buscamos aumentar a segurança, privacidade e anonimato, então uma VPN será boa ajuda.
Um proxy não tem nenhum custo de largura de banda, mas uma VPN, sim; por isso, não há nenhuma que ofereça um serviço ilimitado completamente gratuito; quanto melhor for a criptografia e maior a velocidade, mais caro será.
Gratuitas ou pagas?
Como seria de esperar, há vários serviços VPN oferecidos por algumas empresas, adaptáveis tanto a computadores como a dispositivos móveis (há ainda outra possibilidade: a instalação de um serviço nosso, para termos a nossa VPN. Disso se tratará mais adiante).
Existem alternativas gratuitas e há-as com tarifário mensal; as diferenças entre elas residem no esquema/quantidade de prestações (a velocidade, por exemplo) e o nível de segurança oferecidos. A opção entre umas ou outras depende das necessidades ou objetivos do utilizador; tenha em conta, além das diferenças já referidas, alguns inconvenientes dos serviços gratuitos como
- a publicidade
- a limitação de tráfego
- a velocidade
- e até a possibilidade de haver risco, em alguns casos, para a privacidade do utilizador — o que seria contrário aos objetivos pretendidos.
A ponderação deve ser feita pelo utilizador.
Uma das ofertas é VPNBook, um serviço web gratuito, financiado por publicidade e doações. Ou Hotspot Shield Free VPN/.
Não adianto outras escolhas, seja porque as ofertas se alteram regularmente, seja porque é fácil encontrá-las na Web (bem… está aqui uma lista, de junho/2022 :-)). De qualquer modo, é recomendável prestar atenção às informações das várias empresas: nem todas se dão ao “trabalho” de serem autenticamente transparentes em relação à garantia da privacidade da nossa informação (fotos, mensagens multimédia, geolocalização, contas de correio ou de redes sociais, etc). Atenção especial a…
- letras miudinhas da política de privacidade;
- reputação da VPN. Ter em conta, por exemplo, a solidez da empresa (não vá ela fechar a seguir ao seu pagamento da assinatura); se a criptografia dos dados é boa; bem como a política de registo (que dados e atividades do utilizador são registados; a garantia de que o fornecedor de Internet não tenha acesso ao histórico de navegação, que não se mantenham registo de ligação…). Quando nos ligamos através de uma VPN, acedemos ao servidor de uma empresa e navegamos através dele; esta empresa tem a possibilidade de armazenar dados como os sítios visitados — e descobriram-se já algumas que venderam estes dados a outras empresas;
- os termos da jurisdição (onde se encontra sediada a VPN); se a empresa está sediada em algum dos países que constituem a aliança de inteligência 5, 9, 14 Eyes/Olhos (a lista completa dos países que trabalham em conjunto para compilar e partilhar dados de vigilância massiva está aqui), se as leis do país permitem ordenar a entrega de dados dos utilizadores;
- verificação da possibilidade de ultrapassar o bloqueio geográfico (simulando estar noutro país, para poder descarregar conteúdo indisponível no país onde atualmente estamos). Nem todos os serviços o oferecem;
- aproveitar períodos de prova gratuita, para verificar o seu funcionamento, velocidade e outras características;
- em alguns casos, o teste à velocidade com que trabalha a VPN já está integrado no serviço; se assim não for, para o efeito há serviços independentes, como Speedtest.NET;
- informações e ajuda podem encontrar-se em organizações como a EFF, que se apresenta como uma organização sem fins lucrativos líder na defesa da privacidade digital, liberdade de expressão e inovação.
E que tal… uma VPN nossa?
Isso mesmo: criarmos nós uma. Nossa!
Primeira decisão: Vale a pena?
- Se o objetivo é só algo como “enganar uma Web”, fazendo-a acreditar que estamos a ligar-nos de um país diferente, talvez as VPN gratuitas sejam suficientes.
- Justifica-se uma doméstica, quando o que se pretende é a privacidade, a custo (tendencialmente) zero. Aqui, em espanhol, mais informação sobre para que (não) serve uma VPN doméstica.
Há várias formas de criar a nossa VPN:
- comprar um router que incorpore funções de servidor VPN (supondo que o mais provável é que o fornecido pelo seu ISP não tenha essa capacidade);
- alojar o servidor num dispositivo como o computador ou o Raspberry Pi (RPi)…
Optei por usar um RPi…
- … sobretudo por razão do consumo elétrico; em princípio o dispositivo deve estar permanentemente ligado (pelo menos quando quisermos estabelecer a ligação à rede): além do mais, isto implica algum consumo elétrico, que é mínimo no caso do RPi.
- Há outra razão: tenho já instalado no RPi o Pi-Hole (um dia destes, escreverei um artigo descrevendo com o instalei), um bloqueador de rastreadores e publicidade; funciona bem, dando já alguma proteção, mas só quando estou em casa, ligado à minha rede: basta ligar os dados da operadora e perco a proteção do Pi-Hole, o que conseguiria com uma VPN.
Instalar Wireguard no Raspberry Pi
Esta instalação não é tão simples como a de uma comercial.
Há duas partes de que devemos tratar: a do servidor e a dos clientes (neste artigo explico a diferença entre um servidor e um cliente). Com uma empresa, o trabalho está facilitado, porque ela trata do servidor e fornece explicações sobre como configurar os vários dispositivos.
Apesar de não ser tão simples, é um processo acessível a quem tiver… alguma paciência e disponibilidade para procurar informação — é o que tento com o presente artigo. Vamos por partes:
- o servidor será montado num RPi, usando Wireguard, uma VPN moderna, rápida, de grande desempenho, (mais) simples de implementar, com uma interface básica mas potente;
- a instalação de Wireguard será feita através de PiVPN, que configura os melhores padrões para o nosso dispositivo;
- deste modo, terei disponível um servidor barato e eficaz, com uma instalação guiada que faz a maior parte do trabalho por mim;
- como clientes, terei o meu portátil, o computador de secretária, um tablet Android e um telemóvel iPhone.
Processo de instalação
Segui…
- …este guia de instalação (em inglês).
- Este vídeo (em português do Brasil) também tem ajuda preciosa, com algumas opções diferentes.
Aberto o Terminal no RPi (ctrl+alt+T)…
- antes de mais, atualizei o sistema, com os comandos sudo apt update e sudo apt full-upgrade
- instalei o PiVPN através do Curl, uma ferramenta para transferir dados de/para um servidor. É provável que o Curl já esteja instalado; caso contrário, instala-se com o comando sudo apt install curl -y
- como já disse, para instalar o WireGuard usei o script PiVPN. É um processo direto, que configura os melhores padrões para o nosso dispositivo. Usei o comando curl -L https://install.pivpn.io | bash (baixa o script de configuração PiVPN do site e depois coloca-o diretamente no bash)
- alguns dos passos seguintes são intuitivos: nas primeiras janelas, por exemplo, é só tocar em Ok (a única opção disponível)
- em relação à reserva DHCP: eu já tinha atribuído ao RPi um endereço IP estático (neste artigo explico como o fiz); por isso, toquei em Yes — se não o fez, escolha No para definir o IP estático
- para local user, indique o utilizador pretendido (se não fez alterações no RPi, o mais provável é que seja pi)
- pode escolher a VPN WireGuard ou OpenVPN; eu optei pela primeira
- como não tinha motivo para alterar o porto (a utilizar por WireGuard) sugerido, aceitei a sugestão pré-definida
- como tenho instalado o Pi-hole (ver acima), respondi Yes (veja a indicação deste sítio) à pergunta “We have detected a Pi-hole installation, do you want to use it as the DNS server for the VPN, so you get ad blocking on the go?” [se não tiver o Pi-Hole instalado, certamente esta etapa será ultrapassada]
- se tiver de selecionar o “DNS Provider“, escolha um de acordo com a sua preferência e localização (aqui, recomenda-se Cloudflare pela relativa rapidez). Tendo o Pi-hole ou outro serviço do género instalado, a escolha será Custom, devendo a seguir escrever-se o endereço de DNS).
- para aceder à WireGuard, são apresentados dois modos; eu escolhi o meu endereço IP público (que se deve escolher apenas quando se tem um IP público estático)
- ativei as atualizações não assistidas (para o RPi descarregar as correções de segurança regularmente)
- …e temos WireGuard prontinha no RPi. Falta agora criar perfis para os utilizadores
- Reiniciei o RPi
Criar um perfil WireGuard no RPi
Voltamos ao Terminal do RPi.
- Iniciamos a criação de um perfil de cliente com o comando pivpn add
- escreve-se o nome para o perfil. Seja MeuIphone
- criado o perfil, atente-se na informação apresentada: no meu caso…
- ::: Client Keys generated
- ::: Client config generated
- ::: Updated server config
- ::: Updated hosts file for Pi-hole
- ::: WireGuard reloaded
- ::: Done! MeuIphone.conf successfully created!
- ::: MeuIphone.conf was copied to <nome da pasta> for easytransfer.
- ::: Please use this profile only on one device and create additional
- ::: profiles for other devices. You can also use pivpn -qr
- ::: to generate a QR Code you can scan with the mobile app.
Gerar um código QR para o perfil
Como ficou dito antes, para configurar o(s) cliente(s) pode usar-se o ficheiro de configuração.
A seguir, descrevo outro método: em vez de copiar o arquivo de configuração, gera-se para o perfil um código QR que pode ser digitalizado usando um dispositivo (telemóvel, tablet…). PiVPN vem com um gerador de código QR; para isso…
- executei o comando pivpn -qr NOMEDOPERFIL (substituindo NOMEDOPERFIL pelo nome do perfil: por exemplo, pivpn -qr MeuIphone
- digitalizei o QR com o meu iPhone, através de WireGuard, previamente instalada (está disponível tanto no Google Play Store como no Apple App Store): tocar em Add a tunnel. / Create from QR code e seguir os passos…
- escrevi um nome para o perfil — MeuIphone
- …e o processo está concluído… ou quase. Faltam apenas…
…umas coisitas finais
Pelo processo acima descrito, criei um perfil para o meu telemóvel (iOS) e outro para o tablet (Android). A verdade é que tanto num como no outro ficava sem ligação à Internet quando ligava a VPN. Porquê? Faltou-me fazer o “encaminhamento de portos” no router.
O meu router é um FiberGateway da MEO. Os ajustes que eu fiz (podem ser diferentes dos do seu router: é uma questão de os adaptar):
- Aceder ao router: no navegador Web (browser) escrever o IP do mesmo, fazer login
- Separador (na barra superior da janela) Segurança / Acesso
- Secção Encaminhamento de portos, +criar regra
- Nome do serviço: Customizado; Defina um serviço: escrever um nome (por exemplo, VPN)
- Endereço IP do servidor: o IP da VPN
- Portos externos e internos (início e fim): se não alterou (ver acima), o porto sugerido na instalação foi 51820. Protocolo: TCP/UDP
||| Espero que este artigo tenha sido claro e uma ajuda na instalação da sua VPN. Se não for assim; se pretender acrescentar ou corrigir algo, por favor, use a caixa de comentários para partilhar connosco as suas dúvidas ou o seu saber. Obrigado.
||| Índice de artigos sobre o Raspberry Pi.