Руководство пользователя прошивки "Невидимка"

1. О системе
2. Настройка источника внешней сети и управление устройством в разделе "Система"
2.1. Настройка источника доступа к интернету
2.2. Системный журнал и журналы подключений
2.3. Управление устройством
3. Настройка раздающих сетей в разделе "Сеть"
3.1. Общие настройки раздающих сетей
3.2. Раздача беспроводной сети
3.3. Раздача кабельной сети
4. Импорт конфигураций виртуальной частной сети (ВЧС) в разделе "VPN"
4.1. SoftEther
4.2. OpenVPN
5. Встроенный терминал ОС Линукс
6. Файл пользовательских настроек
7. Скрипт донастройки Источника
8. MBIM-модем как источник доступа к интернету
9. Совместимые внешние устройства

1. О системе

Прошивка Невидимка представляет из себя управляемую через веб надстройку над операционной системой Линукс для одноплатных компьютеров (ОК), которая пробрасывает интернет-соединение через туннель ВЧС (VPN), после чего раздает сеть, весь внешний трафик которой проходит через туннель или не проходит вовсе (блокировка выхода во внешнюю сеть при отсутствии подключения к ВЧС).
Прошивка способна принимать доступ к внешней сети по кабельному соединению (RJ45) или по беспроводному (Wi-Fi), а также от внешних устройств создающих сетевой адаптер (например 4G-роутер подключенный к USB). Невидимка может раздавать одновременно беспроводную сеть и кабельную. Причем как прием внешней сети, так и раздача сети в туннеле не ограничивается лишь встроенными в одноплатный компьютер портами (адаптерами), а возможны (прием и раздача) также производиться через дополнительные внешние устройства.
При первом включении прошивка будет считать источником интернета порт кабельной сети. Невидимка также попытается создать беспроводную сеть отладка или otladka (в версиях до 1.2.0), которая, однако, не будет иметь доступ к внешней сети, по причине отсутствия конфигураций ВЧС.
Пароль от настроечной беспроводной сети: deepwebvpn.net.
Для дальнейшей настройки следует подключиться к беспроводной сети и перейти в панель управления Невидимкой в веб-браузере.
По умолчанию Невидимка раздает беспроводную сеть в подсети 192.168.105.0/24, в которой адрес управления самой прошивкой будет http://192.168.105.1.

2. Настройка источника внешней сети и управление устройством

2.1. Настройка источника доступа к интернету

Обновленные параметры Источника вступают в силу после перезагрузки устройства.
Невидимке необходимо знать какой сетевой адаптер является источником внешней сети (Источник). Выбор Источника производится в разделе Система.
По умолчанию Источником является встроенный адаптер кабельной сети.
Если в качестве Источника указывается беспроводной адаптер, то ему необходимо задать данные для подключения к сети, имеющей доступ к интернету. Перейти в форму настройки адаптера можно нажав на ссылку с его именем.
Невидимка обновляет список доступных беспроводных сетей раз в 30 секунд.
Подключение выбранным адаптером к выбранной, для беспроводного адаптера, сети произойдет автоматически после перезагрузки устройства.

2.2. Системный журнал и журналы подключений

В блоке Журналы в разделе Система находятся ссылки на журналы SoftEther-клиента, OpenVPN-клиента, а также на общий системный журнал Система.
Системный журнал полностью очищается каждую перезагрузку.

2.3. Управление устройством

Управление устройством, а в частности перезагрузка и выключение, осуществляется через одноименные кнопки в блоке Система раздела Система.
ОК Raspberry Pi 3 и 4, Полярный медведь и Репка Пи 3 после выключения ОС продолжают потреблять электричество, в отличие от современных ПК, смартфонов и прочего, поэтому для полного выключения устройства следует также отсоединить электроподачу (кабель питания, блок аккумуляторов и т.д.).

3. Настройка раздающих сетей

Параметры раздающих сетей задаются в разделе Сеть. Невидимка способна одновременно раздавать кабельную и беспроводную сети.

3.1 Общие настройки раздающих сетей

Обновленные общие параметры раздающих сетей вступают в силу после перезагрузки устройства.
Начиная с версии 1.2.1 для беспроводной и кабельной сетей настройки серверов имен (DNS) одинаковы для обоих типов раздающих сетей. Параметры DNS (DNS1 и DNS2) это адреса серверов имен, которые беспроводная и кабельная сети будут выдавать подключенным к ним устройствам.
Актуальный список DNS-серверов ГлубПаутинВЧС (DeepWebVPN) отображен на странице подписки.
Помимо DNS, также возможно установить значение MTU (максимальный размер пакета данных, который можно передать по сети без разделения, по умолчанию 1500 байт).
Необдуманная смена MTU может существенно снизить эффективность передачи данных и скорость соединения.

3.2 Раздача беспроводной сети

Обновленные параметры беспроводной сети вступают в силу после перезагрузки устройства.
Настройки беспроводной сети задаются следующими параметрами: Интерфейс, Название, Пароль и Шлюз.
В поле Интерфейс следует указать адаптер (сетевой интерфейс), через который будет производиться раздача Wi-Fi.
В Невидимке по умолчанию включена раздача беспроводной сети через встроенный адаптер Wi-Fi.
Перед указанием в настройках Сети внешнего беспроводного адаптера, стоит убедиться, что он способен создавать точку доступа.
Название беспроводной сети может содержать от 1 до 16 символов. Разрешены все символы кроме двойных кавычек (").
По умолчанию беспроводная сеть называется невидимка или nevidimka (в версиях до 1.2.0).
Пароль беспроводной сети Невидимки должен иметь от 8 до 16 символов, разрешены все символы кроме двойных кавычек (").
По умолчанию пароль беспроводной сети – deepwebvpn.net или deepwebvpndotnet (в версиях до 1.2.0).
Шлюз это ИП-адрес устройства с Невидимкой в раздающей беспроводной сети. Одновременно с веб-адресом прошивки Шлюз также задает подсеть беспроводной сети. Шлюз должен находиться в диапазоне подсетей от 192.168.100.0/24 до 192.168.199.0/24 и иметь в последнем секторе 1.
По умолчанию Шлюз имеет значение 192.168.105.1, следовательно, подсеть беспроводной сети 192.168.105.0/24, а веб-адрес прошивки http://192.168.105.1.

3.3 Раздача кабельной сети

Обновленные параметры кабельной сети вступают в силу после перезагрузки устройства.
Подобно настройкам раздающей беспроводной сети, кабельная сеть задается параметрами: Интерфейс и Шлюз. В отличие от беспроводной сети, Шлюз кабельной сети должен находиться в диапазоне подсетей от 192.168.0.0/24 до 192.168.99.0/24.
По умолчанию адаптер (поле Интерфейс) для кабельной сети не задан, соответственно, раздача сети по кабелю не производится.

4. Импорт конфигураций ВЧС

Настройки ВЧС осуществляются в разделе VPN. Невидимка поддерживает протоколы SoftEther и OpenVPN.
На главной странице раздела отображаются цепи ВЧС, которые являются загрузочными (активными) для каждого из поддерживаемых протоколов. Не смотря на то, что для каждого протокола будет указана загрузочная цепь, прошивка будет подключена только к загрузочной цепи протокола, который также назначен загрузочным (активным).
Если версия Невидимки поддерживает только SoftEther, то этот протокол и является загрузочным (активным) при любых настройках.

4.1 Протокол SoftEther

Полный список импортированных SoftEther-цепей доступен по ссылке Список SoftEther-цепей на главной странице раздела VPN. Внизу списка ссылка Добавить осуществляет переход на форму импорта конфигурации ВЧС.
Чтобы добавить конфигурацию SoftEther в форме импорта необходимо указать Имя пользователя, Пароль, IP-адрес хоста и файл конфигурации.
Имя пользователя и Пароль полностью совпадают с именем пользователя и паролем от Кабинета пользователя.
IP-адрес хоста это ИП входящего сервера цепи ВЧС, который определяется автоматически если источник доступа к внешней сети указан в разделе Система и работает. Если в момент добавления цепочки Невидимка не имеет доступа к интернету, а входящий сервер в файле-конфигурации указан через домен, то IP-адрес хоста следует указать вручную.
Чтобы назначить цепочку загрузочной следует нажать Актив. в строке цепи, за удаление и редактирование отвечают, соответственно, кнопки Удалить и Ред..
Единственная импортированная цепь ВЧС автоматически становится загрузочной (активной). Удалить загрузочную цепочку нельзя.
По нажатию кнопки Откл. происходит отключение от ВЧС, после чего раздающие сети потеряют доступ к внешней сети, при этом, если настроена раздача беспроводной сети, то она перейдет в режим отладки: раздающая беспроводная сеть выключится и беспроводной адаптер запустит сеть отладка.
В режиме отладки можно изменить загрузочную цепь и подключиться к новой загрузочной нажав Подкл., перезагрузка устройства для этого не требуется.
Цикл отключения (Откл.) от цепи, назначения новой загрузочной цепи (Актив.) и подключения (Подкл.) можно производить неограниченное количество раз БЕЗ ПЕРЕЗАГРУЗКИ УСТРОЙСТВА.

4.2 Протокол OpenVPN

Поддержка протокола в версиях 1.X отсутствует.

5. Встроенный терминал ОС Линукс

Невидимка начиная с версии 1.2.0 имеет встроенный эмулятор терминала Линукс в своем веб-интерфейсе. Для открытия терминала необходимо нажать на # в правом углу меню.
Авторизоваться в терминале следует используя имя пользователя dwv и пароль deepwebvpn.net. Для того, чтобы после авторизации получить права администратора (root) в ОК Raspberry Pi необходимо воспользоваться командой ниже и повторить ввод пароля deepwebvpn.net.
sudo su
В Невидимках для ОК Репка Пи (3 и 4) и Полярный Медведь для входа под суперпользователем команда будет другой, однако, после нее также требуется еще раз ввести пароль deepwebvpn.net.
su

6. Файл пользовательских настроек

Некритичные для работы Невидимки на конкретном ОК настройки расположены в файле /root/невидимка/config/initializers/user_preferences.rb, целью файла является более тонкая настройка прошивки под нужды пользователя.
По адресу /root/настройки располагается символическая ссылка на файл пользовательских настроек. Открытие в редакторе файла символической ссылки автоматически приведет к редактированию файла пользовательских настроек. Команда открытия в текстовом редакторе пользовательских настроек через файл-ссылку:
nano /root/настройки
Файл пользовательских настроек имеет следующие ниже параметры.
LOG_LEVEL определяет насколько подробным будет журнал системы, может принимать значения 0, 1 и 2, где 0 это только самое основное, а 2 – журналирование со всеми подробностями. По умолчанию значение параметра 1.
PING_BEFORE_CONNECT со значением true (по умолчанию) приведет к проверке Источника пингом перед подключением к цепи (если пинг с потерями, то Невидимка прекратит подключение), значение false укажет прошивке игнорировать результаты пинга и подключаться к цепи при любом исходе.
GATE_SCRIPT определяет абсолютный путь до скрипта донастройки Источника. Невидимка пропускает шаг донастройки если указанный в параметре файл не существует.
WAIT_FOR_CONNECTING настраивает время за которое Невидимка должна успеть подключиться к цепи прежде, чем посчитать подключение неудачным и прервать его. По умолчанию значение 15 секунд.
WIFI_NO_VIRT – параметр для адаптера раздающей беспроводной сети, следует указывать true если уверенность, что адаптер (и его драйвера) полностью поддерживает создание виртуального адаптера, отсутствует. Для разных ОК параметр имеет разные значения по умолчанию.
Во внутренней среде Невидимки есть переменная CGW, отслеживающая смену Источника и параметров раздающих сетей. Если какая-либо из этих настроек сменила значение, то блокируется переподключение к VPN-цепи без перезагрузки устройства. Пользовательская настройка IGNORE_CGW включает (и отключает) учет CGW. При IGNORE_CGW=false (по умолчанию) Невидимка не даст переподключиться к VPN-цепи если был изменен Источник и/или любой параметр раздающих сетей. В ситуации, где IGNORE_CGW=true переменная CGW будет игнорироваться системой, соответственно переподключение к VPN-цепи будет доступно всегда.
Не следует устанавливать IGNORE_CGW=true без необходимости. Контроль смены настроек Источника и раздающих сетей играет важную роль в механизме переподключения к цепочкам VPN и ввода Невидимки в состояния отладки, а также вывода из него.
Отредактировать файл пользовательских настроек можно используя предустановленный редактор nano запущенный в терминале. В этом редакторе комбинация клавиш Ctrl+O -> Enter сохранит внесенные изменения, а Ctrl+X -> Enter завершит редактирование. Новые настройки вступят в силу после перезагрузки устройства.

7. Скрипт донастройки Источника

Как следует из названия, основная цель данного скрипта завершить настройку адаптера Источника прежде, чем Невидимка перейдет к следующему шагу своей загрузки (настройка раздающих сетей). Примером ситуации, где такой скрипт необходим может служить указание в качестве Источника адаптера (например, USB-роутер 3G/4G), который не подключается к интернету автоматически.
По умолчанию абсолютный путь до скрипта /root/донастройка-источника, однако, в качестве скрипта можно указать и другой файл, если изменить параметр GATE_SCRIPT в пользовательских настройках.
Файл скрипта донастройки Источника должен иметь права на исполнение для пользователя root.
Указанная ниже команда (выполняется с root-правами) даст файлу /root/донастройка-источника права на исполнение.
chmod +x /root/донастройка-источника
Создать файла скрипта в терминале можно через предустановленный текстовый редактор nano.
nano /root/донастройка-источника

8. Модем управляемый через MBIM в качестве Источника

Все команды описанные ниже необходимо производить с root-правами во встроенном в Невидимку терминале или подключившись к прошивке через SSH.
С версии 1.2.1 прошивка способна работать с управляемыми через протокол MBIM модемами, указанными как источник доступа к внешней сети, без установки дополнительных пакетов на всех поддерживаемых ОК. Однако, ввиду того, что MBIM-модем при подключении к USB не создает сетевой интерфейс автоматически, следует воспользоваться скриптом донастройки Источника, чтобы Невидимка "увидела" его.
По ссылке (https://data.deepwebvpn.net/невидимка/донастройка-источника) размещен скрипт донастройки Источника опробованный на всех поддерживаемых ОК на модеме Fibocom L850-GL в виде российской модификации с переходником VT-USB3-M2 LONG с М.2 от компании "Вертелл" (Модем LONG M.2 Fibocom L850-GL).
Перед установкой Fibocom L850-GL в качестве Источника модем должен быть переведен в режим AT+GTUSBMODE=7.
Для установки MBIM-модема в качестве Источника необходимо выполнить следующие действия в порядке указанном ниже.
1. Подключить модем к ОК через USB или плату расширения M.2.
2. Загрузить скрипт донастройки Источника и дать ему права на исполнение.
cd /root && wget https://data.deepwebvpn.net/невидимка/донастройка-источника && chmod +x донастройка-источника
В начале файла донастройка-источника следует указать (или выбрать из записанных) параметры APN мобильного оператора вставленной в модем сим-карты.
3. В файле пользовательских настроек выставить значение IGNORE_CGW=true в редакторе nano или используя утилиту sed.
sed -i "s/IGNORE_CGW=false/IGNORE_CGW=true/" /root/настройки
4. В меню Система назначить интерфейс модема в качестве Источника.
5. Перезагрузить Невидимку.

9. Совместимые внешние устройства

Список совместимых устройств уточняется.