TL; DR: Mən Wireguard-ı VPS-də quraşdırıram, OpenWRT-də ev marşrutlaşdırıcımdan ona qoşuluram və telefonumdan ev alt şəbəkəsinə daxil oluram.
Əgər şəxsi infrastrukturunuzu ev serverində saxlayırsınızsa və ya evdə çoxlu IP-nəzarət olunan qurğularınız varsa, o zaman yəqin ki, işdən, avtobusdan, qatardan və metrodan onlara daxil olmaq istərdiniz. Çox vaxt oxşar tapşırıqlar üçün IP provayderdən alınır, bundan sonra hər bir xidmətin portları xaricə yönləndirilir.
Əvəzində evim LAN-a çıxışı olan VPN qurdum. Bu həllin üstünlükləri:
- şəffaflıq: İstənilən şəraitdə özümü evdəki kimi hiss edirəm.
- Sadəlik: onu qurun və unutun, hər portu yönləndirmək barədə düşünməyə ehtiyac yoxdur.
- Qiymət: Artıq VPS-im var; bu cür tapşırıqlar üçün müasir VPN resurslar baxımından demək olar ki, pulsuzdur.
- təhlükəsizlik: heç nə görünmür, MongoDB-ni parolsuz tərk edə bilərsiniz və heç kim məlumatlarınızı oğurlamaz.
Həmişə olduğu kimi, mənfi cəhətləri də var. Birincisi, server tərəfi də daxil olmaqla, hər bir müştərini ayrıca konfiqurasiya etməli olacaqsınız. Xidmətlərə daxil olmaq istədiyiniz çoxlu sayda cihazınız varsa, bu, əlverişsiz ola bilər. İkincisi, iş yerində eyni diapazonlu bir LAN ola bilər - bu problemi həll etməli olacaqsınız.
Bizə lazımdır:
- VPS (mənim vəziyyətimdə Debian 10-da).
- OpenWRT marşrutlaşdırıcısı.
- Telefon nömrəsi.
- Test üçün bəzi veb xidməti olan ev serveri.
- Düz qollar.
İstifadə edəcəyim VPN texnologiyası Wireguard-dır. Bu həllin də güclü və zəif tərəfləri var, onları təsvir etməyəcəyəm. VPN üçün mən alt şəbəkədən istifadə edirəm 192.168.99.0/24, və mənim evimdə 192.168.0.0/24.
VPS konfiqurasiyası
Ayda 30 rubl üçün ən acınacaqlı VPS belə biznes üçün kifayətdir, əgər bir şansınız varsa .
Mən serverdəki bütün əməliyyatları kök kimi təmiz maşında yerinə yetirirəm; lazım gələrsə, `sudo` əlavə edin və təlimatları uyğunlaşdırın.
Wireguard-ın tövləyə gətirilməyə vaxtı yox idi, ona görə də mən `apt edit-sources` işlədirəm və faylın sonuna iki sətirdə arxa portlar əlavə edirəm:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paket adi şəkildə quraşdırılır: apt update && apt install wireguard.
Sonra, bir açar cütü yaradırıq: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Bu əməliyyatı dövrədə iştirak edən hər bir cihaz üçün daha iki dəfə təkrarlayın. Başqa bir cihaz üçün əsas faylların yolunu dəyişdirin və şəxsi açarların təhlükəsizliyini unutmayın.
İndi konfiqurasiyanı hazırlayırıq. Sənədləşdirmək /etc/wireguard/wg0.conf konfiqurasiya yerləşdirilir:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Bölmədə [Interface] maşının özünün parametrləri göstərilir və içərisində [Peer] — ona qoşulacaqlar üçün parametrlər. IN AllowedIPs vergüllə ayrılaraq, müvafiq peerə yönləndiriləcək alt şəbəkələr müəyyən edilir. Buna görə VPN alt şəbəkəsindəki "müştəri" cihazların həmyaşıdları maska olmalıdır /32, qalan hər şey server tərəfindən yönləndiriləcək. Ev şəbəkəsi OpenWRT vasitəsilə yönləndiriləcəyi üçün AllowedIPs Müvafiq peerin ev alt şəbəkəsini əlavə edirik. IN PrivateKey и PublicKey VPS üçün yaradılan şəxsi açarı və müvafiq olaraq həmyaşıdların açıq açarlarını parçalayın.
VPS-də interfeysi açacaq və onu autorun-a əlavə edəcək əmri yerinə yetirmək qalır: systemctl enable --now wg-quick@wg0. Cari əlaqə vəziyyəti komanda ilə yoxlanıla bilər wg.
OpenWRT Konfiqurasiyası
Bu mərhələ üçün sizə lazım olan hər şey luci modulundadır (OpenWRT veb interfeysi). Daxil olun və Sistem menyusunda Proqram təminatı sekmesini açın. OpenWRT maşında keş saxlamır, ona görə də siz yaşıl Yeniləmə Siyahıları düyməsini klikləməklə mövcud paketlərin siyahısını yeniləməlisiniz. Bitirdikdən sonra filtrə sürün luci-app-wireguard və gözəl bir asılılıq ağacı ilə pəncərəyə baxaraq, bu paketi quraşdırın.
Şəbəkələr menyusunda İnterfeysləri seçin və mövcud olanların siyahısı altında yaşıl Yeni İnterfeys əlavə et düyməsini basın. Adı daxil etdikdən sonra (həmçinin wg0 mənim vəziyyətimdə) və WireGuard VPN protokolunu seçərək dörd nişanı olan parametrlər forması açılır.
Ümumi Parametrlər sekmesinde alt şəbəkə ilə birlikdə OpenWRT üçün hazırlanmış şəxsi açarı və IP ünvanını daxil etməlisiniz.
Firewall Parametrləri sekmesinde interfeysi yerli şəbəkəyə qoşun. Beləliklə, VPN-dən bağlantılar yerli əraziyə sərbəst daxil olacaq.
Həmyaşıdlar sekmesinde, yeganə düyməni basın, bundan sonra VPS server məlumatlarını yenilənmiş formada doldurursunuz: açıq açar, İcazəli IP-lər (bütün VPN alt şəbəkəsini serverə yönləndirmək lazımdır). Endpoint Host və Endpoint Port-da VPS-nin IP ünvanını müvafiq olaraq daha əvvəl ListenPort direktivində göstərilən portla daxil edin. Yaradılacaq marşrutlar üçün Marşrut İcazəli IP-ləri yoxlayın. Persistent Keep Alive-i doldurmağınızdan əmin olun, əks halda VPS-dən marşrutlaşdırıcıya gedən tunel, əgər sonuncu NAT-ın arxasında olarsa, pozulacaq.
Bundan sonra parametrləri saxlaya bilərsiniz, sonra interfeyslərin siyahısı olan səhifədə Saxla və tətbiq et düyməsini basın. Lazım gələrsə, yenidən başladın düyməsi ilə interfeysi açıq şəkildə işə salın.
Smartfonun qurulması
Sizə Wireguard müştəri lazımdır, o, mövcuddur , və App Store. Proqramı açdıqdan sonra üstəlik işarəsini basın və İnterfeys bölməsində əlaqə adını, şəxsi açarı (ictimai açar avtomatik olaraq yaradılacaq) və /32 maskası ilə telefon ünvanını daxil edin. Peer bölməsində VPS açıq açarını, ünvan cütünü göstərin: Son nöqtə kimi VPN server portunu və VPN və ev alt şəbəkəsinə marşrutları.
Telefondan qalın ekran görüntüsü
Küncdəki disketin üzərinə klikləyin, onu yandırın və...
Bitirmək
İndi siz ev monitorinqinə daxil ola, marşrutlaşdırıcının parametrlərini dəyişdirə və ya IP səviyyəsində hər şeyi edə bilərsiniz.
Yerli ərazidən ekran görüntüləri
Mənbə: www.habr.com