TL; DR: Gi-install nako ang Wireguard sa usa ka VPS, gikonektar kini gikan sa akong home router sa OpenWRT, ug gi-access ang akong subnet sa balay gikan sa akong telepono.
Kung gitipigan nimo ang imong personal nga imprastraktura sa usa ka server sa balay o adunay daghang mga aparato nga kontrolado sa IP sa balay, nan tingali gusto nimo nga ma-access kini gikan sa trabaho, gikan sa bus, tren ug metro. Kasagaran, alang sa parehas nga mga buluhaton, gipalit ang IP gikan sa taghatag, pagkahuman ang mga pantalan sa matag serbisyo gipasa sa gawas.
Hinuon, nag-set up ko og VPN nga adunay access sa akong home LAN. Ang mga bentaha niini nga solusyon:
- transparency: Gibati nako nga naa sa balay sa bisan unsang mga kahimtang.
- mopagaan sa: ibutang kini ug kalimti kini, dili kinahanglan nga maghunahuna mahitungod sa pagpasa sa matag pantalan.
- Cost: Naa na koy VPS; para sa ingon nga mga buluhaton, ang modernong VPN halos libre sa termino sa mga kahinguhaan.
- Kasegurohan: walay bisan unsa nga mogawas, mahimo nimong biyaan ang MongoDB nga walay password ug walay usa nga mangawat sa imong data.
Sama sa kanunay, adunay mga kakulangan. Una, kinahanglan nimo nga i-configure ang matag kliyente nga gilain, lakip ang bahin sa server. Mahimong dili kombenyente kung adunay ka daghang mga aparato diin gusto nimo ma-access ang mga serbisyo. Ikaduha, mahimo kang adunay LAN nga adunay parehas nga sakup sa trabaho - kinahanglan nimo nga sulbaron kini nga problema.
Kinahanglan nato:
- VPS (sa akong kaso sa Debian 10).
- OpenWRT router.
- Telepono.
- Ang server sa balay nga adunay pipila nga serbisyo sa web alang sa pagsulay.
- Tul-id nga mga bukton.
Ang teknolohiya sa VPN nga akong gamiton mao ang Wireguard. Kini nga solusyon usab adunay mga kalig-on ug kahuyang, dili ko kini ihulagway. Para sa VPN naggamit ko og subnet 192.168.99.0/24, ug sa akong balay 192.168.0.0/24.
Pag-configure sa VPS
Bisan ang labing makalolooy nga VPS alang sa 30 nga mga rubles sa usa ka bulan igo na alang sa negosyo, kung swerte ka nga adunay usa .
Gihimo nako ang tanan nga mga operasyon sa server ingon nga gamut sa usa ka limpyo nga makina; kung kinahanglan, idugang ang `sudo` ug ipahiangay ang mga panudlo.
Ang Wireguard walay panahon nga dad-on ngadto sa kuwadra, mao nga akong gipadagan ang `apt edit-sources` ug gidugang ang mga backport sa duha ka linya sa katapusan sa file:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Gi-install ang package sa naandan nga paagi: apt update && apt install wireguard.
Sunod, naghimo kami usa ka yawe nga pares: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Balika kini nga operasyon kaduha pa alang sa matag aparato nga nag-apil sa circuit. Usba ang agianan sa mga yawe nga file alang sa lain nga aparato ug ayaw kalimti ang bahin sa seguridad sa mga pribadong yawe.
Karon among giandam ang config. Sa pag-file /etc/wireguard/wg0.conf config gibutang:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Sa seksyon [Interface] ang mga setting sa makina mismo gipakita, ug sa [Peer] - mga setting alang sa mga magkonektar niini. SA AllowedIPs gibulag pinaagi sa mga koma, ang mga subnet nga madala ngadto sa katugbang nga kaedad gipiho. Tungod niini, ang mga kaedad sa "kliyente" nga mga aparato sa subnet sa VPN kinahanglan adunay maskara /32, ang tanan nga uban pa madala sa server. Tungod kay ang home network madala pinaagi sa OpenWRT, sa AllowedIPs Gidugang namo ang home subnet sa katugbang nga kaedad. SA PrivateKey ΠΈ PublicKey decompose ang pribado nga yawe nga namugna alang sa VPS ug ang publiko nga yawe sa mga kaedad sumala niana.
Sa VPS, ang nahabilin mao ang pagpadagan sa mando nga magdala sa interface ug idugang kini sa autorun: systemctl enable --now wg-quick@wg0. Ang kasamtangan nga kahimtang sa koneksyon mahimong masusi gamit ang sugo wg.
OpenWRT Configuration
Ang tanan nga imong gikinahanglan alang niini nga yugto anaa sa luci module (OpenWRT web interface). Log in ug ablihi ang Software tab sa System menu. Ang OpenWRT wala magtipig ug cache sa makina, mao nga kinahanglan nimo nga i-update ang lista sa mga magamit nga pakete pinaagi sa pag-klik sa berde nga buton sa Mga lista sa pag-update. Pagkahuman, pagmaneho sa filter luci-app-wireguard ug, nagtan-aw sa bintana nga adunay nindot nga dependency tree, i-install kini nga package.
Sa Networks menu, pilia ang Interfaces ug i-klik ang berdeng Add New Interface button ubos sa lista sa anaa na. Human sa pagsulod sa ngalan (usab wg0 sa akong kaso) ug pagpili sa WireGuard VPN protocol, usa ka porma sa mga setting nga adunay upat ka tab nga giablihan.
Sa tab nga General Settings, kinahanglan nimong isulod ang pribadong yawe ug IP address nga giandam alang sa OpenWRT kauban ang subnet.
Sa tab nga Mga Setting sa Firewall, ikonektar ang interface sa lokal nga network. Niining paagiha, ang mga koneksyon gikan sa VPN gawasnon nga mosulod sa lokal nga lugar.
Sa tab nga Peers, i-klik ang bugtong buton, pagkahuman pun-an nimo ang data sa server sa VPS sa gi-update nga porma: yawe sa publiko, Gitugotan nga mga IP (kinahanglan nimo nga ruta ang tibuuk nga subnet sa VPN sa server). Sa Endpoint Host ug Endpoint Port, isulod ang IP address sa VPS nga adunay port nga gitakda kaniadto sa direktiba sa ListenPort, matag usa. Susiha ang Route Allowed IPs para sa mga rota nga himoon. Ug siguruha nga pun-on ang Persistent Keep Alive, kung dili ang tunel gikan sa VPS hangtod sa router maguba kung ang ulahi naa sa luyo sa NAT.
Pagkahuman niini, mahimo nimong i-save ang mga setting, ug dayon sa panid nga adunay lista sa mga interface, i-klik ang Save ug i-apply. Kung gikinahanglan, klaro nga ilunsad ang interface gamit ang Restart button.
Pag-set up sa usa ka smartphone
Kinahanglan nimo ang kliyente sa Wireguard, anaa kini sa , ug App Store. Pagkahuman sa pag-abli sa aplikasyon, i-press ang plus sign ug sa Interface nga seksyon isulod ang ngalan sa koneksyon, pribado nga yawe (ang publiko nga yawe awtomatiko nga mabuhat) ug ang adres sa telepono nga adunay maskara nga /32. Sa seksyon sa Peer, ipiho ang VPS public key, usa ka address pair: ang VPN server port isip Endpoint, ug mga rota sa VPN ug home subnet.
Isog nga screenshot gikan sa telepono
Pag-klik sa floppy disk sa suok, i-on kini ug...
Tapos na
Karon mahimo nimong ma-access ang pag-monitor sa balay, pagbag-o sa mga setting sa router, o pagbuhat bisan unsa sa lebel sa IP.
Mga screenshot gikan sa lokal nga lugar
Source: www.habr.com