TL; DR: Ich installiere Wireguard auf einem VPS, verbinde mich über meinen Heimrouter über OpenWRT damit und greife über mein Telefon auf mein Heimsubnetz zu.
Wenn Sie Ihre persönliche Infrastruktur auf einem Heimserver aufbewahren oder viele IP-gesteuerte Geräte zu Hause haben, möchten Sie wahrscheinlich von der Arbeit, vom Bus, der Bahn und der U-Bahn aus darauf zugreifen können. Meistens wird für ähnliche Aufgaben IP vom Anbieter erworben, woraufhin die Ports jedes Dienstes nach außen weitergeleitet werden.
Stattdessen habe ich ein VPN mit Zugriff auf mein Heim-LAN eingerichtet. Die Vorteile dieser Lösung:
- Transparenz: Ich fühle mich unter allen Umständen zu Hause.
- Erleichtern: Stellen Sie es ein und vergessen Sie es, Sie müssen nicht darüber nachdenken, jeden Port weiterzuleiten.
- Preis: Ich habe bereits einen VPS; für solche Aufgaben ist ein modernes VPN von den Ressourcen her nahezu kostenlos.
- Sicherheit: Nichts fällt auf, Sie können MongoDB ohne Passwort verlassen und niemand wird Ihre Daten stehlen.
Wie immer gibt es Nachteile. Zunächst müssen Sie jeden Client separat konfigurieren, auch auf der Serverseite. Dies kann unpraktisch sein, wenn Sie über eine große Anzahl von Geräten verfügen, von denen aus Sie auf Dienste zugreifen möchten. Zweitens haben Sie möglicherweise ein LAN mit der gleichen Reichweite am Arbeitsplatz – Sie müssen dieses Problem lösen.
Wir brauchen:
- VPS (in meinem Fall auf Debian 10).
- OpenWRT-Router.
- Telefon.
- Heimserver mit einigen Webdiensten zum Testen.
- Gerade Arme.
Die VPN-Technologie, die ich verwenden werde, ist Wireguard. Diese Lösung hat auch Stärken und Schwächen, die ich nicht beschreiben werde. Für VPN verwende ich ein Subnetz 192.168.99.0/24, und bei mir zu Hause 192.168.0.0/24.
VPS-Konfiguration
Selbst der schlechteste VPS für 30 Rubel im Monat reicht fürs Geschäft, wenn man das Glück hat, einen zu haben .
Ich führe alle Operationen auf dem Server als Root auf einer sauberen Maschine durch, füge bei Bedarf „sudo“ hinzu und passe die Anweisungen an.
Wireguard hatte keine Zeit, in den Stall gebracht zu werden, also führe ich „apt edit-sources“ aus und füge Backports in zwei Zeilen am Ende der Datei hinzu:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Das Paket wird wie gewohnt installiert: apt update && apt install wireguard.
Als nächstes generieren wir ein Schlüsselpaar: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Wiederholen Sie diesen Vorgang noch zweimal für jedes an der Schaltung beteiligte Gerät. Ändern Sie den Pfad zu den Schlüsseldateien für ein anderes Gerät und vergessen Sie nicht die Sicherheit privater Schlüssel.
Jetzt bereiten wir die Konfiguration vor. Einordnen /etc/wireguard/wg0.conf config wird platziert:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Im Bereich [Interface] die Einstellungen der Maschine selbst werden angezeigt, und in [Peer] — Einstellungen für diejenigen, die sich damit verbinden. IN AllowedIPs Durch Kommas getrennt werden die Subnetze angegeben, die zum entsprechenden Peer geroutet werden. Aus diesem Grund müssen Peers von „Client“-Geräten im VPN-Subnetz eine Maske haben /32, alles andere wird vom Server weitergeleitet. Da das Heimnetzwerk über OpenWRT geroutet wird, in AllowedIPs Wir fügen das Heimatsubnetz des entsprechenden Peers hinzu. IN PrivateKey и PublicKey Zerlegen Sie den für den VPS generierten privaten Schlüssel und die öffentlichen Schlüssel der Peers entsprechend.
Auf dem VPS müssen Sie nur noch den Befehl ausführen, der die Schnittstelle aufruft und zur Autorun-Funktion hinzufügt: systemctl enable --now wg-quick@wg0. Mit dem Befehl kann der aktuelle Verbindungsstatus überprüft werden wg.
OpenWRT-Konfiguration
Alles, was Sie für diese Phase benötigen, finden Sie im Luci-Modul (OpenWRT-Webschnittstelle). Melden Sie sich an und öffnen Sie die Registerkarte „Software“ im Systemmenü. OpenWRT speichert keinen Cache auf dem Computer, daher müssen Sie die Liste der verfügbaren Pakete aktualisieren, indem Sie auf die grüne Schaltfläche „Listen aktualisieren“ klicken. Nach Fertigstellung in den Filter fahren luci-app-wireguard und installieren Sie dieses Paket, indem Sie auf das Fenster mit einem schönen Abhängigkeitsbaum schauen.
Wählen Sie im Menü „Netzwerke“ die Option „Schnittstellen“ aus und klicken Sie unter der Liste der vorhandenen Schnittstellen auf die grüne Schaltfläche „Neue Schnittstelle hinzufügen“. Nach Eingabe des Namens (auch wg0 (in meinem Fall) und Auswahl des WireGuard VPN-Protokolls öffnet sich ein Einstellungsformular mit vier Registerkarten.
Auf der Registerkarte „Allgemeine Einstellungen“ müssen Sie den für OpenWRT vorbereiteten privaten Schlüssel und die IP-Adresse sowie das Subnetz eingeben.
Verbinden Sie auf der Registerkarte Firewall-Einstellungen die Schnittstelle mit dem lokalen Netzwerk. Auf diese Weise gelangen Verbindungen vom VPN ungehindert in den lokalen Bereich.
Klicken Sie auf der Registerkarte „Peers“ auf die einzige Schaltfläche und geben Sie anschließend die VPS-Serverdaten im aktualisierten Formular ein: öffentlicher Schlüssel, zulässige IPs (Sie müssen das gesamte VPN-Subnetz an den Server weiterleiten). Geben Sie unter Endpoint Host und Endpoint Port die IP-Adresse des VPS mit dem zuvor in der ListenPort-Direktive angegebenen Port ein. Überprüfen Sie die Route-zulässigen IPs für Routen, die erstellt werden sollen. Und stellen Sie sicher, dass Sie Persistent Keep Alive ausfüllen, da sonst der Tunnel vom VPS zum Router unterbrochen wird, wenn dieser sich hinter NAT befindet.
Anschließend können Sie die Einstellungen speichern und dann auf der Seite mit der Liste der Schnittstellen auf Speichern und anwenden klicken. Starten Sie ggf. die Schnittstelle explizit mit der Schaltfläche „Neu starten“.
Einrichten eines Smartphones
Sie benötigen den Wireguard-Client, er ist verfügbar unter , und App Store. Drücken Sie nach dem Öffnen der Anwendung das Pluszeichen und geben Sie im Abschnitt „Schnittstelle“ den Verbindungsnamen, den privaten Schlüssel (der öffentliche Schlüssel wird automatisch generiert) und die Telefonadresse mit der /32-Maske ein. Geben Sie im Abschnitt „Peer“ den öffentlichen VPS-Schlüssel, ein Adresspaar: den VPN-Server-Port als Endpunkt und Routen zum VPN und zum Heimatsubnetz an.
Fettgedruckter Screenshot vom Telefon
Klicken Sie auf die Diskette in der Ecke, schalten Sie sie ein und ...
Abschließen
Jetzt können Sie auf die Heimüberwachung zugreifen, Router-Einstellungen ändern oder alles auf IP-Ebene tun.
Screenshots aus der Umgebung
Source: habr.com