VPN στο τοπικό LAN

TL? DR: Εγκαθιστώ το Wireguard σε ένα VPS, συνδέομαι σε αυτό από τον οικιακό δρομολογητή μου στο OpenWRT και έχω πρόσβαση στο οικιακό υποδίκτυό μου από το τηλέφωνό μου.

Εάν διατηρείτε την προσωπική σας υποδομή σε έναν οικιακό διακομιστή ή έχετε πολλές συσκευές ελεγχόμενες από IP στο σπίτι, τότε πιθανότατα θέλετε να έχετε πρόσβαση σε αυτές από τη δουλειά, από το λεωφορείο, το τρένο και το μετρό. Τις περισσότερες φορές, για παρόμοιες εργασίες, η IP αγοράζεται από τον πάροχο, μετά την οποία οι θύρες κάθε υπηρεσίας προωθούνται προς τα έξω.

Αντίθετα, δημιούργησα ένα VPN με πρόσβαση στο τοπικό μου LAN. Τα πλεονεκτήματα αυτής της λύσης:

• Διαφάνεια: Νιώθω σαν στο σπίτι μου υπό οποιεσδήποτε συνθήκες.
• Απλότητα: ορίστε το και ξεχάστε το, δεν χρειάζεται να σκεφτείτε την προώθηση κάθε θύρας.
• Τιμή: Έχω ήδη ένα VPS· για τέτοιες εργασίες, ένα σύγχρονο VPN είναι σχεδόν δωρεάν από άποψη πόρων.
• Ασφάλεια: τίποτα δεν ξεχωρίζει, μπορείτε να αφήσετε το MongoDB χωρίς κωδικό πρόσβασης και κανείς δεν θα κλέψει τα δεδομένα σας.

Όπως πάντα, υπάρχουν και μειονεκτήματα. Πρώτον, θα πρέπει να διαμορφώσετε κάθε πελάτη ξεχωριστά, συμπεριλαμβανομένης της πλευράς του διακομιστή. Μπορεί να είναι άβολο εάν έχετε μεγάλο αριθμό συσκευών από τις οποίες θέλετε να αποκτήσετε πρόσβαση σε υπηρεσίες. Δεύτερον, μπορεί να έχετε ένα LAN με το ίδιο εύρος στην εργασία - θα πρέπει να επιλύσετε αυτό το πρόβλημα.

Χρειαζόμαστε:

1. VPS (στην περίπτωσή μου στο Debian 10).
2. Δρομολογητής OpenWRT.
3. Αριθμός τηλεφώνου.
4. Οικιακός διακομιστής με κάποια υπηρεσία web για δοκιμή.
5. Ευθεία χέρια.

Η τεχνολογία VPN που θα χρησιμοποιήσω είναι το Wireguard. Αυτή η λύση έχει επίσης δυνατά και αδύνατα σημεία, δεν θα τα περιγράψω. Για VPN χρησιμοποιώ υποδίκτυο 192.168.99.0/24και στο σπίτι μου 192.168.0.0/24.

Διαμόρφωση VPS

Ακόμη και το πιο άθλιο VPS για 30 ρούβλια το μήνα είναι αρκετό για τις επιχειρήσεις, αν είστε αρκετά τυχεροί να έχετε ένα αρπάζω.

Εκτελώ όλες τις λειτουργίες στον διακομιστή ως root σε ένα καθαρό μηχάνημα· εάν χρειάζεται, προσθέστε το «sudo» και προσαρμόστε τις οδηγίες.

Το Wireguard δεν είχε χρόνο να μεταφερθεί στο σταθερό, γι' αυτό εκτελώ το "apt edit-sources" και προσθέτω backports σε δύο γραμμές στο τέλος του αρχείου:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


Το πακέτο εγκαθίσταται με τον συνήθη τρόπο: apt update && apt install wireguard.

Στη συνέχεια, δημιουργούμε ένα ζεύγος κλειδιών: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Επαναλάβετε αυτή τη λειτουργία δύο φορές ακόμη για κάθε συσκευή που συμμετέχει στο κύκλωμα. Αλλάξτε τη διαδρομή προς τα αρχεία κλειδιών για άλλη συσκευή και μην ξεχνάτε την ασφάλεια των ιδιωτικών κλειδιών.

Τώρα ετοιμάζουμε το config. Να αρχειοθετήσω /etc/wireguard/wg0.conf config τοποθετείται:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

Στην ενότητα [Interface] υποδεικνύονται οι ρυθμίσεις του ίδιου του μηχανήματος και [Peer] — ρυθμίσεις για όσους θα συνδεθούν σε αυτό. ΣΕ AllowedIPs διαχωρισμένα με κόμμα, καθορίζονται τα υποδίκτυα που θα δρομολογηθούν στο αντίστοιχο peer. Εξαιτίας αυτού, οι ομότιμοι συσκευές «πελάτη» στο υποδίκτυο VPN πρέπει να διαθέτουν μάσκα /32, όλα τα άλλα θα δρομολογηθούν από τον διακομιστή. Δεδομένου ότι το οικιακό δίκτυο θα δρομολογηθεί μέσω του OpenWRT, σε AllowedIPs Προσθέτουμε το αρχικό υποδίκτυο του αντίστοιχου peer. ΣΕ PrivateKey и PublicKey αποσυνθέστε το ιδιωτικό κλειδί που δημιουργήθηκε για το VPS και τα δημόσια κλειδιά των ομοτίμων αναλόγως.

Στο VPS, το μόνο που μένει είναι να εκτελέσετε την εντολή που θα εμφανίσει τη διεπαφή και θα την προσθέσετε στην αυτόματη εκτέλεση: systemctl enable --now wg-quick@wg0. Η τρέχουσα κατάσταση σύνδεσης μπορεί να ελεγχθεί με την εντολή wg.

Διαμόρφωση OpenWRT

Όλα όσα χρειάζεστε για αυτό το στάδιο βρίσκονται στη μονάδα luci (διασύνδεση ιστού OpenWRT). Συνδεθείτε και ανοίξτε την καρτέλα Λογισμικό στο μενού Σύστημα. Το OpenWRT δεν αποθηκεύει προσωρινή μνήμη στο μηχάνημα, επομένως πρέπει να ενημερώσετε τη λίστα των διαθέσιμων πακέτων κάνοντας κλικ στο πράσινο κουμπί Ενημέρωση λιστών. Μετά την ολοκλήρωση, οδηγήστε στο φίλτρο luci-app-wireguard και, κοιτάζοντας το παράθυρο με ένα όμορφο δέντρο εξάρτησης, εγκαταστήστε αυτό το πακέτο.

Στο μενού Δίκτυα, επιλέξτε Διεπαφές και κάντε κλικ στο πράσινο κουμπί Προσθήκη νέας διεπαφής κάτω από τη λίστα των υπαρχόντων. Μετά την εισαγωγή του ονόματος (επίσης wg0 στην περίπτωσή μου) και επιλέγοντας το πρωτόκολλο WireGuard VPN, ανοίγει μια φόρμα ρυθμίσεων με τέσσερις καρτέλες.

Στην καρτέλα Γενικές ρυθμίσεις, πρέπει να εισαγάγετε το ιδιωτικό κλειδί και τη διεύθυνση IP που έχουν προετοιμαστεί για το OpenWRT μαζί με το υποδίκτυο.

Στην καρτέλα Ρυθμίσεις τείχους προστασίας, συνδέστε τη διεπαφή στο τοπικό δίκτυο. Με αυτόν τον τρόπο, οι συνδέσεις από το VPN θα εισέρχονται ελεύθερα στην τοπική περιοχή.

Στην καρτέλα Peers, κάντε κλικ στο μοναδικό κουμπί, μετά από το οποίο συμπληρώνετε τα δεδομένα διακομιστή VPS στην ενημερωμένη φόρμα: δημόσιο κλειδί, Επιτρεπόμενες IP (πρέπει να δρομολογήσετε ολόκληρο το υποδίκτυο VPN στον διακομιστή). Στο Endpoint Host και Endpoint Port, εισαγάγετε τη διεύθυνση IP του VPS με τη θύρα που καθορίστηκε προηγουμένως στην οδηγία ListenPort, αντίστοιχα. Ελέγξτε τις επιτρεπόμενες διευθύνσεις IP για διαδρομές που θα δημιουργηθούν. Και φροντίστε να συμπληρώσετε το Persistent Keep Alive, διαφορετικά το τούνελ από το VPS στο δρομολογητή θα σπάσει αν το τελευταίο είναι πίσω από το NAT.

Μετά από αυτό, μπορείτε να αποθηκεύσετε τις ρυθμίσεις και, στη συνέχεια, στη σελίδα με τη λίστα διεπαφών, κάντε κλικ στην επιλογή Αποθήκευση και εφαρμογή. Εάν είναι απαραίτητο, εκκινήστε ρητά τη διεπαφή με το κουμπί Επανεκκίνηση.

Ρύθμιση smartphone

Θα χρειαστείτε το πρόγραμμα-πελάτη Wireguard, είναι διαθέσιμο στο F-Droid, Το Google Play και App Store. Αφού ανοίξετε την εφαρμογή, πατήστε το σύμβολο συν και στην ενότητα Διασύνδεση πληκτρολογήστε το όνομα σύνδεσης, το ιδιωτικό κλειδί (το δημόσιο κλειδί θα δημιουργηθεί αυτόματα) και τη διεύθυνση τηλεφώνου με τη μάσκα /32. Στην ενότητα Peer, καθορίστε το δημόσιο κλειδί VPS, ένα ζεύγος διευθύνσεων: τη θύρα διακομιστή VPN ως τελικό σημείο και διαδρομές προς το VPN και το οικιακό υποδίκτυο.

Έντονο στιγμιότυπο οθόνης από το τηλέφωνο

Κάντε κλικ στη δισκέτα στη γωνία, ενεργοποιήστε την και...

Φινίρισμα

Τώρα μπορείτε να έχετε πρόσβαση στην οικιακή παρακολούθηση, να αλλάξετε τις ρυθμίσεις του δρομολογητή ή να κάνετε οτιδήποτε σε επίπεδο IP.

Στιγμιότυπα από την περιοχή

Πηγή: www.habr.com