TL; DR: Mi instalas Wireguard sur VPS, konektas al ĝi de mia hejma enkursigilo sur OpenWRT, kaj aliras mian hejman subreton de mia telefono.
Se vi konservas vian personan infrastrukturon en hejma servilo aŭ havas multajn IP-kontrolitajn aparatojn hejme, tiam vi verŝajne volas havi aliron al ili de laboro, de la buso, trajno kaj metroo. Plej ofte, por similaj taskoj, IP estas aĉetita de la provizanto, post kio la havenoj de ĉiu servo estas plusenditaj al la ekstero.
Anstataŭe, mi starigis VPN kun aliro al mia hejma LAN. La avantaĝoj de ĉi tiu solvo:
- travidebleco: Mi sentas min hejme en ajna cirkonstanco.
- faciligi: agordu ĝin kaj forgesu ĝin, ne necesas pensi pri plusendado de ĉiu haveno.
- Kosto: Mi jam havas VPS; por tiaj taskoj, moderna VPN estas preskaŭ senpaga laŭ rimedoj.
- Sekureco: nenio elstaras, vi povas forlasi MongoDB sen pasvorto kaj neniu ŝtelos viajn datumojn.
Kiel ĉiam, estas malavantaĝoj. Unue, vi devos agordi ĉiun klienton aparte, inkluzive ĉe la servilo. Povas esti maloportune se vi havas grandan nombron da aparatoj de kiuj vi volas aliri servojn. Due, vi eble havas LAN kun la sama gamo ĉe la laboro - vi devos solvi ĉi tiun problemon.
Ni bezonas:
- VPS (en mia kazo sur Debian 10).
- OpenWRT-enkursigilo.
- Telefono.
- Hejma servilo kun iu retservo por testado.
- Rektaj brakoj.
La VPN-teknologio, kiun mi uzos, estas Wireguard. Ĉi tiu solvo ankaŭ havas fortojn kaj malfortojn, mi ne priskribos ilin. Por VPN mi uzas subreton 192.168.99.0/24, kaj ĉe mia domo 192.168.0.0/24.
VPS-agordo
Eĉ la plej mizera VPS por 30 rubloj monate sufiĉas por komerco, se vi bonŝancas havi unu .
Mi faras ĉiujn operaciojn sur la servilo kiel radiko sur pura maŝino; se necese, aldonu `sudo` kaj adaptu la instrukciojn.
Wireguard ne havis tempon por esti alportita en la stalon, do mi rulas `apt edit-sources` kaj aldonas backports en du linioj ĉe la fino de la dosiero:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
La pako estas instalita laŭ la kutima maniero: apt update && apt install wireguard.
Poste, ni generas ŝlosilan paron: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Ripetu ĉi tiun operacion dufoje pli por ĉiu aparato partoprenanta en la cirkvito. Ŝanĝu la vojon al la ŝlosilaj dosieroj por alia aparato kaj ne forgesu pri la sekureco de privataj ŝlosiloj.
Nun ni preparas la agordon. File /etc/wireguard/wg0.conf agordo estas metita:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
En la sekcio [Interface] la agordoj de la maŝino mem estas indikitaj, kaj en [Peer] — agordoj por tiuj, kiuj konektos al ĝi. EN AllowedIPs apartigitaj per komoj, la subretoj kiuj estos direktitaj al la responda samulo estas specifitaj. Pro tio, samuloj de "kliento" aparatoj en la VPN-subreto devas havi maskon /32, ĉio alia estos sendita de la servilo. Ĉar la hejma reto estos sendita tra OpenWRT, en AllowedIPs Ni aldonas la hejman subreton de la responda samulo. EN PrivateKey и PublicKey malkomponi la privatan ŝlosilon generitan por la VPS kaj la publikajn ŝlosilojn de la samuloj laŭe.
Sur la VPS, restas nur ruli la komandon, kiu aperigos la interfacon kaj aldonos ĝin al aŭtorun: systemctl enable --now wg-quick@wg0. La nuna koneksa stato povas esti kontrolita per la komando wg.
OpenWRT-Agordo
Ĉio, kion vi bezonas por ĉi tiu etapo, estas en la luci-modulo (interfaco de OpenWRT). Ensalutu kaj malfermu la langeton Programaro en la Sistemo-menuo. OpenWRT ne konservas kaŝmemoron en la maŝino, do vi devas ĝisdatigi la liston de disponeblaj pakaĵoj alklakante la verdan butonon Ĝisdatigi listojn. Post kompletigo, veturu en la filtrilon luci-app-wireguard kaj, rigardante la fenestron kun bela dependeca arbo, instalu ĉi tiun pakaĵon.
En la Retoj-menuo, elektu Interfacoj kaj alklaku la verdan Aldoni Novan Interfacon butonon sub la listo de ekzistantaj. Post enigo de la nomo (ankaŭ wg0 en mia kazo) kaj elektante la WireGuard VPN-protokolon, malfermiĝas formo de agordoj kun kvar langetoj.
En la langeto Ĝeneralaj Agordoj, vi devas enigi la privatan ŝlosilon kaj IP-adreson preparitan por OpenWRT kune kun la subreto.
En la langeto Agordoj de Fajroŝirmilo, konektu la interfacon al la loka reto. Tiel, konektoj de la VPN libere eniros la lokan areon.
Sur la langeto Samuloj, alklaku la solan butonon, post kiu vi plenigas la datumojn de la servilo de VPS en la ĝisdatigita formo: publika ŝlosilo, Permesitaj IP-oj (vi devas direkti la tutan VPN-subreton al la servilo). En Endpoint Host kaj Endpoint Port, enigu la IP-adreson de la VPS kun la haveno antaŭe specifita en la direktivo ListenPort, respektive. Kontrolu Itinerojn Permesitajn IP-ojn por kreotaj itineroj. Kaj nepre plenigu Persistent Keep Alive, alie la tunelo de la VPS al la enkursigilo estos rompita se ĉi-lasta estas malantaŭ NAT.
Post ĉi tio, vi povas konservi la agordojn, kaj tiam sur la paĝo kun la listo de interfacoj, alklaku Konservi kaj apliki. Se necese, eksplicite lanĉu la interfacon per la butono Rekomenci.
Agordo de inteligenta telefono
Vi bezonos la Wireguard-klienton, ĝi disponeblas en , kaj App Store. Post malfermi la aplikaĵon, premu la plus-signon kaj en la sekcio Interfaco enigu la konektan nomon, privatan ŝlosilon (la publika ŝlosilo estos generita aŭtomate) kaj telefonadreson kun la /32-masko. En la sekcio Peer, specifu la publikan ŝlosilon de VPS, adresparon: la VPN-servila haveno kiel la Finpunkto, kaj itinerojn al la VPN kaj hejma subreto.
Aŭdaca ekrankopio de telefono
Alklaku la disketon en la angulo, ŝaltu ĝin kaj...
Farita
Nun vi povas aliri hejman monitoradon, ŝanĝi enkursigilojn aŭ fari ion ajn ĉe IP-nivelo.
Ekrankopioj de loka areo
fonto: www.habr.com