TL; DR: installin Wireguardi VPS-i, loon sellega OpenWRT-s oma koduruuteri kaudu ühenduse ja pääsen telefonist ligi oma kodusele alamvõrgule.
Kui hoiate oma isiklikku taristut koduserveris või teil on kodus palju IP-juhtimisega seadmeid, siis tõenäoliselt soovite neile juurdepääsu saada töölt, bussist, rongist ja metroost. Kõige sagedamini ostetakse sarnaste ülesannete jaoks pakkujalt IP, misjärel suunatakse iga teenuse pordid väljapoole.
Selle asemel seadistasin VPN-i, millel on juurdepääs oma kodusele kohtvõrgule. Selle lahenduse eelised:
- läbipaistvus: Tunnen end igal juhul koduselt.
- Lihtsus: määrake see ja unustage see, pole vaja mõelda iga pordi edastamisele.
- Hind: Mul on juba VPS; selliste ülesannete jaoks on kaasaegne VPN ressursside poolest peaaegu tasuta.
- turvalisus: midagi ei paista välja, võite MongoDB-st lahkuda ilma paroolita ja keegi ei varasta teie andmeid.
Nagu alati, on ka miinuseid. Esiteks peate iga kliendi eraldi konfigureerima, sealhulgas serveri poolel. See võib olla ebamugav, kui teil on palju seadmeid, millest soovite teenustele juurde pääseda. Teiseks võib teil olla tööl sama ulatusega kohtvõrk – peate selle probleemi lahendama.
Me vajame:
- VPS (minu puhul Debian 10 puhul).
- OpenWRT ruuter.
- Telefoninumber.
- Koduserver koos mõne veebiteenusega testimiseks.
- Sirged käed.
VPN-tehnoloogia, mida ma kasutan, on Wireguard. Sellel lahendusel on ka tugevusi ja nõrkusi, ma ei hakka neid kirjeldama. VPN-i jaoks kasutan alamvõrku 192.168.99.0/24, ja minu kodus 192.168.0.0/24.
VPS-i konfiguratsioon
Isegi kõige viletsamast VPS-ist 30 rubla kuus piisab äritegevuseks, kui teil on õnn seda omada .
Kõik toimingud teen serveris puhta masina rootina, vajadusel lisan `sudo` ja kohandan juhiseid.
Wireguardil polnud aega talli tuua, nii et käivitan käsu `apt edit-sources' ja lisan faili lõppu kahes reas backports:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Pakett paigaldatakse tavapärasel viisil: apt update && apt install wireguard.
Järgmisena genereerime võtmepaari: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Korrake seda toimingut veel kaks korda iga vooluringis osaleva seadme puhul. Muutke teise seadme võtmefailide teed ja ärge unustage privaatvõtmete turvalisust.
Nüüd valmistame ette konfiguratsiooni. Viilima /etc/wireguard/wg0.conf konfiguratsioon on paigutatud:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Jaotises [Interface] näidatud on masina enda seaded ja sisse [Peer] — seaded neile, kes sellega ühenduse loovad. IN AllowedIPs komadega eraldatud alamvõrgud, mis suunatakse vastavale partnerile. Seetõttu peab VPN-i alamvõrgus olevate "kliendi" seadmete kaaslastel olema mask /32, kõik muu suunab server. Kuna koduvõrk suunatakse läbi OpenWRT, siis sisse AllowedIPs Lisame vastava kaaslase kodu alamvõrgu. IN PrivateKey и PublicKey lagundama vastavalt VPS-i jaoks loodud privaatvõtit ja partnerite avalikke võtmeid.
VPS-is jääb üle vaid käivitada käsk, mis avab liidese ja lisab selle automaatkäivitusse: systemctl enable --now wg-quick@wg0. Ühenduse hetkeseisu saab kontrollida käsuga wg.
OpenWRT konfiguratsioon
Kõik, mida selleks etapiks vaja läheb, on luci moodulis (OpenWRT veebiliides). Logige sisse ja avage menüüs Süsteem vahekaart Tarkvara. OpenWRT ei salvesta masinasse vahemälu, seega peate värskendama saadaolevate pakettide loendit, klõpsates rohelist nuppu Värskenda loendeid. Pärast lõpetamist sõitke filtrisse luci-app-wireguard ja vaadates ilusat sõltuvuspuuga akent, installige see pakett.
Menüüs Võrgud valige Liidesed ja klõpsake olemasolevate loendi all rohelist nuppu Lisa uus liides. Pärast nime sisestamist (ka wg0 minu puhul) ja valides WireGuard VPN-protokolli, avaneb nelja vahekaardiga seadete vorm.
Vahekaardil Üldsätted peate sisestama OpenWRT jaoks ettevalmistatud privaatvõtme ja IP-aadressi koos alamvõrguga.
Ühendage vahekaardil Tulemüüri sätted liides kohaliku võrguga. Nii sisenevad VPN-i ühendused vabalt kohalikku piirkonda.
Klõpsake vahekaardil Peers ainsat nuppu, mille järel täidate VPS-i serveri andmed värskendatud kujul: avalik võti, Lubatud IP-d (peate kogu VPN-i alamvõrgu serverisse suunama). Väljadesse Endpoint Host ja Endpoint Port sisestage VPS-i IP-aadress vastavalt ListenPort direktiivis eelnevalt määratud pordiga. Luuavate marsruutide jaoks kontrollige marsruudi lubatud IP-sid. Ja kindlasti täitke Persistent Keep Alive, vastasel juhul katkeb tunnel VPS-ist ruuterini, kui viimane on NAT-i taga.
Pärast seda saate sätted salvestada ja seejärel liideste loendiga lehel nuppu Salvesta ja rakenda. Vajadusel käivitage liides selgelt nupu Restart abil.
Nutitelefoni seadistamine
Teil on vaja Wireguardi klienti, see on saadaval riigis , ja App Store. Pärast rakenduse avamist vajutage plussmärki ja sisestage jaotisesse Liides ühenduse nimi, privaatvõti (avalik võti genereeritakse automaatselt) ja telefoni aadress /32 maskiga. Jaotises Peer määrake VPS-i avalik võti, aadressipaar: lõpp-punktina VPN-serveri port ning marsruudid VPN-i ja kodu alamvõrku.
Paks ekraanipilt telefonist
Klõpsake nurgas oleval disketil, lülitage see sisse ja...
Lõpetama
Nüüd pääsete juurde kodu jälgimisele, saate muuta ruuteri sätteid või teha midagi IP-tasemel.
Ekraanipildid kohalikust piirkonnast
Allikas: www.habr.com