TL; DR: Wireguard VPS batean instalatzen dut, nire etxeko bideratzailetik konektatzen naiz OpenWRT-n eta nire etxeko azpisarean sartzen naiz telefonotik.
Zure azpiegitura pertsonala etxeko zerbitzari batean mantentzen baduzu edo etxean IP kontrolatutako gailu asko badituzu, ziurrenik lanetik, autobusetik, trenetik eta metrotik atzitu nahi dituzu. Gehienetan, antzeko zereginetarako, IP hornitzaileari erosten zaio, eta, ondoren, zerbitzu bakoitzaren portuak kanpoaldera bidaltzen dira.
Horren ordez, nire etxeko LANerako sarbidea duen VPN bat konfiguratu dut. Soluzio honen abantailak:
- gardentasuna: Etxean bezala sentitzen naiz edozein kasutan.
- arintzeko: ezarri eta ahaztu, ez dago portu bakoitza birbidaltzean pentsatu beharrik.
- Prezioa: Dagoeneko VPS bat daukat; horrelako zereginetarako, VPN moderno bat ia doakoa da baliabideei dagokienez.
- ΠΠ΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ: ez da ezer ateratzen, MongoDB pasahitz gabe irten dezakezu eta inork ez dizu zure datuak lapurtuko.
Beti bezala, alde txarrak daude. Lehenik eta behin, bezero bakoitza bereizita konfiguratu beharko duzu, zerbitzariaren aldetik barne. Deserosoa izan daiteke zerbitzuetara sartu nahi dituzun gailu ugari badituzu. Bigarrenik, lan barruti bereko LAN bat izan dezakezu lanean - arazo hau konpondu beharko duzu.
Behar dugu:
- VPS (nire kasuan Debian 10-n).
- OpenWRT bideratzailea.
- Telefono zenbakia.
- Etxeko zerbitzaria probak egiteko web zerbitzuren bat duena.
- Besoak zuzenak.
Erabiliko dudan VPN teknologia Wireguard da. Irtenbide honek indarguneak eta ahuleziak ere baditu, ez ditut deskribatuko. VPNrako azpisare bat erabiltzen dut 192.168.99.0/24, eta nire etxean 192.168.0.0/24.
VPS konfigurazioa
Hilean 30 errubloko VPS miserableena ere nahikoa da negozioetarako, bat izateko zortea baduzu .
Eragiketa guztiak zerbitzarian root gisa egiten ditut makina garbi batean; behar izanez gero, gehitu `sudo` eta egokitu argibideak.
Wireguard-ek ez zuen denborarik izan ukuilura ekartzeko, beraz, `apt edit-sources` exekutatzen dut eta fitxategiaren amaieran bi lerrotan atzealdeak gehitzen ditut:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paketea ohiko moduan instalatzen da: apt update && apt install wireguard.
Ondoren, gako-pare bat sortuko dugu: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Errepikatu eragiketa hau beste bi aldiz zirkuituan parte hartzen duen gailu bakoitzeko. Aldatu gako-fitxategietarako bidea beste gailu baterako eta ez ahaztu gako pribatuen segurtasunaz.
Orain konfigurazioa prestatzen dugu. Fitxatzeko /etc/wireguard/wg0.conf konfigurazioa jartzen da:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
atalean [Interface] makinaren beraren ezarpenak adierazten dira, eta barruan [Peer] β konektatuko direnentzako ezarpenak. IN AllowedIPs komaz bereizita, dagokion parekidera bideratuko diren azpisareak zehazten dira. Horregatik, VPN azpisareko "bezero" gailuen pareek maskara bat izan behar dute /32, gainerako guztia zerbitzariak bideratuko du. Etxeko sarea OpenWRT bidez bideratuko denez, in AllowedIPs Dagokion parekoaren etxeko azpisarea gehitzen dugu. IN PrivateKey ΠΈ PublicKey deskonposatu VPSrako sortutako gako pribatua eta kideen gako publikoak horren arabera.
VPS-n, interfazea aterako duen komandoa exekutatu eta autorun-era gehitzea besterik ez da geratzen: systemctl enable --now wg-quick@wg0. Uneko konexioaren egoera komandoarekin egiaztatu daiteke wg.
OpenWRT konfigurazioa
Etapa honetarako behar duzun guztia luci moduluan dago (OpenWRT web interfazea). Hasi saioa eta ireki Software fitxa Sistema menuan. OpenWRT-k ez du cacherik gordetzen makinan, beraz, eskuragarri dauden paketeen zerrenda eguneratu behar duzu Eguneratu zerrendak botoi berdean klik eginez. Amaitu ondoren, sartu iragazkira luci-app-wireguard eta, menpekotasun zuhaitz eder batekin leihoari begira, instalatu pakete hau.
Sareak menuan, hautatu Interfazeak eta egin klik Gehitu interfaze berria botoian lehendik daudenen zerrendaren azpian. Izena sartu ondoren (ere wg0 nire kasuan) eta WireGuard VPN protokoloa hautatuta, lau fitxa dituen ezarpen-inprimakia irekitzen da.
Ezarpen Orokorrak fitxan, OpenWRTrako prestatutako gako pribatua eta IP helbidea sartu behar dituzu azpisarearekin batera.
Suebakiaren ezarpenak fitxan, konektatu interfazea sare lokalera. Modu honetan, VPNaren konexioak libreki sartuko dira tokiko eremuan.
Peers fitxan, egin klik botoi bakarran, eta ondoren VPS zerbitzariaren datuak inprimaki eguneratuan beteko dituzu: gako publikoa, Baimendutako IPak (VPN azpisare osoa zerbitzarira bideratu behar duzu). Endpoint Host eta Endpoint Port atalean, idatzi VPSaren IP helbidea ListenPort zuzentarauan aurrez zehaztutako atakarekin, hurrenez hurren. Egiaztatu Ibilbide Onartutako IPak sortu beharreko ibilbideetarako. Eta ziurtatu Persistent Keep Alive betetzen duzula, bestela VPStik bideratzailerako tunela hautsiko da azken hau NAT atzean badago.
Horren ondoren, ezarpenak gorde ditzakezu eta, ondoren, interfazeen zerrenda duen orrian, egin klik Gorde eta aplikatu. Beharrezkoa izanez gero, berariaz abiarazi interfazea Berrabiarazi botoiarekin.
Smartphone bat konfiguratzea
Wireguard bezeroa beharko duzu, eskuragarri dago , eta App Store. Aplikazioa ireki ondoren, sakatu plus ikurra eta Interfazea atalean sartu konexioaren izena, gako pribatua (gako publikoa automatikoki sortuko da) eta telefono helbidea /32 maskararekin. Peer atalean, zehaztu VPS gako publikoa, helbide bikote bat: VPN zerbitzariaren ataka amaierako puntu gisa eta VPN eta etxeko azpisarerako bideak.
Telefonotik ateratako pantaila lodia
Egin klik izkinan dagoen disketean, piztu eta...
Done
Orain etxeko monitorizazioa atzi dezakezu, bideratzailearen ezarpenak alda ditzakezu edo IP mailan edozer egin dezakezu.
Tokiko pantaila-argazkiak
Iturria: www.habr.com