TL; DR: Asensen Wireguardin VPS:ään, yhdistän siihen OpenWRT:n kotireitittimestäni ja käytän kotialiverkkoani puhelimellani.
Jos pidät henkilökohtaista infrastruktuuriasi kotipalvelimella tai sinulla on kotona useita IP-ohjattuja laitteita, haluat todennäköisesti käyttää niitä töistä, bussista, junasta ja metrosta. Useimmiten vastaaviin tehtäviin IP ostetaan palveluntarjoajalta, minkä jälkeen kunkin palvelun portit välitetään ulkopuolelle.
Sen sijaan määritin VPN:n, jolla on pääsy kotiverkkooni. Tämän ratkaisun edut:
- läpinäkyvyys: Tunnen oloni kotoisaksi kaikissa olosuhteissa.
- helppous: aseta se ja unohda se, sinun ei tarvitse miettiä jokaisen portin välittämistä.
- Hinta: Minulla on jo VPS; sellaisiin tehtäviin nykyaikainen VPN on lähes ilmainen resurssien suhteen.
- Безопасность: mikään ei jää ulos, voit jättää MongoDB:n ilman salasanaa, eikä kukaan varasta tietojasi.
Kuten aina, on huonoja puolia. Ensinnäkin sinun on määritettävä jokainen asiakas erikseen, myös palvelinpuolella. Se voi olla hankalaa, jos sinulla on suuri määrä laitteita, joista haluat käyttää palveluita. Toiseksi, sinulla saattaa olla työssäsi LAN, jolla on sama kantama - sinun on ratkaistava tämä ongelma.
Tarvitaan:
- VPS (minun tapauksessani Debian 10).
- OpenWRT reititin.
- Puhelinnumero.
- Kotipalvelin, jossa verkkopalvelu testausta varten.
- Suorat kädet.
Käyttämäni VPN-tekniikka on Wireguard. Tällä ratkaisulla on myös vahvuuksia ja heikkouksia, en kuvaile niitä. VPN:lle käytän aliverkkoa 192.168.99.0/24
, ja kotonani 192.168.0.0/24
.
VPS-kokoonpano
Jopa surkein VPS 30 ruplaa kuukaudessa riittää liiketoiminnalle, jos sinulla on sellainen onni
Suoritan kaikki palvelimen toiminnot root-käyttäjänä puhtaalla koneella; tarvittaessa lisää `sudo` ja muokkaa ohjeita.
Wireguard ei ehtinyt tuoda talliin, joten suoritin "apt edit-sources" ja lisään backports kahdella rivillä tiedoston loppuun:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paketti asennetaan tavalliseen tapaan: apt update && apt install wireguard
.
Seuraavaksi luomme avainparin: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public
. Toista tämä toimenpide vielä kahdesti jokaiselle piiriin osallistuvalle laitteelle. Vaihda polku toisen laitteen avaintiedostoihin ja älä unohda yksityisten avainten turvallisuutta.
Nyt valmistelemme kokoonpanon. Arkistoida /etc/wireguard/wg0.conf
konfiguraatio on sijoitettu:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
osiossa [Interface]
itse koneen asetukset näkyvät ja sisään [Peer]
- asetukset niille, jotka muodostavat yhteyden siihen. SISÄÄN AllowedIPs
pilkuilla erotettuina määritetään aliverkot, jotka reititetään vastaavaan vertaisverkkoon. Tästä johtuen VPN-aliverkon ”asiakas”-laitteiden vertaisilla on oltava maski /32
, palvelin reitittää kaiken muun. Koska kotiverkko reititetään OpenWRT:n kautta, sisään AllowedIPs
Lisäämme vastaavan kumppanin kotialiverkon. SISÄÄN PrivateKey
и PublicKey
hajottaa VPS:lle luotu yksityinen avain ja vertaisyritysten julkiset avaimet vastaavasti.
VPS:ssä ei jää muuta kuin suorittaa komento, joka avaa käyttöliittymän ja lisää se automaattiseen käynnistykseen: systemctl enable --now wg-quick@wg0
. Nykyisen yhteyden tilan voi tarkistaa komennolla wg
.
OpenWRT-kokoonpano
Kaikki mitä tarvitset tähän vaiheeseen on luci-moduulissa (OpenWRT-verkkoliittymä). Kirjaudu sisään ja avaa Järjestelmä-valikon Ohjelmisto-välilehti. OpenWRT ei tallenna koneelle välimuistia, joten sinun on päivitettävä saatavilla olevien pakettien luettelo napsauttamalla vihreää Päivitä luettelot -painiketta. Kun olet valmis, aja suodattimeen luci-app-wireguard
ja asenna tämä paketti katsomalla ikkunaa kauniilla riippuvuuspuulla.
Valitse Verkot-valikosta Liitännät ja napsauta vihreää Lisää uusi liitäntä -painiketta olemassa olevien luettelon alla. Nimen syöttämisen jälkeen (myös wg0
minun tapauksessani) ja valitsemalla WireGuard VPN -protokollan, neljän välilehden asetuslomake avautuu.
Yleiset asetukset -välilehdellä sinun on syötettävä OpenWRT:lle valmisteltu yksityinen avain ja IP-osoite sekä aliverkko.
Yhdistä Palomuuriasetukset-välilehdellä liitäntä paikallisverkkoon. Tällä tavalla VPN-yhteydet tulevat vapaasti paikalliselle alueelle.
Napsauta Peers-välilehdellä ainoaa painiketta, jonka jälkeen täytät VPS-palvelimen tiedot päivitetyssä muodossa: julkinen avain, Sallitut IP-osoitteet (sinun on reitittävä koko VPN-aliverkko palvelimelle). Kirjoita Endpoint Host- ja Endpoint Port -kohtaan VPS:n IP-osoite ListenPort-direktiivissä aiemmin määritetyn portin kanssa. Tarkista Reitin sallitut IP-osoitteet luotavia reittejä varten. Ja muista täyttää Persistent Keep Alive, muuten tunneli VPS:stä reitittimeen katkeaa, jos jälkimmäinen on NAT:n takana.
Tämän jälkeen voit tallentaa asetukset ja napsauta sitten käyttöliittymäluettelosivulla Tallenna ja käytä. Käynnistä käyttöliittymä tarvittaessa uudelleenkäynnistyspainikkeella.
Älypuhelimen määrittäminen
Tarvitset Wireguard-asiakkaan, se on saatavilla
Lihavoitu kuvakaappaus puhelimesta
Napsauta kulmassa olevaa levykettä, kytke se päälle ja...
Lopettaa
Nyt voit käyttää kodin valvontaa, muuttaa reitittimen asetuksia tai tehdä mitä tahansa IP-tasolla.
Kuvakaappauksia paikalliselta alueelta
Lähde: will.com