VPN a LAN baile

TL; DR: Suiteáilim Wireguard ar VPS, ceangail leis ó mo ródaire baile ar OpenWRT, agus rochtain a fháil ar mo subnet baile ó mo ghuthán.

Má choinníonn tú do bhonneagar pearsanta ar fhreastalaí baile nó má tá go leor gléasanna IP-rialaithe agat sa bhaile, ansin is dócha gur mhaith leat rochtain a fháil orthu ón obair, ón mbus, ón traein agus ón meitreo. Is minic, le haghaidh tascanna comhchosúla, ceannaítear IP ón soláthraí, agus ina dhiaidh sin cuirtear calafoirt gach seirbhíse ar aghaidh chuig an taobh amuigh.

Ina áit sin, bhunaigh mé VPN le rochtain ar mo LAN baile. Buntáistí an réitigh seo:

• trédhearcacht: mothaím sa bhaile ar aon chúinse.
• Simplíocht: socraigh é agus déan dearmad air, ní gá smaoineamh ar gach calafort a chur ar aghaidh.
• Praghas: Tá VPS agam cheana féin; le haghaidh tascanna den sórt sin, tá VPN nua-aimseartha beagnach saor in aisce i dtéarmaí acmhainní.
• slándála: ní stopann aon rud, is féidir leat MongoDB a fhágáil gan focal faire agus ní ghoidfidh aon duine do chuid sonraí.

Mar is gnáth, tá míbhuntáistí ann. Ar an gcéad dul síos, beidh ort gach cliant a chumrú ar leithligh, lena n-áirítear ar thaobh an fhreastalaí. Féadfaidh sé a bheith deacair má tá líon mór gléasanna agat óna dteastaíonn uait rochtain a fháil ar sheirbhísí. Ar an dara dul síos, b'fhéidir go mbeadh LAN agat leis an raon céanna ag an obair - beidh ort an fhadhb seo a réiteach.

Ní mór dúinn:

1. VPS (i mo chás ar Debian 10).
2. Ródaire OpenWRT.
3. Uimhir theileafóin.
4. Freastalaí baile le roinnt seirbhíse gréasáin le haghaidh tástála.
5. Lámha díreach.

Is é an teicneolaíocht VPN a úsáidfidh mé ná Wireguard. Tá láidreachtaí agus laigí ag an réiteach seo freisin, ní dhéanfaidh mé cur síos orthu. Le haghaidh VPN úsáidim folíon 192.168.99.0/24, agus ag mo theach 192.168.0.0/24.

Cumraíocht VPS

Is leor fiú an VPS is trua le haghaidh 30 rúbal in aghaidh na míosa le haghaidh gnó, má tá an t-ádh leat ceann a bheith agat sciob.

Déanaim gach oibríocht ar an bhfreastalaí mar fhréamh ar mheaisín glan; más gá, cuir `sudo` leis agus cuir na treoracha in oiriúint.

Ní raibh am ag Wireguard a thabhairt isteach sa stábla, mar sin rithim `apt edit-sources` agus cuirim cúlports leis in dhá líne ag deireadh an chomhaid:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


Tá an pacáiste suiteáilte ar an ngnáthbhealach: apt update && apt install wireguard.

Ansin, ginimid péire eochair: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Déan an oibríocht seo faoi dhó arís i gcás gach feiste atá rannpháirteach sa chiorcad. Athraigh an cosán chuig na príomhchomhaid le haghaidh gléas eile agus ná déan dearmad faoi shlándáil eochracha príobháideacha.

Anois ullmhaímid an config. A chomhdú /etc/wireguard/wg0.conf config suite:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

Sa chuid [Interface] cuirtear socruithe an mheaisín féin in iúl, agus i [Peer] — socruithe dóibh siúd a nascfaidh leis. IN AllowedIPs scartha le camóga, sonraítear na folíonta a sheolfar chuig an bpiaraí comhfhreagrach. Mar gheall air seo, ní mór masc a bheith ag piaraí gléasanna “cliant” san fholíon VPN /32, déanfaidh an freastalaí gach rud eile. Ós rud é go gcuirfear an líonra baile trí OpenWRT, in AllowedIPs Cuirimid folíon baile an phiara comhfhreagrach leis. IN PrivateKey и PublicKey an eochair phríobháideach a ghintear don VPS agus eochracha poiblí na bpiaraí a dhianscaoileadh dá réir.

Ar an VPS, níl fágtha ach an t-ordú a rith a thabharfaidh suas an comhéadan agus é a chur le autorun: systemctl enable --now wg-quick@wg0. Is féidir an stádas nasc reatha a sheiceáil leis an ordú wg.

Cumraíocht OpenWRT

Tá gach rud atá uait don chéim seo sa mhodúl luci (comhéadan gréasáin OpenWRT). Logáil isteach agus oscail an cluaisín Bogearraí sa roghchlár Córas. Ní stórálann OpenWRT taisce ar an meaisín, mar sin ní mór duit liosta na bpacáistí atá ar fáil a nuashonrú trí chliceáil ar an gcnaipe glas Liostaí Nuashonraithe. Tar éis críochnú, tiomáint isteach sa scagaire luci-app-wireguard agus, ag féachaint ar an bhfuinneog le crann spleáchais álainn, an pacáiste seo a shuiteáil.

Sa roghchlár Líonraí, roghnaigh Comhéadain agus cliceáil ar an glas Cuir Comhéadan Nua cnaipe faoi liosta na cinn atá ann cheana féin. Tar éis dul isteach an t-ainm (freisin wg0 i mo chás) agus an prótacal WireGuard VPN á roghnú, osclaíonn foirm socruithe le ceithre chluaisín.

Ar an táb Socruithe Ginearálta, ní mór duit an eochair phríobháideach agus an seoladh IP a ullmhaíodh do OpenWRT a chur isteach in éineacht leis an subnet.

Ar an táb Socruithe Balla Dóiteáin, ceangail an comhéadan leis an líonra áitiúil. Ar an mbealach seo, rachaidh naisc ón VPN isteach sa cheantar áitiúil faoi shaoirse.

Ar an táb Peers, cliceáil ar an gcnaipe amháin, agus ina dhiaidh sin líonann tú sonraí an fhreastalaí VPS san fhoirm nuashonraithe: eochair phoiblí, IPanna Ceadaithe (ní mór duit an subnet VPN iomlán a threorú chuig an bhfreastalaí). I Endpoint Host agus Endpoint Port, cuir isteach seoladh IP an VPS leis an gcalafort a shonraítear roimhe seo sa treoir ListenPort, faoi seach. Seiceáil IP Bealach Ceadaithe chun bealaí a chruthú. Agus a bheith cinnte a líonadh isteach Seasmhach Coinnigh Alive, nó beidh an tollán ón VPS go dtí an ródaire a bhriseadh má tá an dara ceann taobh thiar NAT.

Tar éis seo, is féidir leat na socruithe a shábháil, agus ansin ar an leathanach leis an liosta comhéadain, cliceáil Sábháil agus cuir i bhfeidhm. Más gá, seol go sainráite an comhéadan leis an gcnaipe Atosaigh.

Socrú smartphone

Beidh an cliant Wireguard uait, tá sé ar fáil i F-Droid, Google Play agus App Store. Tar éis duit an feidhmchlár a oscailt, brúigh an comhartha móide agus cuir isteach an t-ainm nasc, an eochair phríobháideach (ginfear an eochair phoiblí go huathoibríoch) agus an seoladh teileafóin leis an masc /32 sa chuid Comhéadan. Sa rannán Piaraí, sonraigh an eochair phoiblí VPS, péire seoltaí: an calafort freastalaí VPN mar an Endpoint, agus bealaí chuig an VPN agus an subnet baile.

Scáileán trom a chuig fón

Cliceáil ar an diosca flapach sa chúinne, cas air agus...

Arna dhéanamh

Anois is féidir leat rochtain a fháil ar mhonatóireacht tí, socruithe ródaire a athrú, nó rud ar bith a dhéanamh ar an leibhéal IP.

Seatanna ón gceantar áitiúil

Foinse: will.com