TL, RD: instalo Wireguard nun VPS, conéctome a el desde o meu enrutador doméstico en OpenWRT e accedo á miña subrede doméstica dende o meu teléfono.
Se mantés a túa infraestrutura persoal nun servidor doméstico ou tes moitos dispositivos controlados por IP na casa, probablemente queiras ter acceso a eles desde o traballo, desde o autobús, o tren e o metro. Na maioría das veces, para tarefas semellantes, a IP adquírese ao provedor, despois de que os portos de cada servizo envíanse ao exterior.
Pola contra, configurei unha VPN con acceso á LAN da miña casa. As vantaxes desta solución:
- transparencia: Síntome como na casa en calquera circunstancia.
- Simplicidade: configúrao e esquéceo, non hai que pensar en reenviar cada porto.
- Prezo: Xa teño un VPS; para tales tarefas, unha VPN moderna é case gratuíta en termos de recursos.
- Безопасность: nada sobresae, podes saír de MongoDB sen contrasinal e ninguén vai roubar os teus datos.
Como sempre, hai desvantaxes. En primeiro lugar, terás que configurar cada cliente por separado, incluso no lado do servidor. Pode ser inconveniente se tes un gran número de dispositivos desde os que queres acceder aos servizos. En segundo lugar, pode ter unha LAN co mesmo alcance no traballo; terá que resolver este problema.
Necesitamos:
- VPS (no meu caso en Debian 10).
- Enrutador OpenWRT.
- Número de teléfono.
- Servidor doméstico con algún servizo web para probar.
- Brazos rectos.
A tecnoloxía VPN que vou usar é Wireguard. Esta solución tamén ten puntos fortes e débiles, non os describirei. Para VPN uso unha subrede 192.168.99.0/24, e na miña casa 192.168.0.0/24.
Configuración VPS
Incluso o VPS máis miserable por 30 rublos ao mes é suficiente para os negocios, se tes a sorte de ter un .
Realizo todas as operacións no servidor como root nunha máquina limpa; se é necesario, engade `sudo` e adapto as instrucións.
Wireguard non tivo tempo para ser traído ao establo, así que executo `apt edit-sources` e engado backports en dúas liñas ao final do ficheiro:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
O paquete instálase do xeito habitual: apt update && apt install wireguard.
A continuación, xeramos un par de claves: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Repita esta operación dúas veces máis para cada dispositivo que participe no circuíto. Cambia o camiño aos ficheiros de chaves doutro dispositivo e non te esquezas da seguridade das chaves privadas.
Agora preparamos a configuración. Para arquivar /etc/wireguard/wg0.conf config colócase:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Na sección [Interface] indícanse a configuración da propia máquina, e en [Peer] — configuración para aqueles que se conectarán a el. EN AllowedIPs separados por comas, especifícanse as subredes que se encamiñarán ao equivalente correspondente. Debido a isto, os pares dos dispositivos "cliente" na subrede VPN deben ter unha máscara /32, todo o demais será encamiñado polo servidor. Dado que a rede doméstica será enrutada a través de OpenWRT, en AllowedIPs Engadimos a subrede de inicio do compañeiro correspondente. EN PrivateKey и PublicKey descompoñer a clave privada xerada para o VPS e as claves públicas dos pares en consecuencia.
No VPS, só queda executar o comando que mostrará a interface e engadila ao autorun: systemctl enable --now wg-quick@wg0. O estado actual da conexión pódese comprobar co comando wg.
Configuración de OpenWRT
Todo o que necesitas para esta etapa está no módulo luci (interface web OpenWRT). Inicie sesión e abra a pestana Software no menú Sistema. OpenWRT non almacena unha caché na máquina, polo que cómpre actualizar a lista de paquetes dispoñibles facendo clic no botón verde Actualizar listas. Despois de completar, entra no filtro luci-app-wireguard e, mirando a fiestra cunha fermosa árbore de dependencias, instala este paquete.
No menú Redes, seleccione Interfaces e prema no botón verde Engadir unha nova interface baixo a lista das existentes. Despois de introducir o nome (tamén wg0 no meu caso) e seleccionando o protocolo WireGuard VPN, ábrese un formulario de configuración con catro pestanas.
Na pestana Configuración xeral, cómpre introducir a clave privada e o enderezo IP preparados para OpenWRT xunto coa subrede.
Na pestana Configuración do firewall, conecte a interface á rede local. Deste xeito, as conexións da VPN entrarán libremente na área local.
Na pestana Peers, fai clic no único botón, despois de que enche os datos do servidor VPS no formulario actualizado: chave pública, IPs permitidas (cómpre encamiñar toda a subrede VPN ao servidor). En Endpoint Host e Endpoint Port, introduza o enderezo IP do VPS co porto especificado anteriormente na directiva ListenPort, respectivamente. Comprobe as IP de ruta permitidas para as rutas a crear. E asegúrate de encher Persistent Keep Alive, se non, o túnel do VPS ao router romperase se este está detrás de NAT.
Despois diso, pode gardar a configuración e, a continuación, na páxina coa lista de interfaces, faga clic en Gardar e aplicar. Se é necesario, inicie explícitamente a interface co botón Reiniciar.
Configurando un smartphone
Necesitarás o cliente Wireguard, está dispoñible en , e App Store. Despois de abrir a aplicación, prema o signo máis e na sección Interface introduza o nome da conexión, a clave privada (xerarase automaticamente a clave pública) e o enderezo do teléfono coa máscara /32. Na sección Peer, especifique a clave pública VPS, un par de enderezos: o porto do servidor VPN como punto final e as rutas á VPN e á subrede doméstica.
Captura de pantalla en negrita do teléfono
Fai clic no disquete da esquina, acéndeo e...
Acabado
Agora podes acceder ao seguimento da casa, cambiar a configuración do enrutador ou facer calquera cousa a nivel de IP.
Capturas de pantalla da zona local
Fonte: www.habr.com