VPN az otthoni LAN-hoz

TL, DR: Telepítem a Wireguard-ot VPS-re, csatlakozom hozzá az otthoni útválasztómról az OpenWRT-n, és elérem az otthoni alhálózatomat a telefonomról.

Ha személyes infrastruktúráját egy otthoni szerveren tartja, vagy sok IP-vezérelt eszköze van otthon, akkor valószínűleg munkahelyéről, buszról, vonatról és metróról szeretne hozzáférni hozzájuk. Leggyakrabban hasonló feladatokhoz IP-t vásárolnak a szolgáltatótól, majd az egyes szolgáltatások portjait kifelé továbbítják.

Ehelyett beállítottam egy VPN-t, amely hozzáfér az otthoni LAN-hoz. Ennek a megoldásnak az előnyei:

• átláthatóság: Minden körülmények között otthon érzem magam.
• Nyugalom: állítsa be és felejtse el, nem kell az egyes portok továbbítására gondolni.
• Ár: Már van VPS-em, az ilyen feladatokhoz a modern VPN erőforrások szempontjából szinte ingyenes.
• biztonság: nem lóg ki semmi, jelszó nélkül elhagyhatod a MongoDB-t, és senki sem fogja ellopni az adataidat.

Mint mindig, most is vannak árnyoldalai. Először is, minden klienst külön kell konfigurálnia, beleértve a szerveroldalt is. Kellemetlen lehet, ha nagyszámú eszköze van, amelyekről szeretne szolgáltatásokat elérni. Másodszor, előfordulhat, hogy ugyanolyan hatótávolságú LAN dolgozik – ezt a problémát meg kell oldania.

Szükségünk van:

1. VPS (esetemben Debian 10-en).
2. OpenWRT router.
3. Telefonszám.
4. Otthoni szerver néhány webszolgáltatással tesztelésre.
5. Egyenes karok.

Az általam használt VPN technológia a Wireguard. Ennek a megoldásnak is vannak erősségei és gyengeségei, ezeket nem írom le. VPN-hez alhálózatot használok 192.168.99.0/24, és a házamban 192.168.0.0/24.

VPS konfiguráció

Még a legnyomorultabb VPS is elég havi 30 rubelért az üzlethez, ha elég szerencséd van hozzá megragad.

A szerveren minden műveletet rootként hajtok végre egy tiszta gépen; ha szükséges, add hozzá a `sudo`-t és igazítsd át az utasításokat.

A Wireguardnak nem volt ideje bevinni az istállóba, ezért lefuttatom az `apt edit-sources' parancsot, és a fájl végére két sorban hozzáadom a backportokat:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


A csomag telepítése a szokásos módon történik: apt update && apt install wireguard.

Ezután létrehozunk egy kulcspárt: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Ismételje meg ezt a műveletet még kétszer minden, az áramkörben részt vevő eszközzel. Módosítsa egy másik eszköz kulcsfájljainak elérési útját, és ne feledkezzünk meg a privát kulcsok biztonságáról.

Most elkészítjük a konfigurációt. Fájlhoz /etc/wireguard/wg0.conf A konfiguráció elhelyezve:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

A szakaszban [Interface] maga a gép beállításai jelennek meg, és in [Peer] — beállítások azok számára, akik csatlakozni fognak hozzá. BAN BEN AllowedIPs vesszővel elválasztva a megfelelő társhoz irányított alhálózatok vannak megadva. Emiatt a VPN-alhálózatban lévő „kliens” eszközök társainak maszkkal kell rendelkezniük /32, minden mást a szerver irányít. Mivel az otthoni hálózat OpenWRT-n keresztül lesz irányítva, be AllowedIPs Hozzáadjuk a megfelelő társ otthoni alhálózatát. BAN BEN PrivateKey и PublicKey ennek megfelelően bontja fel a VPS-hez generált privát kulcsot és a társak nyilvános kulcsait.

A VPS-en csak le kell futtatnia a parancsot, amely előhívja a felületet, és hozzáadja az automatikus futtatáshoz: systemctl enable --now wg-quick@wg0. Az aktuális kapcsolat állapota a paranccsal ellenőrizhető wg.

OpenWRT konfiguráció

Minden, ami ehhez a szakaszhoz kell, a luci modulban (OpenWRT webes felület) található. Jelentkezzen be, és nyissa meg a Szoftver lapot a Rendszer menüben. Az OpenWRT nem tárol gyorsítótárat a gépen, ezért frissíteni kell az elérhető csomagok listáját a zöld Frissítési listák gombra kattintva. A befejezés után hajtsa be a szűrőbe luci-app-wireguard és az ablakra nézve egy gyönyörű függőségi fával telepítsd ezt a csomagot.

A Hálózatok menüben válassza ki az Interfészek menüpontot, majd kattintson a zöld Add New Interface gombra a meglévők listája alatt. A név megadása után (is wg0 esetemben) és a WireGuard VPN protokollt választva megnyílik egy négy fület tartalmazó beállítási űrlap.

Az Általános beállítások lapon meg kell adnia az OpenWRT-hez előkészített privát kulcsot és IP-címet az alhálózattal együtt.

A Tűzfalbeállítások lapon csatlakoztassa az interfészt a helyi hálózathoz. Így a VPN-kapcsolatok szabadon beléphetnek a helyi területre.

A Peers lapon kattintson az egyetlen gombra, majd töltse ki a VPS-szerver adatait a frissített formában: nyilvános kulcs, Engedélyezett IP-k (a teljes VPN-alhálózatot át kell irányítani a szerverre). Az Endpoint Host és Endpoint Port mezőben adja meg a VPS IP-címét a ListenPort direktívában korábban megadott porttal. Ellenőrizze az Útvonal Engedélyezett IP-címeket a létrehozandó útvonalakhoz. És feltétlenül töltse ki a Persistent Keep Alive mezőt, különben a VPS-től a routerig vezető alagút megszakad, ha az utóbbi a NAT mögött van.

Ezt követően elmentheti a beállításokat, majd a felületek listáját tartalmazó oldalon kattintson a Mentés és alkalmazás gombra. Ha szükséges, kifejezetten indítsa el a felületet az Újraindítás gombbal.

Okostelefon beállítása

Szüksége lesz a Wireguard kliensre, amely elérhető F-Droid, A Google Play és App Store. Az alkalmazás megnyitása után nyomja meg a plusz jelet, és az Interfész részben adja meg a kapcsolat nevét, a privát kulcsot (a nyilvános kulcs automatikusan generálódik) és a telefonszámot a /32 maszkkal. A Peer részben adja meg a VPS nyilvános kulcsát, egy címpárt: a VPN-kiszolgáló portját végpontként, valamint a VPN-hez és az otthoni alhálózathoz vezető útvonalakat.

Félkövér képernyőkép a telefonról

Kattintson a sarokban lévő hajlékonylemezre, kapcsolja be és...

csinált

Mostantól hozzáférhet az otthoni felügyelethez, módosíthatja az útválasztó beállításait, vagy bármit megtehet IP-szinten.

Képernyőképek a környékről

Forrás: will.com