TL, DR: Telepítem a Wireguard-ot VPS-re, csatlakozom hozzá az otthoni útválasztómról az OpenWRT-n, és elérem az otthoni alhálózatomat a telefonomról.
Ha személyes infrastruktúráját egy otthoni szerveren tartja, vagy sok IP-vezérelt eszköze van otthon, akkor valószínűleg munkahelyéről, buszról, vonatról és metróról szeretne hozzáférni hozzájuk. Leggyakrabban hasonló feladatokhoz IP-t vásárolnak a szolgáltatótól, majd az egyes szolgáltatások portjait kifelé továbbítják.
Ehelyett beállítottam egy VPN-t, amely hozzáfér az otthoni LAN-hoz. Ennek a megoldásnak az előnyei:
- átláthatóság: Minden körülmények között otthon érzem magam.
- Nyugalom: állítsa be és felejtse el, nem kell az egyes portok továbbítására gondolni.
- Ár: Már van VPS-em, az ilyen feladatokhoz a modern VPN erőforrások szempontjából szinte ingyenes.
- biztonság: nem lóg ki semmi, jelszó nélkül elhagyhatod a MongoDB-t, és senki sem fogja ellopni az adataidat.
Mint mindig, most is vannak árnyoldalai. Először is, minden klienst külön kell konfigurálnia, beleértve a szerveroldalt is. Kellemetlen lehet, ha nagyszámú eszköze van, amelyekről szeretne szolgáltatásokat elérni. Másodszor, előfordulhat, hogy ugyanolyan hatótávolságú LAN dolgozik – ezt a problémát meg kell oldania.
Szükségünk van:
- VPS (esetemben Debian 10-en).
- OpenWRT router.
- Telefonszám.
- Otthoni szerver néhány webszolgáltatással tesztelésre.
- Egyenes karok.
Az általam használt VPN technológia a Wireguard. Ennek a megoldásnak is vannak erősségei és gyengeségei, ezeket nem írom le. VPN-hez alhálózatot használok 192.168.99.0/24
, és a házamban 192.168.0.0/24
.
VPS konfiguráció
Még a legnyomorultabb VPS is elég havi 30 rubelért az üzlethez, ha elég szerencséd van hozzá
A szerveren minden műveletet rootként hajtok végre egy tiszta gépen; ha szükséges, add hozzá a `sudo`-t és igazítsd át az utasításokat.
A Wireguardnak nem volt ideje bevinni az istállóba, ezért lefuttatom az `apt edit-sources' parancsot, és a fájl végére két sorban hozzáadom a backportokat:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
A csomag telepítése a szokásos módon történik: apt update && apt install wireguard
.
Ezután létrehozunk egy kulcspárt: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public
. Ismételje meg ezt a műveletet még kétszer minden, az áramkörben részt vevő eszközzel. Módosítsa egy másik eszköz kulcsfájljainak elérési útját, és ne feledkezzünk meg a privát kulcsok biztonságáról.
Most elkészítjük a konfigurációt. Fájlhoz /etc/wireguard/wg0.conf
A konfiguráció elhelyezve:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
A szakaszban [Interface]
maga a gép beállításai jelennek meg, és in [Peer]
— beállítások azok számára, akik csatlakozni fognak hozzá. BAN BEN AllowedIPs
vesszővel elválasztva a megfelelő társhoz irányított alhálózatok vannak megadva. Emiatt a VPN-alhálózatban lévő „kliens” eszközök társainak maszkkal kell rendelkezniük /32
, minden mást a szerver irányít. Mivel az otthoni hálózat OpenWRT-n keresztül lesz irányítva, be AllowedIPs
Hozzáadjuk a megfelelő társ otthoni alhálózatát. BAN BEN PrivateKey
и PublicKey
ennek megfelelően bontja fel a VPS-hez generált privát kulcsot és a társak nyilvános kulcsait.
A VPS-en csak le kell futtatnia a parancsot, amely előhívja a felületet, és hozzáadja az automatikus futtatáshoz: systemctl enable --now wg-quick@wg0
. Az aktuális kapcsolat állapota a paranccsal ellenőrizhető wg
.
OpenWRT konfiguráció
Minden, ami ehhez a szakaszhoz kell, a luci modulban (OpenWRT webes felület) található. Jelentkezzen be, és nyissa meg a Szoftver lapot a Rendszer menüben. Az OpenWRT nem tárol gyorsítótárat a gépen, ezért frissíteni kell az elérhető csomagok listáját a zöld Frissítési listák gombra kattintva. A befejezés után hajtsa be a szűrőbe luci-app-wireguard
és az ablakra nézve egy gyönyörű függőségi fával telepítsd ezt a csomagot.
A Hálózatok menüben válassza ki az Interfészek menüpontot, majd kattintson a zöld Add New Interface gombra a meglévők listája alatt. A név megadása után (is wg0
esetemben) és a WireGuard VPN protokollt választva megnyílik egy négy fület tartalmazó beállítási űrlap.
Az Általános beállítások lapon meg kell adnia az OpenWRT-hez előkészített privát kulcsot és IP-címet az alhálózattal együtt.
A Tűzfalbeállítások lapon csatlakoztassa az interfészt a helyi hálózathoz. Így a VPN-kapcsolatok szabadon beléphetnek a helyi területre.
A Peers lapon kattintson az egyetlen gombra, majd töltse ki a VPS-szerver adatait a frissített formában: nyilvános kulcs, Engedélyezett IP-k (a teljes VPN-alhálózatot át kell irányítani a szerverre). Az Endpoint Host és Endpoint Port mezőben adja meg a VPS IP-címét a ListenPort direktívában korábban megadott porttal. Ellenőrizze az Útvonal Engedélyezett IP-címeket a létrehozandó útvonalakhoz. És feltétlenül töltse ki a Persistent Keep Alive mezőt, különben a VPS-től a routerig vezető alagút megszakad, ha az utóbbi a NAT mögött van.
Ezt követően elmentheti a beállításokat, majd a felületek listáját tartalmazó oldalon kattintson a Mentés és alkalmazás gombra. Ha szükséges, kifejezetten indítsa el a felületet az Újraindítás gombbal.
Okostelefon beállítása
Szüksége lesz a Wireguard kliensre, amely elérhető
Félkövér képernyőkép a telefonról
Kattintson a sarokban lévő hajlékonylemezre, kapcsolja be és...
csinált
Mostantól hozzáférhet az otthoni felügyelethez, módosíthatja az útválasztó beállításait, vagy bármit megtehet IP-szinten.
Képernyőképek a környékről
Forrás: will.com