TL. DRԵս տեղադրում եմ Wireguard-ը VPS-ի վրա, միանում եմ դրան իմ տնային երթուղիչից OpenWRT-ով և մուտք եմ գործում իմ տան ենթացանց իմ հեռախոսից:
Եթե դուք ձեր անձնական ենթակառուցվածքը պահում եք տնային սերվերի վրա կամ ունեք IP-ով կառավարվող բազմաթիվ սարքեր տանը, ապա հավանաբար կցանկանաք մուտք ունենալ նրանց աշխատանքից՝ ավտոբուսից, գնացքից և մետրոյից: Ամենից հաճախ նմանատիպ առաջադրանքների համար IP-ն գնվում է մատակարարից, որից հետո յուրաքանչյուր ծառայության նավահանգիստները փոխանցվում են դեպի դրս:
Փոխարենը, ես ստեղծեցի VPN՝ իմ տան LAN-ի հասանելիությամբ: Այս լուծման առավելությունները.
- թափանցիկությունԵս ինձ զգում եմ ինչպես տանը, ցանկացած պարագայում:
- թեթեւացնելՍահմանեք այն և մոռացեք այն, կարիք չկա մտածել յուրաքանչյուր պորտի վերահասցեավորման մասին:
- ԳինԵս արդեն ունեմ VPS, նման առաջադրանքների համար ժամանակակից VPN-ը ռեսուրսների առումով գրեթե անվճար է։
- БезопасностьՈչինչ չի նկատվում, դուք կարող եք թողնել MongoDB առանց գաղտնաբառի, և ոչ ոք չի գողանա ձեր տվյալները:
Ինչպես միշտ, կան բացասական կողմեր. Նախ, դուք պետք է կարգավորեք յուրաքանչյուր հաճախորդ առանձին, ներառյալ սերվերի կողմից: Դա կարող է անհարմար լինել, եթե դուք ունեք մեծ թվով սարքեր, որոնցից ցանկանում եք օգտվել ծառայություններից: Երկրորդ, դուք կարող եք աշխատել նույն տիրույթով LAN. դուք ստիպված կլինեք լուծել այս խնդիրը:
Մենք պետք է.
- VPS (իմ դեպքում Debian 10-ում):
- OpenWRT երթուղիչ:
- Հեռախոսահամար:
- Տնային սերվեր՝ որոշ վեբ-ծառայությամբ՝ փորձարկման համար:
- Ուղիղ ձեռքեր.
VPN տեխնոլոգիան, որը ես կօգտագործեմ, Wireguard-ն է: Այս լուծումը նույնպես ունի ուժեղ և թույլ կողմեր, դրանք չեմ նկարագրի։ VPN-ի համար ես օգտագործում եմ ենթացանց 192.168.99.0/24
և իմ տանը 192.168.0.0/24
.
VPS կոնֆիգուրացիա
Նույնիսկ ամենախղճուկ VPS-ն ամսական 30 ռուբլով բավական է բիզնեսի համար, եթե բախտ ունես ունենալ.
Ես կատարում եմ բոլոր գործողությունները սերվերի վրա որպես root մաքուր մեքենայի վրա, անհրաժեշտության դեպքում ավելացրեք «sudo» և հարմարեցրեք հրահանգները:
Wireguard-ը ժամանակ չուներ ստաբիլ մտնելու համար, ուստի ես գործարկեցի «apt edit-sources» և ֆայլի վերջում երկու տողով հետնապատկերներ ավելացրի.
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Փաթեթը տեղադրվում է սովորական եղանակով. apt update && apt install wireguard
.
Հաջորդը, մենք ստեղծում ենք բանալիների զույգ. wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public
. Կրկնեք այս գործողությունը ևս երկու անգամ միացմանը մասնակցող յուրաքանչյուր սարքի համար: Փոխեք այլ սարքի հիմնական ֆայլերի ուղին և մի մոռացեք անձնական բանալիների անվտանգության մասին:
Այժմ մենք պատրաստում ենք կազմաձևը: Ներկայացնելու համար /etc/wireguard/wg0.conf
config տեղադրված է.
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Բաժնում [Interface]
նշված են ինքնին մեքենայի կարգավորումները, և [Peer]
— կարգավորումներ նրանց համար, ովքեր կմիանան դրան: IN AllowedIPs
բաժանված ստորակետերով, նշվում են ենթացանցերը, որոնք կուղղորդվեն համապատասխան գործընկերոջը: Դրա պատճառով VPN ենթացանցում «հաճախորդ» սարքերի հասակակիցները պետք է դիմակ ունենան /32
, մնացած ամեն ինչ կուղղվի սերվերի կողմից: Քանի որ տնային ցանցը կուղարկվի OpenWRT-ի միջոցով, in AllowedIPs
Մենք ավելացնում ենք համապատասխան հասակակիցների հիմնական ենթացանցը: IN PrivateKey
и PublicKey
համապատասխանաբար քայքայել VPS-ի համար ստեղծված մասնավոր բանալին և համապատասխանաբար հասակակիցների հանրային բանալիները:
VPS-ում մնում է գործարկել հրամանը, որը կբացի ինտերֆեյսը և կավելացնի այն autorun-ում. systemctl enable --now wg-quick@wg0
. Ընթացիկ կապի կարգավիճակը կարելի է ստուգել հրամանով wg
.
OpenWRT կոնֆիգուրացիա
Այն ամենը, ինչ ձեզ անհրաժեշտ է այս փուլի համար, գտնվում է luci մոդուլում (OpenWRT վեբ ինտերֆեյս): Մուտք գործեք և բացեք «Ծրագրաշար» ներդիրը «Համակարգ» ընտրացանկում: OpenWRT-ն մեքենայի վրա քեշ չի պահում, ուստի անհրաժեշտ է թարմացնել հասանելի փաթեթների ցանկը՝ սեղմելով կանաչ Թարմացնել ցուցակների կոճակը: Ավարտից հետո քշեք ֆիլտրի մեջ luci-app-wireguard
և, նայելով գեղեցիկ կախվածության ծառով պատուհանին, տեղադրեք այս փաթեթը:
Ցանցերի ցանկում ընտրեք «Ինտերֆեյս» և կտտացրեք կանաչ «Ավելացնել նոր ինտերֆեյս» կոճակը գոյություն ունեցողների ցանկի տակ: Անունը մուտքագրելուց հետո (նաև wg0
իմ դեպքում) և ընտրելով WireGuard VPN արձանագրությունը, բացվում է չորս ներդիրով պարամետրերի ձև:
«Ընդհանուր կարգավորումներ» ներդիրում դուք պետք է մուտքագրեք OpenWRT-ի համար պատրաստված անձնական բանալին և IP հասցեն՝ ենթացանկի հետ միասին:
Firewall Settings ներդիրում միացրեք ինտերֆեյսը տեղական ցանցին: Այս կերպ VPN-ից կապերն ազատորեն կմտնեն տեղական տարածք։
Հասակակիցների ներդիրում սեղմեք միակ կոճակը, որից հետո լրացնում եք VPS սերվերի տվյալները թարմացված ձևով՝ հանրային բանալի, Թույլատրված IP-ներ (պետք է ամբողջ VPN ենթացանցը ուղղորդել դեպի սերվեր): Endpoint Host-ում և Endpoint Port-ում մուտքագրեք VPS-ի IP հասցեն համապատասխանաբար ListenPort հրահանգում նախապես նշված պորտով: Ստուգեք երթուղիների թույլատրված IP-ները՝ երթուղիների ստեղծման համար: Եվ անպայման լրացրեք Persistent Keep Alive-ը, այլապես VPS-ից դեպի երթուղիչ թունելը կկոտրվի, եթե վերջինս NAT-ի հետևում լինի։
Դրանից հետո կարող եք պահպանել կարգավորումները, այնուհետև ինտերֆեյսների ցանկով էջում սեղմեք Պահպանել և կիրառել: Անհրաժեշտության դեպքում, բացահայտորեն գործարկեք ինտերֆեյսը Վերագործարկեք կոճակով:
Սմարթֆոնի կարգավորում
Ձեզ անհրաժեշտ կլինի Wireguard հաճախորդը, այն հասանելի է
Հաստ սքրինշոթ հեռախոսից
Կտտացրեք անկյունում գտնվող անգործունյա սկավառակի վրա, միացրեք այն և...
Finish
Այժմ դուք կարող եք մուտք գործել տան մոնիտորինգ, փոխել երթուղիչի կարգավորումները կամ որևէ բան անել IP մակարդակով:
Սքրինշոթներ տեղական տարածքից
Source: www.habr.com